解析CIAS|北汽福田汽车股份有限公司张志强:安全大模型赋能福田汽车信息安全智慧运营
2025-02-17
大家好!非常开心能再次来到上海。一方面,上海有我众多的好朋友;另一方面,我在 IT 行业的第一次出差也是来上海,所以我对上海怀有深厚的感情。今天,特别感谢主办方给予我这个机会。我昨天刚从北京赶来,得以在此和大家分享一下北汽福田在信息安全方面的建设工作。
先简单介绍一下我自己。我大约在 2017 年入职福田汽车,工作经历相对单纯。此前,我曾在外企和互联网公司工作过。我主要擅长云计算相关领域,以及信息安全、网络安全、数据安全,还涉及工控方面。来到福田之后,我不仅负责上述工作,还参与了 IT 基础设施建设,以及全球范围内工厂建设等相关事宜 。
一、北汽福田介绍
接下来,简单介绍一下福田汽车。福田汽车隶属北汽集团商用车板块,主要负责商用车业务。这里简单说一下乘用车和商用车的区别:乘用车是家用时驾乘感受平稳、无抖动的车辆,而客车、货车等都属于商用车范畴。福田汽车是目前中国规模最大、品类最全的商用车企业,拥有 3 万多名员工。直至现在,我们在国内商用车销售量及出口量方面均名列前茅。
一体化业务架构体系
过去,大家对福田汽车的认知是整车制造商,确实如此。然而,近年来,在众多生态伙伴的支持合作以及自身研发体系的拓展下,我们已不再只是单纯的整车制造公司。例如,为降低成本,我们与戴姆勒、康明斯、采埃孚等众多关键企业展开合作,从而提升了市场占有率和竞争力。
在数字科技方面,我们在自动驾驶领域、车联网领域均取得了相关成果。还有后市场,大家都知道单纯卖车利润微薄,因此许多增值业务都集中在后市场。我们在金融、租赁、配件、二手车等方面均有布局。
生产布局
在生产布局上,我们在全球范围内均有规划。在中国,大概有 14 个规模较大的工厂,其中最大的工厂占地面积约 2600 亩,主要面向南方市场。不过,我们最大的市场还是在北方的山东地区。在海外,我们拥有 22 个 KD 工厂,目前海外在建工厂数量仍在逐步增加。比如,我目前负责公司的出海业务,尤其是合规方面的事务。我们计划分三期在东南亚、欧洲,甚至远至南非、肯尼亚等地进行生产布局。
数字化战略
这张图展示了八大战略,我截取了与今天主题较为匹配的数字化战略。过去,企业以车辆质量作为生命线,如今,我们不仅要确保车的质量,还要倾听终端用户的声音,因此进行了相关数字化转型,向以客户为中心转变。我们提出了 ROADS 极致客户体验,将终端用户与研发端打通。这其中,营销生态、供应、技术价值形成一个闭环,同时实现实时按需、全在线、自助等功能的打通,通过数字化手段拉近我们与用户的沟通距离。
二、信息安全运营的挑战
在信息安全方面,运营挑战巨大。大家知道,我们的业务版图不仅覆盖中国,还遍布全球,像欧洲地区和东南亚都是我们重要的客户群体。这使得我们在安全方面面临诸多问题。举个例子,由于我负责海外工厂建设,在泰国工厂投入生产建设时,我与泰国奔驰代工厂的主管沟通,他们最关心的并非我们采用的技术,而是泰国法律相关问题,比如数据能否出境,哪些数据可以进入泰国等,这是我们最为关注的要点。
安全运营面临的挑战
在安全方面,我罗列了四个我认为较为重要的方面:
缺乏物联网下的资产探测:开展信息安全工作,首要任务是明晰自身资产。安全是所有资产的属性,我记得工信部门的朋友曾说,要让领导重视安全,需向他们灌输安全是属性这一概念。就像我们买车或购买其他物品时,都会考虑安全属性,它并非可有可无。所以,对于安全工作者而言,必须清楚知晓自身资产的位置。
在物联网环境下,我们有智能水表、智能电表、智能气表等设备。以往服务器网络集中在数据中心,便于盘点,但如今物联网设备分布在全球各地的工厂,包括中国工厂,很难全面记录。这就导致了短板,物联网设备将数据传输到智能设备,再到网关,如果没有对其进行有效管控,数据可能通过物联网网络进入核心内网。
