2017年度信息通信工作总结
一、年度工作开展情况
(一)落实安全责任严格制度执行
为贯彻“安全第一、预防为主、综合治理”的安全生产方针,公司修订和发布了《研发安全管理办法》、《数据安全管理办法》等安全制度,严格落实安全责任制,做到安全生产以规可依。公司设立安全生产委员会领导公司安全生产工作,主任由公司总经理担任,常务副主任由公司分管安全副总经理担任,成员由公司分管业务、技术副总经理及各一级部门负责人组成。公司安全生产一贯坚持“管业务必须管安全”的原则,各部门设立安全员,多措并举强化本质安全。
(二)加强安全生产队伍建设
管理体系高效的落地实施,必须有优良的人才队伍做支撑,目前公司运维团队人员42人,信息安全技术部门现有安全技术人员23人(含3名实习生),安全管理部门2人。公司各部门内部设置安全员对接安全管理工作,安全员共有28人。为进一步优化人才梯队,提升人员技能水平,公司从核心任务管理和团队建设两方面入手,开展人才队伍建设工作。
一是强化高级安全人员运维管理核心作用,由高级安全人员负责重要安全业务,既能提升核心业务安全保密级别,又能使核心技术掌握在核心人员手中;在会做、可
控的前提下,指派初、中级人员辅助开展工作,有效提升运维团队的管控能力和管理水平。
二是开展运维团队文化建设,每月就当下先进的运维技术和典型经验开展讨论,促进各团队间人员、信息交流和运维经验分享,逐步形成安全团队良好的学习氛围,建设有公司特色的安全团队文化,力争实现“以文化熏陶人、以文化留住人、通过人丰富文化”的目标。
(三)夯实信息通信系统安全基础
1、进一步健全信息安全机制
根据《公司关于进一步加强数据安全工作的通知》要求,梳理数据安全工作要点,组织开展数据安全宣贯,组织信息系统和通讯群组相关责任人、部门负责人进行数据安全责任书的签订;修订《研发安全管理办法》,在研发安全职责分工、外包管理等环节上做了更加明确的规定;在信息系统外包管理上,严格外包人员管理,对外包人员加强提出签订保密协议与信息安全承诺书、填写入网申请、入职前的安全培训和考试、外包研发人员持证上岗等要求。
2、强化隐患漏洞排查治理
公司将安全队伍分为红、蓝队伍,专门负责信息安全的攻击与阻抗、开展版本渗透测试、定期对信息系统开展审计与测试。公司建立并优化隐患排查治理管理机制,狠抓源头治理,强化过程考核,全面开展信息系统
基础数据治理;组织开展信息系统账号权限、弱口令检查工作;对终端办公设备和服务器统一自查漏洞并下载补丁进行升级,形成常态化;在公司内外网办公设备上均安装桌面终端管理系统,并及时更新病毒库和系统补丁,整体提升办公环境安全。
针对HP键盘记录功能漏洞,组织相关人员开展HP键盘预警处置工作,对可能会受此漏洞影响的相关惠普笔记本和办公电脑共计66台进行了音频驱动升级。
利用部署在全球能源互联网研究院的S6000系统,收集整理在系统上发布的安全预警及系统漏洞通知,第一时间在公司内部进行预警通知,实现相关部门联动,及时排查、处置信息系统安全隐患,保证信息系统安全运行,夯实信息系统安全基础。
3、加强系统监控预警
不断完善I6000系统中的软硬件设备信息,进一步完善物理主机、虚拟机、存储、数据库、网络设备、安全设备等硬件台账信息,同时也完善了操作系统、虚拟化、中间件等基础软件信息,从而将生产环境设备纳入系统监控之内,提升了系统运行的安全基础。
(四)加强专业管理和技术保障
一是按照“安全第一、预防为主、综合治理”的原则,已基本建成以“业务安全为导向,以技术安全为支撑,以人员安全为基础”的全方位立体安全
