廣域網(wǎng)安全建設(shè)的思路和部署
【51CTO.com 綜合報(bào)道】廣域網(wǎng)安全建設(shè)的特點(diǎn)分析
在企業(yè)的廣域網(wǎng)建設(shè)過(guò)程中,分布在不同位置的遠(yuǎn)程企業(yè)分支作為廣域網(wǎng)絡(luò)的重要組成部分,是客戶完成與企業(yè)大多數(shù)業(yè)務(wù)往來(lái)的主要場(chǎng)所。從政府、金融銀行、大企業(yè)、零售業(yè)等行業(yè)來(lái)看,其分支機(jī)構(gòu)都在想方設(shè)法提升分支機(jī)構(gòu)的辦事效率,增強(qiáng)分支機(jī)構(gòu)的多業(yè)務(wù)支持能力,以便在降低成本的同時(shí)滿足客戶對(duì)更多元化服務(wù)的需要。而安全的廣域網(wǎng)分支建設(shè),又是各項(xiàng)業(yè)務(wù)能否正常開(kāi)展的關(guān)鍵環(huán)節(jié),和企業(yè)園區(qū)網(wǎng)絡(luò)的建設(shè)不同,企業(yè)廣域網(wǎng)遠(yuǎn)程分支的安全建設(shè)有其自身的特點(diǎn)。
(i) 認(rèn)證鑒權(quán)方面的需求多樣性
和企業(yè)總部局域網(wǎng)園區(qū)接入環(huán)境相比,各廣域分支在認(rèn)證鑒權(quán)方面有其特有的要求。在局域網(wǎng)園區(qū)接入環(huán)境下,員工的辦公地點(diǎn)相對(duì)固定,局域網(wǎng)為其網(wǎng)絡(luò)接入方式,這意味著可以實(shí)現(xiàn)統(tǒng)一的認(rèn)證授權(quán)管理方式。而廣域網(wǎng)分支辦事處因?yàn)楣ぷ餍再|(zhì)的關(guān)系,員工可能缺乏固定的網(wǎng)絡(luò)接入點(diǎn),部分員工還存在遠(yuǎn)程辦公的需求。因此在認(rèn)證方式上必然存在多種形式,除了基礎(chǔ)的802.1X或portal認(rèn)證方式之外,還可能存在L2TP+IPSec 以及SSL VPN等遠(yuǎn)程接入方式,或者是需要考慮如何在MPLS的環(huán)境下實(shí)現(xiàn)接入認(rèn)證等。
各類不確定的認(rèn)證方式必然帶來(lái)管理上的復(fù)雜性,使得企業(yè)在實(shí)施這些認(rèn)證方式時(shí),很難建設(shè)完整的覆蓋各種人員的認(rèn)證鑒權(quán)系統(tǒng)。由于缺乏身份認(rèn)證,出于對(duì)資源冒用的擔(dān)心,企業(yè)會(huì)實(shí)施嚴(yán)格的限制策略進(jìn)行總部資源訪問(wèn)控制,或者只是有限開(kāi)放幾種應(yīng)用給廣域網(wǎng)分支,從而無(wú)法實(shí)現(xiàn)多業(yè)務(wù)分支的構(gòu)想。
(ii) 接入客戶端的安全狀況不可控性
廣域網(wǎng)分支辦事處員工本身因?yàn)楣ぷ餍再|(zhì)的關(guān)系,可以自由開(kāi)放的使用諸如USB和移動(dòng)硬盤(pán)等形式的存儲(chǔ)介質(zhì),而這也將成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)關(guān)鍵來(lái)源。同時(shí),分支機(jī)構(gòu)終端通過(guò)廣域網(wǎng)線路進(jìn)行統(tǒng)一的補(bǔ)丁分發(fā)和修復(fù),大數(shù)量的并發(fā)操作,會(huì)給廣域網(wǎng)帶寬帶來(lái)重大負(fù)荷。在這種情況下,如何實(shí)現(xiàn)對(duì)接入客戶端的安全可控?如何在廣域網(wǎng)下進(jìn)行統(tǒng)一的終端接入控制管理?如何實(shí)現(xiàn)集中式的統(tǒng)一管理?在各接入客戶端的隨意個(gè)性化使用的同時(shí),如何保證客戶端本身的安全狀態(tài)?
