【51CTO.com 綜合報(bào)道】廣域網(wǎng)安全建設(shè)的特點(diǎn)分析

在企業(yè)的廣域網(wǎng)建設(shè)過(guò)程中，分布在不同位置的遠(yuǎn)程企業(yè)分支作為廣域網(wǎng)絡(luò)的重要組成部分，是客戶完成與企業(yè)大多數(shù)業(yè)務(wù)往來(lái)的主要場(chǎng)所。從政府、金融銀行、大企業(yè)、零售業(yè)等行業(yè)來(lái)看，其分支機(jī)構(gòu)都在想方設(shè)法提升分支機(jī)構(gòu)的辦事效率，增強(qiáng)分支機(jī)構(gòu)的多業(yè)務(wù)支持能力，以便在降低成本的同時(shí)滿足客戶對(duì)更多元化服務(wù)的需要。而安全的廣域網(wǎng)分支建設(shè)，又是各項(xiàng)業(yè)務(wù)能否正常開(kāi)展的關(guān)鍵環(huán)節(jié)，和企業(yè)園區(qū)網(wǎng)絡(luò)的建設(shè)不同，企業(yè)廣域網(wǎng)遠(yuǎn)程分支的安全建設(shè)有其自身的特點(diǎn)。

(i) 認(rèn)證鑒權(quán)方面的需求多樣性

和企業(yè)總部局域網(wǎng)園區(qū)接入環(huán)境相比，各廣域分支在認(rèn)證鑒權(quán)方面有其特有的要求。在局域網(wǎng)園區(qū)接入環(huán)境下，員工的辦公地點(diǎn)相對(duì)固定，局域網(wǎng)為其網(wǎng)絡(luò)接入方式，這意味著可以實(shí)現(xiàn)統(tǒng)一的認(rèn)證授權(quán)管理方式。而廣域網(wǎng)分支辦事處因?yàn)楣ぷ餍再|(zhì)的關(guān)系，員工可能缺乏固定的網(wǎng)絡(luò)接入點(diǎn)，部分員工還存在遠(yuǎn)程辦公的需求。因此在認(rèn)證方式上必然存在多種形式，除了基礎(chǔ)的802.1X或portal認(rèn)證方式之外，還可能存在L2TP+IPSec 以及SSL VPN等遠(yuǎn)程接入方式，或者是需要考慮如何在MPLS的環(huán)境下實(shí)現(xiàn)接入認(rèn)證等。

各類不確定的認(rèn)證方式必然帶來(lái)管理上的復(fù)雜性，使得企業(yè)在實(shí)施這些認(rèn)證方式時(shí)，很難建設(shè)完整的覆蓋各種人員的認(rèn)證鑒權(quán)系統(tǒng)。由于缺乏身份認(rèn)證，出于對(duì)資源冒用的擔(dān)心，企業(yè)會(huì)實(shí)施嚴(yán)格的限制策略進(jìn)行總部資源訪問(wèn)控制，或者只是有限開(kāi)放幾種應(yīng)用給廣域網(wǎng)分支，從而無(wú)法實(shí)現(xiàn)多業(yè)務(wù)分支的構(gòu)想。

(ii) 接入客戶端的安全狀況不可控性

廣域網(wǎng)分支辦事處員工本身因?yàn)楣ぷ餍再|(zhì)的關(guān)系，可以自由開(kāi)放的使用諸如USB和移動(dòng)硬盤(pán)等形式的存儲(chǔ)介質(zhì)，而這也將成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)關(guān)鍵來(lái)源。同時(shí)，分支機(jī)構(gòu)終端通過(guò)廣域網(wǎng)線路進(jìn)行統(tǒng)一的補(bǔ)丁分發(fā)和修復(fù)，大數(shù)量的并發(fā)操作，會(huì)給廣域網(wǎng)帶寬帶來(lái)重大負(fù)荷。在這種情況下，如何實(shí)現(xiàn)對(duì)接入客戶端的安全可控？如何在廣域網(wǎng)下進(jìn)行統(tǒng)一的終端接入控制管理？如何實(shí)現(xiàn)集中式的統(tǒng)一管理？在各接入客戶端的隨意個(gè)性化使用的同時(shí)，如何保證客戶端本身的安全狀態(tài)？

