信息安全在钢铁企业的应用课件

武汉钢铁（集团）公司科技创新部樊贵先E_mail:fgx@2007年10月信息安全在钢铁企业的应用1信息安全在钢铁企业的应用一、武钢概况二、武钢信息化介绍三、武钢为什么要上信息安全四、武钢信息安全怎么做五、效果六、下一步打算七、结束语2一、武钢概况

武钢是新中国成立后由兴建的第一个特大型钢铁联合企业，于1955年开始建设，1958年9月13日正式投产。武钢是中央和国务院国资委直管的国有重要骨干企业。武钢本部厂区坐落在“九省通衢”的湖北省武汉市东郊，长江南岸，占地面积21.17平方公里。武钢是中国重要的板材生产基地，拥有矿山采掘、炼焦、烧结、冶炼、轧钢及配套公辅设施等一整套先进的钢铁生产工艺设备。在近50年的建设与发展过程中，武钢为中国国民经济和现代化建设作出了重要贡献。到2006年底，武钢累计产钢1.77亿吨，累计实现利税854亿元，其中上缴国家598.92亿元，是国家对武钢投资64.2亿元的9.3倍。3武钢钢铁产品主要有热轧卷板、热轧型钢、热轧重轨、中厚板、冷轧卷板、镀锌板、镀锡板、冷轧取向和无取向硅钢片、彩涂钢板、高速线材等几百个品种。其中，武钢生产的冷轧硅钢片、汽车板、桥梁用钢、管线钢、压力容器钢、集装箱用钢、帘线钢、高性能建筑用钢等“双高”产品和优质名牌产品在国内外市场享有广泛的声誉。此外，武钢还生产焦炭、耐火材料、化工、铁合金、机电、粉末冶金制品、铜硫钴精矿、水渣、氧气、稀有气体等副产品，并对外承担工程建设、机械加工和自动化技术开发等。武钢钢铁主业已经成功实现整体上市，武钢先后实施了鄂钢、柳钢的联合重组，完成了分离企业办社会职能，辅业改制正在积极推进。2005年公司资产总额722亿元（含鄂钢、不含柳钢）。武钢本部现有从业人员73000人，其中钢铁主业16000人。集团现有直属全资子公司20家、控股公司7家、分公司4家、直属厂2家、集体企业2家、上市公司1家；集团公司出资委托二级单位管理的全资子公司12家、控股公司11家。近年来，武钢先后获得国家技术创新奖、全国质量管理奖、全国质量效益型先进企业、全国用户满意先进单位、全国企业管理杰出贡献奖和全国文明单位等荣誉称号。4“十一五”时期，武钢将以科学发展观统领改革与发展全局，坚持以科技为先导，走质量效益型发展道路；坚持外向型发展思路，实施中西南发展战略，在重组和挖潜改造的基础上，到2010年集团公司总体规模达到3000万吨以上，年销售收入达到1000亿元以上，力争进入世界500强行列，努力把武钢建成为中国冷轧硅钢片和汽车板为主的重要板材基地。5一、武钢概况二、武钢信息化介绍三、武钢为什么要上信息安全四、武钢信息安全怎么做五、效果六、下一步打算七、结束语6二、武钢信息化介绍----基础设施武钢计算机网络从９０年代起开始建设，目前有：服务器：252台，计算机：6710台，笔记本：369台，打印机：2759台，扫描仪：165台，复印机：146台，网络交换机：694台，路由器：６３台，光缆铺设５５１公里。厂区互联网上网人数1050人,网络覆盖面积21平方公里,应用程序报表3600个,应用程序14000支,语句1200万条，电子邮件用户3000多人.

7武钢整体产销系统

武钢整体产销资讯系统于1997年4月与台湾中国钢铁股份有限公司合作进行总体规划，1998年2月份完成总体规划。具体实施分两期进行，其中一期工程于2001年2月27日正式开工，2003年1月1日全面上线运行，投资近1.9亿元，集中在IBM大型主机上运行，主要包含六大系统：销售管理系统、技术质量管理系统、生产管理系统、出货管理系统、财务管理系统、信息作业管理系统；8武钢整体产销系统

二期工程于2004年2月27日正式开工，2005年1月1日部分系统上线运行，2005年10月31日全面上线运行，投巨资，集中在IBM大型主机和RS/6000小型机（开放平台）上运行，主要包含九大系统：型线棒产销管理系统、硅钢产销管理系统、储区优化管理系统、客户关系及电子商务管理系统、物流供应链管理系统、设备及工程管理系统、决策支持管理系统、电能无线计量管理系统、信息门户管理系统；配合产销系统一期及二期工程还投资建设了信息系统安全加固工程。其它相关信息化系统还有办公自动化OA、人力资源HR、医疗保险、社会保险、养老保险等系统。

