根據(jù)各界權(quán)威數(shù)據(jù)顯示，制造業(yè)已經(jīng)當(dāng)之無(wú)愧地成為近年來(lái)在信息化應(yīng)用領(lǐng)域不斷深化的主流行業(yè)用戶(hù)群，相應(yīng)的，其網(wǎng)絡(luò)信息安全架構(gòu)的建設(shè)也是如火如荼。

福田汽車(chē)作為一家跨所有制并且堅(jiān)持自主發(fā)展的大型汽車(chē)制造業(yè)老牌企業(yè)，多年來(lái)憑借其自有實(shí)力一直位居全國(guó)汽車(chē)制造業(yè)第五位，其2008年的年汽車(chē)產(chǎn)銷(xiāo)量約為40.9萬(wàn)輛，銷(xiāo)售收入達(dá)300多億。單從這些數(shù)字便看得出，福田汽車(chē)絕對(duì)是一家大規(guī)模的制造業(yè)企業(yè)。事實(shí)上，福田汽車(chē)的分支機(jī)構(gòu)跨越了十多個(gè)省、市、自治區(qū)以及直轄市，而且該公司內(nèi)部也建成了一張非常大的企業(yè)內(nèi)網(wǎng)。并據(jù)相關(guān)負(fù)責(zé)人透露，福田汽車(chē)的企業(yè)內(nèi)網(wǎng)是從對(duì)網(wǎng)絡(luò)安全的不重視，到逐漸出現(xiàn)很多問(wèn)題后求助安全產(chǎn)品救援，直到現(xiàn)在建成了一套非常全面豐富的網(wǎng)絡(luò)安全架構(gòu)。

那么，究竟福田汽車(chē)公司的網(wǎng)絡(luò)安全架構(gòu)是如何構(gòu)建的呢?其構(gòu)建思路又能為其他行業(yè)用戶(hù)帶來(lái)哪些可分享的經(jīng)驗(yàn)?zāi)?

純網(wǎng)絡(luò)安全架構(gòu)描述

單純從技術(shù)的角度講，在網(wǎng)絡(luò)接入方面，福田汽車(chē)公司的各事業(yè)部和北京總部之間，幾乎全部都是拿數(shù)字專(zhuān)線連接在一起的，當(dāng)然也有個(gè)別的非常小的分支機(jī)構(gòu)，是拿傳統(tǒng)的VPN方式接入的。在鏈路優(yōu)化方面，該公司也有專(zhuān)門(mén)的負(fù)載均衡系統(tǒng)。

而在網(wǎng)絡(luò)安全方面，福田汽車(chē)公司在其北京總部的網(wǎng)絡(luò)核心處配置有上網(wǎng)行為管理系統(tǒng)，該產(chǎn)品面對(duì)北京總部一個(gè)很大的廠區(qū)對(duì)上網(wǎng)行為進(jìn)行監(jiān)控和管理，當(dāng)然這個(gè)產(chǎn)品已經(jīng)在各分支機(jī)構(gòu)中逐步地展開(kāi)了推廣，現(xiàn)在已經(jīng)有超過(guò)一半的分支機(jī)構(gòu)配有上網(wǎng)行為監(jiān)控系統(tǒng)。與此同時(shí)，與總部的各事業(yè)部類(lèi)似，福田汽車(chē)公司分布在各地的每個(gè)分支機(jī)構(gòu)網(wǎng)絡(luò)中，凡是有因特網(wǎng)接入的應(yīng)用網(wǎng)絡(luò)就都部署了防病毒、防火墻、VPN、反垃圾郵件、內(nèi)容過(guò)濾等產(chǎn)品，而這些常用的功能又基本上都集中在一臺(tái)機(jī)器里面。

總得來(lái)說(shuō)，福田汽車(chē)公司認(rèn)為，該公司網(wǎng)絡(luò)安全架構(gòu)所涵蓋的主要內(nèi)容包括：基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、服務(wù)器應(yīng)用、內(nèi)網(wǎng)網(wǎng)絡(luò)安全、客戶(hù)端/桌面以及認(rèn)證管理和加密。

