根據各界權威數據顯示，制造業已經當之無愧地成為近年來在信息化應用領域不斷深化的主流行業用戶群，相應的，其網絡信息安全架構的建設也是如火如荼。

福田汽車作為一家跨所有制并且堅持自主發展的大型汽車制造業老牌企業，多年來憑借其自有實力一直位居全國汽車制造業第五位，其2008年的年汽車產銷量約為40.9萬輛，銷售收入達300多億。單從這些數字便看得出，福田汽車絕對是一家大規模的制造業企業。事實上，福田汽車的分支機構跨越了十多個省、市、自治區以及直轄市，而且該公司內部也建成了一張非常大的企業內網。并據相關負責人透露，福田汽車的企業內網是從對網絡安全的不重視，到逐漸出現很多問題后求助安全產品救援，直到現在建成了一套非常全面豐富的網絡安全架構。

那么，究竟福田汽車公司的網絡安全架構是如何構建的呢?其構建思路又能為其他行業用戶帶來哪些可分享的經驗呢?

純網絡安全架構描述

單純從技術的角度講，在網絡接入方面，福田汽車公司的各事業部和北京總部之間，幾乎全部都是拿數字專線連接在一起的，當然也有個別的非常小的分支機構，是拿傳統的VPN方式接入的。在鏈路優化方面，該公司也有專門的負載均衡系統。

而在網絡安全方面，福田汽車公司在其北京總部的網絡核心處配置有上網行為管理系統，該產品面對北京總部一個很大的廠區對上網行為進行監控和管理，當然這個產品已經在各分支機構中逐步地展開了推廣，現在已經有超過一半的分支機構配有上網行為監控系統。與此同時，與總部的各事業部類似，福田汽車公司分布在各地的每個分支機構網絡中，凡是有因特網接入的應用網絡就都部署了防病毒、防火墻、VPN、反垃圾郵件、內容過濾等產品，而這些常用的功能又基本上都集中在一臺機器里面。

總得來說，福田汽車公司認為，該公司網絡安全架構所涵蓋的主要內容包括：基礎設施、網絡邊界、服務器應用、內網網絡安全、客戶端/桌面以及認證管理和加密。

基礎設施，主要是指機房建設。福田汽車公司很清楚地意識到，所有的信息其實最終都是集中在信息系統里面的，而信息系統又存在于服務器、機房中，所以他們的數據中心、網絡中心的一些基礎的設施實際上在間接地保證他們的網絡信息安全。相應的，他們對機房及數據中心的環境保障、UPS、機房的門禁、甚至一些監控系統等都有所投入，并且認為這些是對該公司網絡信息安全的基本保障。

網絡邊界，主要內容就包含了內容過濾、入侵檢測、入侵防護、流量系統防護和網絡管理系統等。

服務器應用，主要包括了服務器的主機防護、網絡及操作系統的漏洞掃描、數據存儲備份和恢復、服務器的防病毒，以及數據庫的審計系統。

內網網絡安全，則包含了網絡流量分析、安全準入系統、內網安全漏洞掃描和內部入侵防御系統。

客戶端/桌面包含了基于桌面的防病毒軟件和桌面管理系統。

認證管理和加密就是指數字證書和認證。

這些對網絡安全架構的理解和規劃還在繼續，福田汽車公司目前的重點卻是做一些和桌面安全、內網準入以及信息防泄密等方面的相關的建設，此外還有他們認為比較高級的一些部署，如數字證書、數據庫審計等。但整體來說，基本框架已經建設差不多了。

