怎样为信息系统构建安全防护体系？

1、结构化及纵深防御保护框架
系统在框架设计时应从一个完整的安全体系结构出发，综合考虑信息网络的各个环节，综合使用不同层次的不同安全手段，为核心业务系统的安全提供全方位的管理和服务。
在信息系统建设初期，考虑系统框架设计的时候要基于结构化保护思想，覆盖整体网络、区域边界、计算环境的关键保护设备和保护部件本身，并在这些保护部件的基础上系统性地建立安全框架。使得计算环境中的应用系统和数据不仅获得外围保护设备的防护，而且其计算环境内的 *** 作系统、数据库自身也具备相应的安全防护能力。同时要明确定义所有访问路径中各关键保护设备及安全部件间接口，以及各个接口的安全协议和参数，这将保证主体访问客体时，经过网络和边界访问应用的路径的关键环节，都受到框架中关键保护部件的有效控制。
在进行框架设计时可依据IATF（信息保护技术框架）深度防护战略的思想进行设计，IATF模型从深度防护战略出发，强调人、技术和 *** 作三个要素，基于纵深防御架构构建安全域及边界保护设施，以实施外层保护内层、各层协同的保护策略。该框架使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。在攻击者成功地破坏了某个保护机制的情况下，其它保护机制仍能够提供附加的保护。
在安全保障体系的设计过程中，必须对核心业务系统的各层边界进行全面分析和纵深防御体系及策略设计，在边界间采用安全强隔离措施，为核心业务系统建立一个在网络层和应用层同时具备较大纵深的防御层次结构，从而有效抵御外部通过网络层和应用层发动的入侵行为。
2、全生命周期的闭环安全设计
在进行信息系统的安全保障体系建设工作时，除设计完善的安全保障技术体系外，还必须设计建立完整的信息安全管理体系、常态化测评体系、集中运维服务体系以及应急和恢复体系，为核心信息系统提供全生命周期的安全服务。
在项目开展的全过程中，还应该遵循SSE-CMM（信息安全工程能力成熟度模型）所确定的评价安全工程实施综合框架，它提供了度量与改善安全工程学科应用情况的方法，也就是说，对合格的安全工程实施者的可信性，是建立在对基于一个工程组的安全实施与过程的成熟性评估之上的。SSE-CMM将安全工程划分为三个基本的过程域：风险、工程、保证。风险过程识别所开发的产品或系统的危险性，并对这些危险性进行优先级排序。针对危险性所面临的问题，工程过程要与其他工程一起来确定和实施解决方案。由安全保证过程来建立对最终实施的解决方案的信任，并向顾客转达这种安全信任。因此，在安全工程实施过程中，严格按照SSE-CMM体系来指导实施流程，将有效地提高安全系统、安全产品和安全工程服务的质量和可用性。
3、信息系统的分域保护机制
对信息系统进行安全保护设计时，并不是对整个系统进行同一级别的保护，应针对业务的关键程度或安全级别进行重点的保护，而安全域划分是进行按等级保护的重要步骤。
控制大型网络的安全的一种方法就是把网络划分成单独的逻辑网络域，如内部服务网络域、外部服务网络域及生产网络域，每一个网络域由所定义的安全边界来保护，这种边界的实施可通过在相连的两个网络之间的安全网关来控制其间访问和信息流。网关要经过配置，以过滤两个区域之间的通信量，并根据访问控制方针来堵塞未授权访问。
根据信息系统实际情况划分不同的区域边界，重点关注从互联网→外部网络→内部网络→生产网络，以及以应用系统为单元的从终端→服务器→应用→中间件→数据库→存储的纵向各区域的安全边界，综合采用可信安全域设计，从而做到纵深的区域边界安全防护措施。
实现结构化的网络管理控制要求的可行方法就是进行区域边界的划分和管理。在这种情况下，应考虑在网络边界和内部引入控制措施，来隔离信息服务组、用户和信息系统，并对不同安全保护需求的系统实施纵深保护。
一般来说核心业务系统必然要与其它信息系统进行交互。因此，应根据防护的关键保护部件的级别和业务特征，对有相同的安全保护需求、相同的安全访问控制和边界控制策略的业务系统根据管理现状划分成不同的安全域，对不同等级的安全域采用对应级别的防护措施。根据域间的访问关系和信任关系，设计域间访问策略和边界防护策略，对于进入高等级域的信息根据结构化保护要求进行数据规划，对于进入低等级域的信息进行审计和转换。
4、融入可信计算技术
可信计算技术是近几年发展起来的一种基于硬件的计算机安全技术，其通过建立信任链传递机制，使得计算机系统一直在受保护的环境中运行，有效地保护了计算机中存储数据的安全性，并防止了恶意软件对计算机的攻击。在信息系统安全保障体系设计时，可以考虑融入可信计算技术，除重视安全保障设备提供的安全防护能力外，核心业务系统安全保障体系的设计将强调安全保障设备的可靠性和关键保护部件自身安全性，为核心业务系统建立可信赖的运行环境。
以可信安全技术为主线，实现关键业务计算环境关键保护部件自身的安全性。依托纵深防御架构应用可信与可信计算技术（含密码技术）、可信 *** 作系统、安全数据库，确保系统本身安全机制和关键防护部件可信赖。在可信计算技术中，密码技术是核心，采用我国自主研发的密码算法和引擎，通过TCM模块，来构建可信计算的密码支撑技术，最终形成有效的防御恶意攻击手段。通过系统硬件执行相对基础和底层的安全功能，能保证一些软件层的非法访问和恶意 *** 作无法完成，可信计算技术的应用可以为建设安全体系提供更加完善的底层基础设施，并为核心业务系统提供更强有力的安全保障。
5、细化安全保护策略与保障措施
在核心业务系统不同区域边界之间基本都以部署防火墙为鲜明特点，强化网络安全策略，根据策略控制进出网络的信息，防止内部信息外泄和抵御外部攻击。
在区域边界处部署防火墙等逻辑隔离设备实施访问控制，设置除因数据访问而允许的规则外，其他全部默认拒绝，并根据会话状态信息（如包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用）对数据流进行控制；对进出网络的信息内容进行过滤，实现对应用层>不只是一层而是贯穿全程。
全链路内容风控体系是从源头进行内容安全治理的具体体现，贯穿了用户全生命周期的纵深防御体系——从账号注册、登录、用户行为、内容发布以及登出。其背后，运用了多个技术对用户进行画像，包括人机识别、风险名单、IP画像、设备模型、行为模型、业务模型、关联分析和规则系统等。
纵深防御体系是基于边界防御的又一拓展，强调任何防御都不是万能的，存在被攻破的可能性，所以纵深防御本质是多层防御，即每一个访问流量都要经过多层安全检测，一定程度上增加安全检测能力和被攻破的成本。

