亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

等保2.0新規(guī)下企業(yè)信息安全架構(gòu)之安全縱深模型設(shè)計(jì)

【摘要】信息安全縱深防御模型就像一顆洋蔥,層層包裹著核心。每層都有不同的信息安全防御措施,讓黑客的攻擊層層受阻。企業(yè)在規(guī)劃自身的信息安全架構(gòu)時(shí),采用信息安全縱深防御模型,可以確保整體信息安全架構(gòu)不出現(xiàn)單點(diǎn)安全,任何單一的安全點(diǎn)都是不安全的。


概述

當(dāng)前,信息技術(shù)飛速發(fā)展,已成為最活躍的生產(chǎn)力要素,促使生產(chǎn)模式發(fā)生重大的變革,引發(fā)互聯(lián)網(wǎng)經(jīng)濟(jì)蓬勃發(fā)展。信息化作為企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)與支撐,得到了企業(yè)高層的高度重視,云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、邊緣計(jì)算等越來(lái)越多的新技術(shù)、新架構(gòu)被開(kāi)發(fā)和廣泛應(yīng)用。

信息化在國(guó)家發(fā)展中的重要性和地位不斷上升,信息安全逐漸得到國(guó)家重視,并于 2017 年 6 月發(fā)布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,旨在保障網(wǎng)絡(luò)安全,維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。

據(jù)全球知名網(wǎng)絡(luò)安全公司 Gemalto 發(fā)布的《數(shù)據(jù)泄露水平指數(shù)》指出,僅 2018 年上半年,全球每天有超過(guò) 2500 萬(wàn)條個(gè)人數(shù)據(jù)遭到入侵或泄露,涉及金融、醫(yī)療、制造等多個(gè)行業(yè)。直至現(xiàn)在,越來(lái)越多的網(wǎng)絡(luò)安全事件爆發(fā),黑客攻擊手法也越來(lái)越復(fù)雜和多樣化。面對(duì)如此嚴(yán)峻的形勢(shì),我們亟需構(gòu)建一套屬于自己的信息安全架構(gòu),御敵于千里之外。


什么是信息安全?

對(duì)于什么是信息安全的概念,不同的人可能解釋也不同。ISO/IEC 、美國(guó)國(guó)家安全系統(tǒng)委員會(huì)和國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)三家對(duì)信息安全的定義大同小異,其目標(biāo)一致,都指出保障信息安全的最重要目的是保護(hù)信息的機(jī)密性、完整性和可用性。

定義概述為“為了保障機(jī)密性、完整性和可用性而保護(hù)信息和信息系統(tǒng),以防止授權(quán)的訪問(wèn)、使用、泄露、中斷、修改或者破壞”。

■ 機(jī)密性:

簡(jiǎn)而言之,信息僅能夠被授權(quán)的個(gè)人、組織、系統(tǒng)或流程訪問(wèn),不應(yīng)該被任何其他非授權(quán)行為獲取。例如銀行賬戶的交易流水和余額的信息,除賬戶持有人或經(jīng)賬戶持有人授權(quán)的主體可以看到以外,其他人或組織不得查詢或獲取。

■ 完整性:

簡(jiǎn)而言之,就是確保信息的一致性、準(zhǔn)確性和可信賴(lài)性,不允許信息被篡改。例如用戶通過(guò)銀行網(wǎng)頁(yè)提交個(gè)人信息為開(kāi)通賬戶。數(shù)據(jù)是通過(guò)網(wǎng)頁(yè)形式提交的,銀行要通過(guò)某種措施,進(jìn)行數(shù)據(jù)的校驗(yàn),確保用戶提交的信息和最終存儲(chǔ)的信息的準(zhǔn)確性。

■ 可用性:

簡(jiǎn)而言之,就是業(yè)務(wù)連續(xù)性的體現(xiàn),確保用戶可以隨時(shí)獲得已授權(quán)的信息。例如銀行要隨時(shí)確保用戶可以通過(guò) ATM 、網(wǎng)銀、柜臺(tái)、移動(dòng)終端等多種方式進(jìn)行金融服務(wù)。

在考慮信息安全的時(shí)候,一定要把保障信息安全的三大屬性作為重要的目標(biāo),從而建立完善和有效的保護(hù)措施,確保業(yè)務(wù)的可持續(xù)性和數(shù)據(jù)的安全性。


什么是信息安全縱深防御模型?

