原创作品,未经Julian 本人授权不得转载,侵权必究。
开场前,我先跟大家说一个我切身经历过的安全事件吧。若干年前,我曾在一家信息安全公司给南方一个政府做信息安全的示范项目。结果某一天客户办公室的每台电脑都弹出一句“It’s a test. I came, I saw, I conquered!”的窗口。客户领导大呼这是什么鬼?城里人太会玩了!后来查明是我方安全测试部门的新来长腿欧巴在测试攻击时擅用到了正常办公网络所致。哎,可惜了,这位骚年程序猿,明明可以靠长相吃饭,却偏要靠这样的“才华”出名,公司的霸道总裁只能送他两个字“走你!”所以说咱们信息安全人把自己给整进去了真的好吗?
长久以来,国内很多中小型企业本着“先有业务,再有系统”的特性,专注业务的发展而忽略了网络信息系统的跟进。内部网络信息系统从“够用就好”慢慢沦为“能用就行”,软硬件一直停滞不前,很多本是1.0的产品撑到了如今的3.0的时代,从而没有太大的动力去改造升级的动力。现如今,我们发现一般企业信息化系统存在着如此普遍问题:
1. 互联网接入速度缓慢,网络脆弱;硬件设备超年限服役,经常出现单点故障,断网等类故障频发。
2. 用户电脑或服务器一旦中病毒或出现网络风暴,很容易蔓延,导致系统瘫痪,直接影响业务的连贯性和可用性。
3. 备份策略不及时且恢复质量无法保证。
4. IT技术传统且陈旧,无法实现远程甚至是移动办公。
另一方面,不少企业顺应“互联网+”的大潮,快速开启并上马了O2O型的在线服务,提供在线受理功能。虽然企业一般能给网络信息系统方面投入有限,但面对这些来自内在和外在的倒逼,我们亟待在基于总体拥有成本(TCO)和投资回报率(ROI)的环境下,利用现有的IT预算,构建出一个安全、稳定、可控、实用的网络信息系统,使企业保持竞争优势,实现可持续发展。
下面是一家拥有几个分支机构的中型企业的,IT系统民意调查的结果,给大家参考一下。
1. 建立安全、稳定的网络架构,总部与分支机构以IPSec的VPN方式进行网络连接。
2. 安全网络部署,应用数据与系统保密性高,确保企业正常运行。
3. 办公区域内无线接入点覆盖范围广、配置灵活,方便移动办公。
4. 为出差的人员提供SSL的VPN方式。
5. 网络架构便于升级和灵活拓展,有利于投资保护。
由于早年我给用户有过上课的经历,所以我习惯在一开始就给出自己的总体概念,我称之为一个基本具备P2DR2W模型(重新定义了业界的P2DR2安全模型的概念)。所谓P2DR2W模型其函括了六大部分,即Protection(防护)、Policy(策略)、Detection(检测)、Recovery(恢复)Remote(远程)、和Wireless(无线)。其中,防护是安全的第一步,它包括安全设备的安装配置,安全技术的运用;策略是指安全规则的制定;检测包括运用丰富的安全技术对各种入侵手段和异常行为的发现;恢复则是在系统发生灾难时所能采取的信息与服务的还原;而远程是指无论一般用户还是运维人员都可远程使用和管理系统资源;最后是运用无线技术将传统办公区网络扩展,顺应用户BYOD(自带智能设备)的需求。
感谢魔都的技术妹纸奉上了自己的佳作和见解。我们这个主题内容题材真心没有那么严格的讲究的,只要你愿意写,我们就愿意读。记得我刚开始备考CISSP的时候就得知其范围是“one mile wide, but just one inch deep”,我想这个基调也可以运用到我们这个主题上的。这两天,全国人民都在微信上或转发或吐槽“那些年我们追过的公交车”,我想说的是:能不能也抽空追一下咱这个系列专题啊?在这里巨廉将枯燥的技术和幽默的语言杂糅在一起。相信爱读巨廉帖子的同学运气都不会差。谁看谁知道哦!
