中信泰富特鋼集團(tuán)股份有限公司(000708.S2),是中國中信股份有限公司下屬企業(yè),集團(tuán)旗下江陰興澄特種鋼鐵有限公司、大治特殊鋼有限公司、青島特殊鋼鐵有限公司、靖江特殊鋼有限公司、銅陵泰富特種材料有限公司、揚(yáng)州泰富特種材料有限公司、泰富特鋼懸架有限公司和浙江泰富無縫鋼管有限公司,形成了沿海沿江產(chǎn)業(yè)鏈的戰(zhàn)略布局。中信泰富特鋼具備年產(chǎn)1400多萬噸特殊鋼生產(chǎn)能力,工藝技術(shù)和裝備具備世界先進(jìn)水平,是目前全球鋼種覆蓋面大、涵蓋品種全、產(chǎn)品類別多的精品特殊鋼生產(chǎn)基地。
中信泰富特鋼集團(tuán)堅持科技進(jìn)步與技術(shù)創(chuàng)新,在管理上不斷完善體系建設(shè),在踐行“中國制造2025”戰(zhàn)略過程中,積極推動互聯(lián)網(wǎng)+、智能制造及數(shù)字化轉(zhuǎn)型。中信泰富特鋼集團(tuán)發(fā)揮多技術(shù)融合優(yōu)勢,構(gòu)建大數(shù)據(jù)智慧、融合的云邊端協(xié)同架構(gòu),打造跨云數(shù)據(jù)中心、跨邊緣節(jié)點(diǎn)、跨終端的一棧智能平臺,從管控操全流程強(qiáng)化全過程管控,構(gòu)筑多維度智能化安全管控體系。形成了一套適用于大型集團(tuán)化企業(yè)的信息安全管理新模式。通過“中國制造2025”和“十四五規(guī)劃”的國家戰(zhàn)略為指引,結(jié)合中信集團(tuán)十四五數(shù)字化發(fā)展規(guī)劃,強(qiáng)化整合、協(xié)同、拓展三大抓手,圍繞基礎(chǔ)架構(gòu)升級、管理方式優(yōu)化、防護(hù)模式變革、技術(shù)賦能等多方面構(gòu)筑“云邊端”一體化的多維度適應(yīng)性信息安全管控新體系。
一、建立“1+N”的集團(tuán)化信息安全管理體系
中信泰富特鋼集團(tuán)信息安全頂層規(guī)劃和集團(tuán)發(fā)展戰(zhàn)略相融合,集團(tuán)總部率先認(rèn)證ISO27001信息安全管理體系,興澄特鋼、大冶特鋼、青島特鋼三大核心下屬企業(yè)多點(diǎn)承接認(rèn)證該體系,管理、制度承接融合,一總部多基地協(xié)同、密切建設(shè)信息安全組織和決策體系,制定集團(tuán)“全員參與、嚴(yán)控風(fēng)險、綜合防范、永續(xù)經(jīng)營”的信息安全管理總體方針,統(tǒng)一制度規(guī)范和安全標(biāo)準(zhǔn)。
二、大型鋼鐵集團(tuán)化企業(yè)率先認(rèn)證ISO27001信息安全管理體系
中信泰富特鋼集團(tuán)作為大型鋼鐵集團(tuán)化企業(yè)多舉措技術(shù)支撐,率先認(rèn)證ISO27001信息安全管理體系。建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISO27001信息安全管理體系,制定集團(tuán)“全員參與、嚴(yán)控風(fēng)險、綜合防范、永續(xù)經(jīng)營”的信息安全管理總體方針,明確五大管理目標(biāo),成立信息安全管理組織。全面梳理信息資產(chǎn),對信息安全風(fēng)險進(jìn)行有效管理,確保信息安全管理體系的持續(xù)改進(jìn)和有效性,在九個方向落實(shí)安全管理。
1.資產(chǎn)分類與管理――對于信息技術(shù)有關(guān)的資產(chǎn)進(jìn)行分類,加強(qiáng)與信息技術(shù)有關(guān)的資產(chǎn)分類管理,并對這些資產(chǎn)就價值和重要性進(jìn)行分類標(biāo)識和保護(hù),通過文檔加密系統(tǒng)對信息資產(chǎn)進(jìn)行加密管理。
