IT基礎架構規劃方案一(網路系統規劃)
阿新 • • 發佈:2019-01-22
網路安全規劃
網路安全是整個系統安全執行的基礎,是保證系統安全執行的關鍵。網路系統的安全需求包括以下幾個方面:
Ø 網路邊界安全需求
Ø 入侵監測與實時監控需求
Ø 安全事件的響應和處理需求分析
這些需求在各個應用系統上的不同組合就要求把網路分成不同的安全層次。
我們針對企業網路層的安全策略採用硬體保護與軟體保護,靜態防護與動態防護相結合,由外向內多級防護的總體策略。
根據安全需求和應用系統的目的,整個網路可劃分為六個不同的安全層次。具體是:
Ø 核心層:核心資料庫;
Ø 安全層:應用資訊系統中介軟體伺服器等應用;
Ø 基本安全層:內部區域網使用者;
Ø 可信任層:公司本部與營業部網路訪問介面;
Ø 危險層:Internet。
資訊系統各安全域中的安全需求和安全級別不同,網路層的安全主要是在各安全區域間建立有效的安全控制措施,使網間的訪問具有可控性。具體的安全策略如下:
核心資料庫採用物理隔離策略
應用系統採用分層架構方式,客戶端只需要訪問中介軟體伺服器即可進行日常業務處理,從物理上不能直接訪問資料庫伺服器,保障了核心層資料的高度安全。
應用系統中介軟體伺服器採取綜合安全策略:
應用系統中介軟體的安全隱患主要來自區域網內部,為了保障應用系統中介軟體服務的安全,在區域網中可通過劃分虛擬子網對各安全區域、使用者和安全域間實施安全隔離,提供子網間的訪問控制能力。同時,中介軟體伺服器本身可以通過配置相應的安全策略,限定經過授權的工作站、使用者方能訪問系統服務,保障了中介軟體伺服器的安全性;
內部區域網採取資訊保安策略:
公司本部及營業部內部區域網處於基本安全層的網路,主要是對於安全防護能力較弱的終端使用者在使用,因此考慮的重點在於兩個方面,一個是客戶端的病毒防護,另一個是防止內部敏感資訊的對外洩露。因此,通過選用網路防毒軟體達到內部區域網的病毒防護,同時,使用專用網路安全裝置(如硬體防火牆)建立起有效的安全防護,通過訪問控制ACL等安全策略的配置,有效地控制內部終端使用者和外部網路的資訊交換,實現內部區域網的資訊保安。
公司本部與下屬機構之間網路介面採取通訊安全策略:
處於可信任層的網路,其安全主要考慮各下屬單位上傳的業務資料的保密安全,因此,可採用資料層加密方式,通過硬體防火牆提供的VPN隧道進行加密,實現關鍵敏感性資訊在廣域網通訊通道上的安全傳輸。
Internet採取通訊加密策略:
Internet屬於非安全層和危險層,由於Internet存在著大量的惡意攻擊,因此考慮的重點是要避免涉密資訊在該層次中的流動。通過硬體防火牆提供專業的網路防護能力,並對所有訪問請求進行嚴格控制,對所有的資料通訊進行加密後傳輸。
同時,建議設定嚴格的機房管理制度,嚴禁非授權的人員進入機房,也能夠進一步提升整個網路系統的安全。
1) 廣域網安全規劃
企業廣域網安全,主要是通過防火牆和VPN等裝置或技術來保障。
防火牆對流經它的網路通訊進行掃描,能夠過濾掉一些攻擊,防火牆還可以關閉不使用的埠,防火牆具有很好的保護作用,入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機,所以出於安全考慮,企業必須購置防火牆以保證其伺服器安全,將應用系統伺服器放置在防火牆內部專門區域。一般硬體防火牆比軟體防火牆的效能更好,建議選擇企業級的硬體防火牆,硬體防火牆市場知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、華為賽門鐵克、聯想網禦等,使用者應根據應用情況選擇合適的防火牆。
VPN 即虛擬專用網(Virtual Private Networks) 提供了一種通過公共非安全介質(如Internet)建立安全專用連線的技術。使用VPN技術,甚至機密資訊都可以通過公共非安全的介質進行安全傳送。VPN技術的發展與成熟,可為企業的商業運作提供一個無處不在的、可靠的、安全的資料傳輸網路。VPN通過安全隧道建立一個安全的連線通道,將分支機構、遠端使用者、合作伙伴等和企業網路互聯,形成一個擴充套件的企業網路。
VPN基本特徵:
Ø 使企業享受到在專用網中可獲得的相同安全性、可靠性和可管理性。
Ø 網路架構彈性大——無縫地將Intranet延伸到遠端辦事處、移動使用者和遠端工作者。
Ø 可以通過Extranet連線企業合作伙伴、供應商和主要客戶(建立綠色資訊通道),以提高客戶滿意度、降低經營成本。