介绍
安全狗，云安全服务与解决方案提供商，依托云端技术和大数据安全分析能力，基于“云+端+服务”一体化SaaS服务模式为用户提供专业的安全产品、服务及解决方案。在云化IT基础架构下，安全狗提出了全新的理念“软件定义防御 数据驱动安全”，即以可视化方式快速搭建多层次联动纵深防御体系，并通过基于持续监控和分析的大数据安全分析平台加强安全防御能力，实时展示威胁风险。
同时，安全狗还积极参与到国内云计算生态的建设中，目前已经和亚马逊AWS、阿里云、腾讯云、UCloud、华为企业云、金山云等主流云平台建立了合作伙伴关系，联合打造云端安全生态。安全狗希望聚合产业势能，提升网络安全产品和服务水平，与合作伙伴共同营造良好的互联网安全环境，维护网络信息安全。
产品服务
防御类产品：主要包括服务器安全狗和网站安全狗
纵深安全防御，由服务器安全狗、网站安全狗共同构建，借助云端大数据处理能力，在网络层、应用层、系统层构建全方位、多层次、一体化安全防护体系，实现对黑客攻击的有效预判、即时反应、实时拦截及联合防御。
云安全管理平台：基于“数据驱动”的新一代云安全管理平台，带来全新改观让您的安全管理变得“主动、可视、可防、可知、可管”。
功能：
风险管理：
漏洞补丁识别、管理及批量修复
系统账号、权限风险识别及修复
网页后门识别
病毒检测与查杀
应用配置风险识别及修复
威胁分析：
将不同的“线索”拼成“全貌”
快速发现真正的威胁并解决问题
及时看见自己被谁攻击？
什么时候遭受什么样的攻击？
是否有定向攻击？
损失了什么？
安全策略：
批量安全策略管理
确保做出快速的应对和防护调整
云管理：
公有云、私有云、混合云，跨云平台统一实施及管理
云监控：
实时掌握网站的运行异常
安全服务：
安全狗服云将产品和服务一体化，用户在使用安全产品过程中即可得到安全专家提供的专业级安全服务，涵盖事前、事中、事后各个过程层面。
内容摘自安全狗网站~~~~~