結合業務的安全架構解讀

下面就在上述福田汽車公司對網絡安全架構的理解的基礎上，結合福田汽車自身的一些實際業務應用情況來解讀其全套網絡安全架構的運行。

首先，基礎設施建設這一塊基本上是任何一個企業在其信息化達到一定規模需求時就必須要去做的事，這里就不再贅述了。

其次，網絡邊界安全。1.內容過濾，這個概念對很多信息化用戶都是非常熟悉了的，但對于福田汽車來說，內容過濾主要是體現在上網行為管理中。他們主要控制的就是用戶，包括不管是從總部還是從各個分支機構上因特網的用戶。同時還對用戶的上網內容進行控制和管理，比如說對一些敏感的信息，是不允許訪問的，則會做阻斷，有些不做阻斷但會做記錄，而有一些網站根本就不允許訪問……這些都是采用他們的上網行為管理產品實現的，而且其中的信息庫都是隨時更新的。

需要說明的是，信息庫中的關鍵字不是靠手工錄入去定義哪些URL或者關鍵字的，而是有通用的一個信息庫可以套用，更重要的是，企業還可以設定自己特有的一些敏感關鍵字，比如說他們可以在郵件的監控信息里面設定這個郵件的主題或者郵件的正文里面包含了哪些敏感信息，遇到相應的情況時就會轉發一封郵件給系統管理員或者直接做隔離審計處理，該部分被福田汽車公司認為是企業防泄密的一個非常重要的一環，甚至他們認為這樣做至少可以做到事后追查。

2.入侵檢測和防護。這部分福田汽車在好多年前就部署過，但2008年已經在總部重新部署了AKS系統。相比以往被大量的信息所淹沒的不爽，目前這款AKS系統更多地實現了主動的防御機制。與北京總部不同的是，福田汽車公司在其十幾個因特網的分支接入機構，2009年在逐步地部署UTM，并在UTM產品的基礎上去部署IPS或者說IDS，這樣做的目的是使得該公司全網在只要是有出口或者入口的地方就都做了一定的安全防護。

3.帶寬管理。嚴格來講，可能帶寬管理與網絡安全的關聯性并不大，但是福田汽車公司認為凡是企業內部的帶寬，尤其是因特網的帶寬，還有數字專線的帶寬，如果不加以利用或不加以控管的話，可能其最終正常的應用就會被那些不正常的應用(比如說病毒或者說其他的一些用戶/普通用戶的不當操作，如傳遞文件，拿各種工具傳遞文件)所干擾，最終你的帶寬資源會被耗盡，而關鍵業務卻被迫處于不可用的狀態。福田汽車公司的帶寬管理主要體現在兩個部分：一是，用既有的上網行為管理產品來做控制;二是，5年前就購置了專業的帶寬管理設備，總體感覺效果非常理想。

4.VPN接入安全。在福田汽車公司一些小的分支機構已經應用了VPN，而且是做得很早的事情。但值得一提的是，兩年前他們所選用的一款SSL VPN系統，雖然說這類產品的技術也已經比較成熟了，而且主要適用于分散系統的移動辦公，但福田汽車公司的VPN系統，除了給內部的移動辦公用戶使用外，他們還將VPN應用在對外的一些合作伙伴，如福田汽車公司的零部件供應商、整車經銷商、以及售后服務站、特約服務站等，因為他們是做商用車的，所以他們的服務站有好幾千家、經銷商也是上千家，所以說他們的網絡接入必須支持大量的用戶的安全接入。

尤其是，接入福田汽車公司的業務系統網絡后，因為要支撐做訂單、下單，同時做售后服務，所以要對不同用戶分門別類地給予服務。相應的，對數字證書或把數字證書放在USB-key或者硬盤里面的產品就有了需求。

但因為福田汽車公司的用戶數非常龐大，其企業法人、合作單位有幾千家，接入的計算機有一萬多臺，如果給每個計算機去配置這種認證的設備的話，投入的成本非常大，所以他們當時就間接地用了SSL VPN系統，因為他們當時在做產品選用的時候，要求這個系統里面有一個功能就是它可以做用戶計算機的硬件綁定這個工作，最后實現的功能就是特定的用戶拿特定的賬戶，用特定的計算機才能登錄到VPN系統里面，那么在登錄進來之后才能去訪問特定的系統、特定的福田汽車的系統，用自己的系統用戶名和密碼去訪問，這是這個SSL VPN現在發揮出的主要用途，用的效果也比較好。

