構(gòu)建企業(yè)信息安全縱深防御體系

張帆

中圖分類號：F279 文獻標(biāo)識：A 文章編號：1674-1145（2020）07-134-01

摘 要 為解決企業(yè)面臨的信息安全風(fēng)險，本文通過構(gòu)建互聯(lián)網(wǎng)層、內(nèi)網(wǎng)層和組織層三層體系，達到對企業(yè)互聯(lián)網(wǎng)應(yīng)用、內(nèi)網(wǎng)服務(wù)器及核心系統(tǒng)的防護，從而實現(xiàn)為企業(yè)的經(jīng)營生產(chǎn)管理保駕護航的目的。

關(guān)鍵詞 信息安全 縱深防御

隨著現(xiàn)代企業(yè)信息化建設(shè)的不斷深入，以及國內(nèi)外信息安全形勢的日益嚴(yán)峻，各類失泄密事件、個人信息竊取事件、信息詐騙事件層出不窮……信息安全領(lǐng)域已逐漸成為一個沒有硝煙的現(xiàn)代化“戰(zhàn)場”，受到了各類企業(yè)以及政府部門的重視。企業(yè)信息安全管理已成為企業(yè)安全管理的重要組成部分，而在信息安全方面，存在著信息安全縱深不足、缺乏專業(yè)的信息安全體系、硬件設(shè)備及防護軟件漏洞等諸多問題，本文將站在管理層面，從互聯(lián)網(wǎng)、內(nèi)網(wǎng)、防護軟件、硬件設(shè)備以及組織制度等方面，論證如何構(gòu)建企業(yè)信息安全縱深防御體系。

一、構(gòu)建縱深防御體系

（一）互聯(lián)網(wǎng)防御體系

企業(yè)互聯(lián)網(wǎng)入口是縱深防御的第一道防線，也是企業(yè)信息安全防護體系的重中之重。做好互聯(lián)網(wǎng)入口防御，對嘗試對企業(yè)內(nèi)網(wǎng)進行訪問的請求進行識別、分析以及過濾和攔截，對于企業(yè)內(nèi)網(wǎng)、桌面端信息安全都有著積極的效應(yīng)，也為下一層極的網(wǎng)絡(luò)防守打好了基礎(chǔ)[1]。

在互聯(lián)網(wǎng)入口處，可以集中部署安全防護設(shè)備及蜜罐系統(tǒng)，通過設(shè)置和部署蜜罐系統(tǒng)，引誘和收集來自互聯(lián)網(wǎng)的攻擊信息，與此同時，借以隱蔽企業(yè)的高價值目標(biāo)[1]。

其次，可以對企業(yè)互聯(lián)網(wǎng)的DMZ區(qū)部署做適當(dāng)調(diào)整，通過新增企業(yè)互聯(lián)網(wǎng)出口服務(wù)器、啟用企業(yè)VPN平臺、分離企業(yè)互聯(lián)網(wǎng)應(yīng)用向外部提供服務(wù)的網(wǎng)頁數(shù)據(jù)流和APP數(shù)據(jù)流等手段，分散互聯(lián)網(wǎng)側(cè)的防御壓力。

（二）內(nèi)網(wǎng)防御體系

內(nèi)網(wǎng)防御主要針對突破第一層防線以及從內(nèi)網(wǎng)發(fā)起的危險行為進行識別和誘捕。保護部署在企業(yè)內(nèi)部的系統(tǒng)服務(wù)器，邏輯隔離內(nèi)網(wǎng)辦公電腦，避免因系統(tǒng)漏洞、用戶弱口令、未及時關(guān)機鎖屏等情況照成防守風(fēng)險。同時，在企業(yè)信息數(shù)據(jù)中心內(nèi)布置重要系統(tǒng)防線，配置一套具備企業(yè)個性化特征的訪問策略和密碼策略，避免因第一層互聯(lián)網(wǎng)防線失陷導(dǎo)致的防守失誤。

1.梳理資產(chǎn)，縮小目標(biāo)

在保證服務(wù)可用的前提下，企業(yè)首先應(yīng)組織人力對企業(yè)內(nèi)網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、信息系統(tǒng)等資產(chǎn)進行全面梳理，盡可能減少暴露面。其次，系統(tǒng)和設(shè)備賬號、端口信息也是信息安全的重要軟資產(chǎn)，要逐一組織清理，特別是重要設(shè)備的管理員賬號，一定要嚴(yán)格采取雙段密碼、定期更新等安全策略。

