脚 一中国石油化工集团公司信息化管理部,刘远石化盈科信息技术有限责任公司,吕浩中国信息安全测评中心/j长毅任望 随着俯息化进程力¨怏,信息安全的重要性越米 越『J’I ,我旧已把信息安全纳入了 家安伞体系, 总f;记做…了“没仃网络安全就没仃同家安伞” 的 沦断,信息安令的重要性已经提升到 家战 略 嘶 .20l4年以米,巾共巾火网络安全和信息 化领导小绀的成● 、首 世界q 联网大会的 开、 同家网络安拿 传 的开幕、网络安伞法的Jl ……一,系列信息安全举措密集flI台.i【: 、l 感到r信息安全的哐要性,安拿意 "11 5. :至lJ枷 提升,信息发伞已经深入到卜_4家治理、 ‘姓的口常 活巾, 且卜j 家安 息息卡H火 一、信息化的快速发展,对信息安全工作提出更高要求 近年术, 党IIl火大 推进“两化”融合精神指 同智能”的信息化r作力‘ 增效, 公刮转方式渊结构、提质增效升级cl, ,jl 『11Ⅲ 化紧紧 绕公剐战略. 持“集l1l集成、 不“r或缺的重罄作川一 创新提升、J匕亭Hf连驽、 信息系统与中同 化,h :、经仆、科研等 务的深人结合,有力地支持J 巾同 化 I l务的fj 腱,,fi产、经 、科研等各项业务埘信息系统fI 针,聚焦巾心任务, “两化深度融合”lI 作迅速推进 “十一五”期间建成_r“i大平 ”,文现r信息系 统 公司I l11下游伞 业链的覆盖应Hj ,“十二五” 程度也日益增高,埘信息系统稳定运 的发伞 刈‘企业经营管 和业务处婵父键信息及数批的 护也已成为关乎企业核心战略的天键问题 以来,糙盖公司令, 业链的信息化“ 大平俞”,功 能更7Jll完 ,集成更加紧密,成l为支撑公司f 中下游 牛广:经营管理的“rrt I枢神经”,有效提升了集I朴 管控、 精细化管理水半.促进_r改革发展、管理创新、提质 下一步,新常态 随着我1日大力推进“制造 “网络强同”战略的推进,随着供给侧结构性 58/201611 因 [网F- 事eat焦u r点e N1il 深化,随着中国石化“智能制造”“互联网+”两个 础J二即时通信、社交网络、电子商务、互联网金融等 网络商业应用的持续创新,信息系统而临着前所未有 主攻方向步伐的加快,随着移动互联网、物联网、云 计算、大数据等新技术新应用的普及应用以及在此基 的安全风险,对信息安全T作也提 了新的更高要求 经过“十一五”、“十二五”期间不懈的努力, 在网络安全等级保护制度的基础J二.实行重点保护。 多年来,中同石化以信息安全等级保护为主线,加慢 巾国石化网络和信息安全保障能力有了切实地提高, 信息安全管理与信息安全防护技术并重,两手抓两手 信息化项目全生命周期的信息安全闭环管理,明确项 目立项、建设实施、上线验收、运行维护l几1个重点环 硬,信息安全管理和信息安全防护技术相辅相成,共 同编织起了中国石化信息安全防护的大网。 信息安全管理以ISO2700l、ITIL和COBIT等同际 标准最佳实践为蓝本,借鉴企业HSE管理经验,结 合企业实际,构筑了企业信息安全管理体系,形成了 总部和企业两级信息安全组织管理构架,信息安全管 理力度逐步加大,风险评估、安全测评和通报预警机 制常态化运行。信息安全技术防护手段日益丰富,网 节的信息安全丁作内容、检查指标,t-严格过程管控, 杜绝系统带着“漏洞”上线运行。立项阶段须确定安 全等级并编制安全方案,建设实施阶段须严格落实安 全方案,上线验收阶段须通过安全检查。信息化管理 部将会同各部门、各企业认真落实好系统定级、安全 方案审查、上线验收检查、等保测评与备案的各项丁 作,把信息安全T作与项目立项、系统入网、合同执 络安全管控能力不断强化,形成了以应用系统为核心 的纵深防御、多技术并举的防护体系。 1。推动信息安全责任制,做实安全责任 行挂钩,严格过程管理,切实把信息安全“同步规划、 同步建设、同步运行”的三同步要求落实到位。 3.强化监督检查。全面开展信息安全风险评估 工作 中同石化按照“谁主管谁负责、谁建设谁负责、 谁运维谁负责、谁使用谁负责”的原则,制定发布了《中 国石化信息安全责任制》,明确了信息化领导小组、 、J 务部门、信息部门、建设单位、运维单位等各方的 信息安全职责,在贯穿信息系统全生命周期的安全管 理过程巾,制订了信息安全管理标准流程,明确了各 控制点的责任主体、责任内容和具体要求,并层层签 按照“识别大JxL险、消除大隐患、杜绝大事故” 的T作要求,依靠信息安全风险评估为重要抓手,集 团上下树立“一盘棋”思想,对发现问题隐患试行闭 环管理,全面开展了信息安全风险评估T作。