如何構(gòu)建信息化安全架構(gòu)

引言：目前，我國企業(yè)信息化整體發(fā)展的戰(zhàn)略布局圍繞“中國制造2025”、工業(yè)4.0的發(fā)展趨勢，廣泛應(yīng)用電子信息技術(shù)，推進(jìn)企業(yè)經(jīng)營、管理、研發(fā)、智能制造，實(shí)現(xiàn)管理科學(xué)化，建立符合市場經(jīng)濟(jì)規(guī)律的、科學(xué)的信息服務(wù)和決策支持系統(tǒng)，從而有效地提高企業(yè)核心競爭力和綜合實(shí)力。然而，在企業(yè)信息化安全的理論界，各種理論、模式相互交叉，錯綜復(fù)雜，云計(jì)算和大數(shù)據(jù)技術(shù)結(jié)合，使原本信息化安全理論上的某種程度的混亂現(xiàn)象進(jìn)一步加劇，本文試圖從企業(yè)信息系統(tǒng)安全的理論、區(qū)域功能、安全技術(shù)三方面入手，分析企業(yè)信息化安全的基礎(chǔ)架構(gòu)，進(jìn)而為廣大企事業(yè)單位從事信息化安全工作提供一定的借鑒。

信息安全本質(zhì)上是信息系統(tǒng)安全，信息系統(tǒng)的風(fēng)險(xiǎn)評估是構(gòu)建企業(yè)信息化安全基礎(chǔ)架構(gòu)的重要依據(jù)

完整的企業(yè)內(nèi)部信息系統(tǒng)一般包括事務(wù)處理系統(tǒng)、辦公自動化系統(tǒng)、知識運(yùn)用系統(tǒng)、管理信息系統(tǒng)、決策咨詢系統(tǒng)等模塊。就企業(yè)而言，只有服務(wù)于企業(yè)業(yè)務(wù)使命的、安全可靠的信息系統(tǒng)才有意義, 信息系統(tǒng)自身存在過程、結(jié)構(gòu)、應(yīng)用復(fù)雜的脆弱性，導(dǎo)致信息系統(tǒng)的攻擊和防護(hù)嚴(yán)重不對稱，相對來說攻擊成功很容易，防護(hù)成功卻極為困難，而信息安全水平的高低遵循木桶原理：信息安全水平有多高，取決于防護(hù)最薄弱的環(huán)節(jié)，企業(yè)中任何一個信息系統(tǒng)安全水平?jīng)Q定著信息化安全的整體水平。

企業(yè)信息系統(tǒng)在整個生命周期中，安全性相對于功能性、易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置，常常缺少通過以風(fēng)險(xiǎn)和策略為基礎(chǔ)風(fēng)險(xiǎn)評估，未按照信息系統(tǒng)安全等級保護(hù)的要求進(jìn)行等保測評，安全風(fēng)險(xiǎn)自然降低不到可接受的程度，為攻擊者提供了威脅破壞的機(jī)會，也就談不上信息化安全基礎(chǔ)架構(gòu)。

信息安全等級保護(hù)作為我國的一項(xiàng)基礎(chǔ)制度加以推行，有一定強(qiáng)制性，也是一種常見的對組織的信息安全進(jìn)行全面、系統(tǒng)管理的實(shí)施方法, 將信息系統(tǒng)按照重要性和受破壞危害程度分成五個安全保護(hù)等級，不同保護(hù)等級的系統(tǒng)分別給予不同級別的保護(hù)。《GBT 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》詳細(xì)的闡述了對信息系統(tǒng)安全的技術(shù)要求、管理要求，是企事業(yè)信息系統(tǒng)安全指導(dǎo)標(biāo)準(zhǔn)。

深入理解信息安全是動態(tài)、無邊界、非傳統(tǒng)的安全概念，是構(gòu)建企業(yè)信息化安全基礎(chǔ)架構(gòu)的標(biāo)準(zhǔn)

信息安全經(jīng)歷了通信安全、計(jì)算機(jī)安全、信息系統(tǒng)安全階段，進(jìn)入信息安全保障和網(wǎng)絡(luò)空間安全的階段，早期基于時(shí)間的PDR模型是由美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出，它是最早體現(xiàn)主動防御思想的一種信息安全模型，該信息安全模型思想：承認(rèn)信息系統(tǒng)漏洞，正視威脅，適度防護(hù)，加強(qiáng)檢測，落實(shí)反應(yīng)，建立威懾，任何防護(hù)措施都是基于時(shí)間的，是可以被攻破的出發(fā)點(diǎn)難于適應(yīng)信息化安全環(huán)境的快速變化，已經(jīng)被強(qiáng)調(diào)系統(tǒng)安全的動態(tài)性，以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高信息安全的P2DR模型所替代，P2DR模型在原有protection(防護(hù) )、detection( 檢測 )、response(響應(yīng))基礎(chǔ)上以策略為中心，更強(qiáng)調(diào)控制和對抗，特別考慮人為的管理因素,并將恢復(fù)作為重要的手段來實(shí)現(xiàn)信息安全的保障。

