随着信息技术的不断发展，信息安全已成为信息系统建设的焦点。如何防范风险，建立合理有效的安全防护体系，已成为一个巨大挑战。纵深防御体系，以等级化思想为原则，以多层次防护措施为基础，以流程化管控为抓手，深入信息系统的整个生命周期，提供整体的安全防护措施，实现一体化的安全保障体系，为全面保障信息安全提供有效的方法。

　　随着信息技术的飞速发展，信息技术和信息产业呈现空前繁荣的景象。与此同时，信息安全问题也愈演愈烈,关于信息安全的事件不绝于耳，个人信息泄露、黑客攻击、网络诈骗、网络谣言等信息安全威胁不仅影响了人们的日常生活，还给社会安定带来一定的影响。从国家战略层面看，网络战已经成为各国竞相发展的核心安全力量，网络空间成为了各国情报机构的主要战场，由此带来的信息安全问题被提升到前所未有的高度。

　　据统计，2012年我国约有4.5亿网民遇过网络安全事件；2011年经过CNCERT调查，仅CNCERT接收到的国内外报告网络安全事件就有15366起，利用木马或僵尸程序控制服务器IP总数为300407个，受控主机IP总数为27275399个，恶意程序传播事件多达35821698次；2011年Apache、MySql、Linux等多家开源系统官网、Digi Notar、Comodo等多家证书机构以及一些大型金融企业、公司网站被黑客攻击，导致多家公司名誉受损甚至破产；相关调查显示，68%的企业每年至少发生6起敏感数据泄露事件，CSDN、天涯等国内大型网站用户信息泄露事件给广大用户带来巨大影响；网络水军随意散布各种虚假信息，各种虚假的地震谣言等等，严重混淆了人们的视听。如何应对这些安全挑战，建立安全防御体系，保障信息安全不受侵犯，保证各个行业赖以生存的信息系统和信息网络正常运转，成为信息技术领域必不可少的研究内容。

　　信息安全现状分析

　　从发展历程来看，除去早期以数据加密为主的机密性防护阶段，安全技术的发展可以分为三个阶段。(1)以边界保护、主机防毒为特点的传统安全防护阶段。该阶段基于传统的攻击防御的边界安全防护思路，利用经典的边界防护设备，采取堵漏洞、做高墙、防外攻等防范方法，对网络内部提供基本的安全保障。(2)以设备联动、功能融合为特点的安全免疫阶段。该阶段采用“积极防御、综合防范”的理念，结合多种安全防护思路，实现安全功能与网络设备融合以及不同安全功能的融合，使信息网络具备较强的安全免疫能力。(3)以信息资源保障为特点的可信阶段。可信网络基于信息资源保障的思想，通过建立统一的信任链，完善系统、人员及数据接入认证机制，保证设备、用户、应用等各个层面的可信，从而提供一个可信的网络环境，促进各种应用的发展，更好地发挥信息资源的效益。

　　当前信息安全技术正在处于第二阶段向第三阶段的过渡期，信息安全技术和产品具有较大规模，可以实施较为稳固的安全防护。但是，仍然存在较多的问题，主要体现在：

　　信息安全系统建设与信息系统建设脱节，阻碍了业务的快速发展。长久以来，信息系统发展和信息安全保障被放在了两个对立面，建设信息系统以促进业务的快速发展，往往就忽视了信息安全；充分考虑信息安全，则在多个方面阻碍了信息系统的正常运行。信息安全防护和信息系统建设“两张皮”的现状，导致安全防护不合理，不能适应信息系统的快速发展。

　　信息安全防护重建设、轻管理。随着各类安全事件的不断发生，信息安全系统建设受到广泛重视，信息安全系统建设已经成为单位业务建设过程中必不可少的环节。但是，信息安全防护是一个动态的过程，需要循环往复的运维管理，以应对不断出现的新风险，这恰恰是目前安全防护系统建设中普遍欠缺的环节。