眾所周知,信息安全的攻擊和防護(hù)是嚴(yán)重不對(duì)稱(chēng)的,一般來(lái)說(shuō)攻擊要比防御容易的太多。一個(gè)組織或企業(yè)的信息安全水平遵循木桶原理,也可稱(chēng)為短板效應(yīng)。即一只木桶能盛多少水,并不取決于最長(zhǎng)的那塊木板,而是取決于最短的那塊木板。任何一個(gè)組織或者企業(yè),可能面臨的一個(gè)共同問(wèn)題,即構(gòu)成信息安全體系的各個(gè)環(huán)節(jié)往往是優(yōu)劣不齊的,而劣勢(shì)部分(安全體系最薄弱環(huán)節(jié))往往決定整體信息安全水平的高低。

隨著信息安全技術(shù)的不斷發(fā)展進(jìn)步,單一的防御措施已經(jīng)不能適應(yīng)新的安全形勢(shì),必須以體系化思想重新定義縱深防御,形成一個(gè)縱深的、動(dòng)態(tài)的安全保障框架,亦即縱深防御體系。縱深防御體系是一種信息安全防護(hù)系統(tǒng)設(shè)計(jì)方法論,其基本思想是綜合治理,以信息安全為中心,以多層面安全手段為基礎(chǔ),以流程化管控為抓手,以貫穿信息系統(tǒng)的生命周期為管理范疇。由于其體系較為復(fù)雜、龐大,本文僅分享基于技術(shù)層面的縱深防御模型,有興趣了解縱深防御體系的朋友可繼續(xù)關(guān)注 TWT 的官方動(dòng)態(tài)。

信息安全縱深防御模型是基于一種假設(shè),任何單一的安全措施都是不充分的,任何單一的安全措施都是可以繞過(guò)的。可以把縱深防御理解成為“剝洋蔥”,是指在信息系統(tǒng)周邊及自身實(shí)施多層次的安全防御手段,在任何一種防御措施被攻破或失效后,可以利用另外的安全防御手段來(lái)阻止進(jìn)一步的危害。對(duì)攻擊者而言,防御措施一層比一層嚴(yán)謹(jǐn),一層比一層難以攻克,從而保證核心層系統(tǒng)的相對(duì)安全。


信息安全縱深防御模型的重要性?

給大家簡(jiǎn)述一個(gè)現(xiàn)實(shí)的例子,說(shuō)明一下信息安全縱深防御模型與核心數(shù)據(jù)的關(guān)系。

相信大家都非常喜歡看“尋寶”類(lèi)的電影,寶藏一般存放在巨獸把守、機(jī)關(guān)重重且不容易被得到的深山老林的洞穴里。洞穴周邊布滿天羅地網(wǎng),各種陷阱。好不容易闖過(guò),又遇到各種怪獸攔路。僥幸通過(guò),寶藏盡在眼前之際,又被大 Boss “招待”,此時(shí)能活下來(lái)的機(jī)會(huì)已經(jīng)渺茫。“豬腳”最終得到寶藏,結(jié)果還是個(gè)看不懂的地圖。

本文的例子中的天羅地網(wǎng)、各種陷阱、巨獸及大 Boss 都是防止機(jī)密文件被竊取的防御措施。看不懂的地圖可以理解為加密文件,是最后的防線,防止機(jī)密數(shù)據(jù)萬(wàn)一被竊取后導(dǎo)致的寶藏被盜(信息泄露)。

不同的企業(yè)實(shí)況,對(duì)信息安全縱深防御模型的層級(jí)劃分也不盡相同。

1、物理安全:物理安全又稱(chēng)作實(shí)體安全,是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(網(wǎng)絡(luò)及通信線路)等免遭地震、水災(zāi),人為和其他環(huán)境事故中受破壞的措施和過(guò)程。

2、終端安全:根據(jù)知名調(diào)研機(jī)構(gòu)的數(shù)據(jù)指出, 60% 的信息泄露發(fā)生在終端側(cè)。終端安全主要是通過(guò)各種終端安全軟件的協(xié)同配合,保證終端出入口的安全及數(shù)據(jù)存儲(chǔ)的安全。

