怎样为信息系统构建安全防护体系？

1、结构化及纵深防御保护框架

系统在框架设计时应从一个完整的安全体系结构出发，综合考虑信息网络的各个环节，综合使用不同层次的不同安全手段，为核心业务系统的安全提供全方位的管理和服务。

在信息系统建设初期，考虑系统框架设计的时候要基于结构化保护思想，覆盖整体网络、区域边界、计算环境的关键保护设备和保护部件本身，并在这些保护部件的基础上系统性地建立安全框架。使得计算环境中的应用系统和数据不仅获得外围保护设备的防护，而且其计算环境内的操作系统、数据库自身也具备相应的安全防护能力。同时要明确定义所有访问路径中各关键保护设备及安全部件间接口，以及各个接口的安全协议和参数，这将保证主体访问客体时，经过网络和边界访问应用的路径的关键环节，都受到框架中关键保护部件的有效控制。

在进行框架设计时可依据IATF（信息保护技术框架）深度防护战略的思想进行设计，IATF模型从深度防护战略出发，强调人、技术和操作三个要素，基于纵深防御架构构建安全域及边界保护设施，以实施外层保护内层、各层协同的保护策略。该框架使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。在攻击者成功地破坏了某个保护机制的情况下，其它保护机制仍能够提供附加的保护。

在安全保障体系的设计过程中，必须对核心业务系统的各层边界进行全面分析和纵深防御体系及策略设计，在边界间采用安全强隔离措施，为核心业务系统建立一个在网络层和应用层同时具备较大纵深的防御层次结构，从而有效抵御外部通过网络层和应用层发动的入侵行为。

2、全生命周期的闭环安全设计

在进行信息系统的安全保障体系建设工作时，除设计完善的安全保障技术体系外，还必须设计建立完整的信息安全管理体系、常态化测评体系、集中运维服务体系以及应急和恢复体系，为核心信息系统提供全生命周期的安全服务。

在项目开展的全过程中，还应该遵循SSE-CMM（信息安全工程能力成熟度模型）所确定的评价安全工程实施综合框架，它提供了度量与改善安全工程学科应用情况的方法，也就是说，对合格的安全工程实施者的可信性，是建立在对基于一个工程组的安全实施与过程的成熟性评估之上的。SSE-CMM将安全工程划分为三个基本的过程域：风险、工程、保证。风险过程识别所开发的产品或系统的危险性，并对这些危险性进行优先级排序。针对危险性所面临的问题，工程过程要与其他工程一起来确定和实施解决方案。由安全保证过程来建立对最终实施的解决方案的信任，并向顾客转达这种安全信任。因此，在安全工程实施过程中，严格按照SSE-CMM体系来指导实施流程，将有效地提高安全系统、安全产品和安全工程服务的质量和可用性。

3、信息系统的分域保护机制

对信息系统进行安全保护设计时，并不是对整个系统进行同一级别的保护，应针对业务的关键程度或安全级别进行重点的保护，而安全域划分是进行按等级保护的重要步骤。

控制大型网络的安全的一种方法就是把网络划分成单独的逻辑网络域，如内部服务网络域、外部服务网络域及生产网络域，每一个网络域由所定义的安全边界来保护，这种边界的实施可通过在相连的两个网络之间的安全网关来控制其间访问和信息流。网关要经过配置，以过滤两个区域之间的通信量，并根据访问控制方针来堵塞未授权访问。

根据信息系统实际情况划分不同的区域边界，重点关注从互联网→外部网络→内部网络→生产网络，以及以应用系统为单元的从终端→服务器→应用→中间件→数据库→存储的纵向各区域的安全边界，综合采用可信安全域设计，从而做到纵深的区域边界安全防护措施。

实现结构化的网络管理控制要求的可行方法就是进行区域边界的划分和管理。在这种情况下，应考虑在网络边界和内部引入控制措施，来隔离信息服务组、用户和信息系统，并对不同安全保护需求的系统实施纵深保护。

一般来说核心业务系统必然要与其它信息系统进行交互。因此，应根据防护的关键保护部件的级别和业务特征，对有相同的安全保护需求、相同的安全访问控制和边界控制策略的业务系统根据管理现状划分成不同的安全域，对不同等级的安全域采用对应级别的防护措施。根据域间的访问关系和信任关系，设计域间访问策略和边界防护策略，对于进入高等级域的信息根据结构化保护要求进行数据规划，对于进入低等级域的信息进行审计和转换。

