现在是:
 设为首页   加入收藏
 
信息与网络建设管理中心
 首页 | 中心简介 | 机构设置 | 网络建设 | 通知公告 | 工作动态 | 政策法规 | 常用下载 | 网络安全 | 常见问题 | 服务邮箱 
-更多-
 
当前位置: 首页>>网络安全>>正文
 
漫谈信息安全设计与治理之互联网接入设计
2016-09-02 10:33  

    长久以来,国内很多中小型企业本着“先有业务,再有系统”的特性,专注业务的发展而忽略了网络信息系统的跟进。内部网络信息系统从“够用就好”慢慢 沦为“能用就行”,软硬件一直停滞不前,很多本是1.0的产品撑到了如今的3.0的时代,从而没有太大的动力去改造升级的动力。现如今,我们发现一般企业 信息化系统存在着如此普遍问题:

    1. 互联网接入速度缓慢,网络脆弱;硬件设备超年限服役,经常出现单点故障,断网等类故障频发。

    2. 用户电脑或服务器一旦中病毒或出现网络风暴,很容易蔓延,导致系统瘫痪,直接影响业务的连贯性和可用性。

    3. 备份策略不及时且恢复质量无法保证。

    4. IT技术传统且陈旧,无法实现远程甚至是移动办公。

    另一方面,不少企业顺应“互联网+”的大潮,快速开启并上马了类似O2O的各种在线和移动服务,利用Apps或HTML5等受理各种业务。虽然企业 一般能给网络信息系统方面投入有限,但面对这些来自内在和外在的倒逼,我们亟待在基于总体拥有成本(TCO)和投资回报率(ROI)的环境下,利用现有的 IT预算,构建并维护一个安全、稳定、可控、实用的网络信息系统,使企业保持竞争优势,实现可持续发展。

    举例来说,下面是我上次做项目的客户单位的现状。他们是一家拥有几个分支机构的中型企业,其对IT系统改进需求的民意调查结果如下,供大家“批判”一下:

    1. 建立安全、稳定的网络架构,总部与分支机构以IPSec的VPN方式进行网络连接。

    2. 安全网络部署,应用数据与系统保密性高,确保企业正常运行。

    3. 办公区域内无线接入点覆盖范围广、配置灵活,方便移动办公。

    4. 为出差的人员提供SSL的VPN方式。

    5. 网络架构便于升级和灵活拓展,有利于投资保护。

    爱思考爱总结的我一开始就抛出自己的总体设计与治理的思路和概念,我称之为一个基本具备P2DR2W模型(重新定义了业界的P2DR2安全模型的概 念哦!)。所谓P2DR2W模型其函括了六大部分,即Protection(防护)、Policy(策略)、Detection(检测)、 Recovery(恢复)Remote(远程)、和Wireless(无线)。其中,防护是安全的第一步,它包括安全设备的安装配置,安全技术的运用;策 略是指安全规则的制定;检测包括运用丰富的安全技术对各种入侵手段和异常行为的发现;恢复则是在系统发生灾难时所能采取的信息与服务的还原;而远程是指无 论一般用户还是运维人员都可远程使用和管理系统资源;最后是对无线—这个打破了传统网络边界的热门应用的管控。

    既然是廉环话(画),没图怎行!何况大家常说有图有真相,那么我先给一个典型信息网络系统的架构拓扑图,以方便我们直观的看图说话。

【廉环话】漫谈信息安全设计与治理之互联网接入设计

    如上图所示,这是一个三维度立体的系统架构。整个IT系统在功能上被分为外网和内网,外网分别与互联网和以VPN的方式与总部网络连接,而内网不允 许访问互联网,但需要和外网里的服务器做数据交换。在服务上,分为对外提供网站的信息发布和用户登录服务,对内提供员工日常上网和通过应用程序与总部信息 系统实现业务数据交换。在方式上,既实现固定工作位的有线接入,又满足各类用户的各类自带设备(BYOD)的无线连接与访问。

互联网接入设计

    互联网接入是整个IT系统与外部连接的出入口,一旦出现问题,企业将失去与外部网络的联系甚至会影响到正常运营。本人采用的“三ISP”的设计方 式,即向三大通信线路供应商(如:中国电信,中国联通和中国移动)租用上网线路,选择10M的带宽。通过设置,实现不同应用业务从各自的线路与外部连接并 实现互相备份。具体说来:将需要与其他区域办公室(或总部)协作的应用业务都通过一个ISP线路进出;该线路开启VPN建立数据通信的专有通道,以实现业 务数据的保密性。而另一条ISP线路供所内员工上网以及法律服务网站供公网访问。这两个ISP线路上的接入路由器上通过配置,实现任何一台设备出现故障时 自动热切换,不对正常的服务提供和用户上网造成影响。

    第三条ISP线路则是为员工和来访客人的各种自带无线设备上网所使用,与本所的日常业务无关,从而避免的外来设备及其异常上网行为给企业内网安全造成威胁。

    记得我早年备考CISSP的时候就常看到这么一句:“one mile wide, but just one inch   deep”,我想这个基调也可以运用到我们这个主题上的。读完这一期开篇,大家可能注意到了,我在这里和大家聊到并不是什么很高精尖的安全技术或理念,只 是将我们身边企业里典型且普遍采用的设计、运维以及治理的经验总结出来分享给大家,在某种意义上,可以说是“全都是套路”。

 

 

 

                                                                         ----文章来源:互联网

关闭窗口
通知公告 | 政策法规 | 中心简介

版权所有:黑龙江大学信息与网络中心 Copy Right @2015  IANBMC HU All Rights Reserved
地址:黑龙江省哈尔滨市南岗区学府路74号 电话:0451-86608011  技术支持:黑龙江大学信息与网络中心