3、網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全指網(wǎng)絡(luò)上信息的安全,也就是網(wǎng)絡(luò)中傳輸和保存的數(shù)據(jù),不受偶然或惡意的破壞、更改和泄露,網(wǎng)絡(luò)系統(tǒng)能夠正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。

4、系統(tǒng)安全:系統(tǒng)安全主要指的是計(jì)算機(jī)系統(tǒng)的安全,而計(jì)算機(jī)系統(tǒng)的安全主要來(lái)自于軟件系統(tǒng),包括操作系統(tǒng)的安全和數(shù)據(jù)庫(kù)的安全。

5、數(shù)據(jù)安全:數(shù)據(jù)安全指的是用技術(shù)手段識(shí)別網(wǎng)絡(luò)上的文件、數(shù)據(jù)庫(kù)、帳戶信息等各類(lèi)數(shù)據(jù)集的相對(duì)重要性、敏感性、合規(guī)性等,并采取適當(dāng)?shù)陌踩刂拼胧?duì)其實(shí)施保護(hù)的過(guò)程。

6、應(yīng)用安全:應(yīng)用安全是指應(yīng)用程序在使用過(guò)程中和結(jié)果的安全,它是定位于應(yīng)用層的安全防護(hù)。

通過(guò)建立有效的縱深防御模型,各個(gè)層次相互聯(lián)動(dòng)配合,實(shí)現(xiàn):

  • 層級(jí)分明,多種防御措施結(jié)合使用,增加攻擊難度,降低信息泄露可能性;

  • 設(shè)立多級(jí)風(fēng)險(xiǎn)檢查點(diǎn),阻止大多數(shù)惡意病毒及威脅的入侵;

  • 防御策略分明,利于管理員針對(duì)不同類(lèi)型威脅進(jìn)行策略部署及有效防御;

  • 充分發(fā)揮不同安全廠商的產(chǎn)品特性和價(jià)值,術(shù)業(yè)專(zhuān)攻。

如果沒(méi)有縱深防御體系,就難以構(gòu)建真正的系統(tǒng)安全體系,更無(wú)法保障企業(yè)業(yè)務(wù)的連續(xù)性運(yùn)轉(zhuǎn)。


企業(yè)信息安全威脅

正所謂知己知彼,百戰(zhàn)百勝。要想保護(hù)企業(yè)信息的安全,就要明確信息安全常見(jiàn)的威脅,對(duì)癥下藥,防患于未然。

威脅分析模型 -STRIDE 模型

STRIDE 威脅分析模型是微軟提出的一套安全設(shè)計(jì)方法論,六個(gè)字母代表六種安全威脅,分別是:

身份假冒( Spoofing ):

身份假冒,即偽裝成某對(duì)象或某人。例如,通過(guò)偽裝成別人的身份進(jìn)行操作。

篡改( Tampering ):

篡改,即未經(jīng)授權(quán)的情況下,修改數(shù)據(jù)或者代碼。例如,非授權(quán)人員通過(guò)網(wǎng)絡(luò)抓包或者某種途徑修改某個(gè)請(qǐng)求包,使得篡改的請(qǐng)求包提交成功。

抵賴(lài)( Repudiation ):

抵賴(lài),即拒絕執(zhí)行他人無(wú)法證實(shí)也無(wú)法反對(duì)的行為而產(chǎn)生抵賴(lài)。例如, A 攻擊了某個(gè)產(chǎn)品,產(chǎn)品方并不知道是 A 做的,沒(méi)有證據(jù)證明是 A 做的, A 就可以進(jìn)行抵賴(lài)。

信息泄露( Information Disclosure ) :

信息泄露,即將信息暴露給未授權(quán)用戶。例如,通過(guò)某種途徑獲取未經(jīng)加密的敏感信息。

拒絕服務(wù)( Denial of Service ):

拒絕服務(wù),即拒絕或降低有效用戶的服務(wù)級(jí)別。例如,通過(guò)拒絕服務(wù)攻擊,使得其他正常用戶無(wú)法使用產(chǎn)品的相關(guān)服務(wù)功能。

特權(quán)提升( Elevation of Privilege ):

特權(quán)提升,即通過(guò)非授權(quán)方式獲得更高權(quán)限。例如,試圖用管理員的權(quán)限進(jìn)行業(yè)務(wù)操作。