　　信息安全防护重手段、轻评估。当前，针对各类威胁、攻击的新型信息安全防护手段层出不穷，日新月异。为有效防止可能出现的漏洞，安全防护系统在建设过程中，往往将大量的手段简单堆砌。但是，防护手段建设并不能靠数量取胜，该类手段是否符合风险防护需求，各类手段之间是否存在相互妨碍、相互影响或者相互重叠的现象，防护手段在建设完成后是否运行正常，是否能够应对新风险的发生，这些都需要建立长效的评估机制。

　　安全状态的不可见与未知成为最大的管理风险。在实施安全防护系统建设过程中，往往过度关注手段防护，而缺乏安全监管和动态运维流程管理，不能及时发现安全事件。例如，网络设备的非法接入、非法外联难以发现和控制；对一些应用系统监控不到位，缺乏安全审计和评估手段；网络监察手段较少，安全效能难以评估。这些情况都导致网络安全状态的“不可视”，形成网络安全管理最大的风险。

　　从以上问题可以看出，信息安全系统建设并不是简单的防护手段建设，传统的“查漏补缺”已经难以适应信息系统的发展现状。必须实现体系化、动态化的循环过程，实施统一的设计规划、统一的策略配置、统一的运行维护，才能进行有效的管控。信息安全纵深防御思想，能够合理地避免上述问题，是进行信息网络安全防护的有效方法。

　　纵深防御体系的组成

　　纵深防御最初是由美国国家安全局编制的《信息保障技术框架》中提出，其核心思想就是纵深防御战略，即采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。但随着信息安全技术的不断发展深化，单纯的层次化方法已经不能适应新的安全形势，必须以体系化思想重新定义纵深防御，形成一个纵深的、动态的安全保障框架，亦即纵深防御体系。

　　纵深防御体系是一种信息安全防护系统设计方法论，其基本思想是综合治理，它以信息安全为中心，以多层面安全手段为基础，以流程化管控为抓手，以贯穿信息系统的生命周期为管理范畴，采用等级化的思想，最终形成手段纵深、级别纵深、流程纵深的防御与保障体系，如图所示：

　　以等级化为原则

　　等级保护作为国家信息安全的一项制度，为关系到国计民生的各类重大信息系统的安全防护提供了指导思路。等级保护的主体思想在于等级化和差异化，即为不同等级的保护对象提供合理的防护措施。纵深防御体系的建设，不能是防护设施和防护手段的一味堆砌，而是要以等级化为指导思想，充分考虑防护目标的等级特征，在防控框架、控制流程、生命周期管理等各个方面，都需要划分相应的等级，以等级特征为基础，提供合理的防护。没有等级标的的防护是盲目的，不仅浪费大量的人力物力，而且还会导致安全措施、手段脱离需求，造成防护手段不到位。

　　以信息安全为中心

　　信息是业务系统的产物，是各项业务的最终承载者。诸多单位、人员、系统进行的各项工作，其价值都体现在信息上，可以说信息是业务系统的核心所在。因此信息的安全是纵深防御体系的中心，保障信息安全也是纵深防御体系实施的最终目的。纵深防御体系建设必须围绕信息安全保障展开。

　　以多层次安全手段为基础

　　为实现信息安全，必须从4个层面加以控制防护：法律、规范、标准、制度，安全管理，物理安全，网络安全，系统安全，应用安全以及信息安全。信息安全包括了保护信息的保密性、完整性、可用性、不可否认性等安全属性的各类防护措施；应用安全包括计算机硬件、软件、数据库、操作系统安全等，以提供安全可靠的计算机系统作为保障。网络安全包括身份认证、访问控制、防病毒、数据传输的加解密等等，以提供安全的网络环境。物理安全是各类逻辑防护手段的基础，物理环境不安全，其他逻辑防护的安全性也无从谈起。这一系列的防护手段，都需要进行统一的管理，才能协调一致，才能保证防护的有效性。而管理的实施和技术方法手段的管理、部署以及运行管理都需要政策、规程、操作和组织架构等方面构成的政策框架来支撑和维护。这七个层面形成的控制框架是纵深防御体系的基础。

