(一)落實安全責任嚴格制度執行
為貫徹“安全第一、預防為主、綜合治理”
的安全生產方針,公司修訂和發佈了《研發安全管理辦法》、《數據安全管理辦法》等安全制度,嚴格落實安全責任制,做到安全生產以規可依。公司設立安全生產委員會領導公司安全生產工作,主任由公司總經理擔任,常務副主任由公司分管安全副總經理擔任,成員由公司分管業務、技術副總經理及各一級部門負責人組成。公司安全生產一貫堅持“管業務必須管安全”的原則,各部門設立安全員,多措並舉強化本質安全。
(二)加強安全生產隊伍建設
管理體系高效的落地實施,必須有優良的人才隊伍做支撐,目前公司運維團隊人員42人,信息安全技術部門現有安全技術人員23人(含3名實習生),安全管理部門2人。公司各部門內部設置安全員對接安全管理工作,安全員共有28人。為進一步優化人才梯隊,提升人員技能水平,公司從核心任務管理和團隊建設兩方面入手,開展人才隊伍建設工作。
一是強化高級安全人員運維管理核心作用,由高級安全人員負責重要安全業務,既能提升核心業務安全保密級別,又能使核心技術掌握在核心人員手中;在會做、可
控的前提下,指派初、中級人員輔助開展工作,有效提升運維團隊的管控能力和管理水平。
二是開展運維團隊文化建設,每月就當下先進的運維技術和典型經驗開展討論,促進各團隊間人員、信息交流和運維經驗分享,逐步形成安全團隊良好的學習氛圍,建設有公司特色的安全團隊文化,力爭實現“以文化薰陶人、以文化留住人、通過人豐富文化”的目標。
(三)夯實信息通信系統安全基礎1、進一步健全信息安全機制
根據《公司關於進一步加強數據安全工作的通知》要求,梳理數據安全工作要點,組織開展數據安全宣貫,組織信息系統和通訊羣組相關責任人、部門負責人進行數據安全責任書的簽訂;修訂《研發安全管理辦法》,在研發安全職責分工、外包管理等環節上做了更加明確的規定;在信息系統外包管理上,嚴格外包人員管理,對外包人員加強提出簽訂保密協議與信息安全承諾書、填寫入網申請、入職前的安全培訓和考試、外包研發人員持證上崗等要求。
2、強化隱患漏洞排查治理
公司將安全隊伍分為紅、藍隊伍,專門負責信息安全的攻擊與阻抗、開展版本滲透測試、定期對信息系統開展審計與測試。公司建立並優化隱患排查治理管理機制,狠抓源頭治理,強化過程考核,全面開展信息系統
基礎數據治理;組織開展信息系統賬號權限、弱口令檢查工作;對終端辦公設備和服務器統一自查漏洞並下載補丁進行升級,形成常態化;在公司內外網辦公設備上均安裝桌面終端管理系統,並及時更新病毒庫和系統補丁,整體提升辦公環境安全。
針對HP鍵盤記錄功能漏洞,組織相關人員開展HP鍵盤預警處置工作,對可能會受此漏洞影響的相關惠普筆記本和辦公電腦共計66台進行了音頻驅動升級。
利用部署在全球能源互聯網研究院的S6000系統,收集整理在系統上發佈的安全預警及系統漏洞通知,第一時間在公司內部進行預警通知,實現相關部門聯動,及時排查、處置信息系統安全隱患,保證信息系統安全運行,夯實信息系統安全基礎。
3、加強系統監控預警
不斷完善I6000系統中的軟硬件設備信息,進一步完善物理主機、虛擬機、存儲、數據庫、網絡設備、安全設備等硬件台賬信息,同時也完善了操作系統、虛擬化、中間件等基礎軟件信息,從而將生產環境設備納入系統監控之內,提升了系統運行的安全基礎。
(四)加強專業管理和技術保障
一是按照“安全第一、預防為主、綜合治理”的原則,已基本建成以“業務安全為導向,以技術安全為支撐,以人員安全為基礎”的全方位立體安全
管控體系;不定期與業內安全廠商交流學習,瞭解安全前沿技術,開展信息安全意識、研發安全及《網絡安全法》宣貫培訓共計12次。
