长安汽车信息安全体系建设经验谈

壹佰汽车

    引言
    最近几年来，企业对信息安全正越来越迷惘。一方面，企业不断加大在信息安全方面的投入，但与此同时，企业科技专业人士又认为自己的企业更加脆弱，更加容易受到攻击。2007年，Information Week研究部和埃森哲(Accenture)咨询公司合作进行了第10年度“全球信息安全调查”，调查全面揭示了企业计算机环境所面临的各种威胁。调查显示，有55％的中国企业信息安全领域比去年花费更多，但同时也有58％的中围企业认为自己的组织更加脆弱。信息安全似乎走入了一个“道高一尺，魔高一丈”的迷局。而且，随着信息系统的扩张、互联网和信息技术的普及与发展，它们也给信息安全带来了更大的挑战。树立风险导向意识，一手抓信息安全技术，一手抓信息安全管理，而且两手都要硬，从而建立具有先进性和前瞻性的企业信息安全整体安全架构，才能使企业走出迷局，迈向整体信息安全的新境界。
    1信息安全技术
    信息安全是一门涉及汁算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义上讲，凡是涉及计算机系统信息的完整性、保密性、真实性、可用性与可控性的相关技术和理论的都属于信息安全技术领域。基于此，企业信息安全技术可分为物理安全、网络安全、主机安全、应用安全和数据安全。
    其中，物理安全包括环境安全、设备安全和介质安全，而环境安全主要指重要涉密部位和机房选址、机房建设、重点部位监控、防火、防水、防潮、防静电、防雷击、温湿度控制、电磁防护、电力供应、物理和区域控制的安全；设备安全包括门禁系统、设备的标识与安放；介质安全指介质的使用标识和保密标识，介质的收发与传递、使用、保存、维修、报废过程及其监管情况；网络安全包括网络结构安全和网段划分、网管系统、抗拒绝服务攻击系统、入侵检测系统、防火墙系统、防垃圾邮件系统、域管理、VPN和网络设备安全；主机安全包含计算机病毒与恶意代码防护、资源访问控制、身份鉴别、访问控制、安全审计、应急响应和运行管理；应用安全包括身份鉴别和访问控制、通信完整性和保密性、加密及传输加密系统、抗抵赖、资源控制、软件容错及代码安全；数据安全是指数据的完整性和统一性、数据的机密性及数据的权限控制与使用、数据安全备份与恢复及数据容灾或异地备份。
    2信息安全管理
    信息安全技术的应用与实施，以及信息安全技术系统策略的制定和执行都离不开信息安全的管理。因而，建立、健全信息安全管理制度与管理办法，提高管理制度的执行度及执行力，增强企业领导、企业组织和企业员工的安全意识教育与自觉性等，已经成为企业信息安全管理的必然课题。
几年前，FBI曾经对美国的信息安全进行了统计分析，结果显示，来自外部的攻击为20％，来自内部的攻击占80％，NSA提供的数字显示，50％的最具破坏性的攻击来自内部人员；我国相关部门对我国银行系统和企业的安全统计分析，结果为来自内部的攻击为80％，来自内部外部勾结为15％，来自外部的攻击占5％。
    从中可以看出，信息安全主要威胁来自内部，内部人员的管理在依靠一定技术手段外，主要依靠信息安全技术系统的策略和内部管理制度来规范、约束与控制。因此，企业必须制定、完善严密的内部管理制度或管理办法，并不断修改，逐步健全与完善。其中信息安全策略，是内部管理制度或管理办法的具体细则和方法，指为保证提供一定级别的安全所必须遵守的一定规则，包括安全技术系统本身的管理策略和安全制度管理策略。
    2．1 建立完整的企业安全管理体系与信息系统安全风险评估及应急措施
    一个完整的企业安全管理体系，应该是由一个有效的管理机构，根据相关国家制度或企业行业规范，建立相应完善、健全的制度、办法和策略，并严格执行和监督。同时，随时检查和监督信息安全系统生命周期中的规划、设计、实施、运维和报废全过程的情况，发现问题，及时警告、更正。在大中型企业，需要建立分级管理机构，保障企业的信息安全。

