近幾年,北汽福田集團非常重視信息安全問題并單獨成立信息安全部。從2017年我加入福田汽車至今,開始探索建立比較完善的信息安全運營體系。
北汽福田信息安全部長張志強
信息安全運營的三個痛點
目前全球網絡數字犯罪所造成的損失驚人,2021年大概6萬億美金,相當于世界經濟的10%。如果損失平攤到每個區域,大概占亞太區經濟的39%。個人認為,今年這個損失會更高。
因為今年疫情會導致很多制造型企業轉型受阻,最明顯的是辦公業務受阻。互聯網公司天生就具備遠程辦公的先決條件,而傳統企業很難實現。大多數傳統企業還是像以前一樣、通過一條VPN通道,實現最簡單的VPN遠程辦公,但企業的研發系統、核心應用怎么辦?后疫情時代,移動辦公、遠程辦公模式將是常態,這個時候的信息安全該怎么做?
隨著5G、AI、云計算、大數據、物聯網、移動辦公以及車聯網等新興應用的快速發展,新的安全問題層出不窮,信息安全面臨著巨大挑戰。比如很多公司因為要數字化轉型,必然會使用云,無論是用公有云還是私有云甚至混合云,大家最關注的是安全問題。
信息安全問題已經提升到了國家戰略高度,無論是在法律法規方面,還有監督管理方面,國家層面已經開始行動。幾乎每個季度,負責網安的同志都會問候我們一下;負責等保的同志也會找我們聊聊天,看看我們有沒有按照國家、公司的要求做等保等。我們還要實現重保,包括重大活動的重保、國家隊護網行動等。今年福田汽車又被選中了,國家會選出14支攻擊隊,其中有一支攻擊隊對福田汽車進行攻擊,檢查公司網絡是否能夠抵御常規或者一些特殊攻擊。
每年福田汽車在信息安全方面投入千萬元左右,已經采購很多安全方面的軟硬件,但缺乏的是運營。去年開始提出,要做好信息安全的運營,要把重點從建設轉移到運營。
目前福田汽車在信息安全運營方面面臨以下痛點。
1.運營機制相對落后。
主要體現是風險發現非常不及時、滯后,可能業務部門都已經發生了問題了,數小時之后,信息安全部門才能看到,導致安全工作很被動。難以保障重大活動,比如護網行動這種實戰場景。
2.專業人才缺失。
傳統企業缺乏安全人才,而且資金不足,在安全方面的投資很慎重,有些老板還需要考察投資/收益(ROI)。
安全團隊的知識比較單一,很多人員是從別的研發部門或設計部門調到安全部的,他的知識結構并不是專業的信息安全方面,所以他的安全意識相對薄弱。
舉例來說,開發人員更關注這個軟件的功能是否能實現,但是在安全工作中,沒有考慮這個軟件的代碼、架構編輯出來會帶來哪些安全因素,這也是導致安全滯后的一個最明顯的表現。目前正在嘗試引進相關模型來解決這一問題。
3.網絡架構復雜。
目前福田汽車有18個國內分支機構,還有約22個國際KD工廠,網絡結構相當復雜,意味著短板效應也會非常明顯。
安全設備的異構情況很嚴重,18個工廠幾乎買了18個安全品牌的產品,比如防火墻的品牌各不一樣;管理權又分散,因為不同的人對安全的理解不同,對系統的操控能力也不一樣;因此導致整體安全效果很難發揮出來。
目前集團已經實現了大內網,無論是華東區、華北區、華中區有很多入口,安全該怎么做?這也是今年要優化的重點。
運營思路:人機共治+運營外包+融資租賃
如何保證福田汽車這么大體量業務的安全運行?從以下方面去落地:以“被動防御”為理念的信息安全建設,將向自動化、智能化、動態化的“主動運營”轉變,也就是業界熱議的“人機共治”方式,不僅要依靠人,更要依靠現在的新技術包括AI、云計算等,實現云上云下同步安全。具體來說,福田汽車從技術、人員、流程三個層面進行信息安全建設。
1.技術
客戶需求的快速響應,要求很多業務流程、安全甚至數字化底座,也就是IT基礎設施也要具備敏捷性。在安全技術方面,我們有以下幾個最典型的要求。
安全設備必須能夠聯動,而且安全風險可視化。以前我們向老板尤其是跟CFO要錢時,只會說“很多地方不滿足安全要求,有很多惡意攻擊,相關證據只有機器里的報表,甚至有的會拿Excel表,這對老板來說,很不直觀,因此我們要做的第一件事就是安全風險的可視化,以他能接受的方式看到目前的信息安全情況,包括我們的安全是怎么做的,有多少安全技術/產品,誰在攻擊我們,攻擊我們什么系統,是否攻擊成功了等。
