信宏四季内网安全建设解决方案

author: 信宏四季

    这里从安全角度出发所要考虑的问题。

0 前提

0.1 组织网络总体来看，可以认为以核心交换机为中心，向四面八方伸出无数个网络接口(可以想象成飞机加油的油嘴)，网络设备通过网线接入这个网络接口，就可以接入组织网络。

0.2 普通的pc机可以当作集线器、桥设备、交换机、路由器等使用。

0.3 可以级联交换机等网络设备扩展网络系统。

1 网络建设
 
1.1 首要是网络准入

    这里的准入是广泛意义的。

    为什么是准入需要关注？ 看到0.1中说明，可以认为与Internet关联的网络接口只是众多网络接口的一个，而且这个接口有边界防火墙等来保障安全。

    那么其他的接口呢？某台计算机通过Internet可以和组织网络建立连接，是否可以去掉这个Internet的路由作用，这台计算机直接和组织网络连接，从而绕开了边界防火墙的管理？答案是肯定。 通过前提中提到几个条件，我们可以举例如下：

    最简单的办法，就是用网线直接连外来的计算机和组织内的计算机。

    外来计算机通过网线来接到工位网络接口，通过网络访问其他计算机或者服务器。进一步，如果服务器使用web方式的管理软件，就可以把服务器上资料下再到这个外来的计算机了(当然，这个需要内外勾结了)。

1.2 上网行为管理

     上网行为一定要规范。其实上网行为是为人员提供一个规范手段，也可以说时刻提醒用户什么操作时安全的，培养用户的安全意识。也许最后用户都有了很高的安全意识，就不需要这个功能了，不过这也许就是可望不可及的理想状态。毕竟人是自私或者好奇的，都有主观能动行的。

     上网行为一定要使用白名单特征：要设置能做什么，其他都drop掉。

2 终端安全管理

2.1 关注移动存储管理

2.2 关注本机数据加密

2.3 关注外发数据审核

2.4 不要再终端上使用上网行为管理，绕过他太easy, 而且做的功能也不全，简直就是摆设。

    建议模式：

     使用第三方版本管理软件管理文件；文件都存储再服务器上，本地根据权限留有文件拷贝；本地文件拷贝都是加密的或者都是再安全存储驱工作，防止通过虚拟机、第二操作系统等方式绕过管理，把文档泄漏出去；服务器上备份或者归档的文件建议都是明文的。

3 服务器安全管理

  服务器安全管理这里就说一点：访问认证授权。不但要对访问服务的人员认证，更要对访问服务所在的网络设备认证。否则谁能保证合法用户一定就再合法的计算机上访问服务，他就不能再私有的计算机上访问服务并把数据保存下来？

4 总结：

  以上整体上可以满足“数据为中心”的安全需求，其它安全产品的功能从数据安全的角度来说，都是无用的。

  希望大家再选择产品的时候不要追求大而全，而要的是能解决您的问题，才是最重要的。

  安全产品能够体现一种管理思想，辅助建立起有效的管理制度，这是好的产品，至少目前是这样的。    

  通过以上分析可以看出，一款安全产品理念很难吗？不难，而是缺少整体安全理念的系统化思维。