云端之下 看中石化如何应对互联网云安全

大数据和云计算的概念给整个传统企业带来了更多的机遇与挑战，如何面对这样的这样的数字变化？又要如何在快速升级至互联网+数字化时代的进程中保证网络安全体系，是每一个传统企业需要面临的切实的挑战，今天，我们就采访到中石化信息管理部李剑锋副主任（请确认准确的头衔和职称），看看云端之下，中石化如何应对互联网云安全。

1、您认为传统企业如何来应对互联网时代下数字化的变化？这种变化对整个产业又会带有什么样的影响？

面临大数据和云计算概念带来的机遇与挑战，传统企业转型升级压力非常大，从内部来讲通过新技术降低成本是其中一个对策，但是转型升级是多方面的，用信息技术引领是个必然趋势，比如我们的智能工厂，其中一个最近刚被工信部列为国家示范企业，不仅提高了效率，提高了产率又节能环保，效果非常明显。从自动化开始到整个工厂的整体优化，如预知性维修应用在流程业务线，区别于传统维修是在机器坏了以后停产维修，预知性维修通过大数据分析在机器有问题或者快要坏时给出警告，做出预防性维修保障流程业务的持续性。还有更大规模的优化比如原油，由于产地、种类、品质的不同，什么样的原油适合什么样的装置，产油量最多，区别很大。传统做法通过一个装置人工经验掺和配比，非常不科学，不仅原材料浪费很多，能耗浪费多，出来的产品量也少，现在通过智能工厂的优化后，能做到精细化配比，如温度、压力、原油供应种类、原油供应量、供应时间点等，甚至通过大数据分析可以精细控制和预算出产出、成本、能耗、工时等项。

2、近几年网络技术发展的非常快，2014-2015这两年是网络安全事件频发的高峰年，未来的态势有愈演愈烈的势头，您作为中国最大的企业，如何看待网络安全整个问题？

进攻和防御一直以来都是网络安全问题的重点，由于国力的增强，中石化作为国家重点企业被列为攻击对象的目标性就越大，因此我们日常会做很多防护措施。之前由于缺少一个层面的依据、标准支持，无法判断防护措施是否做的达标。之后跟国家专业部门合作，如，公安部、等保中心、国家信息安全测试中心。请他们为我们持续监测、定期检查，即便如此也总会有些问题，但目前尚属于正常范畴，所以我们的网络现在基本上还算处于一个平稳的生产过程中。

3、对于中石化这个中国最大的企业对网络应用和网络安全怎么看？

网络安全对于中石化来讲确实冒出许多新问题，主要由几方面造成。

1、大环境方面：由于国力的增加，平添了些国际上的敌对势力，中石化作为国有企业的领军企业首当其冲会成为攻击的新目标之一；

2、内部来看：由于业务发展需要及十二五规划信息化建设指导，中石化许多的核心业务都在信息系统上通过网络应用管理，也因此网络安全的问题尤其显得突兀。

3、由于传统企业电脑普及发展的速度较快，人的安全意识是个挑战，很多使用习惯并不符合信息化时代所具备的安全意识，所以传统企业对网络安全的需求是很紧迫必要的。

4、从生产层面，由于工控设备的采购由不同部门，不同人员进行，且设备种类繁多，涉及多家厂商，生产及应用系统后期的升级维护常是跨域甚至跨国界操作，由此网络安全问题特别严峻。

5、中石化面临的安全问题是环境特别复杂，其中包括政治级别的信息保密、防范在国有企业中的重要位置成为了被攻击的对象、高于传统安全层次（一般为三层：防范一般黑客，防范有组织犯罪，防范敌对势力）的防范难度。从政治经济形式层面，技术层面到人员管理及安全意识的层面面临的挑战非常多。

4、我们知道习主席提出来的“没有网络安全就没有网络信息化”的概念，很多企业这两年在网络安全这块都非常重视，在网络防护方面中石化都有哪些举措呢？

1、首先是人员的管理，放在第一位，要求专业人员做专业事，持证上岗；

2、第二是信息安全教育培训，分批分级别普及培训，增加安全防护意识；

3、在网络防护手段上采用边界防护（双层防火墙，内层采用国产防火墙，外层采用国外防火墙）；网站级的采用国家测评中心24小时持续性监控防护；设备方面采用主机加固方式防护；数据方面采用加密方式防护；在总体管理控制方面，建立中石化的安全运营管理中心（SMCC）对设备进行实时在线监控。

4、在业务方面业务连续性是生产安全的关键因素，为此建立配置了双机热备，异地灾备，双活等方式的灾备系统及设备、系统的高可用性。

5、在技术应用方面，采用网络安全扫描工具定期扫描、双因素认证、用户认证(密钥key、动态密码）等措施保障业务应用安全。这里不得不提的是用了随方的网络安全扫描工具扫描后，发现了很多之前国外产品安检扫描疏漏的问题，比如时区未设置，时间开关没关等。

5、您认为对一个企业而言，在日常工作中，什么样的网络问题是最严重，企业是否有很好的解决办法呢？

引用美国历史上著名的黑客——凯文•米特尼克（Kevin Mitnick）的一句名言：在安全问题上，人是第一位的。所以对一个企业来说，日常工作中，人的安全意识薄弱是最严重的网络安全问题。

这个严重性主要体现在两个方面：

1、当企业采用技术手段防护安全时，工作人员嫌麻烦不愿用；

2、当企业采用技术手段防护安全时，工作人员用了却不按规矩使用；

因此从我们实践中了解，信息安全教育培训非常有必要，通过现场演示安全事件的起因，发生及涉及个人隐私用品的破解，激发被培训人员的安全意识。

6、我们知道网络问题很复杂，很多时候通过人工的方式很难及时准确的找到问题点，也不会很快的把问题及时快速的解决掉，这对企业而言是非常具有风险的。请问李主任，你认为提前发现问题和我们一直所习惯的亡羊补牢式的方式对企业的未来发展有怎样的意义？

由于安全防护系统缺少防护依据，目前业界共同的防护原则是：被防护的系统、设备或平台等具有的价值大于建立防护设施的价值，才去做深入的防护工作，相反则没有重视网络安全防护，导致出问题后亡羊补牢式的去修复，造成不必要的损失。倘若有一部明确的安全防护标准，就可指引企业提前做好防护工作，以免判断失误，防护不当造成不必要的损失。

7、我们之前了解到，中石化曾经跟随方这家公司有过合作，您是如何看待他们关于网络检测这款产品的？他是否对您的工作提供帮助呢？

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!