    “9·11”事件后，信息安全系统风险评估和应急反应，引起了美国相关部门的高度重视，联邦计算机事故反应中心(FeDCIRC)的工作重点，已经转移到建立自动的网络安全报告和反应系统上。美国国务院建立了一个网络监视中心，该中心负责对连接到美国驻外使、领馆的网络进行入侵检测和安全评估。世界各重要企业也对其信息安全系统风险评估和应急反应高度重视。企业的信息系统安全风险评估，主要是对企业的计算机系统资产、人为破坏或突发事件对企业的影响、各攻击行为对企业系统和资产的威胁、系统的脆弱性，以及企业系统和资产的风险进行相关技术和人工方法的评估。风险评估的主要内容包括物理、网络、系统、应用、数据几方面。风险评估的主要目的是风险避免、风险降低、风险转移和风险接受，以及为建立应急措施提供依据。应急措施是反应一个企业面对企业的计算机系统资产、信息系统遭受人为破坏或突发事件的处理能力和决策能力，是企业信息安全中一项基本要素，是意外事件中将企业信息安全损失减少为最低的一项必要的管理措施。
     2．2管理制度的执行度与执行力
    近几年来，发现一些企业等涉密单位有严格的保密制度，并严格控制物理隔离后，不准上外网，封闭USB端口等，还是出现了信息安全方面的泄密事件。
    调查发现，是涉密笔记本的管理问题，部分涉密信息笔记本丢火或被盗。这就涉及安全管理、制度执行的问题，而不是安全技术问题和安全管理制度或策略木身的错误。所以，有制度就需要严格执行，企业各级领导干部和相关人员必须认真履行职责，加强细节管理，提高信息安全管理制度的执行力度。
     2．3安全意识教育与自觉性
    2006年美国在线(AOL)的一名员工利用同事的密码，获得了3000万AOL客户资料，并卖给了垃圾邮件发送者，公司利益遭受重大损失。经过调查分析，发现主要原因是密码的管理不善，该员工安全意识不强。加强员工的安全意识教育，提高员工保密安全的自觉性，成为一个企业信息安全知识培训与宣贯的目标和一项长期的任务。
    2．4企业的“网吧”管理
    随着互联网的发展及其应用的逐渐普及，以及企业的发展需要与对外交流，绝大多数企业都通过互联网对外收发邮件、收发数据和对外交流。少数企业内部网络与外部网络只是逻辑分开，部分企业建立了独立的外网网吧。在此，我们称之“虚拟网吧”，它们的管理统称“网吧管理”。在企业内部网吧，利用外网，通过即时通讯等软件，非法对外发送数据和信息，让企业内部泄密成为了一件极其容易的事情。因而，“网吧管理”也将成为企业信息安全管理的一项重要内容。我们必须建立完善的“网吧管理”制度并严格执行，同时通过信息安全技术对其进行安全控制和安全审计，才能保证企业外网方面的信息安全。
    2．5企业安全保障体系的最终目标与效果
    2．5．1安全保障体系最终目标
    企业的安全保障体系主要采取访问控制、权限管控、内网安全、数据加密、时间期限、身份认证、安全审计、备份容灾，达到以下最终目标：进不了，能进网络不能进系统，进了系统无权看；拷贝不了，拷贝了有记录；盗走了，拿走了，没法用；能看不能印，能印不能改；过期了，离职后，带走了不能用；你是准，怎么确认，要认证；谁看过，谁拷过，谁印过，有记录；丢失了，找回来，此地没有，异地也有。
    2．5．2安全保障体系的最终效果
    企业的安全保障体系主要通过采取安全认证、防火墙等手段，阻止非授权用户或非法用户进入网络；通过隐藏和保护涉密信息，访问控制、授权访问等；切断涉街信息外流途径，在关键部门使用，防下载、防拷贝、封端口等机制，实现对用户的权限控制；涉密信息密文存储，通过认证和加密技术，确保信息不暴露给未经授权的人或程序；保障涉密文件不被随意处理，使用数据完整性签别机制，保证只有允许的人才能修改数据。起到“进不来，看不到，拿不走，读不懂，改不了”的最终效果。

