在上一期的內容中，企業網D1Net專訪北汽福田汽車集團基礎設施和安全負責人張志強，圍繞數字化轉型背景下信息安全面臨的挑戰，應用安全、平臺安全、網絡安全、數據安全四大維度的信息安全實踐進行了深入分享。本期內容，企業網D1Net將圍繞福田汽車的安全運營實踐、核心數據的安全防護，勒索病毒的防御，零信任安全框架的應用以及福田汽車2022年的信息安全規劃深入展開。

北汽福田汽車集團基礎設施和安全負責人 張志強

修煉安全內功 安全運營成為防護新常態

在2019年以前，福田汽車一直采用縱深防御的洋蔥式安全模型。

2019年，福田汽車發生了一次安全事件，這次事件成為整個集團增強安全重視程度的重要轉折點，自此福田汽車不但重視安全建設，更將安全運營機制納入到信息安全管理體系之中，著重修煉安全內功，逐漸從對外的安全縱深防御階段過渡到對內的安全運營階段。

俗話說：“三分建設，七分運營”，張志強認為在信息安全領域更是如此。

福田汽車選擇與信息安全領域專業的服務商深信服合作，由深信服派團隊常駐福田汽車，而信息安全部則負責公司內部資源的協調和跨部門的調動，雙方融為一體共同負責集團的信息安全運營。福田汽車的日常安全運營工作圍繞7大類、24項內容展開，要求在安全事件發生當日必須處理完成，并且每周進行安全掃描。

針對“云、網、端、應用、數據”幾大層級，張志強分別列舉了一些重要的運營內容。

在云端的安全運營方面，福田汽車信息安全部協同華為云和深信服，共同進行安全排查，解決云安全方面的諸多問題。

首先在公有云方面，福田汽車選擇華為云的公有云服務，同時購買了華為云的安全服務包，包含了設備+人員的服務支持。為此，華為云每周會向福田汽車提交安全運營報告，報告內容包括發生了哪些信息安全事件，以攻擊日志的方式來呈現。例如哪些地方受到了攻擊，攻擊的行為是如何產生的，攻擊的目的是什么等等。

其次，在私有云方面，通過深信服的安全云腦，抽取現有信息安全設備中的日志信息，進行智能分析，能夠及時發現潛藏的問題，準確定位到設備和賬號，便于快速進行安全排查。

在網絡的安全運營方面，福田汽車依靠網絡安全設備主動探測和發現內部風險，針對脆弱性風險、漏洞掃描以及零日攻擊，通過輿情分析系統和態勢感知系統進行分析，以可視化的方式識別攻擊事件，然后交給專業的信息安全團隊和網絡團隊進行處理。

在端側的安全運營方面，福田汽車對現有的文件級殺毒軟件進行了全面升級，統一更換成EDR(Endpoint Detection and Response，端點檢測與響應)。“我們認為EDR是下一代的殺毒軟件，不僅能查殺傳統的文件型病毒，其本身具有輕量級、智能化、響應快的特性，真正的以終端資產為核心，通過預防、防御、檢測、響應全面賦予終端威脅防御能力，使其達到洞見威脅本質，迅捷靈動處置效果，準確快速的定位和處置終端一系列安全問題。此外，EDR特有的下一代輕補丁漏洞免疫技術，能夠減少被漏洞攻擊利用的風險。”張志強提到。

此外，福田汽車將EDR與態勢感知系統進行聯動，以挖礦病毒為例，當EDR在終端發現問題時，會直接向態勢感知系統反饋，而后者會將機器識別到的挖礦鏈接上傳給上網行為及WAF防火墻，從而進行自動攔截。

實際上，安全事件無時無刻不在發生，要想7*24小時實時監測，必然要通過人工智能技術與信息安全設備之間進行聯動。張志強透露，起初具備AI能力的安全系統上線時會存在一些誤差，這是由于不同企業、不同系統之間的傳輸和代碼編寫習慣不同造成的，系統經過半年的自動學習后，目前已有兩個月未有誤報的情況發生。

在應用層的運營安全層面，福田汽車采用基于云的CWPP平臺，以SaaS的方式進行對外網站的7*24小時篡改監測，可以在網頁被篡改的十分鐘之內接到告警，從而及時將系統或網頁做下線處理，避免給國家和企業帶來輿論或經濟等方面的不良影響。

此外，在系統內部，除了安裝殺毒軟件之外，還進行主機安全配置監控，包括系統開了哪些端口、有多少用戶、密碼復雜度如何、核心配置文件是否被篡改等一系列內容，從而從外到內確保應用層的安全。

在數據的安全運營層面，福田汽車根據系統和數據的不同安全等級，分時斷進行備份，并將備份結果向上級匯報。在此基礎上，由業務部門的領導負責，定時進行核心系統的恢復演練。此外，福田汽車設有專門的評審委員會，對系統架構和數據安全進行評審，從安全的角度輔助集團進行數字化轉型。

在張志強看來，雖然是一家傳統企業，福田汽車的領導層非常具有前瞻性，也非常開放，正在積極擁抱云，其人力資源系統已向公有云的SaaS應用轉型，學習系統也放到了SaaS應用上。SaaS應用牽扯到了數據流轉過程中的脫敏問題，為此，評審委員會對數據安全與否進行評審，然后針對身份證、電話、榮譽等各類敏感信息進行脫敏處理。

