大数据和云计算的概念给整个传统企业带来了更多的机遇与挑战,如何面对这样的这样的数字变化?又要如何在快速升级至互联网+数字化时代的进程中保证网络安全体系,是每一个传统企业需要面临的切实的挑战,今天,我们就采访到中石化信息管理部李剑锋副主任,看看云端之下,中石化如何应对互联网云安全。
1、您认为传统企业如何来应对互联网时代下数字化的变化?这种变化对整个产业又会带有什么样的影响?
面临大数据和云计算概念带来的机遇与挑战,传统企业转型升级压力非常大,从内部来讲通过新技术降低成本是其中一个对策,但是转型升级是多方面的,用信息技术引领是个必然趋势,比如我们的智能工厂,其中一个最近刚被工信部列为国家示范企业,不仅提高了效率,提高了产率又节能环保,效果非常明显。从自动化开始到整个工厂的整体优化,如预知性维修应用在流程业务线,区别于传统维修是在机器坏了以后停产维修,预知性维修通过大数据分析在机器有问题或者快要坏时给出警告,做出预防性维修保障流程业务的持续性。还有更大规模的优化比如原油,由于产地、种类、品质的不同,什么样的原油适合什么样的装置,产油量最多,区别很大。传统做法通过一个装置人工经验掺和配比,非常不科学,不仅原材料浪费很多,能耗浪费多,出来的产品量也少,现在通过智能工厂的优化后,能做到精细化配比,如温度、压力、原油供应种类、原油供应量、供应时间点等,甚至通过大数据分析可以精细控制和预算出产出、成本、能耗、工时等项。
2、近几年网络技术发展的非常快,2014-2015这两年是网络安全事件频发的高峰年,未来的态势有愈演愈烈的势头,您作为中国最大的企业,如何看待网络安全整个问题?
进攻和防御一直以来都是网络安全问题的重点,由于国力的增强,中石化作为国家重点企业被列为攻击对象的目标性就越大,因此我们日常会做很多防护措施。之前由于缺少一个层面的依据、标准支持,无法判断防护措施是否做的达标。之后跟国家专业部门合作,如,公安部、等保中心、国家信息安全测试中心。请他们为我们持续监测、定期检查,即便如此也总会有些问题,但目前尚属于正常范畴,所以我们的网络现在基本上还算处于一个平稳的生产过程中。
3、对于中石化这个中国最大的企业对网络应用和网络安全怎么看?
网络安全对于中石化来讲确实冒出许多新问题,主要由几方面造成。
1、大环境方面:由于国力的增加,平添了些国际上的敌对势力,中石化作为国有企业的领军企业首当其冲会成为攻击的新目标之一;
2、内部来看:由于业务发展需要及十二五规划信息化建设指导,中石化许多的核心业务都在信息系统上通过网络应用管理,也因此网络安全的问题尤其显得突兀。
3、由于传统企业电脑普及发展的速度较快,人的安全意识是个挑战,很多使用习惯并不符合信息化时代所具备的安全意识,所以传统企业对网络安全的需求是很紧迫必要的。
4、从生产层面,由于工控设备的采购由不同部门,不同人员进行,且设备种类繁多,涉及多家厂商,生产及应用系统后期的升级维护常是跨域甚至跨国界操作,由此网络安全问题特别严峻。
5、中石化面临的安全问题是环境特别复杂,其中包括政治级别的信息保密、防范在国有企业中的重要位置成为了被攻击的对象、高于传统安全层次(一般为三层:防范一般黑客,防范有组织犯罪,防范敌对势力)的防范难度。从政治经济形式层面,技术层面到人员管理及安全意识的层面面临的挑战非常多。
4、我们知道习主席提出来的“没有网络安全就没有网络信息化”的概念,很多企业这两年在网络安全这块都非常重视,在网络防护方面中石化都有哪些举措呢?
