构建企业信息安全纵深防御体系

    张帆

    中图分类号：F279 文献标识：A 文章编号：1674-1145（2020）07-134-01

    摘 要 为解决企业面临的信息安全风险，本文通过构建互联网层、内网层和组织层三层体系，达到对企业互联网应用、内网服务器及核心系统的防护，从而实现为企业的经营生产管理保驾护航的目的。

    关键词 信息安全 纵深防御

    随着现代企业信息化建设的不断深入，以及国内外信息安全形势的日益严峻，各类失泄密事件、个人信息窃取事件、信息诈骗事件层出不穷……信息安全领域已逐渐成为一个没有硝烟的现代化“战场”，受到了各类企业以及政府部门的重视。企业信息安全管理已成为企业安全管理的重要组成部分，而在信息安全方面，存在着信息安全纵深不足、缺乏专业的信息安全体系、硬件设备及防护软件漏洞等诸多问题，本文将站在管理层面，从互联网、内网、防护软件、硬件设备以及组织制度等方面，论证如何构建企业信息安全纵深防御体系。

    一、构建纵深防御体系

    （一）互联网防御体系

    企业互联网入口是纵深防御的第一道防线，也是企业信息安全防护体系的重中之重。做好互联网入口防御，对尝试对企业内网进行访问的请求进行识别、分析以及过滤和拦截，对于企业内网、桌面端信息安全都有着积极的效应，也为下一层极的网络防守打好了基础[1]。

    在互联网入口处，可以集中部署安全防护设备及蜜罐系统，通过设置和部署蜜罐系统，引诱和收集来自互联网的攻击信息，与此同时，借以隐蔽企业的高价值目标[1]。

    其次，可以对企业互联网的DMZ区部署做适当调整，通过新增企业互联网出口服务器、启用企业VPN平台、分离企业互联网应用向外部提供服务的网页数据流和APP数据流等手段，分散互联网侧的防御压力。

    （二）内网防御体系

    内网防御主要针对突破第一层防线以及从内网发起的危险行为进行识别和诱捕。保护部署在企业内部的系统服务器，逻辑隔离内网办公电脑，避免因系统漏洞、用户弱口令、未及时关机锁屏等情况照成防守风险。同时，在企业信息数据中心内布置重要系统防线，配置一套具备企业个性化特征的访问策略和密码策略，避免因第一层互联网防线失陷导致的防守失误。

    1.梳理资产，缩小目标

    在保证服务可用的前提下，企业首先应组织人力对企业内网服务器、网络设备、安全设备、信息系统等资产进行全面梳理，尽可能减少暴露面。其次，系统和设备账号、端口信息也是信息安全的重要软资产，要逐一组织清理，特别是重要设备的管理员账号，一定要严格采取双段密码、定期更新等安全策略。

    2.迁移数据，审计代码

    在梳理完企业信息资产的基础上，开展迁移数据、审计代码的工作，以进一步加强安全防线。此部分可包括以下主要工作：

    对功能代码进行代码审计，修复高危漏洞。

    对部署在内网的基础软件产品进行升级加固。

    对内网重要信息系统代码进行排查，严禁采取明文传输数据的方式。

    将企业的主要服务器迁移到独立服务器，集中人员和精力保护主要服务器。

    3.制定策略，监控预警

    在梳理信息资产的基础上，要在内网制定严格的防火墙策略，以保证管理端口访问的总体可控。主要有以下措施：

    对服务器进行安全基线检查和漏洞扫描并通过态势感知系统对企业对外互联网平台的服务器进行24小时不间断监测。

    主动降噪，降低企业重要服务器间“心跳”服务频率，避免对来自互联网的流量分析造成干扰。

    在企业对外互联网应用防火墙内，将所有数据流都引导到平台内网反向代理服务器，避免因DMZ区失陷导致后台主服务器直接暴露[2]。

    增加白名单配置。对来自各个方向的访问请求配置白名单策略，将可能存在的危险访问行为进行拦截过滤。

    日志分析。在日常工作中，要通过对核心网络设备、应用系统服务器的操作系统日志和应用日志进行定期分析，对分析中发现的可疑操作记录，要通过即时调整策略進行查漏补缺。

    （三）组织体系及制度建设

    如果说第一、二道防线是物理意义上的防线，那么企业的信息安全组织体系及制度建设就是第三道“看不见”防线，也是最重要的防线，如果第三道防线没有建设好，那么第一二道防线的防守效果将大打折扣[2]。

    组织建设方面，企业信息安全应统一领导，分级负责。企业负责人是网络与信息安全第一责任人，对企业网络与信息安全工作全面负责，下设信息安全归口部门。

    制度建设方面，完善企业网络安全监测预警和通报流程，制定网络安全相关应急响应预案，开展系统应急演习，开展信息安全日常巡检和隐患排查，积极开展重要信息系统等级保护测评，借此发现系统隐患，梳理安全管理流程。要对重要系统开展多层次、多角度渗透测试和攻防演练

    文化建设方面，企业应积极对同行业及社会上的最新信息安全问题进行深入探讨研究，针对重要网络安全事件，要进行故障重现和模拟，对自身设施有效性进行确认，形成以学习研究氛围为基础的企业信息安全文化。

    二、结语

    构建信息安全纵深防御体系是保障企业信息安全的有效手段，从互联网层到内网层再到通过逐层加强防御，可以有效解决企业在面临信息安全威胁时的防御能力，为企业生产经营保驾护航。

    参考文献：

    [1]张振强.公司信息安全体系构建[J].电脑知识与技术，2009（12）.

    [2]董清.企业信息安全现状与管理对策探讨[J].网络安全技术与应用，2014（6）.