日本入侵我钓鱼岛的事件再次刺痛了我们的隐痛，中国自明朝之后一直面临着来自海上的威胁，现在虽然中国军事实力有所提升，但目前还不能说已经能够保障国家的安全。我们如果不能对此做出正确的抉择，那么不但国家崛起的战略不会成功，连生存问题都很难解决。 我国目前的国防状况总体上来说缺陷是很多的，可以说是没有占在长远的角度来思考，布局很不合理。陆军一直是主力，空军虽然经过了近年的发展依然不能满足当前的需要，而且这种形势在很长一段时间内还很难改变，而海军就更不用说了，长期处于被忽视的地位，前几年经过一个快速发展之后目前似乎又有所放缓。 根据军事发展的形势来看，信息化是主流，但信息化并不能离开传统的武器系统的支持，正如一个人一样，信息化是神经中枢，而海陆空等总体武器系统形成一个完整的外部构造，从而形成一个完整的体系。对于未来战争，最大的特征就是战场环境的巨大变革，立体化、全球化是大趋势，特别是信息化战争将完全打破边界的束缚，科技和文化将是战争的主要支撑。所谓的科技就是指武器系统的改进、指挥、通信、后勤等系统的高度信息化和合理化、情报系统的获取多元化和准确率、各军种和相关部门的高度联合和一体化、机动能力和打击能力的空前提高，从而可以控制战场的主动。文化则主要表现为全国人民的素质的高度发展，从而形成一个和谐、互利、团结的思想防线，可以阻挡一切强大的敌人的进攻，这个才是国防的第一线！所以说，国防安全先要从科技上的崛起和文化上的凝聚开始，然后才可以谈到军备，否则有军等与无军，有备等与无备！ 我国的地理位置是比较特殊的，东部是美日联盟的海上强大军事力量，南部则有印度和其它一些借助外部势力野心勃勃的小国，北部则有俄罗斯，唯一可以作为缓冲的中亚也面临美军势力的蚕食。这种地理位置决定了我国国防的复杂性和困难度。不仅如此，我国还面临一个更重要的问题，就是人口众多与资源贫乏的矛盾，这就决定了我国的崛起离不开国际上的资源。这样对我国的国防形成更大的挑战，主要是在我国漫长的海上生命线上有强大的对手，却没有强大的保障力量来维系其安全性。其次就是领土纠纷，其中最主要的是和印度和日本，如果这两个地方解决了那么南海也就不成为问题。为什么这么说呢，这主要是因为这两个国家的特殊地理位置和国际霸权的战略来决定的。其中日本位于我国东部，其漫长的岛屿正好位于我国东部和太平洋的一个弧型地带，美国为控制太平洋同时也是遏制中国的需要，在这里建筑了大量的军事基地，使中国在海上面临世界上最强大的海军力量，其压力可想而知。印度则是亚洲的第而大国，近年来军事迅猛发展，大有超越中国的势头。特别是在霸权主义的支持和教唆下，对中国进行强硬的对抗政策，也是一个重要的威胁。在日本和印度之间威胁最大的我认为还是日本，印度虽然领土和人口都要远远超越日本，但印度并非一个高明的战略家，虽然图有大国的名声，但其军事缺乏自主能力，而且存在众多缺陷，在本质上并不能对中国构成严重的威胁。而日本则不同，现在看看日本要求的领土都是中国的，而且其国内军国主义思想有再次泛滥之趋势，完全否认屠杀历史，修改教科书，积极发展远洋军事并突破了旨在束缚起扩张的和平宪法，这是一个危险的信号。由于中国是距离日本最近的国家，在历史上也上演了多次交锋的历史，虽然现在中国政府一再忍让，但这无益于两国的发展。中国目前之所以对日本忍让的主要原因还在于霸权主义的威胁，目前来说日本之不过是其一个棋子，两者的合作是只是相互利用罢了。我认为从这个意义上来说，离间其关系是当前除加强军事力量之外最重要的一个手段，然后挑拨日韩关系（这两个国家在历史上就是夙敌，现在又存在领土纠纷），争取其他力量。对于韩国来说，虽然屡次对我国不恭，但不存在致命威胁，而且从长远和文化来看必然有一天浪子回头，所以目前完全可以进行容忍和拉拢，使之成为我对抗日本的一个重要棋子。 在军事发展上来看，我国要实现崛起战略和国家安全的需要必须重新部署军事力量。根据目前和未来军事发展和战争的需要，陆军很显然不再是中坚力量，在信息和航天技术的支持下进行空军和海军的跨越发展才是我国未来国防建设的重点。这主要是由我国的威胁决定的，因为我们的目前甚至在今后很长一段时间内最主要的敌人是来自海上，要消除这些威胁仅仅依靠消极的防御很显然是不切实际的。消除威胁的关键不在防御，而是消灭威胁的根源，否则就完全被动了。之所以施行防御的策略主要是由于力量对比悬殊，争取时间。而现在我们的防御体系还不完善，同时还要防止海外的能源通道被封锁，所以我认为我国现在必须大力发展航母和航天技术。航母的优势就在于拥有庞大的空中和水上、水下等多重打击力量和机动能力，可攻可防，防止处处设防，节省资源。同时，我国目前的海上防御体系显然是很差的，基本上只有路基的防御体系，很难应对当前的远程精确打击武器的袭击。所以，今后我国的海防必须要加速发展，形成太空为中枢，利用战略核武器为基础，海上、沿岸、空中和内陆大纵深的防御体系，增强对重点军事和经济、政治等目标的防护能力。其中关键的对太空力量的保护和攻击能力的提升，其次是对具有防御和攻击双重属性和前沿指挥中枢能力的航母的发展，建立自己的战略空军实行全球部署和打击能力，才能作到退可守，进可攻的从容应变。 对于军队建设，也许有人认为武器才是最关键的，武器的确很重要但更重要的是军队的凝聚力和纪律，只有具有为祖国献身精神和团结、严肃、勇敢的部队才是最具有战斗力的。腐败是军队致命的缺陷，这样的例子太多了，明朝的土木堡之变中，明朝50万大军顷刻瓦解教训够深刻了吧！对于军队建设最主要的就是四个字“精兵简政”，所谓的精兵就是具有深厚的爱国情 *** 和献身精神、训练有素、具有顽强的意志和斗志，而简政则就是裁减冗官、保持政令的统一和简约、保持官员的清廉 。这样的军队在加上精良的装备就可以横行天下了！ 对于后勤保障体系，我国目前依然还不能适应未来作战的需要。后勤保障包括道路的建设和供给体系、设备等各方面，其中最基础的道路还需要很多改善，基本上都是从经济的需要来规划的，这样对作战形成不利的影响。在供给体系上，随着未来联合作战的需要，后勤供应也应该向这一方向发展，而对于一些战略物资的储备也改从安全和实战的需要来规划。 我国的国防体系目前还存在诸多缺陷，目前最紧要的就是利用谋略和外交手段瓦解敌人的进攻，争取时间发展军事和经济，建立完善的国防体系，最要紧的还在于加强军备的发展和对部队的廉政建设，加强全民的国防意识，依托学校和工厂组建全国体系的民兵训练体系，建设适应未来作战形势需要的后勤保障体系和纵深防御体系。