(iii) 多業(yè)務(wù)分支建設(shè)和廣域網(wǎng)鏈路服務(wù)質(zhì)量之間的矛盾
在廣域網(wǎng)分支的業(yè)務(wù)擴(kuò)充過(guò)程中,更多的業(yè)務(wù)被引入到分支機(jī)構(gòu),這意味著可能需要消耗更多的廣域網(wǎng)鏈路帶寬。對(duì)于諸如語(yǔ)音視頻會(huì)議等對(duì)時(shí)延敏感的業(yè)務(wù),則需要提供更高的QoS服務(wù)質(zhì)量來(lái)進(jìn)行保證。這將導(dǎo)致:一方面,企業(yè)需要不斷的擴(kuò)容廣域網(wǎng)鏈路的帶寬,以使分支承載更多的業(yè)務(wù)部署;另一方面,擴(kuò)容必然導(dǎo)致網(wǎng)絡(luò)建設(shè)維護(hù)成本的提高,且不能保證完全達(dá)到預(yù)期的效果。往往是帶寬上去了,但有時(shí)候部分關(guān)鍵業(yè)務(wù)仍然沒(méi)有得到足夠的帶寬,反而是其他一些優(yōu)先級(jí)相對(duì)較低的業(yè)務(wù)侵占了本來(lái)就很有限的鏈路帶寬。如何解決這個(gè)矛盾?
(iv) 更側(cè)重“點(diǎn)狀”的安全防護(hù),缺乏系統(tǒng)的關(guān)聯(lián)耦合和統(tǒng)一的安全管理
與園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心的安全策略部署的規(guī)范有序相比,廣域網(wǎng)分支在安全建設(shè)的重點(diǎn)上顯得不夠清晰。由于廣域網(wǎng)分支本身只是業(yè)務(wù)的使用部門(mén),不提供對(duì)周邊部門(mén)的支撐服務(wù),也很少涉及到大量服務(wù)器的安全防護(hù)。這使得現(xiàn)階段很多廣域網(wǎng)分支本身的安全防護(hù)比較簡(jiǎn)單:企業(yè)通常的考慮是在分支出口部署防火墻實(shí)現(xiàn)基本的訪問(wèn)控制和安全隔離,或者要求員工PC終端安裝殺毒軟件,或者是針對(duì)一些企業(yè)的關(guān)鍵應(yīng)用通過(guò)IP五元組等方式進(jìn)行帶寬的限制。這些安全防護(hù)策略更多的是體現(xiàn)在“點(diǎn)狀”的安全防護(hù)上,只是解決了安全防護(hù)的有無(wú)問(wèn)題,但是系統(tǒng)之間缺乏有效的關(guān)聯(lián)耦合;同時(shí)網(wǎng)絡(luò)中可能存在多類型安全設(shè)備,日志格式的差異和配置方法的不同,將導(dǎo)致無(wú)法實(shí)現(xiàn)對(duì)多設(shè)備安全日志的統(tǒng)一關(guān)聯(lián)分析和總體把握,日常管理維護(hù)效率不高。 #p#
廣域網(wǎng)安全部署的整體思路和方案實(shí)施建議
(i) 廣域網(wǎng)分支安全建設(shè)的整體思路
1. 重點(diǎn)關(guān)注客戶端的接入安全,建立完整的安全準(zhǔn)入機(jī)制,實(shí)現(xiàn)對(duì)用戶的認(rèn)證鑒權(quán)
在廣域分支的安全建設(shè)過(guò)程中,員工的接入行為是造成安全風(fēng)險(xiǎn)的重要因素。因此需要合理規(guī)范員工的安全接入行為,針對(duì)不同屬性的員工設(shè)定差異化的終端準(zhǔn)入訪問(wèn)策略,并通過(guò)靈活的技術(shù)手段,實(shí)現(xiàn)對(duì)客戶端安全準(zhǔn)入組件(如殺毒軟件、操作系統(tǒng))的補(bǔ)丁自動(dòng)升級(jí)維護(hù),對(duì)于部分關(guān)鍵業(yè)務(wù)嚴(yán)格設(shè)定用戶訪問(wèn)權(quán)限,確保整個(gè)廣域分支用戶的“合規(guī)”訪問(wèn)。
2. 強(qiáng)調(diào)企業(yè)分支數(shù)據(jù)傳輸通道的安全性,為固定和移動(dòng)接入用戶創(chuàng)造安全的接入環(huán)境
