信息安全体系建设（一）

# 如何定义信息安全体系

下面我引用一张来自网络上的信息安全体系图，如有侵权，请随时通知某人。

 

这里面将安全分成了几个不同的层面，也是一种深层防御的理念。虽然这张图包含的安全面还不够广， 比如服务器安全，中间件安全等， 但是这张图可以很好的诠释了安全需要分层来处理。通常我们会把最外面一圈，紫色之外的部分认为是非受信任区，也就是不安全区域。中心的球体可以当做我们需要保护的核心资产。

在进行信息安全体系建设的过程中， 我们首先需要明确的是核心资产， 那些资产是需要我们保护的。我们所搭建的信息安全体系就需要围绕着这个中心展开，尽可能做到使用恰当的工具来切段一切可能对你的核心资产发起攻击的途径。

在进行安全体系建设的长河中， 我们曾经致力于区分哪里是边界，把一切武器都摆放在我们信息资产的边界处。其中比较典型的就是摸着我们的网络边界来摆放防火墙，IDS， IPS。当火炮和地雷都埋好了， 我们就认为安全工作已经落实了。我们就可以躲在边界的内部打游戏，看片片，聊历史上那些野史趣闻。但是随着时代的变迁， 技术的进步， 我们逐渐的发现， 边界越来越模糊了，移动办公，云环境，VPN链接这些都在肆意的践踏我们之前定义好的边界。

这个时候我们怎么办！这个时候我们怎么办！

首先需要做的就是把各种片片收起来，我们做安全的不能守株待兔，配置一个防火墙， 安装一个瑞*就可以睡大觉了。我们需要做的是仅仅的揪住技术发展的小辫子，构建信息安全技术体系，搭建纵深防御的框架。

当边界的概念淡化的时候， 我们没有必须要把之前的城墙推到，我们可以使用边界防御加区块防御的方式。用户的接入方式变化了，可能把本子带到家里一遍看岛片，一遍写文案，一遍撸串；也可能一边坐在星巴克喝豆汁，一边偷瞄服务员。我们需要识别是那些资产突破了你的边界，那些资产可能会受到攻击。因此我们把这些转移到边界外面的资产进行块状或者点状的防御。比如传统的onpremise杀毒软件或者上网行为工具不能针对公司设备在公司以外的环境进行保护， 我们就需要选择一个云产品，确保移动设备即使接入了非公司的网络， 也能获得和在公司一样的安全级别。360度的实时无死角防护，对于整体的安全是大有裨益的。

目前我们业内对信息安全进行体系建设的时候还有这样几种提法：

1，河防的安全体系：

腾讯最先提出来这种设想，而且这种安全防御的方式和思路也比较适合一个数据中心来实施。就是利用充裕的资源将攻击者击溃。但是攻击者往往是利用以小博大，以点博面的动态存在。

2， 塔防的安全体系：

我们在做安全体系设计的时候经常把深层防御挂在嘴边，塔防的思路可以算作深度防御的一部分。不过是在各个防御的层面上又划分出来不同的防御区域进行设计。和传统的深度防御的思路，根本差别在于并不是把所有的安全设备或者安全控制穿在一条线上。既有南北的深度防御， 也有东西的逐块控制。

各种安全技术和安全手段是否能够有效的防范风险，抵御来自于各个方向的攻击。我们不能简单的进行设备的堆叠，还需要有一双眼睛实时的监控各个设备发出来的警报。单纯的人控和设备控都不是一个有效的，经济的抵御外来风险的手段。离开了应手的设备，人只能干瞪眼，在安全事件到来的时候团团转。只有设备的365天站岗，没有相应技术的专家，这样的结果只能说明安全厂商销售部门的成功。 客户面对的风险一点点都不会少。俗话说没有不透风的墙，只有有经验的人， 能够提前预判，除了问题及时堵住威胁，事后调整安全策略， 这才是一个正常的安全运维过程。

我提到了信息安全体系， 我也提到了要用经济的方式来控制安全风险。 在接下来的日子里， 我准备把开源的安全武器库打开，晒晒太阳。重点不在域如何完成开源安全工具的配置，我希望能综合的利用这些工具， 成体系的构建企业级别的安全长城。