(iii) 多業(yè)務(wù)分支建設(shè)和廣域網(wǎng)鏈路服務(wù)質(zhì)量之間的矛盾

在廣域網(wǎng)分支的業(yè)務(wù)擴(kuò)充過(guò)程中，更多的業(yè)務(wù)被引入到分支機(jī)構(gòu)，這意味著可能需要消耗更多的廣域網(wǎng)鏈路帶寬。對(duì)于諸如語(yǔ)音視頻會(huì)議等對(duì)時(shí)延敏感的業(yè)務(wù)，則需要提供更高的QoS服務(wù)質(zhì)量來(lái)進(jìn)行保證。這將導(dǎo)致：一方面，企業(yè)需要不斷的擴(kuò)容廣域網(wǎng)鏈路的帶寬，以使分支承載更多的業(yè)務(wù)部署；另一方面，擴(kuò)容必然導(dǎo)致網(wǎng)絡(luò)建設(shè)維護(hù)成本的提高，且不能保證完全達(dá)到預(yù)期的效果。往往是帶寬上去了，但有時(shí)候部分關(guān)鍵業(yè)務(wù)仍然沒(méi)有得到足夠的帶寬，反而是其他一些優(yōu)先級(jí)相對(duì)較低的業(yè)務(wù)侵占了本來(lái)就很有限的鏈路帶寬。如何解決這個(gè)矛盾？

(iv) 更側(cè)重“點(diǎn)狀”的安全防護(hù)，缺乏系統(tǒng)的關(guān)聯(lián)耦合和統(tǒng)一的安全管理

與園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心的安全策略部署的規(guī)范有序相比，廣域網(wǎng)分支在安全建設(shè)的重點(diǎn)上顯得不夠清晰。由于廣域網(wǎng)分支本身只是業(yè)務(wù)的使用部門(mén)，不提供對(duì)周邊部門(mén)的支撐服務(wù)，也很少涉及到大量服務(wù)器的安全防護(hù)。這使得現(xiàn)階段很多廣域網(wǎng)分支本身的安全防護(hù)比較簡(jiǎn)單：企業(yè)通常的考慮是在分支出口部署防火墻實(shí)現(xiàn)基本的訪問(wèn)控制和安全隔離，或者要求員工PC終端安裝殺毒軟件，或者是針對(duì)一些企業(yè)的關(guān)鍵應(yīng)用通過(guò)IP五元組等方式進(jìn)行帶寬的限制。這些安全防護(hù)策略更多的是體現(xiàn)在“點(diǎn)狀”的安全防護(hù)上，只是解決了安全防護(hù)的有無(wú)問(wèn)題，但是系統(tǒng)之間缺乏有效的關(guān)聯(lián)耦合；同時(shí)網(wǎng)絡(luò)中可能存在多類型安全設(shè)備，日志格式的差異和配置方法的不同，將導(dǎo)致無(wú)法實(shí)現(xiàn)對(duì)多設(shè)備安全日志的統(tǒng)一關(guān)聯(lián)分析和總體把握，日常管理維護(hù)效率不高。 #p#

廣域網(wǎng)安全部署的整體思路和方案實(shí)施建議

(i) 廣域網(wǎng)分支安全建設(shè)的整體思路

1. 重點(diǎn)關(guān)注客戶端的接入安全，建立完整的安全準(zhǔn)入機(jī)制，實(shí)現(xiàn)對(duì)用戶的認(rèn)證鑒權(quán)

在廣域分支的安全建設(shè)過(guò)程中，員工的接入行為是造成安全風(fēng)險(xiǎn)的重要因素。因此需要合理規(guī)范員工的安全接入行為，針對(duì)不同屬性的員工設(shè)定差異化的終端準(zhǔn)入訪問(wèn)策略，并通過(guò)靈活的技術(shù)手段，實(shí)現(xiàn)對(duì)客戶端安全準(zhǔn)入組件（如殺毒軟件、操作系統(tǒng)）的補(bǔ)丁自動(dòng)升級(jí)維護(hù)，對(duì)于部分關(guān)鍵業(yè)務(wù)嚴(yán)格設(shè)定用戶訪問(wèn)權(quán)限，確保整個(gè)廣域分支用戶的“合規(guī)”訪問(wèn)。

2. 強(qiáng)調(diào)企業(yè)分支數(shù)據(jù)傳輸通道的安全性，為固定和移動(dòng)接入用戶創(chuàng)造安全的接入環(huán)境