微軟的全系產(chǎn)品都是基于它進(jìn)行安全考慮與設(shè)計(jì)。STRIDE 模型幾乎是可以涵蓋現(xiàn)在世界上絕大部分的安全問(wèn)題。

常見(jiàn)信息安全威脅來(lái)源

互聯(lián)網(wǎng)最大的好處就是拉近我們彼此之間的距離,信息可以以秒級(jí)為單位傳遍全球各個(gè)角落。當(dāng)然,有好的一面必然就有不好的一面。

隨著信息技術(shù)的迅猛發(fā)展,全球性、互聯(lián)性、信息資源和數(shù)據(jù)共享性等特點(diǎn)日益凸顯。使其本身極易受到攻擊,攻擊的不可預(yù)測(cè)性、危害的連鎖擴(kuò)散性大大增強(qiáng)了信息安全問(wèn)題造成的危害,信息安全已呈現(xiàn)出全球性、突發(fā)性、擴(kuò)散性等特點(diǎn)。信息安全面對(duì)復(fù)雜、嚴(yán)峻的管理形勢(shì),已經(jīng)被企業(yè)和國(guó)家所重視。

但這些威脅根據(jù)其性質(zhì),基本上可以歸結(jié)為以下幾個(gè)方面:

  • 信息泄露:被保護(hù)的信息被無(wú)意或有意的泄露;

  • 破壞信息的完整性:被保護(hù)的數(shù)據(jù)被非法篡改或破壞;

  • 拒絕服務(wù):非法阻止合法信息使用者對(duì)信息服務(wù)的訪問(wèn);

  • 非授權(quán)訪問(wèn):受保護(hù)資源被非授權(quán)個(gè)人或組織進(jìn)行使用;

  • 竊聽(tīng):利用用各種可能的非法的手段竊取系統(tǒng)中受保護(hù)的信息資源和敏感信息;

  • 假冒:通過(guò)欺騙通信系統(tǒng)或用戶,達(dá)到非法用戶冒充成為合法用戶,或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客攻擊往往采用此方式,偽裝欺騙用戶,達(dá)到目的;

  • 漏洞攻擊:攻擊者利用系統(tǒng)的安全缺陷或漏洞獲得非法的權(quán)限;

  • 內(nèi)部攻擊:被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人,卻將此權(quán)限用于其他非授權(quán)的目的;

  • 抵賴(lài):通常為內(nèi)部攻擊的分支,攻擊者否認(rèn)自己曾經(jīng)發(fā)布過(guò)的某條消息;

  • 計(jì)算機(jī)病毒:一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序;

  • 法律法規(guī)不完善:由于信息安全法規(guī)法律方面的不完善,給信息竊取、信息破壞者以可趁之機(jī)。


信息安全防御措施

通過(guò)上文了解了什么是信息安全以及信息安全的威脅源,本章主要是介紹如何通過(guò)縱深防御模型,分層次的精準(zhǔn)部署安全策略,做到有的放矢,對(duì)信息進(jìn)行保護(hù),提升企業(yè)信息安全威脅防御能力。

安全的原則

通過(guò)信息安全業(yè)界專(zhuān)家和學(xué)者的多年研究,總結(jié)出 10 個(gè)最關(guān)鍵且有效的安全原則,分別是:

  • 縱深防御;

  • 運(yùn)用戴明環(huán)模型;

  • 最小權(quán)限;

  • 白名單機(jī)制;

  • 失敗安全;

  • 避免通過(guò)隱藏功能實(shí)現(xiàn)安全;

  • 入侵檢測(cè)

  • 不信任第三方系統(tǒng);

  • 默認(rèn)安全配置;

  • 業(yè)務(wù)隔離

這 10 個(gè)基本原則,基本保證了業(yè)務(wù)的基本信息安全要求:

■ 縱深防御

本章主要介紹的就是縱深防御,它也是業(yè)界認(rèn)可度最高,普及率最廣的防御體系。

通過(guò)專(zhuān)項(xiàng)技術(shù)的分層部署,在多個(gè)層面進(jìn)行控制和防御,如本篇所說(shuō)的從物理層到應(yīng)用層。

