企業(yè)網(wǎng)絡(luò)的安全設(shè)計(jì)是一項(xiàng)非常具有挑戰(zhàn)性和藝術(shù)性的工作，它包括風(fēng)險(xiǎn)確定、模型設(shè)計(jì)、安全成本控制等等。本文將從幾個(gè)關(guān)鍵點(diǎn)方面向讀者介紹如何設(shè)計(jì)一個(gè)安全的企業(yè)網(wǎng)絡(luò)。

確定可接受的風(fēng)險(xiǎn)

企業(yè)所有的信息系統(tǒng)都會(huì)導(dǎo)致企業(yè)風(fēng)險(xiǎn)，引入風(fēng)險(xiǎn)水平是否可以被接受最終是一個(gè)商業(yè)決策。風(fēng)險(xiǎn)的可接受水平取決于不同組織自身的風(fēng)險(xiǎn)承受能力。風(fēng)險(xiǎn)厭惡型的企業(yè)最終愿意接受較低的風(fēng)險(xiǎn)水平并在已有系統(tǒng)中需要更多的安全控制。管理層的風(fēng)險(xiǎn)承受能力是通過政策，程序，作業(yè)指導(dǎo)等方式傳遞給員工。一套完整的政策表達(dá)了管理層的風(fēng)險(xiǎn)偏好及其信息安全風(fēng)險(xiǎn)的容忍度，使員工在設(shè)計(jì)和保障新系統(tǒng)和網(wǎng)絡(luò)時(shí)作出適當(dāng)?shù)臎Q定。因此，基礎(chǔ)設(shè)施的設(shè)計(jì)和配置成為那些政策文件得以執(zhí)行的保障。

一些組織不愿意承擔(dān)法律保護(hù)范圍之內(nèi)其他未知法律文書的更多風(fēng)險(xiǎn)。隨著計(jì)算機(jī)信息和法律的迅速發(fā)展和變化，光美國的法律材料就有數(shù)百卷和數(shù)千個(gè)網(wǎng)頁。這甚至沒有考慮到跨國公司所面臨的多個(gè)國家本土化操作問題。在政策的發(fā)展過程中政策將指導(dǎo)系統(tǒng)和網(wǎng)絡(luò)的設(shè)計(jì)，管理應(yīng)該花必要的時(shí)間和精力，以確定是否需要使用這些特殊的法律注意事項(xiàng)。

許多企業(yè)無意中違反某些法律，甚至還不知道(例如，存儲(chǔ)信用卡號(hào)碼不考慮支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)[PCI DSS]，或存儲(chǔ)病人數(shù)據(jù)未考慮健康保險(xiǎn)流通與責(zé)任法案[HIPAA]的規(guī)定)修改實(shí)際控制應(yīng)用后產(chǎn)生的剩余風(fēng)險(xiǎn)水平，因?yàn)?，?jì)劃的控制措施可能無法解決在制定控制計(jì)劃之前未明確的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)的安全性設(shè)計(jì)

安全性是網(wǎng)絡(luò)設(shè)計(jì)中經(jīng)常被忽視的一個(gè)部分，從頭改造一個(gè)已有網(wǎng)絡(luò)的安全設(shè)計(jì)代價(jià)可能很大并且難以實(shí)施。根據(jù)不同的信任程度和安全要求分隔資產(chǎn)應(yīng)是任何新的項(xiàng)目在設(shè)計(jì)階段的整體目標(biāo)。將安全需求相似的資產(chǎn)整合在專門的區(qū)域，使得組織可以使用較少量的網(wǎng)絡(luò)安全設(shè)備,如防火墻、入侵檢測系統(tǒng)，保護(hù)和監(jiān)控多個(gè)應(yīng)用程序系統(tǒng)。

另外的網(wǎng)絡(luò)設(shè)計(jì)影響因素包括預(yù)算，可用性的要求，網(wǎng)絡(luò)的規(guī)模和范圍，未來增長的預(yù)期，網(wǎng)絡(luò)容量的要求，以及管理層的風(fēng)險(xiǎn)容忍度。例如，使用專用WAN鏈路進(jìn)行遠(yuǎn)程辦公比使用虛擬專用網(wǎng)絡(luò)(VPN)更可靠，但其成本更高，尤其是需要長距離覆蓋。全冗余網(wǎng)絡(luò)可以很容易地從故障中恢復(fù)，但硬件費(fèi)用成倍增加，以及更多可用的路由路徑，并難以保障網(wǎng)絡(luò)流量的安全和隔離。

