在上一期的內(nèi)容中，企業(yè)網(wǎng)D1Net專訪北汽福田汽車集團(tuán)基礎(chǔ)設(shè)施和安全負(fù)責(zé)人張志強(qiáng)，圍繞數(shù)字化轉(zhuǎn)型背景下信息安全面臨的挑戰(zhàn)，應(yīng)用安全、平臺(tái)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全四大維度的信息安全實(shí)踐進(jìn)行了深入分享。本期內(nèi)容，企業(yè)網(wǎng)D1Net將圍繞福田汽車的安全運(yùn)營(yíng)實(shí)踐、核心數(shù)據(jù)的安全防護(hù)，勒索病毒的防御，零信任安全框架的應(yīng)用以及福田汽車2022年的信息安全規(guī)劃深入展開(kāi)。

北汽福田汽車集團(tuán)基礎(chǔ)設(shè)施和安全負(fù)責(zé)人 張志強(qiáng)

修煉安全內(nèi)功 安全運(yùn)營(yíng)成為防護(hù)新常態(tài)

在2019年以前，福田汽車一直采用縱深防御的洋蔥式安全模型。

2019年，福田汽車發(fā)生了一次安全事件，這次事件成為整個(gè)集團(tuán)增強(qiáng)安全重視程度的重要轉(zhuǎn)折點(diǎn)，自此福田汽車不但重視安全建設(shè)，更將安全運(yùn)營(yíng)機(jī)制納入到信息安全管理體系之中，著重修煉安全內(nèi)功，逐漸從對(duì)外的安全縱深防御階段過(guò)渡到對(duì)內(nèi)的安全運(yùn)營(yíng)階段。

俗話說(shuō)：“三分建設(shè)，七分運(yùn)營(yíng)”，張志強(qiáng)認(rèn)為在信息安全領(lǐng)域更是如此。

福田汽車選擇與信息安全領(lǐng)域?qū)I(yè)的服務(wù)商深信服合作，由深信服派團(tuán)隊(duì)常駐福田汽車，而信息安全部則負(fù)責(zé)公司內(nèi)部資源的協(xié)調(diào)和跨部門(mén)的調(diào)動(dòng)，雙方融為一體共同負(fù)責(zé)集團(tuán)的信息安全運(yùn)營(yíng)。福田汽車的日常安全運(yùn)營(yíng)工作圍繞7大類、24項(xiàng)內(nèi)容展開(kāi)，要求在安全事件發(fā)生當(dāng)日必須處理完成，并且每周進(jìn)行安全掃描。

針對(duì)“云、網(wǎng)、端、應(yīng)用、數(shù)據(jù)”幾大層級(jí)，張志強(qiáng)分別列舉了一些重要的運(yùn)營(yíng)內(nèi)容。

在云端的安全運(yùn)營(yíng)方面，福田汽車信息安全部協(xié)同華為云和深信服，共同進(jìn)行安全排查，解決云安全方面的諸多問(wèn)題。

首先在公有云方面，福田汽車選擇華為云的公有云服務(wù)，同時(shí)購(gòu)買了華為云的安全服務(wù)包，包含了設(shè)備+人員的服務(wù)支持。為此，華為云每周會(huì)向福田汽車提交安全運(yùn)營(yíng)報(bào)告，報(bào)告內(nèi)容包括發(fā)生了哪些信息安全事件，以攻擊日志的方式來(lái)呈現(xiàn)。例如哪些地方受到了攻擊，攻擊的行為是如何產(chǎn)生的，攻擊的目的是什么等等。

其次，在私有云方面，通過(guò)深信服的安全云腦，抽取現(xiàn)有信息安全設(shè)備中的日志信息，進(jìn)行智能分析，能夠及時(shí)發(fā)現(xiàn)潛藏的問(wèn)題，準(zhǔn)確定位到設(shè)備和賬號(hào)，便于快速進(jìn)行安全排查。

在網(wǎng)絡(luò)的安全運(yùn)營(yíng)方面，福田汽車依靠網(wǎng)絡(luò)安全設(shè)備主動(dòng)探測(cè)和發(fā)現(xiàn)內(nèi)部風(fēng)險(xiǎn)，針對(duì)脆弱性風(fēng)險(xiǎn)、漏洞掃描以及零日攻擊，通過(guò)輿情分析系統(tǒng)和態(tài)勢(shì)感知系統(tǒng)進(jìn)行分析，以可視化的方式識(shí)別攻擊事件，然后交給專業(yè)的信息安全團(tuán)隊(duì)和網(wǎng)絡(luò)團(tuán)隊(duì)進(jìn)行處理。

