作为央企,鞍钢集团高度重视网络安全工作,多年来认真贯彻国家网络安全法及全国网信工作会议精神,建成了独具特色的“基础+技术+机制”三位一体网络安全防护体系,为企业网络安全提供了重要保障。与此同时,各子企业成立了以负责人为组长的网络安全领导小组,纷纷加大网络安全的防护力度,规范网络行为,筑牢了鞍钢网络安全“防火墙”,让鞍钢集团的网络空间既充满活力又安全清朗。
打牢基础 筑实地基
患生于所忽,祸起于细微。没有意识到风险是最大的风险。网络时代,风险往往隐于键盘之上,藏于鼠标之间。为切实打牢鞍钢网络安全基础,鞍钢集团积极构建广域网,通过重新规划广域网IP地址,制定了广域网接入标准,实现各园区网分期分批安全接入,并同步构建了统一网络边界安全防护体系。通过广域网建设、边界安全防护,实现了鞍钢集团与区域公司、板块公司及相关直属机构网络安全互通,有效支撑集团信息化全面覆盖,减少重复投入,实现资源共享和业务整合。其中,鞍山钢铁通过测评整改增加防火墙、入网规范管理等安全防护措施,有效提高信息系统安全整体水平;攀钢对主干网结构进行优化调整,按区域统一互联网出口,并对网络边界进行加固和安全设备升级;鞍钢矿业公司开展网络整顿,对外网用户进行实名制登记,并对全网终端进行安全筛查,规范网络接入。
面对各单位机房管理水平不同的实际情况,为提升数据安全及灾备能力,2017年起,鞍钢集团开展数据中心迁移和集中管理,并陆续完成集团总部、鞍山钢铁(部分)、财务共享、财务公司(公积金)、招标公司系统向鞍钢数据中心迁移工作,实现了管理集中,并通过灾备演练验证灾备系统可用性及灾难恢复预案合理性,整体提升了数据中心和系统的安全性、可靠性、先进性、实用性和经济性。
技术是解决安全的密钥
2018年起,鞍钢集团通过互联网电子邮件系统专项整治,整体提升了集团企业邮箱安全服务能力。提升后不仅使用更加便捷,而且还有着更加硬核的内涵——这是鞍钢与国家信息中心安全邮件合作,委托国家电子政务外网管理中心进行集中安全防护的集体邮箱。鞍钢集团管理与信息化部相关人员告诉记者,统一的邮箱不仅减轻了各单位日常维护压力,更提升了用户使用体验和邮件安全防护能力。
“网络安全和信息化是一体之两翼、驱动之双轮。”近年来,网络安全新兴技术在鞍钢集团不断涌现,鞍钢集团的防护网正不断织密。
——组建内部团队,构建了集团统一终端防病毒体系,并在集团内部分批覆盖,统一防护策略分发,及时探测并有效保护连接到集团公司信息化网络的所有计算机系统不受病毒攻击和感染。在勒索病毒爆发期间,在各级单位积极应对下,全集团未发生一例勒索事件;
——在传统网络边界防御基础上,全集团通过网络安全技术的深化应用,增配了威胁感知、防篡改、堡垒机、WAF、VPN、网络监控等42项防护措施,构建了网络安全纵深防御体系,以应对多变复杂的网络环境。通过整合各类安全产品优势,构建了更为安全的防护体系,真正实现网络攻击“进不来”“改不了”“拿不走”“跑不掉”;
——强化移动应用安全防护,对移动办公软件等设备启动移动访问认证、远程应用锁定和数据擦除、数据加密传输以及应用安全集成等多种措施,确保移动应用在各个环节的信息安全,满足国家和鞍钢集团当前信息系统安全要求。
健全网络安全管理机制
某快递3亿用户信息泄漏、僵尸网络HNS感染物联网设备、苹果IOS iBoot源码泄漏、韩国平昌冬奥会遭黑客攻击……近几年,类似的黑客攻击和个人信息泄露时有发生,网络安全,牵一发而动全身。
鞍钢集团将完善网络安全管理体系作为破题之策。建立网络安全工作责任制,提出网络安全各项工作任务和保障措施,制定发布物理安全、网络安全、操作系统安全、数据库安全、应用系统安全、数据安全、运行安全等7项信息安全标准,以此指导集团各级单位安全工作开展。
为进一步健全网络安全管理机制,鞍钢集团深入贯彻落实国家等级保护工作和集团信息系统安全制度要求,组织推进集团总部及各子企业开展信息系统等级保护工作。同时,搭建监控及预警平台,实现了网络及所有联网设备和系统的实时监控,大幅提升了运维点检效率,增强了应急响应能力。采用专项检查与全面检查相结合的方式,对鞍钢集团现有网络安全设备运行情况、互联网应用安全等方面进行网络安全监督检查,并组织专业技术团队定期对重要应用系统开展渗透测试检查,模拟真实攻击发现中、高危风险并加以整改,有效提升系统安全防护能力。
“网络空间的竞争,归根结底是人才的竞争。”为从根本上提升鞍钢集团网络安全和信息化水平,他们强化信息安全管理和技术培训,并通过与专业公司交流与合作,以及开展网络安全周、培训宣传等多种形式的活动,有效提升职工的网络安全意识,培养网络安全和信息化人才队伍,减少信息泄密和错误造成的企业损失,进一步增强市场竞争力,提高产品及服务品质,降低法律风险。
据了解,自投用以来,鞍钢集团信息化关键基础设施和重要信息系统始终处于安全稳定运行,未发生过重大及以上网络安全事件,曾连续两年顺利通过辽宁省网络攻防实战演习,得到认可,切实保障了企业、职工、客户的根本利益。