牛君羊

摘要：隨著中車唐山機車車輛有限公司對信息安全的重視，網(wǎng)閘、防火墻、防入侵、堡壘機等一系列安全產(chǎn)品逐步完成部署，由此而來，企業(yè)的信息化安全管理架構(gòu)體系也變得非常復(fù)雜。如何讓它們協(xié)同保護企業(yè)的網(wǎng)絡(luò)？管理人員將如何監(jiān)控它們的性能？如何真正構(gòu)建起堅不可摧的安全系統(tǒng)等問題都是那些已經(jīng)配備了安全產(chǎn)品或正在實施安全產(chǎn)品的企業(yè)所面臨的困難，公司結(jié)合公司實際情況，從安全區(qū)域、技術(shù)平臺和管理制度三個方面，逐步建立形成信息化安全深度防御體系模型。

關(guān)鍵詞：信息安全；深度防御；安全體系

引言

伴隨互聯(lián)網(wǎng)+時代的來臨，企業(yè)改造原有產(chǎn)品及研發(fā)生產(chǎn)、管理方式勢在必行，其中一個重要的方向就是要把過去制約信息傳遞的環(huán)節(jié)化解掉，把孤島式信息連接起來，采用移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等信息通信技術(shù)，將機器等生產(chǎn)設(shè)施接入互聯(lián)網(wǎng)，構(gòu)建網(wǎng)絡(luò)化物理設(shè)備系統(tǒng)（CPS），進而使各生產(chǎn)設(shè)備能夠自動交換信息、觸發(fā)動作和實施控制。物聯(lián)網(wǎng)技術(shù)有助于加快生產(chǎn)制造實時數(shù)據(jù)信息的感知、傳送和分析，加快生產(chǎn)資源的優(yōu)化配置，適應(yīng)“工業(yè)4.0” 發(fā)展趨勢，企業(yè)加強信息安全保障工作，提高信息安全綜合防護能力成為了艱巨的任務(wù)，本文從深度防御與保障體系的研究與實踐，為廣大企事業(yè)單位從事信息化安全工作提供一定的借鑒。

1、深度防御（Defense-in-Depth）的概念

《信息保障技術(shù)框架》（IATF：Information Assurance Technical Framework）的代表理論為“深度防御（Defense-in-Depth）”，是美國國家安全局（NSA）制定的，描述其信息保障的指導(dǎo)性文件，我國國家973“信息與網(wǎng)絡(luò)安全體系研究”課題組在2002年將IATF3.0版引進國內(nèi)后，IATF開始對我國信息安全工作的發(fā)展和信息安全保障體系的建設(shè)起重要的參考和指導(dǎo)作用。

2、合理劃分企業(yè)安全區(qū)域

IATF把計算環(huán)境、區(qū)域邊界定義為主要兩個的技術(shù)焦點領(lǐng)域，企業(yè)劃分了區(qū)域邊界，同時也就定義了計算環(huán)境，企業(yè)常見劃分為：互聯(lián)網(wǎng)用戶區(qū)域、辦公區(qū)、互聯(lián)網(wǎng)非信任區(qū)、服務(wù)區(qū)、工業(yè)網(wǎng)區(qū)域、移動辦公區(qū)域等，企業(yè)定義區(qū)域時，檢查區(qū)域之間的相互作用是必要的，這包括交互和數(shù)據(jù)流、訪問需求等。

區(qū)域是基于策略、還是基于安全級別的簡單劃分，僅能提供單層的區(qū)域防御，并不能改變單一區(qū)域內(nèi)的計算環(huán)境，無論從性能、流量牽引方式的實際需求都無法滿足同時南北和東西向的安全防護，區(qū)域內(nèi)的計算環(huán)境很容易因為某臺設(shè)備的安全問題而導(dǎo)致整體的防護崩潰。任何一款用于區(qū)域劃分的安全產(chǎn)品自身的脆弱性，可以導(dǎo)致區(qū)域劃分防護無效，這對互聯(lián)網(wǎng)+時代的企業(yè)是致命的。

企業(yè)構(gòu)建深度防御首先要將內(nèi)部信息系統(tǒng)按照重要性和受破壞、危害程度進行等級保護的劃分，再按功能性進行區(qū)域邊界的劃分，部署第一層安全產(chǎn)品，制定第一層各區(qū)域間的防護策略，區(qū)域內(nèi)因為存在著不同級別防護的計算環(huán)境，形成同一區(qū)域不同級別防護的區(qū)域內(nèi)的邊界，比如工業(yè)網(wǎng)區(qū)域被分解成不同防護級別的物聯(lián)網(wǎng)區(qū)、工業(yè)網(wǎng)外部采集區(qū)、工業(yè)網(wǎng)內(nèi)部采集區(qū)、工業(yè)網(wǎng)數(shù)據(jù)傳輸區(qū)、工業(yè)網(wǎng)服務(wù)器區(qū)等。企業(yè)再次部署不同品牌的安全產(chǎn)品進行強邏輯或邏輯的區(qū)域內(nèi)隔離，不同品牌的安全產(chǎn)品不僅做到了復(fù)合防范技術(shù)，而且完成了安全應(yīng)用，縱深防御的雛形。