基礎(chǔ)設(shè)施，主要是指機(jī)房建設(shè)。福田汽車(chē)公司很清楚地意識(shí)到，所有的信息其實(shí)最終都是集中在信息系統(tǒng)里面的，而信息系統(tǒng)又存在于服務(wù)器、機(jī)房中，所以他們的數(shù)據(jù)中心、網(wǎng)絡(luò)中心的一些基礎(chǔ)的設(shè)施實(shí)際上在間接地保證他們的網(wǎng)絡(luò)信息安全。相應(yīng)的，他們對(duì)機(jī)房及數(shù)據(jù)中心的環(huán)境保障、UPS、機(jī)房的門(mén)禁、甚至一些監(jiān)控系統(tǒng)等都有所投入，并且認(rèn)為這些是對(duì)該公司網(wǎng)絡(luò)信息安全的基本保障。

網(wǎng)絡(luò)邊界，主要內(nèi)容就包含了內(nèi)容過(guò)濾、入侵檢測(cè)、入侵防護(hù)、流量系統(tǒng)防護(hù)和網(wǎng)絡(luò)管理系統(tǒng)等。

服務(wù)器應(yīng)用，主要包括了服務(wù)器的主機(jī)防護(hù)、網(wǎng)絡(luò)及操作系統(tǒng)的漏洞掃描、數(shù)據(jù)存儲(chǔ)備份和恢復(fù)、服務(wù)器的防病毒，以及數(shù)據(jù)庫(kù)的審計(jì)系統(tǒng)。

內(nèi)網(wǎng)網(wǎng)絡(luò)安全，則包含了網(wǎng)絡(luò)流量分析、安全準(zhǔn)入系統(tǒng)、內(nèi)網(wǎng)安全漏洞掃描和內(nèi)部入侵防御系統(tǒng)。

客戶(hù)端/桌面包含了基于桌面的防病毒軟件和桌面管理系統(tǒng)。

認(rèn)證管理和加密就是指數(shù)字證書(shū)和認(rèn)證。

這些對(duì)網(wǎng)絡(luò)安全架構(gòu)的理解和規(guī)劃還在繼續(xù)，福田汽車(chē)公司目前的重點(diǎn)卻是做一些和桌面安全、內(nèi)網(wǎng)準(zhǔn)入以及信息防泄密等方面的相關(guān)的建設(shè)，此外還有他們認(rèn)為比較高級(jí)的一些部署，如數(shù)字證書(shū)、數(shù)據(jù)庫(kù)審計(jì)等。但整體來(lái)說(shuō)，基本框架已經(jīng)建設(shè)差不多了。

結(jié)合業(yè)務(wù)的安全架構(gòu)解讀

下面就在上述福田汽車(chē)公司對(duì)網(wǎng)絡(luò)安全架構(gòu)的理解的基礎(chǔ)上，結(jié)合福田汽車(chē)自身的一些實(shí)際業(yè)務(wù)應(yīng)用情況來(lái)解讀其全套網(wǎng)絡(luò)安全架構(gòu)的運(yùn)行。

首先，基礎(chǔ)設(shè)施建設(shè)這一塊基本上是任何一個(gè)企業(yè)在其信息化達(dá)到一定規(guī)模需求時(shí)就必須要去做的事，這里就不再贅述了。

其次，網(wǎng)絡(luò)邊界安全。1.內(nèi)容過(guò)濾，這個(gè)概念對(duì)很多信息化用戶(hù)都是非常熟悉了的，但對(duì)于福田汽車(chē)來(lái)說(shuō)，內(nèi)容過(guò)濾主要是體現(xiàn)在上網(wǎng)行為管理中。他們主要控制的就是用戶(hù)，包括不管是從總部還是從各個(gè)分支機(jī)構(gòu)上因特網(wǎng)的用戶(hù)。同時(shí)還對(duì)用戶(hù)的上網(wǎng)內(nèi)容進(jìn)行控制和管理，比如說(shuō)對(duì)一些敏感的信息，是不允許訪問(wèn)的，則會(huì)做阻斷，有些不做阻斷但會(huì)做記錄，而有一些網(wǎng)站根本就不允許訪問(wèn)……這些都是采用他們的上網(wǎng)行為管理產(chǎn)品實(shí)現(xiàn)的，而且其中的信息庫(kù)都是隨時(shí)更新的。

