奇瑞汽车内网安全解决方案成功经验谈

奇瑞汽车集团通过多轮产品对比、试用和竞标，在ISO27001/BS7799标准的指导下，最终选择了北京明朝万达的Chinasec（安元，原“中安源”）可信网络安全平台作为奇瑞汽车集团内网安全管理和数字知识产权保护体系建设的支撑产品，首期实施的成功和顺利过程，也证明了奇瑞汽车在内网安全解决方案的制定和内网安全产品的选择是成功的！

奇瑞汽车是国内最大的拥有完全自主知识产品的汽车品牌，奇瑞汽车高度重信息化的建设，在研发、设计、生产和办公等企业运作环节中，已经完全实现了高度的信息化，是一个典型的大型机械设计和制造企业。奇瑞汽车在制定内网安全解决方案的时候，主要在内网安全产品功能和性能两个方面进行了详细的分析和考查，并得出了最终的选择。

在内网安全产品的功能需求方面，结合奇瑞汽车信息网络规模大、使用部门多和应用系统复杂的现状，主要提出了以下需求：

1）                能够对企业内部的数字知识产权进行严格的生命周期管理，包括对各种图纸、文档和源代码的控制和管理，任何人在任何地点，没有经过主管领导授权，不能有意或者无意将企业内部的机密文件泄密；

2）                能够对各种外设实现在线/离线的管理，对以后可能新增的外设类型具有扩展性，特别的，能够设定刻录光驱为只读功能跟；

3）                能够对应用程序的使用和安装进行的授权和审计，能够区分应用程序的版本，可以针对不同版本制定不同的授权策略；

4）                实现内网数据保密的同时，不能妨碍企业员工正常的互联网应用使用，但是禁止通过邮件、QQ、MSN和Web论坛等各种可能方式发送文件到企业外部，除非通过特别的授权；

5）                能够对移动存储设备进行有效的管理；

6）                内网安全保密的机制是通用的，跟具体应用和文件类型无关，不会因为应用软件升级或者增加新应用软件带来使用问题或者新的安全漏洞。

因为奇瑞汽车集团网络规模大，内网安全系统要求进行全面的部署，所以对内网安全产品性能提出了严格的要求，主要包括以下几个方面：

1）产品具有优秀的兼容性和稳定性，有大规模用户的成熟部署应用经验；

2）产品具备大型网络部署的性能，包括负载均衡、热备和分级管理等，单台服务器可以可靠承载5000个以上的客户端同时在线；

3）实施、维护和管理工作量少，简单易用，策略灵活，具有完善成熟的异常处理机制。

基于上述的功能需求和性能需求，奇瑞汽车对国内外多家内网安全产品进行分析、测试和对比，总体来说测试过的产品分为文档加密类和监控审计类，主要特点如下：

1）                文档加密类。优点是管理方式灵活，能够针对特定类型文档提供良好的保密措施。缺点一方面是应用相关度高，对新应用和应用升级等支持差，不适合应用复杂的IT环境；另一方面是不能实现终端有效的安全管理。

2）                监控审计类。优点是部署简单；缺点是不能在企业内网跟外网互联的情况下，实现有效的数据保密。

基于上述的分析和基础，奇瑞汽车最终选择了北京明朝万达的Chinasec（安元，原“中安源”）可信网络安全平台，以其整体一致的内网安全解决方案理念，满足了奇瑞汽车集团的内网安全管理和数字知识产权保护体系建设的需求。Chinasec（安元）独有的基于网络加密和存储加密控制的机制，结合各种安全管理措施，在实现内网安全保密的同时，做到了应用无关性，符合奇瑞汽车集团等研发制造型企业内部应用复杂、更新速度快和开放性管理的现状，并以其良好的稳定性、可靠性和兼容性确保了实施的顺利进行。