結(jié)合廣域分支辦事處員工的工作實(shí)際,通過(guò)遠(yuǎn)程接入VPN等方式實(shí)現(xiàn)對(duì)移動(dòng)用戶辦公的支持,同時(shí)對(duì)于企業(yè)分支和總部之間的傳輸線路。在保證安全的前提下可以利用VPN進(jìn)行加密,實(shí)現(xiàn)統(tǒng)一的VPN安全傳輸。在產(chǎn)品的選擇上,要考慮選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢(shì)的產(chǎn)品,實(shí)現(xiàn)一體化的VPN安全網(wǎng)關(guān),以減少系統(tǒng)維護(hù)的工作。
3. 持續(xù)進(jìn)行廣域網(wǎng)鏈路質(zhì)量的優(yōu)化,保障關(guān)鍵應(yīng)用的服務(wù)質(zhì)量,提升應(yīng)用的交付性能
在規(guī)劃建設(shè)多業(yè)務(wù)的廣域分支時(shí),無(wú)論是通過(guò)廣域網(wǎng)的專線互聯(lián),還是利用internet鏈路進(jìn)行互聯(lián),都需要考慮到多業(yè)務(wù)對(duì)帶寬的占用情況。除了不斷的擴(kuò)容之外,持續(xù)的優(yōu)化廣域分支的鏈路質(zhì)量,對(duì)分支業(yè)務(wù)進(jìn)行優(yōu)先級(jí)排序并合理安排帶寬占用比例,可以有效的分支業(yè)務(wù)的服務(wù)質(zhì)量和交付性能,同時(shí)也可以減緩廣域分支鏈路擴(kuò)容維護(hù)的壓力,用最小的代價(jià)獲得更大的收益。
4. 合理劃分廣域網(wǎng)的安全區(qū)域,加固防護(hù)邊界安全風(fēng)險(xiǎn),實(shí)現(xiàn)整體安全事件的統(tǒng)一管理
邊界安全防護(hù)和安全域的劃分一直是安全建設(shè)的重點(diǎn),對(duì)于廣域網(wǎng)的安全建設(shè)來(lái)說(shuō)也不例外。在廣域網(wǎng)的總部匯聚場(chǎng)合,除了部署傳統(tǒng)的防火墻等產(chǎn)品,還可以根據(jù)對(duì)外提供服務(wù)器的位置部署諸如入侵防護(hù)等產(chǎn)品;在廣域網(wǎng)的分支,安全邊界的建設(shè)重點(diǎn)聚焦在廣域網(wǎng)分支出口的位置。同時(shí)針對(duì)這些安全防護(hù)策略,將廣域分支的安全事件進(jìn)行集中的上報(bào)和統(tǒng)一的安全管理,可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)狀況,為后續(xù)的策略調(diào)整提供技術(shù)的支撐。
(ii) 廣域網(wǎng)分支安全方案實(shí)施建議
如圖1所示為廣域網(wǎng)安全部署的典型組網(wǎng)。考慮到廣域網(wǎng)分支的關(guān)鍵業(yè)務(wù)職能是滿足分支到總部的集中訪問(wèn),及部分總部應(yīng)用到分支的及時(shí)交付,在進(jìn)行分支的安全部署時(shí),可以重點(diǎn)關(guān)注以下幾個(gè)方面:
1. 建設(shè)綜合的VPN接入平臺(tái)
無(wú)論是采用專線方式接入或者是采用internet進(jìn)行廣域分支互聯(lián),在涉及到傳輸通道的加密安全方面,采用合適的VPN技術(shù)進(jìn)行數(shù)據(jù)加密傳輸是必然的選擇。面對(duì)企業(yè)的多樣化需求,在部署綜合VPN接入平臺(tái)時(shí),需要考慮以下幾個(gè)方面:
1) 按需選擇技術(shù)實(shí)現(xiàn)。為確保遠(yuǎn)程分支固定接入點(diǎn)人員和總部的數(shù)據(jù)安全,選擇site-to-site IPSec VPN實(shí)現(xiàn)分支和總部的鏈路加密,為了保證路由協(xié)議的正常交付,建議采取GRE+IPSec的方式。