確定適當(dāng)?shù)陌踩O(shè)計(jì)策略時(shí)，一個(gè)重要但常常錯(cuò)過或不考慮的因素是確定如何使用網(wǎng)絡(luò)以及期望它支持哪些業(yè)務(wù)。良好的設(shè)計(jì)有助于在網(wǎng)絡(luò)建設(shè)完成后避免昂貴和困難的網(wǎng)絡(luò)改造。以下是幾個(gè)關(guān)鍵的網(wǎng)絡(luò)設(shè)計(jì)策略。

網(wǎng)絡(luò)設(shè)計(jì)模型

為了更清晰的描述整體設(shè)計(jì)好壞是如何影響系統(tǒng)安全的，我們以購物商場和機(jī)場設(shè)計(jì)為例。在一個(gè)購物商場里，為了使進(jìn)出盡可能的方便，設(shè)計(jì)了很多入口和出口。然而大量的出入口使得對(duì)商場出入控制的成本提高且難度加大。在各出入口都需要有安檢措施，識(shí)別和阻止不受歡迎的人。此外，安檢并非唯一的安全措施，在各種措施部署完成后，每種措施必須保持正確配置和更新，以確保未經(jīng)授權(quán)的人無法隨意通過商場。

相比商場來說,一個(gè)機(jī)場的設(shè)計(jì)旨在讓所有乘客通過少量且嚴(yán)格的檢查站接受檢查。購物中心的網(wǎng)絡(luò)設(shè)計(jì)模型本質(zhì)上比機(jī)場周圍網(wǎng)絡(luò)的設(shè)計(jì)模型難以設(shè)計(jì)。有大量互聯(lián)的網(wǎng)絡(luò)安全設(shè)計(jì)本質(zhì)上難度更大，因?yàn)橛写罅吭L問控制機(jī)制(諸如防火墻)必須部署和維護(hù)。

機(jī)場的設(shè)計(jì)并不僅僅考慮在一個(gè)航站樓內(nèi)對(duì)旅客的檢查?？偟膩碚f,機(jī)場采用高度分區(qū)分域的設(shè)計(jì)，有人需要通過任意兩個(gè)區(qū)域都需要進(jìn)行安全檢查。并非所有的檢查都是顯式的，一些監(jiān)控手段是被動(dòng)的，包括攝像頭和機(jī)場便衣警員。在主要的航站樓和門區(qū)以及門區(qū)和飛機(jī)之間有顯式的檢查點(diǎn)，在機(jī)場內(nèi)部同樣有安檢措施，機(jī)場員工進(jìn)入內(nèi)部區(qū)域需要有特定的鑰匙,如行李間和停機(jī)坪等區(qū)域。

一般大城市機(jī)場都有多個(gè)航站樓分流旅客，這樣減少了安全問題在單個(gè)航站樓的影響面。這些更小、有更高的安全性的航站樓可以有更嚴(yán)格的安全檢查，并可以滿足旅客不同級(jí)別的安全需求。允許乘客用不同的安全要求，如政治家和囚犯可被安全隔離，降低了某些人群對(duì)其他人可能造成的安全風(fēng)險(xiǎn)。所有這些因素可以轉(zhuǎn)化為網(wǎng)絡(luò)設(shè)計(jì)思想，如通過防火墻和認(rèn)證系統(tǒng)控制網(wǎng)絡(luò)數(shù)據(jù)傳輸，利用網(wǎng)絡(luò)隔離不同的敏感級(jí)別的網(wǎng)絡(luò)數(shù)據(jù)，以及通過監(jiān)測系統(tǒng)來檢測未經(jīng)授權(quán)的活動(dòng)。

設(shè)計(jì)一個(gè)合適的網(wǎng)絡(luò)

人們對(duì)網(wǎng)絡(luò)總會(huì)有眾多的需求和期望,如滿足甚至超越組織對(duì)可用性和性能的要求,提供一個(gè)有利于保護(hù)網(wǎng)絡(luò)敏感資產(chǎn)的平臺(tái),并能與其他網(wǎng)絡(luò)高效和安全的互聯(lián)。最重要的是，網(wǎng)絡(luò)總體設(shè)計(jì)必須提供可擴(kuò)展能力,支持將來對(duì)網(wǎng)絡(luò)需求。正如之前對(duì)機(jī)場和購物商場的類比，整體網(wǎng)絡(luò)設(shè)計(jì)會(huì)影響組織提供與該網(wǎng)絡(luò)存在風(fēng)險(xiǎn)相稱的安全防護(hù)水平的能力。

