近几年,北汽福田集团非常重视信息安全问题并单独成立信息安全部。从2017年我加入福田汽车至今,开始探索建立比较完善的信息安全运营体系。
北汽福田信息安全部长张志强
信息安全运营的三个痛点
目前全球网络数字犯罪所造成的损失惊人,2021年大概6万亿美金,相当于世界经济的10%。如果损失平摊到每个区域,大概占亚太区经济的39%。个人认为,今年这个损失会更高。
因为今年疫情会导致很多制造型企业转型受阻,最明显的是办公业务受阻。互联网公司天生就具备远程办公的先决条件,而传统企业很难实现。大多数传统企业还是像以前一样、通过一条VPN通道,实现最简单的VPN远程办公,但企业的研发系统、核心应用怎么办?后疫情时代,移动办公、远程办公模式将是常态,这个时候的信息安全该怎么做?
随着5G、AI、云计算、大数据、物联网、移动办公以及车联网等新兴应用的快速发展,新的安全问题层出不穷,信息安全面临着巨大挑战。比如很多公司因为要数字化转型,必然会使用云,无论是用公有云还是私有云甚至混合云,大家最关注的是安全问题。
信息安全问题已经提升到了国家战略高度,无论是在法律法规方面,还有监督管理方面,国家层面已经开始行动。几乎每个季度,负责网安的同志都会问候我们一下;负责等保的同志也会找我们聊聊天,看看我们有没有按照国家、公司的要求做等保等。我们还要实现重保,包括重大活动的重保、国家队护网行动等。今年福田汽车又被选中了,国家会选出14支攻击队,其中有一支攻击队对福田汽车进行攻击,检查公司网络是否能够抵御常规或者一些特殊攻击。
每年福田汽车在信息安全方面投入千万元左右,已经采购很多安全方面的软硬件,但缺乏的是运营。去年开始提出,要做好信息安全的运营,要把重点从建设转移到运营。
目前福田汽车在信息安全运营方面面临以下痛点。
1.运营机制相对落后。
主要体现是风险发现非常不及时、滞后,可能业务部门都已经发生了问题了,数小时之后,信息安全部门才能看到,导致安全工作很被动。难以保障重大活动,比如护网行动这种实战场景。
2.专业人才缺失。
传统企业缺乏安全人才,而且资金不足,在安全方面的投资很慎重,有些老板还需要考察投资/收益(ROI)。
安全团队的知识比较单一,很多人员是从别的研发部门或设计部门调到安全部的,他的知识结构并不是专业的信息安全方面,所以他的安全意识相对薄弱。
举例来说,开发人员更关注这个软件的功能是否能实现,但是在安全工作中,没有考虑这个软件的代码、架构编辑出来会带来哪些安全因素,这也是导致安全滞后的一个最明显的表现。目前正在尝试引进相关模型来解决这一问题。
3.网络架构复杂。
目前福田汽车有18个国内分支机构,还有约22个国际KD工厂,网络结构相当复杂,意味着短板效应也会非常明显。
安全设备的异构情况很严重,18个工厂几乎买了18个安全品牌的产品,比如防火墙的品牌各不一样;管理权又分散,因为不同的人对安全的理解不同,对系统的操控能力也不一样;因此导致整体安全效果很难发挥出来。
目前集团已经实现了大内网,无论是华东区、华北区、华中区有很多入口,安全该怎么做?这也是今年要优化的重点。
运营思路:人机共治+运营外包+融资租赁
如何保证福田汽车这么大体量业务的安全运行?从以下方面去落地:以“被动防御”为理念的信息安全建设,将向自动化、智能化、动态化的“主动运营”转变,也就是业界热议的“人机共治”方式,不仅要依靠人,更要依靠现在的新技术包括AI、云计算等,实现云上云下同步安全。具体来说,福田汽车从技术、人员、流程三个层面进行信息安全建设。
1.技术
客户需求的快速响应,要求很多业务流程、安全甚至数字化底座,也就是IT基础设施也要具备敏捷性。在安全技术方面,我们有以下几个最典型的要求。
安全设备必须能够联动,而且安全风险可视化。以前我们向老板尤其是跟CFO要钱时,只会说“很多地方不满足安全要求,有很多恶意攻击,相关证据只有机器里的报表,甚至有的会拿Excel表,这对老板来说,很不直观,因此我们要做的第一件事就是安全风险的可视化,以他能接受的方式看到目前的信息安全情况,包括我们的安全是怎么做的,有多少安全技术/产品,谁在攻击我们,攻击我们什么系统,是否攻击成功了等。