4、融入可信计算技术

可信计算技术是近几年发展起来的一种基于硬件的计算机安全技术，其通过建立信任链传递机制，使得计算机系统一直在受保护的环境中运行，有效地保护了计算机中存储数据的安全性，并防止了恶意软件对计算机的攻击。在信息系统安全保障体系设计时，可以考虑融入可信计算技术，除重视安全保障设备提供的安全防护能力外，核心业务系统安全保障体系的设计将强调安全保障设备的可靠性和关键保护部件自身安全性，为核心业务系统建立可信赖的运行环境。

以可信安全技术为主线，实现关键业务计算环境关键保护部件自身的安全性。依托纵深防御架构应用可信与可信计算技术（含密码技术）、可信操作系统、安全数据库，确保系统本身安全机制和关键防护部件可信赖。在可信计算技术中，密码技术是核心，采用我国自主研发的密码算法和引擎，通过TCM模块，来构建可信计算的密码支撑技术，最终形成有效的防御恶意攻击手段。通过系统硬件执行相对基础和底层的安全功能，能保证一些软件层的非法访问和恶意操作无法完成，可信计算技术的应用可以为建设安全体系提供更加完善的底层基础设施，并为核心业务系统提供更强有力的安全保障。

5、细化安全保护策略与保障措施

在核心业务系统不同区域边界之间基本都以部署防火墙为鲜明特点，强化网络安全策略，根据策略控制进出网络的信息，防止内部信息外泄和抵御外部攻击。

在区域边界处部署防火墙等逻辑隔离设备实施访问控制，设置除因数据访问而允许的规则外，其他全部默认拒绝，并根据会话状态信息（如包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用）对数据流进行控制；对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；自动终止非活跃会话连接；限制网络最大流量及网络连接数，防止DOS等攻击行为；使用IP与MAC绑定技术，防范地址欺骗等攻击行为；使用路由器、防火墙、认证网关等边界设备，配置拨号访问控制列表对系统资源实现单个用户的允许或拒绝访问，并限制拨号访问权限的用户数量。

在核心业务系统内网的核心交换边界部署网络入侵检测系统，对网络边界处入侵和攻击行为进行检测，并在最重要的区域和易于发生入侵行为的网络边界进行网络行为监控，在核心交换机上部署双路监听端口IDS系统，IDS监听端口类型需要和核心交换机对端的端口类型保持一致。在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

在区域边界处部署防病毒网关，对进出网络的数据进行扫描，可以把病毒拦截在外部，减少病毒渗入内网造成危害的可能。防病毒网关是软硬件结合的设备，通常部署在防火墙和中心交换机之间，可以在病毒进入网络时对它进行扫描和查杀。防病毒网关可以采用全透明方式，适用于各种复杂的网络环境，通过多层过滤、深度内容分析、关联等技术策略，对网络数据进行高效过滤处理，可以提升网络环境的安全状况。防病毒网关需要具备以下特性：

（1）防病毒、防木马以及针对操作系统、应用程序漏洞进行的攻击。

（2）防蠕虫攻击，防病毒网关根据自有的安全策略可以拦截蠕虫的动态攻击，防止蠕虫爆发后对网络造成的阻塞。

（3）过滤垃圾邮件功能，防病毒过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。防病毒网关通过黑名单数据库以及启发式扫描的数据库，对每封邮件进行判断并且识别，提高了对垃圾邮件的检测力度，实现了垃圾邮件网关的功能。

边界设备等作为区域边界的基础平台，其安全性至关重要。由于边界设备存在安全隐患（如：安装、配置不符合安全需求；参数配置错误；账户/口令问题；权限控制问题；安全漏洞没有及时修补；应用服务和应用程序滥用等）被利用而导致的安全事件往往是最经常出现的安全问题，所以对这些基础设施定期地进行安全评估、安全加固与安全审计，对增强区域边界的安全性有着重要的意义。

6、常态化的安全运维

信息系统的安全不仅依赖于增加和完善相应的安全措施，而且在安全体系建设完成之后，需要通过相应的安全体系运行保障手段，诸如定期的评估、检查加固、应急响应机制及持续改进措施，以确保安全体系的持续有效性。

（1）定期进行信息安全等级保护测评。根据国家要求，信息系统建设完成后，运营、使用单位或者其主管部门应当选择具有信息安全测评资质的单位，依据相关标准定期对信息系统开展信息安全等级保护测评。通过测评可以判定信息系统的安全状态是否符合等级保护相应等级的安全要求，是否达到了与其安全等级相适应的安全防护能力。通过对信息系统等级符合性检验，最终使系统达到等级保护的相关要求，降低信息安全风险事件的发生概率。