2.遷移數(shù)據(jù)，審計代碼

在梳理完企業(yè)信息資產(chǎn)的基礎(chǔ)上，開展遷移數(shù)據(jù)、審計代碼的工作，以進一步加強安全防線。此部分可包括以下主要工作：

對功能代碼進行代碼審計，修復(fù)高危漏洞。

對部署在內(nèi)網(wǎng)的基礎(chǔ)軟件產(chǎn)品進行升級加固。

對內(nèi)網(wǎng)重要信息系統(tǒng)代碼進行排查，嚴(yán)禁采取明文傳輸數(shù)據(jù)的方式。

將企業(yè)的主要服務(wù)器遷移到獨立服務(wù)器，集中人員和精力保護主要服務(wù)器。

3.制定策略，監(jiān)控預(yù)警

在梳理信息資產(chǎn)的基礎(chǔ)上，要在內(nèi)網(wǎng)制定嚴(yán)格的防火墻策略，以保證管理端口訪問的總體可控。主要有以下措施：

對服務(wù)器進行安全基線檢查和漏洞掃描并通過態(tài)勢感知系統(tǒng)對企業(yè)對外互聯(lián)網(wǎng)平臺的服務(wù)器進行24小時不間斷監(jiān)測。

主動降噪，降低企業(yè)重要服務(wù)器間“心跳”服務(wù)頻率，避免對來自互聯(lián)網(wǎng)的流量分析造成干擾。

在企業(yè)對外互聯(lián)網(wǎng)應(yīng)用防火墻內(nèi)，將所有數(shù)據(jù)流都引導(dǎo)到平臺內(nèi)網(wǎng)反向代理服務(wù)器，避免因DMZ區(qū)失陷導(dǎo)致后臺主服務(wù)器直接暴露[2]。

增加白名單配置。對來自各個方向的訪問請求配置白名單策略，將可能存在的危險訪問行為進行攔截過濾。

日志分析。在日常工作中，要通過對核心網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)服務(wù)器的操作系統(tǒng)日志和應(yīng)用日志進行定期分析，對分析中發(fā)現(xiàn)的可疑操作記錄，要通過即時調(diào)整策略進行查漏補缺。

（三）組織體系及制度建設(shè)

如果說第一、二道防線是物理意義上的防線，那么企業(yè)的信息安全組織體系及制度建設(shè)就是第三道“看不見”防線，也是最重要的防線，如果第三道防線沒有建設(shè)好，那么第一二道防線的防守效果將大打折扣[2]。

組織建設(shè)方面，企業(yè)信息安全應(yīng)統(tǒng)一領(lǐng)導(dǎo)，分級負(fù)責(zé)。企業(yè)負(fù)責(zé)人是網(wǎng)絡(luò)與信息安全第一責(zé)任人，對企業(yè)網(wǎng)絡(luò)與信息安全工作全面負(fù)責(zé)，下設(shè)信息安全歸口部門。

制度建設(shè)方面，完善企業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警和通報流程，制定網(wǎng)絡(luò)安全相關(guān)應(yīng)急響應(yīng)預(yù)案，開展系統(tǒng)應(yīng)急演習(xí)，開展信息安全日常巡檢和隱患排查，積極開展重要信息系統(tǒng)等級保護測評，借此發(fā)現(xiàn)系統(tǒng)隱患，梳理安全管理流程。要對重要系統(tǒng)開展多層次、多角度滲透測試和攻防演練

文化建設(shè)方面，企業(yè)應(yīng)積極對同行業(yè)及社會上的最新信息安全問題進行深入探討研究，針對重要網(wǎng)絡(luò)安全事件，要進行故障重現(xiàn)和模擬，對自身設(shè)施有效性進行確認(rèn)，形成以學(xué)習(xí)研究氛圍為基礎(chǔ)的企業(yè)信息安全文化。

二、結(jié)語

構(gòu)建信息安全縱深防御體系是保障企業(yè)信息安全的有效手段，從互聯(lián)網(wǎng)層到內(nèi)網(wǎng)層再到通過逐層加強防御，可以有效解決企業(yè)在面臨信息安全威脅時的防御能力，為企業(yè)生產(chǎn)經(jīng)營保駕護航。

參考文獻：

[1]張振強.公司信息安全體系構(gòu)建[J].電腦知識與技術(shù)，2009（12）.

[2]董清.企業(yè)信息安全現(xiàn)狀與管理對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（6）.