需要說(shuō)明的是，信息庫(kù)中的關(guān)鍵字不是靠手工錄入去定義哪些URL或者關(guān)鍵字的，而是有通用的一個(gè)信息庫(kù)可以套用，更重要的是，企業(yè)還可以設(shè)定自己特有的一些敏感關(guān)鍵字，比如說(shuō)他們可以在郵件的監(jiān)控信息里面設(shè)定這個(gè)郵件的主題或者郵件的正文里面包含了哪些敏感信息，遇到相應(yīng)的情況時(shí)就會(huì)轉(zhuǎn)發(fā)一封郵件給系統(tǒng)管理員或者直接做隔離審計(jì)處理，該部分被福田汽車(chē)公司認(rèn)為是企業(yè)防泄密的一個(gè)非常重要的一環(huán)，甚至他們認(rèn)為這樣做至少可以做到事后追查。

2.入侵檢測(cè)和防護(hù)。這部分福田汽車(chē)在好多年前就部署過(guò)，但2008年已經(jīng)在總部重新部署了AKS系統(tǒng)。相比以往被大量的信息所淹沒(méi)的不爽，目前這款A(yù)KS系統(tǒng)更多地實(shí)現(xiàn)了主動(dòng)的防御機(jī)制。與北京總部不同的是，福田汽車(chē)公司在其十幾個(gè)因特網(wǎng)的分支接入機(jī)構(gòu)，2009年在逐步地部署UTM，并在UTM產(chǎn)品的基礎(chǔ)上去部署IPS或者說(shuō)IDS，這樣做的目的是使得該公司全網(wǎng)在只要是有出口或者入口的地方就都做了一定的安全防護(hù)。

3.帶寬管理。嚴(yán)格來(lái)講，可能帶寬管理與網(wǎng)絡(luò)安全的關(guān)聯(lián)性并不大，但是福田汽車(chē)公司認(rèn)為凡是企業(yè)內(nèi)部的帶寬，尤其是因特網(wǎng)的帶寬，還有數(shù)字專(zhuān)線的帶寬，如果不加以利用或不加以控管的話(huà)，可能其最終正常的應(yīng)用就會(huì)被那些不正常的應(yīng)用(比如說(shuō)病毒或者說(shuō)其他的一些用戶(hù)/普通用戶(hù)的不當(dāng)操作，如傳遞文件，拿各種工具傳遞文件)所干擾，最終你的帶寬資源會(huì)被耗盡，而關(guān)鍵業(yè)務(wù)卻被迫處于不可用的狀態(tài)。福田汽車(chē)公司的帶寬管理主要體現(xiàn)在兩個(gè)部分：一是，用既有的上網(wǎng)行為管理產(chǎn)品來(lái)做控制;二是，5年前就購(gòu)置了專(zhuān)業(yè)的帶寬管理設(shè)備，總體感覺(jué)效果非常理想。

4.VPN接入安全。在福田汽車(chē)公司一些小的分支機(jī)構(gòu)已經(jīng)應(yīng)用了VPN，而且是做得很早的事情。但值得一提的是，兩年前他們所選用的一款SSL VPN系統(tǒng)，雖然說(shuō)這類(lèi)產(chǎn)品的技術(shù)也已經(jīng)比較成熟了，而且主要適用于分散系統(tǒng)的移動(dòng)辦公，但福田汽車(chē)公司的VPN系統(tǒng)，除了給內(nèi)部的移動(dòng)辦公用戶(hù)使用外，他們還將VPN應(yīng)用在對(duì)外的一些合作伙伴，如福田汽車(chē)公司的零部件供應(yīng)商、整車(chē)經(jīng)銷(xiāo)商、以及售后服務(wù)站、特約服務(wù)站等，因?yàn)樗麄兪亲錾逃密?chē)的，所以他們的服務(wù)站有好幾千家、經(jīng)銷(xiāo)商也是上千家，所以說(shuō)他們的網(wǎng)絡(luò)接入必須支持大量的用戶(hù)的安全接入。

