企业深度防御体系的构建

牛君羊

摘要：随着中车唐山机车车辆有限公司对信息安全的重视，网闸、防火墙、防入侵、堡垒机等一系列安全产品逐步完成部署，由此而来，企业的信息化安全管理架构体系也变得非常复杂。如何让它们协同保护企业的网络？管理人员将如何监控它们的性能？如何真正构建起坚不可摧的安全系统等问题都是那些已经配备了安全产品或正在实施安全产品的企业所面临的困难，公司结合公司实际情况，从安全区域、技术平台和管理制度三个方面，逐步建立形成信息化安全深度防御体系模型。

关键词：信息安全；深度防御；安全体系

引言

伴随互联网+时代的来临，企业改造原有产品及研发生产、管理方式势在必行，其中一个重要的方向就是要把过去制约信息传递的环节化解掉，把孤岛式信息连接起来，采用移动互联网、云计算、大数据、物联网等信息通信技术，将机器等生产设施接入互联网，构建网络化物理设备系统（CPS），进而使各生产设备能够自动交换信息、触发动作和实施控制。物联网技术有助于加快生产制造实时数据信息的感知、传送和分析，加快生产资源的优化配置，适应“工业4.0” 发展趋势，企业加强信息安全保障工作，提高信息安全综合防护能力成为了艰巨的任务，本文从深度防御与保障体系的研究与实践，为广大企事业单位从事信息化安全工作提供一定的借鉴。

1、深度防御（Defense-in-Depth）的概念

《信息保障技术框架》（IATF：Information Assurance Technical Framework）的代表理论为“深度防御（Defense-in-Depth）”，是美国国家安全局（NSA）制定的，描述其信息保障的指导性文件，我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。

2、合理划分企业安全区域

IATF把计算环境、区域边界定义为主要两个的技术焦点领域，企业划分了区域边界，同时也就定义了计算环境，企业常见划分为：互联网用户区域、办公区、互联网非信任区、服务区、工业网区域、移动办公区域等，企业定义区域时，检查区域之间的相互作用是必要的，这包括交互和数据流、访问需求等。

区域是基于策略、还是基于安全级别的简单划分，仅能提供单层的区域防御，并不能改变单一区域内的计算环境，无论从性能、流量牵引方式的实际需求都无法满足同时南北和东西向的安全防护，区域内的计算环境很容易因为某台设备的安全问题而导致整体的防护崩溃。任何一款用于区域划分的安全产品自身的脆弱性，可以导致区域划分防护无效，这对互联网+时代的企业是致命的。

企业构建深度防御首先要将内部信息系统按照重要性和受破坏、危害程度进行等级保护的划分，再按功能性进行区域边界的划分，部署第一层安全产品，制定第一层各区域间的防护策略，区域内因为存在着不同级别防护的计算环境，形成同一区域不同级别防护的区域内的边界，比如工业网区域被分解成不同防护级别的物联网区、工业网外部采集区、工业网内部采集区、工业网数据传输区、工业网服务器区等。企业再次部署不同品牌的安全产品进行强逻辑或逻辑的区域内隔离，不同品牌的安全产品不仅做到了复合防范技术，而且完成了安全应用，纵深防御的雏形。

复合防范 纵深防御图

3、保护不同级别的计算环境

企业应针对不同级别防护的计算环境制定不同的信息系统的加固手册，避免信息系统的过渡安全、过渡复杂阻碍实际应用的便捷性。信息系统加固是配置计算环境的过程，因此加固策略比默認的环境要安全的多。实施信息系统加固，提高了攻击者入侵的难度，确保数据在进人、离开或驻留客户机和服务器时具有保密性、完整性和可用性，增强了客户机和服务器系统安全、主机安全、应用安全、数据安全。部署终端准入控制系统使企业深度防御更加强壮，准入策略可以强制性弥补入侵检测、防病毒、主机脆弱性扫描、文件完整性保护不足，不合规的终端会被拒绝使用资源，保护企业内外部的计算环境。

准入控制

4、搭建企业信息化运维平台，保护企业网络和业务系统。

随着企业IT系统的日益成熟和复杂，企业的关注点已从单点管理到综合管理角度的转变，从关注单一网络到对业务系统的关注。原因在于，越来越多的企业意识到，业务系统涉及环节逐渐增多，单一的网络运维管理已经不足以满足管理需求，需要落实如何保障业务系统的各个环节。在满足对企业IT资源进行统一管理、降低运行成本、提高突发事件应对能力、提高服务质量和效率的基础上，更需要保障业务系统的正常运行，才可以保证企业IT投资的价值体现。

信息化运维平台的出发点是“简化运维管理工作，提高运维管理效率”，基于这个出发点，信息化运维平台是站在大部分运维管理者的角度，以简单、直观、明了的方式展现出最为关心的部分——与核心业务系统相关联的信息系统“健康”状态，所谓业务系统的健康状态主要包括“可用性、稳定性、安全性”等三大方面。

信息化运维平台不但把区域边界的安全产品、信息系统统一管理，还可以作为另类“探针”，通过它们的反馈数据、流量、日志等信息，搭建信息化运维平台的知识库，降低网络运营成本、快速消除已知风险，预警未知的威胁与威胁源。

5、企业信息技术与管理，是深度防御体系的基础支撑。

企业可以通过自身或服务外包的方式获得技术上的支持，风险评估、入侵检测、信息安全审计、配置，信息安全事件的调查、取证等对专业技术水平要求很高，成功与失败往往取决于实施者的知识域与丰富的技术经验及信息化团队的成熟度。企业单凭技术是无法实现信息系统从“最大威胁”到“最可靠防线”转变的，如果说安全技术是信息安全的构筑材料，信息安全管理就是粘合剂和催化剂，都是企业深度防御体系的基础支撑。

《信息保障技术框架》强调人、技术、操作这三个核心要素，人是企业深度防御构建的第一要素，同时也是最为脆弱，社会工程学之所以在黑客攻击方法中经久不衰，就是利用人性的弱点。“千里之堤毁于蚁穴”，企业信息安全因为一块上网卡而毁于一旦，企业加强信息安全意识培训、组织管理、技术管理、操作管理也是深度防御体系中关键的防护。

参考文献

[1]《信息系统安全等级保护基本要求》（GB/T 22239-2008）

[2]《工业控制系统信息安全第1部分评估规范》（GB/T 30976.1-2014）

（作者单位：中车唐山机车车辆有限公司）