信息安全体系建设（一）

# 如何定义信息安全体系

下面我引用一张来自网络上的信息安全体系图，如有侵权，请随时通知某人。

 

这里面将安全分成了几个不同的层面，也是一种深层防御的理念。虽然这张图包含的安全面还不够广， 比如服务器安全，中间件安全等， 但是这张图可以很好的诠释了安全需要分层来处理。通常我们会把最外面一圈，紫色之外的部分认为是非受信任区，也就是不安全区域。中心的球体可以当做我们需要保护的核心资产。

在进行信息安全体系建设的过程中， 我们首先需要明确的是核心资产， 那些资产是需要我们保护的。我们所搭建的信息安全体系就需要围绕着这个中心展开，尽可能做到使用恰当的工具来切段一切可能对你的核心资产发起攻击的途径。

在进行安全体系建设的长河中， 我们曾经致力于区分哪里是边界，把一切武器都摆放在我们信息资产的边界处。其中比较典型的就是摸着我们的网络边界来摆放防火墙，IDS， IPS。当火炮和地雷都埋好了， 我们就认为安全工作已经落实了。我们就可以躲在边界的内部打游戏，看片片，聊历史上那些野史趣闻。但是随着时代的变迁， 技术的进步， 我们逐渐的发现， 边界越来越模糊了，移动办公，云环境，VPN链接这些都在肆意的践踏我们之前定义好的边界。

这个时候我们怎么办！这个时候我们怎么办！

首先需要做的就是把各种片片收起来，我们做安全的不能守株待兔，配置一个防火墙， 安装一个瑞*就可以睡大觉了。我们需要做的是仅仅的揪住技术发展