建立集成實現的響應平臺,包含威脅情報和威脅搜索能力,以及融合線下和線上的安全服務能力。我們和一些專業安全公司合作,比如引入他們的威脅引擎,甚至可以應用到他們的拓撲網絡,他們幫我們做一些泄密等探索更深層的工作,倚重這些公司實現線上線下的配合,來增強我們的威脅預警能力。
2.人員
制造業有一個短板,尤其是把IT定位在職能性部門,因此每年調撥的預算都有限。現在安全人員的身價水漲船高。曾經面試過一家企業的高級安全經理,要求年薪80萬。這種薪資在制造企業是比較大的支出。
我們采用融資租賃、外包運營的模式,引入專業安全團隊,幫助我們做運營,還要出相關安全體系的設備和方案,也就是把福田汽車的安全能力委托于專業安全公司,按照雙方商定好的方案、模型去建設,保證福田汽車的安全。這種做法,可以把安全成本分攤到三年支出,符合公司整體投入/收益(ROI)要求,也彌補了人才短板。
借助這個項目,我們也培養公司內部人員的素質和技能,打造屬于公司自己的人員梯隊。
3.流程
做任何事情要先做流程,制度管人,流程管事。之前的信息安全運維管理體系不夠敏捷,現在借助ISO7001重新修訂信息安全運營體系相關的管理制度,增強運營能力。
首先,修訂了組織架構,明確了職責職能。以前18個地方有18個安全老大,現在明確調撥到總部的信息安全部門,必須按照總部信息安全部門的審核,才能去投資,投資標的或標準必須符合總部要求,與總部現有運營管理平臺可以無縫銜接。
其次,安全運營要做到智慧的運營,以“智慧運營”的理念,結合大數據、SOAR(一款可編程、高性能的開源軟件無線電系統,可用于實現當前最前沿的無線通信技術)、云計算、AI等技術,整合 “人-技術-流程”,實現“主動響應閉環,持續安全運營”。從風險識別、協同保護、監測預警、響應處置、 監督檢查5 個環節,增強安全運營能力、提升安全運營效率、可視化安全風險。
圍繞這一思路,還建立了福田汽車“智云”工業互聯網安全體系架構(見下圖)。
福田汽車工業互聯網安全的整體目標是“數據不丟,應用不斷”,實現“進不來”、“拿不走”、“看不懂”、“改不了”、“走不脫”,可恢復。數據安全非常重要。有時候把數據備份就可以了,但沒有校驗備份,無法保證最終有沒有問題,所以數據一定要可恢復。在實操層面,圍繞資產生產、資產承載、資產連接、資產交互、資產消費等業務場景,識別資產到服務對象全過程風險,以及各要素安全風險,并進行有效控制。
與專業的信息安全公司共同制定公司的安全運營體系架構,融進去之前的安全理念,包括SORA、AI、態勢感知等各種技術,形成技術棧,也就是技術工具。相關人員包括外包人員、正式員工、高層領導等,都攘括在這個運營體系內。在轉型時期,每天都對流程進行優化,一天一個樣。
以前的流程非常冗余,立一個項目要等兩三個月;流程優化之后,現在15天甚至更快,項目就能批下來。
還會及時分析每個月的用戶滿意度、系統可用率,并及時向戴姆勒、康明斯甚至其他公司匯報今年的服務做得怎么樣;參考這些服務指標進行內部結算。
業務部門的用戶滿意度顯著提升,因為很多問題在用戶無感知情況下,就已經通過運營平臺解決掉了。比如有人電腦中毒了,管理員遠程可以殺毒;如果有員工利用公司設備挖礦,管理員不用去花很長的時間定位,只需要通過一張屏就可以看到挖礦鏈接是從哪兒發出、到哪兒去,點旁邊的鼠標一下,就可以聯動全集團數十道防火墻同時封掉這個鏈接。同樣,一些應用場,比如要封禁一個人、查找文件等,都可以通過運營平臺實現,去抽取他的信息、查看他的行為路徑、他的電腦流量在網上怎么傳輸的等。
通過聯動機制,可以節約很多信息安全運營人員的時間,讓他有更多時間去學習新的技術。目前我們也在打造一個學習型安全團隊,鼓勵員工每天至少拿出3~4個小時去學習,無論是學習信息安全還是學習別的技術,甚至學習別的理念,至少有這個時間要去學習,而不是一味地不停工作。
要實現這樣的目標,就要實現相關工作的標準化和自動化。在大老板支持下,福田汽車在這方面也投入人力、物力、財力來滿足這一需求。
安全運營的幾個重點
信息安全培訓是日常工作的重點之一。兩個月前,我們制定一個規則,每個月邀請業內知名廠商來培訓,包括信息安全知識、基礎設施知識等,與外面有更多交流和接觸,學習到更多知識。正因為培訓,幾個剛畢業的學生已經很快可以入手去操控智云平臺,知道如何防御挖礦等,具備了基本的安全排查能力。