通过信 息安全风险评估T作,摸清企业信息安全底数,找准 信息安全短板,指导构筑信息安全保障体系实践;识 订安全承诺书,强化信息安全责任制的落地与执行。 存年度集闭公司信息安全大检查]_作中还将责任制落 实情况作为检查考核的重点内容,检查考核结果与企 别信息安全威胁,明确信息安全风险,及时弥补重大 漏洞,避免大事故;指明方向,提供指导,促进各级 信息安全T作有序开展。几年来,取得了不菲的成效, 发挥了重要的作用。 4.管好信息系统用户身份。全面部署统一身份管 理系统 业领导人员绩效挂钩。通过信息安全管理的制度化、 标准化、流程化和检查考核推进《信息安全责任制》 的落实,在集 公司J=下形成了信息安全守土有责、 守土尽责、齐抓共管的良好氛围。 2.严格信息安全过程管理,强化落实信息安全“三 同步”要求 巾国石化建成了覆盖全集蹦70多万信息系统.【_}_j 户的统一身份管理平台,该平台与集团公司人力资源 管理系统紧密集成、实时同步人员信息,建立了人员 岗位变动与信息系统用户账户状态的协同联动机制, 《网络安全法》巾指 ,关键信息基础设施要 201611/59 提升_,信息系统刚户全生命周期的实名制管理水平 6.提高信息安全风险综合管控能力。建设信息安 陔平台依托基于密码技术的数字证书、安全断言标记 全管控中心 等技术,实现了川户信息集中管理、统一认证和信息 中同石化大力推进信息安全管控中心建设,组建 系统单点髓录,从源头I 解决 川户多头管理、弱LJ 了承担安伞监控、风险分析和应急响应的信息安全 家队伍,建立了集安全态势感知、动态风险管控、 动告警监控、策略合规检合和事件分析处置等功能于 一令等 j题,大幅提升了应 系统用户管理、安全认址 水平,改善了H{户体验,I川时也为下一步统一权限管 删和多样化的应川集成奠定r基础。 5.管控互联网风险。坚决推进统一互联网出口 体的综合管控平台,实现r制度标准、安伞通报、 检金评估、信息安全事件处置的在线管理和“事前感 知、事中处置、事后追责”的管理口标,从人员、资产、 工作 坚持“统一规划、统一没计、统一建设、分步实 施”的原则,依托已建成的IX域中心和部分大型企业, 外展_r全集团规模的互联网 口集中建没T作。计划 2年内建成18个统一互联网m口,实现瓦联网访问、 系统、业务等度进行信息安全风险管控. 时利 川大数据技术对海量安全信息进行采集与荚联分析, 大大提高r宣贯、事佴:响应、查通报和整改落 实的T作效率,提升了风险感知与分析能力、攻击溯 远程接入、对外发布的统一管理,达到互联网访问町 源和风险定位能力,应急响应和协同处置能力,并做 控、接人nr信、发布可管、事件可定位、事后可追溯, 好了与同家态势感知平台对接的准备,为巾 石化信 实降低q:联网…口信息安全风险 、 息系统安全稳定运行保驾护航、 三、进一步提高思想认识,从要我安全,到我要安全 “人”是企业整个信息安全保障体系中最关键的 仪位置调换而已,但道}fI两种不同的思想和态度 l太1素 尤沦多么严谨的系统与体系,无论多么先进精 息安全意识不足,存日常丁作没有形成良好的安全“习 者表达了一种对安全的渴望,是发n内心的强烈需求; 在着一种明显的被动意识。后者符合生存的忻理,足 科学的、积极而可行的;前者则违背现实.是危险的、 良的设备,如果企业员r-V,:信息安全认识不到位,信 前者则恰恰相反,反映}H一种对安全的消檄态度,仔 惯”,信息安全事故的发生是迟早的事情.势必会给 企业带来不可估越的损失。从控制角度讲.未雨绸缪 比 羊补牢更有价值~.进一步提高思想认识的目的. 是要实现从要我安全,到我要安全的转变。要我安全 消极而有害的。所以,培养企业信息安全意识文化, 树立员T信息安全责任心,实现从要我安伞,到我要 安全的切实转变,才是解决企业信息安全的关键之匙 也是中同石化信息安全T作下一步的重巾之重 和我要安全.两句话的重点部是“安全”,且一字不差, 四、结束语 “十t五”信息化发展蓝图已经绘就,信息化 才能满足企业发展改革的时代要求.才能为集 公 新的征 已经开启,信息安全T作面临着新的更 司转型发展、提质增效做l叶J更大贡献 作为中火企 高要求,日标更高、任务更加艰巨,信息安全_T 安全管理,一手抓好技术防护,两手抓两手都要硬, 业,中国石化将不忘初心,一如既往地“把安全放 职尽责。蓐 作只有紧紧同绕企业发展战略和目标,一手抓好 存首位”,为国家能源保障、为公众多元化服务尽