永遠(yuǎn)不要把所有的精力只用在某個(gè)點(diǎn)的防御上,某個(gè)點(diǎn)防御的再?gòu)?qiáng),也可能會(huì)出現(xiàn)零 Day 漏洞,無(wú)法保證數(shù)據(jù)的安全。縱深防御理念就是層層設(shè)防,多樣化,多層次、縱深的防御措施。攻破一層防護(hù)后,也無(wú)法徹底破壞整個(gè)信息基礎(chǔ)設(shè)施或應(yīng)用系統(tǒng),就像剝洋蔥一樣,一層比一層辣眼睛。

■ 運(yùn)用戴明環(huán)模型( PDCA)

安全運(yùn)營(yíng)工作是一條需要持續(xù)貫徹的原則,安全工作永遠(yuǎn)不是一勞永逸的,它不是一次性的靜態(tài)過(guò)程,而是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程,需要堅(jiān)持不懈的持續(xù)經(jīng)營(yíng)。PDCA(Plan-Do-Check-Action) 是在管理科學(xué)中常用的迭代控制和持續(xù)改進(jìn)的方法論可以有效的輔助安全運(yùn)營(yíng)工作的開(kāi)展與改進(jìn)。

■ 最小化權(quán)限

最小化權(quán)限顧名思義,就是賦予合法用戶、組織或程序最小化的、能完成其功能的權(quán)限。比如:

1、關(guān)閉不必要的對(duì)外開(kāi)放的端口;

2、取消應(yīng)用的管理員權(quán)限;

3、刪除或者禁用系統(tǒng)內(nèi)無(wú)關(guān)的賬戶;

4、卸載服務(wù)器上無(wú)關(guān)的軟件或應(yīng)用。

■ 使用白名單

通過(guò)白名單機(jī)制,可以明確定義什么是被允許的,其他的均被拒絕。黑名單與白名單相對(duì),單純的使用黑名單機(jī)制,最顯而易見(jiàn)的缺陷就是,在很多情況下,我們無(wú)法窮盡所有可能的威脅,從而造成“誤放”。一旦“誤放”,我們的系統(tǒng)就有極大可能被黑客攻破。白名單最多會(huì)造成“誤殺”,正所謂“寧可錯(cuò)殺三千,也不放過(guò)一個(gè)”。此問(wèn)題可以通過(guò)手動(dòng)添加的方式解決,確保每條白名單均經(jīng)過(guò)審核。

■ 失敗安全

是指在程序開(kāi)發(fā)過(guò)程中要安全的處理錯(cuò)誤。在程序設(shè)計(jì)的時(shí)候,要確保安全控制模塊在發(fā)生異常時(shí)遵循禁止操作的處理邏輯。當(dāng)異常發(fā)生時(shí),避免因?yàn)楫惓L幚泶a處理不當(dāng),導(dǎo)致的意想不到的問(wèn)題,比如權(quán)限提升、信息泄露等。這也是不懂安全的開(kāi)發(fā)人員經(jīng)常忽視的。

■ 避免通過(guò)隱藏功能實(shí)現(xiàn)安全

是一種自欺欺人的方法,是試圖通過(guò)對(duì)外部隱藏一些信息來(lái)實(shí)現(xiàn)安全。例如錢(qián)包等貴重商品放在汽車(chē)的駕駛座等透明位置,只用一張報(bào)紙掩蓋,就認(rèn)為它安全了。再例如我們把 Redis 的監(jiān)聽(tīng)端口從 TCP6379 改成 TCP6380 ,但依然放在公網(wǎng)提供服務(wù)等等方式。

要知道,互聯(lián)網(wǎng)上遍布無(wú)數(shù)高速和強(qiáng)大的掃描工具,簡(jiǎn)單的隱藏根本無(wú)法保證信息系統(tǒng)的安全。

■ 入侵檢測(cè)

是指在入侵發(fā)生后,若沒(méi)有有效的入侵檢測(cè)系統(tǒng)的支持,我們的系統(tǒng)可能會(huì)長(zhǎng)時(shí)間被黑客利用而無(wú)法察覺(jué),從而導(dǎo)致業(yè)務(wù)長(zhǎng)期受到威脅。至于是網(wǎng)絡(luò)層面入侵檢測(cè)還是主機(jī)層面的入侵檢測(cè)都是信息安全所必須的。

■ 不信任第三方系統(tǒng)