9

武钢整体产销资讯系统总体功能

从企业资源计划(ERP)走向企业供应链管理(SCM)的武钢整体产销资讯管理物流供应链管理销售管理技术质量管理生产管理出货管理财务管理设备及工程管理生产储区优化人力资源管理办公自动化客户关系及电子商务管理二期工程，武钢与中钢合作开发

除硅钢以外板材线（一期工程），武钢与中钢合作开发。方坯、型、线、棒、硅钢材生产线（二期工程），武钢自主开发

除信息系统安全加固由成都三O卫士指导实施外，其它系统均由武钢自主开发信息门户管理信息作业管理信息系统安全加固管理电能无线计量管理企业决策支持管理系统10一、武钢概况二、武钢信息化介绍三、武钢为什么要上信息安全四、武钢信息安全怎么做五、效果六、下一步打算七、结束语11武钢为什么要上信息安全武钢已经花费大量人力、物力、财力建立起基础网络架构和从决策级(L5)、管理级(L4)、车间调度级(L3)、过程控制级(L2)到设备控制级(L1)的五层次产销一体化系统;武钢的业务严重依赖于产销系统，产销系统的一体化使得武钢能够提高效率、降低成本、提高客户满意度从而加强企业的市场竞争力;在武钢信息化水平达到一定高度后,信息安全也被提到了跟信息化水平同样的高度;通过建立完善的信息安全保障体系,目标就是要保障好信息化建设的胜利果实，使产销系统平稳运行，让其发挥其应有的巨大效用，从而持续提高企业的竞争力。12一、武钢概况二、武钢信息化介绍三、武钢为什么要上信息安全四、武钢信息安全怎么做五、效果六、下一步打算七、结束语13武钢信息安全怎么做公司领导对信息安全工作高度重视借助“外脑”，聘请在信息安全领域拥有丰富实践经验的专业公司为顾问