（2）定期进行安全检查及整改。确定安全检查对象，主要包括关键服务器、操作系统、网络设备、安全设备、主要通信线路和客户端等，通过全面的安全检查，对影响系统、业务安全性的关键要素进行分析，发现存在的问题，并及时进行整改。

（3）对于互联网系统或与互联网连接的系统，定期进行渗透测试。渗透测试是一种信息系统进行安全检测的方法，是从攻击者的角度来对信息系统的安全防护能力进行安全检测的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状。

（4）定期进行安全教育培训。技术培训主要是提高员工的安全意识和安全技能，使之能够符合相关信息安全工作岗位的能力要求，全面提高自身整体的信息安全水平。针对不同层次、不同职责、不同岗位的员工，进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练，确保信息安全策略、规章制度和技术规范的顺利执行，从而最大限度地降低和消除安全风险。

引言：我们所面临的问题是信息化问题，我们所面临的战争是信息化战争。

一、 信息化战争

什么是信息化战争呢？归纳起来，就是作战中的各个环节都予以信息化再加上一个完善的信息指挥控制系统对各种信息化了的资源予以优化，以取得最优的效能，由此可知信息化战争包括的问题有

•信息化弹药

•信息化武器系统

•信息化作战平台

•信息化士兵

•信息化指挥控制系统

•信息化指挥支持系统

这样一来，在信息战争中除了以信息技术武装传统作战中的各个环节之外，又开辟了一个新的作战领域，即在信息及信息系统方面的对抗。人们把这方面的对抗称为信息战。

二、 信息战的特点及分类

1、信息战的特点：

（1）信息战的作战空间不再局限于军事方面，还包括了民用及公共事业方面；

（2）信息战的活动扩展到竞争、冲突、危机直到战争的整个过程，即模糊了平时和战时的界限。

因此，人们把信息战分为两大类：一类叫独立的信息战；另一类为集成（或一体化）的信息战。后者是联合作战的一个重要组成部分。他是和传统的作战集成在一起进行作战的。

2、集成信息战

信息战的目标是夺取信息优势并最终希望能达到掌握信息控制权（简称制信息权）的程度，它包括三部分：

（1）发挥信息优势：即如何充分利用信息及信息系统对兵力进行实时或近乎实时的控制，这也可以说是信息保障问题。

（2）信息攻击：即对敌方的信息系统进行攻击。

（3）信息防御：防御敌方对我方信息和信息系统进行攻击。

其中信息优势部分又称为基于信息的作战（IBW），简称信基战，实质上是建设好和运用好指挥、控制、通信、计算机、情报、侦察、监视系统（简称C4ISR系统），即在联合作战的环境下如何搞好纵向集成及横向集成，做到

（1）信息网络能提供互联与互操作（包括分布式环境、通用的事务处理服务、对服务的保证）；

（2）对作战空间的了解；

（3）有效的兵力管理。

信息攻击和信息防御作战，实质上是针对信息、信息系统及信息过程的可用性、完整性和安全性的。可用性包括信息内容和信息过程两方面，对可用性的破坏将导致迟延和损失；完整性是指信息的正确存储及计算机资源的正确操作。对完整性的攻击是采用引入及改变等方法而导致讹误。对安全性的攻击可通过外部观察及闯入内部达到利用敌方信息的目的。

三、信息战的有关概念

1、信息时代的战争小结

•信息化战争、信息战争（Information War）

•信息战（Information Warfare）

•信息作战（Informationn Opertions）

•基于信息之战（Information Based Warfare）,即信基战

•基于知识之战（Knowledge Based Warfare）

（1）战争是一种状态（与和平对比），亦是一个过程。信息战争是指一种战争形态，属于信息时代的战争，亦称信息化战争。

（2）战争有多种形式或称样式，叫做战争样式（War form）。

各种具体的战争样式称为“战”，如：电子战、情报战、指挥控制战、信息战等。

2、信息战（IW）和信息作战（IO）（一）

在英文中Operation是操作、云做，在军事中Operations则指作战。

信息作战（IO）

美国防部对信息战（IW）和信息作战（IO）的定义为：

•IW：在保护己方的信息、信息处理、信息系统和计算机网络的同时，为扰乱敌人的信息、信息处理、信息系统和计算机网络以取得信息优势而采取的行动。

•IO：为在军事信息环境中加强、增进和保护己方军队收集、处理和利用信息的能力而采取的连续性军事行动，其目的是夺取各种军事行动中的优势。信息作战包括与全球信息环境的相互作用以及对敌人信息和决策能力的利用和阻止。

