根据各界权威数据显示,制造业已经当之无愧地成为近年来在信息化应用领域不断深化的主流行业用户群,相应的,其网络信息安全架构的建设也是如火如荼。
福田汽车作为一家跨所有制并且坚持自主发展的大型汽车制造业老牌企业,多年来凭借其自有实力一直位居全国汽车制造业第五位,其2008年的年汽车产销量约为40.9万辆,销售收入达300多亿。单从这些数字便看得出,福田汽车绝对是一家大规模的制造业企业。事实上,福田汽车的分支机构跨越了十多个省、市、自治区以及直辖市,而且该公司内部也建成了一张非常大的企业内网。并据相关负责人透露,福田汽车的企业内网是从对网络安全的不重视,到逐渐出现很多问题后求助安全产品救援,直到现在建成了一套非常全面丰富的网络安全架构。
那么,究竟福田汽车公司的网络安全架构是如何构建的呢?其构建思路又能为其他行业用户带来哪些可分享的经验呢?
纯网络安全架构描述
单纯从技术的角度讲,在网络接入方面,福田汽车公司的各事业部和北京总部之间,几乎全部都是拿数字专线连接在一起的,当然也有个别的非常小的分支机构,是拿传统的VPN方式接入的。在链路优化方面,该公司也有专门的负载均衡系统。
而在网络安全方面,福田汽车公司在其北京总部的网络核心处配置有上网行为管理系统,该产品面对北京总部一个很大的厂区对上网行为进行监控和管理,当然这个产品已经在各分支机构中逐步地展开了推广,现在已经有超过一半的分支机构配有上网行为监控系统。与此同时,与总部的各事业部类似,福田汽车公司分布在各地的每个分支机构网络中,凡是有因特网接入的应用网络就都部署了防病毒、防火墙、VPN、反垃圾邮件、内容过滤等产品,而这些常用的功能又基本上都集中在一台机器里面。
总得来说,福田汽车公司认为,该公司网络安全架构所涵盖的主要内容包括:基础设施、网络边界、服务器应用、内网网络安全、客户端/桌面以及认证管理和加密。
基础设施,主要是指机房建设。福田汽车公司很清楚地意识到,所有的信息其实最终都是集中在信息系统里面的,而信息系统又存在于服务器、机房中,所以他们的数据中心、网络中心的一些基础的设施实际上在间接地保证他们的网络信息安全。相应的,他们对机房及数据中心的环境保障、UPS、机房的门禁、甚至一些监控系统等都有所投入,并且认为这些是对该公司网络信息安全的基本保障。
网络边界,主要内容就包含了内容过滤、入侵检测、入侵防护、流量系统防护和网络管理系统等。
服务器应用,主要包括了服务器的主机防护、网络及操作系统的漏洞扫描、数据存储备份和恢复、服务器的防病毒,以及数据库的审计系统。
内网网络安全,则包含了网络流量分析、安全准入系统、内网安全漏洞扫描和内部入侵防御系统。
客户端/桌面包含了基于桌面的防病毒软件和桌面管理系统。
认证管理和加密就是指数字证书和认证。
这些对网络安全架构的理解和规划还在继续,福田汽车公司目前的重点却是做一些和桌面安全、内网准入以及信息防泄密等方面的相关的建设,此外还有他们认为比较高级的一些部署,如数字证书、数据库审计等。但整体来说,基本框架已经建设差不多了。
结合业务的安全架构解读
下面就在上述福田汽车公司对网络安全架构的理解的基础上,结合福田汽车自身的一些实际业务应用情况来解读其全套网络安全架构的运行。
首先,基础设施建设这一块基本上是任何一个企业在其信息化达到一定规模需求时就必须要去做的事,这里就不再赘述了。
其次,网络边界安全。1.内容过滤,这个概念对很多信息化用户都是非常熟悉了的,但对于福田汽车来说,内容过滤主要是体现在上网行为管理中。他们主要控制的就是用户,包括不管是从总部还是从各个分支机构上因特网的用户。同时还对用户的上网内容进行控制和管理,比如说对一些敏感的信息,是不允许访问的,则会做阻断,有些不做阻断但会做记录,而有一些网站根本就不允许访问……这些都是采用他们的上网行为管理产品实现的,而且其中的信息库都是随时更新的。
需要说明的是,信息库中的关键字不是靠手工录入去定义哪些URL或者关键字的,而是有通用的一个信息库可以套用,更重要的是,企业还可以设定自己特有的一些敏感关键字,比如说他们可以在邮件的监控信息里面设定这个邮件的主题或者邮件的正文里面包含了哪些敏感信息,遇到相应的情况时就会转发一封邮件给系统管理员或者直接做隔离审计处理,该部分被福田汽车公司认为是企业防泄密的一个非常重要的一环,甚至他们认为这样做至少可以做到事后追查。
2.入侵检测和防护。这部分福田汽车在好多年前就部署过,但2008年已经在总部重新部署了AKS系统。相比以往被大量的信息所淹没的不爽,目前这款AKS系统更多地实现了主动的防御机制。与北京总部不同的是,福田汽车公司在其十几个因特网的分支接入机构,2009年在逐步地部署UTM,并在UTM产品的基础上去部署IPS或者说IDS,这样做的目的是使得该公司全网在只要是有出口或者入口的地方就都做了一定的安全防护。
3.带宽管理。严格来讲,可能带宽管理与网络安全的关联性并不大,但是福田汽车公司认为凡是企业内部的带宽,尤其是因特网的带宽,还有数字专线的带宽,如果不加以利用或不加以控管的话,可能其最终正常的应用就会被那些不正常的应用(比如说病毒或者说其他的一些用户/普通用户的不当操作,如传递文件,拿各种工具传递文件)所干扰,最终你的带宽资源会被耗尽,而关键业务却被迫处于不可用的状态。福田汽车公司的带宽管理主要体现在两个部分:一是,用既有的上网行为管理产品来做控制;二是,5年前就购置了专业的带宽管理设备,总体感觉效果非常理想。
