網絡安全的基礎在于區域的劃分�����。當我們根據業務和管理需要����,將企業網絡劃分為多個安全區域后�����,就可以有針對性的對不同區域進行安全防護��。
那么根據什么標準劃分區域呢�?參見第二頁的“信息安全整體解決方案”圖示����。
我們將企業網劃分為十個區域:內網隔離區,工業生產區(非制造型企業沒有)�,互聯網邊界防御區�����,數據中心(對外),辦公區����,云平臺\虛擬化區�����,數據中心(內部)����,安全運維區,云端服務區和分支機構。
上述每個區域���,我們都將使用不同的手段來保障網絡層面的數據安全。
內網隔離區(工業生產區),一般是指企業內部的核心生產區域或者核心數據產生區。這個區域平時不容許有任何無關的網絡數據進入,因此控制的核心是單向網閘或者雙向網閘���,將無關的數據阻擋在隔離區之外。
而進入隔離區的數據,同樣需要經過IPS�����,漏洞掃描���,準入控制����,病毒檢測,行為審計等等安全設備層層過濾后,才進入業務系統����。
互聯網邊界防御區�,一般是企業對外提供公共訪問服務(如:宣傳網站�����,公共會員服務���,公共查詢服務等等)的區域��。該區域直接面向全球互聯網,也是最容易受到非法攻擊的區域。因此��,在該區域我們一般會部署多層防御機制����。包括:防拒絕服務攻擊(DDoS)設備����,負載均衡設備,下一代防火墻���,Web應用防火墻,流量控制等安全設備���。
同時,為了對外服務不間斷運行��,上述設備都會采用雙機模式部署���,防止單點失效���。
而對外服務產生的數據都將存放在對外數據中心的數據庫中����。為了防止公共數據受到非法入侵和篡改��。我們將在對外數據中心部署:數據庫審計,數據備份��,Web應用防火墻�,網頁防篡改以及基本的下一代防火墻。
如果需要對外提供電子郵件服務���,我們還將在電子郵件服務器前端部署反垃圾郵件網關,抵御垃圾郵件的侵擾。在后端部署郵件歸檔系統�����,對舊郵件實現歸檔保存����,降低郵件服務器負荷���。
辦公區�、云平臺\虛擬化去、數據中心(內部)和安全運維區��,這四個區域是企業網內部的主要區域���。
其中:
辦公區:是企業員工的主要辦公場所�,為這個區域提供安全穩定的上網環境是這個區域的主要任務。我們通過下一代防火墻來抵御來自外接的惡意訪問行為���。同時,該區域也是企業資料泄露的主要區域���,我們在該區域重點防范員工的非法上網行為和資料外發導致的數據泄露行為。
云平臺\虛擬化區:現在企業在內部部署了大量的私有云平臺�,例如文件云�����,桌面云等等。而內部業務系統也不再使用物理服務器�,大量使用了虛擬化的服務器�。那么為了保障云平臺和虛擬化環境的安全�����,我們會在該區域部署繼續云平臺的虛擬化防火墻和Web應用防火墻��,來保障虛擬網絡的網絡安全。
數據中心(內部):企業的內部數據中心����,是企業生產經營數據的主要存放地。那么下一代防火墻和Web應用防火墻能有效的低于從三層直至七層的攻擊和嗅探行為,保障企業數據的安全可靠���。
安全運維區:僅有了保障網絡安全的手段,對網絡安全的管理者來說是遠遠不夠的。他們需要實時掌握網絡中每一次訪問對企業網絡和業務系統產生的影響�,他們需要知道過去的一分鐘���,一個小說���,一個月�,究竟有多少合法訪問���,有多少非法訪問�����;需要知道未來需要對網絡作出什么樣的調整���,才能應對花樣百出的安全風險����。因此��,安全運維區將為網絡的管理者提供一個這樣的平臺:從每條細致的日志收斂到一次完整的訪問行為�����,從多個訪問行為追根溯源����,追蹤到相應的合法或非法的訪問記錄�。
云端服務區,分支機構�����,移動用戶和企業總部����,四個區域一起組成了一個完整的企業網絡延伸區域��。
部署在遠端云平臺(例如:阿里云�,騰訊云�,360云等等)上面的業務系統為企業提供一個靈活伸縮的外部環境。
而分支機構和移動用戶,作為企業生產力的延伸,它們可以分別通過IP Sec VPN和SSL VPN兩種安全鏈路���,與企業網之間建立安全的數據隧道,使在其中傳遞的業務數據得到安全保障。同時還降低了不同網絡協議帶來的兼容性問題����。對網絡協議和網絡波動比較敏感的視頻會議等系統��,也能穩定高效的運行。