2.人力資源安全――全員簽署保密協(xié)議,加強(qiáng)對工作人員信息安全培訓(xùn)與教育,建立信息安全領(lǐng)小組和工作協(xié)同小組,提高員工安全防范意識,減少人為錯誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險。
3.物理和環(huán)境安全――分析安全威脅來源,劃分物理安全區(qū)域,云化提升加強(qiáng)對服務(wù)器與用戶桌面計算機(jī)的保護(hù),防止因水、火、盜竊、雷電、電力供應(yīng)、化學(xué)腐蝕等因素帶來的安全威脅,并制定計算機(jī)設(shè)備引進(jìn)、日常運(yùn)行、銷毀處理程序和辦法。
4.通信與操作管理――通過堡壘機(jī)覆蓋應(yīng)用系統(tǒng)日常運(yùn)營和維護(hù)程序、網(wǎng)絡(luò)管理、存儲介質(zhì)管理;通過態(tài)勢感知防惡意軟件攻擊;通過Veeam實(shí)現(xiàn)系統(tǒng)和數(shù)據(jù)備份與恢復(fù)管理、通過數(shù)據(jù)總線對信息交換管理等,確保信息處理設(shè)施正確和安全運(yùn)行。
5.訪問控制――定義用戶權(quán)限控制策略,規(guī)范管理用戶存取過程,通過防火墻和網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)實(shí)現(xiàn)應(yīng)用系統(tǒng)及終端設(shè)備的訪問接入控制。
6.系統(tǒng)的獲取、開發(fā)和維護(hù)――明確應(yīng)用系統(tǒng)安全需求,使用SSL證書傳輸數(shù)據(jù)認(rèn)證;確定加密控制辦法,落實(shí)文檔加密管控;通過堡壘機(jī),確定開發(fā)和支持過程的安全管理。確保將安全納入信息系統(tǒng)的整個生命周期。
7.信息安全事件管理――建立安全事件發(fā)生后應(yīng)急管理制度和上報機(jī)制。
8.業(yè)務(wù)持續(xù)性管理――制定業(yè)務(wù)持續(xù)性管理制度,對業(yè)務(wù)持續(xù)性和影響過程分析;制定業(yè)務(wù)持續(xù)性計劃,定期測試、維護(hù)、演練、重新評估,并保護(hù)關(guān)鍵的業(yè)務(wù)過程免受重大故障或?yàn)?zāi)難的影響。
9.法律法規(guī)符合性――識別現(xiàn)有適用的法律法規(guī),制定個人信息隱私保護(hù)政策;通過終端準(zhǔn)入系統(tǒng),監(jiān)測使用合法的、正版的系統(tǒng)軟件與應(yīng)用軟件,加強(qiáng)計算機(jī)安全審計,保障技術(shù)和安全策略的合規(guī)性。落實(shí)《網(wǎng)絡(luò)安全法》、《個人信息保護(hù)法》、《數(shù)據(jù)安全法》的自查自糾。
三、建立常態(tài)化的集團(tuán)式巡查機(jī)制
中信泰富特鋼集團(tuán)信息安全體系建設(shè)堅持統(tǒng)一為原則。集團(tuán)總部和各下屬企業(yè)信息安全體系統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)、統(tǒng)一管理。同時將信息安全管理納入企業(yè)管理考核范疇,集團(tuán)公司制定統(tǒng)一的安全標(biāo)準(zhǔn),下屬企業(yè)嚴(yán)格執(zhí)行,加強(qiáng)監(jiān)督及檢查,建立每年的信息安全常態(tài)化巡查和改進(jìn)機(jī)制。
四、構(gòu)建了基于云邊端一體化的sec3信息安全技術(shù)標(biāo)準(zhǔn)體系