尤其是，接入福田汽車(chē)公司的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)后，因?yàn)橐巫鲇唵巍⑾聠?，同時(shí)做售后服務(wù)，所以要對(duì)不同用戶(hù)分門(mén)別類(lèi)地給予服務(wù)。相應(yīng)的，對(duì)數(shù)字證書(shū)或把數(shù)字證書(shū)放在USB-key或者硬盤(pán)里面的產(chǎn)品就有了需求。

但因?yàn)楦Ｌ锲?chē)公司的用戶(hù)數(shù)非常龐大，其企業(yè)法人、合作單位有幾千家，接入的計(jì)算機(jī)有一萬(wàn)多臺(tái)，如果給每個(gè)計(jì)算機(jī)去配置這種認(rèn)證的設(shè)備的話(huà)，投入的成本非常大，所以他們當(dāng)時(shí)就間接地用了SSL VPN系統(tǒng)，因?yàn)樗麄儺?dāng)時(shí)在做產(chǎn)品選用的時(shí)候，要求這個(gè)系統(tǒng)里面有一個(gè)功能就是它可以做用戶(hù)計(jì)算機(jī)的硬件綁定這個(gè)工作，最后實(shí)現(xiàn)的功能就是特定的用戶(hù)拿特定的賬戶(hù)，用特定的計(jì)算機(jī)才能登錄到VPN系統(tǒng)里面，那么在登錄進(jìn)來(lái)之后才能去訪問(wèn)特定的系統(tǒng)、特定的福田汽車(chē)的系統(tǒng)，用自己的系統(tǒng)用戶(hù)名和密碼去訪問(wèn)，這是這個(gè)SSL VPN現(xiàn)在發(fā)揮出的主要用途，用的效果也比較好。

5.DMA區(qū)。很多年前很多企業(yè)都是這樣做的，如專(zhuān)門(mén)有防護(hù)區(qū)，將整個(gè)系統(tǒng)全部放在DMA區(qū)，但是這幾年有一個(gè)發(fā)展趨勢(shì)，就是人們可以把這些服務(wù)器全部搬出來(lái)放進(jìn)數(shù)據(jù)中心，而對(duì)外提供業(yè)務(wù)服務(wù)的這些系統(tǒng)，全部用來(lái)做在DMA區(qū)的應(yīng)用發(fā)布，通過(guò)一些商業(yè)的應(yīng)用發(fā)布系統(tǒng)，或者像F5的產(chǎn)品提供的系統(tǒng)，它可以把你企業(yè)的內(nèi)部應(yīng)用發(fā)布到DMA區(qū)，然后再去訪問(wèn)公司應(yīng)用發(fā)布的系統(tǒng)，再反過(guò)來(lái)訪問(wèn)我們內(nèi)網(wǎng)數(shù)據(jù)中心，這樣做的好處就是，一來(lái)保證了信息安全，等于說(shuō)在網(wǎng)絡(luò)訪問(wèn)層面做了一些隔離，二來(lái)則可以集中對(duì)數(shù)據(jù)中心和企業(yè)內(nèi)網(wǎng)之間去做訪問(wèn)控制，或者說(shuō)做一些入侵防御。

6.網(wǎng)管系統(tǒng)。目前福田汽車(chē)公司所用的是一個(gè)綜合網(wǎng)管系統(tǒng)，其功能不是單純的網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)告警，而是還有一些分析的能力，它可以把各種信息抓取做一些分析，一旦這個(gè)網(wǎng)絡(luò)設(shè)備上有一些安全事件的話(huà)，可以通過(guò)這個(gè)網(wǎng)管系統(tǒng)做一些控制。

第三，服務(wù)器應(yīng)用。

1.關(guān)于服務(wù)器的主題防護(hù)，福田汽車(chē)公司早在幾年前就應(yīng)用了CA的叫ESE的產(chǎn)品，主要是能實(shí)現(xiàn)對(duì)服務(wù)器的一些防護(hù)，他們認(rèn)為這個(gè)產(chǎn)品雖然已經(jīng)退出中國(guó)了，但是對(duì)他們所起的作用還是很大的，因?yàn)樗饕妥鲆恍┓?wù)器級(jí)別的，比如說(shuō)設(shè)定強(qiáng)制去對(duì)密碼做復(fù)雜級(jí)別的設(shè)置，還有諸如對(duì)用戶(hù)進(jìn)行禁用等的功能。