3、信息战和信息作战（二）

信息战：敌对双方为夺取制信息权而采取的行动；

制信息权：信息优势达到这样一种程度，它使拥有优势的一方能利用其信息系统及其能力在冲突中夺取作战；

信息作战：为增强和保护己方收集、处理和利用信息的能力而采取的连续性军事行动，目的是为了夺取各种军事行动中的优势，包括对敌人信息和决策能力的利用和阻止。

4、信息战与信息作战小结

信息战可谓混淆了平时和战时的界限，情报收集、网络战均在硬打击C2W战之前。在竞争阶段已完成了情报准备、测定了网络的拓扑结构，作战的信息序列均已测定，信息基础结构（包括政治的、物理的以及军事的）的模型亦均已测定。政治的、经济的及心理的作战兵力均通过全球信息基础设施进行活动，在竞争升级到冲突时，战术C2战活动开始打击军事基础设施，并开始防御，并按照打击其进攻能力及支撑行动，直到解决问题为止。

四、 信息战的内容

信息战实际上可分为两种作战组成部分：

（1）基于信息之战的重点为获取、处理、分发信息（或称利用信息去获得对作战空间理解之优势，这一组成部分为由取得知识而得到优势。

（2）另一组成部分为攻击对方知识的同时保护己方的知识，从而取得相对而言的信息优势，包括：信息攻击与信息防御。

请见下图：

运作目的 信息运作种类 直接或间接行动 例

利用信息 信息利用的运作—获取、传输、存储及信息的变换，借以加强对军事力量的部署 直接 截获对方通信以确定或提取其它信息

间接 侦察、监视并附以有关的情报分析

攻击并防御信息 心理战—利用信息去影响敌方的理智 直接 在对方媒体中引入视频或音频信息

间接 分配视频及音频信息到公众媒体

军事欺骗—对敌人误导我们的能力与意图 间接 进行军事行动的误导

安全措施—使敌方不了解我方的军事能力及意图 直接防御反措施 信息安全（INFOSEC）反措施，用以阻止直接访问计算机网络

间接防御反措施 物理防御、物理安全、加固，作战安全（OPSEC）通信安全(COMSEC)及反情报

电子战—利用电磁频谱压制敌人获得准确信息 直接 利用电磁能量，直接把假信息注入信息系统

间接 干扰或通过发射波形给接收机去欺骗雷达探测器

物理破坏—通过把存储能量变换成破坏力去影响信息系统的组成要素 直接 用定向能（例如电磁）武器去打击信息系统

间接 用炸弹机导弹去摧毁物理基础设施，从而攻击信息中心

信息攻击—污染信息而不改变信息所在的物理实质 直接 用恶意逻辑渗入有关网络的安全措施以获得非法访问从而攻击信息系统

五、 信息作战概述

1、作战指挥

目的：进行决策，实施领导，鼓舞士气。

内容：

（1） 预见当前和未来的情况

（2） 形成以最小代价逐一完成任务的行动方案

（3） 指派任务，确定优先顺序，分配资源

（4） 选择关键的行动地点和时间

（5） 指挥明确在战斗过程中进行调整的时机和方法

信息作战的指挥

由于信息战通常不是作为一种独立的作战样式，信息作战使多种作战样式的组合，因此信息作战是在联合（或合成）指挥员指挥下进行的。

在现代新型战争中，指挥权是不同程度分散的。

2、信息作战活动

•在军（兵）种中建立信息战中心去领导训练及制定条令，确定研究开发的需求并提供作战指挥的保障

•建立作战单位

•进行对策仿真

3、指挥控制战

指挥与控制包括：信息网、作战空间的理解、有效的兵器管理；

反C2包括：心理战、欺骗、电子战、网络战、物理摧毁；

C2保护包括：作战安全、信息安全、反情报；

情报包括：情报收集、情报分析、分发、反情报、支持隐蔽活动。

4、网络战

网络攻击

功能：利用信息武器作用于信息基础设施，意在渗透其安全与应用，从而获取、降级或破坏基础结构的过程或信息；

应用：偷窃保密信息、盗窃电子商务金融手段、破坏计算机服务、篡改数据、通过计算机进行欺骗、破坏基础结构的组成部分。

网络保护

功能：采取行动保护信息基础结构，抗御对网络的攻击；

应用：控制对计算机的访问（信息访问及物理访问）、保护计算过程及信息的完整性。

网络支持

功能：采取行动去搜索、勘测、识别、表征，并定位信息基础结构的部件，或采取行动去截获并利用信息。

应用：外部网络扫描、分析、捕获安全访问的信息（如口令）、密码分析及密码攻击。

5、指挥关系

IO作战单位在联合部队指挥员的领导下利用信息作战系统进行C2W战，根据平时和战时的交战规则进行工作。