中信泰富特鋼集團(tuán)基于云邊端一體化的信息安全技術(shù)架構(gòu),強(qiáng)化云邊、云網(wǎng)、云管能力,通過云邊端協(xié)同,構(gòu)建融合開放、高效可靠的標(biāo)準(zhǔn)技術(shù)平臺,推動企業(yè)信息安全技術(shù)管控水平提升,以網(wǎng)絡(luò)態(tài)勢感知、一體化運(yùn)維監(jiān)管、網(wǎng)絡(luò)準(zhǔn)入控制、數(shù)據(jù)安全防護(hù)為核心開展“智能制造+安全防護(hù)”應(yīng)用示范。
五、多措并舉,構(gòu)建特鋼行業(yè)集團(tuán)式信息安全技術(shù)架構(gòu)
中信泰富特鋼集團(tuán)在現(xiàn)有機(jī)房內(nèi)搭建虛擬化私有云基本架構(gòu),進(jìn)行小規(guī)模部署,利用VMware vSphere建設(shè)私有云平臺,實(shí)現(xiàn)整體架構(gòu)虛擬化,通過vCenter統(tǒng)一集中管理,使用云計算技術(shù)實(shí)現(xiàn)計算資源虛擬化、存儲資源虛擬化。同時對老舊主機(jī)平臺進(jìn)行技術(shù)遷移,保障核心業(yè)務(wù)更高效穩(wěn)定的運(yùn)行,減少了重復(fù)投資升級設(shè)備的惡性循環(huán)。根據(jù)集團(tuán)核心技術(shù)資料集中統(tǒng)一存放的保密管理要求,建設(shè)完成云桌面應(yīng)用,覆蓋300余名研究院高級技術(shù)人員,所有數(shù)據(jù)集中存放在企業(yè)內(nèi)部云平臺,本地?zé)o任何數(shù)據(jù),數(shù)據(jù)加密無法拷貝、刻錄等,從技術(shù)上有效的加強(qiáng)了信息安全防護(hù)。主要創(chuàng)新為:
建設(shè)以安全監(jiān)測控制平臺為中心、以威脅情報為驅(qū)動、以終端協(xié)同聯(lián)動為基礎(chǔ)的信息安全防護(hù)體系架構(gòu),實(shí)現(xiàn)對工控網(wǎng)絡(luò)、設(shè)備、主機(jī)的安全防護(hù)能力,同時基于威脅情報技術(shù)對系統(tǒng)通信數(shù)據(jù)和全日志進(jìn)行快速、自動化地關(guān)聯(lián)分析,實(shí)時發(fā)現(xiàn)辦公和生產(chǎn)網(wǎng)絡(luò)異常和威脅,利用可視化技術(shù)展現(xiàn)威脅和異常的總體安全態(tài)勢,通過對告警和應(yīng)急響應(yīng)的自動化發(fā)布、跟蹤和管理,實(shí)現(xiàn)安全風(fēng)險的閉環(huán)管理。
建立統(tǒng)一、集成的大數(shù)據(jù)運(yùn)維分析平臺。通過架構(gòu)的靈活可擴(kuò)展性,對各類服務(wù)器、網(wǎng)絡(luò)設(shè)備等接入管控,實(shí)現(xiàn)集團(tuán)化管控下的統(tǒng)一門戶、統(tǒng)一告警、統(tǒng)一資源、統(tǒng)一流程引擎,統(tǒng)一知識管理的能力,對集團(tuán)總部與各下屬企業(yè)的設(shè)備進(jìn)行集中監(jiān)管,極大提高運(yùn)維效率。集團(tuán)通過一體化監(jiān)管平臺建設(shè),實(shí)現(xiàn)IT運(yùn)維向自動化、數(shù)智化、集中化轉(zhuǎn)變。通過技術(shù)管控的各個領(lǐng)域,包括監(jiān)、管、控、服、安全、大數(shù)據(jù)及人工智能等方面。
六、基于云邊端頂層設(shè)計架構(gòu)、信息安全助力智能化管控平臺
基于工業(yè)互聯(lián)網(wǎng)平臺云邊端頂層設(shè)計架構(gòu),覆蓋煉鐵產(chǎn)線的各工序單元,建立自動化、信息化、網(wǎng)絡(luò)化、智能化的鐵前一體化的智能管控平臺。設(shè)備端基于物聯(lián)網(wǎng)和自控系統(tǒng)的升級改造,實(shí)現(xiàn)安全動態(tài)感知精準(zhǔn)控制;在邊緣智能端構(gòu)建單元智能管理系統(tǒng),實(shí)現(xiàn)各單元系統(tǒng)的工況智能診斷及優(yōu)化;在云端基于IaaS、PaaS和SaaS架構(gòu)搭建煉鐵大數(shù)據(jù)平臺,實(shí)現(xiàn)煉鐵現(xiàn)場多源設(shè)備和異構(gòu)系統(tǒng)的集成,打破數(shù)據(jù)“孤島”。
