背景

人物：廉哥，信息安全戰(zhàn)士大專畢業(yè)后就雄心勃勃的從中部二線城市來到魔都一線城市打拼。憑著一點點“工匠精神”，攜帶者CISSP和信息安全師等證，在信息安全領(lǐng)域摸爬滾打數(shù)載。多年來遍歷了各種IT項目從計劃、執(zhí)行到完結(jié)，也“浸淫”內(nèi)外部資源與風(fēng)險的管控等各個安全環(huán)節(jié)。平時工作中，他開朗活潑，甚至有些talktive，經(jīng)常熱心的把自己的一些經(jīng)驗分享給周圍的小伙伴，并供大家探討。這次他跳到51CTO的廣闊的舞臺上，嘗試著和大家漫談信息安全的設(shè)計與治理。

大家千萬不要覺得這是一個挺高大上且技術(shù)門檻高的漫談。記得魯迅先生曾說過：把文章念給街坊老太能懂，即好文章。那么廉哥是以“好文章”的標(biāo)準(zhǔn)自居的，所以他會將枯燥的技術(shù)和幽默的語言雜糅在一起，遵從入門到深入的“學(xué)習(xí)曲線”，圖文并茂，寓教于樂，陪伴看官們漸入佳境。所以說小伙伴們不必屏氣凝神、正襟危坐的閱讀，完全可以一種“葛優(yōu)躺”的方式點開該系列漫談。那么會不會談著聊著就沒有然后了?No!正所謂“教之道，貴以專”，他是有備而來，這里多的是“料”。大家大可放寬心，不會變成“太監(jiān)貼”的，只要你愿意讀，他都會以親切的第一人稱和您連(廉)環(huán)話下去的。

引言

言歸正傳。小時候，無論是我們開始作文還是去讀一本書，老師都教我們要列提綱或者是看目錄。由此可見，提綱/目錄的重要性。為了彰顯廉哥對此主題的充分準(zhǔn)備和重視程度，此處先張貼出draft好的提綱。(看官朋友們，你們的雞蛋和磚頭可以準(zhǔn)備起來了。)

提綱

一. 技術(shù)層面

1. 互聯(lián)網(wǎng)接入設(shè)計

2. 安全套件設(shè)計

3. 應(yīng)用網(wǎng)閘設(shè)計

4. 遠程訪問與維護設(shè)計

5. 行為管理審計設(shè)計

6. 無線覆蓋與管控設(shè)計

7. 備份與恢復(fù)設(shè)計

二. 管理層面

A. 人員管理

B. 項目管理

C. 資源管理

D. 運能管理

E. 財務(wù)管理

正文

長久以來，國內(nèi)很多中小型企業(yè)本著“先有業(yè)務(wù)，再有系統(tǒng)”的特性，專注業(yè)務(wù)的發(fā)展而忽略了網(wǎng)絡(luò)信息系統(tǒng)的跟進。內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)從“夠用就好”慢慢淪為“能用就行”，軟硬件一直停滯不前，很多本是1.0的產(chǎn)品撐到了如今的3.0的時代，從而沒有太大的動力去改造升級的動力?，F(xiàn)如今，我們發(fā)現(xiàn)一般企業(yè)信息化系統(tǒng)存在著如此普遍問題：

1. 互聯(lián)網(wǎng)接入速度緩慢，網(wǎng)絡(luò)脆弱;硬件設(shè)備超年限服役，經(jīng)常出現(xiàn)單點故障，斷網(wǎng)等類故障頻發(fā)。

2. 用戶電腦或服務(wù)器一旦中病毒或出現(xiàn)網(wǎng)絡(luò)風(fēng)暴，很容易蔓延，導(dǎo)致系統(tǒng)癱瘓，直接影響業(yè)務(wù)的連貫性和可用性。

3. 備份策略不及時且恢復(fù)質(zhì)量無法保證。

4. IT技術(shù)傳統(tǒng)且陳舊，無法實現(xiàn)遠程甚至是移動辦公。

另一方面，不少企業(yè)順應(yīng)“互聯(lián)網(wǎng)+”的大潮，快速開啟并上馬了類似O2O的各種在線和移動服務(wù)，利用Apps或HTML5等受理各種業(yè)務(wù)。雖然企業(yè)一般能給網(wǎng)絡(luò)信息系統(tǒng)方面投入有限，但面對這些來自內(nèi)在和外在的倒逼，我們亟待在基于總體擁有成本(TCO)和投資回報率(ROI)的環(huán)境下，利用現(xiàn)有的IT預(yù)算，構(gòu)建并維護一個安全、穩(wěn)定、可控、實用的網(wǎng)絡(luò)信息系統(tǒng)，使企業(yè)保持競爭優(yōu)勢，實現(xiàn)可持續(xù)發(fā)展。

舉例來說，下面是我上次做項目的客戶單位的現(xiàn)狀。他們是一家擁有幾個分支機構(gòu)的中型企業(yè)，其對IT系統(tǒng)改進需求的民意調(diào)查結(jié)果如下，供大家“批判”一下：