在端側(cè)的安全運(yùn)營(yíng)方面，福田汽車對(duì)現(xiàn)有的文件級(jí)殺毒軟件進(jìn)行了全面升級(jí)，統(tǒng)一更換成EDR(Endpoint Detection and Response，端點(diǎn)檢測(cè)與響應(yīng))。“我們認(rèn)為EDR是下一代的殺毒軟件，不僅能查殺傳統(tǒng)的文件型病毒，其本身具有輕量級(jí)、智能化、響應(yīng)快的特性，真正的以終端資產(chǎn)為核心，通過(guò)預(yù)防、防御、檢測(cè)、響應(yīng)全面賦予終端威脅防御能力，使其達(dá)到洞見(jiàn)威脅本質(zhì)，迅捷靈動(dòng)處置效果，準(zhǔn)確快速的定位和處置終端一系列安全問(wèn)題。此外，EDR特有的下一代輕補(bǔ)丁漏洞免疫技術(shù)，能夠減少被漏洞攻擊利用的風(fēng)險(xiǎn)。”張志強(qiáng)提到。

此外，福田汽車將EDR與態(tài)勢(shì)感知系統(tǒng)進(jìn)行聯(lián)動(dòng)，以挖礦病毒為例，當(dāng)EDR在終端發(fā)現(xiàn)問(wèn)題時(shí)，會(huì)直接向態(tài)勢(shì)感知系統(tǒng)反饋，而后者會(huì)將機(jī)器識(shí)別到的挖礦鏈接上傳給上網(wǎng)行為及WAF防火墻，從而進(jìn)行自動(dòng)攔截。

實(shí)際上，安全事件無(wú)時(shí)無(wú)刻不在發(fā)生，要想7*24小時(shí)實(shí)時(shí)監(jiān)測(cè)，必然要通過(guò)人工智能技術(shù)與信息安全設(shè)備之間進(jìn)行聯(lián)動(dòng)。張志強(qiáng)透露，起初具備AI能力的安全系統(tǒng)上線時(shí)會(huì)存在一些誤差，這是由于不同企業(yè)、不同系統(tǒng)之間的傳輸和代碼編寫(xiě)習(xí)慣不同造成的，系統(tǒng)經(jīng)過(guò)半年的自動(dòng)學(xué)習(xí)后，目前已有兩個(gè)月未有誤報(bào)的情況發(fā)生。

在應(yīng)用層的運(yùn)營(yíng)安全層面，福田汽車采用基于云的CWPP平臺(tái)，以SaaS的方式進(jìn)行對(duì)外網(wǎng)站的7*24小時(shí)篡改監(jiān)測(cè)，可以在網(wǎng)頁(yè)被篡改的十分鐘之內(nèi)接到告警，從而及時(shí)將系統(tǒng)或網(wǎng)頁(yè)做下線處理，避免給國(guó)家和企業(yè)帶來(lái)輿論或經(jīng)濟(jì)等方面的不良影響。

此外，在系統(tǒng)內(nèi)部，除了安裝殺毒軟件之外，還進(jìn)行主機(jī)安全配置監(jiān)控，包括系統(tǒng)開(kāi)了哪些端口、有多少用戶、密碼復(fù)雜度如何、核心配置文件是否被篡改等一系列內(nèi)容，從而從外到內(nèi)確保應(yīng)用層的安全。

在數(shù)據(jù)的安全運(yùn)營(yíng)層面，福田汽車根據(jù)系統(tǒng)和數(shù)據(jù)的不同安全等級(jí)，分時(shí)斷進(jìn)行備份，并將備份結(jié)果向上級(jí)匯報(bào)。在此基礎(chǔ)上，由業(yè)務(wù)部門(mén)的領(lǐng)導(dǎo)負(fù)責(zé)，定時(shí)進(jìn)行核心系統(tǒng)的恢復(fù)演練。此外，福田汽車設(shè)有專門(mén)的評(píng)審委員會(huì)，對(duì)系統(tǒng)架構(gòu)和數(shù)據(jù)安全進(jìn)行評(píng)審，從安全的角度輔助集團(tuán)進(jìn)行數(shù)字化轉(zhuǎn)型。

在張志強(qiáng)看來(lái)，雖然是一家傳統(tǒng)企業(yè)，福田汽車的領(lǐng)導(dǎo)層非常具有前瞻性，也非常開(kāi)放，正在積極擁抱云，其人力資源系統(tǒng)已向公有云的SaaS應(yīng)用轉(zhuǎn)型，學(xué)習(xí)系統(tǒng)也放到了SaaS應(yīng)用上。SaaS應(yīng)用牽扯到了數(shù)據(jù)流轉(zhuǎn)過(guò)程中的脫敏問(wèn)題，為此，評(píng)審委員會(huì)對(duì)數(shù)據(jù)安全與否進(jìn)行評(píng)審，然后針對(duì)身份證、電話、榮譽(yù)等各類敏感信息進(jìn)行脫敏處理。