在建設(shè)過程中對大煉鐵產(chǎn)線L1-L2自動化系統(tǒng)進(jìn)行升級改造,同時在此基礎(chǔ)上綜合運(yùn)用“物、大、智、云、移”技術(shù)進(jìn)行煉鐵產(chǎn)線智能化建設(shè),總體采用云邊端的工業(yè)互聯(lián)網(wǎng)新型架構(gòu)進(jìn)行功能頂層設(shè)計以及架構(gòu)頂層設(shè)計。
信息安全實(shí)踐基于集團(tuán)級煉鐵大數(shù)據(jù)智能互聯(lián)平臺建設(shè)實(shí)現(xiàn)煉鐵智能制造,在智能制造的“物聯(lián)網(wǎng)、大數(shù)據(jù)、智能模型、云計算及移動互聯(lián)”五大核心中落實(shí)保障。
首先要依據(jù)現(xiàn)有基礎(chǔ)硬件檢測條件進(jìn)一步完善工業(yè)傳感器及物聯(lián)網(wǎng)建設(shè)以實(shí)現(xiàn)煉鐵產(chǎn)線核心設(shè)備的“自感知”,建立煉鐵產(chǎn)線大數(shù)據(jù)信息的采集、清洗、轉(zhuǎn)換和存儲,進(jìn)一步保障煉鐵產(chǎn)線數(shù)據(jù)中心的全生命周期數(shù)據(jù)安全實(shí)時監(jiān)管。
其次網(wǎng)絡(luò)多維度安全接入,在煉鐵廠數(shù)據(jù)中心部署防火墻安全接入企業(yè)局域網(wǎng),在內(nèi)網(wǎng)的計算機(jī)受控訪問監(jiān)控系統(tǒng);建立內(nèi)部可信無線網(wǎng)絡(luò),使用煉鐵移動工廠APP實(shí)現(xiàn)移動互聯(lián);通過VPN網(wǎng)絡(luò)接入行業(yè)級煉鐵大數(shù)據(jù)綜合平臺,實(shí)現(xiàn)遠(yuǎn)程工況診斷、對標(biāo)和“云服務(wù)”。
最終通過在以高爐為中心的大煉鐵產(chǎn)線高耗能設(shè)備上加裝設(shè)備狀態(tài)監(jiān)測系統(tǒng),在云端開展對煉鐵產(chǎn)線核心設(shè)備實(shí)現(xiàn)云端協(xié)同的設(shè)備狀態(tài)監(jiān)測對監(jiān)測數(shù)據(jù)進(jìn)行分析,實(shí)現(xiàn)故障診斷、零部件壽命預(yù)測,優(yōu)化維修資源和備件庫存,實(shí)現(xiàn)高耗能設(shè)備的預(yù)測性維護(hù),從而降低設(shè)備全生命周期的運(yùn)行成本,為企業(yè)的設(shè)備安全提供保障。
七、落實(shí)安全防護(hù)架構(gòu),態(tài)勢感知加強(qiáng)工業(yè)控制安全
結(jié)合工信部的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《等保2.0》的相關(guān)技術(shù)要求,以垂直分層、水平分區(qū)、邊界控制、安全監(jiān)測、全局管理為總體策略。在集團(tuán)工業(yè)控制系統(tǒng)首先從運(yùn)行環(huán)境上通過管理手段和技術(shù)措施進(jìn)行安全加固,再通過對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)邊界隔離、分區(qū)分域、主機(jī)防護(hù)、流量監(jiān)測審計、入侵檢測、安全運(yùn)維、統(tǒng)一管理上進(jìn)行安全防護(hù)。
