如何构建信息化安全架构

引言：目前，我国企业信息化整体发展的战略布局围绕“中国制造2025”、工业4.0的发展趋势，广泛应用电子信息技术，推进企业经营、管理、研发、智能制造，实现管理科学化，建立符合市场经济规律的、科学的信息服务和决策支持系统，从而有效地提高企业核心竞争力和综合实力。然而，在企业信息化安全的理论界，各种理论、模式相互交叉，错综复杂，云计算和大数据技术结合，使原本信息化安全理论上的某种程度的混乱现象进一步加剧，本文试图从企业信息系统安全的理论、区域功能、安全技术三方面入手，分析企业信息化安全的基础架构，进而为广大企事业单位从事信息化安全工作提供一定的借鉴。

信息安全本质上是信息系统安全，信息系统的风险评估是构建企业信息化安全基础架构的重要依据

完整的企业内部信息系统一般包括事务处理系统、办公自动化系统、知识运用系统、管理信息系统、决策咨询系统等模块。就企业而言，只有服务于企业业务使命的、安全可靠的信息系统才有意义, 信息系统自身存在过程、结构、应用复杂的脆弱性，导致信息系统的攻击和防护严重不对称，相对来说攻击成功很容易，防护成功却极为困难，而信息安全水平的高低遵循木桶原理：信息安全水平有多高，取决于防护最薄弱的环节，企业中任何一个信息系统安全水平决定着信息化安全的整体水平。

企业信息系统在整个生命周期中，安全性相对于功能性、易用性、代码大小、执行程度等因素被放在次要的位置，常常缺少通过以风险和策略为基础风险评估，未按照信息系统安全等级保护的要求进行等保测评，安全风险自然降低不到可接受的程度，为攻击者提供了威胁破坏的机会，也就谈不上信息化安全基础架构。

信息安全等级保护作为我国的一项基础制度加以推行，有一定强制性，也是一种常见的对组织的信息安全进行全面、系统管理的实施方法, 将信息系统按照重要性和受破坏危害程度分成五个安全保护等级，不同保护等级的系统分别给予不同级别的保护。《GBT 22239-2008信息安全技术信息系统安全等级保护基本要求》详细的阐述了对信息系统安全的技术要求、管理要求，是企事业信息系统安全指导标准。

深入理解信息安全是动态、无边界、非传统的安全概念，是构建企业信息化安全基础架构的标准

信息安全经历了通信安全、计算机安全、信息系统安全阶段，进入信息安全保障和网络空间安全的阶段，早期基于时间的PDR模型是由美国国际互联网安全系统公司（ISS）提出，它是最早体现主动防御思想的一种信息安全模型，该信息安全模型思想：承认信息系统漏洞，正视威胁，适度防护，加强检测，落实反应，建立威慑，任何防护措施都是基于时间的，是可以被攻破的出发点难于适应信息化安全环境的快速变化，已经被强调系统安全的动态性，以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高信息安全的P2DR模型所替代，P2DR模型在原有protection(防护 )、detection( 检测 )、response(响应)基础上以策略为中心，更强调控制和对抗，特别考虑人为的管理因素,并将恢复作为重要的手段来实现信息安全的保障。

随着云计算和大数据技术应用，构建下一代信息安全架构的轮廓也越来越清晰，传统的、基于边界防护的P2DR模型安全措施，无法应对IT基础设施和业务架构的变化，在层出不穷的高级威胁面前显得无能为力。借助威胁情报和大数据分析技术构建预测能力，安全的起点从检测开始，通过安全情境和异常行为分析发现未知威胁的存在，通过取证手段溯源攻击过程，确定对抗措施，提升防御能力是企业信息化安全动态的、主动的、对抗性的基础架构思维。

区域边界颗粒度决定信息、信息系统的多层防护，是构建企业信息化安全基础架构的原则

传统的区域边界逐渐模糊，并不代表着传统安全防护毫无价值，物理区域边界向强逻辑、逻辑区域边界转移，重新审视所面临的未知威胁有助于提高信息安全主动对抗的手段，安全问题永远是人与人之间的智力对抗，企业信息化安全基础架构中加强对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视，永远是实现企业的任务/业务运作最有效的手段，典型的DMZ区 、信任区、非信任区的划分已经满足不了信息化发展的需要，以“统筹规划，区域结合，横向隔离，纵向认证”颗粒度标准，在企业信息化多功能性边界部署多品牌的安全产品，实现复合防范技术，完善安全应用是企业信息化安全基础架构重要工作。

企业信息化安全基础架构要考虑成本与效益的权衡，不出现过度安全，区域边界颗粒度自身也要考虑成本与效益的权衡，不出现过度复杂，企业制定接受风险的准则，识别可接受的风险级别是不可或缺的，也就是说不是可选的，是必须执行的。

安全技术是信息安全控制的重要手段，是构建企业信息化安全基础架构的构筑材料

企业解决信息化安全，技术和安全产品是基础，没有微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果的技术参与，就不会有“棱镜”（PR ISM）项目，IATF“深度防护战略（Defense-in-Depth Strategy）”强调人、技术、操作这三个核心要素，从多种不同的角度对信息系统进行防护，定义了本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个主要的技术焦点领域，没有密码技术、鉴别与访问控制、病毒、恶意代码防御、人侵检测等先进技术的应用，就会变成一纸空文。

企业解决信息安全问题，成败通常取决于两个因素，一个是技术，另一个是管理，要让安全技术发挥应有的作用，必然要有适当的管理程序，否则安全技术只能趋于僵化和失败，技术不高但管理良好的系统远比技术高超但管理混乱的系统安全，人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息化安全只有将有效的安全管理从始至终贯彻落实于安全建设基本架构的方方面面，信息安全的长期性和稳定性才能有所保证。

总之，企业信息化安全基础架构不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是具有不断演进、循环发展的动态过程。