建立集成实现的响应平台,包含威胁情报和威胁搜索能力,以及融合线下和线上的安全服务能力。我们和一些专业安全公司合作,比如引入他们的威胁引擎,甚至可以应用到他们的拓扑网络,他们帮我们做一些泄密等探索更深层的工作,倚重这些公司实现线上线下的配合,来增强我们的威胁预警能力。
2.人员
制造业有一个短板,尤其是把IT定位在职能性部门,因此每年调拨的预算都有限。现在安全人员的身价水涨船高。曾经面试过一家企业的高级安全经理,要求年薪80万。这种薪资在制造企业是比较大的支出。
我们采用融资租赁、外包运营的模式,引入专业安全团队,帮助我们做运营,还要出相关安全体系的设备和方案,也就是把福田汽车的安全能力委托于专业安全公司,按照双方商定好的方案、模型去建设,保证福田汽车的安全。这种做法,可以把安全成本分摊到三年支出,符合公司整体投入/收益(ROI)要求,也弥补了人才短板。
借助这个项目,我们也培养公司内部人员的素质和技能,打造属于公司自己的人员梯队。
3.流程
做任何事情要先做流程,制度管人,流程管事。之前的信息安全运维管理体系不够敏捷,现在借助ISO7001重新修订信息安全运营体系相关的管理制度,增强运营能力。
首先,修订了组织架构,明确了职责职能。以前18个地方有18个安全老大,现在明确调拨到总部的信息安全部门,必须按照总部信息安全部门的审核,才能去投资,投资标的或标准必须符合总部要求,与总部现有运营管理平台可以无缝衔接。
其次,安全运营要做到智慧的运营,以“智慧运营”的理念,结合大数据、SOAR(一款可编程、高性能的开源软件无线电系统,可用于实现当前最前沿的无线通信技术)、云计算、AI等技术,整合 “人-技术-流程”,实现“主动响应闭环,持续安全运营”。从风险识别、协同保护、监测预警、响应处置、 监督检查5 个环节,增强安全运营能力、提升安全运营效率、可视化安全风险。
围绕这一思路,还建立了福田汽车“智云”工业互联网安全体系架构(见下图)。
福田汽车工业互联网安全的整体目标是“数据不丢,应用不断”,实现“进不来”、“拿不走”、“看不懂”、“改不了”、“走不脱”,可恢复。数据安全非常重要。有时候把数据备份就可以了,但没有校验备份,无法保证最终有没有问题,所以数据一定要可恢复。在实操层面,围绕资产生产、资产承载、资产连接、资产交互、资产消费等业务场景,识别资产到服务对象全过程风险,以及各要素安全风险,并进行有效控制。
与专业的信息安全公司共同制定公司的安全运营体系架构,融进去之前的安全理念,包括SORA、AI、态势感知等各种技术,形成技术栈,也就是技术工具。相关人员包括外包人员、正式员工、高层领导等,都攘括在这个运营体系内。在转型时期,每天都对流程进行优化,一天一个样。
以前的流程非常冗余,立一个项目要等两三个月;流程优化之后,现在15天甚至更快,项目就能批下来。
还会及时分析每个月的用户满意度、系统可用率,并及时向戴姆勒、康明斯甚至其他公司汇报今年的服务做得怎么样;参考这些服务指标进行内部结算。
业务部门的用户满意度显著提升,因为很多问题在用户无感知情况下,就已经通过运营平台解决掉了。比如有人电脑中毒了,管理员远程可以杀毒;如果有员工利用公司设备挖矿,管理员不用去花很长的时间定位,只需要通过一张屏就可以看到挖矿链接是从哪儿发出、到哪儿去,点旁边的鼠标一下,就可以联动全集团数十道防火墙同时封掉这个链接。同样,一些应用场,比如要封禁一个人、查找文件等,都可以通过运营平台实现,去抽取他的信息、查看他的行为路径、他的电脑流量在网上怎么传输的等。
通过联动机制,可以节约很多信息安全运营人员的时间,让他有更多时间去学习新的技术。目前我们也在打造一个学习型安全团队,鼓励员工每天至少拿出3~4个小时去学习,无论是学习信息安全还是学习别的技术,甚至学习别的理念,至少有这个时间要去学习,而不是一味地不停工作。
要实现这样的目标,就要实现相关工作的标准化和自动化。在大老板支持下,福田汽车在这方面也投入人力、物力、财力来满足这一需求。
安全运营的几个重点
信息安全培训是日常工作的重点之一。两个月前,我们制定一个规则,每个月邀请业内知名厂商来培训,包括信息安全知识、基础设施知识等,与外面有更多交流和接触,学习到更多知识。正因为培训,几个刚毕业的学生已经很快可以入手去操控智云平台,知道如何防御挖矿等,具备了基本的安全排查能力。