邊界隔離,網(wǎng)絡(luò)分層,依托MPLS專線建立集團(tuán)內(nèi)部網(wǎng)絡(luò)互聯(lián),通過新一代防火墻建立邊界防護(hù),網(wǎng)絡(luò)傳輸QOS保護(hù),數(shù)據(jù)分類傳輸。工控防火墻主要部署在L2交換機(jī)、Scada交換機(jī)、生產(chǎn)應(yīng)用服務(wù)器等產(chǎn)線網(wǎng)絡(luò)邊界,部署工控防火墻的目的和作用主要是對生產(chǎn)網(wǎng)工控系統(tǒng)進(jìn)行邏輯隔離、訪問控制和入侵防范;防止來自外部網(wǎng)絡(luò)的病毒入侵到工控網(wǎng)絡(luò)中,對工控設(shè)備造成危害;阻止網(wǎng)絡(luò)攻擊在不同區(qū)域間滲透,阻止蠕蟲病毒網(wǎng)絡(luò)間的傳播感染;對MIS系統(tǒng)、Scada、PLC等工業(yè)控制系統(tǒng)進(jìn)行有效的安全保護(hù)。
邊緣計算:態(tài)勢感知探針系統(tǒng)以旁路部署在網(wǎng)絡(luò)安全管理中心,通過在交換機(jī)上配置端口鏡像,將流量復(fù)制到工控監(jiān)測審計設(shè)備??梢詫た鼐W(wǎng)絡(luò)中的工業(yè)協(xié)議(包含不限于Modbus、S7、IEC104、IEC61850、OPC、EtherNet/IP、DNP3、FINS等等)、通用協(xié)議進(jìn)行深度包檢測(DPI),發(fā)現(xiàn)協(xié)議承載的網(wǎng)絡(luò)攻擊、惡意控制、參數(shù)篡改、異常訪問、病毒傳播等入侵及異常行為,同時對關(guān)鍵操作、用戶誤操作進(jìn)行有效識別和記錄,最后通過本地安全可視化日志中心,對發(fā)生的攻擊事件、流量異常事件、病毒事件等進(jìn)行有效分析,為工控安全事件調(diào)查提供依據(jù)。以態(tài)勢感知多探針節(jié)點(diǎn)的邊緣數(shù)據(jù)分析,基于有攻擊就有流量的特點(diǎn)通過態(tài)勢感知實(shí)現(xiàn)外網(wǎng)、內(nèi)網(wǎng)全面的安全檢測,有效識別來自外網(wǎng)及內(nèi)網(wǎng)的安全風(fēng)險,并直觀的展現(xiàn)在界面上,實(shí)時了解網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全差誤,有效提升管理效率、降低運(yùn)維成本,讓安全可感知,安全易運(yùn)營。
安全態(tài)勢感知平臺從數(shù)據(jù)分析出發(fā),通過數(shù)據(jù)分析、信息建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、連續(xù)性監(jiān)控、價值分析、風(fēng)險和影響性分析、可視化等各個環(huán)節(jié),采用主動、被動相結(jié)合的方法采集來自單位和組織中構(gòu)成信息系統(tǒng)的各種IT資源的安全信息,通過多維度和指標(biāo)化的形式來呈現(xiàn)全網(wǎng)整體安全運(yùn)行態(tài)勢和資產(chǎn)、漏洞、攻擊以及管理等專題態(tài)勢,并進(jìn)行可視化展示,幫助防御人員輔助決策和運(yùn)維指導(dǎo),形成網(wǎng)絡(luò)事前防范、事中監(jiān)控、事后追溯的閉環(huán)安全運(yùn)行管理體系。
中信泰富特鋼集團(tuán)通過該“云邊端一體化管控操全流程”信息安全體系探索與實(shí)踐,實(shí)現(xiàn)了六大管理成果,間接創(chuàng)效約2.76億元。
1.落實(shí)社會責(zé)任,獲得BSI的27001國際認(rèn)證證書。
