在进行网络的规划、设计、开发、建设、实施过程中,首先要重点考虑网络系统的安全性要求,要从安全的角度规划、设计网络系统的架构;其次,考虑其他方面的安全性要求;再次,要满足用户的业务要求,要实现业务架构、功能、流程、接口标准四统一;最后,不要故步自封,要广纳贤才,引进先进的理念,要跟上时代的步伐,要与时俱进。
目前的业务信息处理系统大都是围绕大数据设计的,因此谁处理大数据的理念先进,谁就占尽了先机。
1.创新性原则
网络系统方案要采用国际先进、国内领先的数据平台框架,要能够满足企业日益增长的业务需要,要结合分布式存储与计算技术,运用成熟的硬件基础设备,搭建符合需求的网络系统,并在其基础上进行功能和性能的优化,应支持对海量的数据进行高效的分析和利用,应支持大量的多用户决策分析。
2.开放性原则
在设计网络系统框架时,要确保系统各层次资源的开放性和透明服务能力。网络系统需对外提供各种开发接口,包括完全兼容原生组件API接口,要支持SQL标准及PL/SQL标准,要提供JDBC/ODBC接口,应方便将传统业务场景向网络系统进行平滑迁移。
3.稳定性原则
要从体系架构、软硬件选型、运维保障、基础建设等多个层次对网络系统的稳定性进行规划设计,从而保障网络系统的稳定运行。
4.扩展性原则
在网络系统设计时,应将智能化业务流程与主流大数据处理架构相结合,要适应业务数据高速增长和业务需求变化带来的系统扩容需求,网络系统应具有良好的可扩展性。
5.兼容性原则
网络系统应允许接收各种专业数据以及可能在本地落地的各种数据,并提供友好的数据接收条件。
6.可行性原则
企业信息化是大趋势,在设计新的网络系统时,要按照行业统一的相关标准进行设计,使其具备与相关网络系统或平台进行组网的能力。
7.互通性原则
针对因特殊要求无法实现数据兼容的网络系统,网络系统应用框架应支持链接方式嵌入第三方应用,实现系统界面入口的统一性,便于各网络系统间的切换。
8.模块化原则
网络系统应将各项功能模块化,支持按模块化扩展功能,并能根据使用者权限及工作需要,使用相应工作模块的内容。
9.便捷化原则
网络系统应提供友好的系统界面、人性化的操作流程,应减少操作步骤和各界面间的切换,尽可能实现一键操作。
10.清晰化原则
网络系统中各项描述应直观、简洁、清晰,应使用通俗易懂的常规文字进行展示。
网络安全架构设计是为了保证网络系统的安全性。网络安全架构通常考虑的内容包括边界安全、接入安全、链路安全、数据安全等。此外,对网络系统实行分区域管理,对数据实行属地管理,能更好地增强网络系统的安全性。
具有网络安全特性的网络如图3-6所示。
下面结合图3-6进行简要的介绍。
1.边界安全方案
互联网接入区域可作为内部用户访问互联网的统一出口和外部用户访问内部网络信息的入口,其安全风险来源多且复杂。针对互联网出口存在的安全问题,通常通过部署防火墙、入侵防御系统等可以很好地解决访问控制、黑客扫描入侵、DDoS攻击等问题。
图3-6 具有网络安全特性的网络
2.接入安全方案
在网络系统接入安全方面,系统采用登录SSL VPN身份验证、权限划分、登录应用身份验证等,对网络系统中的用户提供有效的隔离保护。SSL VPN接入认证可采用用户名和密码、USB Key、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证方式的组合,用软硬结合多重组合的方式来确保接入身份的确定性。在用户接入SSL VPN后可以进行应用访问权限的划分,对于享有访问权限的应用系统,用户可采用主从账号绑定SSL VPN登录账号和应用系统账号进行统一认证登录。用户只可采用指定的账号访问应用系统,由于登录SSL VPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。由于所有访问业务服务器区的数据都将经由SSL VPN转发。对于用户权限外的应用,SSL VPN将自动阻断其连接,只留下SSL VPN设备对外服务的端口,屏蔽掉其他端口,这样能有效防止外部的攻击。SSL VPN的数据流处理方式可隐藏内网服务器区结构,并能对服务器访问的IP地址、域名进行伪装。SSL VPN在用户对服务器区发起访问时,通过SSL VPN登录认证、控制应用访问授权、对传输数据进行加密,从数据安全的角度就能提供隔离保护。
3.链路安全方案
网络系统采用VPN技术,建立SSL VPN隧道,利用RSA商密算法和SM国密算法(特殊情况下采用国密认证的商密、普密、核密算法)实现HTTPS加密协议,构建了安全的业务访问通道,使信息安全自主可控。
采用SSL VPN技术使运维管理更简单,能保障向外网传输密文数据的安全性;在内网中传输明文数据,方便网络设备对数据的深度分析处理。
4.数据安全方案
数据服务器承载着业务的核心数据和机密信息,因此数据服务器永远是最具吸引力的攻击目标,这样数据中心的安全建设就显得格外重要。
Web应用防火墙提供了二到七层双向内容检测功能,不仅能实时发现扫描、入侵、漏洞、破坏等安全问题,还能有效解决网页篡改、挂马、黑链、敏感信息泄露等问题,因此能对网站攻击的事前、事中、事后提供全面有效的安全防护。
5.分区域管理安全方案
对网络系统实行分区域管理,如图3-7所示。
图3-7 对网络系统实行分区域管理
对网络系统实行分区域管理,每个区域的网络系统采用异构操作系统,这样能更有效地阻止黑客攻击,延缓黑客攻击的速度,从而使想控制全网的黑客留下的痕迹更多,更容易暴露,而且网络安全管理员也能有更多的机会发现黑客的攻击行为,因此能很好地保护网络系统的安全。为了做好网络系统安全防护,可选用市场上现有的产品对网络系统进行安全防护,如表3-1所示。
表3-1 可选用的部分安全产品名录
总之,在进行网络安全方案设计时,要规划好各个区域及设备种类,如串接的边界安全设备区,在线监控的安全设备区,核心服务器区,核心工作区,普通服务器区,系统运维、监控区,办公区,普通外联区,网络系统的日志审计区(必要时可独立组网)。
此外,为了保证网络系统的安全性,在交换机或一些安全设备上进行VLAN划分也是行之有效的办法。