標準的制定也很重要。每年福田汽車都會修訂信息安全標準,包括建設標準、運營標準等。什么要修訂?因為每年公司的業務和業態都在發生變化,要順應業務的變化來修改規則,讓業務規則越來越優化、適應業務的發展。修訂的篇幅比較大,每一次修訂大概有40多個文檔,每次修訂的工作量也很大。
我們對安全部門滿意度指標的要求是99.95%,習慣性把標準拉高,讓大家處于相對緊張的狀態,以防萬一,這種方式可能僅適合生產類和信息安全類。
對于常規類資產,引入新的主機安全機制。現在無論是公有云的安全,還是線下的私有云,都已經引入主機安全機制來彌補以前在主機上只安裝殺毒軟件等類似問題,可以更全面地去發現問題和解決問題。
福田汽車在安全建設過程中花費精力和資金投入比較多的,主要是漏洞管理和威脅管理方面。以前沒有這套安全體系時,幾乎不知道外部有什么問題會威脅到企業,甚至攻擊已經潛在企業內部了,企業也不知道。現在通過大數據分析,可以知道哪塊業務經常受攻擊,受到什么樣的攻擊,甚至會自動推送給企業某些已經發生在制造業的安全問題,方便企業提前布局。
價值與未來
信息安全體系的建設和完善,使福田汽車從傳統“被動防御”模式轉向主動響應、可視化運維、可持續運營的新型安全運營模式,有效解決了過去安全運營面臨的主動響應難、運維壓力大、持續運營難、價值體現差等問題,帶來了諸多改變。舉例如下。
1、集團攻擊態勢情況
福田汽車集團管理200多套業務系統,每套系統如果拆開,機器數量達到數千臺。如此龐大的資產,如果僅靠幾個安全人員維護,面臨很高的安全風險。目前整體攻擊態勢、攻擊分布情況,可以通過可視化視圖發送給老板查看。
2、對外連接風險監控
如果某員工外連的地區是定義的敏感區域,信息安全人員會在短時間內找到他,并自動發給他上級的上級老板,而不是他的當級老板。這一機制也是讓大家知道目前公司對安全的重視程度。
3、分支機構事件監控
定期把各事業部的安全事件上傳到北京總部進行統一分析,就是說把權限收集回來,由總部統一進行相關調度。
無論是在提高工作效率上,還是在提升安全監測掌控能力、網絡防御能力上,如今都有了很大改觀,最現實的是讓老板能夠看到信息安全工作的價值。
未來福田汽車發展的重點是車聯網、自動駕駛和后市場,勢必帶來更多商業模式的創新。福田汽車已經開始堅定不移地進行數字化轉型,而且由董事長親自帶隊。我們也將努力構建數字化的信息安全運營體系,有力地支撐未來業務的創新發展。
福田汽車簡介
1996年成立、總部位于北京的北汽福田汽車股份有限公司(簡稱福田汽車),是中國品種最全、規模最大的商用車企業,現有資產861多億元 ,2021年品牌價值超過1800億元 ,員工近4萬人,2021年累計產銷汽車首次突破1000萬輛。
在大家印象中,福田汽車是一家整車廠,現在隨著業態變化,北汽福田已經布局汽車后市場和金融市場,福田汽車成立相關投資機構和分公司,形成一體化的汽車生態。目前已經形成集整車制造、核心零部件、汽車金融、車聯網、福田電商為一體的汽車生態體系。
整體研發布局以北京為中心、輻射全國大概十五個智能創新中心;還在國內設有八個整車應用開發中心、三個合資公司技術中心、三個智能網聯科技公司。
制造板塊在全國大概有十八工廠,遍布區域比較廣泛,其中山東是最大的制造基地;在全球化布局方面,目前保留了22個KD工廠(Knocked Down,中文含義“散件組裝”),年產能均為8萬輛,已經實現全球化產業布局,還在繼續擴張。
福田汽車的合作體系也比較健全,掌控了汽車領域最核心的三大部件:1.與戴姆勒集團合資建立北汽福田戴姆勒公司;2.與發動機廠商康明斯合作建立合資發動機公司,2020年創建后處理系統。3.和采埃孚合作,無論是中輕還是重卡都采用孚埃孚變速箱。
福田汽車不僅承擔生產制造等相關業務,也參與建設國家很多行業標準,包括25%以上的國家強制性標準制定,目前獲得專利6000多件,新能源相關專利1183項。新能源是國內汽車行業另一個發展快車道,也是北汽福田彎道超車的最好時機。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)
京公網安備 11010502049343號