【浅谈】工业互联网安全的纵深防御

7月11日-13日，2017中国互联网大会在北京国家会议中心举行。在中国网络安全论坛上，国家互联网应急中心严寒冰表示，工业互联网要有隔离，尤其是重要系统的互联网要进行严格的隔离。同时，要构建网络安全纵深的防御体系，既包括互联网，也包括内网，有纵有深，分区域、跨行业的，建一个防护体系的网络。

　纵深防御包含两层含义

某矿泉水品牌曾经在广告中展示了一滴水的生产过程：经过十多层的安全过滤，去除有害物质，最终得到一滴饮用水。这种多层过滤的体系，就是一种纵深防御，是有立体层次感的安全方案。

纵深防御并不是同一个安全方案要做两遍或多遍，而是要从不同的层面、不同的角度对系统做出整体的解决方案。我们常常听到"木桶理论"这个词，说的是一个桶能装多少水，不是取决于最长的那块板，而是取决于最短的那块板，也就是短板。设计安全方案时最怕出现短板，木桶的一块块板子，就是各种具有不同作用的安全方案，这些板子要紧密地结合在一起，才能组成一个不漏水的木桶。

在常见的入侵案例中，大多数是利用Web应用的漏洞，攻击者先获得一个低权限的Webshell，然后通过低权限的Webshell上传更多的文件，并尝试执行更高权限的系统命令，尝试在服务器上提升权限为Root；接下来攻击者再进一步尝试渗透内网，比如数据库服务器所在的网段。

在这类入侵案例中，如果在攻击过程中的任何一个环节设置有效的防御措施，都有可能导致入侵过程功亏一篑。但是世上没有万能灵药，也没有哪种解决方案能解决所有问题，因此非常有必要将风险分散到系统的各个层面。就入侵的防御来说，我们需要考虑的可能有Web应用安全、OS系统安全、数据库安全、网络环境安全等。在这些不同层面设计的安全方案，将共同组成整个防御体系，这也就是纵深防御的思想。

纵深防御的第二层含义，我们该如何理解呢?它要求我们深入理解威胁的本质，从而做出正确的应对措施。

在XSS防御技术的发展过程中，曾经出现过几种不同的解决思路，直到最近几年XSS的防御思路才逐渐成熟和统一。

在一开始的方案中，主要是过滤一些特殊字符，比如：<<笑傲江湖>> 会变成 笑傲江湖 尖括号被过滤掉了。

但是这种粗暴的做法常常会改变用户原本想表达的意思，也比如：1<2 可能会变成 1 2。

造成这种“乌龙”的结果就是因为没有"在正确的地方做正确的事情"。对于XSS防御，对系统取得的用户输入进行过滤其实是不太合适的，因为XSS真正产生危害的场景是在用户的浏览器上，或者说服务器端输出的HTML页面，被注入了恶意代码。

只有在拼装HTML时输出，系统才能获得HTML上下文的语义，才能判断出是否存在误杀等情况。所以"在正确的地方做正确的事情"，也是纵深防御的一种含义--必须把防御方案放到最合适的地方去解决。

随着信息安全技术的不断发展深化，单纯的层次化方法已经不能适应新的安全形势，必须以体系化思想重新定义纵深防御，形成一个纵深的、动态的安全保障框架，即纵深防御体系。

采用等级化的思想，最终形成手段纵深、级别纵深、流程纵深的防御与保障体系，为关系到国计民生的各类重大信息系统的安全防护提供了指导思路。等级保护的主体思想在于等级化和差异化，即为不同等级的保护对象提供合理的防护措施。