背景

人物：廉哥，信息安全戰士大專畢業后就雄心勃勃的從中部二線城市來到魔都一線城市打拼。憑著一點點“工匠精神”，攜帶者CISSP和信息安全師等證，在信息安全領域摸爬滾打數載。多年來遍歷了各種IT項目從計劃、執行到完結，也“浸淫”內外部資源與風險的管控等各個安全環節。平時工作中，他開朗活潑，甚至有些talktive，經常熱心的把自己的一些經驗分享給周圍的小伙伴，并供大家探討。這次他跳到51CTO的廣闊的舞臺上，嘗試著和大家漫談信息安全的設計與治理。

大家千萬不要覺得這是一個挺高大上且技術門檻高的漫談。記得魯迅先生曾說過：把文章念給街坊老太能懂，即好文章。那么廉哥是以“好文章”的標準自居的，所以他會將枯燥的技術和幽默的語言雜糅在一起，遵從入門到深入的“學習曲線”，圖文并茂，寓教于樂，陪伴看官們漸入佳境。所以說小伙伴們不必屏氣凝神、正襟危坐的閱讀，完全可以一種“葛優躺”的方式點開該系列漫談。那么會不會談著聊著就沒有然后了?No!正所謂“教之道，貴以專”，他是有備而來，這里多的是“料”。大家大可放寬心，不會變成“太監貼”的，只要你愿意讀，他都會以親切的第一人稱和您連(廉)環話下去的。

引言

言歸正傳。小時候，無論是我們開始作文還是去讀一本書，老師都教我們要列提綱或者是看目錄。由此可見，提綱/目錄的重要性。為了彰顯廉哥對此主題的充分準備和重視程度，此處先張貼出draft好的提綱。(看官朋友們，你們的雞蛋和磚頭可以準備起來了。)

提綱

一. 技術層面

1. 互聯網接入設計

2. 安全套件設計

3. 應用網閘設計

4. 遠程訪問與維護設計

5. 行為管理審計設計

6. 無線覆蓋與管控設計

7. 備份與恢復設計

二. 管理層面

A. 人員管理

B. 項目管理

C. 資源管理

D. 運能管理

E. 財務管理

正文

長久以來，國內很多中小型企業本著“先有業務，再有系統”的特性，專注業務的發展而忽略了網絡信息系統的跟進。內部網絡信息系統從“夠用就好”慢慢淪為“能用就行”，軟硬件一直停滯不前，很多本是1.0的產品撐到了如今的3.0的時代，從而沒有太大的動力去改造升級的動力。現如今，我們發現一般企業信息化系統存在著如此普遍問題：

1. 互聯網接入速度緩慢，網絡脆弱;硬件設備超年限服役，經常出現單點故障，斷網等類故障頻發。

2. 用戶電腦或服務器一旦中病毒或出現網絡風暴，很容易蔓延，導致系統癱瘓，直接影響業務的連貫性和可用性。

3. 備份策略不及時且恢復質量無法保證。

4. IT技術傳統且陳舊，無法實現遠程甚至是移動辦公。

另一方面，不少企業順應“互聯網+”的大潮，快速開啟并上馬了類似O2O的各種在線和移動服務，利用Apps或HTML5等受理各種業務。雖然企業一般能給網絡信息系統方面投入有限，但面對這些來自內在和外在的倒逼，我們亟待在基于總體擁有成本(TCO)和投資回報率(ROI)的環境下，利用現有的IT預算，構建并維護一個安全、穩定、可控、實用的網絡信息系統，使企業保持競爭優勢，實現可持續發展。

舉例來說，下面是我上次做項目的客戶單位的現狀。他們是一家擁有幾個分支機構的中型企業，其對IT系統改進需求的民意調查結果如下，供大家“批判”一下：

1. 建立安全、穩定的網絡架構，總部與分支機構以IPSec的VPN方式進行網絡連接。

2. 安全網絡部署，應用數據與系統保密性高，確保企業正常運行。

3. 辦公區域內無線接入點覆蓋范圍廣、配置靈活，方便移動辦公。

4. 為出差的人員提供SSL的VPN方式。

5. 網絡架構便于升級和靈活拓展，有利于投資保護。

愛思考愛總結的我一開始就拋出自己的總體設計與治理的思路和概念，我稱之為一個基本具備P2DR2W模型(重新定義了業界的P2DR2安全模型的概念哦!)。所謂P2DR2W模型其函括了六大部分，即Protection(防護)、Policy(策略)、Detection(檢測)、Recovery(恢復)Remote(遠程)、和Wireless(無線)。其中，防護是安全的第一步，它包括安全設備的安裝配置，安全技術的運用;策略是指安全規則的制定;檢測包括運用豐富的安全技術對各種入侵手段和異常行為的發現;恢復則是在系統發生災難時所能采取的信息與服務的還原;而遠程是指無論一般用戶還是運維人員都可遠程使用和管理系統資源;最后是對無線—這個打破了傳統網絡邊界的熱門應用的管控。

既然是廉環話(畫)，沒圖怎行!何況大家常說有圖有真相，那么我先給一個典型信息網絡系統的架構拓撲圖，以方便我們直觀的看圖說話。

如上圖所示，這是一個三維度立體的系統架構。整個IT系統在功能上被分為外網和內網，外網分別與互聯網和以VPN的方式與總部網絡連接，而內網不允許訪問互聯網，但需要和外網里的服務器做數據交換。在服務上，分為對外提供網站的信息發布和用戶登錄服務，對內提供員工日常上網和通過應用程序與總部信息系統實現業務數據交換。在方式上，既實現固定工作位的有線接入，又滿足各類用戶的各類自帶設備(BYOD)的無線連接與訪問。

互聯網接入設計

互聯網接入是整個IT系統與外部連接的出入口，一旦出現問題，企業將失去與外部網絡的聯系甚至會影響到正常運營。本人采用的“三ISP”的設計方式，即向三大通信線路供應商(如：中國電信，中國聯通和中國移動)租用上網線路，選擇10M的帶寬。通過設置，實現不同應用業務從各自的線路與外部連接并實現互相備份。具體說來：將需要與其他區域辦公室(或總部)協作的應用業務都通過一個ISP線路進出;該線路開啟VPN建立數據通信的專有通道，以實現業務數據的保密性。而另一條ISP線路供所內員工上網以及法律服務網站供公網訪問。這兩個ISP線路上的接入路由器上通過配置，實現任何一臺設備出現故障時自動熱切換，不對正常的服務提供和用戶上網造成影響。

第三條ISP線路則是為員工和來訪客人的各種自帶無線設備上網所使用，與本所的日常業務無關，從而避免的外來設備及其異常上網行為給企業內網安全造成威脅。

記得我早年備考CISSP的時候就常看到這么一句：“one mile wide, but just one inch deep”，我想這個基調也可以運用到我們這個主題上的。讀完這一期開篇，大家可能注意到了，我在這里和大家聊到并不是什么很高精尖的安全技術或理念，只是將我們身邊企業里典型且普遍采用的設計、運維以及治理的經驗總結出來分享給大家，在某種意義上，可以說是“全都是套路”。如今我們都養成了夜深人靜之時追美劇or追韓劇的習慣。最近貌似追劇的空檔期，大家就不要去圍觀什么“辣眼睛”的神劇了，來抽空追一下咱這個系列專題吧。相信愛看廉環話的同學運氣都不會差。我也更期待乃們的神回復哦!