二是完成公司《信息系統運行優化提升方案》的編制,對公司的運維模式、存在的問題等進行梳理,提出提升的目標和具體的工作任務及計劃安排,並結合春檢、秋檢結果對賬號權限等信息進行了收集整理,排查了弱口令、殭屍賬號等危險賬號,保障系統安全;完成對公司設備台帳、帳號權限等基礎信息的收集整理工作及信息系統運維制度、流程優化的總結工作。
三是按照國網公司對研發環境的要求,對研發環境進行隔離處理;研發中心梳理公司編程規範及細則,檢查了編碼規範,並進行了更新;對電e寶、國網商城、互聯網金融平台及相關APP開展內部安全漏洞和滲透測試,並對發現的漏洞逐一整改。
四是圍繞國網商城、電e寶、國網電商金融等信息系統開展運營服務,在遵循國網公司信息通信運行管理相關規範的基礎上,針對開發、測試、運維建立了一套安全管控機制和措施;針對運維環境,通過部署北塔、ONEAPM等監控平台,實現了對核心系統資源、業務、網絡等層面的監控預警,減少了問題故障的排查解決時間,提高了運維效率;通過部署WAF、DDos、IPS和防火牆等安全設備抵禦網絡入侵和攻擊;針對系統變更環節,通過自動化發版平台的自主研發和腳本的使
用,逐步減少了大量重複的人工操作,減少人為操作導致的潛在風險。
(五)深化缺陷隱患排查治理
一是常態開展缺陷隱患排查治理。開展網絡安全隱患專項排查整改工作,編制了《網絡安全專項稽查工作方案》、《網絡安全隱患排查結果及整改方案》及《網絡安全專項稽查工作總結》,認真開展網絡安全隱患排查,稽查主要針對國網電商公司旗下國網商城、電e寶、互聯網金融三大平台的網絡安全生產情況,共涉及99台設備,其中48台網絡設備,51枱安全設備(防火牆,IPS,WAF,網閘,負載均衡等);每月定期上報信通部《隱患排查月報》,建立完善了《隱患排查檔案》,及時整改安全隱患。
二是依據國網公司信息安全檢查的相關要求,結合電商公司安全大檢查自查階段發現的安全隱患進行逐條梳理,制定整改計劃,明確整改時間、整改措施和職責分工,確保行成隱患排查治理的閉環管理;開展網絡安全專項自查。7月21日至7月24日在公司各事業部和子公司內部開展網絡安全自查工作,主要針對西安機房設備、網絡、環境等管理情況,營銷系統(電e寶)應用安全情況等方面;為強化信息通信運行安全事件報告管理機制,規範信息系統安裝部署等工作,針對國網信通部《關於近期部門研發單位未按時提交事件報告的通報》工作要求,編制了故障報告上報、研發質量管理、代碼測試和信息系統安裝部署標準化等工作落地方案。
(六)全面管控安全事故風險
隨着電e寶的推廣應用,用户數量迅速增長,用户信息、資金風險、系統可用性、穩定性和用户體驗面臨巨大挑戰。因此,公司從各個環節嚴格把控各類風險,開發環節通過測試和安全掃描嚴格控制代碼安全,運維環節通過監控系統平台及IPS、WAF、DDos和防火牆等信息安全設備實時監控系統運行狀態,變更環節嚴格執行兩票制度,確保變更操作的合規性,變更過程中使用雙因素認證及堡壘機登錄方式,確保人員訪問控制權限嚴格審核、操作過程可追溯。
(七)提升應急處置能力
一是加強監控告警系統建設。對北塔監控系統進行多節點擴容,監控對象數量由1000擴容至3500,確保所有主機節點、虛擬化資源、應用服務端口得到監控,目前總共納入監控對象節點1200多個;完成國網商城、電e寶等2套系統共120台虛擬機接入I6000系統統一納入監控。