统筹规划,分步实施参照国际、国内信息安全标准(IATF、ISO17799等）进行建设14信息安全调研分析、风险评估武钢信息安全建设历程信息安全规划信息安全加固持续改进信息安全管理体系建设（ISMS）15武钢信息安全建设时间表2004年：武钢信息安全风险评估2004年：武钢信息安全规划2005年：武钢信息安全加固2006年-2007年：武钢主干网与Internet网隔离及安全加固2007年：武钢主干网站点综合防护系统2006年-2007年：武钢信息安全体系（ISMS）国家试点建设16信息安全调研分析、风险评估—04年保障信息安全，从概念到行动，首先要明确安全目标，界定安全边界，进而建立信息安全保障的管理和运行体系，达到融安全管理于日常工作的效果。因此，我们首先与专业机构一起以公司产销系统和骨干网为分析对象，对其进行信息安全调研分析。通过人员的访谈、配置分析等手段，我们弄清了武钢产销系统和骨干网信息系统资产的具体类型、数量以及武钢组织结构、人员职责划分等情况，从而识别出对生产具有重大意义的关键资产、对安全产生影响的组织和人员。然后在安全调研的基础上进行风险评估，以识别出关键资产存在什么脆弱点，什么样的威胁通过什么样的途径可以利用到系统存在的脆弱点，一旦系统的脆弱点被利用，又会造成多大程度的风险。组织目前已经采取什么样的控制措施已防止这些安全事件的发生。17从系统角度识别出的产销系统和骨干网的主要脆弱点：存在多个互联网接口VPN接入没有控制措施对网络接入设备没有控制网络间没有进行访问控制关键服务器没有进行安全加固，存在系统漏洞服务器没有进行安全配置，有多个端口打开防病毒系统不统一，病毒库更新不及时缺少网络异常流量监控措施缺少对入侵行为的检测措施等18从管理角度识别出的脆弱点如下接入单位终端缺乏统一管理与安全控制，接入单位外协开发、维护不规范，各单位的外联控制不到位缺少对软盘、光盘等介质的管理规范缺乏对软件开发、安装、使用的管理，统一的系统上线安全审核机制没有落实人员安全意识不强缺乏安全培训应用系统操作缺乏规范培训缺乏针对病毒与黑客的应急预案等1920通过上述分析，我们识别出目前对武钢产销系统和骨干网影响最大的三个信息安全威胁是：混合型病毒和恶意代码、外部人员通过网络实施对信息系统的入侵攻击、内部人员通过网络的直接入侵和不规范操作。这次评估是武钢首次全面的信息安全资源摸底，领导的重视和大力支持使得本次工作顺利进行，取得了预计的成效，同时也是一次很好信息安全意识和知识的普及教育。为进一步的安全规划和安全加固实施奠定了良好的基础，形成了良好的信息安全氛围。212004年：武钢信息安全风险评估2004年：武钢信息安全规划2005年：武钢信息安全加固2006年-2007年：武钢主干网与Internet网隔离及安全加固2007年：武钢主干网站点综合防护系统2006年-2007年：武钢信息安全体系（ISMS）国家试点建设22信息安全规划---04年我们在安全规划时本着“集中安管、纵深防御、统一规划、分步实施”的设计思想，根据风险评估结论，同时结合武钢信息系统实际情况，参考国际、国家相关标准，提出一套适合武钢公司发展的、先进的安全技术体系结构。规划设计时遵循安全策略中“深度防御战略”的多层防护原则，覆盖武钢信息系统中的主干网、公司级应用、接入单位系统等。23信息安全规划----技术体系24技术安全规划具体内容如下所示：调整公司级服务器部署，提高安全性，增强网络安全保护INTERNET入口防护利用现有设备和新增防火墙进行网络安全域划分与加强访问控制，保护重要单位现有NORTON防病毒软件的功能扩展网络综合监管平台构建（网络设备日志，流量等）微软操作系统补丁分发与更新，漏洞检查公司重要服务器审计公司级重要服务器的安全加固各接入单位重要产线服务器的保护终端配置管理、接入管理25安全规划的成果是我们提出了安全整体策略规划、运行安全规划、技术安全规划三份完整详尽的报告，提出了切实可行的信息安全整体规划。262004年：武钢信息安全风险评估2004年：武钢信息安全规划2005年：武钢信息安全加固2006年-2007年：武钢主干网与Internet网隔离及安全加固2007年：武钢主干网站点综合防护系统2006年-2007年：武钢信息安全体系（ISMS）国家试点建设27信息安全加固---05年公司于2005年1月份正式按照技术安全规划进行了武钢产销系统和骨干网的安全加固工程，各项工作均达到设计目标，目前运行效果良好；系统整体安全水平大大提高。1.网络优化2.SYMANTECSESA事件分析系统3.NETSCREEN防火墙4.NETSCREENIDP系统5.鹰眼网络审计系统6.守望者访问控制系统7.SUS补定更新系统8.主机服务器的加固9.CA网络管理系统10.E盾PC监管系统11.反垃圾邮件系统281.网络优化内容实现路由双核心站点用户访问大型机数据的链路冗余访问INTETNET数据和访问大型机数据的路径分离硅钢、二热轧交换机到INTERNET的流量不经过7507-1路由器，减轻了7507路由器的负载流量压力防止非法路由条目扩散到核心以引起路由冲突（路由过滤和屏蔽功能）封锁部分常用蠕虫病毒端口及封锁发往私有地址空间的数据，保证网络带宽的有效利用限制INTERNET数据流量的速率，减轻INTERNET数据流量对正常业务流量的影响拦截有地址欺骗行为的数据包，有效地抗击DOS攻击，提高网络的健壮性对网络设备本身的安全实施了加固措施并且迁移ZX6509-2交换机充当专用的服务器群交换机29优化前路由结构—单核心轧板……信息大厦机电部三炼钢焦化ZX6509-1InternetZX6509-2IBM小型机群30优化后路由结构—双核心ZX6509-2ZX6509-3Internet……信息大厦机电部三炼钢焦化ZX6509-1轧板31323334352.SYMANTECSESA事件分析系统从现有的防病毒服务器中获取数据进行分析，有病毒排行、中毒机器排行、用户中毒排行等功能，辅助对接入用户进行管理，以及病毒防范行动决策36373.NETSCREEN防火墙的作用控制Dial－up区域CISCO3640路由器拨号用户的接入实施访问控制安全策略以限定访问的主机范围和服务控制VPN1区域华为VPN路由器的接入实施访问控制安全策略以限定访问的主机范围和服务外单位区域（棒材厂）实施访问控制安全策略以限定棒材厂用户访问的内网主机范围和服务控制内网授权用户访问INTERNET实施访问控制安全策略以限定访问的主机范围和服务并实施NAT功能保护SERVER区域OA服务器实施访问控制安全策略以限定能访问的服务(VPN用户经守望者认证后访问OA服务器)保护守望者ACL访问控制系统实施访问控制安全策略以限定访问的主机范围和服务保护CRM系统实施访问控制安全策略以限定访问的主机范围和服务(限定外网用户只能访问CRM服务器映射地址的TCP80端口)移动用户VPN区域的接入区分不同的VPN用户并实施不同的访问控制策略(VPN用户用NETSCREENREMOTE软件采用IPSEC协议加密数据包)38防火墙的功能地址转换地址映射访问控制SITE-TO-SITEVPN移动VPN攻击防护流量日志39404.NETSCREENIDP系统MechanismTypeSignaturesWellknownProtocolAnomalyUnknown,NoPatternBackdoorDetectionInteractiveTrafficAnomalyReconnaissanceNetworkHoneypotScriptkiddiesSpoofDetectionIPSpoofingLayer2DetectionARPAttacksSynFloodDetectionCertain