結(jié)合廣域分支辦事處員工的工作實(shí)際，通過(guò)遠(yuǎn)程接入VPN等方式實(shí)現(xiàn)對(duì)移動(dòng)用戶辦公的支持，同時(shí)對(duì)于企業(yè)分支和總部之間的傳輸線路。在保證安全的前提下可以利用VPN進(jìn)行加密，實(shí)現(xiàn)統(tǒng)一的VPN安全傳輸。在產(chǎn)品的選擇上，要考慮選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢(shì)的產(chǎn)品，實(shí)現(xiàn)一體化的VPN安全網(wǎng)關(guān)，以減少系統(tǒng)維護(hù)的工作。

3. 持續(xù)進(jìn)行廣域網(wǎng)鏈路質(zhì)量的優(yōu)化，保障關(guān)鍵應(yīng)用的服務(wù)質(zhì)量，提升應(yīng)用的交付性能

在規(guī)劃建設(shè)多業(yè)務(wù)的廣域分支時(shí)，無(wú)論是通過(guò)廣域網(wǎng)的專線互聯(lián)，還是利用internet鏈路進(jìn)行互聯(lián)，都需要考慮到多業(yè)務(wù)對(duì)帶寬的占用情況。除了不斷的擴(kuò)容之外，持續(xù)的優(yōu)化廣域分支的鏈路質(zhì)量，對(duì)分支業(yè)務(wù)進(jìn)行優(yōu)先級(jí)排序并合理安排帶寬占用比例，可以有效的分支業(yè)務(wù)的服務(wù)質(zhì)量和交付性能，同時(shí)也可以減緩廣域分支鏈路擴(kuò)容維護(hù)的壓力，用最小的代價(jià)獲得更大的收益。

4. 合理劃分廣域網(wǎng)的安全區(qū)域，加固防護(hù)邊界安全風(fēng)險(xiǎn)，實(shí)現(xiàn)整體安全事件的統(tǒng)一管理

邊界安全防護(hù)和安全域的劃分一直是安全建設(shè)的重點(diǎn)，對(duì)于廣域網(wǎng)的安全建設(shè)來(lái)說(shuō)也不例外。在廣域網(wǎng)的總部匯聚場(chǎng)合，除了部署傳統(tǒng)的防火墻等產(chǎn)品，還可以根據(jù)對(duì)外提供服務(wù)器的位置部署諸如入侵防護(hù)等產(chǎn)品；在廣域網(wǎng)的分支，安全邊界的建設(shè)重點(diǎn)聚焦在廣域網(wǎng)分支出口的位置。同時(shí)針對(duì)這些安全防護(hù)策略，將廣域分支的安全事件進(jìn)行集中的上報(bào)和統(tǒng)一的安全管理，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)狀況，為后續(xù)的策略調(diào)整提供技術(shù)的支撐。

(ii) 廣域網(wǎng)分支安全方案實(shí)施建議

如圖1所示為廣域網(wǎng)安全部署的典型組網(wǎng)?？紤]到廣域網(wǎng)分支的關(guān)鍵業(yè)務(wù)職能是滿足分支到總部的集中訪問(wèn)，及部分總部應(yīng)用到分支的及時(shí)交付，在進(jìn)行分支的安全部署時(shí)，可以重點(diǎn)關(guān)注以下幾個(gè)方面：

1. 建設(shè)綜合的VPN接入平臺(tái)

無(wú)論是采用專線方式接入或者是采用internet進(jìn)行廣域分支互聯(lián)，在涉及到傳輸通道的加密安全方面，采用合適的VPN技術(shù)進(jìn)行數(shù)據(jù)加密傳輸是必然的選擇。面對(duì)企業(yè)的多樣化需求，在部署綜合VPN接入平臺(tái)時(shí)，需要考慮以下幾個(gè)方面：

1） 按需選擇技術(shù)實(shí)現(xiàn)。為確保遠(yuǎn)程分支固定接入點(diǎn)人員和總部的數(shù)據(jù)安全，選擇site-to-site IPSec VPN實(shí)現(xiàn)分支和總部的鏈路加密，為了保證路由協(xié)議的正常交付，建議采取GRE+IPSec的方式。

2） 針對(duì)內(nèi)部員工遠(yuǎn)程移動(dòng)訪問(wèn)的需求，如果需要訪問(wèn)較多的內(nèi)部資源，原則上建議采用L2TP+IPSec的遠(yuǎn)程接入方式，同時(shí)客戶端要求使用iNode VPN客戶端，以便實(shí)現(xiàn)較嚴(yán)格的端點(diǎn)安全接入檢查；針對(duì)部分合作方員工的遠(yuǎn)程接入訪問(wèn)需求，可以采取SSL VPN的方式進(jìn)行，用戶不需要客戶端軟件，而且對(duì)于訪問(wèn)的資源管理員將嚴(yán)格限定，避免客戶端的安全風(fēng)險(xiǎn)對(duì)網(wǎng)絡(luò)造成大的影響。