管控体系;不定期与业内安全厂商交流学习,了解安全前沿技术,开展信息安全意识、研发安全及《网络安全法》宣贯培训共计12次。
二是完成公司《信息系统运行优化提升方案》的编制,对公司的运维模式、存在的问题等进行梳理,提出提升的目标和具体的工作任务及计划安排,并结合春检、秋检结果对账号权限等信息进行了收集整理,排查了弱口令、僵尸账号等危险账号,保障系统安全;完成对公司设备台帐、帐号权限等基础信息的收集整理工作及信息系统运维制度、流程优化的总结工作。
三是按照国网公司对研发环境的要求,对研发环境进行隔离处理;研发中心梳理公司编程规范及细则,检查了编码规范,并进行了更新;对电e宝、国网商城、互联网金融平台及相关 APP 开展内部安全漏洞和渗透测试,并对发现的漏洞逐一整改。
四是围绕国网商城、电e宝、国网电商金融等信息系统开展运营服务,在遵循国网公司信息通信运行管理相关规范的基础上,针对开发、测试、运维建立了一套安全管控机制和措施;针对运维环境,通过部署北塔、ONEAPM等监控平台,实现了对核心系统资源、业务、网络等层面的监控预警,减少了问题故障的排查解决时间,提高了运维效率;通过部署WAF、DDos、IPS和防火墙等安全设备抵御网络入侵和攻击;针对系统变更环节,通过自动化发版平台的自主研发和脚本的使
用,逐步减少了大量重复的人工操作,减少人为操作导致的潜在风险。
(五)深化缺陷隐患排查治理
一是常态开展缺陷隐患排查治理。开展网络安全隐患专项排查整改工作,编制了《网络安全专项稽查工作方案》、《网络安全隐患排查结果及整改方案》及《网络安全专项稽查工作总结》,认真开展网络安全隐患排查,稽查主要针对国网电商公司旗下国网商城、电e宝、互联网金融三大平台的网络安全生产情况,共涉及99台设备,其中48台网络设备,51台安全设备(防火墙,IPS,WAF,网闸,负载均衡等);每月定期上报信通部《隐患排查月报》,建立完善了《隐患排查档案》,及时整改安全隐患。
二是依据国网公司信息安全检查的相关要求,结合电商公司安全大检查自查阶段发现的安全隐患进行逐条梳理,制定整改计划,明确整改时间、整改措施和职责分工,确保行成隐患排查治理的闭环管理;开展网络安全专项自查。7月21日至7月24日在公司各事业部和子公司内部开展网络安全自查工作,主要针对西安机房设备、网络、环境等管理情况,营销系统(电e宝)应用安全情况等方面;为强化信息通信运行安全事件报告管理机制,规范信息系统安装部署等工作,针对国网信通部《关于近期部门研发单位未按时提交事件报告的通报》工作要求,编制了故障报告上报、研发质量管理、代码测试
和信息系统安装部署标准化等工作落地方案。
(六)全面管控安全事故风险
随着电e宝的推广应用,用户数量迅速增长,用户信息、资金风险、系统可用性、稳定性和用户体验面临巨大挑战。因此,公司从各个环节严格把控各类风险,开发环节通过测试和安全扫描严格控制代码安全,运维环节通过监控系统平台及IPS、WAF、DDos和防火墙等信息安全设备实时监控系统运行状态,变更环节严格执行两票制度,确保变更操作的合规性,变更过程中使用双因素认证及堡垒机登录方式,确保人员访问控制权限严格审核、操作过程可追溯。
(七)提升应急处置能力
一是加强监控告警系统建设。对北塔监控系统进行多节点扩容,监控对象最大数量由1000扩容至3500,确保所有主机节点、虚拟化资源、应用服务端口得到监控,目前总共纳入监控对象节点1200多个;完成国网商城、电e宝等2套系统共120台虚拟机接入I6000系统统一纳入监控。
