如何设计一个安全的企业网络企业网络的安全设计包括风险确定、模型设计、安全成本控制等等。本文将从几个关键点方面向读者介绍如何设计一个企业的安全网络。 网络设计模型 为了更清晰的描述整体设计好坏是如何影响系统安全的,我们以购物商场和机场设计为例。在一个购物商场里,为了使进出尽可能的方便,设计了很多入口和出口。然而大量的出入口使得对商场出入控制的成本提高且难度加大。在各出入口都需要有安检措施,识别和阻止不受欢迎的人。此外,安检并非唯一的安全措施,在各种措施部署完成后,每种措施必须保持正确配置和更新,以确保未经授权的人无法随意通过商场。 相比商场来说,一个机场的设计旨在让所有乘客通过少量且严格的检查站接受检查。购物中心的网络设计模型本质上比机场周围网络的设计模型难以设计。有大量互联的网络安全设计本质上难度更大,因为有大量访问控制机制(诸如防火墙)必须部署和维护。 机场的设计并不仅仅考虑在一个航站楼内对旅客的检查。总的来说,机场采用高度分区分域的设计,有人需要通过任意两个区域都需要进行安全检查。并非所有的检查都是显式的,一些监控手段是被动的,包括摄像头和机场便衣警员。在主要的航站楼和门区以及门区和飞机之间有显式的检查点,在机场内部同样有安检措施,机场员工进入内部区域需要有特定的钥匙,如行李间和停机坪等区域。 一般大城市机场都有多个航站楼分流旅客,这样减少了安全问题在单个航站楼的影响面。这些更小、有更高的安全性的航站楼可以有更严格的安全检查,并可以满足旅客不同级别的安全需求。允许乘客用不同的安全要求,如政治家和囚犯可被安全隔离,降低了某些人群对其他人可能造成的安全风险。所有这些因素可以转化为网络设计思想,如通过防火墙和认证系统控制网络数据传输,利用网络隔离不同的敏感级别的网络数据,以及通过监测系统来检测未经授权的活动。 设计一个合适的网络 人们对网络总会有众多的需求和期望,如满足甚至超越组织对可用性和性能的要求,提供一个有利于保护网络敏感资产的平台,并能与其他网络高效和安全的互联。最重要的是,网络总体设计必须提供可扩展能力,支持将来对网络需求。正如之前对机场和购物商场的类比,整体网络设计会影响组织提供与该网络存在风险相称的安全防护水平的能力。 为了设计和维护一个符合用户需求的网络,网络架构师和工程师必须充分理解用户需要什么。最好的办法是让那些构架师和工程师参与应用开发的过程。尽早参与开发周期的全过程,工程师可以提出更安全的设计和网络拓扑,并能保证项目团队对安全考虑和能力有一个清晰的认识。此外,他们可以确保新项目能够更好的兼容现有的企业基础设施。 获得这类信息的一般方法包括与项目干系人、应用程序和系统所有者、开发者、管理层和用户会面。对于新项目的性能、安全性、可用性、预算和总体重要性,理解他们的期望和需求是十分重要的。充分理解这些因素将确保项目目标符合需求,并在设计中考虑合适的网络性能优化和安全控制机制。在网络实施过程中的一个最普遍的问题是由于假设的不同导致未满足预期的目标。这就是为什么预期应该尽可能多的分解成相互看得见的(可测量)尽可能多的事实,所以安全设计师要保证任何功能建议都有清晰易懂并且被签署的显式协议。 控制安全的成本 实施安全控制机制是需要费用的,包括购买、部署和运维等,并且实现这些系统的冗余方式会显著增加成本。为一个系统或网络考虑适当的冗余和安全控制机制时,可创建一系列负面场景如发生安全漏洞或系统停运,这有助于确定组织在每次事件所花费的成本。这种风险模型方法能够帮助管理者确定各种安全控制机制对于公司的价值所在。 例如,修复一个安全漏洞或在非工作日处理系统中断事件产生了哪些费用?一定要包括直接损失,例如销售损失、生产率降低、更换费用等,同时也要考虑间接损失,例如组织声誉受损、品牌力下降、客户信心下降等。根据预期损失的估算值,公司可确定合适的支出水平。例如,花费20万美元升级交易系统实现99.999%的可用性,也许表面上看起来过于昂贵,但如果系统宕机可能造成公司每小时25万美元的损失,这笔费用就显得微不足道了。 责编:李玉琴  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