3） 在具體的認(rèn)證方式上，對(duì)于L2TP+IPSec的接入或者是SSL VPN的接入，無(wú)論是采取USBKEY或者是token令牌都可以很好的保證認(rèn)證安全。

4） 在總部資源的訪問(wèn)上，嚴(yán)格限制通過(guò)SSL VPN接入的訪問(wèn)，以保密度不高的web類訪問(wèn)為主。

5） 在設(shè)備的選擇上，分支設(shè)備建議采取UTM多功能網(wǎng)關(guān)，在實(shí)現(xiàn)基礎(chǔ)的安全防護(hù)功能的同時(shí)，兼作為VPN client網(wǎng)關(guān)設(shè)備；在總部VPN網(wǎng)關(guān)的選擇上，如果是中小企業(yè)建議選擇IPSec VPN和SSL VPN網(wǎng)關(guān)合一的設(shè)備進(jìn)行部署，這種方式可以簡(jiǎn)化組網(wǎng)結(jié)構(gòu)；對(duì)于大型廣域網(wǎng)而言，可以旁掛部署專業(yè)的高性能SSL VPN網(wǎng)關(guān)配合高性能防火墻IPSEC VPN網(wǎng)關(guān)實(shí)現(xiàn)綜合的VPN接入。

6） 從可靠性的角度，總部VPN網(wǎng)關(guān)建議進(jìn)行HA雙機(jī)部署，保證故障情況下的雙機(jī)業(yè)務(wù)切換。 

圖1 企業(yè)綜合VPN組網(wǎng)示意圖

2. 優(yōu)化安全域的隔離和控制，實(shí)現(xiàn)L2-L7層的應(yīng)用安全防護(hù)

在建設(shè)安全邊界防護(hù)控制過(guò)程中，面對(duì)企業(yè)的多個(gè)業(yè)務(wù)部門(mén)和分支機(jī)構(gòu)，合理安全域劃分是保證安全防護(hù)效果的重要環(huán)節(jié)。尤其是通過(guò)internet實(shí)現(xiàn)廣域各分支安全接入的企業(yè)，遠(yuǎn)程分支和internet之間的安全邊界，企業(yè)總部匯聚和internet的安全邊界，企業(yè)總部的DMZ安全防護(hù)，各遠(yuǎn)程分支之間的安全隔離和訪問(wèn)控制等需求更加明顯。在具體的安全域隔離和防護(hù)方面，主要的部署建議如下：

1） 廣域網(wǎng)遠(yuǎn)程分支的安全防護(hù)，建議使用多功能合一的UTM產(chǎn)品實(shí)現(xiàn)，除了傳統(tǒng)的安全隔離之外，如果遠(yuǎn)程分支具備internet邊界，利用該產(chǎn)品還可以實(shí)現(xiàn)對(duì)web類應(yīng)用威脅的訪問(wèn)控制，anti-virus和IPS等特性都可以很好的保證這一點(diǎn)。

2） 在遠(yuǎn)程分支的內(nèi)部，基于UTM產(chǎn)品實(shí)現(xiàn)對(duì)安全區(qū)域的嚴(yán)格劃分，各個(gè)業(yè)務(wù)部門(mén)可以有自己獨(dú)立的安全域，通過(guò)安全域可以很好的實(shí)現(xiàn)相互之間的訪問(wèn)控制。

3） 總部廣域匯聚區(qū)域的安全隔離方面，需要考慮各個(gè)分支之間的安全隔離，涉及到internet接入方式的情況下，還需要考慮DMZ安全區(qū)域的安全防護(hù)，需要考慮對(duì)web應(yīng)用層安全威脅的防護(hù)；其整體的部署示意圖如圖2所示。

4） 在設(shè)備形態(tài)方面，對(duì)于廣域網(wǎng)的總部匯聚位置，建議使用多功能集成的安全平臺(tái)，通過(guò)在交換路由平臺(tái)集成高性能的安全模塊進(jìn)行組網(wǎng)，以簡(jiǎn)化設(shè)備的部署和管理。

5） 在設(shè)備的功能要求方面，除了傳統(tǒng)的安全特性之外，如果設(shè)備支持的情況下，可以考慮使用虛擬化防火墻特性，實(shí)現(xiàn)不同業(yè)務(wù)之間或者是企業(yè)不同分支之間的徹底安全隔離，如圖3所示。      

