客户案例

中国石油天然气集团公司项目案例(信息系统等级保护检查)


项目背景

中国石油天然气集团公司(简称:中国石油)是国有重要骨干企业,是以油气业务、工程技术服务、石油工程建设、石油装备制造、金融服务、新能源开发等为主营业务的综合性国际能源公司,是中国主要的油气生产商和供应商之一。作为中国境内最大的原油、天然气生产、供应商,中国石油业务涉及石油天然气勘探开发、炼油化工、管道运输、油气炼化产品销售、石油工程技术服务、石油机械加工制造、石油贸易等各个领域,在中国石油、天然气生产、加工和市场中占据主导地位。 为保持整个集团公司的有效运营,中国石油部署了邮件系统、OA系统、财务系统、门户网站等一系列重要信息系统。为响应、贯彻国家关于信息系统开展等级保护工作的重要精神,需要对集团总公司内所运营的各个系统开展等级保护的检查与自查工作,并对各子公司的信息系统安全性进行抽查检查,涉及主机安全检查、网络安全检查、物理安全检查、数据安全检查、应用安全检查5个技术检查层面以及安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个管理检查层面,以发现存在的信息安全风险,保障信息系统安全性以及各项围绕、依托于信息系统工作的有效开展。

项目内容

集团公司总部自查

集团公司总部作为整个公司运营中心,汇聚了来自各分支结构的多种数据如OA、财务、邮件等等。随之部署了大量的应用服务器、数据库服务器、交换机、防火墙等设备,用于支撑整个集团业务流转。但是由于历史原因,信息系统安全建设方面的投入不大,不知如何开展信息系统等级保护建设。鉴于以上需求,安恒信息提供信息系统等级保护检查工具箱,作为开展信息系统等级保护建设状况自查工具开展检查工作,从中发现存在着哪些薄弱环节,及时督促整改。如:是否存在网页漏洞、是否存在操作系统漏洞、服务器配置是否安全、交换机与防火墙的配置是否正确、应用及服务器是否存在弱口令情况、是否存在恶意代码后门、是否存在管理不完善的情况等等敏感角度进行检查。 在实际实施过程中,主要前往机房以及关键网络节点进行检查:

·对于服务器主要开展配置检查、操作系统漏洞、恶意代码后门检查,从服务器级确保不存在可能会被黑客利用与攻击的风险

·对部署的应用如OA、网站等应用,分别从数据库、网页两个方面进行检查,检查内容包括数据库配置是否是安全配置、网页是否存在如SQL注入、跨站脚本等易被利用的漏洞,防止黑客从外部通过应用入侵办公局域网络

·对部署的交换机、防火墙从配置、弱口令两个角度进行检查,检查包括策略是否生效、是否存在弱口令情况。杜绝因为防火墙、交换机的配置不当,或者存在易猜解的口令使得原有的安全防护手段失去应有的作用

分支结构服务器、网站抽查

各分支机构为集团公司策略执行公司,有各自的应用、邮件等各种服务器运行。总公司存在着对各分支机构进行定期网站、服务器进行检查的需求,以确保各分支机构具备基本的抗攻击能力。 在实施过程中,采用在集团公司总部,使用信息安全等级保护检查工具箱具备的系统漏洞检查工具、网站安全检查工具两款工具,对各分支机构的服务器、网站以远程检查的方式进行定期安全检查。一旦发现网站漏洞,督促存在漏洞的分支结构及时整改,从而保障信息系统安全。

项目价值

中国石油通过使用安恒信息的信息安全等级保护检查工具箱,有效地实现了对集团总公司的全方位等级保护建设情况检查,以及实现了对各分支机构的远程定期检查,保障了集团总公司以及各分支机构的网络安全。