首页  网站建设  网站优化  服务项目  建站案例  新闻资讯  关于我们  联系我们
菜单

关于企业网络安全建设的一些思路

  • 文章来源:网站网络安全建设
  • 文章作者:济南企业网站建设
  • 时间:2019-08-22
  • 浏览:102

前几年网络安全感觉高高在上,似乎离自己很远,无非是想着盗个号,破个QQ空间密码啥的;最近一两年,感觉网络安全总是伴随着工作和生活的左右。哪怕是非IT人员,日常生活中也面临着账号被盗、扫描到有问题的二维码、个人信息泄露、点击恶意链接等事件。从企业角度来讲,最头疼的大概就是勒索病毒了吧。但是企业的网络安全是一个比较大的话题,不只是一个勒索病毒或是网站被篡改,用比较学术一点的话来讲,网络安全已是一门专业的工程学科,是一门科学。
网络安全的实际工作接触也有两三年的时间了,想从不太专业的角度为大家剖析企业网络安全建设的思路,所谓不太专业实际是指并未精通网络安全渗透、攻防技巧等,仅局限在能用和能看懂的层次,但这并不阻碍我作为一名IT运维负责人(实际上最近两年的时间里,我是直接负责企业网络安全工作的,也经历过重大活动的网络安全重保)或是系统架构师的角色来剖析网络安全,相反,我觉得我的思路可能更偏重全局观,正所谓,不谋全局者不足以谋一隅,也许我的观点和思路会为大家带来一定的收获。
本文行文思路计划如下:
定范围:首先以我的理解角度介绍什么是网络安全以及的所涵盖的范围;
定准则:结合实际经验介绍网络安全设计、实施的准则;
定架构:从企业整体角度设计和架构网络安全体系;
定计划:介绍如何制定落地实施计划以及注意项;
一、什么是网络安全
什么是网络安全,这个概念真的很大。且不管百度、谷歌以及各家行规标准的定义如何,从我个人理解上来看(其实我参考过百度、谷歌、相关法律法规、专家书籍等),定义网络安全可以分两个层次:
,首先是狭义上的网络安全
狭义的网络安全简单来说就是字面意思,网络的安全,即保障网络不被破坏。如何保障?最简单,也许也是最有效的方式是采购网络安全设备,如:防火墙、防毒墙等,设备采购了并不是万事大吉,还需要设置策略,而策略并不是一次设置,万事OK的,需要根据实际运行情况不断的调整优化。OK,截至目前,狭义上的网络安全大致可以按照这样理解:依托网络安全设备和安全策略,保障网络不被破坏,实现网络安全持续可用。实际上这种状态往往处于被动防守的地步,属于挨揍阶段,甚至挨了揍还不知道哪里疼。
这个狭义的网络安全我们可以在扩宽一些,怎么扩展呢?两个方面:一是设置网络这条主链路长一些,增加更多的安全设备和安全策略,划分更为详细的网络区域等等;另一个方面增加安全的涵盖面,让网络安全中的“网络”包括终端、包括应用,包括数据库等等,相应的安全设备也增加,安全策略也更加复杂。此时虽然还属于被动防御的处境,但是由于网络区域的划分,相应安全设备的设立,网络主链路上层层设槛(有点纵深防御的意思了),挨揍的揍少了,差不多也能知道哪里疼了。此时,网络安全的重心由网络到应用层面
其实,我们还可以在把这个狭义的网络安全扩宽、扩大一些,怎么搞?还是技术方面入手,增加一些审计、分析类安全设备,如数据库审计、日志分析平台、网络流量分析、态势感知平台等,通过增加这些审计类、分析类的设备,让我们对企业网络安全(包括终端安全、应用安全、数据库安全等)的运行情况有一个可视化的透析,甚至可以做一些漏洞扫描、风险评估,提前将可能挨揍的地方穿上盔甲,同时即使挨了揍,也能知道那里疼。