2.關(guān)于網(wǎng)絡(luò)和操作系統(tǒng)漏洞的掃描，有很多現(xiàn)成的工具，不多做介紹了。

3.數(shù)據(jù)存儲(chǔ)備份和恢復(fù)部分，也是一般的企業(yè)都會(huì)做的事情，因?yàn)檫@實(shí)際上是對(duì)企業(yè)的網(wǎng)絡(luò)信息安全做底層的服務(wù)。

4.服務(wù)器防病毒，這點(diǎn)其實(shí)跟桌面防病毒差不多，但是服務(wù)器級(jí)有它的特殊性，所以在服務(wù)器防病毒方面有一些特殊的要求，主要表現(xiàn)在防病毒的策略上。

5.數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，這部分福田汽車(chē)公司目前還沒(méi)有部署，他們覺(jué)得可能有一些更實(shí)際的網(wǎng)絡(luò)安全的內(nèi)容還沒(méi)有做到，所以他們認(rèn)為這類(lèi)產(chǎn)品是比較高級(jí)的一些應(yīng)用。

第四，內(nèi)網(wǎng)網(wǎng)絡(luò)安全。

1.內(nèi)部入侵防護(hù)系統(tǒng)，這個(gè)其實(shí)與邊界安全部分的道理是類(lèi)似的，福田汽車(chē)公司主要計(jì)劃是在他們內(nèi)部的網(wǎng)絡(luò)之間，比如說(shuō)很多不同的工廠之間，做一些入侵防御，以防止內(nèi)部網(wǎng)絡(luò)之間出現(xiàn)一些入侵，同時(shí)還有另外一個(gè)非常重要的部分，就是對(duì)數(shù)據(jù)中心的入侵防御，雖然福田汽車(chē)公司現(xiàn)在還沒(méi)有做，但是他們將要在數(shù)據(jù)中心和企業(yè)內(nèi)網(wǎng)、骨干網(wǎng)之間做更集中的入侵防御。

2.網(wǎng)絡(luò)流量分析，基本如名稱(chēng)所述，主要是保證關(guān)鍵業(yè)務(wù)的應(yīng)用能有充足的帶寬資源。

3.安全準(zhǔn)入系統(tǒng)，現(xiàn)在很多企業(yè)做的類(lèi)似于桌面管理，或者說(shuō)像思科叫NAC這樣的產(chǎn)品，實(shí)際上大多都是用VIP的方式實(shí)現(xiàn)，現(xiàn)在這部分工作福田汽車(chē)公司正在做，他們想借助桌面管理系統(tǒng)實(shí)現(xiàn)這個(gè)功能，但是他們有一點(diǎn)擔(dān)心，現(xiàn)在很多的廠商用的是IP的方式去實(shí)現(xiàn)外部計(jì)算機(jī)接入的準(zhǔn)入控制，但是如果用IP的方式會(huì)經(jīng)常被一些防病毒軟件或者說(shuō)360安全衛(wèi)士這樣的軟件給弄亂了，可能會(huì)不起作用。

第五，客戶(hù)端/桌面。

這一部分也是福田汽車(chē)公司正在做的一個(gè)事情。包括客戶(hù)端的管理，如無(wú)線接入安全。

第六，認(rèn)證管理和加密。

實(shí)際上這部分是福田汽車(chē)公司做得很少的一部分，主要部署在一些非常關(guān)鍵的業(yè)務(wù)系統(tǒng)，比如說(shuō)內(nèi)部的資金劃賬的系統(tǒng)，還有銀行的安全接口，這部分他們采用的有數(shù)字證書(shū)，也有USB-Key。此外，信息防泄密主要是對(duì)U盤(pán)和打印機(jī)的控制。

綜上所述，企業(yè)現(xiàn)在的業(yè)務(wù)越來(lái)越依賴(lài)信息系統(tǒng)，而且很多涉秘的信息、安全的敏感信息也都逐漸產(chǎn)生于信息系統(tǒng)里面，所以說(shuō)網(wǎng)絡(luò)信息安全建設(shè)正在逐漸變成各行業(yè)企業(yè)用戶(hù)值得深思的一個(gè)非常重要的內(nèi)容。