文 小米集团 陈长林 李泽霖

打造具有国际竞争力的制造业，是我国提升综合国力、保障国家安全、建设世界强国的必由之路。推进以智能制造为核心的智能工厂建设是实现这一目标的重点方向，是我国迈进世界强国大门的关键一环。而信息安全是保障智能工厂系统能够顺利运转的根基。

小米作为一家互联网 科技 制造公司，一直走在创新的前列。在小米十周年的演讲中，创始人雷军对小米的过去十年进行了总结和复盘，也对未来十年提出了三个发展策略：重新创业、互联网 + 制造、行稳致远。在“互联网 + 制造”这条路线上，小米经过过去三年的努力，已经建成了百万台级的全自动化智能工厂（即“黑灯”工厂），致力于超高端手机的自动化生产。对于这条自动化水平极高的生产线，信息安全是其重要根基，是保证整个工厂安全、高效、稳定运转的关键一环。小米把信息安全体系建设作为智能工厂稳健运营的基石，在信息安全管理体系建设与实践上也下足了功夫。

小米智能工厂的信息安全管理体系包括三道防线：

第一道防线——安全技术体系，包括设备层、网络层、系统层和应用层。

第二道防线——安全管理体系，包括安全制度与全员安全意识培训。

第三道防线——安全审计，以攻击方蓝军视角对系统进行渗透测试。

第一道防线——安全技术体系

小米智能工厂安全防护体系主要通过应用层、系统层、网络层、设备层 4 个层面组成，通过纵深防御体系，最大程度保障小米智能工厂的安全。

一、设备层防护

智能工厂中，不仅有机器人、工业摄像头、AGV 等工业智能设备，同时还会配备监控摄像头、门禁系统、智能储物柜等常规的 IoT 设备。这些设备在生产之初更多考虑的是设备功能的实现以及设备性能的稳定性，而在安全性的设计考量上往往较为匮乏。

近几年来，行业内智能设备被攻击的案例层出不穷。据各大安全厂商的不完全统计，在所受到的DDoS 攻击中，黑客 *** 纵僵尸网络从而发起的攻击占总数量的一半以上。而互联网中海量缺乏安全性设计的物联网设备就成为这些攻击的“重灾区”。2017 年，由 Mirai 僵尸程序组成的僵尸网络发起的大规模 DDoS 攻击，导致美国、中国、巴西等国家大面积的网络瘫痪。而感染的主要设备有监控摄像头、数字视频录像机及路由器等大量物联网设备。

小米拥有全球最大的消费级物联网，对物联网的安全尤为重视，也为此在 2018 年正式成立了 AIoT安全实验室，实验室的组成成员均在 IoT 安全、网络安全等方面有着丰富的经验和实践。利用这一优势，小米针对智能工厂中的智能设备进行了全面地安全审计，挖掘设备本身存在的潜在安全隐患，并在第一时间联系相应的厂商进行分析、修复和整改。这一举措将从源头上尽可能地消除设备的安全隐患，缩减可能遭受攻击时的攻击面，在设备层面上做到安全性的提升。

二、网络层防护

智能工厂主要由生产网、集成系统网、办公网三大网络组成。

生产网中的设备主要有数控机台、机器人、传感器等；集成系统网中的设备主要有 MES、SAP、MOM 等；办公网中的设备主要为工厂员工办公使用的 PC。这三大网络分别具有不同的特征属性。

