# 如何定義信息安全體系

下面我引用一張來自網絡上的信息安全體系圖，如有侵權，請隨時通知某人。

?

這里面將安全分成了幾個不同的層面，也是一種深層防御的理念。雖然這張圖包含的安全面還不夠廣， 比如服務器安全，中間件安全等， 但是這張圖可以很好的詮釋了安全需要分層來處理。通常我們會把最外面一圈，紫色之外的部分認為是非受信任區，也就是不安全區域。中心的球體可以當做我們需要保護的核心資產。

在進行信息安全體系建設的過程中， 我們首先需要明確的是核心資產， 那些資產是需要我們保護的。我們所搭建的信息安全體系就需要圍繞著這個中心展開，盡可能做到使用恰當的工具來切段一切可能對你的核心資產發起攻擊的途徑。

在進行安全體系建設的長河中， 我們曾經致力于區分哪里是邊界，把一切武器都擺放在我們信息資產的邊界處。其中比較典型的就是摸著我們的網絡邊界來擺放防火墻，IDS， IPS。當火炮和地雷都埋好了， 我們就認為安全工作已經落實了。我們就可以躲在邊界的內部打游戲，看片片，聊歷史上那些野史趣聞。但是隨著時代的變遷， 技術的進步， 我們逐漸的發現， 邊界越來越模糊了，移動辦公，云環境，VPN鏈接這些都在肆意的踐踏我們之前定義好的邊界。

這個時候我們怎么辦！這個時候我們怎么辦！

首先需要做的就是把各種片片收起來，我們做安全的不能守株待兔，配置一個防火墻， 安裝一個瑞*就可以睡大覺了。我們需要做的是僅僅的揪住技術發展的小辮子，構建信息安全技術體系，搭建縱深防御的框架。

當邊界的概念淡化的時候， 我們沒有必須要把之前的城墻推到，我們可以使用邊界防御加區塊防御的方式。用戶的接入方式變化了，可能把本子帶到家里一遍看島片，一遍寫文案，一遍擼串；也可能一邊坐在星巴克喝豆汁，一邊偷瞄服務員。我們需要識別是那些資產突破了你的邊界，那些資產可能會受到攻擊。因此我們把這些轉移到邊界外面的資產進行塊狀或者點狀的防御。比如傳統的onpremise殺毒軟件或者上網行為工具不能針對公司設備在公司以外的環境進行保護， 我們就需要選擇一個云產品，確保移動設備即使接入了非公司的網絡， 也能獲得和在公司一樣的安全級別。360度的實時無死角防護，對于整體的安全是大有裨益的。

目前我們業內對信息安全進行體系建設的時候還有這樣幾種提法：

1，河防的安全體系：

騰訊最先提出來這種設想，而且這種安全防御的方式和思路也比較適合一個數據中心來實施。就是利用充裕的資源將攻擊者擊潰。但是攻擊者往往是利用以小博大，以點博面的動態存在。

2， 塔防的安全體系：

我們在做安全體系設計的時候經常把深層防御掛在嘴邊，塔防的思路可以算作深度防御的一部分。不過是在各個防御的層面上又劃分出來不同的防御區域進行設計。和傳統的深度防御的思路，根本差別在于并不是把所有的安全設備或者安全控制穿在一條線上。既有南北的深度防御， 也有東西的逐塊控制。

各種安全技術和安全手段是否能夠有效的防范風險，抵御來自于各個方向的攻擊。我們不能簡單的進行設備的堆疊，還需要有一雙眼睛實時的監控各個設備發出來的警報。單純的人控和設備控都不是一個有效的，經濟的抵御外來風險的手段。離開了應手的設備，人只能干瞪眼，在安全事件到來的時候團團轉。只有設備的365天站崗，沒有相應技術的專家，這樣的結果只能說明安全廠商銷售部門的成功。 客戶面對的風險一點點都不會少。俗話說沒有不透風的墻，只有有經驗的人， 能夠提前預判，除了問題及時堵住威脅，事后調整安全策略， 這才是一個正常的安全運維過程。

我提到了信息安全體系， 我也提到了要用經濟的方式來控制安全風險。 在接下來的日子里， 我準備把開源的安全武器庫打開，曬曬太陽。重點不在域如何完成開源安全工具的配置，我希望能綜合的利用這些工具， 成體系的構建企業級別的安全長城。

總結

以上是生活随笔為你收集整理的信息安全体系建设（一）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。