智能汽车安全风险:如今,软件定义汽车的时代已经来临。福田汽车作为商用车领域第一家使用氢燃料的公司,在混动氢、纯电以及燃油汽车方面都处于相对领先地位。软件定义汽车,此前也有软件定义网络、软件定义数据中心等概念。大家知道软件定义汽车后的代码量有多少吗?一组数据显示,IP35 战斗机的代码量约 800 万条,波音飞机不到 200 万条,Windows 操作系统约 5000 万行,而智能驾驶汽车约一亿条,如果是 L5 层级的自动驾驶,代码量远远超过一亿条。如此庞大的软件定义量级,对信息安全提出了更高要求,我们不仅要关注服务器、网络产品的安全,更要关注汽车行驶过程中的安全性,防止黑客通过 TSP 网络攻击汽车内网,还要考虑是否存在中间人攻击、重放攻击等问题。
另外,非结构化数据激增。随着物联网设备增多,车联网作为物联网的分支,以及集团大力发展的自动驾驶领域,都会产生大量数据。比如,有政府领导来公司参观时,我们会安排领导乘坐自动驾驶车辆,车辆会在公司及周边道路行驶。
攻击手法因 AI 加持而更新:以往,勒索、挖矿或 APE 攻击备受关注,但这些攻击方式成本较高。如今,在 AI 加持下,攻击成本降低,攻击手段更加多样。对于安全防护人员而言,防护需关注全面,而攻击者只需找到一点漏洞即可,这大大增加了防护难度。
缺乏安全人才:尤其在传统制造业,与新势力企业不同,传统企业信息安全人员薪酬相对较低。我记得之前在部门招聘信息安全架构师时,公司人力要求其工资不能超过我。我看中了一位非常优秀的人才,年薪 80 万(具体是 2018 年还是 2019 年我记不清了),我觉得这个薪资可以接受,询问能否录用此人,人力资源却表示公司政策要调整,认为这个人薪资过高。
由此可见,与金融行业相比,传统企业很难招聘到这类人才。由于我们属于国资委下属企业,在国家护网行动中需要人员 7×24 小时值守,但目前根本找不到合适的人,只能由安全部门自行解决。
国内网络安全监管
此外,国内网络安全监管,包括未来汽车整车网络安全监管,以及出海业务面临的 R115、R156 等 CSM 监管,目前我们发现 75% 的情况都是以欧盟 GDPR 的个人信息保护为蓝本进行。就我目前查阅的 31 个国家的法律来看,我们出海在安全方面实行 “一国一策” 制度,以 GDPR 为基础,结合当地法律特殊性进行调整。比如在巴西,必须符合 LGDP 要求。如果当地要求设立数据保护官(DPO),我们就设立,并且可能在不同国家设立多个 DPO。例如在欧盟,由于我不属于欧盟主体人员,不能担任欧盟的 DPO,但可以管理欧盟的 DPO,这属于组织管理问题。
北汽福田网络安全形势概述
接下来,快速看一些案例。这是北汽福田截至 9 月份的真实数据,1 - 9 月份我们遭受的攻击量约 1085 万次,月均约 120.6 万次,且呈逐渐上升趋势。9 月份的攻击次数最高,达到 2000 多万次,因为 9 月份对许多央国企来说是特殊月份,我们不仅接受了公安部门的实战打击,还接受了工信部和北汽集团的攻击,而且都是在未通知的情况下进行的,所以产生的告警特别多。
三、信息安全运营能力建设思路
威胁检测与响应技术的成熟
面对这些挑战,我们该如何构建运营能力呢?我个人喜欢遵循方法论开展工作,从大的层面思考信息安全工作的方向,不能再采用以往被动挨打的方式,而要转变为主动运营。这需要参考技术,我参考了 Gartner 的强化威胁检测与响应(DR 模型),并在此基础上加入了 AI 元素。2022 年 11 月 OpenAI 发布后,全球掀起 AI 浪潮,我们是第一家将 AI 应用于商用车领域的公司。
AI大模型下的智能对抗成为趋势
我们将 AI 应用于运营,赋予其我个人约 80% 的权限,让它对集团所有疑似攻击行为进行拦截。这张图展示的是我们将端侧、网侧和云侧的所有安全数据传输给 AI 进行分析、研判和处理。图中罗列的 EDR、HIDS、DLP 等都是我们现有的安全防护手段。
IT持续自适应风险与可信评估