生产网是实际生产线所在的网络环境，该网络需要具备极高的稳定性和可靠性，一般会划分为多个产线，不同产线承担不同的生产需求。而由于生产网的极高可靠性要求，一些安全变更（如 *** 作系统补丁、安全策略变更、防护变更等）需要一定周期，不能收到更新时立即进行。所以，对生产网的网络层防护就变得格外重要。有效的网络层防护能够阻挡外部黑客、病毒的攻击，为生产网建立完备的安全屏障。小米在生产网的防护中，采用了单向隔离的安全策略，并对生产网的单向访问策略也做了严格的限制，从网络层面上阻断了可能的攻击路径。同时，在生产网内部，也对高危端口（如 TCP135/139/445/1433/3306/5985/5986 等）进行了禁用，避免病毒利用这些高风险端口在生产网中扩散。

集成系统网中拥有大量工业控制应用系统，这些系统与传统的应用系统类似，通常会开放 Web、远程桌面、SSH 等服务。小米搭建了全套零信任防护体系，对集成系统网中所有服务都实施了访问控制，仅允许授权用户访问，将非法攻击者拒之门外。对所有集成系统中的服务器，小米通过部署自研的HIDS（主机型入侵检测系统），实时监控服务器的安全状况，并对外部攻击进行阻断和拦截。对于系统本身，小米安全团队会对其产品全流程进行安全把控，在研发、测试、上线阶段进行安全评估，及早地发现问题，提升系统整体安全性。

办公网主要是工厂员工日常办公所使用的网络。由于办公网中环境复杂，为了避免对其对核心生产网造成不良影响，办公网与核心生产网完全隔离。而为了保障办公网的安全性，小米在每一名员工的办公 PC 都强制安装了杀毒软件和安全合规检测软件，以保障 PC 的安全性和合规性。为了能够及时发现办公网中的安全隐患和潜在的安全风险，小米在网络出口侧部署了威胁检测系统，实时发现存在隐患和威胁的 PC，并采取相应的安全策略进行紧急处理和防护。

三、系统层防护

生产网中有大量的工控上位机，这些工控机来自多家供应商，存在 *** 作系统不统一、安全防护水平参差不齐的问题。而在工控行业，经常会出现一机中毒、全厂遭殃的情况，给整个生产造成严重的影响。

为了解决这些问题所带来的安全风险，小米针对生产网制作了标准的 *** 作系统镜像，在 *** 作系统镜像中加入了 IP 安全策略、系统补丁、杀毒软件等安全模块，拉齐系统安全基线。工控电脑终端统一加入工厂专用域，便于管理人员进行集中地安全管理和 *** 作审计。

四、应用层防护

在工业网络中，文件传输是常见的一个应用场景。但是，不恰当的文件传输方式极易造成病毒的传播与扩散，对正常生产造成影响。

文件传输的需求主要分为产线内传输、产线间传输和外部交换等。为了满足这一正常业务需求，我们构建了专用文件摆渡服务。

在文件摆渡服务的设计上，主要分为几个部分：文件服务器上部署实施病毒监控服务，保证文件服务器上所有文件的安全性。文件服务器上开启审计策略，对文件交换行为进行记录和审计。向生产网开放 SMB 文件共享接口，并与产线专用域账号打通，用于产线内和产线间的文件传输需求。向办公网开放 Web 文件共享接口，并接入零信任防护系统，用于产线与办公网的文件摆渡。通过统一的文件传输管控，不仅仅解决了业务的使用需求，同时也增强了文件的安全性。

第二道防线——安全管理体系

人员安全意识是安全防护中重要的一环，往往也是安全防护体系中的薄弱环节。近几年，针对企业员工的安全攻击手段层出不穷，从传统的钓鱼邮件、人员渗透到新型的 BadUSB、钓鱼 Wi-Fi 等，都对智能工厂的安全产生巨大的威胁。

小米在员工信息安全意识方面，定期进行钓鱼邮件演练，提升员工对钓鱼邮件的识别能力。定期举办安全意识培训，介绍业内常见的安全攻击和渗透手段，从而提升员工安全意识，降低类似攻击发生的概率。

第三道防线——安全审计

仅从技术层面和人员意识方面进行防护仍然不够，小米蓝军通过模拟真实黑客攻击，对整个安全防护体系进行检验，发现其中的薄弱之处，然后加以修复和整改。

实践是检验真理的唯一标准，在安全防护领域也是如此，一个优秀的安全防护体系必须能够经得起攻击的检验。小米蓝军是一支拥有丰富经验的企业网络攻击团队，通过模拟真实黑客的攻击手法，对整个安全防护体系进行攻击模拟，以评判其在应对攻击时的安全表现。