二是全年計劃開展運維團隊演練6次,截止10月份已完成4次,完成率66.7%,在確定系統高可用性同時加強在突發應急情況下處置預案及措施。按照公司20xx年應急演練計劃,電商公司7月14日組織開展了信息系統應急演練,在北京主會場、西安、天津分會場共同參與演練,開展了統一客户安全認證平台mongoDB主節點故
障、外聯區防火牆異常、國網商城頁面異常等應急演練;每次應急演練後做好總結,找出不足及時整改,不斷完善各專項應急預案。
三是在西安建設了同城數據級災備中心,成立以運維團隊為核心的應急響應隊伍,依據應急演練計劃在7月份執行了應急演練工作,通過定期不斷地應急演練,打造應急團隊,提升公司信息系統整體應急處置能力。
四是遵照信通部專家對應急體系提升方案的評審要求,完成了電商公司信息通信應急體系提升方案的優化和完善,對公司應急預案、應急制度、技術保障、恢復重建、任務分解等工作內容及要求進行了補充完善。
(八)強化安全監督考核
公司成立公司安全生產委員會,建立了安全責任體系、應急保障體系和監督考核體系;發生安全生產事件後,對相關責任人及分管領導進行處罰,處罰包括通報、經濟處罰、調離原崗位、解除勞動關係等;日常不定期組織信息安全培訓、信息安全考核、安全生產檢查等活動,做好宣貫;及時清理風險問題和安全隱患,將安全檢查結果納入部門的年度績效考核,對公司安全檢查結果進行通報和公示,提升全員的信息安全隱患排查意識,保障信息系統的安全生產活動。
二、重點工作總結
1、安全宣貫和信息安全培訓
為全方位提升公司安全意識、研發人員安全編碼能力,公司在20xx年先後組織了8次安全培訓,包括《網絡安全法》培訓、信息系統賬號權限專項培訓、網絡與信息安全基礎知識攻防培訓、信息安全等級保護制度培訓、研發安全編碼培訓等;按照《宣貫研發安全通知》的要求,印刷《研發安全制度應知應會手冊》500本,發放328本。
2、簽訂網絡與信息安全承諾書
為使全員自覺履行崗位安全職責,在3月份組織簽訂《網絡與信息安全承諾書》員工類821份、《網絡與信息安全承諾書》IT人員類253份、《網絡與信息安全承諾書》信息安絡類230份。後續對新入職員工繼續執行簽訂要求。
3、修訂和發佈安全相關制度
根據國網公司對研發安全評估檢查要求,對《研發安全管理辦法》進行修訂發佈;同時根據公司實際業務情況和網絡安全法相關要求,為了保護互聯網用户的合法權益,維護網絡信息安全,規範用户信息訪問流程和用户訪問權限,加強承載用户信息的環境管理,降低用户信息被違法使用和傳播的風險,制定併發布了《數據安全管理辦法》、《SVN管理和使用規範》、《終端管理細則》等。
4、安全檢查及提升工作
公司積極響應國網公司和電商公司的各項安全通知要
求,組織開展春季安全大檢查、秋季安全大檢查、賬號權限專項檢查、安全生產大檢查、“安全生產月”、“安全生產萬里行”、“質量提升月”等工作與活動。
5、漏洞預警通知及處置
公司安全部門安排專人使用部署在全球能源互聯網研究院的S6000系統,收集整理在系統上發佈的安全預警及系統漏洞通知,第一時間在公司內部進行預警通知,安全管理部門和各部門安全員聯動,及時排查、處置信息系統安全隱患,對信息系統漏洞進行整改,保證信息系統安全運行,夯實信息系統安全基礎。
6、完成“十九大”安全保障工作
依據《XT17005信息通信及網絡安全保障工作部署》、《國網電子商務有限公司20xx年XT17005期間安全保障工作方案》相關要求,在“十九大”會議期間,匯通公司從組織保障、值班保障、應急保障、技術保障等方面,確保信息系統安全穩定運行,圓滿完成了信息通信系統安全穩定運行的各項安全保障工作。
7、信息安全技術保障工作