自适应模型已经发展到 3.0 版本,无论是由内而外还是由外而内都能进行有效防护。重点在于第三年的安全运营中,实现实时监控和动态调整。
ATT&CK
ATT&CK 模型中,攻击者有 200 多种攻击技术,只要我们匹配到其中一种,AI 就能自动采取应对措施,但对于一些核心系统,如 ICP 处理,必须由专人响应处理,这就是我们只下放 80% 权限的原因。当然,有些公司使用的不是 ATT&CK 模型,而是沙箱链技术,但沙箱链相对不够精细,所以我发现很多公司逐渐转向使用 ATT&CK 模型。
信息安全运营建设思路
关于信息安全建设,总结前面几点,我们要向自动化、动态化和智能化方向转变,最重要的是实现闭环。以往,处理问题时(不仅是信息安全问题,其他很多问题也存在类似情况),很多人员很难实现闭环处理。比如领导安排的工作,完成后因忙碌忘记汇报,导致领导一直不知情,这是工作中的大忌。
所以,安全事件从发现到闭环都要有相关 KPI 考核,系统会自动记录处理时间。我们利用 AI 大模型支撑技术、人员、流程三要素。在技术方面,引入专业的信息安全工具,如 AI、XDR、DRP 等,增强网络防御能力,同时实现安全设备联动,这也是我们在商用车领域率先应用的亮点。
举个例子,我们在全球部署了多套防火墙,如果管理员要封禁一个 IP,以往面对 30 套不同品牌的防火墙,至少需要登录 30 次。现在经过改造,管理员只需通过自然语言处理(NLP)输入指令,如 “帮我在全集团封禁某 IP”,敲下回车,系统就能自动将指令同步到相关防火墙进行拦截,实现秒级自动化操作,大大减轻了工作量。
还有集成事件响应、威胁情报、威胁搜索功能。大家都知道谷歌的 “4 个 8”(8.8.8.8),如果遇到不了解的 IP,比如 “4 个 9”(9.9.9.9),以往需要通过上网或其他引擎查询,甚至借助威胁情报,现在系统内置相关功能,输入 IP 后就能自动显示其归属信息,比如 “4 个 9” 属于 IBM 等。
另外,在精准定位方面,以前电脑中毒后,仅知道机器中毒,却不清楚是哪个进程、哪个程序导致的。现在通过可视化技术,能够清晰展示病毒入侵路径、涉及的进程,并提供防御建议,告知用户是由系统自动防御还是手动操作,特别是对于核心系统,会给出更明确的提示。
四、信息安全运营体系建设
我们集团建立了三个安全运营中心(SOC),分别用于车辆、企业办公(E SOC)和工控领域。鉴于专业信息安全人才不足且资金有限,难以聘请高端人才,我们引入了 IMSS 托管服务,由专业团队提供 7×24 小时的安全服务,同时通过这种服务培养我们自己的人才梯队,在海外业务中我们也采用了同样的方式。
由于今天的议题主要围绕信息安全展开,未来有机会我会和大家分享我在海外进行基础设施建设和信息安全工作的经验,以及如何管控流程。在流程方面,我们打通了端到端的流程。在多个一级流程中,安全是其中之一。如今,安全不再是业务的阻碍,以往上线一个系统,无论采用 DevOps 还是传统方式,安全部门常常被视为绊脚石,需要长时间等待。现在,我们融入了安全左移等理念,借鉴微软的安全开发生命周期(SL),在加强代码应用安全的同时,提升了流程的便捷性,毕竟流程是支撑业务运行的关键载体。
北汽福田公司信息安全体系架构
在信息安全建设过程中,有几种方式。首先,我喜欢自己画图,我认为自己绘制的图更能贴合集团实际情况,而供应商画的图虽然美观,但可能不符合现状。我画的图能让非 IT 人员也看懂,无论从哪个方向看,表达的意思都是一致的,以满足不同领导的查看习惯。我们以车辆的生命周期为线索构建信息安全体系,涵盖车辆生产过程中的安全、生产后车辆本身的安全、IT 安全以及平台安全等,从这个角度看,图的左半边是企业级平台,右半边是 TSP 车平台,展示了如何保障它们的安全。