圖2 廣域網(wǎng)安全典型部署組網(wǎng)                

圖3 廣域分支和總部防火墻虛擬化部署

3. 強(qiáng)調(diào)廣域網(wǎng)應(yīng)用的交付質(zhì)量，聚焦低成本的廣域網(wǎng)帶寬管理和優(yōu)化

面對(duì)多業(yè)務(wù)廣域分支建設(shè)對(duì)高帶寬的需求，單純的鏈路擴(kuò)容并不能解決可持續(xù)性發(fā)展的問(wèn)題。如果選擇昂貴的廣域網(wǎng)優(yōu)化設(shè)備，建設(shè)成本會(huì)提高很多給企業(yè)帶來(lái)壓力。在這種情況下，利用現(xiàn)有的深度業(yè)務(wù)識(shí)別技術(shù)，在充分了解現(xiàn)有鏈路帶寬的利用情況下，優(yōu)先保證重點(diǎn)業(yè)務(wù)的服務(wù)質(zhì)量、并有策略的限制與工作無(wú)關(guān)的流量，也可以在一定程度上緩解多業(yè)務(wù)應(yīng)用和高帶寬之間的矛盾，業(yè)務(wù)部署流程如下：

1）先看：通過(guò)設(shè)備部署對(duì)現(xiàn)有網(wǎng)絡(luò)流量應(yīng)用情況進(jìn)行學(xué)習(xí)監(jiān)控，獲取整個(gè)廣域分支的流量分布和帶寬占用情況，同時(shí)依托智能管理平臺(tái)實(shí)現(xiàn)業(yè)務(wù)的多維度精細(xì)化呈現(xiàn)，幫助網(wǎng)絡(luò)維護(hù)人員真正了解企業(yè)網(wǎng)絡(luò)狀況。

2）后控：在深度業(yè)務(wù)識(shí)別的基礎(chǔ)上，根據(jù)自身的業(yè)務(wù)優(yōu)先級(jí)，對(duì)業(yè)務(wù)流量進(jìn)行優(yōu)先級(jí)的標(biāo)記，對(duì)高優(yōu)先級(jí)業(yè)務(wù)進(jìn)行帶寬的保證，對(duì)工作無(wú)關(guān)業(yè)務(wù)實(shí)現(xiàn)速率限制或者丟棄，確保帶寬不被濫用。

3）再調(diào)整：策略部署完成之后，可以基于可視化的報(bào)表平臺(tái)，進(jìn)一步監(jiān)控分析策略部署的效果，同時(shí)可以根據(jù)實(shí)時(shí)的業(yè)務(wù)需求繼續(xù)對(duì)策略進(jìn)行調(diào)整控制，以便做到對(duì)業(yè)務(wù)從識(shí)別到控制再到調(diào)整再到監(jiān)控的閉環(huán)流程。如圖4所示。 

圖4 廣域網(wǎng)業(yè)務(wù)識(shí)別和流量管理典型部署示意圖

4. 實(shí)施端點(diǎn)安全準(zhǔn)入控制，確保分支網(wǎng)絡(luò)接入安全

盡管很多客戶端PC都已經(jīng)安裝有專業(yè)的殺毒軟件，但是由于安全狀況不可控的終端接入而導(dǎo)致整個(gè)分支網(wǎng)絡(luò)受到病毒攻擊的行為仍然時(shí)有發(fā)生，因此對(duì)于終端的安全接入控制顯得尤其重要?？紤]到廣域網(wǎng)分支的組網(wǎng)環(huán)境，典型的部署建議如下：

1）在認(rèn)證網(wǎng)關(guān)的選擇上，建議使用廣域分支出口設(shè)備或總部入口作為認(rèn)證網(wǎng)關(guān)，實(shí)現(xiàn)集中的portal認(rèn)證；用戶通過(guò)廣域網(wǎng)訪問(wèn)總部數(shù)據(jù)需要進(jìn)行安全認(rèn)證和端點(diǎn)健康狀況的檢查，在保證訪問(wèn)控制權(quán)限的基礎(chǔ)上，確保總部資源不會(huì)因?yàn)榻K端安全風(fēng)險(xiǎn)而受到影響。