構筑六道安全防線 確保核心數據安全

針對那些重要的核心數據，張志強表示，福田汽車通過六道防線進行安全防護。

第一道防護：物理隔離。從外部并非所有人都能進入核心數據存儲所在的硬件環境。

第二道防護：權限管控。即使是機房的管理員，也沒有服務器的訪問權限。

第三道防護：系統層面的3A管理制度。在核心系統中，管理員、操作員和審計員三者必須存在，而且嚴格按照等保要求，操作日志保留半年以上。

第四道防護：縮小接觸核心系統人員的范圍。通過堡壘機等技術手段將系統權限進行回收，只有福田汽車正式員工才可以登錄系統，外包人員需要經過層層授權，且必須在正式員工在場的情況下才可登錄系統。

第五道防護：核心系統備份。根據系統和數據的重要程度，按實時、半天、一天、一周等不同的周期進行統一備份。

第六道防護：審計。由信息安全部每周對有系統管控權限的核心人員進行信息安全審計(包括技術審計)，出具每周審計報告向領導匯報。

據悉，福田汽車嚴格禁止員工通過22、3389等敏感端口登錄系統，為了防止跳轉帶來的安全風險，無論是一般系統、重要系統還是核心系統，員工必須先進入堡壘機進行審計，在所有操作都被記錄的情況下才可以登錄系統，目前堡壘機已納管4000余臺設備。

針對勒索病毒的三項防護措施

勒索病毒是近年來企業遇到的最大安全威脅，福田汽車早已意識到了勒索病毒的風險，從2019年開始斥巨資進行安全改造，提高應對勒索病毒的防御等級。

針對勒索病毒的重點防御措施包括三個方面：

一、圍繞對外的網絡安全和對內的運營安全兩個層面提高安全防御等級。

二、縮小管理員的權限，提高權限的把控能力。勒索病毒往往需要獲得相關的管理權限才能運行，為此，福田汽車將權限管理作為重中之重。

福田汽車在操作系統層面將權限全部回收，通過IDM統一身份認證系統對賬號權限進行統一派發、審核，通過AD系統(微軟目錄服務)與其他系統進行集成，實現統一認證，形成邏輯上的安全邊界。張志強強調，縮小權限后，即使是DBA也只能對數據庫本身的配置進行增刪改查操作，對于數據表層級則沒有任何權限。

三、備份。通過磁帶機的離線備份，保證數據的安全性，不會被在線攻擊所波及。

基于零信任架構的VPN系統應用實踐

由于疫情原因，遠程辦公需求越來越高，如何讓員工安全、便捷地通過手機、Pad和電腦等多種終端訪問系統，對于所有企業而言都是一個非常大的挑戰。傳統VPN的認證模式比較單一，無法對數據流進行管控，給企業帶來了極大的安全風險。

零信任的理念是永不信任，持續認證。張志強提到，零信任可以分為SDP(軟件定義邊界)、IAM(增強身份認證)、MSG(微隔離)三種不同的架構，目前零信任應用最多的是SDP。

張志強將福田汽車的第一套零信任技術和框架應用到VPN系統中，起到了兩個方面的作用：

1、對每次請求進行重新認證、建立新的通道，可以將Token的定義細化到七層協議，從而使權限最小化。

2、實現數據層和控制流的分離，通過與IDM和AD集成形成統一的認證中心。這樣做的好處在于雖然用戶的每次訪問都會進行重新認證，但是對于實際的訪問體驗幾乎毫無影響，在提高安全等級的前提下，可以讓員工便利的使用系統。

“傳統的安全管理是粗顆粒度的管理模式，通過零信任的框架，能夠助力企業實現對安全的精細化管理和數字化運營，能夠帶來明顯可見的安全效益，這一點是以往的安全管理方式和技術手段很難實現的。”張志強強調。

VPN只是零信任架構應用的第一步，接下來，張志強希望能夠將零信任架構應用到IDM、SOC平臺、終端準入等多個領域，徹底將非授權人員拒之門外，從而提高福田汽車在同行業之間的信息安全能力水平。

福田汽車2022年安全規劃

最后，張志強表示，雖然福田汽車在安全方面取得了一些階段性成果，但是仍然存在諸多不足。2022年，福田汽車將從五個方面進一步加強安全防御能力。

一、在數據安全方面，尤其在數據流轉方面，針對文檔加密存在的便利性和安全性不足的問題，將采用數據泄露防護(DLP)平臺保證終端上的數據安全。

二、在網絡安全方面，將對態勢感知的應用范圍從總部、核心系統擴大到全集團，將所有數據統一納入態勢感知平臺進行分析和處理，實現集團網絡安全的可視化。

三、在私有云安全防御方面，不再采用自建私有云的方式，而是采用類似托管或融資租賃的方式，向云廠商租賃設備，部署在福田汽車的數據中心，由云廠商的安全團隊與福田汽車的安全團隊共同進行運營。采用這種方式，福田汽車擁有使用權，但沒有所有權，既能降低成本，又能讓更專業的人做專業的事，還能增強安全防御能力。

四、在網頁防篡改方面，伴隨數字化轉型，面向用戶的系統應用將會越來越多，為此福田汽車將增加網頁防篡改方面的防御措施。

五、在終端準入方面，將管轄范圍從總部擴展到分公司，只有符合準入標準配置的終端才能訪問福田汽車內網，否則只能訪問互聯網。