标准的制定也很重要。每年福田汽车都会修订信息安全标准,包括建设标准、运营标准等。什么要修订?因为每年公司的业务和业态都在发生变化,要顺应业务的变化来修改规则,让业务规则越来越优化、适应业务的发展。修订的篇幅比较大,每一次修订大概有40多个文档,每次修订的工作量也很大。
我们对安全部门满意度指标的要求是99.95%,习惯性把标准拉高,让大家处于相对紧张的状态,以防万一,这种方式可能仅适合生产类和信息安全类。
对于常规类资产,引入新的主机安全机制。现在无论是公有云的安全,还是线下的私有云,都已经引入主机安全机制来弥补以前在主机上只安装杀毒软件等类似问题,可以更全面地去发现问题和解决问题。
福田汽车在安全建设过程中花费精力和资金投入比较多的,主要是漏洞管理和威胁管理方面。以前没有这套安全体系时,几乎不知道外部有什么问题会威胁到企业,甚至攻击已经潜在企业内部了,企业也不知道。现在通过大数据分析,可以知道哪块业务经常受攻击,受到什么样的攻击,甚至会自动推送给企业某些已经发生在制造业的安全问题,方便企业提前布局。
价值与未来
信息安全体系的建设和完善,使福田汽车从传统“被动防御”模式转向主动响应、可视化运维、可持续运营的新型安全运营模式,有效解决了过去安全运营面临的主动响应难、运维压力大、持续运营难、价值体现差等问题,带来了诸多改变。举例如下。
1、集团攻击态势情况
福田汽车集团管理200多套业务系统,每套系统如果拆开,机器数量达到数千台。如此庞大的资产,如果仅靠几个安全人员维护,面临很高的安全风险。目前整体攻击态势、攻击分布情况,可以通过可视化视图发送给老板查看。
2、对外连接风险监控
如果某员工外连的地区是定义的敏感区域,信息安全人员会在短时间内找到他,并自动发给他上级的上级老板,而不是他的当级老板。这一机制也是让大家知道目前公司对安全的重视程度。
3、分支机构事件监控
定期把各事业部的安全事件上传到北京总部进行统一分析,就是说把权限收集回来,由总部统一进行相关调度。
无论是在提高工作效率上,还是在提升安全监测掌控能力、网络防御能力上,如今都有了很大改观,最现实的是让老板能够看到信息安全工作的价值。
未来福田汽车发展的重点是车联网、自动驾驶和后市场,势必带来更多商业模式的创新。福田汽车已经开始坚定不移地进行数字化转型,而且由董事长亲自带队。我们也将努力构建数字化的信息安全运营体系,有力地支撑未来业务的创新发展。
福田汽车简介
1996年成立、总部位于北京的北汽福田汽车股份有限公司(简称福田汽车),是中国品种最全、规模最大的商用车企业,现有资产861多亿元 ,2021年品牌价值超过1800亿元 ,员工近4万人,2021年累计产销汽车首次突破1000万辆。
在大家印象中,福田汽车是一家整车厂,现在随着业态变化,北汽福田已经布局汽车后市场和金融市场,福田汽车成立相关投资机构和分公司,形成一体化的汽车生态。目前已经形成集整车制造、核心零部件、汽车金融、车联网、福田电商为一体的汽车生态体系。
整体研发布局以北京为中心、辐射全国大概十五个智能创新中心;还在国内设有八个整车应用开发中心、三个合资公司技术中心、三个智能网联科技公司。
制造板块在全国大概有十八工厂,遍布区域比较广泛,其中山东是最大的制造基地;在全球化布局方面,目前保留了22个KD工厂(Knocked Down,中文含义“散件组装”),年产能均为8万辆,已经实现全球化产业布局,还在继续扩张。
福田汽车的合作体系也比较健全,掌控了汽车领域最核心的三大部件:1.与戴姆勒集团合资建立北汽福田戴姆勒公司;2.与发动机厂商康明斯合作建立合资发动机公司,2020年创建后处理系统。3.和采埃孚合作,无论是中轻还是重卡都采用孚埃孚变速箱。
福田汽车不仅承担生产制造等相关业务,也参与建设国家很多行业标准,包括25%以上的国家强制性标准制定,目前获得专利6000多件,新能源相关专利1183项。新能源是国内汽车行业另一个发展快车道,也是北汽福田弯道超车的最好时机。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营18个IT行业公众号(微信搜索D1net即可关注)
京公网安备 11010502049343号