網(wǎng)絡安全的基礎在于區(qū)域的劃分。當我們根據(jù)業(yè)務和管理需要���,將企業(yè)網(wǎng)絡劃分為多個安全區(qū)域后�,就可以有針對性的對不同區(qū)域進行安全防護���。
那么根據(jù)什么標準劃分區(qū)域呢��?參見第二頁的“信息安全整體解決方案”圖示��。
我們將企業(yè)網(wǎng)劃分為十個區(qū)域:內(nèi)網(wǎng)隔離區(qū)���,工業(yè)生產(chǎn)區(qū)(非制造型企業(yè)沒有)����,互聯(lián)網(wǎng)邊界防御區(qū)�����,數(shù)據(jù)中心(對外),辦公區(qū)�����,云平臺\虛擬化區(qū)�����,數(shù)據(jù)中心(內(nèi)部)��,安全運維區(qū)�����,云端服務區(qū)和分支機構(gòu)���。
上述每個區(qū)域�,我們都將使用不同的手段來保障網(wǎng)絡層面的數(shù)據(jù)安全����。
內(nèi)網(wǎng)隔離區(qū)(工業(yè)生產(chǎn)區(qū)),一般是指企業(yè)內(nèi)部的核心生產(chǎn)區(qū)域或者核心數(shù)據(jù)產(chǎn)生區(qū)。這個區(qū)域平時不容許有任何無關的網(wǎng)絡數(shù)據(jù)進入���,因此控制的核心是單向網(wǎng)閘或者雙向網(wǎng)閘��,將無關的數(shù)據(jù)阻擋在隔離區(qū)之外�。
而進入隔離區(qū)的數(shù)據(jù)����,同樣需要經(jīng)過IPS,漏洞掃描���,準入控制��,病毒檢測�,行為審計等等安全設備層層過濾后�����,才進入業(yè)務系統(tǒng)��。
互聯(lián)網(wǎng)邊界防御區(qū)���,一般是企業(yè)對外提供公共訪問服務(如:宣傳網(wǎng)站,公共會員服務,公共查詢服務等等)的區(qū)域��。該區(qū)域直接面向全球互聯(lián)網(wǎng)�,也是最容易受到非法攻擊的區(qū)域。因此�,在該區(qū)域我們一般會部署多層防御機制。包括:防拒絕服務攻擊(DDoS)設備����,負載均衡設備,下一代防火墻����,Web應用防火墻,流量控制等安全設備�����。
同時�,為了對外服務不間斷運行,上述設備都會采用雙機模式部署�,防止單點失效。
而對外服務產(chǎn)生的數(shù)據(jù)都將存放在對外數(shù)據(jù)中心的數(shù)據(jù)庫中�。為了防止公共數(shù)據(jù)受到非法入侵和篡改。我們將在對外數(shù)據(jù)中心部署:數(shù)據(jù)庫審計���,數(shù)據(jù)備份�,Web應用防火墻,網(wǎng)頁防篡改以及基本的下一代防火墻�。
如果需要對外提供電子郵件服務,我們還將在電子郵件服務器前端部署反垃圾郵件網(wǎng)關�����,抵御垃圾郵件的侵擾�。在后端部署郵件歸檔系統(tǒng),對舊郵件實現(xiàn)歸檔保存�,降低郵件服務器負荷。
辦公區(qū)�����、云平臺\虛擬化去�����、數(shù)據(jù)中心(內(nèi)部)和安全運維區(qū)����,這四個區(qū)域是企業(yè)網(wǎng)內(nèi)部的主要區(qū)域���。
其中:
辦公區(qū):是企業(yè)員工的主要辦公場所�,為這個區(qū)域提供安全穩(wěn)定的上網(wǎng)環(huán)境是這個區(qū)域的主要任務。我們通過下一代防火墻來抵御來自外接的惡意訪問行為����。同時,該區(qū)域也是企業(yè)資料泄露的主要區(qū)域�����,我們在該區(qū)域重點防范員工的非法上網(wǎng)行為和資料外發(fā)導致的數(shù)據(jù)泄露行為����。
云平臺\虛擬化區(qū):現(xiàn)在企業(yè)在內(nèi)部部署了大量的私有云平臺,例如文件云�,桌面云等等。而內(nèi)部業(yè)務系統(tǒng)也不再使用物理服務器��,大量使用了虛擬化的服務器���。那么為了保障云平臺和虛擬化環(huán)境的安全���,我們會在該區(qū)域部署繼續(xù)云平臺的虛擬化防火墻和Web應用防火墻,來保障虛擬網(wǎng)絡的網(wǎng)絡安全���。
數(shù)據(jù)中心(內(nèi)部):企業(yè)的內(nèi)部數(shù)據(jù)中心����,是企業(yè)生產(chǎn)經(jīng)營數(shù)據(jù)的主要存放地。那么下一代防火墻和Web應用防火墻能有效的低于從三層直至七層的攻擊和嗅探行為�,保障企業(yè)數(shù)據(jù)的安全可靠。
安全運維區(qū):僅有了保障網(wǎng)絡安全的手段����,對網(wǎng)絡安全的管理者來說是遠遠不夠的。他們需要實時掌握網(wǎng)絡中每一次訪問對企業(yè)網(wǎng)絡和業(yè)務系統(tǒng)產(chǎn)生的影響�����,他們需要知道過去的一分鐘�,一個小說,一個月�,究竟有多少合法訪問,有多少非法訪問���;需要知道未來需要對網(wǎng)絡作出什么樣的調(diào)整��,才能應對花樣百出的安全風險�。因此���,安全運維區(qū)將為網(wǎng)絡的管理者提供一個這樣的平臺:從每條細致的日志收斂到一次完整的訪問行為��,從多個訪問行為追根溯源�����,追蹤到相應的合法或非法的訪問記錄�����。
云端服務區(qū)�,分支機構(gòu)����,移動用戶和企業(yè)總部,四個區(qū)域一起組成了一個完整的企業(yè)網(wǎng)絡延伸區(qū)域����。
部署在遠端云平臺(例如:阿里云,騰訊云��,360云等等)上面的業(yè)務系統(tǒng)為企業(yè)提供一個靈活伸縮的外部環(huán)境����。
而分支機構(gòu)和移動用戶�,作為企業(yè)生產(chǎn)力的延伸����,它們可以分別通過IP Sec VPN和SSL VPN兩種安全鏈路,與企業(yè)網(wǎng)之間建立安全的數(shù)據(jù)隧道���,使在其中傳遞的業(yè)務數(shù)據(jù)得到安全保障����。同時還降低了不同網(wǎng)絡協(xié)議帶來的兼容性問題��。對網(wǎng)絡協(xié)議和網(wǎng)絡波動比較敏感的視頻會議等系統(tǒng)�����,也能穩(wěn)定高效的運行���。
