中信泰富特钢集团股份有限公司(000708.S2),是中国中信股份有限公司下属企业,集团旗下江阴兴澄特种钢铁有限公司、大治特殊钢有限公司、青岛特殊钢铁有限公司、靖江特殊钢有限公司、铜陵泰富特种材料有限公司、扬州泰富特种材料有限公司、泰富特钢悬架有限公司和浙江泰富无缝钢管有限公司,形成了沿海沿江产业链的战略布局。中信泰富特钢具备年产1400多万吨特殊钢生产能力,工艺技术和装备具备世界先进水平,是目前全球钢种覆盖面大、涵盖品种全、产品类别多的精品特殊钢生产基地。
中信泰富特钢集团坚持科技进步与技术创新,在管理上不断完善体系建设,在践行“中国制造2025”战略过程中,积极推动互联网+、智能制造及数字化转型。中信泰富特钢集团发挥多技术融合优势,构建大数据智慧、融合的云边端协同架构,打造跨云数据中心、跨边缘节点、跨终端的一栈智能平台,从管控操全流程强化全过程管控,构筑多维度智能化安全管控体系。形成了一套适用于大型集团化企业的信息安全管理新模式。通过“中国制造2025”和“十四五规划”的国家战略为指引,结合中信集团十四五数字化发展规划,强化整合、协同、拓展三大抓手,围绕基础架构升级、管理方式优化、防护模式变革、技术赋能等多方面构筑“云边端”一体化的多维度适应性信息安全管控新体系。
一、建立“1+N”的集团化信息安全管理体系
中信泰富特钢集团信息安全顶层规划和集团发展战略相融合,集团总部率先认证ISO27001信息安全管理体系,兴澄特钢、大冶特钢、青岛特钢三大核心下属企业多点承接认证该体系,管理、制度承接融合,一总部多基地协同、密切建设信息安全组织和决策体系,制定集团“全员参与、严控风险、综合防范、永续经营”的信息安全管理总体方针,统一制度规范和安全标准。
二、大型钢铁集团化企业率先认证ISO27001信息安全管理体系
中信泰富特钢集团作为大型钢铁集团化企业多举措技术支撑,率先认证ISO27001信息安全管理体系。建立、实施、运行、监视、评审、保持和改进ISO27001信息安全管理体系,制定集团“全员参与、严控风险、综合防范、永续经营”的信息安全管理总体方针,明确五大管理目标,成立信息安全管理组织。全面梳理信息资产,对信息安全风险进行有效管理,确保信息安全管理体系的持续改进和有效性,在九个方向落实安全管理。
1.资产分类与管理――对于信息技术有关的资产进行分类,加强与信息技术有关的资产分类管理,并对这些资产就价值和重要性进行分类标识和保护,通过文档加密系统对信息资产进行加密管理。
2.人力资源安全――全员签署保密协议,加强对工作人员信息安全培训与教育,建立信息安全领小组和工作协同小组,提高员工安全防范意识,减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。
3.物理和环境安全――分析安全威胁来源,划分物理安全区域,云化提升加强对服务器与用户桌面计算机的保护,防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁,并制定计算机设备引进、日常运行、销毁处理程序和办法。
4.通信与操作管理――通过堡垒机覆盖应用系统日常运营和维护程序、网络管理、存储介质管理;通过态势感知防恶意软件攻击;通过Veeam实现系统和数据备份与恢复管理、通过数据总线对信息交换管理等,确保信息处理设施正确和安全运行。
5.访问控制――定义用户权限控制策略,规范管理用户存取过程,通过防火墙和网络准入系统实现应用系统及终端设备的访问接入控制。
6.系统的获取、开发和维护――明确应用系统安全需求,使用SSL证书传输数据认证;确定加密控制办法,落实文档加密管控;通过堡垒机,确定开发和支持过程的安全管理。确保将安全纳入信息系统的整个生命周期。
7.信息安全事件管理――建立安全事件发生后应急管理制度和上报机制。
8.业务持续性管理――制定业务持续性管理制度,对业务持续性和影响过程分析;制定业务持续性计划,定期测试、维护、演练、重新评估,并保护关键的业务过程免受重大故障或灾难的影响。
9.法律法规符合性――识别现有适用的法律法规,制定个人信息隐私保护政策;通过终端准入系统,监测使用合法的、正版的系统软件与应用软件,加强计算机安全审计,保障技术和安全策略的合规性。落实《网络安全法》、《个人信息保护法》、《数据安全法》的自查自纠。
三、建立常态化的集团式巡查机制