二是全年计划开展运维团队演练6次,截止10月份已完成4次,完成率66.7%,在确定系统高可用性同时加强在突发应急情况下处置预案及措施。按照公司2017年应急演练计划,电商公司7月14日组织开展了信息系统应急演练,在北京主会场、西安、天津分会场共同参与演练,开展了统一客户安全认证平台mongoDB主节点故
障、外联区防火墙异常、国网商城页面异常等应急演练;每次应急演练后做好总结,找出不足及时整改,不断完善各专项应急预案。
三是在西安建设了同城数据级灾备中心,成立以运维团队为核心的应急响应队伍,依据应急演练计划在7月份执行了应急演练工作,通过定期不断地应急演练,打造应急团队,提升公司信息系统整体应急处置能力。
四是遵照信通部专家对应急体系提升方案的评审要求,完成了电商公司信息通信应急体系提升方案的优化和完善,对公司应急预案、应急制度、技术保障、恢复重建、任务分解等工作内容及要求进行了补充完善。
(八)强化安全监督考核
公司成立公司安全生产委员会,建立了安全责任体系、应急保障体系和监督考核体系;发生安全生产事件后,对相关责任人及分管领导进行处罚,处罚包括通报、经济处罚、调离原岗位、解除劳动关系等;日常不定期组织信息安全培训、信息安全考核、安全生产检查等活动,做好宣贯;及时清理风险问题和安全隐患,将安全检查结果纳入部门的年度绩效考核,对公司安全检查结果进行通报和公示,提升全员的信息安全隐患排查意识,保障信息系统的安全生产活动。
二、重点工作总结
1、安全宣贯和信息安全培训
为全方位提升公司安全意识、研发人员安全编码能
力,公司在2017年先后组织了8次安全培训,包括《网
络安全法》培训、信息系统账号权限专项培训、网
络与信息安全基础知识攻防培训、信息安全等级保护制
度培训、研发安全编码培训等;按照《宣贯研发安全
通知》的要求,印刷《研发安全制度应知应会手
册》500本,发放328本。
2、签订网络与信息安全承诺书
为使全员自觉履行岗位安全职责,在3月份组织签订《网络与信息安全承诺书》员工类821份、《网络与信息安全承诺书》IT人员类253份、《网络与
信息安全承诺书》信息安全网络类230份。后续对新
入职员工继续执行签订要求。
3、修订和发布安全相关制度
根据国网公司对研发安全评估检查要求,对《研发
安全管理办法》进行修订发布;同时根据公司实际业务
情况和网络安全法相关要求,为了保护互联网用户的合法
权益,维护网络信息安全,规范用户信息访问流程和用户
访问权限,加强承载用户信息的环境管理,降低用户信息
被违法使用和传播的风险,制定并发布了《数据安全管
理办法》、《SVN管理和使用规范》、《终
端管理细则》等。
4、安全检查及提升工作
公司积极响应国网公司和电商公司的各项安全通知要
求,组织开展春季安全大检查、秋季安全大检查、账号权限专项检查、安全生产大检查、“安全生产月”、“安全生产万里行”、“质量提升月”等工作与活动。
5、漏洞预警通知及处置
公司安全部门安排专人使用部署在全球能源互联网研究院的S6000系统,收集整理在系统上发布的安全预警及系统漏洞通知,第一时间在公司内部进行预警通知,安全管理部门和各部门安全员联动,及时排查、处置信息系统安全隐患,对信息系统漏洞进行整改,保证信息系统安全运行,夯实信息系统安全基础。
6、完成“十九大”安全保障工作
依据《XT17005信息通信及网络安全保障工作部署》、《国网电子商务有限公司2017年XT17005期间安全保障工作方案》相关要求,在“十九大”会议期间,汇通公司从组织保障、值班保障、应急保障、技术保障等方面,确保信息系统安全稳定运行,圆满完成了信息通信系统安全稳定运行的各项安全保障工作。
7、信息安全技术保障工作
