企業深度防御體系的構建

牛君羊

摘要：隨著中車唐山機車車輛有限公司對信息安全的重視，網閘、防火墻、防入侵、堡壘機等一系列安全產品逐步完成部署，由此而來，企業的信息化安全管理架構體系也變得非常復雜。如何讓它們協同保護企業的網絡？管理人員將如何監控它們的性能？如何真正構建起堅不可摧的安全系統等問題都是那些已經配備了安全產品或正在實施安全產品的企業所面臨的困難，公司結合公司實際情況，從安全區域、技術平臺和管理制度三個方面，逐步建立形成信息化安全深度防御體系模型。

關鍵詞：信息安全；深度防御；安全體系

引言

伴隨互聯網+時代的來臨，企業改造原有產品及研發生產、管理方式勢在必行，其中一個重要的方向就是要把過去制約信息傳遞的環節化解掉，把孤島式信息連接起來，采用移動互聯網、云計算、大數據、物聯網等信息通信技術，將機器等生產設施接入互聯網，構建網絡化物理設備系統（CPS），進而使各生產設備能夠自動交換信息、觸發動作和實施控制。物聯網技術有助于加快生產制造實時數據信息的感知、傳送和分析，加快生產資源的優化配置，適應“工業4.0” 發展趨勢，企業加強信息安全保障工作，提高信息安全綜合防護能力成為了艱巨的任務，本文從深度防御與保障體系的研究與實踐，為廣大企事業單位從事信息化安全工作提供一定的借鑒。

1、深度防御（Defense-in-Depth）的概念

《信息保障技術框架》（IATF：Information Assurance Technical Framework）的代表理論為“深度防御（Defense-in-Depth）”，是美國國家安全局（NSA）制定的，描述其信息保障的指導性文件，我國國家973“信息與網絡安全體系研究”課題組在2002年將IATF3.0版引進國內后，IATF開始對我國信息安全工作的發展和信息安全保障體系的建設起重要的參考和指導作用。

2、合理劃分企業安全區域

IATF把計算環境、區域邊界定義為主要兩個的技術焦點領域，企業劃分了區域邊界，同時也就定義了計算環境，企業常見劃分為：互聯網用戶區域、辦公區、互聯網非信任區、服務區、工業網區域、移動辦公區域等，企業定義區域時，檢查區域之間的相互作用是必要的，這包括交互和數據流、訪問需求等。

區域是基于策略、還是基于安全級別的簡單劃分，僅能提供單層的區域防御，并不能改變單一區域內的計算環境，無論從性能、流量牽引方式的實際需求都無法滿足同時南北和東西向的安全防護，區域內的計算環境很容易因為某臺設備的安全問題而導致整體的防護崩潰。任何一款用于區域劃分的安全產品自身的脆弱性，可以導致區域劃分防護無效，這對互聯網+時代的企業是致命的。

企業構建深度防御首先要將內部信息系統按照重要性和受破壞、危害程度進行等級保護的劃分，再按功能性進行區域邊界的劃分，部署第一層安全產品，制定第一層各區域間的防護策略，區域內因為存在著不同級別防護的計算環境，形成同一區域不同級別防護的區域內的邊界，比如工業網區域被分解成不同防護級別的物聯網區、工業網外部采集區、工業網內部采集區、工業網數據傳輸區、工業網服務器區等。企業再次部署不同品牌的安全產品進行強邏輯或邏輯的區域內隔離，不同品牌的安全產品不僅做到了復合防范技術，而且完成了安全應用，縱深防御的雛形。

復合防范 縱深防御圖

3、保護不同級別的計算環境

企業應針對不同級別防護的計算環境制定不同的信息系統的加固手冊，避免信息系統的過渡安全、過渡復雜阻礙實際應用的便捷性。信息系統加固是配置計算環境的過程，因此加固策略比默認的環境要安全的多。實施信息系統加固，提高了攻擊者入侵的難度，確保數據在進人、離開或駐留客戶機和服務器時具有保密性、完整性和可用性，增強了客戶機和服務器系統安全、主機安全、應用安全、數據安全。部署終端準入控制系統使企業深度防御更加強壯，準入策略可以強制性彌補入侵檢測、防病毒、主機脆弱性掃描、文件完整性保護不足，不合規的終端會被拒絕使用資源，保護企業內外部的計算環境。

準入控制

4、搭建企業信息化運維平臺，保護企業網絡和業務系統。

隨著企業IT系統的日益成熟和復雜，企業的關注點已從單點管理到綜合管理角度的轉變，從關注單一網絡到對業務系統的關注。原因在于，越來越多的企業意識到，業務系統涉及環節逐漸增多，單一的網絡運維管理已經不足以滿足管理需求，需要落實如何保障業務系統的各個環節。在滿足對企業IT資源進行統一管理、降低運行成本、提高突發事件應對能力、提高服務質量和效率的基礎上，更需要保障業務系統的正常運行，才可以保證企業IT投資的價值體現。

信息化運維平臺的出發點是“簡化運維管理工作，提高運維管理效率”，基于這個出發點，信息化運維平臺是站在大部分運維管理者的角度，以簡單、直觀、明了的方式展現出最為關心的部分——與核心業務系統相關聯的信息系統“健康”狀態，所謂業務系統的健康狀態主要包括“可用性、穩定性、安全性”等三大方面。

信息化運維平臺不但把區域邊界的安全產品、信息系統統一管理，還可以作為另類“探針”，通過它們的反饋數據、流量、日志等信息，搭建信息化運維平臺的知識庫，降低網絡運營成本、快速消除已知風險，預警未知的威脅與威脅源。

5、企業信息技術與管理，是深度防御體系的基礎支撐。

企業可以通過自身或服務外包的方式獲得技術上的支持，風險評估、入侵檢測、信息安全審計、配置，信息安全事件的調查、取證等對專業技術水平要求很高，成功與失敗往往取決于實施者的知識域與豐富的技術經驗及信息化團隊的成熟度。企業單憑技術是無法實現信息系統從“最大威脅”到“最可靠防線”轉變的，如果說安全技術是信息安全的構筑材料，信息安全管理就是粘合劑和催化劑，都是企業深度防御體系的基礎支撐。

《信息保障技術框架》強調人、技術、操作這三個核心要素，人是企業深度防御構建的第一要素，同時也是最為脆弱，社會工程學之所以在黑客攻擊方法中經久不衰，就是利用人性的弱點。“千里之堤毀于蟻穴”，企業信息安全因為一塊上網卡而毀于一旦，企業加強信息安全意識培訓、組織管理、技術管理、操作管理也是深度防御體系中關鍵的防護。

參考文獻

[1]《信息系統安全等級保護基本要求》（GB/T 22239-2008）

[2]《工業控制系統信息安全第1部分評估規范》（GB/T 30976.1-2014）

（作者單位：中車唐山機車車輛有限公司）