2) 針對(duì)內(nèi)部員工遠(yuǎn)程移動(dòng)訪問(wèn)的需求,如果需要訪問(wèn)較多的內(nèi)部資源,原則上建議采用L2TP+IPSec的遠(yuǎn)程接入方式,同時(shí)客戶端要求使用iNode VPN客戶端,以便實(shí)現(xiàn)較嚴(yán)格的端點(diǎn)安全接入檢查;針對(duì)部分合作方員工的遠(yuǎn)程接入訪問(wèn)需求,可以采取SSL VPN的方式進(jìn)行,用戶不需要客戶端軟件,而且對(duì)于訪問(wèn)的資源管理員將嚴(yán)格限定,避免客戶端的安全風(fēng)險(xiǎn)對(duì)網(wǎng)絡(luò)造成大的影響。
3) 在具體的認(rèn)證方式上,對(duì)于L2TP+IPSec的接入或者是SSL VPN的接入,無(wú)論是采取USBKEY或者是token令牌都可以很好的保證認(rèn)證安全。
4) 在總部資源的訪問(wèn)上,嚴(yán)格限制通過(guò)SSL VPN接入的訪問(wèn),以保密度不高的web類訪問(wèn)為主。
5) 在設(shè)備的選擇上,分支設(shè)備建議采取UTM多功能網(wǎng)關(guān),在實(shí)現(xiàn)基礎(chǔ)的安全防護(hù)功能的同時(shí),兼作為VPN client網(wǎng)關(guān)設(shè)備;在總部VPN網(wǎng)關(guān)的選擇上,如果是中小企業(yè)建議選擇IPSec VPN和SSL VPN網(wǎng)關(guān)合一的設(shè)備進(jìn)行部署,這種方式可以簡(jiǎn)化組網(wǎng)結(jié)構(gòu);對(duì)于大型廣域網(wǎng)而言,可以旁掛部署專業(yè)的高性能SSL VPN網(wǎng)關(guān)配合高性能防火墻IPSEC VPN網(wǎng)關(guān)實(shí)現(xiàn)綜合的VPN接入。
6) 從可靠性的角度,總部VPN網(wǎng)關(guān)建議進(jìn)行HA雙機(jī)部署,保證故障情況下的雙機(jī)業(yè)務(wù)切換。
圖1 企業(yè)綜合VPN組網(wǎng)示意圖
2. 優(yōu)化安全域的隔離和控制,實(shí)現(xiàn)L2-L7層的應(yīng)用安全防護(hù)
在建設(shè)安全邊界防護(hù)控制過(guò)程中,面對(duì)企業(yè)的多個(gè)業(yè)務(wù)部門(mén)和分支機(jī)構(gòu),合理安全域劃分是保證安全防護(hù)效果的重要環(huán)節(jié)。尤其是通過(guò)internet實(shí)現(xiàn)廣域各分支安全接入的企業(yè),遠(yuǎn)程分支和internet之間的安全邊界,企業(yè)總部匯聚和internet的安全邊界,企業(yè)總部的DMZ安全防護(hù),各遠(yuǎn)程分支之間的安全隔離和訪問(wèn)控制等需求更加明顯。在具體的安全域隔離和防護(hù)方面,主要的部署建議如下:
1) 廣域網(wǎng)遠(yuǎn)程分支的安全防護(hù),建議使用多功能合一的UTM產(chǎn)品實(shí)現(xiàn),除了傳統(tǒng)的安全隔離之外,如果遠(yuǎn)程分支具備internet邊界,利用該產(chǎn)品還可以實(shí)現(xiàn)對(duì)web類應(yīng)用威脅的訪問(wèn)控制,anti-virus和IPS等特性都可以很好的保證這一點(diǎn)。
2) 在遠(yuǎn)程分支的內(nèi)部,基于UTM產(chǎn)品實(shí)現(xiàn)對(duì)安全區(qū)域的嚴(yán)格劃分,各個(gè)業(yè)務(wù)部門(mén)可以有自己獨(dú)立的安全域,通過(guò)安全域可以很好的實(shí)現(xiàn)相互之間的訪問(wèn)控制。
3) 總部廣域匯聚區(qū)域的安全隔離方面,需要考慮各個(gè)分支之間的安全隔離,涉及到internet接入方式的情況下,還需要考慮DMZ安全區(qū)域的安全防護(hù),需要考慮對(duì)web應(yīng)用層安全威脅的防護(hù);其整體的部署示意圖如圖2所示。
4) 在設(shè)備形態(tài)方面,對(duì)于廣域網(wǎng)的總部匯聚位置,建議使用多功能集成的安全平臺(tái),通過(guò)在交換路由平臺(tái)集成高性能的安全模塊進(jìn)行組網(wǎng),以簡(jiǎn)化設(shè)備的部署和管理。