2017年完成电商公司国网商城和电e宝的两会、金砖峰会、重要节日等重要活动保障工作,及公司内部相关信息安全技术服务支持工作,配合电商公司开展S6000安全基线部署、研发安全培训及国网安全大检查迎检工
作。
截至2017年10月底,完成电商系统100余次发版安全测试,共发掘漏洞459个,其中高危漏洞74个,中危漏洞224个,低危漏洞161个;监控攻击次数677万次,共处置外部安全事件29起。
顺利支持国网客服中心、英大传媒、英大长安、英大国际等公司的信息安全服务,内容涉及日常督查、安全检查、隐患发现、渗透测试、活动保障及内控安全服务工作,各项工作均有条不紊开展。
8、系统运维工作
2017年运维服务部共规划上线的业务系统有:电费代扣、电子账单、电子发票、费控、营销直连、光伏、互联网金融等7大类业务,发版操作共计195次,其中国网商城94次,电e宝101次;数据变更共计614次,其中国网商城111次,电e宝503次;检修操作共计290次,其中国网商城79次,电e宝211次。平均单次发版投入人力2人次,截止当前总共投入发版人数达360人次,半年内人均发版30余次,每人平均每周1.5次。
9、新技术研究
为了推行自动化、流程化,运维服务部刻苦钻研,学习互联网经验,通过confluence + jira + jenkins工具初步实现了流程管理,定制了多种审批流程,目前接入部门有资管、开发、测试、运维等,实现了“数据变更”线上审批,审核人员可微信通知,实时、有效的
解决了跑票难的问题。监控方面,运维人员通过zabbix 监控电e宝、国网商城基础环境及应用环境,覆盖率达80%,JVM监控持续集成中,利用空余时间自主研发的自动化发版工具2.0,完成70%编码工作,后期可接入到自动化平台配合发版工作。
10、基础信息化工作
运维支持部配合电商公司搬迁,搬迁130余台设备的安装及网络配置,排除故障24处,做好IP地址相关资源的规划及相关信息的分发,确保上级单位全员正常办公;工位调整,为了电话、IP资源后期扩容方便,进行了重新规划涉及信息点500多个,并逐一绑定,将办公网络IP信息、电话分配到每一个工位,确保公司全部人员的正常办公;将原祥龙四层、五层机房的服务器进行拆解清理,完成迁移,改善了四层办公司环境,确保服务器的稳定运行;“永恒之蓝”病毒及其变种进行应急处置及响应,处置各类终端电脑400余台,确保公司办公秩序正常,且无一例病毒报告事件;运营监控中心工作,共计发现硬件故障、安全风险隐患、系统软件故障等各类问题30多处,业务运营团队7*12小时,梳理大屏数据,接待多次重要领导视察工作。
三、典型经验
1、随着电商公司信息系统的不断增多,迭代速度加快,信息系统发版安全测试工作尤为重要,为解决安全测试工作中存在人员不足、信息记录不全、报告编制
时间长等问题,公司自主研发安全测试及漏洞管理信息系统,实现测试申请线上便捷化、漏洞统计工具化,减少了沟通成本,对各排队测试系统实现公开透明化,大大提升了安全测试工作效率。
2、为贯彻“安全第一、预防为主、综合治理”的安全生产方针,规范公司安全生产管理工作,公司建立健全有系统、分层次的安全责任体系、安全监督体系及安全保障体系;在各一二级部门内部设立安全员岗位,创建安全员工作沟通群,及时对接公司安全管理和安全技术部门,开展国网公司和电商公司会议通知传达、安全培训和宣贯工作;针对安全技术部门下发的系统、软件漏洞预警通知形成联动机制,各部门安全员监督本部门员工及时处置预警并进行整改反馈。
