牛君羊

摘要：隨著中車唐山機(jī)車車輛有限公司對(duì)信息安全的重視，網(wǎng)閘、防火墻、防入侵、堡壘機(jī)等一系列安全產(chǎn)品逐步完成部署，由此而來(lái)，企業(yè)的信息化安全管理架構(gòu)體系也變得非常復(fù)雜。如何讓它們協(xié)同保護(hù)企業(yè)的網(wǎng)絡(luò)？管理人員將如何監(jiān)控它們的性能？如何真正構(gòu)建起堅(jiān)不可摧的安全系統(tǒng)等問(wèn)題都是那些已經(jīng)配備了安全產(chǎn)品或正在實(shí)施安全產(chǎn)品的企業(yè)所面臨的困難，公司結(jié)合公司實(shí)際情況，從安全區(qū)域、技術(shù)平臺(tái)和管理制度三個(gè)方面，逐步建立形成信息化安全深度防御體系模型。

關(guān)鍵詞：信息安全；深度防御；安全體系

引言

伴隨互聯(lián)網(wǎng)+時(shí)代的來(lái)臨，企業(yè)改造原有產(chǎn)品及研發(fā)生產(chǎn)、管理方式勢(shì)在必行，其中一個(gè)重要的方向就是要把過(guò)去制約信息傳遞的環(huán)節(jié)化解掉，把孤島式信息連接起來(lái)，采用移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等信息通信技術(shù)，將機(jī)器等生產(chǎn)設(shè)施接入互聯(lián)網(wǎng)，構(gòu)建網(wǎng)絡(luò)化物理設(shè)備系統(tǒng)（CPS），進(jìn)而使各生產(chǎn)設(shè)備能夠自動(dòng)交換信息、觸發(fā)動(dòng)作和實(shí)施控制。物聯(lián)網(wǎng)技術(shù)有助于加快生產(chǎn)制造實(shí)時(shí)數(shù)據(jù)信息的感知、傳送和分析，加快生產(chǎn)資源的優(yōu)化配置，適應(yīng)“工業(yè)4.0” 發(fā)展趨勢(shì)，企業(yè)加強(qiáng)信息安全保障工作，提高信息安全綜合防護(hù)能力成為了艱巨的任務(wù)，本文從深度防御與保障體系的研究與實(shí)踐，為廣大企事業(yè)單位從事信息化安全工作提供一定的借鑒。

1、深度防御（Defense-in-Depth）的概念

《信息保障技術(shù)框架》（IATF：Information Assurance Technical Framework）的代表理論為“深度防御（Defense-in-Depth）”，是美國(guó)國(guó)家安全局（NSA）制定的，描述其信息保障的指導(dǎo)性文件，我國(guó)國(guó)家973“信息與網(wǎng)絡(luò)安全體系研究”課題組在2002年將IATF3.0版引進(jìn)國(guó)內(nèi)后，IATF開(kāi)始對(duì)我國(guó)信息安全工作的發(fā)展和信息安全保障體系的建設(shè)起重要的參考和指導(dǎo)作用。

2、合理劃分企業(yè)安全區(qū)域

IATF把計(jì)算環(huán)境、區(qū)域邊界定義為主要兩個(gè)的技術(shù)焦點(diǎn)領(lǐng)域，企業(yè)劃分了區(qū)域邊界，同時(shí)也就定義了計(jì)算環(huán)境，企業(yè)常見(jiàn)劃分為：互聯(lián)網(wǎng)用戶區(qū)域、辦公區(qū)、互聯(lián)網(wǎng)非信任區(qū)、服務(wù)區(qū)、工業(yè)網(wǎng)區(qū)域、移動(dòng)辦公區(qū)域等，企業(yè)定義區(qū)域時(shí)，檢查區(qū)域之間的相互作用是必要的，這包括交互和數(shù)據(jù)流、訪問(wèn)需求等。