20xx年完成電商公司國網商城和電e寶的兩會、金磚峯會、重要節日等重要活動保障工作,及公司內部相關信息安全技術服務支持工作,配合電商公司開展S6000安全基線部署、研發安全培訓及國網安全大檢查迎檢工
作。
截至20xx年10月底,完成電商系統100餘次發版安全測試,共發掘漏洞459個,其中高危漏洞74個,中危漏洞224個,低危漏洞161個;監控攻擊次數677萬次,共處置外部安全事件29起。
順利支持國網客服中心、英大傳媒、英大長安、英大國際等公司的信息安全服務,內容涉及日常督查、安全檢查、隱患發現、滲透測試、活動保障及內控安全服務工作,各項工作均有條不紊開展。
8、系統運維工作
20xx年運維服務部共規劃上線的業務系統有:電費代扣、電子賬單、電子發票、費控、營銷直連、光伏、互聯網金融等7大類業務,發版操作共計195次,其中國網商城94次,電e寶101次;數據變更共計614次,其中國網商城111次,電e寶503次;檢修操作共計290次,其中國網商城79次,電e寶211次。平均單次發版投入人力2人次,截止當前總共投入發版人數達360人次,半年內人均發版30餘次,每人平均每週1.5次。
9、新技術研究
為了推行自動化、流程化,運維服務部刻苦鑽研,學習互聯網經驗,通過confluence+jira+jenkins工具初步實現了流程管理,定製了多種審批流程,目前接入部門有資管、開發、測試、運維等,實現了“數據變更”線上審批,審核人員可微信通知,實時、有效的解決了跑票難的問題。監控方面,運維人員通過zabbix監控電e寶、國網商城基礎環境及應用環境,覆蓋率達80%,JVM監控持續集成中,利用空餘時間自主研發的自動化發版工具2.0,完成70%編碼工作,後期可接入到自動化平台配合發版工作。
10、基礎信息化工作
運維支持部配合電商公司搬遷,搬遷130餘台設備的安裝及網絡配置,排除故障24處,做好IP地址相關資源的規劃及相關信息的分發,確保上級單位全員正常辦公;工位調整,為了電話、IP資源後期擴容方便,進行了重新規劃涉及信息點500多個,並逐一綁定,將辦公網絡IP信息、電話分配到每一個工位,確保公司全部人員的正常辦公;將原祥龍四層、五層機房的服務器進行拆解清理,完成遷移,改善了四層辦公司環境,確保服務器的穩定運行;“永恆之藍”病毒及其變種進行應急處置及響應,處置各類終端電腦400餘台,確保公司辦公秩序正常,且無一例病毒報告事件;運營監控中心工作,共計發現硬件故障、安全風險隱患、系統軟件故障等各類問題30多處,業務運營團隊7*12小時,梳理大屏數據,接待多次重要領導視察工作。
三、典型經驗
1、隨着電商公司信息系統的不斷增多,迭代速度加快,信息系統發版安全測試工作尤為重要,為解決安全測試工作中存在人員不足、信息記錄不全、報告編制
時間長等問題,公司自主研發安全測試及漏洞管理信息系統,實現測試申請線上便捷化、漏洞統計工具化,減少了溝通成本,對各排隊測試系統實現公開透明化,大大提升了安全測試工作效率。
2、為貫徹“安全第一、預防為主、綜合治理”的安全生產方針,規範公司安全生產管理工作,公司建立健全有系統、分層次的安全責任體系、安全監督體系及安全保障體系;在各一二級部門內部設立安全員崗位,創建安全員工作溝通羣,及時對接公司安全管理和安全技術部門,開展國網公司和電商公司會議通知傳達、安全培訓和宣貫工作;針對安全技術部門下發的系統、軟件漏洞預警通知形成聯動機制,各部門安全員監督本部門員工及時處置預警並進行整改反饋。