3、加强运维和开发紧密联系、相互适应,加强运行工作机制规范,强化运行工作管理,增加技术培训次数;加快配置中心建设,加强自动化、规范化、流程化等运维基础工作;加快应用持续交付,实现应用持续部署,提高应用交付能力,提升工作效率,增强人员成就感。
4、互联网的第三方认证数字证书系统开发及实施项目项目简称“国网电商CA项目”,自2017年开始投入建设,包括自建CA子系统、第三方RA子系统、在线电子签约平台等功能模块,目前已经上线运行。系统即将与光伏云平台、招投标平台、电e宝平台及互
联网金融平台等多个平台应用接入,满足国网电商公司在互联网应用安全访问、身份安全认证、安全交易、操作抗抵赖等领域的安全需求。预计发放证书量百万级以上。
四、存在的问题及其改进措施
1、2017年度信息安全部部门重要力量多数均投放在提升合作单位的信息安全管理水平上,做好信息安全支撑工作,为公司创收,因此在支持电商公司的信息安全工作开展方面力度略有不足,后续将加强高级安全人员补充,以便更好地支撑电商公司安全工作。
2、目前安全员在开展工作时存在一定的阻力和困难,针对安全员岗位的职责和工作配合方面,后续将出台安全员工作管理细则,强调各方配合,明确各方责任,加大安全监督监察机制,对不配合安全员工作的个人通报批评。
3、运维工作流程化、规范化和电子化程度不高。日常运维工作流程较为单一,人为参与因素过多,导致运维效率较低。计划通过运维标准化、流程化建设,转变基于ITIL的流程化升级到DevOps运维,整体从开发到运维必须进行流程化和自动化相结合,提高从监控到检修自动化程度。
4、桌面非标准化,管理难度大。公司信息化管理,缺少工具、制度薄弱,目前办公电脑操作系统,及应用软件为非标准化软件,导致在应急处置情况下,应急
处置方案、系统补丁、操作方式等都需要多种重准备和部署,缺乏桌面管理套件,无法进行统一推送,需要人工安装操作,将会导致在信息化管理中难以实现标准化、自动化管理,应急响应的时间和效率可能难以满足工作需要。后续将加强与安全部门的协调联动,引入国网统一部署的桌面管理工具。
五、下阶段工作重点
1、进一步加强安全队伍建设。信息通信工作任务重,目前公司安全能力储备和建设相对薄弱,普遍存在人员缺少互联网信息安全技术知识的情况,公司内部缺乏安全行业中高精端人才,缺乏信息安全行业领军人物,信息安全相关工作研发实力不足。随着业务范围不断扩大,信息系统安全压力不断增大,需要进一步壮大安全技术队伍。
2、对标先进单位,进一步提升安全运行管理水平,努力将公司打造成安全运行标杆单位,并以此为目标开展2018年重点工作。一是以价值服务为导向,完善安全组织体系,优化安全基础架构和流程;二是完善安全制度规范,强化责任监督,夯实运行基础,深化风险防控和隐患治理;三是加强科学调控、敏捷服务、精益运检核心能力,实现运行方式全过程管控,强化设备系统上下线管理;四是重点落实2018年信息化储备项目,加强公司信息安全手段;五是完成国网客服中心、英大传媒、英大长安、英大国际公司的信息安全服务项目的交
付。
3、深入贯彻国网公司安全生产电视电话会议精神,落实《公司关于切实加强秋检安全工作的通知》要求,深化十九大期间安全隐患排查治理,做好公司信息通信系统秋检及迎峰度冬工作。
4、加强运维监控手段,快速定位解决系统问题。采用成熟产品、开源产品相结合的方式,形成具有公司特有的运维监控工具,实现实时、远程、自动化的系统运维平台,支撑公司业务系统正常运行;加强运维应急处置能力、故障处置的自动化处理,加强应用快速切换实现运维应急保障能力。同时,要与一楼展示大厅的监控大屏进行全面集成,实现统一展现,落实公司领导提出的打造“实时、实用、实战”的监控中心目标。