中信泰富特钢集团信息安全体系建设坚持统一为原则。集团总部和各下属企业信息安全体系统一规划、统一标准、统一建设、统一管理。同时将信息安全管理纳入企业管理考核范畴,集团公司制定统一的安全标准,下属企业严格执行,加强监督及检查,建立每年的信息安全常态化巡查和改进机制。
四、构建了基于云边端一体化的sec3信息安全技术标准体系
中信泰富特钢集团基于云边端一体化的信息安全技术架构,强化云边、云网、云管能力,通过云边端协同,构建融合开放、高效可靠的标准技术平台,推动企业信息安全技术管控水平提升,以网络态势感知、一体化运维监管、网络准入控制、数据安全防护为核心开展“智能制造+安全防护”应用示范。
五、多措并举,构建特钢行业集团式信息安全技术架构
中信泰富特钢集团在现有机房内搭建虚拟化私有云基本架构,进行小规模部署,利用VMware vSphere建设私有云平台,实现整体架构虚拟化,通过vCenter统一集中管理,使用云计算技术实现计算资源虚拟化、存储资源虚拟化。同时对老旧主机平台进行技术迁移,保障核心业务更高效稳定的运行,减少了重复投资升级设备的恶性循环。根据集团核心技术资料集中统一存放的保密管理要求,建设完成云桌面应用,覆盖300余名研究院高级技术人员,所有数据集中存放在企业内部云平台,本地无任何数据,数据加密无法拷贝、刻录等,从技术上有效的加强了信息安全防护。主要创新为:
建设以安全监测控制平台为中心、以威胁情报为驱动、以终端协同联动为基础的信息安全防护体系架构,实现对工控网络、设备、主机的安全防护能力,同时基于威胁情报技术对系统通信数据和全日志进行快速、自动化地关联分析,实时发现办公和生产网络异常和威胁,利用可视化技术展现威胁和异常的总体安全态势,通过对告警和应急响应的自动化发布、跟踪和管理,实现安全风险的闭环管理。
建立统一、集成的大数据运维分析平台。通过架构的灵活可扩展性,对各类服务器、网络设备等接入管控,实现集团化管控下的统一门户、统一告警、统一资源、统一流程引擎,统一知识管理的能力,对集团总部与各下属企业的设备进行集中监管,极大提高运维效率。集团通过一体化监管平台建设,实现IT运维向自动化、数智化、集中化转变。通过技术管控的各个领域,包括监、管、控、服、安全、大数据及人工智能等方面。
六、基于云边端顶层设计架构、信息安全助力智能化管控平台
基于工业互联网平台云边端顶层设计架构,覆盖炼铁产线的各工序单元,建立自动化、信息化、网络化、智能化的铁前一体化的智能管控平台。设备端基于物联网和自控系统的升级改造,实现安全动态感知精准控制;在边缘智能端构建单元智能管理系统,实现各单元系统的工况智能诊断及优化;在云端基于IaaS、PaaS和SaaS架构搭建炼铁大数据平台,实现炼铁现场多源设备和异构系统的集成,打破数据“孤岛”。
在建设过程中对大炼铁产线L1-L2自动化系统进行升级改造,同时在此基础上综合运用“物、大、智、云、移”技术进行炼铁产线智能化建设,总体采用云边端的工业互联网新型架构进行功能顶层设计以及架构顶层设计。
信息安全实践基于集团级炼铁大数据智能互联平台建设实现炼铁智能制造,在智能制造的“物联网、大数据、智能模型、云计算及移动互联”五大核心中落实保障。
首先要依据现有基础硬件检测条件进一步完善工业传感器及物联网建设以实现炼铁产线核心设备的“自感知”,建立炼铁产线大数据信息的采集、清洗、转换和存储,进一步保障炼铁产线数据中心的全生命周期数据安全实时监管。
其次网络多维度安全接入,在炼铁厂数据中心部署防火墙安全接入企业局域网,在内网的计算机受控访问监控系统;建立内部可信无线网络,使用炼铁移动工厂APP实现移动互联;通过VPN网络接入行业级炼铁大数据综合平台,实现远程工况诊断、对标和“云服务”。
最终通过在以高炉为中心的大炼铁产线高耗能设备上加装设备状态监测系统,在云端开展对炼铁产线核心设备实现云端协同的设备状态监测对监测数据进行分析,实现故障诊断、零部件寿命预测,优化维修资源和备件库存,实现高耗能设备的预测性维护,从而降低设备全生命周期的运行成本,为企业的设备安全提供保障。
七、落实安全防护架构,态势感知加强工业控制安全
结合工信部的《工业控制系统信息安全防护指南》、《等保2.0》的相关技术要求,以垂直分层、水平分区、边界控制、安全监测、全局管理为总体策略。在集团工业控制系统首先从运行环境上通过管理手段和技术措施进行安全加固,再通过对工业控制系统的网络边界隔离、分区分域、主机防护、流量监测审计、入侵检测、安全运维、统一管理上进行安全防护。