1. 建立安全、穩(wěn)定的網(wǎng)絡(luò)架構(gòu)，總部與分支機構(gòu)以IPSec的VPN方式進行網(wǎng)絡(luò)連接。

2. 安全網(wǎng)絡(luò)部署，應(yīng)用數(shù)據(jù)與系統(tǒng)保密性高，確保企業(yè)正常運行。

3. 辦公區(qū)域內(nèi)無線接入點覆蓋范圍廣、配置靈活，方便移動辦公。

4. 為出差的人員提供SSL的VPN方式。

5. 網(wǎng)絡(luò)架構(gòu)便于升級和靈活拓展，有利于投資保護。

愛思考愛總結(jié)的我一開始就拋出自己的總體設(shè)計與治理的思路和概念，我稱之為一個基本具備P2DR2W模型(重新定義了業(yè)界的P2DR2安全模型的概念哦!)。所謂P2DR2W模型其函括了六大部分，即Protection(防護)、Policy(策略)、Detection(檢測)、Recovery(恢復(fù))Remote(遠程)、和Wireless(無線)。其中，防護是安全的第一步，它包括安全設(shè)備的安裝配置，安全技術(shù)的運用;策略是指安全規(guī)則的制定;檢測包括運用豐富的安全技術(shù)對各種入侵手段和異常行為的發(fā)現(xiàn);恢復(fù)則是在系統(tǒng)發(fā)生災(zāi)難時所能采取的信息與服務(wù)的還原;而遠程是指無論一般用戶還是運維人員都可遠程使用和管理系統(tǒng)資源;最后是對無線—這個打破了傳統(tǒng)網(wǎng)絡(luò)邊界的熱門應(yīng)用的管控。

既然是廉環(huán)話(畫)，沒圖怎行!何況大家常說有圖有真相，那么我先給一個典型信息網(wǎng)絡(luò)系統(tǒng)的架構(gòu)拓撲圖，以方便我們直觀的看圖說話。

如上圖所示，這是一個三維度立體的系統(tǒng)架構(gòu)。整個IT系統(tǒng)在功能上被分為外網(wǎng)和內(nèi)網(wǎng)，外網(wǎng)分別與互聯(lián)網(wǎng)和以VPN的方式與總部網(wǎng)絡(luò)連接，而內(nèi)網(wǎng)不允許訪問互聯(lián)網(wǎng)，但需要和外網(wǎng)里的服務(wù)器做數(shù)據(jù)交換。在服務(wù)上，分為對外提供網(wǎng)站的信息發(fā)布和用戶登錄服務(wù)，對內(nèi)提供員工日常上網(wǎng)和通過應(yīng)用程序與總部信息系統(tǒng)實現(xiàn)業(yè)務(wù)數(shù)據(jù)交換。在方式上，既實現(xiàn)固定工作位的有線接入，又滿足各類用戶的各類自帶設(shè)備(BYOD)的無線連接與訪問。

互聯(lián)網(wǎng)接入設(shè)計

互聯(lián)網(wǎng)接入是整個IT系統(tǒng)與外部連接的出入口，一旦出現(xiàn)問題，企業(yè)將失去與外部網(wǎng)絡(luò)的聯(lián)系甚至?xí)绊懙秸＿\營。本人采用的“三ISP”的設(shè)計方式，即向三大通信線路供應(yīng)商(如：中國電信，中國聯(lián)通和中國移動)租用上網(wǎng)線路，選擇10M的帶寬。通過設(shè)置，實現(xiàn)不同應(yīng)用業(yè)務(wù)從各自的線路與外部連接并實現(xiàn)互相備份。具體說來：將需要與其他區(qū)域辦公室(或總部)協(xié)作的應(yīng)用業(yè)務(wù)都通過一個ISP線路進出;該線路開啟VPN建立數(shù)據(jù)通信的專有通道，以實現(xiàn)業(yè)務(wù)數(shù)據(jù)的保密性。而另一條ISP線路供所內(nèi)員工上網(wǎng)以及法律服務(wù)網(wǎng)站供公網(wǎng)訪問。這兩個ISP線路上的接入路由器上通過配置，實現(xiàn)任何一臺設(shè)備出現(xiàn)故障時自動熱切換，不對正常的服務(wù)提供和用戶上網(wǎng)造成影響。

第三條ISP線路則是為員工和來訪客人的各種自帶無線設(shè)備上網(wǎng)所使用，與本所的日常業(yè)務(wù)無關(guān)，從而避免的外來設(shè)備及其異常上網(wǎng)行為給企業(yè)內(nèi)網(wǎng)安全造成威脅。

記得我早年備考CISSP的時候就?？吹竭@么一句：“one mile wide, but just one inch deep”，我想這個基調(diào)也可以運用到我們這個主題上的。讀完這一期開篇，大家可能注意到了，我在這里和大家聊到并不是什么很高精尖的安全技術(shù)或理念，只是將我們身邊企業(yè)里典型且普遍采用的設(shè)計、運維以及治理的經(jīng)驗總結(jié)出來分享給大家，在某種意義上，可以說是“全都是套路”。如今我們都養(yǎng)成了夜深人靜之時追美劇or追韓劇的習(xí)慣。最近貌似追劇的空檔期，大家就不要去圍觀什么“辣眼睛”的神劇了，來抽空追一下咱這個系列專題吧。相信愛看廉環(huán)話的同學(xué)運氣都不會差。我也更期待乃們的神回復(fù)哦!