【廉環話】漫談信息安全設計與治理之應用網閘、遠程訪問與維護及行為管理審計設計
原創【51CTO.com 原創】各位好!想必各位看官通過“圍觀”廉哥的前兩篇漫談,已經慢慢開始抽絲剝繭,漸入佳境了。8過,套用Amazon老板貝索斯的一句話:“It's still day one."或者說“萬里長征才都第一步!”讓我們繼續由老driver帶信息安全路,新手童鞋們請快上車吧。
1. 應用網閘設計
前文我們提到:各個企業特別是在線交易型企業本著“出名就乘早”的宗旨,紛紛上馬O2O型互聯網創新系統,而且是一副“根本停不下來”的樣子。可是理性的網絡架構師們應該冷靜的考慮到數據流是通過架設在外網的門戶網站,然后再傳遞并導入到內網數據庫中。這就涉及到了信息從非信任網絡向信任網絡的單向流入。根據現有合規的要求,就算企業總裁多么霸道,也有責任和義務保證客戶資料的CIA“機密性,完整性和未篡改性”,因此本人設計了在導入的路徑上架設應用網閘(GAP)。
GAP的專用隔離交換單元受硬件電路控制高速切換,在任一瞬間僅連接內網或外網之一,并與之進行數據交換。外部數據到達GAP后,斷開鏈路層并切斷所有的TCP連接,GAP對應用層的數據按安全策略進行安全檢查,因此能夠保證數據的安全性并防止未知病毒的感染破壞;掃描完成后再將其轉移到內網數據庫中。通過GAP的信息擺渡保證了即使某個低安全級別區域出現了安全問題,其他安全域也不會受到影響。另外,由于GAP工作在硬件鏈路層上,切斷了所有TCP、UDP、ICMP等各類協議的連接,因此它有效的阻斷了例如基于TCP的木馬以及未知的攻擊。
從個人的設計和實施經驗來看,使用此類產品的企業并不多,一般僅限于對網絡安全和保密較高的電子政務、涉密等保、業務與辦公內網等場合。說白了“安全第一、成本第二”的壕們。
2. 遠程訪問與維護設計
雖然在我們這個正在崛起的國度里,苦逼員工們熬夜加班已是各個行業常態,但隨著移動辦公和辦公消費電子化的普及,這終將被“隨時、隨地、片段、分散”的處理工作方式所取代。因此遠程接入的SSL VPN設備是網絡系統中必不可少的“重炮手”。在拓撲結構上SSL VPN的部署一般采用旁路部署方式,將其直接與三層交換機組相連接。這樣便可在不改變原有網絡主體架構的狀況下實現遠程訪問。SSL VPN設備使用基于應用層的SSL VPN協議進行數據加密處理,在客戶終端與SSL 設備之間構建一條專有的安全通道。在SSL VPN設備上,通過“角色”的定義與設置,可以“細粒度”的進行用戶、用戶組與應用資源的綁定。
本人之所以在各種VPN協議中選中SSL VPN,是因為SSL 內嵌在瀏覽器中,它不需要像傳統IPSec VPN那樣必須為每一臺客戶機安裝客戶端軟件。因此用戶只要通過其終端上的瀏覽器訪問SSL VPN服務器所對應的網址(一般是以https形式出現)便可。這一點對于用戶終端類型千差萬別,且需要與公司機密信息相連接的用戶來說是至關重要的。免去了無IT協助時遠程客戶端安裝程序和配置的麻煩,實現了“零客戶端”的架構。在運維方面,SSL VPN的應用模式也給IT部門人員提供了遠程維護的便利通道,使之問題響應速度更迅捷,從而大幅提高整體工作效率,并節約人員來往的成本。
那么問題來了,也許你要弱弱的問,是不是IPSec VPN一無是處,可以退休去開轟趴了?非也!IPSec VPN在Site-Site的連接,比如說總部和分支機構,各個零售站點等網絡層面的連接有先天優勢。由于IPsec VPN是基于網絡層的VPN,它對所有的IP應用均透明,不需改寫。只不過IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打開UDP500端口。
3. 行為管理審計設計
隨著各大外企遵從各種行業法案的示范作用,不少國內企業也與時俱進加強了對內審和外審的重視程度。從耳濡目染的信息安全事件中,各個企業已經領悟到對所持資料的機密性非常重要,同時也有相關規范的制約和定期的審計要求。因此在防御從外到內諸如病毒、黑客入侵、垃圾郵件的同時,本人的網絡設計也考慮到了從內到外諸如審計、監控、訪問跟蹤、操作記錄等問題,從而保證內部辦公網絡的統一管理、資源的合理利用、信息資產的不被泄漏,杜絕對不良網站和危險資源的訪問,防止P2P之類軟件的安全風險。在物理連接上本人選擇將行為管理設備直接與三層交換機組以旁路的方式相連接,在交換機上配置鏡像口將數據發送給上網行為管理。
另外,對于普遍只重視企業一般用戶行為管理的情況,本人在設計中要求該設備將維護人員也納入管理審計范圍中。通過對服務器或網絡、安全設備的運行日志進行精細化的管理,和對運維人員的各類操作進行記錄甚至是錄屏,以滿足律所嚴格的合規相關要求。在發生意外時,對運維人員的過往操作實現有據可查。
和大家聊到這里,基本上企業網絡的接入和主題架構里的硬件設計都給大家展示了。熱心的觀眾如果有問道:異常流量清洗,甚至是負載均衡設備要不要加?我的建議很簡單,如果還有預算,then why not?所以說在不破壞原有架構和功能運作的條件下,各種安全設備總是要有的,萬一某個正好成功阻止了攻擊呢?另外,騷年!要學會風險轉接!你懂的!不要到出事了,再被老板給你color see see!關于信息系統的Wind Control(風控,我英語不好,你們別騙我!)我們會在后面的章節詳解,咱不要一次聊那么多,產生“身體背掏空的感覺”嘛。
【51CTO.com 原創稿件,轉載請注明作者及出處。】