边界隔离,网络分层,依托MPLS专线建立集团内部网络互联,通过新一代防火墙建立边界防护,网络传输QOS保护,数据分类传输。工控防火墙主要部署在L2交换机、Scada交换机、生产应用服务器等产线网络边界,部署工控防火墙的目的和作用主要是对生产网工控系统进行逻辑隔离、访问控制和入侵防范;防止来自外部网络的病毒入侵到工控网络中,对工控设备造成危害;阻止网络攻击在不同区域间渗透,阻止蠕虫病毒网络间的传播感染;对MIS系统、Scada、PLC等工业控制系统进行有效的安全保护。
边缘计算:态势感知探针系统以旁路部署在网络安全管理中心,通过在交换机上配置端口镜像,将流量复制到工控监测审计设备。可以对工控网络中的工业协议(包含不限于Modbus、S7、IEC104、IEC61850、OPC、EtherNet/IP、DNP3、FINS等等)、通用协议进行深度包检测(DPI),发现协议承载的网络攻击、恶意控制、参数篡改、异常访问、病毒传播等入侵及异常行为,同时对关键操作、用户误操作进行有效识别和记录,最后通过本地安全可视化日志中心,对发生的攻击事件、流量异常事件、病毒事件等进行有效分析,为工控安全事件调查提供依据。以态势感知多探针节点的边缘数据分析,基于有攻击就有流量的特点通过态势感知实现外网、内网全面的安全检测,有效识别来自外网及内网的安全风险,并直观的展现在界面上,实时了解网络和业务系统的安全差误,有效提升管理效率、降低运维成本,让安全可感知,安全易运营。
安全态势感知平台从数据分析出发,通过数据分析、信息建模、面向业务的安全域和资产管理、连续性监控、价值分析、风险和影响性分析、可视化等各个环节,采用主动、被动相结合的方法采集来自单位和组织中构成信息系统的各种IT资源的安全信息,通过多维度和指标化的形式来呈现全网整体安全运行态势和资产、漏洞、攻击以及管理等专题态势,并进行可视化展示,帮助防御人员辅助决策和运维指导,形成网络事前防范、事中监控、事后追溯的闭环安全运行管理体系。
中信泰富特钢集团通过该“云边端一体化管控操全流程”信息安全体系探索与实践,实现了六大管理成果,间接创效约2.76亿元。
1.落实社会责任,获得BSI的27001国际认证证书。
中信泰富特钢集团构建了基于云边端一体化的、全方位全流程信息安全技术架构体系,具有一定的先进性、典范性。通过风险评估,落实社会责任,保障了大型央企上市公司企业经营活动的信息安全。落实体系建设,通过了ISO27001信息安全管理体系认证,获得了英国标准协会BSI颁发的国际认证证书,为集团数字化转型和工业互联网建设的发展奠定了良好的基础。
2.统一了制度规范和安全标准,实现了五大信息安全管理目标。
集团信息安全顶层规划和集团发展战略相融合。各企业管理、制度承接融合,一总部多基地协同、密切建设信息安全组织和决策体系,制定了集团“全员参与、严控风险、综合防范、永续经营”的信息安全管理总体方针,统一了制度规范和安全标准,实现了五大信息安全管理目标。
3.自主研发钢铁行业上市公司第一个风控平台,规范信息披露。
中信泰富特钢集团结合特钢行业特性,建立了钢铁行业上市公司第一个风险内部控制管理等多个信息安全风险管控平台、将信息安全防护技术综合应用在企业生产、运营的各个方面,形成了一套完整的、可操作的、可复制推广的一揽子信息安全风险解决方案。为规范上市公司信息安全风险管控,规范信息披露起到了良好的带头示范作用。
4.核心研发数据安全管理新模式。
在特钢技术研究院落实信息安全管理新模式,创新使用云桌面应用,覆盖300余名研究院高级技术人员,从管理和技术上有效的加强了信息安全防护。
5.建立钢铁智造业工控安全成熟度模型,荣获工信部“2021年新一代信息技术与制造业融合发展试点示范”。
积极推动智能制造和信息安全深度融合、申报国家省市及钢铁行业等的智能制造示范项目、解决方案评选。获得专利6项、软著14项、起草6项标准、收获荣誉28项,发布:《钢铁行业 数字化工厂网络安全要求》。
6.可视化展现安全态势,实现了安全风险的闭环管理。
在中信泰富特钢信息化整体改造中,以该管理新模式为导向,构建全新的信息化整体升级方案,可视化展现威胁和异常的总体安全态势,实现了安全风险的闭环管理。事前有防范,实现了对IT资源运行状态实时监控,故障实时告警。事中有应对,根据设备在全网拓扑中的位置,快速分析故障影响范围。从而采取有效解决方案,提升运维效率。事后有追溯,建设完成中信泰富特钢集团一体化运维平台,提供服务器、交换机,操作系统,应用等历史性能数据、告警数据、设备日志事件记录,为故障定位提供全方位参考。