小米蓝军的渗透测试不仅仅需要对安全方案中提到的四大层面进行安全评估，同时也会结合最新的安全攻击技术，对安全方案未覆盖到的风险点进行挖掘，推动整体安全建设。

除了定期的渗透测试外，小米蓝军还拥有实时漏洞监控与扫描平台，7 24 小时不间断对工厂网络进行安全扫描，及时发现安全问题，规避安全风险。

展 望

李克强总理在考察制造业企业时指出“中国制造 2025 的核心就是实现制造业智能升级”。未来，小米将会紧跟国家《中国制造 2025》的发展方向，将企业的发展与中国制造业的未来绑在一起。当前，我们已经进入了“5G+AIoT”的时代，消费端产品能力的实现对企业的技术创新能力和保障信息安全的能力提出了更为严苛的要求。所以，如果没有安全这一“夯实基础”，就无法搭建起一直追求高精尖的中国制造业这一“上层建筑”。

在小米十周年演讲中，创始人雷军对“互联网 +制造”方向也提出了更高的要求和目标。在智能工厂的第二阶段，希望建成千万台级别的超高端智能手机生产线，该工厂将实现极高的自动化，同时也会具备更为严苛的安全标准以保障生产线的高效运转。未来，小米将会继续深耕智能制造业，努力推动中国制造走在更为安全、先进、稳健的前进道路上，为实现“中国制造 2025”这一伟大的十年计划做出应有的贡献。

（本文刊登于《中国信息安全》杂志2021年第1期）

文 华润医药商业集团有限公司智能与数字化部 孙宏鸣

零信任概念的提出，彻底颠覆了原来基于边界安全的防护模型，近年来受到了国内外网络安全业界的追捧。

所谓零信任顾名思义就是“从不信任”，那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型，而向零信任安全模型进行转变呢？零信任是企业安全建设中必须经历的安全防护体系技术革新，但它必然要经历一个长期 探索 实践的过程。

一、零信任的主要安全模型分析

云计算和大数据时代，网络安全边界泛化，内外部威胁越来越大，传统的边界安全架构难以应对，零信任安全架构应运而生。作为企业，该如何选择“零信任”安全解决方案，为企业解决目前面临的安全风险？

目前“零信任”安全模型较成熟的包括安全访问服务边缘（SASE）模型和零信任边缘（ZTE）模型等。以这两种模型为例，首先要先了解目前模型的区别，探讨各自的发展趋势，再选择适合企业的落地实施方案。

对 SASE 模型，身份驱动、云架构、支撑所有边缘以及网络服务提供点（PoP）分布是其主要特征。SASE 模型扩展了身份的定义，将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等，这些要素都被归纳成了身份，所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同，SASE 不会强制将流量回传到数据中心进行检索，而是将检查引擎带到附近的 PoP 点，客户端将网络流量发到 PoP 点进行检查，并转发到互联网或骨干网转发到其他 SASE 客户端，从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务（SECaaS），即提供所有云服务特有的功能，实现最大效率、方便地适应业务需求，并将所有功能都放置在 PoP 点上。

SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本，整合供应商和厂家的资源，为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构，减少 IT 团队管理及运维安全产品的数量，降低后期运维的复杂性，极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程，并对未授权的数据进行保护。

SASE 模型强调网络和安全紧耦合，网络和安全同步建设，为正在准备搭建安全体系的企业提供了较为理想的路径。反之，已经搭建或正在搭建安全体系过程中的企业，如果要重构企业网络结构，是个极大的挑战，也是一笔不小的投入。所以，SASE 模型可能更适用于面对终端用户的零售行业，为这类企业提供完整的安全服务，不需要企业在每一个分支节点上搭建一整套安全体系，便于统一管理并降低建设成本。

ZTE 模型的重点在零信任。一是数据中心零信任，即资源访问的零信任，二是边缘零信任，即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块，本质上是一个概念。ZTE 模型强调网络和安全解耦，先解决远程访问问题，再解决网络架构重构问题。

二、华润医药商业集团零信任的实践

华润医药商业集团有限公司（以下简称“公司”）作为华润下属的大型医药流通企业，在全国分布百余家分子公司，近千家药店，日常业务经营都离不开信息化基础支撑，所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求，完善网络安全防护能力，公司同样十分重视网络安全建设，目前同国内主流安全厂商合作，建立了以态势感知为核心，贯穿边界与终端的纵深防御体系，并通过连续两年参与攻防演练，不断提升网络安全人员专业水平，通过攻防实战进一步优化网络安全建设。

但公司在涉及云计算、大数据、物联网等技术领域时，现有的网络边界泛化给企业带来的安全风险不可控，传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施，而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。

公司选择了 SASE（安全访问服务边缘）和ZTE（零信任边缘）两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。

公司分支企业众多，几乎覆盖全国范围，存在安全管控难、处置难、安全性低、资源灵活性差等问题，并缺少整体统一的长效运营机制。基于以上问题，公司参考了 SASE 模型的解决方案，将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案，由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构，而是分为三类情况使用不同的方案。