　　以流程化管控为抓手

　　安全防护与管理一定是动态过程，再稳固的静态防护措施，最终都会在新型漏洞和威胁下土崩瓦解。因此，纵深防御体系的实施必须要实施流程化管控，其中包括四个阶段：防护、感知、决策和响应，并不断循环往复。防护是指对网络设备、业务系统、信息等采取的各类防护手段，即按照控制框架实施的防护措施。感知主要完成对网络中各类安全事件的监控，包括对网络空间的网络行为、网络资源状态、用户行为、网络流量、设备状态和系统脆弱的感知等。决策为安全事件的处理提供评判依据，包括了对防护对象和防护措施的等级划分和管理、安全事件的关联分析、安全风险评估、安全事件预警等。响应则完成对安全事件的处理过程，包括应急措施、灾难恢复、网络阻断、病毒删除、系统加固等措施。通过流程化管控的不断循环重复，及时调整安全防护策略，保证了安全防护系统防护效能的不断提升。

　　以信息系统的生命周期为管理范畴

　　信息系统的生命周期包括设计、建设、运行以及终止四个阶段。之所以出现信息系统建设和安全防护系统建设“两张皮”的情况，主要原因是在信息系统设计过程中，没有充分考虑安全防护需求，导致后期的安全防护手段只能在信息系统的外围修修补补，不能起到合理的防护作用。另外，由于日常防护管理只注重系统运行时的管理，而在系统终止后疏于监管，由此导致的信息丢失现象也日益严重。因此，为避免信息失控，纵深防御体系必须涵盖信息系统的生命周期全过程。在设计过程中，充分进行风险分析，紧密贴合安全防护需求，设计信息安全防护系统。在建设阶段，信息系统与安全防护系统同步建设，避免安全防护系统与信息系统的整体业务需求脱节。在运行阶段，实施安全防护，并依据信息系统的新变化，及时调整安全策略和安全配置。在信息系统终止阶段，应该具有完善的系统注销制度和管理规范，保证在系统中残留的有用信息不外泄，进而从信息系统的整个生命周期保证信息安全。

　　总之，纵深防御体系并不是传统意义上的防护位置的纵深，也不是网络协议层次的纵深，而是深入贯彻等级化保护的思想，在信息系统的整个生命周期，采用合理化的防护和管理控制框架，实施不断循环的流程化管控，进而形成一体化的、动态的防护与保障框架，提供合理、有效的信息安全保护。

　　纵深防御体系需要强调人的管理

　　通常情况下，信息安全系统的实施具有三个层次。最低层次是技术手段建设。在这个阶段，主要以防护手段建设为主，部署防火墙，采用加密传输，实施身份认证、授权等等，这些技术手段都以消除某种特定威胁为主要目标，具有很强的局限性。第二层次为安全管理。经过第一阶段的手段建设，使每一种风险都有相应的措施应对，但是过多的手段带来的就是管理上的问题。诸多防护系统的升级、维护和管理，成为维护人员的噩梦。各个防护措施间的协调配置也给维护人员提出了很高的挑战。保护对象是否安全已不是防护措施是否得当的简单问题，维护人员的负责程度、能力高低成为决定防护措施是否成功的关键，而这些因素是极不稳定的，迫切需要统一的安全管理规范、流程、措施来规范系统维护人员的操作，并建立管理系统来协助维护人员完成各项工作，确保实现稳定、有效的安全防护。第三层次为人的管理。技术上的问题一定是可以解决的，但人的问题是一个复杂问题，人是信息安全领域最不安全的因素。即便是制定了严格的规章制度，建立了全面、稳定的安全防护体系，如果人不遵守这些制度，违规操作或者无意行为，都可能绕过防护体系。在这种情况下，整个安全防护系统就像是马其诺防线一样形同虚设。

　　因此，要实现纵深防御，必须强调对人员的管理。规范员工的安全操作行为，加强员工的安全意识培训，提升员工对安全的认识高度，从意识形态领域提高信息安全防护的强度。这不仅要求单位个体的努力，还需要全社会的共同努力，为我们的网络安全提供一个良好的人文环境。

　　综上所述，通过纵深防御体系建设，可以建立起一体化的防护体系，实施合理的、动态的安全保障，为信息系统提供有效的安全防护是一个整体趋势，单点、静态防护将成为历史。纵深防御体系建设方法是信息安全系统建设的必要选择。

　　作者单位：北京大学信息科学技术学院