區(qū)域是基于策略、還是基于安全級(jí)別的簡(jiǎn)單劃分，僅能提供單層的區(qū)域防御，并不能改變單一區(qū)域內(nèi)的計(jì)算環(huán)境，無(wú)論從性能、流量牽引方式的實(shí)際需求都無(wú)法滿足同時(shí)南北和東西向的安全防護(hù)，區(qū)域內(nèi)的計(jì)算環(huán)境很容易因?yàn)槟撑_(tái)設(shè)備的安全問(wèn)題而導(dǎo)致整體的防護(hù)崩潰。任何一款用于區(qū)域劃分的安全產(chǎn)品自身的脆弱性，可以導(dǎo)致區(qū)域劃分防護(hù)無(wú)效，這對(duì)互聯(lián)網(wǎng)+時(shí)代的企業(yè)是致命的。

企業(yè)構(gòu)建深度防御首先要將內(nèi)部信息系統(tǒng)按照重要性和受破壞、危害程度進(jìn)行等級(jí)保護(hù)的劃分，再按功能性進(jìn)行區(qū)域邊界的劃分，部署第一層安全產(chǎn)品，制定第一層各區(qū)域間的防護(hù)策略，區(qū)域內(nèi)因?yàn)榇嬖谥煌?jí)別防護(hù)的計(jì)算環(huán)境，形成同一區(qū)域不同級(jí)別防護(hù)的區(qū)域內(nèi)的邊界，比如工業(yè)網(wǎng)區(qū)域被分解成不同防護(hù)級(jí)別的物聯(lián)網(wǎng)區(qū)、工業(yè)網(wǎng)外部采集區(qū)、工業(yè)網(wǎng)內(nèi)部采集區(qū)、工業(yè)網(wǎng)數(shù)據(jù)傳輸區(qū)、工業(yè)網(wǎng)服務(wù)器區(qū)等。企業(yè)再次部署不同品牌的安全產(chǎn)品進(jìn)行強(qiáng)邏輯或邏輯的區(qū)域內(nèi)隔離，不同品牌的安全產(chǎn)品不僅做到了復(fù)合防范技術(shù)，而且完成了安全應(yīng)用，縱深防御的雛形。

復(fù)合防范 縱深防御圖

3、保護(hù)不同級(jí)別的計(jì)算環(huán)境

企業(yè)應(yīng)針對(duì)不同級(jí)別防護(hù)的計(jì)算環(huán)境制定不同的信息系統(tǒng)的加固手冊(cè)，避免信息系統(tǒng)的過(guò)渡安全、過(guò)渡復(fù)雜阻礙實(shí)際應(yīng)用的便捷性。信息系統(tǒng)加固是配置計(jì)算環(huán)境的過(guò)程，因此加固策略比默認(rèn)的環(huán)境要安全的多。實(shí)施信息系統(tǒng)加固，提高了攻擊者入侵的難度，確保數(shù)據(jù)在進(jìn)人、離開(kāi)或駐留客戶機(jī)和服務(wù)器時(shí)具有保密性、完整性和可用性，增強(qiáng)了客戶機(jī)和服務(wù)器系統(tǒng)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全。部署終端準(zhǔn)入控制系統(tǒng)使企業(yè)深度防御更加強(qiáng)壯，準(zhǔn)入策略可以強(qiáng)制性彌補(bǔ)入侵檢測(cè)、防病毒、主機(jī)脆弱性掃描、文件完整性保護(hù)不足，不合規(guī)的終端會(huì)被拒絕使用資源，保護(hù)企業(yè)內(nèi)外部的計(jì)算環(huán)境。

準(zhǔn)入控制

4、搭建企業(yè)信息化運(yùn)維平臺(tái)，保護(hù)企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)。