5) 在設(shè)備的功能要求方面,除了傳統(tǒng)的安全特性之外,如果設(shè)備支持的情況下,可以考慮使用虛擬化防火墻特性,實(shí)現(xiàn)不同業(yè)務(wù)之間或者是企業(yè)不同分支之間的徹底安全隔離,如圖3所示。
圖2 廣域網(wǎng)安全典型部署組網(wǎng)
圖3 廣域分支和總部防火墻虛擬化部署
3. 強(qiáng)調(diào)廣域網(wǎng)應(yīng)用的交付質(zhì)量,聚焦低成本的廣域網(wǎng)帶寬管理和優(yōu)化
面對(duì)多業(yè)務(wù)廣域分支建設(shè)對(duì)高帶寬的需求,單純的鏈路擴(kuò)容并不能解決可持續(xù)性發(fā)展的問(wèn)題。如果選擇昂貴的廣域網(wǎng)優(yōu)化設(shè)備,建設(shè)成本會(huì)提高很多給企業(yè)帶來(lái)壓力。在這種情況下,利用現(xiàn)有的深度業(yè)務(wù)識(shí)別技術(shù),在充分了解現(xiàn)有鏈路帶寬的利用情況下,優(yōu)先保證重點(diǎn)業(yè)務(wù)的服務(wù)質(zhì)量、并有策略的限制與工作無(wú)關(guān)的流量,也可以在一定程度上緩解多業(yè)務(wù)應(yīng)用和高帶寬之間的矛盾,業(yè)務(wù)部署流程如下:
1)先看:通過(guò)設(shè)備部署對(duì)現(xiàn)有網(wǎng)絡(luò)流量應(yīng)用情況進(jìn)行學(xué)習(xí)監(jiān)控,獲取整個(gè)廣域分支的流量分布和帶寬占用情況,同時(shí)依托智能管理平臺(tái)實(shí)現(xiàn)業(yè)務(wù)的多維度精細(xì)化呈現(xiàn),幫助網(wǎng)絡(luò)維護(hù)人員真正了解企業(yè)網(wǎng)絡(luò)狀況。
2)后控:在深度業(yè)務(wù)識(shí)別的基礎(chǔ)上,根據(jù)自身的業(yè)務(wù)優(yōu)先級(jí),對(duì)業(yè)務(wù)流量進(jìn)行優(yōu)先級(jí)的標(biāo)記,對(duì)高優(yōu)先級(jí)業(yè)務(wù)進(jìn)行帶寬的保證,對(duì)工作無(wú)關(guān)業(yè)務(wù)實(shí)現(xiàn)速率限制或者丟棄,確保帶寬不被濫用。
3)再調(diào)整:策略部署完成之后,可以基于可視化的報(bào)表平臺(tái),進(jìn)一步監(jiān)控分析策略部署的效果,同時(shí)可以根據(jù)實(shí)時(shí)的業(yè)務(wù)需求繼續(xù)對(duì)策略進(jìn)行調(diào)整控制,以便做到對(duì)業(yè)務(wù)從識(shí)別到控制再到調(diào)整再到監(jiān)控的閉環(huán)流程。如圖4所示。
圖4 廣域網(wǎng)業(yè)務(wù)識(shí)別和流量管理典型部署示意圖
4. 實(shí)施端點(diǎn)安全準(zhǔn)入控制,確保分支網(wǎng)絡(luò)接入安全
盡管很多客戶端PC都已經(jīng)安裝有專業(yè)的殺毒軟件,但是由于安全狀況不可控的終端接入而導(dǎo)致整個(gè)分支網(wǎng)絡(luò)受到病毒攻擊的行為仍然時(shí)有發(fā)生,因此對(duì)于終端的安全接入控制顯得尤其重要。考慮到廣域網(wǎng)分支的組網(wǎng)環(huán)境,典型的部署建議如下:
1)在認(rèn)證網(wǎng)關(guān)的選擇上,建議使用廣域分支出口設(shè)備或總部入口作為認(rèn)證網(wǎng)關(guān),實(shí)現(xiàn)集中的portal認(rèn)證;用戶通過(guò)廣域網(wǎng)訪問(wèn)總部數(shù)據(jù)需要進(jìn)行安全認(rèn)證和端點(diǎn)健康狀況的檢查,在保證訪問(wèn)控制權(quán)限的基礎(chǔ)上,確保總部資源不會(huì)因?yàn)榻K端安全風(fēng)險(xiǎn)而受到影響。
