【廉环话】漫谈信息安全设计与治理之应用网闸、远程访问与维护及行为管理审计设计

【.com 原创】各位好!想必各位看官通过“围观”廉哥的前两篇漫谈，已经慢慢开始抽丝剥茧，渐入佳境了。8过，套用Amazon老板贝索斯的一句话：“It’s still day one.”或者说“万里长征才都第一步!”让我们继续由老driver带信息安全路，新手童鞋们请快上车吧。

[[170512]]

1. 应用网闸设计

前文我们提到：各个企业特别是在线交易型企业本着“出名就乘早”的宗旨，纷纷上马O2O型互联网创新系统，而且是一副“根本停不下来”的样子。可是理性的网络架构师们应该冷静的考虑到数据流是通过架设在外网的门户网站，然后再传递并导入到内网数据库中。这就涉及到了信息从非信任网络向信任网络的单向流入。根据现有合规的要求，就算企业总裁多么霸道，也有责任和义务保证客户资料的CIA“机密性，完整性和未篡改性”，因此本人设计了在导入的路径上架设应用网闸(GAP)。

GAP的专用隔离交换单元受硬件电路控制高速切换，在任一瞬间仅连接内网或外网之一,并与之进行数据交换。外部数据到达GAP后，断开链路层并切断所有的TCP连接，GAP对应用层的数据按安全策略进行安全检查，因此能够保证数据的安全性并防止未知病毒的感染破坏;扫描完成后再将其转移到内网数据库中。通过GAP的信息摆渡保证了即使某个低安全级别区域出现了安全问题，其他安全域也不会受到影响。另外，由于GAP工作在硬件链路层上，切断了所有TCP、UDP、ICMP等各类协议的连接，因此它有效的阻断了例如基于TCP的木马以及未知的攻击。

从个人的设计和实施经验来看，使用此类产品的企业并不多，一般仅限于对网络安全和保密较高的电子政务、涉密等保、业务与办公内网等场合。说白了“安全第一、成本第二”的壕们。

2. 远程访问与维护设计

虽然在我们这个正在崛起的国度里，苦逼员工们熬夜加班已是各个行业常态，但随着移动办公和办公消费电子化的普及，这终将被“随时、随地、片段、分散”的处理工作方式所取代。因此远程接入的SSL 科学设备是网络系统中必不可少的“重炮手”。在拓扑结构上SSL 科学的部署一般采用旁路部署方式，将其直接与三层交换机组相连接。这样便可在不改变原有网络主体架构的状况下实现远程访问。SSL 科学设备使用基于应用层的SSL 科学协议进行数据加密处理，在客户终端与SSL 设备之间构建一条专有的安全通道。在SSL 科学设备上，通过“角色”的定义与设置，可以“细粒度”的进行用户、用户组与应用资源的绑定。

本人之所以在各种科学协议中选中SSL 科学，是因为SSL 内嵌在浏览器中，它不需要像传统IPSec 科学那样必须为每一台客户机安装客户端软件。因此用户只要通过其终端上的浏览器访问SSL 科学服务器所对应的网址(一般是以https形式出现)便可。这一点对于用户终端类型千差万别，且需要与公司机密信息相连接的用户来说是至关重要的。免去了无IT协助时远程客户端安装程序和配置的麻烦，实现了“零客户端”的架构。在运维方面，SSL 科学的应用模式也给IT部门人员提供了远程维护的便利通道，使之问题响应速度更迅捷，从而大幅提高整体工作效率，并节约人员来往的成本。

那么问题来了，也许你要弱弱的问，是不是IPSec 科学一无是处，可以退休去开轰趴了?非也!IPSec 科学在Site-Site的连接，比如说总部和分支机构，各个零售站点等网络层面的连接有先天优势。由于IPsec 科学是基于网络层的科学，它对所有的IP应用均透明，不需改写。只不过IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。

3. 行为管理审计设计

随着各大外企遵从各种行业法案的示范作用，不少国内企业也与时俱进加强了对内审和外审的重视程度。从耳濡目染的信息安全事件中，各个企业已经领悟到对所持资料的机密性非常重要，同时也有相关规范的制约和定期的审计要求。因此在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，本人的网络设计也考虑到了从内到外诸如审计、监控、访问跟踪、操作记录等问题，从而保证内部办公网络的统一管理、资源的合理利用、信息资产的不被泄漏，杜绝对不良网站和危险资源的访问，防止P2P之类软件的安全风险。在物理连接上本人选择将行为管理设备直接与三层交换机组以旁路的方式相连接，在交换机上配置镜像口将数据发送给上网行为管理。

另外，对于普遍只重视企业一般用户行为管理的情况，本人在设计中要求该设备将维护人员也纳入管理审计范围中。通过对服务器或网络、安全设备的运行日志进行精细化的管理，和对运维人员的各类操作进行记录甚至是录屏，以满足律所严格的合规相关要求。在发生意外时，对运维人员的过往操作实现有据可查。

和大家聊到这里，基本上企业网络的接入和主题架构里的硬件设计都给大家展示了。热心的观众如果有问道：异常流量清洗，甚至是负载均衡设备要不要加?我的建议很简单，如果还有预算，then why not?所以说在不破坏原有架构和功能运作的条件下，各种安全设备总是要有的，万一某个正好成功阻止了攻击呢?另外，骚年!要学会风险转接!你懂的!不要到出事了，再被老板给你color see see!关于信息系统的Wind Control(风控，我英语不好，你们别骗我!)我们会在后面的章节详解，咱不要一次聊那么多，产生“身体背掏空的感觉”嘛。

【.com 原创稿件，转载请注明作者及出处。】