中信泰富特鋼集團(tuán)構(gòu)建了基于云邊端一體化的、全方位全流程信息安全技術(shù)架構(gòu)體系,具有一定的先進(jìn)性、典范性。通過風(fēng)險評估,落實(shí)社會責(zé)任,保障了大型央企上市公司企業(yè)經(jīng)營活動的信息安全。落實(shí)體系建設(shè),通過了ISO27001信息安全管理體系認(rèn)證,獲得了英國標(biāo)準(zhǔn)協(xié)會BSI頒發(fā)的國際認(rèn)證證書,為集團(tuán)數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)建設(shè)的發(fā)展奠定了良好的基礎(chǔ)。
2.統(tǒng)一了制度規(guī)范和安全標(biāo)準(zhǔn),實(shí)現(xiàn)了五大信息安全管理目標(biāo)。
集團(tuán)信息安全頂層規(guī)劃和集團(tuán)發(fā)展戰(zhàn)略相融合。各企業(yè)管理、制度承接融合,一總部多基地協(xié)同、密切建設(shè)信息安全組織和決策體系,制定了集團(tuán)“全員參與、嚴(yán)控風(fēng)險、綜合防范、永續(xù)經(jīng)營”的信息安全管理總體方針,統(tǒng)一了制度規(guī)范和安全標(biāo)準(zhǔn),實(shí)現(xiàn)了五大信息安全管理目標(biāo)。
3.自主研發(fā)鋼鐵行業(yè)上市公司第一個風(fēng)控平臺,規(guī)范信息披露。
中信泰富特鋼集團(tuán)結(jié)合特鋼行業(yè)特性,建立了鋼鐵行業(yè)上市公司第一個風(fēng)險內(nèi)部控制管理等多個信息安全風(fēng)險管控平臺、將信息安全防護(hù)技術(shù)綜合應(yīng)用在企業(yè)生產(chǎn)、運(yùn)營的各個方面,形成了一套完整的、可操作的、可復(fù)制推廣的一攬子信息安全風(fēng)險解決方案。為規(guī)范上市公司信息安全風(fēng)險管控,規(guī)范信息披露起到了良好的帶頭示范作用。
4.核心研發(fā)數(shù)據(jù)安全管理新模式。
在特鋼技術(shù)研究院落實(shí)信息安全管理新模式,創(chuàng)新使用云桌面應(yīng)用,覆蓋300余名研究院高級技術(shù)人員,從管理和技術(shù)上有效的加強(qiáng)了信息安全防護(hù)。
5.建立鋼鐵智造業(yè)工控安全成熟度模型,榮獲工信部“2021年新一代信息技術(shù)與制造業(yè)融合發(fā)展試點(diǎn)示范”。
積極推動智能制造和信息安全深度融合、申報國家省市及鋼鐵行業(yè)等的智能制造示范項(xiàng)目、解決方案評選。獲得專利6項(xiàng)、軟著14項(xiàng)、起草6項(xiàng)標(biāo)準(zhǔn)、收獲榮譽(yù)28項(xiàng),發(fā)布:《鋼鐵行業(yè) 數(shù)字化工廠網(wǎng)絡(luò)安全要求》。
6.可視化展現(xiàn)安全態(tài)勢,實(shí)現(xiàn)了安全風(fēng)險的閉環(huán)管理。
在中信泰富特鋼信息化整體改造中,以該管理新模式為導(dǎo)向,構(gòu)建全新的信息化整體升級方案,可視化展現(xiàn)威脅和異常的總體安全態(tài)勢,實(shí)現(xiàn)了安全風(fēng)險的閉環(huán)管理。事前有防范,實(shí)現(xiàn)了對IT資源運(yùn)行狀態(tài)實(shí)時監(jiān)控,故障實(shí)時告警。事中有應(yīng)對,根據(jù)設(shè)備在全網(wǎng)拓?fù)渲械奈恢?,快速分析故障影響范圍。從而采取有效解決方案,提升運(yùn)維效率。事后有追溯,建設(shè)完成中信泰富特鋼集團(tuán)一體化運(yùn)維平臺,提供服務(wù)器、交換機(jī),操作系統(tǒng),應(yīng)用等歷史性能數(shù)據(jù)、告警數(shù)據(jù)、設(shè)備日志事件記錄,為故障定位提供全方位參考。