2)企業(yè)所有用戶均集中到企業(yè)總部的EAD管理中心進(jìn)行認(rèn)證;對(duì)于個(gè)分支機(jī)構(gòu)管理員賦予分權(quán)管理能力,即分支機(jī)構(gòu)的管理員可登錄企業(yè)總部的EAD管理中心,對(duì)于其分支機(jī)構(gòu)的接入用戶、接入設(shè)備和安全策略進(jìn)行維護(hù)管理,而無(wú)權(quán)訪問(wèn)其它機(jī)構(gòu)的EAD信息。
3)認(rèn)證服務(wù)器、補(bǔ)丁服務(wù)器等可集中部署、統(tǒng)一管理,便于執(zhí)行全網(wǎng)一致的安全策略、降低分支維護(hù)管理的復(fù)雜度。同時(shí)還可支持服務(wù)器分布部署、分權(quán)管理、分級(jí)管理等應(yīng)用方案。
4)對(duì)于小于50人、且廣域帶寬比較緊張的分支,建議將終端分成N組,每次同時(shí)有1/N的用戶升級(jí),并且下發(fā)基于用戶和業(yè)務(wù)的QoS策略,控制升級(jí)業(yè)務(wù)對(duì)帶寬的占用;對(duì)于大于50人的分支,建議在遠(yuǎn)程分支內(nèi)部署區(qū)域補(bǔ)丁服務(wù)器服務(wù)器,在線路閑時(shí)與中心補(bǔ)丁服務(wù)器同步,完成用戶本地補(bǔ)丁自動(dòng)升級(jí)
5)基于上述的組網(wǎng)模型,可以忽略分支內(nèi)部多廠商的設(shè)備組網(wǎng),無(wú)需調(diào)整分支內(nèi)部網(wǎng)絡(luò),即能實(shí)現(xiàn)安全加固的平滑升級(jí)。如圖5所示。
圖5 廣域網(wǎng)分支端點(diǎn)準(zhǔn)入典型組網(wǎng)圖
5. 建設(shè)統(tǒng)一的安全管理平臺(tái),實(shí)現(xiàn)對(duì)整網(wǎng)安全的“可視、可控和可管”
優(yōu)秀的安全管理平臺(tái),不但可以實(shí)現(xiàn)對(duì)整個(gè)廣域分支和總部網(wǎng)絡(luò)的多設(shè)備統(tǒng)一配置管理,同時(shí)可以作為整網(wǎng)安全事件的集中處理平臺(tái),通過(guò)對(duì)整網(wǎng)安全日志的關(guān)聯(lián)分析,發(fā)現(xiàn)各廣域分支存在的安全攻擊事件,從而為防護(hù)策略的制定及策略推送到指定安全設(shè)備提供基礎(chǔ),實(shí)現(xiàn)從安全事件的監(jiān)控-關(guān)聯(lián)分析-策略響應(yīng)-再監(jiān)控的閉環(huán)操作。具體的部署建議主要有4個(gè)方面:
1)在多廠商設(shè)備共存的情況下,要求各廠商設(shè)備的日志格式遵循統(tǒng)一日志規(guī)范,以便管理平臺(tái)分析。
2)需要根據(jù)自身的信息安全制度設(shè)定恰當(dāng)?shù)陌踩呗裕⒍ㄖ七m合自身需求的安全事件分析報(bào)表的模板。
3)對(duì)各種安全事件的優(yōu)先級(jí)制定緊急事件應(yīng)急響應(yīng)流程;加強(qiáng)對(duì)內(nèi)部員工的安全風(fēng)險(xiǎn)培訓(xùn)。
4)定期進(jìn)行安全事件的分析評(píng)審,結(jié)合當(dāng)前的安全威脅狀況調(diào)整安全策略,真正實(shí)現(xiàn)安全事件的可視、可控制和可管理。如圖6所示。
圖6 企業(yè)統(tǒng)一安全管理平臺(tái)邏輯示意圖
結(jié)束語(yǔ)
廣域網(wǎng)的安全體系的建設(shè),既離不開(kāi)通用安全建設(shè)理論(如ISO27001)的指導(dǎo),也需要考慮廣域網(wǎng)在自身業(yè)務(wù)開(kāi)展過(guò)程中的實(shí)際的安全需求。在理論結(jié)合實(shí)際的基礎(chǔ)上,通過(guò)不斷研究安全威脅的新變化,并及時(shí)動(dòng)態(tài)調(diào)整自身的安全防護(hù)策略,可以使得整個(gè)廣域網(wǎng)的安全防護(hù)體系與時(shí)俱進(jìn),為多業(yè)務(wù)廣域分支的建設(shè)保駕護(hù)航。