隨著企業(yè)IT系統(tǒng)的日益成熟和復(fù)雜，企業(yè)的關(guān)注點(diǎn)已從單點(diǎn)管理到綜合管理角度的轉(zhuǎn)變，從關(guān)注單一網(wǎng)絡(luò)到對(duì)業(yè)務(wù)系統(tǒng)的關(guān)注。原因在于，越來(lái)越多的企業(yè)意識(shí)到，業(yè)務(wù)系統(tǒng)涉及環(huán)節(jié)逐漸增多，單一的網(wǎng)絡(luò)運(yùn)維管理已經(jīng)不足以滿足管理需求，需要落實(shí)如何保障業(yè)務(wù)系統(tǒng)的各個(gè)環(huán)節(jié)。在滿足對(duì)企業(yè)IT資源進(jìn)行統(tǒng)一管理、降低運(yùn)行成本、提高突發(fā)事件應(yīng)對(duì)能力、提高服務(wù)質(zhì)量和效率的基礎(chǔ)上，更需要保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行，才可以保證企業(yè)IT投資的價(jià)值體現(xiàn)。

信息化運(yùn)維平臺(tái)的出發(fā)點(diǎn)是“簡(jiǎn)化運(yùn)維管理工作，提高運(yùn)維管理效率”，基于這個(gè)出發(fā)點(diǎn)，信息化運(yùn)維平臺(tái)是站在大部分運(yùn)維管理者的角度，以簡(jiǎn)單、直觀、明了的方式展現(xiàn)出最為關(guān)心的部分——與核心業(yè)務(wù)系統(tǒng)相關(guān)聯(lián)的信息系統(tǒng)“健康”狀態(tài)，所謂業(yè)務(wù)系統(tǒng)的健康狀態(tài)主要包括“可用性、穩(wěn)定性、安全性”等三大方面。

信息化運(yùn)維平臺(tái)不但把區(qū)域邊界的安全產(chǎn)品、信息系統(tǒng)統(tǒng)一管理，還可以作為另類“探針”，通過(guò)它們的反饋數(shù)據(jù)、流量、日志等信息，搭建信息化運(yùn)維平臺(tái)的知識(shí)庫(kù)，降低網(wǎng)絡(luò)運(yùn)營(yíng)成本、快速消除已知風(fēng)險(xiǎn)，預(yù)警未知的威脅與威脅源。

5、企業(yè)信息技術(shù)與管理，是深度防御體系的基礎(chǔ)支撐。

企業(yè)可以通過(guò)自身或服務(wù)外包的方式獲得技術(shù)上的支持，風(fēng)險(xiǎn)評(píng)估、入侵檢測(cè)、信息安全審計(jì)、配置，信息安全事件的調(diào)查、取證等對(duì)專業(yè)技術(shù)水平要求很高，成功與失敗往往取決于實(shí)施者的知識(shí)域與豐富的技術(shù)經(jīng)驗(yàn)及信息化團(tuán)隊(duì)的成熟度。企業(yè)單憑技術(shù)是無(wú)法實(shí)現(xiàn)信息系統(tǒng)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的，如果說(shuō)安全技術(shù)是信息安全的構(gòu)筑材料，信息安全管理就是粘合劑和催化劑，都是企業(yè)深度防御體系的基礎(chǔ)支撐。

《信息保障技術(shù)框架》強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心要素，人是企業(yè)深度防御構(gòu)建的第一要素，同時(shí)也是最為脆弱，社會(huì)工程學(xué)之所以在黑客攻擊方法中經(jīng)久不衰，就是利用人性的弱點(diǎn)?！扒Ю镏虤в谙佈ā?，企業(yè)信息安全因?yàn)橐粔K上網(wǎng)卡而毀于一旦，企業(yè)加強(qiáng)信息安全意識(shí)培訓(xùn)、組織管理、技術(shù)管理、操作管理也是深度防御體系中關(guān)鍵的防護(hù)。

參考文獻(xiàn)

[1]《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）

[2]《工業(yè)控制系統(tǒng)信息安全第1部分評(píng)估規(guī)范》（GB/T 30976.1-2014）

（作者單位：中車唐山機(jī)車車輛有限公司）