1）信息系统规划阶段的风险控制 系统规划阶段要解决的问题就是清楚信息系统是要“干什么的”,要确定系统处理对象、系统与外界的接口、系统的功能与性能、系统所处的环境以及有关的约束条件和限制。那么这个阶段的风险控制需要做什么呢? 在这阶段,应对系统认真地进行需求分析,以制定出较为合理的系统设计方案,应在对方案进行反复论证的同时,对系统和信息系统进行风险分析,力求在系统实施前预先发现存在的安全问题,并在设计方案中加以改进和完善。其成果就是信息系统安全策略。信息系统的安全重在防御。任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的信息系统安全策略及相关的管理策略。不适当的安全防护,追求不切合实际的高安全性,不仅不能减少网络的风险,还可能造成大量的资金浪费,降低系统的效率,甚至还可能招致更大的风险。应对系统的成本、效率、风险等因素进行综合考虑,不能盲目地追求系统的高安全零风险,不同用途的信息系统应有不同的安全要求,在对系统进行详细分析的基础上,应允许系统存在一定的可以接受的风险。 需求分析是要对用户、计划、系统、软硬环境、数据机构等方方面面进行分析,当然包括了本文前面提起的四种风险的分析,也就是风险评估。所谓风险评估,就是指对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估,也就是确认安全风险及其等级的过程。 风险评估的最终目的是控制信息安全风险,所以风险评估的结果,如资产评估、威胁评估和脆弱性评估中得到的信息是,风险控制的识别和选择的依据。风险控制的分析绝对需要有用户等多方的参与,才能达到某种平衡,即使要代价合理和适当的信息系统安全目标。信息安全同时意味着开销,而这些开销不能直接产生利润,因此应该尽量将信息安全代价调整到合理的范围。这方面如果没有使用者的参与,必然无法达到使用者满意的程度。使用者应特别关注成本与风险的平衡。再如购买保险,这是不可能信息系统开发者提供的,需要使用者自身对系统的考虑。在这个阶段特别的需要开发者与使用者的沟通和协作。可行性分析，详细调查，功能分析，数据分析等等。

2）信息系统设计和测试阶段的风险控制 系统设计阶段,就是对规划阶段的具体实现。在规划阶段注重管理性措施,既通过对实体、组织、人等方面的管理来实现对信息系统风险的控制。而在设计阶段,就主要运用技术措施,就是根据具体系统存在的各种安全漏洞和安全威胁采用相应技术的防范措施,避免对系统攻击的进行。 在这个阶段运用的信息安全技术,系统的安全管理是风险管理控制的重要部分。信息系统是处理、传输和储存信息的。信息系统的风险控制包括信息的安全,就信息的保密性、完整性和可用性等。由于计算机网络世界的复杂性,信息系统的安全性可能受的的攻击无所不在,无孔不入。对信息系统的攻击有对系统的直接攻击,进行破坏,更多还有对其信息的非法操作。相应的防范措施也是不计其数,既要保护系统本身,更要保护系统中的重要信息。如包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、系统保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、信息泄漏防护技术、系统安全监测报警与审计技术、阻断技术、技术隔离技术等。在设计阶段根据规划阶段中对信息系统和环境的分析结果实现其要求。测试阶 段是很重要的,是系统质量保证的关键,也是对之前阶段的评审。好的测试是能暴露出尚为发现的风险。 在设计和测试过程不是说就不需要管理的。规划阶段和设计阶段并不是单向的,而是双向的,需要不断的接触、沟通、了解。对设计人员要进行一定的监督与管理,暗箱操作是一个潜在的风险。

3）信息系统维护阶段的风险控制 信息系统的维护阶段是系统已经进入实际运行中的,纠正用户发现的错误,适应用户的需求变更而修改系统,适应硬件环境的更新等。系统维护包括纠错性维护、适应性维护、改善性维护和预防性维护。在信息系统 规划阶段是对系统的风险进行预测分析,预测是无法100%准确的,即使我们希望可以,即使预测到的风险,也不一定可以照预计那样解决。所以必须要有风险监视。系统是运行于动态的环境中,风险监视可以要根据环境变化而进行风险分析和风险控制。在信息系统运行中,遇到之前没有预测到的问题,当然没有计划的对策,这个时候反应必须要迅速,第一时间采取应对措施,隔离危险,尽量降低损失。这需要管理人员与技术人员的通力合作。并且必须要进行因果分析以避免类似危机的再次发生。

---