第一类是改变网络安全管理方式，主要针对区域公司。 由于大部分区域公司已经搭建了相对成熟的安全体系，只将原有的传统广域网链路改为就近接入运营商 PoP 点，并将原有的双线冗余线路的备用线路使用软件定义广域网（SD-WAN）技术进行替换，并通过服务质量（QoS）机制将主营业务与办公业务进行合理切分，大大提高了网络使用效率，降低费用成本，并且可以通过统一的管理平台对广域网进行管理，统一下发配置安全策略，提高整体安全管控和处置。

第二类是逐层汇聚、分层管理，主要针对二、三级分支机构。 这类单位安全体系虽已建设，但还未达到较高的程度，通过就近接入 PoP 点或汇聚到区域公司，由运营商提供部分安全服务或由区域公司进行统一管控。

第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。 使用 SD-WAN 安全接入方案就近接入 PoP 点，由运营商提供整体的安全服务，从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整，提供全面、一致的安全服务 , 同时降低整体安全建设成本，提高工作效率。

近两年，公司办公受新冠疫情的影响，员工居家办公成为常态化。作为虚拟专用网络（）产品的使用“大户”，公司原有的 账户众多 ,传统 在使用过程中已经难以满足当前业务的需求，一些问题逐渐暴露，经常出现不同程度的安全风险。传统 架构存在很多问题，如权限基于角色固定分配，不够灵活，在业务生成中及重保等特殊时期，粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网，本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 业务运维，涉及下级单位 问题均需要总部人员处理，诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 客户端的兼容性不同，兼容性问题也是经常被员工吐槽的地方。在 使用中，基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。

为此，公司参考了 ZTE 模型的解决方案，首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点，以零信任理念为指导，结合深信服软件定义边界（SDP）架构的零信任产品，构建了覆盖全国办公人员的零信任远程办公平台。

SDP 架构的零信任产品，对访问连接进行先认证、再连接，拒绝一切非法连接请求，有效缩小暴露面，避免业务被扫描探测以及应用层分布式拒绝服务攻击（DDoS）。通过单包认证（SPA）授权安全机制实现业务隐身、服务隐身，保护办公业务及设备自身。对于没有安装专有客户端的电脑，服务器不会响应来自任何客户端的任何连接，无法打开认证界面及无法访问任何接口。具备自适应身份认证策略，异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时，零信任平台强制要求用户进行二次认证、应用增强认证，确保用户身份的可靠性。

零信任的试点应用，提升了公司的网络安全性，简化了运维。但基于公司现状及规划，试点工作还需进一步同厂商进行下一步的工作落地和 探索 。在使用体验优化方面，由于 SDP 架构的数据转发链更多，零信任与 使用流畅度上差异不大，在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版（IPV6），依据相关政策要求，需要进行 IPV6 业务改造，通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯，将零信任产品进一步同公司现有办公平台进行对接，实现身份、业务的统一管理，实现单点登录。公司零信任安全体系建设的下一步工作，是将公司现有安全体系建设进一步与零信任产品体系打通，实现数据互通，进一步提高管理信息化中的安全可靠性。

三、结语

零信任安全架构对传统的边界安全架构模式重新进行了评估和审视，并对安全架构给出了新的建设思路。但零信任不是某一个产品，而是一种新的安全架构理念，在具体实践上，不是仅在企业网络边界上进行访问控制，而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制，从而真正实现“从不信任，始终验证”。

（本文刊登于《中国信息安全》杂志2022年第2期）

从软、硬件形式上分为
软件防火墙和硬件防火墙以及芯片级防火墙。
2
从防火墙技术分为
“包过滤型”和“应用代理型”两大类。
3
从防火墙结构分为
单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4
按防火墙的应用部署位置分为
边界防火墙、个人防火墙和混合防火墙三大类。
5
按防火墙性能分为
百兆级防火墙和千兆级防火墙两类。
6按防火墙使用方法分为
网络层防火墙，物理层防火墙和链路层防火墙三类