2）企業(yè)所有用戶均集中到企業(yè)總部的EAD管理中心進(jìn)行認(rèn)證；對(duì)于個(gè)分支機(jī)構(gòu)管理員賦予分權(quán)管理能力，即分支機(jī)構(gòu)的管理員可登錄企業(yè)總部的EAD管理中心，對(duì)于其分支機(jī)構(gòu)的接入用戶、接入設(shè)備和安全策略進(jìn)行維護(hù)管理，而無(wú)權(quán)訪問(wèn)其它機(jī)構(gòu)的EAD信息。

3）認(rèn)證服務(wù)器、補(bǔ)丁服務(wù)器等可集中部署、統(tǒng)一管理，便于執(zhí)行全網(wǎng)一致的安全策略、降低分支維護(hù)管理的復(fù)雜度。同時(shí)還可支持服務(wù)器分布部署、分權(quán)管理、分級(jí)管理等應(yīng)用方案。

4）對(duì)于小于50人、且廣域帶寬比較緊張的分支，建議將終端分成N組，每次同時(shí)有1/N的用戶升級(jí)，并且下發(fā)基于用戶和業(yè)務(wù)的QoS策略，控制升級(jí)業(yè)務(wù)對(duì)帶寬的占用；對(duì)于大于50人的分支，建議在遠(yuǎn)程分支內(nèi)部署區(qū)域補(bǔ)丁服務(wù)器服務(wù)器，在線路閑時(shí)與中心補(bǔ)丁服務(wù)器同步，完成用戶本地補(bǔ)丁自動(dòng)升級(jí)

5）基于上述的組網(wǎng)模型，可以忽略分支內(nèi)部多廠商的設(shè)備組網(wǎng)，無(wú)需調(diào)整分支內(nèi)部網(wǎng)絡(luò)，即能實(shí)現(xiàn)安全加固的平滑升級(jí)。如圖5所示。 

圖5 廣域網(wǎng)分支端點(diǎn)準(zhǔn)入典型組網(wǎng)圖

5. 建設(shè)統(tǒng)一的安全管理平臺(tái)，實(shí)現(xiàn)對(duì)整網(wǎng)安全的“可視、可控和可管”

優(yōu)秀的安全管理平臺(tái)，不但可以實(shí)現(xiàn)對(duì)整個(gè)廣域分支和總部網(wǎng)絡(luò)的多設(shè)備統(tǒng)一配置管理，同時(shí)可以作為整網(wǎng)安全事件的集中處理平臺(tái)，通過(guò)對(duì)整網(wǎng)安全日志的關(guān)聯(lián)分析，發(fā)現(xiàn)各廣域分支存在的安全攻擊事件，從而為防護(hù)策略的制定及策略推送到指定安全設(shè)備提供基礎(chǔ)，實(shí)現(xiàn)從安全事件的監(jiān)控-關(guān)聯(lián)分析-策略響應(yīng)-再監(jiān)控的閉環(huán)操作。具體的部署建議主要有4個(gè)方面：

1）在多廠商設(shè)備共存的情況下，要求各廠商設(shè)備的日志格式遵循統(tǒng)一日志規(guī)范，以便管理平臺(tái)分析。

2）需要根據(jù)自身的信息安全制度設(shè)定恰當(dāng)?shù)陌踩呗?，并定制適合自身需求的安全事件分析報(bào)表的模板。

3）對(duì)各種安全事件的優(yōu)先級(jí)制定緊急事件應(yīng)急響應(yīng)流程；加強(qiáng)對(duì)內(nèi)部員工的安全風(fēng)險(xiǎn)培訓(xùn)。

4）定期進(jìn)行安全事件的分析評(píng)審，結(jié)合當(dāng)前的安全威脅狀況調(diào)整安全策略，真正實(shí)現(xiàn)安全事件的可視、可控制和可管理。如圖6所示。

圖6 企業(yè)統(tǒng)一安全管理平臺(tái)邏輯示意圖

結(jié)束語(yǔ)

廣域網(wǎng)的安全體系的建設(shè)，既離不開(kāi)通用安全建設(shè)理論（如ISO27001）的指導(dǎo)，也需要考慮廣域網(wǎng)在自身業(yè)務(wù)開(kāi)展過(guò)程中的實(shí)際的安全需求。在理論結(jié)合實(shí)際的基礎(chǔ)上，通過(guò)不斷研究安全威脅的新變化，并及時(shí)動(dòng)態(tài)調(diào)整自身的安全防護(hù)策略，可以使得整個(gè)廣域網(wǎng)的安全防護(hù)體系與時(shí)俱進(jìn)，為多業(yè)務(wù)廣域分支的建設(shè)保駕護(hù)航。