為了設(shè)計(jì)和維護(hù)一個(gè)符合用戶需求的網(wǎng)絡(luò),網(wǎng)絡(luò)架構(gòu)師和工程師必須充分理解用戶需要什么。最好的辦法是讓那些構(gòu)架師和工程師參與應(yīng)用開發(fā)的過程。盡早參與開發(fā)周期的全過程，工程師可以提出更安全的設(shè)計(jì)和網(wǎng)絡(luò)拓?fù)洌⒛鼙ＷC項(xiàng)目團(tuán)隊(duì)對(duì)安全考慮和能力有一個(gè)清晰的認(rèn)識(shí)。此外,他們可以確保新項(xiàng)目能夠更好的兼容現(xiàn)有的企業(yè)基礎(chǔ)設(shè)施。

獲得這類信息的一般方法包括與項(xiàng)目干系人、應(yīng)用程序和系統(tǒng)所有者、開發(fā)者、管理層和用戶會(huì)面。對(duì)于新項(xiàng)目的性能、安全性、可用性、預(yù)算和總體重要性，理解他們的期望和需求是十分重要的。充分理解這些因素將確保項(xiàng)目目標(biāo)符合需求,并在設(shè)計(jì)中考慮合適的網(wǎng)絡(luò)性能優(yōu)化和安全控制機(jī)制。在網(wǎng)絡(luò)實(shí)施過程中的一個(gè)最普遍的問題是由于假設(shè)的不同導(dǎo)致未滿足預(yù)期的目標(biāo)。這就是為什么預(yù)期應(yīng)該盡可能多的分解成相互看得見的(可測量)盡可能多的事實(shí),所以安全設(shè)計(jì)師要保證任何功能建議都有清晰易懂并且被簽署的顯式協(xié)議。

控制安全的成本

實(shí)施安全控制機(jī)制是需要費(fèi)用的，包括購買、部署和運(yùn)維等,并且實(shí)現(xiàn)這些系統(tǒng)的冗余方式會(huì)顯著增加成本。為一個(gè)系統(tǒng)或網(wǎng)絡(luò)考慮適當(dāng)?shù)娜哂嗪桶踩刂茩C(jī)制時(shí),可創(chuàng)建一系列負(fù)面場景如發(fā)生安全漏洞或系統(tǒng)停運(yùn)，這有助于確定組織在每次事件所花費(fèi)的成本。這種風(fēng)險(xiǎn)模型方法能夠幫助管理者確定各種安全控制機(jī)制對(duì)于公司的價(jià)值所在。

例如,修復(fù)一個(gè)安全漏洞或在非工作日處理系統(tǒng)中斷事件產(chǎn)生了哪些費(fèi)用?一定要包括直接損失，例如銷售損失、生產(chǎn)率降低、更換費(fèi)用等，同時(shí)也要考慮間接損失，例如組織聲譽(yù)受損、品牌力下降、客戶信心下降等。根據(jù)預(yù)期損失的估算值，公司可確定合適的支出水平。例如，花費(fèi)20萬美元升級(jí)交易系統(tǒng)實(shí)現(xiàn)99.999%的可用性，也許表面上看起來過于昂貴，但如果系統(tǒng)宕機(jī)可能造成公司每小時(shí)25萬美元的損失，這筆費(fèi)用就顯得微不足道了。

務(wù)必強(qiáng)調(diào)網(wǎng)絡(luò)可用性

網(wǎng)絡(luò)可用性要求系統(tǒng)具備一定的彈性，并可及時(shí)為用戶提供服務(wù)(也就是當(dāng)用戶需要時(shí)即可用)。與可用性相對(duì)的概念是拒絕服務(wù)，也就是當(dāng)用戶需要時(shí)無法及時(shí)訪問到資源。拒絕服務(wù)可以是故意的(例如，惡意的個(gè)人行為)或是意外的(如硬件或軟件發(fā)生故障)。不可用系統(tǒng)使企業(yè)失去收入，降低員工的工作效率，而且還會(huì)以無形的方式(如消費(fèi)者失去信心和負(fù)面宣傳)使得組織遭受損失。業(yè)務(wù)可用性需求使得一些組織建立備份數(shù)據(jù)中心，進(jìn)行系統(tǒng)和數(shù)據(jù)的實(shí)時(shí)鏡像，實(shí)現(xiàn)故障切換，降低自然災(zāi)害或恐怖襲擊摧毀他們唯一數(shù)據(jù)中心的風(fēng)險(xiǎn)。