    3 长安汽车新产品开发系统信息安全问题的思路与对策
    重庆长安汽车公司经过几年来快速的发展，整合国际、国内资源，已从一个本地化公司发展为国内外有十余汽车制造厂，海外有三家汽车研究院的汽车集团。长安汽车新产品开发信息系统从地域、网络、应用系统上来是较为复杂，地域包括重庆本地及各工厂、江两江陵控股、南京长安、河北长安、上海分院、长安欧洲及日本海外分中心，应用系统包括域用户系统、内部邮件系统、内部网站系统、综合管理系统、KBE知识系统、CAD／CAM／CAE／SE／PDM系统、CAPP系统、分析仿真SDM系统、试验数据TDM系统、供应商协同数据管理系统、Oracle数据库、J2EE等应用平台系统。因此长安汽车新产品开发的信息安全十分重要，任务也十分艰巨，下面就如何为通过互联网进行汽车新产品开发设计的平台提供安全保障，谈谈我们对信息安全管理和信息安全技术应用的看法与体会。
    3．1 企业信息安全体系建设目前存在的主要问题
    企业在信息安全体系建设中，我们认为目前存在的主要问题有以下几个：
    1)国内、行业及企业还没有商密信息安全的标准和规范，建设没有依据，企业的信息安全建设还处于探索、研究中。
    2)食业实施安全系统和技术后，会使应用系统和网络的行为受到一定的约束和限制，给日常工作带来不便，企业用户抵制和不支持。
    3)一些企业通过内网或桌面安全系统可以很好控制USB的开放，为数据安全提供一定保障，但以工作不便等为由，通过行政审批，导致开放数量越来越多。又如加密系统，但一些企业考虑会给他们的工作带来更多不便和以上类似情况，将会受到更多和更严重的用户抵制和不支持，导致很多企业无法实施。
    4)企业信息安全与工作方便是一对矛盾体，日常工作中不重视或忽视安全的重要性，只考虑方便性，将会影响前期信息安全建设的效果，使先期的投入大打折扣，给信息安全重新带来一定隐忠，同时会严重影响整个体系建设。
    5)大多数企业信息安全技术人员数量严重不足，缺少相应的组织机构，缺乏激励机制吸引人员研究。
    6)一些企业的领导和员工的安全意识不强。
    7)企业信息安全投资效益很难评估，不容易引起重视，人员价值也很难体现。
    3．2积极学习国内外信息安全技术和经验，服务于企业产品开发
我们通过了解和学习国内外先进的安全技术和成功经验，按照“总体规划、实施分布”的原则，在长安汽车新产品开发信息系统平台上逐步建立了UPS电源系统、门禁系统、入侵防护系统、VPN系统、网络防病毒系统、内网审计安全系统、数据存储系统、用户登录认证系统、CA数字认证系统的长安产品开发系统信息安全防护系统。系统既保障了内部访问及数据的信息安全，又为三国六地的协同开发信息安全保驾护航。同时总体规划、分布实施，不断健全和完善信息安全技术的措施和手段。

    长安产品开发信息系统的信息安全，通过充分的调研、测试和选型建立起的信息安全系统，突破了时间、空间和地域的限制，实行统一安全防范技术、统一安全策略、统一信息安全管理。
    3．3依据国家相关法律、法规，建立企业信息安全管理制度
    根据国家信息安全方面一系列的法律法规和技术标准，长安结合企业实际建立了长安产品开发信息系统自己的管理标准、制度、规范和流程和技术体系，来指导信息安全工作。并建立了一个信息安全工作的组织体系和机构，明确领导，设立专责人长期负责信息安全的管理工作和技术工作，保证信息安全工作长期有效的开展。
     3．4开展全员信息安全教育和培训活动
    安全意识和相关技能的教育是企业安全管理中重要的内容，信息安全不仅仅是信息部门的事，它牵涉到企业所有的员工，为了保证安全的成功和有效，应当对企业各级管理人员、用户和技术人员进行安全培训，减少人为差错及失误造成的安全风险。
    3．5在发展中求安全
    企业解决信息安全问题不可能一劳永逸，需要在发展中求安全。事实上，没有百分之百安全技术，信息安全攻击技术是在不断发展的，不是所有的安全问题都可以找到有效的解决方案。企业的信息化应用是随着企业的发展而小断发展的，信息技术更是日新月异的，信息安全需求逐步变化，新的安全问题不断产生，原来建设的信息安全系统经过一段时间后会变得落后，因此，信息安全是一个动态过程，需要定期对信息网络安全状况进行评估，改进信息安全方案，调整安全策略。这也是我们在实施实践过程中的体会和宝贵经验，长安产品开发系统的信息安全也将会在企业信息化的发展与新的需求下不断发展、改进和提高，建立信息安全管理和具有生命周期的技术系统的整体保障体系，保障企业的信息安全。
    4 结论
    总之，没有绝对的安全技术、标准和规范，企业信息安全是一个动态的概念，需要不断改进，要靠“三分技术，七分管理”。建立企业信息安全整体安全架构，必须以安全技术作支撑，管理为手段，管理与技术并重；必须以企业具体需求为前提，选择适合企业的最新和成熟的技术产品，建立一个健全的管理机构，制定完善的管理制度，并严格执行，同时监督、评估、不断修正整个信息安全体系，才能真正保障企业的信息安全。