構建企業信息安全縱深防御體系

張帆

中圖分類號：F279 文獻標識：A 文章編號：1674-1145（2020）07-134-01

摘 要 為解決企業面臨的信息安全風險，本文通過構建互聯網層、內網層和組織層三層體系，達到對企業互聯網應用、內網服務器及核心系統的防護，從而實現為企業的經營生產管理保駕護航的目的。

關鍵詞 信息安全 縱深防御

隨著現代企業信息化建設的不斷深入，以及國內外信息安全形勢的日益嚴峻，各類失泄密事件、個人信息竊取事件、信息詐騙事件層出不窮……信息安全領域已逐漸成為一個沒有硝煙的現代化“戰場”，受到了各類企業以及政府部門的重視。企業信息安全管理已成為企業安全管理的重要組成部分，而在信息安全方面，存在著信息安全縱深不足、缺乏專業的信息安全體系、硬件設備及防護軟件漏洞等諸多問題，本文將站在管理層面，從互聯網、內網、防護軟件、硬件設備以及組織制度等方面，論證如何構建企業信息安全縱深防御體系。

一、構建縱深防御體系

（一）互聯網防御體系

企業互聯網入口是縱深防御的第一道防線，也是企業信息安全防護體系的重中之重。做好互聯網入口防御，對嘗試對企業內網進行訪問的請求進行識別、分析以及過濾和攔截，對于企業內網、桌面端信息安全都有著積極的效應，也為下一層極的網絡防守打好了基礎[1]。

在互聯網入口處，可以集中部署安全防護設備及蜜罐系統，通過設置和部署蜜罐系統，引誘和收集來自互聯網的攻擊信息，與此同時，借以隱蔽企業的高價值目標[1]。

其次，可以對企業互聯網的DMZ區部署做適當調整，通過新增企業互聯網出口服務器、啟用企業VPN平臺、分離企業互聯網應用向外部提供服務的網頁數據流和APP數據流等手段，分散互聯網側的防御壓力。

（二）內網防御體系

內網防御主要針對突破第一層防線以及從內網發起的危險行為進行識別和誘捕。保護部署在企業內部的系統服務器，邏輯隔離內網辦公電腦，避免因系統漏洞、用戶弱口令、未及時關機鎖屏等情況照成防守風險。同時，在企業信息數據中心內布置重要系統防線，配置一套具備企業個性化特征的訪問策略和密碼策略，避免因第一層互聯網防線失陷導致的防守失誤。

1.梳理資產，縮小目標

在保證服務可用的前提下，企業首先應組織人力對企業內網服務器、網絡設備、安全設備、信息系統等資產進行全面梳理，盡可能減少暴露面。其次，系統和設備賬號、端口信息也是信息安全的重要軟資產，要逐一組織清理，特別是重要設備的管理員賬號，一定要嚴格采取雙段密碼、定期更新等安全策略。

2.遷移數據，審計代碼

在梳理完企業信息資產的基礎上，開展遷移數據、審計代碼的工作，以進一步加強安全防線。此部分可包括以下主要工作：

對功能代碼進行代碼審計，修復高危漏洞。

對部署在內網的基礎軟件產品進行升級加固。

對內網重要信息系統代碼進行排查，嚴禁采取明文傳輸數據的方式。

將企業的主要服務器遷移到獨立服務器，集中人員和精力保護主要服務器。

3.制定策略，監控預警

在梳理信息資產的基礎上，要在內網制定嚴格的防火墻策略，以保證管理端口訪問的總體可控。主要有以下措施：

對服務器進行安全基線檢查和漏洞掃描并通過態勢感知系統對企業對外互聯網平臺的服務器進行24小時不間斷監測。

主動降噪，降低企業重要服務器間“心跳”服務頻率，避免對來自互聯網的流量分析造成干擾。

在企業對外互聯網應用防火墻內，將所有數據流都引導到平臺內網反向代理服務器，避免因DMZ區失陷導致后臺主服務器直接暴露[2]。

增加白名單配置。對來自各個方向的訪問請求配置白名單策略，將可能存在的危險訪問行為進行攔截過濾。

日志分析。在日常工作中，要通過對核心網絡設備、應用系統服務器的操作系統日志和應用日志進行定期分析，對分析中發現的可疑操作記錄，要通過即時調整策略進行查漏補缺。

（三）組織體系及制度建設

如果說第一、二道防線是物理意義上的防線，那么企業的信息安全組織體系及制度建設就是第三道“看不見”防線，也是最重要的防線，如果第三道防線沒有建設好，那么第一二道防線的防守效果將大打折扣[2]。

組織建設方面，企業信息安全應統一領導，分級負責。企業負責人是網絡與信息安全第一責任人，對企業網絡與信息安全工作全面負責，下設信息安全歸口部門。

制度建設方面，完善企業網絡安全監測預警和通報流程，制定網絡安全相關應急響應預案，開展系統應急演習，開展信息安全日常巡檢和隱患排查，積極開展重要信息系統等級保護測評，借此發現系統隱患，梳理安全管理流程。要對重要系統開展多層次、多角度滲透測試和攻防演練

文化建設方面，企業應積極對同行業及社會上的最新信息安全問題進行深入探討研究，針對重要網絡安全事件，要進行故障重現和模擬，對自身設施有效性進行確認，形成以學習研究氛圍為基礎的企業信息安全文化。

二、結語

構建信息安全縱深防御體系是保障企業信息安全的有效手段，從互聯網層到內網層再到通過逐層加強防御，可以有效解決企業在面臨信息安全威脅時的防御能力，為企業生產經營保駕護航。

參考文獻：

[1]張振強.公司信息安全體系構建[J].電腦知識與技術，2009（12）.

[2]董清.企業信息安全現狀與管理對策探討[J].網絡安全技術與應用，2014（6）.