DoSattacks4142435.鹰眼网络审计系统审计针对OA、HR服务器的HTTP服务启用针对OA、HR服务器的HTTP审计规则审计针对OA、HR服务器的TELNET服务启用针对OA、HR服务器的TELNET审计规则审计针对OA、HR服务器的FTP服务启用针对OA、HR服务器的FTP审计规则44456.守望者访问控制系统对于移动VPN用户访问OA、HR的数据连接进行加密、认证和用户级别的授权46477.SUS补定更新系统及时获得所有已知安全问题的修补程序并把这些修补程序及时分发到所有的客户机对各类可能安全性事件做好了应急计划并能及时应对，将损失降低到最低。48498.主机服务器的加固根据需要加固的内容，消除系统已知的漏洞或降低系统存在的风险加固后，可以加强服务器的抗病毒及防止非法入侵的能力50关键服务器加固的实施方式通过停用某些不必要的服务，消除系统的部分漏洞通过增强服务器的安全配置，提高系统的安全性通过软件升级或者安装补丁，加强系统的安全性采用过渡方式，减小某些存在的风险危害51关键服务器加固前后对比举例529.CA网络管理系统武钢网络资源发现武钢主干网拓扑管理武钢网络性能管理武钢网络设备监控集成Ciscoworks2000535455图形方式显示设备运行状态支持RMONRMONIIMIBII