1、首先是人员的管理,放在第一位,要求专业人员做专业事,持证上岗;
2、第二是信息安全教育培训,分批分级别普及培训,增加安全防护意识;
3、在网络防护手段上采用边界防护(双层防火墙,内层采用国产防火墙,外层采用国外防火墙);网站级的采用国家测评中心24小时持续性监控防护;设备方面采用主机加固方式防护;数据方面采用加密方式防护;在总体管理控制方面,建立中石化的安全运营管理中心(SMCC)对设备进行实时在线监控。
4、在业务方面业务连续性是生产安全的关键因素,为此建立配置了双机热备,异地灾备,双活等方式的灾备系统及设备、系统的高可用性。
5、在技术应用方面,采用网络安全扫描工具定期扫描、双因素认证、用户认证(密钥key、动态密码)等措施保障业务应用安全。这里不得不提的是用了随方的网络安全扫描工具扫描后,发现了很多之前国外产品安检扫描疏漏的问题,比如时区未设置,时间开关没关等。
5、您认为对一个企业而言,在日常工作中,什么样的网络问题是最严重,企业是否有很好的解决办法呢?
引用美国历史上著名的黑客——凯文•米特尼克(Kevin Mitnick)的一句名言:在安全问题上,人是第一位的。所以对一个企业来说,日常工作中,人的安全意识薄弱是最严重的网络安全问题。
这个严重性主要体现在两个方面:
1、当企业采用技术手段防护安全时,工作人员嫌麻烦不愿用;
2、当企业采用技术手段防护安全时,工作人员用了却不按规矩使用;
因此从我们实践中了解,信息安全教育培训非常有必要,通过现场演示安全事件的起因,发生及涉及个人隐私用品的破解,激发被培训人员的安全意识。
6、我们知道网络问题很复杂,很多时候通过人工的方式很难及时准确的找到问题点,也不会很快的把问题及时快速的解决掉,这对企业而言是非常具有风险的。请问李主任,你认为提前发现问题和我们一直所习惯的亡羊补牢式的方式对企业的未来发展有怎样的意义?
由于安全防护系统缺少防护依据,目前业界共同的防护原则是:被防护的系统、设备或平台等具有的价值大于建立防护设施的价值,才去做深入的防护工作,相反则没有重视网络安全防护,导致出问题后亡羊补牢式的去修复,造成不必要的损失。倘若有一部明确的安全防护标准,就可指引企业提前做好防护工作,以免判断失误,防护不当造成不必要的损失。
7、我们之前了解到,中石化曾经跟随方这家公司有过合作,您是如何看待他们关于网络检测这款产品的?他是否对您的工作提供帮助呢?
通过我们的实际使用发现随方的产品能够自动化快速的检测出很多问题,且精细,包括一些国外产品检测不出来的问题,效果非常明显,使得我们的管理工作更加清晰明了,对于网络安全维护人员也是个很好的警醒工具,很实用。
8、我们在上次采访的时候,随方提出了关于“联机检查”的概念,我们知道网络都是动态的,在过去我们从来没有听说过关于网络联机检查的概念,您认为这一概念的提出对企业的价值在什么地方?
联机检查和在线检查原理一样,设备在运行,随时发现各种状况,使网络运营的状态可视化,特别有用,理念有些类似于近些年流行的SDN,用软件去定义网络,可以主动去发现网络安全的问题而不是被动发现,并能解决边界管理的问题。
9、随方提出了一套关于网络环境病例式管理的概念,就是一段事件一检查,每次和上一次的检查作对比,就能起到随时了解网络状态,随时发现问题的目的。这在网络安全领域是一个很新的概念,这其实跟我们每年去医院做体检是一个概念,请问李主任,您觉得“病例式”管理对于企业是否有意义,对企业的网络安全管理是否有价值。
“病例式”管理这个理念很好,其实传统网络管理也有这方面的工作,建立的专门的运维平台针对主要的设备,主要的网段,发生的网络事件都有一个历史的跟踪、展示,只是积累的数据没有加以分析、跟踪、应用。建立病例式管理是非常有价值的,大数据的挖掘和应用是接下来的一大课题。
中国石油化工集团公司是国家在原中国石油化工总公司基础上重组成立的特大型石油石化企业集团,是国家独资设立的国有公司、国家授权投资的机构和国家控股公司。总部设在北京。
北京随方信息技术有限公司为信息安全测评联盟企业会员,经过多年研发出针对网络设备和安全设备进行自动化合规性检测平台系统,至今,产品得到了包括公安部信息安全等级保护评估汇总新在内的多个国家权威机构的认可,其与世纪互联蓝云开展的“蓝云在线检测平台”为广大用户提供了更方便、快捷、和准确的网络安全检测服务,并快速锁定问题分类分析,给出修改建议。覆盖国内外知名网络设备厂商,轻松实现网络安全可视化,随方人致力于网络安全,其使命就是:让网络真正安全!