隨著云計(jì)算和大數(shù)據(jù)技術(shù)應(yīng)用，構(gòu)建下一代信息安全架構(gòu)的輪廓也越來越清晰，傳統(tǒng)的、基于邊界防護(hù)的P2DR模型安全措施，無法應(yīng)對IT基礎(chǔ)設(shè)施和業(yè)務(wù)架構(gòu)的變化，在層出不窮的高級威脅面前顯得無能為力。借助威脅情報(bào)和大數(shù)據(jù)分析技術(shù)構(gòu)建預(yù)測能力，安全的起點(diǎn)從檢測開始，通過安全情境和異常行為分析發(fā)現(xiàn)未知威脅的存在，通過取證手段溯源攻擊過程，確定對抗措施，提升防御能力是企業(yè)信息化安全動態(tài)的、主動的、對抗性的基礎(chǔ)架構(gòu)思維。

區(qū)域邊界顆粒度決定信息、信息系統(tǒng)的多層防護(hù)，是構(gòu)建企業(yè)信息化安全基礎(chǔ)架構(gòu)的原則

傳統(tǒng)的區(qū)域邊界逐漸模糊，并不代表著傳統(tǒng)安全防護(hù)毫無價(jià)值，物理區(qū)域邊界向強(qiáng)邏輯、邏輯區(qū)域邊界轉(zhuǎn)移，重新審視所面臨的未知威脅有助于提高信息安全主動對抗的手段，安全問題永遠(yuǎn)是人與人之間的智力對抗，企業(yè)信息化安全基礎(chǔ)架構(gòu)中加強(qiáng)對進(jìn)出某區(qū)域（物理區(qū)域或邏輯區(qū)域）的數(shù)據(jù)流進(jìn)行有效的控制與監(jiān)視，永遠(yuǎn)是實(shí)現(xiàn)企業(yè)的任務(wù)/業(yè)務(wù)運(yùn)作最有效的手段，典型的DMZ區(qū) 、信任區(qū)、非信任區(qū)的劃分已經(jīng)滿足不了信息化發(fā)展的需要，以“統(tǒng)籌規(guī)劃，區(qū)域結(jié)合，橫向隔離，縱向認(rèn)證”顆粒度標(biāo)準(zhǔn)，在企業(yè)信息化多功能性邊界部署多品牌的安全產(chǎn)品，實(shí)現(xiàn)復(fù)合防范技術(shù)，完善安全應(yīng)用是企業(yè)信息化安全基礎(chǔ)架構(gòu)重要工作。

企業(yè)信息化安全基礎(chǔ)架構(gòu)要考慮成本與效益的權(quán)衡，不出現(xiàn)過度安全，區(qū)域邊界顆粒度自身也要考慮成本與效益的權(quán)衡，不出現(xiàn)過度復(fù)雜，企業(yè)制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識別可接受的風(fēng)險(xiǎn)級別是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。

安全技術(shù)是信息安全控制的重要手段，是構(gòu)建企業(yè)信息化安全基礎(chǔ)架構(gòu)的構(gòu)筑材料

企業(yè)解決信息化安全，技術(shù)和安全產(chǎn)品是基礎(chǔ)，沒有微軟、雅虎、谷歌、Facebook、PalTalk、美國在線、Skype、YouTube、蘋果的技術(shù)參與，就不會有“棱鏡”（PR ISM）項(xiàng)目，IATF“深度防護(hù)戰(zhàn)略（Defense-in-Depth Strategy）”強(qiáng)調(diào)人、技術(shù)、操作這三個核心要素，從多種不同的角度對信息系統(tǒng)進(jìn)行防護(hù)，定義了本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個主要的技術(shù)焦點(diǎn)領(lǐng)域，沒有密碼技術(shù)、鑒別與訪問控制、病毒、惡意代碼防御、人侵檢測等先進(jìn)技術(shù)的應(yīng)用，就會變成一紙空文。

企業(yè)解決信息安全問題，成敗通常取決于兩個因素，一個是技術(shù)，另一個是管理，要讓安全技術(shù)發(fā)揮應(yīng)有的作用，必然要有適當(dāng)?shù)墓芾沓绦颍駝t安全技術(shù)只能趨于僵化和失敗，技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全，人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。信息化安全只有將有效的安全管理從始至終貫徹落實(shí)于安全建設(shè)基本架構(gòu)的方方面面，信息安全的長期性和穩(wěn)定性才能有所保證。

總之，企業(yè)信息化安全基礎(chǔ)架構(gòu)不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是具有不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程。