根據(jù)具體的業(yè)務(wù)和風(fēng)險(xiǎn)因素，冗余往往會(huì)增加成本和復(fù)雜性。確定合適的可用性和冗余級(jí)別是一個(gè)重要的設(shè)計(jì)元素，這是由業(yè)務(wù)需求和資源可用性之間的平衡點(diǎn)所決定的。

確?？捎眯缘淖罴炎龇ㄊ窃谡麄€(gè)架構(gòu)中避免單點(diǎn)故障。這可能需要在硬件、網(wǎng)絡(luò)和應(yīng)用程序功能提供冗余和故障切換的能力。完全冗余方案的部署和維護(hù)是非常昂貴的，因?yàn)殡S著故障切換機(jī)制數(shù)量的增加，系統(tǒng)的復(fù)雜性增加，這樣會(huì)提高支持成本和故障排除的復(fù)雜程度。

應(yīng)用程序的可用性應(yīng)經(jīng)過評(píng)估，以確定系統(tǒng)不可用對(duì)財(cái)務(wù)及業(yè)務(wù)的影響。執(zhí)行這項(xiàng)評(píng)估將有助于管理層針對(duì)某個(gè)特定網(wǎng)絡(luò)或應(yīng)用程序，在故障切換機(jī)制、成本和復(fù)雜性之間找到最佳的平衡點(diǎn)。眾多的安全設(shè)備廠商有故障切換機(jī)制解決方案，當(dāng)主防火墻發(fā)生故障時(shí)，備份防火墻會(huì)承擔(dān)相關(guān)的處理責(zé)任。除了防火墻，路由器也可以被部署為高可用性配置。

要了解需要哪種冗余，就要盡量確定業(yè)務(wù)正常運(yùn)行多長時(shí)間后，可能出現(xiàn)故障。防火墻或路由器的冗余解決方案只是實(shí)現(xiàn)一個(gè)完整的高可用性網(wǎng)絡(luò)構(gòu)架的其中一步。例如，兩個(gè)防火墻被接入到同一臺(tái)交換機(jī)的時(shí)候，高可用性防火墻解決方案就沒有價(jià)值，因?yàn)樵摻粨Q機(jī)存在單點(diǎn)故障，在其正常運(yùn)行過程中的任何中斷都將使得防火墻中斷，無法體現(xiàn)防火墻故障切換機(jī)制的價(jià)值。該問題同樣適用于路由器，如果連接防火墻和其余網(wǎng)絡(luò)之間只有一臺(tái)路由器，那么該路由器的故障也會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷。

一個(gè)真正的高可用性設(shè)計(jì)將在交換機(jī)、網(wǎng)絡(luò)、防火墻和應(yīng)用程序?qū)用嫔隙疾捎萌哂嗟挠布M件。在消除故障點(diǎn)時(shí)，一定要考慮所有可能的組件。你可能希望通過備用電池提供可靠的電源，通常稱為不間斷電源(UPS)，甚至是一臺(tái)應(yīng)急發(fā)電機(jī)以應(yīng)對(duì)可能的長時(shí)間中斷的風(fēng)險(xiǎn)。設(shè)計(jì)師應(yīng)考慮提供多個(gè)互聯(lián)網(wǎng)服務(wù)供應(yīng)商的互聯(lián)網(wǎng)連接服務(wù)，以防止某個(gè)供應(yīng)商網(wǎng)絡(luò)出現(xiàn)問題時(shí)影響到組織。

今天的高可用性的設(shè)計(jì)在現(xiàn)代數(shù)據(jù)中心、網(wǎng)絡(luò)和計(jì)算架構(gòu)中已經(jīng)達(dá)到很高的水平，從設(shè)施本身到運(yùn)行于最終用戶的應(yīng)用程序。負(fù)載平衡器在保障網(wǎng)絡(luò)服務(wù)的可用性和性能方面也發(fā)揮了重要作用。今天的應(yīng)用交付技術(shù)正在被用于保障安全性和可用性。在某些情況下，企業(yè)已經(jīng)完全摒棄了Web端，而是直接在應(yīng)用交付控制器(ADC)上操作，它能提供優(yōu)化的應(yīng)用和網(wǎng)絡(luò)性能。