CISCOMIB56武钢网络设备监控对于武钢网络中的可管理交换机，能够实现:显示端口设备联接状态显示端口速率显示显示交换机端口收发包数量显示端口VLAN划分情况显示端口UP、DOWN状态5710.E盾PC监管系统分级管理：在信息中心设置管理中心，负责制定统一安全策略；各二级单位设立分中心，完成对本单位设备的监管，同时将设备信息上报到监管中心，并且执行由中心下发的安全策略。安全网络防御：系统管理员可以对整个信息系统进行实时侦测。一旦在内部网络中有非法接入，PC机监管管理系统就会立刻发现并做出提示，系统管理员可以直接通过PC机监管系统将其隔离出去，确保该非法主机无法与网络中的任何设备通信。非法外联的监控：在运行PC机监管系统的网络中，当用户使用一机两用的方式非法外连时，监管系统可以立即发现、及时地通知网络管理员并根据设置断开此用户的拨号连接或将其隔离出整个内部网络。防御非法网络监听：PC机监管系统应实时地检测整个网络的情况，当发现网络中这些非法网络监听软件正在运行时，可以自动锁定相关主机，通过相应的安全配置来控制该主机的行动，必要时将其隔离出整个网络，并将当前情况反馈给系统管理员58系统管理：PC机监管系统应可以设置连接在网络中的任何主机的运行时段。对在运行时段中没有运行的主机调用远程开机功能，保证该主机能在工作期间正常运作；当主机在允许的时段之外启动时，监管系统可以调用远程关机的功能将该主机关闭，在第一时间阻止黑客和病毒的入侵。资源管理：能详细列出网络中的所有机器的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬件信息、该计算机所使用的通讯协议以及当前各网络设备的运行情况等各种信息配置管理：PC机监管系统应能自动记录当前网络中发生的所有事件和已经执行的具体操作，并且为审计人员提供了各种方便的查询方式。596011.反垃圾邮件防止垃圾邮件及邮件病毒的进入启用针对SMTP协议相关反垃圾邮件参数61622004年：武钢信息安全风险评估2004年：武钢信息安全规划2005年：武钢信息安全加固2006年-2007年：武钢主干网与Internet网隔离及安全加固2007年：武钢主干网站点综合防护系统2006年-2007年：武钢信息安全体系（ISMS）国家试点建设63武钢INTERNET网和主干网隔离—2006~20072006年10月1日，在全武钢实现生产管理网与互联网的物理隔离。进一步提高武钢内网的安全和信息保密。互联网从内网完全隔离后，主要解决了如下问题：互联网业务从公司生产网上分离之后，大大提高了生产网安全性和运行效率。减少了主干网内的数据包流量，大大减少由于上互联网而感染病毒对系统的侵害。集团公司机关部处室和各个主体厂也能够根据工作需要，合理安排使用互联网这个工具。不影响各单位的上网需求，通过上网专用区形式加强了互联网的网络管理。安装行为审计系统，对上网用户进行上网行为的审计和汇总，对不安全因素及时告警，对有关行为可以追溯。提高了工作效率，职工不再因为上网而影响日常工作，提高了互联网的利用效率。移动用户通过动态令牌双因子认证后，经过SSLVPN加密通道访问OA、HR、CRM等应用，保证了数据的安全访问。64武钢INTERNET网和主干网隔离示意图652004年：武钢信息安全风险评估2004年：武钢信息安全规划2005年：武钢信息安全加固2006年-2007年：武钢主干网与Internet网隔离及安全加固2007年：武钢主干网站点综合防护系统2006年-2007年：武钢信息安全体系（ISMS）国家试点建设66武钢主干网站点综合防护系统---2007年对网络流量的智能分析能力具备对关键网络节点或关键网络链路上网络流量的长期实时监控分析能力提供长期的流量分析报告，长期的流量信息的统计分析能够为网络改造、升级以及应用系统的变更提供决策依据。为网络性能优化提供管理依据。67686970712004年：武钢信息安全风险评估2004年：武钢信息安全规划2005年：武钢信息安全加固2006年-2007年：武钢主干网与Internet网隔离及安全加固2007年：武钢主干网站点综合防护系统2006年-2007年：武钢信息安全体系（ISMS）国家试点建设72信息安全管理体系建设（ISMS）--2006~2007信息安全保障是一个动态发展的过程，不但要贯穿于信息系统的生命周期，也要落实到信息系统使用的全过程。所以必须建立完善的管理体系来实现信息安全保障工作的可持续发展。信息安全保障的一般原则是“3分技术，7分管理，以技术来保证管理手段的落实”；同时也是“3分建设，7分运维，以维护来保证信息安全的持续改善”。为此，武钢立志从更高的层面进行信息安全保障体系的建设。2006年开始参与国信办信息安全管理试点工作，参照ISO27001国际标准，在更高水平和更深层次上保障信息安全。73以ISO17799标准作为安全管理体系框架74试点工作达到的目标按照国际标准在武钢内部建立我国钢铁行业信息安全管理的标准，使武钢达到国际信息安全管理水平。大幅提高武钢信息安全管理的能力，按照系统化、规范化方法，发现目前存在的信息安全管理漏洞，按照标准的方式和流程解决安全问题，建立可持续发展的安全管理能力。为武钢培训既懂国际标准，又能保障信息安全专业人才。协调解决国家信息安全管理各职能部门的意见与要求在武钢的具体实现，减少安全与发展之间的矛盾。提升公司信息化知识产权的保护能力，为下步顺利通过相关国际认证奠定坚实的基础；以此提高公司在客户、合作伙伴等的知名度、信任度与在国际市场中的竞争力；对武钢关键信息资产进行全面系统的保护，维持竞争优势；在武钢信息系统受到侵袭时，有能力确保武钢业务持续开展并将损失降到最低程度；强化武钢员工的信息安全意识，规范组织信息安全行为；将信息安全管理工作贯穿于日常工作中，保护武钢的资产。75确定了公司信息安全方针全员参与管控并重持续改进确保安全

在遵守相关法令、法规的前提下，坚持技术与管理并重、以安全保发展、在发展中求安全的信息安全管理基本原则，在采用国内外信息安全先进技术的同时，结合国际信息安全管理标准和最佳实践，在全公司范围内建立先进的、可持续改进的信息安全管理体系。全员参与信息安全管理体系建设，通过信息安全宣传、教育与培训，不断提高公司员工的个人信息安全素质和公司信息系统的安全防范、安全管理能力，保障与公司重要生产经营相关的信息系统安全稳定运行；通过不断地对公司信息安全管理体系进行内部审核和管理评审，使公司信息安全管