3、加強運維和開發緊密聯繫、相互適應,加強運行工作機制規範,強化運行工作管理,增加技術培訓次數;加快配置中心建設,加強自動化、規範化、流程化等運維基礎工作;加快應用持續交付,實現應用持續部署,提高應用交付能力,提升工作效率,增強人員成就感。
4、互聯網的第三方認證數字證書系統開發及實施項目項目簡稱“國網電商CA項目”,自20xx年開始投入建設,包括自建CA子系統、第三方RA子系統、在線電子簽約平台等功能模塊,目前已經上線運行。系統即將與光伏雲平台、招投標平台、電e寶平台及互
聯網金融平台等多個平台應用接入,滿足國網電商公司在互聯網應用安全訪問、身份安全認證、安全交易、操作抗抵賴等領域的安全需求。預計發放證書量以上。
四、存在的問題及其改進措施
1、20xx年度信息安全部部門重要力量多數均投放在提升合作單位的信息安全管理水平上,做好信息安全支撐工作,為公司創收,因此在支持電商公司的信息安全工作開展方面力度略有不足,後續將加強高級安全人員補充,以便更好地支撐電商公司安全工作。
2、目前安全員在開展工作時存在一定的阻力和困難,針對安全員崗位的職責和工作配合方面,後續將出枱安全員工作管理細則,強調各方配合,明確各方責任,加大安全監督監察機制,對不配合安全員工作的個人通報批評。
3、運維工作流程化、規範化和電子化程度不高。日常運維工作流程較為單一,人為參與因素過多,導致運維效率較低。計劃通過運維標準化、流程化建設,轉變基於ITIL的流程化升級到DevOps運維,整體從開發到運維必須進行流程化和自動化相結合,提高從監控到檢修自動化程度。
4、桌面非標準化,管理難度大。公司信息化管理,缺少工具、制度薄弱,目前辦公電腦操作系統,及應用軟件為非標準化軟件,導致在應急處置情況下,應急
處置方案、系統補丁、操作方式等都需要多種重準備和部署,缺乏桌面管理套件,無法進行統一推送,需要人工安裝操作,將會導致在信息化管理中難以實現標準化、自動化管理,應急響應的時間和效率可能難以滿足工作需要。後續將加強與安全部門的協調聯動,引入國網統一部署的桌面管理工具。
五、下階段工作重點
1、進一步加強安全隊伍建設。信息通信工作任務重,目前公司安全能力儲備和建設相對薄弱,普遍存在人員缺少互聯網信息安全技術知識的情況,公司內部缺乏安全行業中高精端人才,缺乏信息安全行業領軍人物,信息安全相關工作研發實力不足。隨着業務範圍不斷擴大,信息系統安全壓力不斷增大,需要進一步壯大安全技術隊伍。
2、對標先進單位,進一步提升安全運行管理水平,努力將公司打造成安全運行標杆單位,並以此為目標開展20xx年重點工作。一是以價值服務為導向,完善安全組織體系,優化安全基礎架構和流程;二是完善安全制度規範,強化責任監督,夯實運行基礎,深化風險防控和隱患治理;三是加強科學調控、敏捷服務、精益運檢核心能力,實現運行方式全過程管控,強化設備系統上下線管理;四是重點落實20xx年信息化儲備項目,加強公司信息安全手段;五是完成國網客服中心、英大傳媒、英大長安、英大國際公司的信息安全服務項目的交付。
3、深入貫徹國網公司安全生產電視電話會議精神,落實《公司關於切實加強秋檢安全工作的通知》要求,深化十九大期間安全隱患排查治理,做好公司信息通信系統秋檢及迎峯度冬工作。
4、加強運維監控手段,快速定位解決系統問題。採用成熟產品、開源產品相結合的方式,形成具有公司特有的運維監控工具,實現實時、遠程、自動化的系統運維平台,支撐公司業務系統正常運行;加強運維應急處置能力、故障處置的自動化處理,加強應用快速切換實現運維應急保障能力。同時,要與一樓展示大廳的監控大屏進行全面集成,實現統一展現,落實公司領導提出的打造“實時、實用、實戰”的監控中心目標。