构建和维护企业的信息化安全防护体系从这五点做起

说起信息安全，我想每一个IT人心中都会有些难忘的经历，可惜，这经历多数都是不太美好的。计算机，互联网，信息化的告诉发展让我们的网络环境也变得越来越复杂，集成度越来越高，原本简单的结构现在已经变成了一张有千丝万缕联系的网，我们再也不能通过关闭一扇门来解决安全问题，我们需要的是开始建立如航空安检一般的体系去严格检查每一个用户，每一个行为，可是，我们更多的网络中明明知道有这样的安全隐患存在。却并没有建立起严格的安检系统，每每说道此处，总会有些无奈，因为我们提出的安全建议往往会遇到这样的回应：

“我这些系统运行这么久了，也没出什么问题啊，没必要”
“安装这个会造成我系统运行缓慢，影响工作效率”
“这个得花不少钱吧”
“按照这个做，我系统崩溃了怎么办”

更多的企业把安全系统看作是保险，这份看似没有收益的投资很多企业并不买账。可是真的出现了安全问题，数据泄漏，黑客攻击，网络瘫痪，系统崩溃。业务中断，甚至重要数据被加密勒索等等，这时候人们才会想起。曾经有人提出过这样的问题。也提出过响应的解决方案。

无论怎样，作为运维人，一定都经历过或大或小的安全事件，也一定从这其中吸取了很多的经验来挑选，搭建自己的安全防护体系，就让我们一起来聊一聊，你的信息化安全加了多少墙，你是怎样去挑选，构建和维护你的信息化安全防护体系。让大家可以对信息安全重新有个全面的认识。

1. 你的信息系统加了多少“墙”？

目前的安全产品众多，不同的环境中我们也会增加不同的安全设备，上网行为管理，上网计费，反垃圾邮件网关，防火墙，waf，堡垒机等等，不同的安全问题也分别应对着会有不同的安全产品，如。

基础安全：防火墙、堡垒机、防毒墙、IPS/IDS、VPN、上网行为审计
病毒防护：防毒墙、杀毒软件
web应用：WAF、蜜罐、下一代防火墙
数据安全：加密系统、加密机
终端安全：终端管理应用，比如Landesk
系统安全：安全漏扫、基线检查
应用安全：渗透测试
账户安全：统一身份认证管理系统

2. 有如此众多的安全产品，真的可以解决网络中的安全问题吗？

其实，安全产品大家功能都差不多，网络中的安全问题并不能100%解决，有的产品是放在一起组合会产生更强的网络安全功能，一层一层的防护，抽丝剥茧。比如说防火墙、IPS、WAF、数据审计，都是一层一层防护，但是并不代表他一定可以达到真正网络安全。如果真正的安全了，为什么还会存在黑客入侵。

另外，如果招投标，一般以技术和价格两方面考虑，看项目采购过程中参与的各部门强弱了，如果技术部门强势，在评标时候，那可能就偏重于技术的评分，如果采购部门强势，那可能就偏重于价格因素。

3. 墙的数量越来越多，如何真正发挥作用，又能保证效率呢？

现在墙越来越多了，软的硬的，想要让众多的设备协调工作，发挥最大的效率又不互相产生影响，首先墙的选择要符合自己的业务，每个企业的信息化都会有些自己的特点和一些不同寻常的地方。并不一定大品牌的就是最好的。一定要进行测试。挑选最适合自己的。

而现在每一道墙起的主要作用又都不太一样。要有丰富的经验，对业务足够了解，才能铸好这道强，构建起最适合业务的策略。

安防是一件重要而且繁琐的工作。更好的了解自己的业务类型，更好的了解安防产品才能让墙发挥最大的效用。

4.如何实时保护系统安全？

现在市面上大多数安全防护都是靠防火墙、IPS、WAF方式防御，像IPS、WAF基本上都是靠库来提前预知，当新的病毒攻击出现时，似乎防病毒产品永远都要落后于病毒技术。毕竟安防产品更主要的还是防范，而不是去进攻，而且也无从进攻。

不过说起面临突发的病毒之类的攻击。我想还是可以有一些手段来阻止大规模爆发的。

1），首先你要有良好的检查平台，实时检测自己的网络环境中的异常，这部分的工作可以无法抵御攻击，但至少要能够发现网络或者系统的异动，比如，实施检测网络状态，检测重要业务的进程等等。

2），要有规范的应急预案，尽可能全面的去考虑可能爆发的攻击类型，比如病毒，ddos，等等，当检测到网络或者系统异动时，第一时间启动应急预案，比如关闭所有的网络共享，关闭互联网，增加重要业务的备份频率，对重要业务进行安全检查。

3），如果情况严重。有必要时可以中断一部分业务等待官方发不出的解决方案。

这种面临新形式的攻击，更多的是靠应急预案，经验来实现，硬件是一种手段，但没有哪种安防设备可以保证永远不落后。

5. 企业的墙多了所带来的问题？

防火墙、上网行为审计、防毒墙、WAF、IPS/IDS等各种安全相关的"墙",如果要发挥最大的作用一般是以网桥或网关形式放在网络主干道上，这就带来一个问题，网络架构复杂度增加，经过这么多网络安全设备，网络性能是否会受到影响，对以后排除网络故障也会带来很大影响，我们目前现在就这样。防火墙，上网行为审计，waf，计费网关，线路负载均衡网关5个设备串在一条主干上。无论对那个设备进行更新都会影响到网络。而且其中有一部分设备当时上的时候不支持桥接模式。还是以路由模式连接的。一旦设备故障，要临时更改结构。连前后的网络设备都要重新调整，这也的确是网络安全设备带来的问题。所以现在很多厂商的设备越来越融合。越来越简化。多半都支持桥接 bypass，减少设备故障对线路的影响，多种功能来减少网络结构的复杂。

原本信息安全可以很具体的去定义网络安全，系统安全，等等，可是现在系统的架构变得越来越复杂。整体融合度也越来越高。人们面对的安全问题也越来越诡异和麻烦。经常我们会遇到的并不会是明确的一个问题。比如。ddos攻击，虽然引起的是网络故障，可是经常又是由于网站被入侵挂马而引起的。所以现在的安全问题界定已经开始变得模糊。涵盖的方面也越来越多了。这也说明将来，安全问题将会是信息化的首要问题。

致谢
__
非常感谢 TWT社区活动方，你们精心的组织，成就了这一场分享。感谢参与同仁，这种互动的讨论方式，让彼此受益颇多。