4.VPN接入安全。在福田汽车公司一些小的分支机构已经应用了VPN,而且是做得很早的事情。但值得一提的是,两年前他们所选用的一款SSL VPN系统,虽然说这类产品的技术也已经比较成熟了,而且主要适用于分散系统的移动办公,但福田汽车公司的VPN系统,除了给内部的移动办公用户使用外,他们还将VPN应用在对外的一些合作伙伴,如福田汽车公司的零部件供应商、整车经销商、以及售后服务站、特约服务站等,因为他们是做商用车的,所以他们的服务站有好几千家、经销商也是上千家,所以说他们的网络接入必须支持大量的用户的安全接入。
尤其是,接入福田汽车公司的业务系统网络后,因为要支撑做订单、下单,同时做售后服务,所以要对不同用户分门别类地给予服务。相应的,对数字证书或把数字证书放在USB-key或者硬盘里面的产品就有了需求。
但因为福田汽车公司的用户数非常庞大,其企业法人、合作单位有几千家,接入的计算机有一万多台,如果给每个计算机去配置这种认证的设备的话,投入的成本非常大,所以他们当时就间接地用了SSL VPN系统,因为他们当时在做产品选用的时候,要求这个系统里面有一个功能就是它可以做用户计算机的硬件绑定这个工作,最后实现的功能就是特定的用户拿特定的账户,用特定的计算机才能登录到VPN系统里面,那么在登录进来之后才能去访问特定的系统、特定的福田汽车的系统,用自己的系统用户名和密码去访问,这是这个SSL VPN现在发挥出的主要用途,用的效果也比较好。
5.DMA区。很多年前很多企业都是这样做的,如专门有防护区,将整个系统全部放在DMA区,但是这几年有一个发展趋势,就是人们可以把这些服务器全部搬出来放进数据中心,而对外提供业务服务的这些系统,全部用来做在DMA区的应用发布,通过一些商业的应用发布系统,或者像F5的产品提供的系统,它可以把你企业的内部应用发布到DMA区,然后再去访问公司应用发布的系统,再反过来访问我们内网数据中心,这样做的好处就是,一来保证了信息安全,等于说在网络访问层面做了一些隔离,二来则可以集中对数据中心和企业内网之间去做访问控制,或者说做一些入侵防御。
6.网管系统。目前福田汽车公司所用的是一个综合网管系统,其功能不是单纯的网络监控、网络告警,而是还有一些分析的能力,它可以把各种信息抓取做一些分析,一旦这个网络设备上有一些安全事件的话,可以通过这个网管系统做一些控制。
第三,服务器应用。
1.关于服务器的主题防护,福田汽车公司早在几年前就应用了CA的叫ESE的产品,主要是能实现对服务器的一些防护,他们认为这个产品虽然已经退出中国了,但是对他们所起的作用还是很大的,因为它主要就做一些服务器级别的,比如说设定强制去对密码做复杂级别的设置,还有诸如对用户进行禁用等的功能。
2.关于网络和操作系统漏洞的扫描,有很多现成的工具,不多做介绍了。
3.数据存储备份和恢复部分,也是一般的企业都会做的事情,因为这实际上是对企业的网络信息安全做底层的服务。
4.服务器防病毒,这点其实跟桌面防病毒差不多,但是服务器级有它的特殊性,所以在服务器防病毒方面有一些特殊的要求,主要表现在防病毒的策略上。
5.数据库审计系统,这部分福田汽车公司目前还没有部署,他们觉得可能有一些更实际的网络安全的内容还没有做到,所以他们认为这类产品是比较高级的一些应用。
第四,内网网络安全。
1.内部入侵防护系统,这个其实与边界安全部分的道理是类似的,福田汽车公司主要计划是在他们内部的网络之间,比如说很多不同的工厂之间,做一些入侵防御,以防止内部网络之间出现一些入侵,同时还有另外一个非常重要的部分,就是对数据中心的入侵防御,虽然福田汽车公司现在还没有做,但是他们将要在数据中心和企业内网、骨干网之间做更集中的入侵防御。
2.网络流量分析,基本如名称所述,主要是保证关键业务的应用能有充足的带宽资源。
3.安全准入系统,现在很多企业做的类似于桌面管理,或者说像思科叫NAC这样的产品,实际上大多都是用VIP的方式实现,现在这部分工作福田汽车公司正在做,他们想借助桌面管理系统实现这个功能,但是他们有一点担心,现在很多的厂商用的是IP的方式去实现外部计算机接入的准入控制,但是如果用IP的方式会经常被一些防病毒软件或者说360安全卫士这样的软件给弄乱了,可能会不起作用。
第五,客户端/桌面。
这一部分也是福田汽车公司正在做的一个事情。包括客户端的管理,如无线接入安全。
第六,认证管理和加密。
实际上这部分是福田汽车公司做得很少的一部分,主要部署在一些非常关键的业务系统,比如说内部的资金划账的系统,还有银行的安全接口,这部分他们采用的有数字证书,也有USB-Key。此外,信息防泄密主要是对U盘和打印机的控制。
综上所述,企业现在的业务越来越依赖信息系统,而且很多涉秘的信息、安全的敏感信息也都逐渐产生于信息系统里面,所以说网络信息安全建设正在逐渐变成各行业企业用户值得深思的一个非常重要的内容。