現(xiàn)在的系統(tǒng)越來(lái)越復(fù)雜,很多服務(wù)和接口都是模塊化、組件化的,需要引入第三方的模塊或者和第三方的業(yè)務(wù)系統(tǒng)對(duì)接使用其提供的數(shù)據(jù),我們無(wú)法掌控第三方系統(tǒng)的安全性。如果其存在漏洞被攻擊,需要保證我們的系統(tǒng)不會(huì)因此而受到影響。

■ 默認(rèn)安全配置

不要認(rèn)為系統(tǒng)默認(rèn)的安全設(shè)置一定是安全的。比如一些路由器出廠默認(rèn)的帳號(hào)是 admin 密碼也是 admin ;很多系統(tǒng)默認(rèn)不啟用密碼復(fù)雜性要求;第一次登陸系統(tǒng)也不會(huì)要求用戶修改密碼。當(dāng)網(wǎng)絡(luò)上的掃描器進(jìn)行掃描時(shí),很容易破解以上系統(tǒng)的賬戶和密碼信息。

■ 業(yè)務(wù)隔離

安全不是過(guò)家家,永遠(yuǎn)不要把所有雞蛋都放在一個(gè)籃子里,就像炒股一樣,越是集中,風(fēng)險(xiǎn)越大。業(yè)務(wù)隔離后,不至于一個(gè)系統(tǒng)被攻破就讓黑客拿到了一把“萬(wàn)能鑰匙”,可以操作所有的業(yè)務(wù)功能,導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓。

常用防御措施技術(shù)分享

通過(guò)在各層級(jí)部署防御措施,實(shí)現(xiàn)系統(tǒng)多層次、多維度的信息安全防御,構(gòu)筑相對(duì)安全的信息安全縱深防御模型,提升系統(tǒng)整體的威脅防御能力和風(fēng)險(xiǎn)抵御能力。

物理層:

1、租賃或自建符合國(guó)家數(shù)據(jù)中心機(jī)房建設(shè) B 級(jí)標(biāo)準(zhǔn)或以上的機(jī)房,確保風(fēng)、火、水、電等基礎(chǔ)設(shè)施高可用;

2、門(mén)禁系統(tǒng),授權(quán)訪問(wèn);

3、視頻監(jiān)控,無(wú)死角;

4、專(zhuān)屬機(jī)柜,物理上鎖;

終端層:

1、所有終端安裝防病毒客戶端,防止病毒入侵;

2、所有終端部署 DLP 客戶端,防止數(shù)據(jù)泄漏;

3、所有終端部署桌管軟件,防止未授權(quán)外設(shè)接入;

4、部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),防止未授權(quán)客戶端接入內(nèi)網(wǎng);

網(wǎng)絡(luò)層:

1、互聯(lián)網(wǎng)層面部署 ADS\WAF\IPS\IDS ;

2、部署下一代防火墻,阻止南北流向的非法訪問(wèn)及病毒流量;

3、部署上網(wǎng)行為系統(tǒng),授權(quán)用戶上網(wǎng),防止非法網(wǎng)站訪問(wèn);

4、部署反垃圾郵件網(wǎng)關(guān),阻止帶有惡意 URL 及病毒的郵件;

系統(tǒng)層:

1、統(tǒng)一身份認(rèn)證,授權(quán)訪問(wèn);

2、部署堡壘機(jī),實(shí)現(xiàn)精準(zhǔn)授權(quán)運(yùn)維;

3、開(kāi)啟系統(tǒng)防火墻,授權(quán)流量訪問(wèn);

4、部署補(bǔ)丁管理系統(tǒng),針對(duì)安全和關(guān)鍵補(bǔ)丁進(jìn)行下發(fā);

數(shù)據(jù)層:

1、部署數(shù)據(jù)庫(kù)審計(jì)工具;

2、部署加密系統(tǒng),對(duì)核心數(shù)據(jù)進(jìn)行加密;

3、部署備份系統(tǒng),對(duì)核心數(shù)據(jù)進(jìn)行異地備份;

應(yīng)用層:

1、部署 SSL 數(shù)字證書(shū),實(shí)現(xiàn)通信加密;

2、部署應(yīng)用防火墻,阻止 SQL 注入等惡意行為;

3、部署監(jiān)控系統(tǒng),對(duì)應(yīng)用行為進(jìn)行監(jiān)控分析;


信息安全組織與管理

一個(gè)完整的縱深防御體系離不開(kāi)技術(shù)與管理,正所謂“三分技術(shù),七分管理”。要保障信息安全和系統(tǒng)安全,除了有必要的技術(shù)手段支持以外,還要考慮組織和管理的因素,也就是人、流程與制度的因素。