技术无穷尽,网络安全由最初的确保网络的安全,到确保应用的安全、确保数据的安全。数据是企业的核心资产,应用是数据库生产和使用的工具;数据库、文件服务器等是数据的载体;网络是连接数据生产者、消费者和数据的桥梁,落实到最根本的就是确保数据安全。而确保数据安全又可以概括为确保数据持续可用(网络持续可用、应用持续可用、数据库持续可用等)、数据不泄露、数据不篡改等。专业一些的有称为:数据保密性、完整性、可用性、真实性和可控性(有的还有可审查性、可追溯性等)。
,广义的网络安全
企业网站建设公司上面一直讲的都是狭义的网络安全,相信大家也能看出所谓狭义不过是主要指只关注网络安全的技术维度罢了,对企业来讲,要面对和管理网络安全(后面的网络安全都不只是网络的安全,还包括应用、数据库、数据、文件等的安全),只有技术是不够的,还需要安全管理相关。这包括对组织架构、对人、对项目全过程、对规则制定等的安全管理。安全管理也是涉及比较多的方面,整体上参考等级保护建立安全管理体系是没问题的。技术加管理,可以是一种比较完善的网络安全定义。其实在国家网络安全等保方面,对于网络安全所覆盖的面也是比较精准的,参考如下:
在回归到第一章要实现的目标,即定范围。通过理解网络安全的定义(技术维度、管理维度)结合实际工作经验,我所总结的网络安全范围大致如下:
很多,但是不要慌,企业做网络安全,尤其是中大型企业,这不算多的。攻防两方的先天条件决定了,作为防守一方的企业处在不对等的地位,所做的工作多而全。回归到文章主题,经过上面的描述,已经知晓了网络安全的工作范围,那具体怎么规划设计和落地展开呢?不急,先看一些方法论和设计原则。这其实挺有效的,有原则,有方法,这样在设计和落地的时候不至于乱,一直保持全局观来执行面面点点,平稳推进网络安全的建设和发展。
关于企业网络安全建设的一些思路
二、网络安全原则及方法论
,网络安全设计和实施原则
首先在进行网络安全设计的时候,建议兼顾以下原则:
(1)符合性原则:网络安全的建设符合网络安全法及国家其他安全相关法律法规的要求;
(2)适度安全原则:安全防护工作的根本性原则是指安全防护工作应根据重要信息系统的安全等级,平衡效益与成本,采取适度的安全技术和管理措施;
(3)可控性原则:可控性包括对人员的可控性、使用工具的可控性,避免引入新的风险。同时还要对整个安全运行过程的可控性;
(4)最小影响原则:从项目管理层面和技术管理层面,项目的实施过程对信息系统正常运行的影响降低到最低限度,以确保日常业务的正常运行;
(5)保密性原则:相关安全防护工作人员将签署保密协议,承诺对所进行的安全防护工作保密,确保不泄露重要信息系统安全防护工作的重要和敏感信息。
,网络安全设计方法论
网络安全设计和实施的方法有很多种,设计的原则也包括很多,如:纵深防御原则、多维防御原则、降维防御原则、业务无感知原则等,这里我介绍两种觉得不错的思路:
一种是基于网络安全等保要求的建设思路。这个其实也是契合上面第一条符合性原则的。比较适合技术实力相对弱一些的传统型公司,按照这种思路建设,相对会中规中矩一些;可以按照等保二级或等保三级的要求,从网络安全技术和网络安全管理两个维度出发,运用设备和策略结合管理体系制度,实现企业网络安全的建设和持续运营。
另一种思路总结起来八个字:纵深防御,持续运营。即接下来第三部分。该思路严格来说,跟上面差不多,都是设备、技术、管理等。其实企业在进行网络安全建设和运营的时候,套路真的差不多,关键看执行力度。
三、企业网络安全架构设计
本章开始,介绍企业网络安全整体架构设计,首先架构图:
四、落地
架构落地需要进过进一步的详细设计如网络分区、安全设备位置等、设备参数、服务要求明细等同时还要制定落地计划,分批次进行,有先后重点。
五、关于云计算中的安全设计
Copyright © 2011-2019 山东塞尼铁克网络科技有限公司AII Rights Reserved. Powered by Yongsy