5.DMA區。很多年前很多企業都是這樣做的，如專門有防護區，將整個系統全部放在DMA區，但是這幾年有一個發展趨勢，就是人們可以把這些服務器全部搬出來放進數據中心，而對外提供業務服務的這些系統，全部用來做在DMA區的應用發布，通過一些商業的應用發布系統，或者像F5的產品提供的系統，它可以把你企業的內部應用發布到DMA區，然后再去訪問公司應用發布的系統，再反過來訪問我們內網數據中心，這樣做的好處就是，一來保證了信息安全，等于說在網絡訪問層面做了一些隔離，二來則可以集中對數據中心和企業內網之間去做訪問控制，或者說做一些入侵防御。

6.網管系統。目前福田汽車公司所用的是一個綜合網管系統，其功能不是單純的網絡監控、網絡告警，而是還有一些分析的能力，它可以把各種信息抓取做一些分析，一旦這個網絡設備上有一些安全事件的話，可以通過這個網管系統做一些控制。

第三，服務器應用。

1.關于服務器的主題防護，福田汽車公司早在幾年前就應用了CA的叫ESE的產品，主要是能實現對服務器的一些防護，他們認為這個產品雖然已經退出中國了，但是對他們所起的作用還是很大的，因為它主要就做一些服務器級別的，比如說設定強制去對密碼做復雜級別的設置，還有諸如對用戶進行禁用等的功能。

2.關于網絡和操作系統漏洞的掃描，有很多現成的工具，不多做介紹了。

3.數據存儲備份和恢復部分，也是一般的企業都會做的事情，因為這實際上是對企業的網絡信息安全做底層的服務。

4.服務器防病毒，這點其實跟桌面防病毒差不多，但是服務器級有它的特殊性，所以在服務器防病毒方面有一些特殊的要求，主要表現在防病毒的策略上。

5.數據庫審計系統，這部分福田汽車公司目前還沒有部署，他們覺得可能有一些更實際的網絡安全的內容還沒有做到，所以他們認為這類產品是比較高級的一些應用。

第四，內網網絡安全。

1.內部入侵防護系統，這個其實與邊界安全部分的道理是類似的，福田汽車公司主要計劃是在他們內部的網絡之間，比如說很多不同的工廠之間，做一些入侵防御，以防止內部網絡之間出現一些入侵，同時還有另外一個非常重要的部分，就是對數據中心的入侵防御，雖然福田汽車公司現在還沒有做，但是他們將要在數據中心和企業內網、骨干網之間做更集中的入侵防御。

2.網絡流量分析，基本如名稱所述，主要是保證關鍵業務的應用能有充足的帶寬資源。

3.安全準入系統，現在很多企業做的類似于桌面管理，或者說像思科叫NAC這樣的產品，實際上大多都是用VIP的方式實現，現在這部分工作福田汽車公司正在做，他們想借助桌面管理系統實現這個功能，但是他們有一點擔心，現在很多的廠商用的是IP的方式去實現外部計算機接入的準入控制，但是如果用IP的方式會經常被一些防病毒軟件或者說360安全衛士這樣的軟件給弄亂了，可能會不起作用。

第五，客戶端/桌面。

這一部分也是福田汽車公司正在做的一個事情。包括客戶端的管理，如無線接入安全。

第六，認證管理和加密。

實際上這部分是福田汽車公司做得很少的一部分，主要部署在一些非常關鍵的業務系統，比如說內部的資金劃賬的系統，還有銀行的安全接口，這部分他們采用的有數字證書，也有USB-Key。此外，信息防泄密主要是對U盤和打印機的控制。

綜上所述，企業現在的業務越來越依賴信息系統，而且很多涉秘的信息、安全的敏感信息也都逐漸產生于信息系統里面，所以說網絡信息安全建設正在逐漸變成各行業企業用戶值得深思的一個非常重要的內容。