此外,法律法规和管理规章制度也是重要支撑。在技术方面,我们重新规划了新一代网络架构,采用车 + 企业的模式,不再只关注企业安全,而是同时兼顾车辆安全。这张专门为技术人员绘制的图,从云、网、端、应用数据四个领域阐述信息安全运营,这是我们工作的重点,目前我在做预算时,将 70% - 80% 的资金投入到运营中,建设方面的资金投入相对较少。同时,合规工作尤其是出海合规,以及相关管理制度的完善也不容忽视,我们每年都会根据最新法律解读和行业规范对管理制度进行更新。
北汽福田公司信息安全运营架构
还有运营架构图,详细展示了运营工作的开展方式以及 AI 在其中的作用。AI 并非取代人工,而是作为助手协助工作,我们有自己的辅助大模型和检测大模型。
部分运营手段运营手段
丰富多样,除了前面介绍的,还包括 BAS 引用。通过测试信息安全体系,我发现第一次测试结果显示存在明显的短板。于是,我们通过 EASM 技术挖掘潜在问题,利用暗网等渠道查找影子资产。由于公司自 1996 年成立,历经多代领导建设,可能存在一些我不了解的系统,我们通过技术手段尽快找出这些系统,能继续使用的保留,不能用的则予以清理。
哨兵诱捕也是一个很好的方法。我专门前往深圳与一家安全公司共同开发了相关系统,成本较低却解决了公司的大问题。这一方法得到了某位知名院士的大力推荐,或许我们运气好,在应用时间上稍早一些。我在清华上学时,这位院士曾给我上过课,还为我签过名。另外,我们还定期开展实战演练,请国家队入驻指导,同时运用探针、钓鱼邮件等手段。以往钓鱼邮件主要依靠邮件网关检测,现在引入大模型,通过大模型分析不同人员的邮件,帮助判断邮件安全性。
安全运营模式的进化
目前,我们的检测工作已经发展到 V3 阶段,由于时间关系,这里简单介绍一下。检测时间从原来的 3 小时缩短到 30 秒,实现了精准实践。现在运营报表都可以通过 AI 自动生成,只需输入相关信息即可。同时,AI 还能分析安全风险、预测安全趋势,告知主机是否中毒等,并且具备自学习能力,能为用户提供防御和操作建议。
五、部分成绩
现在,我们的运营工作通过一张大屏即可掌控,通过手机就能对安全事件进行处理,无需再依赖电脑,只要有 iPad 或手机,就能随时随地开展工作。
在智慧园区建设中,我们也应用了 AI 技术。例如,通过 AI 可以监测车辆是否停放在指定位置、园区内是否有火灾烟雾、员工是否按规定穿着工服、是否存在打闹行为以及是否有四人以上并排行走等情况。一旦发现异常,系统就会发出预警,因为在国企中,人员聚集可能会引发一系列问题。关于取得的成绩这里就不详细阐述了。在数据价值挖掘方面,信息安全部不再只是单纯的成本部门,我们通过挖掘安全数据实现了价值创造。比如,我们可以通过系统监测员工是否存在摸鱼行为,系统会自动统计出员工一天内摸鱼的时长,并告知领导,例如 “某位员工在看体育节目”,信息安全部门只负责提供数据,处理权交给领导。
我们还能通过系统提取证据、节约电费。以北京的一栋办公楼为例,三万多名员工如果晚上 10 点后不关电脑,会造成大量电力浪费。通过系统管理,我们每月大约能节约 20 多万元电费。此外,对于核心人员的稳定性监测,如果系统发现核心人员有跳槽倾向,会自动向相关领导预警,以便领导提前做好工作安排,这只是我们大数据模型应用的其中四个方面。
在海外业务方面,我们部门负责运维和建设工作,构建了全球统一的信息安全网络,摒弃了以往两极分化的管理模式,实现统一管理,这样可以提高工作效率。无论在海外何处建设工厂,都必须遵循我们的标准,海外人员培训也由总部的人才发展中心统一负责。
未来,GPT 等人工智能技术将得到更广泛深入的应用。我在电脑中安装了 AI 智能体,它能够协助我们处理诸多事务。目前,AI 在大数据、质量控制、智能客服等方面已经开始应用,在研产供销服各个领域也逐步得到开发利用。在代码安全方面,通过 AI 进行代码审计,能够快速检测出代码是否存在问题,尤其是面对自动驾驶等数百万条甚至更多的代码量,人工审计几乎是不可能完成的任务。
另外,在车辆安全方面,我们也在持续探索,致力于保障车辆更加安全。我的演讲到此结束,谢谢大家!