構(gòu)筑六道安全防線 確保核心數(shù)據(jù)安全

針對(duì)那些重要的核心數(shù)據(jù)，張志強(qiáng)表示，福田汽車通過(guò)六道防線進(jìn)行安全防護(hù)。

第一道防護(hù)：物理隔離。從外部并非所有人都能進(jìn)入核心數(shù)據(jù)存儲(chǔ)所在的硬件環(huán)境。

第二道防護(hù)：權(quán)限管控。即使是機(jī)房的管理員，也沒(méi)有服務(wù)器的訪問(wèn)權(quán)限。

第三道防護(hù)：系統(tǒng)層面的3A管理制度。在核心系統(tǒng)中，管理員、操作員和審計(jì)員三者必須存在，而且嚴(yán)格按照等保要求，操作日志保留半年以上。

第四道防護(hù)：縮小接觸核心系統(tǒng)人員的范圍。通過(guò)堡壘機(jī)等技術(shù)手段將系統(tǒng)權(quán)限進(jìn)行回收，只有福田汽車正式員工才可以登錄系統(tǒng)，外包人員需要經(jīng)過(guò)層層授權(quán)，且必須在正式員工在場(chǎng)的情況下才可登錄系統(tǒng)。

第五道防護(hù)：核心系統(tǒng)備份。根據(jù)系統(tǒng)和數(shù)據(jù)的重要程度，按實(shí)時(shí)、半天、一天、一周等不同的周期進(jìn)行統(tǒng)一備份。

第六道防護(hù)：審計(jì)。由信息安全部每周對(duì)有系統(tǒng)管控權(quán)限的核心人員進(jìn)行信息安全審計(jì)(包括技術(shù)審計(jì))，出具每周審計(jì)報(bào)告向領(lǐng)導(dǎo)匯報(bào)。

據(jù)悉，福田汽車嚴(yán)格禁止員工通過(guò)22、3389等敏感端口登錄系統(tǒng)，為了防止跳轉(zhuǎn)帶來(lái)的安全風(fēng)險(xiǎn)，無(wú)論是一般系統(tǒng)、重要系統(tǒng)還是核心系統(tǒng)，員工必須先進(jìn)入堡壘機(jī)進(jìn)行審計(jì)，在所有操作都被記錄的情況下才可以登錄系統(tǒng)，目前堡壘機(jī)已納管4000余臺(tái)設(shè)備。

針對(duì)勒索病毒的三項(xiàng)防護(hù)措施

勒索病毒是近年來(lái)企業(yè)遇到的最大安全威脅，福田汽車早已意識(shí)到了勒索病毒的風(fēng)險(xiǎn)，從2019年開(kāi)始斥巨資進(jìn)行安全改造，提高應(yīng)對(duì)勒索病毒的防御等級(jí)。

針對(duì)勒索病毒的重點(diǎn)防御措施包括三個(gè)方面：

一、圍繞對(duì)外的網(wǎng)絡(luò)安全和對(duì)內(nèi)的運(yùn)營(yíng)安全兩個(gè)層面提高安全防御等級(jí)。

二、縮小管理員的權(quán)限，提高權(quán)限的把控能力。勒索病毒往往需要獲得相關(guān)的管理權(quán)限才能運(yùn)行，為此，福田汽車將權(quán)限管理作為重中之重。

福田汽車在操作系統(tǒng)層面將權(quán)限全部回收，通過(guò)IDM統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)賬號(hào)權(quán)限進(jìn)行統(tǒng)一派發(fā)、審核，通過(guò)AD系統(tǒng)(微軟目錄服務(wù))與其他系統(tǒng)進(jìn)行集成，實(shí)現(xiàn)統(tǒng)一認(rèn)證，形成邏輯上的安全邊界。張志強(qiáng)強(qiáng)調(diào)，縮小權(quán)限后，即使是DBA也只能對(duì)數(shù)據(jù)庫(kù)本身的配置進(jìn)行增刪改查操作，對(duì)于數(shù)據(jù)表層級(jí)則沒(méi)有任何權(quán)限。

三、備份。通過(guò)磁帶機(jī)的離線備份，保證數(shù)據(jù)的安全性，不會(huì)被在線攻擊所波及。

基于零信任架構(gòu)的VPN系統(tǒng)應(yīng)用實(shí)踐

由于疫情原因，遠(yuǎn)程辦公需求越來(lái)越高，如何讓員工安全、便捷地通過(guò)手機(jī)、Pad和電腦等多種終端訪問(wèn)系統(tǒng)，對(duì)于所有企業(yè)而言都是一個(gè)非常大的挑戰(zhàn)。傳統(tǒng)VPN的認(rèn)證模式比較單一，無(wú)法對(duì)數(shù)據(jù)流進(jìn)行管控，給企業(yè)帶來(lái)了極大的安全風(fēng)險(xiǎn)。

