钢铁企业信息安全主要问题与其对策初探

　　随着信息化的发展，钢铁企业信息系统由以前单一的一、二级作业系统，向多级系统并存、互动发展。在SAP的定义中,钢铁冶金行业的信息系统架构被分解成五个层次,这五级系统分别是：一级设备控制系统；二级过程控制系统；三级车间或分厂级制造执行系统(即MES)等；四级钢铁企业资源计划系统(即ERP)；五级钢铁企业间管理系统及决策系统。这五层系统之间相互集成、相互协调,构成了一个完整、复杂的钢铁企业信息系统。

　　少数大型国有企业如宝钢、武钢等已经建立了体系化的信息安全管理，但是大多数钢铁企业的信息安全管理仍然存在很多问题，需要认真面对。

　　一、钢铁企业信息系统的特点

　　三零卫士通过对钢铁企业信息系统的实地调研和分析，得出钢铁企业信息系统有以下特点：

　　第一、钢铁企业系统最鲜明的特点在于对物料的描述。物料在生产过程中

　　从固态铁矿石等原料到液态铁水、钢水, 再到固态坯、板、卷, 最后达到用户要求的规格。对于物料准确的描述是正确生产、安全生产的前提。

　　第二、客户信息安全的重要性较高。钢铁企业客户对产品的配方、配料等

　　本身就有保密性要求，例如，石油企业、军工企业、大型制造企业等。

　　第三、钢铁企业的信息系统与业务流程紧密结合。钢铁企业的信息系统从设计到开发、应用、维护，无不是围绕业务目标并沿袭其各种流程而展开的。

　　第四、钢铁企业信息系统对于业务连续性要求较高。在一个制造周期内生产不能间断（离散型的生产钢铁企业除外）。

　　二、钢铁企业对信息安全的要求

　　信息安全问题对钢铁企业生产、销售等关键业务系统产生越来越大的影响，已经成为影响钢铁企业“生命线”的重要问题。钢铁企业对信息安全的要求主要体现在信息可用性以及保密性上面。

　　钢铁企业对于信息的可用性要求很高。由于钢铁企业是一个生产密集型企业，对于系统的耦合性要求非常高，并且对骨干网络通讯的依赖性非常高，在庞大而复杂的信息化管理系统背景下，一处出错或者中断都可能会对系统其他部位造成重大影响。

　　钢铁企业对于信息的保密性要求很高。首先，钢铁企业的配方、配料等对其非常重要，如果被竞争对手得到则可能会给企业自身造成毁灭性影响；再者，在生产过程中，钢铁企业的生产数据和能源数据也可以侧面反映一个钢铁企业的生产情况，这些数据同样具有保密性需求；最后，在生产过程中，钢铁企业对于客户的需求信息也具有保密的责任，一旦客户的需求等方面信息泄露，钢铁企业会被追究法律责任，这也将间接对钢铁企业的业务造成不利影响。

　　三、钢铁企业信息安全主要问题

　　三零卫士通过对钢铁企业各部门进行多次信息安全管理和信息安全技术现场调研，得出钢铁企业目前面临的信息安全主要问题如下：

　　1. 组织问题

　　目前钢铁企业普遍缺乏明确、可操作的信息安全方针；企业层面与二级单位层面的信息安全管理制度不协调；缺乏对整体信息安全管理的风险评估、对信息安全管理的全面评审；缺乏独立的信息安全领导组织，信息安全的责任不明晰；各类流程混乱、不按照流程办事的现象普遍存在。

　　目前钢铁企业往往由IT部门充当了信息安全管理的主力，但是IT部门不具备对信息价值判断的能力，也不具备对信息安全重要资源的管理职能，最终导致信息安全的工作处于被动状态，信息安全工作的有效性难以得到保障。

　　2. 人员问题

　　在人力资源安全方面缺乏从就职前、就职到离岗的全周期人员信息安全管理；缺乏对人员的信息安全系统、机制化的教育和培训；人员自身信息安全意识薄弱，经常出现误操作；对第三方人员的管理薄弱。

　　3.系统获取与实施的问题

　　在信息化的过程中,从不同的软件开发商处购买不同模块是我国大多数钢铁企业信息化建设的模式。随着钢铁企业信息化的迅速推进, 这种模式的弊病越来越明显, 首先, 钢铁企业必须花费大量人力、物力及时间去集成这些来自不同开发商的独立模块, 由于钢铁企业采用的是独立的、非集成的模块, 因而就必须一个个模块由不同的供应商来升级, 升级后必须再一次做集成的工作。而这些操作过程中各类不完善的地方就回给今后在使用过程中带来安全隐患。

　　在信息系统的规划与建设过程中，由于钢铁企业信息系统接口众多、彼此耦合性很高，更加若对信息系统的安全功能与安全架构考虑欠缺；由于缺乏经验以及赶工时等原因而随意变更；在系统上线之前，钢铁企业容易跨越必要的独立测试过程而直接上线，这都为今后的使用带来了安全隐患。