结合业务的安全架构解读

　　下面就在上述福田汽车公司对网络安全架构的理解的基础上，结合福田汽车自身的一些实际业务应用情况来解读其全套网络安全架构的运行。

　　首先，基础设施建设这一块基本上是任何一个企业在其信息化达到一定规模需求时就必须要去做的事，这里就不再赘述了。

　　其次，网络边界安全。1.内容过滤，这个概念对很多信息化用户都是非常熟悉了的，但对于福田汽车来说，内容过滤主要是体现在上网行为管理中。他们主要控制的就是用户，包括不管是从总部还是从各个分支机构上因特网的用户。同时还对用户的上网内容进行控制和管理，比如说对一些敏感的信息，是不允许访问的，则会做阻断，有些不做阻断但会做记录，而有一些网站根本就不允许访问……这些都是采用他们的上网行为管理产品实现的，而且其中的信息库都是随时更新的。需要说明的是，信息库中的关键字不是靠手工录入去定义哪些URL或者关键字的，而是有通用的一个信息库可以套用，更重要的是，企业还可以设定自己特有的一些敏感关键字，比如说他们可以在邮件的监控信息里面设定这个邮件的主题或者邮件的正文里面包含了哪些敏感信息，遇到相应的情况时就会转发一封邮件给系统管理员或者直接做隔离审计处理，该部分被福田汽车公司认为是企业防泄密的一个非常重要的一环，甚至他们认为这样做至少可以做到事后追查。

　　2.入侵检测和防护。这部分福田汽车在好多年前就部署过，但2008年已经在总部重新部署了AKS系统。相比以往被大量的信息所淹没的不爽，目前这款AKS系统更多地实现了主动的防御机制。与北京总部不同的是，福田汽车公司在其十几个因特网的分支接入机构，2009年在逐步地部署UTM，并在UTM产品的基础上去部署IPS或者说IDS，这样做的目的是使得该公司全网在只要是有出口或者入口的地方就都做了一定的安全防护。

　　3.带宽管理。严格来讲，可能带宽管理与网络安全的关联性并不大，但是福田汽车公司认为凡是企业内部的带宽，尤其是因特网的带宽，还有数字专线的带宽，如果不加以利用或不加以控管的话，可能其最终正常的应用就会被那些不正常的应用(比如说病毒或者说其他的一些用户/普通用户的不当操作，如传递文件，拿各种工具传递文件)所干扰，最终你的带宽资源会被耗尽，而关键业务却被迫处于不可用的状态。福田汽车公司的带宽管理主要体现在两个部分：一是，用既有的上网行为管理产品来做控制;二是，5年前就购置了专业的带宽管理设备，总体感觉效果非常理想。

　　4.VPN接入安全。在福田汽车公司一些小的分支机构已经应用了VPN，而且是做得很早的事情。但值得一提的是，两年前他们所选用的一款SSL VPN系统，虽然说这类产品的技术也已经比较成熟了，而且主要适用于分散系统的移动办公，但福田汽车公司的VPN系统，除了给内部的移动办公用户使用外，他们还将VPN应用在对外的一些合作伙伴，如福田汽车公司的零部件供应商、整车经销商、以及售后服务站、特约服务站等，因为他们是做商用车的，所以他们的服务站有好几千家、经销商也是上千家，所以说他们的网络接入必须支持大量的用户的安全接入。尤其是，接入福田汽车公司的业务系统网络后，因为要支撑做订单、下单，同时做售后服务，所以要对不同用户分门别类地给予服务。相应的，对数字证书或把数字证书放在USB-key或者硬盘里面的产品就有了需求。但因为福田汽车公司的用户数非常庞大，其企业法人、合作单位有几千家，接入的计算机有一万多台，如果给每个计算机去配置这种认证的设备的话，投入的成本非常大，所以他们当时就间接地用了SSL VPN系统，因为他们当时在做产品选用的时候，要求这个系统里面有一个功能就是它可以做用户计算机的硬件绑定这个工作，最后实现的功能就是特定的用户拿特定的账户，用特定的计算机才能登录到VPN系统里面，那么在登录进来之后才能去访问特定的系统、特定的福田汽车的系统，用自己的系统用户名和密码去访问，这是这个SSL VPN现在发挥出的主要用途，用的效果也比较好。

　　5.DMA区。很多年前很多企业都是这样做的，如专门有防护区，将整个系统全部放在DMA区，但是这几年有一个发展趋势，就是人们可以把这些服务器全部搬出来放进数据中心，而对外提供业务服务的这些系统，全部用来做在DMA区的应用发布，通过一些商业的应用发布系统，或者像F5的产品提供的系统，它可以把你企业的内部应用发布到DMA区，然后再去访问公司应用发布的系统，再反过来访问我们内网数据中心，这样做的好处就是，一来保证了信息安全，等于说在网络访问层面做了一些隔离，二来则可以集中对数据中心和企业内网之间去做访问控制，或者说做一些入侵防御。

　　6.网管系统。目前福田汽车公司所用的是一个综合网管系统，其功能不是单纯的网络监控、网络告警，而是还有一些分析的能力，它可以把各种信息抓取做一些分析，一旦这个网络设备上有一些安全事件的话，可以通过这个网管系统做一些控制。