本文重點(diǎn)聚焦在技術(shù)上的縱深防御,對(duì)管理介紹較少。下文簡(jiǎn)單介紹一下在信息安全管理方面的一些淺薄見(jiàn)解。

組建合理的安全組織架構(gòu)

信息安全工作向來(lái)是一把手工程,在大中型企業(yè)往往會(huì)設(shè)立由一把手領(lǐng)導(dǎo)的信息安全小組,對(duì)集團(tuán)的重大信息安全工作進(jìn)行指導(dǎo)和推動(dòng)。比如在國(guó)家層面,就是由國(guó)家主席習(xí)近平擔(dān)任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的組長(zhǎng),強(qiáng)調(diào)網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題,要從國(guó)際國(guó)內(nèi)大勢(shì)出發(fā),總體布局,統(tǒng)籌各方,創(chuàng)新發(fā)展,努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)。

同時(shí)在實(shí)體職位中,會(huì)設(shè)立首席安全官( CSO ),對(duì)集團(tuán)信息安全工作進(jìn)行具體的規(guī)劃與執(zhí)行,確保信息安全戰(zhàn)略時(shí)刻為企業(yè)商業(yè)戰(zhàn)略而服務(wù)。

流程化管控

企業(yè)的信息安全體系按照規(guī)劃建設(shè)完成,這只是安全保障的第一步,或者說(shuō)是前提 。之后大部分的工作都是在信息安全運(yùn)營(yíng)中。結(jié)合本文提及的 PDCA ,通過(guò)迭代更新的方法論,對(duì)信息安全策略和運(yùn)營(yíng)進(jìn)行持續(xù)化改進(jìn),增強(qiáng)企業(yè)信息安全的整體防御能力。

正所謂“制度管人,流程管事”。基于流程化管理,信息安全運(yùn)營(yíng)團(tuán)隊(duì)可以根據(jù)不同的安全事件、安全請(qǐng)求、安全變更進(jìn)行快速響應(yīng)和精確處理。量化信息安全事件和信息安全處理情況,為精細(xì)化運(yùn)營(yíng)提供佐證。

強(qiáng)化意識(shí)培訓(xùn)

其實(shí),在十大信息安全威脅中,最難以攻克的信息安全難題就是內(nèi)部人員泄密。在 IBM 公司 2018 年的信息安全調(diào)查中顯示, 60% 的信息安全事件發(fā)生在終端側(cè)。同時(shí),終端側(cè)也是信息安全泄露事件的重災(zāi)區(qū)。商業(yè)間諜、高級(jí)持續(xù)性威脅及各類(lèi)木馬等都可以導(dǎo)致信息泄露。

培養(yǎng)內(nèi)部員工的信息安全意識(shí)至關(guān)重要,企業(yè)應(yīng)該通過(guò)各種培訓(xùn)和活動(dòng)使員工明白信息安全的重要性,持續(xù)教育和告誡員工把信息安全作為自身安全一樣去對(duì)待。比如不隨便瀏覽與工作無(wú)關(guān)的網(wǎng)站,禁止對(duì)非工作郵件內(nèi)的附件進(jìn)行下載;禁止點(diǎn)擊郵件內(nèi)無(wú)關(guān)的 URL ;禁止運(yùn)行與工作軟件的軟件等;信息安全無(wú)小事,對(duì)于企業(yè)而言,無(wú)論基層員工還是領(lǐng)導(dǎo)層都應(yīng)時(shí)刻謹(jǐn)記。


結(jié)束語(yǔ)

信息安全防御措施必須滲透到系統(tǒng)的每個(gè)環(huán)節(jié),通過(guò)信息安全管理以確保信息安全戰(zhàn)略與組織業(yè)務(wù)目標(biāo)的一致。

信息安全縱深防御模型,就像一顆洋蔥,層層包裹著核心。每層都有不同的信息安全防御措施,讓黑客的攻擊層層受阻。企業(yè)在規(guī)劃自身的信息安全架構(gòu)時(shí),建議采用信息安全縱深防御模型,確保整體信息安全架構(gòu)不出現(xiàn)單點(diǎn)安全,任何單一的安全點(diǎn)都是不安全的。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)