企業

ENTERPRISE

首頁 > 客戶案例 > 正文

中國石油天然氣集團公司項目案例

閱讀量：

項目背景
中國石油天然氣集團公司（簡稱∶中國石油）是國有重要骨干企業，是以油氣業務、工程技術服務、石油工程建設、石油裝備制造、金融服務、新能源開發等為主營業務的綜合性國際能源公司，是中國主要的油氣生產商和供應商之一。作為中國境內最大的原油、天然氣生產、供應商，中國石油業務涉及石油天然氣勘探開發、煉油化工、管道運輸、油氣煉化產品銷售、石油工程技術服務.石油機械加工制造、石油貿易等各個領域，在中國石油、天然氣生產、加工和市場中占據主導地位。
為保持整個集團公司的有效運營，中國石油部署了郵件系統、OA系統、財務系統、門戶網站等一系列重要信息系統。為響應、貫徹國家關于信息系統開展等級保護工作的重要精神，需要對集團總公司內所運營的各個系統開展等級保護的檢查與自查工作，并對各子公司的信息系統安全性進行抽查檢查，涉及主機安全檢查、網絡安全檢查、物理安全檢查、數據安全檢查、應用安全檢查5個技術檢查層面以及安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理5個管理檢查層面，以發現存在的信息安全風險，保障信息系統安全性以及各項圍繞、依托于信息系統工作的有效開展。

項目內容

Plan-1

集團公司總部自查

集團公司總部作為整個公司運營中心，匯聚了來自各分支結構的多種數據如OA、財務、郵件等等。隨之部署了大量的應用服務器、數據庫服務器、交換機、防火墻等設備，用干支撐整個集團業務流轉。但是由干歷史原因，信息系統安全建設方面的投入不大，不知如何開展信息系統等級保護建設。鑒于以上需求，安恒信息提供信息系統等級保護檢查工具箱，作為開展信息系統等級保護建設狀況自查工具開展檢查工作，從中發現存在著哪些薄弱環節，及時督促整改。如;是否存在網頁漏洞、是否存在操作系統漏洞、服務器配置是否安全、交換機與防火墻的配置是否正確、應用及服務器是否存在弱口令情況、是否存在惡意代碼后門、是否存在管理不完善的情況等等敏感角度進行檢查。
在實際實施過程中，主要前往機房以及關鍵網絡節點進行檢查∶
對于服務器主要開展配置檢查、操作系統漏洞、惡意代碼后門檢查，從服務器級確保不存在可能會被黑客利用與攻擊的風險
對部署的應用如OA、網站等應用，分別從數據庫、網頁兩個方面進行檢查，檢查內容包括數據庫配置是否是安全配置、網頁是否存在如SQL注入、跨站腳本等易被利用的漏洞，防止黑客從外部通過應用入侵辦公局域網絡
對部署的交換機、防火墻從配置、弱口令兩個角度進行檢查，檢查包括策略是否生效、是否存在弱口令情況。杜絕因為防火墻、交換機的配置不當，或者存在易猜解的口令使得原有的安全防護手段失去應有的作用
Plan-2
分支結構服務器、網站抽查
各分支機構為集團公司策略執行公司，有各自的應用、郵件等各種服務器運行。總公司存在著對各分支機構進行定期網站、服務器進行檢查的需求，以確保各分支機構具備基本的抗攻擊能力。

在實施過程中，采用在集團公司總部，使用信息安全等級保護檢查工具箱具備的系統漏洞檢查工具、網站安全檢查工具兩款工具，對各分支機構的服務器、網站以遠程檢查的方式進行定期安全檢查。一旦發現網站漏洞，督促存在漏洞的分支結構及時整改，從而保障信息系統安全。