安全第一
是指从事核安全相关活动的主体，包括负有监督管理职责的国务院核安全监督管理部门、核工业主管部门、能源主管部门和其他有关部门，以及核设施营运单位和为其提供工程、设备和服务等的单位，都应当将安全摆在首位，作为前提条件，即在进行监管决策、实施发展规划或开展核能开发利用等活动时，在面临多种利益的权衡时，首先应当考虑其活动是否符合核安全的要求。
预防为主
是指把预防核事故的发生放在核安全工作的首位，防患于未然，并且在一旦发生核事故时采取积极措施最大限度减轻其后果，防止危害后果的扩大。这是因为一旦发生核事故，尤其是大规模放射性物质释放的事故时，其造成的损害和放射性污染非常严重而且基本不可逆，治理成本高，治理效果不可预期。切尔诺贝利核事故和日本福岛核事故的例子就说明核事故造成的破坏很难通过事后的措施进行补救。《中华人民共和国核安全法》规定的核设施安全许可制度就是预防为主原则的重要制度安排，对核设施选址、设计、建造、运行、退役和核材料及相关放射性废物实行全过程、全链条监管和风险管控，不留死角、不留空白。
责任明确
一是监管部门的核安全责任明确。《中华人民共和国核安全法》第6条中规定，国务院核安全监督管理部门负责核安全的监督管理。国务院核工业主管部门、能源主管部门和其他有关部门在各自职责范围内负责有关的核安全管理工作。二是从事核安全活动单位的核安全责任明确。《中华人民共和国核安全法》第5条规定，核设施营运单位对核安全负全面责任。为核设施营运单位提供设备、工程以及服务等的单位，应当负相应责任。第39条规定，产生、贮存、运输、后处理乏燃料的单位应当采取措施确保乏燃料的安全，并对持有的乏燃料承担核安全责任。第52条中规定，核材料、放射性废物的托运人应当在运输中采取有效的辐射防护和安全保卫措施，对运输中的核安全负责。
严格管理
一是监管部门对从事核安全活动的单位进行严格管理。如国务院核安全监督管理部门应当严格按照法律规定的条件对核设施选址、建造、运行、退役实行许可，国务院核安全监督管理部门和其他有关部门应当对从事核安全活动的单位遵守核安全法律、行政法规、规章和标准的情况进行监督检查，对核安全违法行为严格依法进行处罚等。二是从事核安全活动的单位应当严格内部管理，即加强核安保管理，这与核案例密切相关。《中华人民共和国核安全法》第12条中规定，核设施营运单位应当建立和完善安全保卫制度，采取安全保卫措施，防范对核设施、核材料的破坏、损害和盗窃。第38条中规定，核设施营运单位和其他有关单位持有核材料，应当采取措施防止核材料被盗、破坏、丢失、非法转让和使用，保障核材料的安全与合法利用。
纵深防御
是指通过设定一系列递进并且独立的防护、缓解措施或者实物屏障，防止核事故发生，减轻核事故后果。《中华人民共和国核安全法》第16条中规定，核设施营运单位应当依照法律、行政法规和标准的要求，设置核设施纵深防御体系，有效防范技术原因、人为原因和自然灾害造成的威胁，确保核设施安全。纵深防御贯穿于与核安全有关的全部活动，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补救或纠正。例如，纵深防御概念应用于核动力厂的设计时，至少应包括5个层次的防御：第一层次是防止偏离正常运行及防止系统失效；第二层次是检测和纠正偏离正常运行状态，以防止预计运行事件升级为事故工况；第三层次是要求设置的专设安全设施能够将核动力厂首先引导到可控制状态，然后引导到安全停堆状态，并且至少维持一道包容放射性物质的屏障；第四层次是针对设计基准可能已被超过的严重事故时，保证放射性释放保持在尽可能低的水平；第五层次是减轻可能由事故工况引起的潜在的放射性物质释放造成的放射性后果。
独立监管
是指核安全监督管理相关部门对核安全实施独立监管，其实质是核安全监督管理部门能够在不受其他主体的不当影响下就核安全相关问题作出决定，并有能力履行法律规定的核安全监管职责。独立监管是国际通行做法，相关的国际公约和各国法律都有规定。如，国际原子能机构出版的《核法律手册》规定，核安全法特别强调建立监管机构，其安全决定不受任何参与与核能发展或促进活动的实体组织的干涉。如果发生涉及安全的与核技术相关的重大风险时，其他利益相关者必须服从监管者独立和专业的判断。美国《能源重组法》规定，美国核监管委员会独立行使核安全监管权；日本《原子能规制委员会设置法》规定，原子能规制委员会对全国核安全实施独立监管。《中华人民共和国核安全法》第6条规定，国务院核安全监督管理部门负责核安全的监督管理。国务院核工业主管部门、能源主管部门和其他有关部门在各自职责范围内负责有关的核安全管理工作。国家建立核安全工作协调机制，统筹协调有关部门推进相关工作。核安全工作涉及多个部门，各部门既要各司其职、各尽其责，相对独立地行使各自职责，同时，还要统筹协调，相互配合，形成合力，不能画地为牢，以邻为壑。管行业必须管安全，管发展必须管安全，独立监管原则并不排除能源主管部门作为核电行业主管部门对核电企业的监管。
全面保障
是指从各个方面对核安全相关活动的全过程实施将监督管理和风险控制，不留死角。主要包括四个方面：一是国务院核安全监督管理部门、核工业主管部门、能源主管部门和其他有关部门在各自职责范围内负责有关的核安全管理工作，全面严格执法。二是核设施营运单位和为其提供设备、工程以及服务等的单位切实遵守法律法规的要求，确保设备的性能满足核安全标准的要求，工程和服务等满足核安全相关要求。三是充分发挥社会公众对核安全治理的参与和监督作用。四是对核能开发利用的整个产业链（核燃料循环过程）实施事前的监督预防、事中的管控和事后的应对与缓解。

---