構(gòu)建企業(yè)信息安全縱深防御體系

張帆

中圖分類號(hào)：F279 文獻(xiàn)標(biāo)識(shí)：A 文章編號(hào)：1674-1145（2020）07-134-01

摘 要 為解決企業(yè)面臨的信息安全風(fēng)險(xiǎn)，本文通過構(gòu)建互聯(lián)網(wǎng)層、內(nèi)網(wǎng)層和組織層三層體系，達(dá)到對(duì)企業(yè)互聯(lián)網(wǎng)應(yīng)用、內(nèi)網(wǎng)服務(wù)器及核心系統(tǒng)的防護(hù)，從而實(shí)現(xiàn)為企業(yè)的經(jīng)營生產(chǎn)管理保駕護(hù)航的目的。

關(guān)鍵詞 信息安全 縱深防御

隨著現(xiàn)代企業(yè)信息化建設(shè)的不斷深入，以及國內(nèi)外信息安全形勢的日益嚴(yán)峻，各類失泄密事件、個(gè)人信息竊取事件、信息詐騙事件層出不窮……信息安全領(lǐng)域已逐漸成為一個(gè)沒有硝煙的現(xiàn)代化“戰(zhàn)場”，受到了各類企業(yè)以及政府部門的重視。企業(yè)信息安全管理已成為企業(yè)安全管理的重要組成部分，而在信息安全方面，存在著信息安全縱深不足、缺乏專業(yè)的信息安全體系、硬件設(shè)備及防護(hù)軟件漏洞等諸多問題，本文將站在管理層面，從互聯(lián)網(wǎng)、內(nèi)網(wǎng)、防護(hù)軟件、硬件設(shè)備以及組織制度等方面，論證如何構(gòu)建企業(yè)信息安全縱深防御體系。

一、構(gòu)建縱深防御體系

（一）互聯(lián)網(wǎng)防御體系

企業(yè)互聯(lián)網(wǎng)入口是縱深防御的第一道防線，也是企業(yè)信息安全防護(hù)體系的重中之重。做好互聯(lián)網(wǎng)入口防御，對(duì)嘗試對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行訪問的請(qǐng)求進(jìn)行識(shí)別、分析以及過濾和攔截，對(duì)于企業(yè)內(nèi)網(wǎng)、桌面端信息安全都有著積極的效應(yīng)，也為下一層極的網(wǎng)絡(luò)防守打好了基礎(chǔ)[1]。

在互聯(lián)網(wǎng)入口處，可以集中部署安全防護(hù)設(shè)備及蜜罐系統(tǒng)，通過設(shè)置和部署蜜罐系統(tǒng)，引誘和收集來自互聯(lián)網(wǎng)的攻擊信息，與此同時(shí)，借以隱蔽企業(yè)的高價(jià)值目標(biāo)[1]。

其次，可以對(duì)企業(yè)互聯(lián)網(wǎng)的DMZ區(qū)部署做適當(dāng)調(diào)整，通過新增企業(yè)互聯(lián)網(wǎng)出口服務(wù)器、啟用企業(yè)VPN平臺(tái)、分離企業(yè)互聯(lián)網(wǎng)應(yīng)用向外部提供服務(wù)的網(wǎng)頁數(shù)據(jù)流和APP數(shù)據(jù)流等手段，分散互聯(lián)網(wǎng)側(cè)的防御壓力。

（二）內(nèi)網(wǎng)防御體系

內(nèi)網(wǎng)防御主要針對(duì)突破第一層防線以及從內(nèi)網(wǎng)發(fā)起的危險(xiǎn)行為進(jìn)行識(shí)別和誘捕。保護(hù)部署在企業(yè)內(nèi)部的系統(tǒng)服務(wù)器，邏輯隔離內(nèi)網(wǎng)辦公電腦，避免因系統(tǒng)漏洞、用戶弱口令、未及時(shí)關(guān)機(jī)鎖屏等情況照成防守風(fēng)險(xiǎn)。同時(shí)，在企業(yè)信息數(shù)據(jù)中心內(nèi)布置重要系統(tǒng)防線，配置一套具備企業(yè)個(gè)性化特征的訪問策略和密碼策略，避免因第一層互聯(lián)網(wǎng)防線失陷導(dǎo)致的防守失誤。

1.梳理資產(chǎn)，縮小目標(biāo)

在保證服務(wù)可用的前提下，企業(yè)首先應(yīng)組織人力對(duì)企業(yè)內(nèi)網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、信息系統(tǒng)等資產(chǎn)進(jìn)行全面梳理，盡可能減少暴露面。其次，系統(tǒng)和設(shè)備賬號(hào)、端口信息也是信息安全的重要軟資產(chǎn)，要逐一組織清理，特別是重要設(shè)備的管理員賬號(hào)，一定要嚴(yán)格采取雙段密碼、定期更新等安全策略。