復(fù)合防范 縱深防御圖

3、保護不同級別的計算環(huán)境

企業(yè)應(yīng)針對不同級別防護的計算環(huán)境制定不同的信息系統(tǒng)的加固手冊，避免信息系統(tǒng)的過渡安全、過渡復(fù)雜阻礙實際應(yīng)用的便捷性。信息系統(tǒng)加固是配置計算環(huán)境的過程，因此加固策略比默認的環(huán)境要安全的多。實施信息系統(tǒng)加固，提高了攻擊者入侵的難度，確保數(shù)據(jù)在進人、離開或駐留客戶機和服務(wù)器時具有保密性、完整性和可用性，增強了客戶機和服務(wù)器系統(tǒng)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全。部署終端準入控制系統(tǒng)使企業(yè)深度防御更加強壯，準入策略可以強制性彌補入侵檢測、防病毒、主機脆弱性掃描、文件完整性保護不足，不合規(guī)的終端會被拒絕使用資源，保護企業(yè)內(nèi)外部的計算環(huán)境。

準入控制

4、搭建企業(yè)信息化運維平臺，保護企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)。

隨著企業(yè)IT系統(tǒng)的日益成熟和復(fù)雜，企業(yè)的關(guān)注點已從單點管理到綜合管理角度的轉(zhuǎn)變，從關(guān)注單一網(wǎng)絡(luò)到對業(yè)務(wù)系統(tǒng)的關(guān)注。原因在于，越來越多的企業(yè)意識到，業(yè)務(wù)系統(tǒng)涉及環(huán)節(jié)逐漸增多，單一的網(wǎng)絡(luò)運維管理已經(jīng)不足以滿足管理需求，需要落實如何保障業(yè)務(wù)系統(tǒng)的各個環(huán)節(jié)。在滿足對企業(yè)IT資源進行統(tǒng)一管理、降低運行成本、提高突發(fā)事件應(yīng)對能力、提高服務(wù)質(zhì)量和效率的基礎(chǔ)上，更需要保障業(yè)務(wù)系統(tǒng)的正常運行，才可以保證企業(yè)IT投資的價值體現(xiàn)。

信息化運維平臺的出發(fā)點是“簡化運維管理工作，提高運維管理效率”，基于這個出發(fā)點，信息化運維平臺是站在大部分運維管理者的角度，以簡單、直觀、明了的方式展現(xiàn)出最為關(guān)心的部分——與核心業(yè)務(wù)系統(tǒng)相關(guān)聯(lián)的信息系統(tǒng)“健康”狀態(tài)，所謂業(yè)務(wù)系統(tǒng)的健康狀態(tài)主要包括“可用性、穩(wěn)定性、安全性”等三大方面。

信息化運維平臺不但把區(qū)域邊界的安全產(chǎn)品、信息系統(tǒng)統(tǒng)一管理，還可以作為另類“探針”，通過它們的反饋數(shù)據(jù)、流量、日志等信息，搭建信息化運維平臺的知識庫，降低網(wǎng)絡(luò)運營成本、快速消除已知風(fēng)險，預(yù)警未知的威脅與威脅源。

5、企業(yè)信息技術(shù)與管理，是深度防御體系的基礎(chǔ)支撐。

企業(yè)可以通過自身或服務(wù)外包的方式獲得技術(shù)上的支持，風(fēng)險評估、入侵檢測、信息安全審計、配置，信息安全事件的調(diào)查、取證等對專業(yè)技術(shù)水平要求很高，成功與失敗往往取決于實施者的知識域與豐富的技術(shù)經(jīng)驗及信息化團隊的成熟度。企業(yè)單憑技術(shù)是無法實現(xiàn)信息系統(tǒng)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的，如果說安全技術(shù)是信息安全的構(gòu)筑材料，信息安全管理就是粘合劑和催化劑，都是企業(yè)深度防御體系的基礎(chǔ)支撐。

《信息保障技術(shù)框架》強調(diào)人、技術(shù)、操作這三個核心要素，人是企業(yè)深度防御構(gòu)建的第一要素，同時也是最為脆弱，社會工程學(xué)之所以在黑客攻擊方法中經(jīng)久不衰，就是利用人性的弱點?！扒Ю镏虤в谙佈ā保髽I(yè)信息安全因為一塊上網(wǎng)卡而毀于一旦，企業(yè)加強信息安全意識培訓(xùn)、組織管理、技術(shù)管理、操作管理也是深度防御體系中關(guān)鍵的防護。

參考文獻

[1]《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）

[2]《工業(yè)控制系統(tǒng)信息安全第1部分評估規(guī)范》（GB/T 30976.1-2014）

（作者單位：中車唐山機車車輛有限公司）