作为全球500家大公司排名中位居第13位,世界50家大石油公司综合排名中位居第5位的中国石油天然气集团公司,对信息安全建设的重视程度,是不言自明的。随着网络技术和信息技术的迅猛发展,企业对信息化的依赖性越来越强,信息安全也直接和企业生产系统的运行及发展息息相关。因此,中国石油集团从安全建设现状、安全隐患、建设目标与建设原则,根据"三步走"战略,来实现全集团的信息安全等级保护。
第一步:携手北京亿赛通,依据《信息安全等级管理保护办法》全面分析集团信息安全建设现状,找出当前信息安全建设的脆弱点。
北京亿赛通是中国成立较早的信息安全系统生产商和信息安全咨询服务机构,为政府、军队、军工和众多大型中央企业提供信息安全咨询,成功案例包括中国外交部、二炮部队、酒泉卫星发射中心、中国移动集团等。亿赛通与北航软件学院联合成立的北航信息安全研究所,拥有多年信息安全咨询和服务经历,具备大型企业集团信息安全测评和咨询服务能力。
亿赛通严格遵循国家信息安全等级保护的基本要求,依据中石油信息安全建设现状,总结经验,继续深化等级保护建设的整改、测评和监督检查工作,确保公司信息安全工作的系统性、安全性、实用性、创新性和全面性。从边界、网络、主机、应用、数据和管理等多方面实现纵深防御,按照"统一组织,全面覆盖"的原则,提出有中石油特色的信息安全等级保护纵深防御体系。
经过综合测评与考察发现,在传统的边界保护理论下,中石油的信息安全建设主要还是通过防火墙、杀毒软件、IPS/IDS等方式把信息隔离在一个相对封闭的环境,如同为信息筑起一道高围墙,防止外部入侵也防止内部泄露。然后,随着信息化进程的演变,"围墙式"保护措施阻碍了信息的有效流动,对于企业内部之间和内外之间的信息交互制造了巨大的障碍。而且,一旦围墙被攻破,信息安全性就完全得不到保障。
因此,亿赛通认为,中石油当前的信息安全建设重点,在于建立完善的数据泄露防护(DLP)体系,采用等级保护思想,对核心信息分类、分级进行加密,实现有针对性的、细粒度的控制,全面防止数据泄露。
第二步:以中国石油集团石油规划设计总院为试点,部署"亿赛通数据泄露防护(DLP)"体系,保护企业文档和数据安全,防止数据泄露。
2010年6月,经过长达一年的考察、测试和选型,中石油决定在其石油规划设计总院为试点单位,全面部署亿赛通数据泄露防护(DLP)体系。经过两个月时间的实施,中国石油集团石油规划设计总院"数据泄露防护(DLP)工程"实施完毕。该项目示意图如下:
方案说明:
1.文档安全网关FilenetSec--对服务器和数据库的数据加密保护
2.文档安全管理系统CDG--对内部网络终端文件采用透明加密和权限管理
3.文档外发管理ODM--对外发布信息的可控安全保护
4.脱机管理--对外出人员的办公设备进行加密管理
5.磁盘全盘加密系统DiskSec--对移动设备进行加密保护
6.设备安全管理系统DeviceSec--对移动U盘、硬盘和内部网络端口保护
7.日志审计--全方位追踪操作记录
第三步:以"中石油集团石油规划设计总院DLP工程"为示范工程,向中石油全集团推广应用,全面保护中石油集团文档和数据安全。
经过国家相关单位组织验收,中石油集团石油规划设计总院DLP工程具备高度的科学性和前瞻性,对各终端主机、服务器、数据库、工作站、笔记本电脑、移动存储设备和外发文档都能做到加密保护,能有效实现该院核心数据和文档安全。该工程被推荐参加国资委信息化标杆工程的评选。
经过集团决议,中国石油集团将以中石油集团石油规划设计总院DLP为样板工程,在全集团内实施亿赛通数据泄露防护(DLP)体系,以实现全集团文档和数据安全。
【编辑推荐】