2.遷移數(shù)據(jù)，審計(jì)代碼

在梳理完企業(yè)信息資產(chǎn)的基礎(chǔ)上，開展遷移數(shù)據(jù)、審計(jì)代碼的工作，以進(jìn)一步加強(qiáng)安全防線。此部分可包括以下主要工作：

對(duì)功能代碼進(jìn)行代碼審計(jì)，修復(fù)高危漏洞。

對(duì)部署在內(nèi)網(wǎng)的基礎(chǔ)軟件產(chǎn)品進(jìn)行升級(jí)加固。

對(duì)內(nèi)網(wǎng)重要信息系統(tǒng)代碼進(jìn)行排查，嚴(yán)禁采取明文傳輸數(shù)據(jù)的方式。

將企業(yè)的主要服務(wù)器遷移到獨(dú)立服務(wù)器，集中人員和精力保護(hù)主要服務(wù)器。

3.制定策略，監(jiān)控預(yù)警

在梳理信息資產(chǎn)的基礎(chǔ)上，要在內(nèi)網(wǎng)制定嚴(yán)格的防火墻策略，以保證管理端口訪問的總體可控。主要有以下措施：

對(duì)服務(wù)器進(jìn)行安全基線檢查和漏洞掃描并通過態(tài)勢感知系統(tǒng)對(duì)企業(yè)對(duì)外互聯(lián)網(wǎng)平臺(tái)的服務(wù)器進(jìn)行24小時(shí)不間斷監(jiān)測。

主動(dòng)降噪，降低企業(yè)重要服務(wù)器間“心跳”服務(wù)頻率，避免對(duì)來自互聯(lián)網(wǎng)的流量分析造成干擾。

在企業(yè)對(duì)外互聯(lián)網(wǎng)應(yīng)用防火墻內(nèi)，將所有數(shù)據(jù)流都引導(dǎo)到平臺(tái)內(nèi)網(wǎng)反向代理服務(wù)器，避免因DMZ區(qū)失陷導(dǎo)致后臺(tái)主服務(wù)器直接暴露[2]。

增加白名單配置。對(duì)來自各個(gè)方向的訪問請(qǐng)求配置白名單策略，將可能存在的危險(xiǎn)訪問行為進(jìn)行攔截過濾。

日志分析。在日常工作中，要通過對(duì)核心網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)服務(wù)器的操作系統(tǒng)日志和應(yīng)用日志進(jìn)行定期分析，對(duì)分析中發(fā)現(xiàn)的可疑操作記錄，要通過即時(shí)調(diào)整策略進(jìn)行查漏補(bǔ)缺。

（三）組織體系及制度建設(shè)

如果說第一、二道防線是物理意義上的防線，那么企業(yè)的信息安全組織體系及制度建設(shè)就是第三道“看不見”防線，也是最重要的防線，如果第三道防線沒有建設(shè)好，那么第一二道防線的防守效果將大打折扣[2]。

組織建設(shè)方面，企業(yè)信息安全應(yīng)統(tǒng)一領(lǐng)導(dǎo)，分級(jí)負(fù)責(zé)。企業(yè)負(fù)責(zé)人是網(wǎng)絡(luò)與信息安全第一責(zé)任人，對(duì)企業(yè)網(wǎng)絡(luò)與信息安全工作全面負(fù)責(zé)，下設(shè)信息安全歸口部門。

制度建設(shè)方面，完善企業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警和通報(bào)流程，制定網(wǎng)絡(luò)安全相關(guān)應(yīng)急響應(yīng)預(yù)案，開展系統(tǒng)應(yīng)急演習(xí)，開展信息安全日常巡檢和隱患排查，積極開展重要信息系統(tǒng)等級(jí)保護(hù)測評(píng)，借此發(fā)現(xiàn)系統(tǒng)隱患，梳理安全管理流程。要對(duì)重要系統(tǒng)開展多層次、多角度滲透測試和攻防演練

文化建設(shè)方面，企業(yè)應(yīng)積極對(duì)同行業(yè)及社會(huì)上的最新信息安全問題進(jìn)行深入探討研究，針對(duì)重要網(wǎng)絡(luò)安全事件，要進(jìn)行故障重現(xiàn)和模擬，對(duì)自身設(shè)施有效性進(jìn)行確認(rèn)，形成以學(xué)習(xí)研究氛圍為基礎(chǔ)的企業(yè)信息安全文化。

二、結(jié)語

構(gòu)建信息安全縱深防御體系是保障企業(yè)信息安全的有效手段，從互聯(lián)網(wǎng)層到內(nèi)網(wǎng)層再到通過逐層加強(qiáng)防御，可以有效解決企業(yè)在面臨信息安全威脅時(shí)的防御能力，為企業(yè)生產(chǎn)經(jīng)營保駕護(hù)航。

參考文獻(xiàn)：

[1]張振強(qiáng).公司信息安全體系構(gòu)建[J].電腦知識(shí)與技術(shù)，2009（12）.

[2]董清.企業(yè)信息安全現(xiàn)狀與管理對(duì)策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（6）.