作為央企,鞍鋼集團高度重視網絡安全工作,多年來認真貫徹國家網絡安全法及全國網信工作會議精神,建成了獨具特色的“基礎+技術+機制”三位一體網絡安全防護體系,為企業網絡安全提供了重要保障。與此同時,各子企業成立了以負責人為組長的網絡安全領導小組,紛紛加大網絡安全的防護力度,規范網絡行為,筑牢了鞍鋼網絡安全“防火墻”,讓鞍鋼集團的網絡空間既充滿活力又安全清朗。
打牢基礎 筑實地基
患生于所忽,禍起于細微。沒有意識到風險是最大的風險。網絡時代,風險往往隱于鍵盤之上,藏于鼠標之間。為切實打牢鞍鋼網絡安全基礎,鞍鋼集團積極構建廣域網,通過重新規劃廣域網IP地址,制定了廣域網接入標準,實現各園區網分期分批安全接入,并同步構建了統一網絡邊界安全防護體系。通過廣域網建設、邊界安全防護,實現了鞍鋼集團與區域公司、板塊公司及相關直屬機構網絡安全互通,有效支撐集團信息化全面覆蓋,減少重復投入,實現資源共享和業務整合。其中,鞍山鋼鐵通過測評整改增加防火墻、入網規范管理等安全防護措施,有效提高信息系統安全整體水平;攀鋼對主干網結構進行優化調整,按區域統一互聯網出口,并對網絡邊界進行加固和安全設備升級;鞍鋼礦業公司開展網絡整頓,對外網用戶進行實名制登記,并對全網終端進行安全篩查,規范網絡接入。
面對各單位機房管理水平不同的實際情況,為提升數據安全及災備能力,2017年起,鞍鋼集團開展數據中心遷移和集中管理,并陸續完成集團總部、鞍山鋼鐵(部分)、財務共享、財務公司(公積金)、招標公司系統向鞍鋼數據中心遷移工作,實現了管理集中,并通過災備演練驗證災備系統可用性及災難恢復預案合理性,整體提升了數據中心和系統的安全性、可靠性、先進性、實用性和經濟性。
技術是解決安全的密鑰
2018年起,鞍鋼集團通過互聯網電子郵件系統專項整治,整體提升了集團企業郵箱安全服務能力。提升后不僅使用更加便捷,而且還有著更加硬核的內涵——這是鞍鋼與國家信息中心安全郵件合作,委托國家電子政務外網管理中心進行集中安全防護的集體郵箱。鞍鋼集團管理與信息化部相關人員告訴記者,統一的郵箱不僅減輕了各單位日常維護壓力,更提升了用戶使用體驗和郵件安全防護能力。
“網絡安全和信息化是一體之兩翼、驅動之雙輪。”近年來,網絡安全新興技術在鞍鋼集團不斷涌現,鞍鋼集團的防護網正不斷織密。
——組建內部團隊,構建了集團統一終端防病毒體系,并在集團內部分批覆蓋,統一防護策略分發,及時探測并有效保護連接到集團公司信息化網絡的所有計算機系統不受病毒攻擊和感染。在勒索病毒爆發期間,在各級單位積極應對下,全集團未發生一例勒索事件;
——在傳統網絡邊界防御基礎上,全集團通過網絡安全技術的深化應用,增配了威脅感知、防篡改、堡壘機、WAF、VPN、網絡監控等42項防護措施,構建了網絡安全縱深防御體系,以應對多變復雜的網絡環境。通過整合各類安全產品優勢,構建了更為安全的防護體系,真正實現網絡攻擊“進不來”“改不了”“拿不走”“跑不掉”;
——強化移動應用安全防護,對移動辦公軟件等設備啟動移動訪問認證、遠程應用鎖定和數據擦除、數據加密傳輸以及應用安全集成等多種措施,確保移動應用在各個環節的信息安全,滿足國家和鞍鋼集團當前信息系統安全要求。
健全網絡安全管理機制
某快遞3億用戶信息泄漏、僵尸網絡HNS感染物聯網設備、蘋果IOS iBoot源碼泄漏、韓國平昌冬奧會遭黑客攻擊……近幾年,類似的黑客攻擊和個人信息泄露時有發生,網絡安全,牽一發而動全身。
鞍鋼集團將完善網絡安全管理體系作為破題之策。建立網絡安全工作責任制,提出網絡安全各項工作任務和保障措施,制定發布物理安全、網絡安全、操作系統安全、數據庫安全、應用系統安全、數據安全、運行安全等7項信息安全標準,以此指導集團各級單位安全工作開展。
為進一步健全網絡安全管理機制,鞍鋼集團深入貫徹落實國家等級保護工作和集團信息系統安全制度要求,組織推進集團總部及各子企業開展信息系統等級保護工作。同時,搭建監控及預警平臺,實現了網絡及所有聯網設備和系統的實時監控,大幅提升了運維點檢效率,增強了應急響應能力。采用專項檢查與全面檢查相結合的方式,對鞍鋼集團現有網絡安全設備運行情況、互聯網應用安全等方面進行網絡安全監督檢查,并組織專業技術團隊定期對重要應用系統開展滲透測試檢查,模擬真實攻擊發現中、高危風險并加以整改,有效提升系統安全防護能力。
“網絡空間的競爭,歸根結底是人才的競爭。”為從根本上提升鞍鋼集團網絡安全和信息化水平,他們強化信息安全管理和技術培訓,并通過與專業公司交流與合作,以及開展網絡安全周、培訓宣傳等多種形式的活動,有效提升職工的網絡安全意識,培養網絡安全和信息化人才隊伍,減少信息泄密和錯誤造成的企業損失,進一步增強市場競爭力,提高產品及服務品質,降低法律風險。
據了解,自投用以來,鞍鋼集團信息化關鍵基礎設施和重要信息系統始終處于安全穩定運行,未發生過重大及以上網絡安全事件,曾連續兩年順利通過遼寧省網絡攻防實戰演習,得到認可,切實保障了企業、職工、客戶的根本利益。