零信任的理念是永不信任，持續(xù)認(rèn)證。張志強(qiáng)提到，零信任可以分為SDP(軟件定義邊界)、IAM(增強(qiáng)身份認(rèn)證)、MSG(微隔離)三種不同的架構(gòu)，目前零信任應(yīng)用最多的是SDP。

張志強(qiáng)將福田汽車的第一套零信任技術(shù)和框架應(yīng)用到VPN系統(tǒng)中，起到了兩個(gè)方面的作用：

對(duì)每次請(qǐng)求進(jìn)行重新認(rèn)證、建立新的通道，可以將Token的定義細(xì)化到七層協(xié)議，從而使權(quán)限最小化。

實(shí)現(xiàn)數(shù)據(jù)層和控制流的分離，通過(guò)與IDM和AD集成形成統(tǒng)一的認(rèn)證中心。這樣做的好處在于雖然用戶的每次訪問(wèn)都會(huì)進(jìn)行重新認(rèn)證，但是對(duì)于實(shí)際的訪問(wèn)體驗(yàn)幾乎毫無(wú)影響，在提高安全等級(jí)的前提下，可以讓員工便利的使用系統(tǒng)。

“傳統(tǒng)的安全管理是粗顆粒度的管理模式，通過(guò)零信任的框架，能夠助力企業(yè)實(shí)現(xiàn)對(duì)安全的精細(xì)化管理和數(shù)字化運(yùn)營(yíng)，能夠帶來(lái)明顯可見(jiàn)的安全效益，這一點(diǎn)是以往的安全管理方式和技術(shù)手段很難實(shí)現(xiàn)的。”張志強(qiáng)強(qiáng)調(diào)。

VPN只是零信任架構(gòu)應(yīng)用的第一步，接下來(lái)，張志強(qiáng)希望能夠?qū)⒘阈湃渭軜?gòu)應(yīng)用到IDM、SOC平臺(tái)、終端準(zhǔn)入等多個(gè)領(lǐng)域，徹底將非授權(quán)人員拒之門(mén)外，從而提高福田汽車在同行業(yè)之間的信息安全能力水平。

福田汽車2022年安全規(guī)劃

最后，張志強(qiáng)表示，雖然福田汽車在安全方面取得了一些階段性成果，但是仍然存在諸多不足。2022年，福田汽車將從五個(gè)方面進(jìn)一步加強(qiáng)安全防御能力。

一、在數(shù)據(jù)安全方面，尤其在數(shù)據(jù)流轉(zhuǎn)方面，針對(duì)文檔加密存在的便利性和安全性不足的問(wèn)題，將采用數(shù)據(jù)泄露防護(hù)(DLP)平臺(tái)保證終端上的數(shù)據(jù)安全。

二、在網(wǎng)絡(luò)安全方面，將對(duì)態(tài)勢(shì)感知的應(yīng)用范圍從總部、核心系統(tǒng)擴(kuò)大到全集團(tuán)，將所有數(shù)據(jù)統(tǒng)一納入態(tài)勢(shì)感知平臺(tái)進(jìn)行分析和處理，實(shí)現(xiàn)集團(tuán)網(wǎng)絡(luò)安全的可視化。

三、在私有云安全防御方面，不再采用自建私有云的方式，而是采用類似托管或融資租賃的方式，向云廠商租賃設(shè)備，部署在福田汽車的數(shù)據(jù)中心，由云廠商的安全團(tuán)隊(duì)與福田汽車的安全團(tuán)隊(duì)共同進(jìn)行運(yùn)營(yíng)。采用這種方式，福田汽車擁有使用權(quán)，但沒(méi)有所有權(quán)，既能降低成本，又能讓更專業(yè)的人做專業(yè)的事，還能增強(qiáng)安全防御能力。

四、在網(wǎng)頁(yè)防篡改方面，伴隨數(shù)字化轉(zhuǎn)型，面向用戶的系統(tǒng)應(yīng)用將會(huì)越來(lái)越多，為此福田汽車將增加網(wǎng)頁(yè)防篡改方面的防御措施。

五、在終端準(zhǔn)入方面，將管轄范圍從總部擴(kuò)展到分公司，只有符合準(zhǔn)入標(biāo)準(zhǔn)配置的終端才能訪問(wèn)福田汽車內(nèi)網(wǎng)，否則只能訪問(wèn)互聯(lián)網(wǎng)。