外洗、内控、中隔离 (转)
开篇第一论点,我们需要认识的是何谓安全、何以安全!!!
如果网络已经成为江湖,缺乏安全防范的我们, 如何敢说可以笑傲这个江湖
就像当初做防火墙产品一样,如今做全网安全的厂商如雨后春笋,可是,仔细考察,大部分厂商实际最终还是推销某一个产品而已,要么只做安全全网的一个角落而已,要么一个产品依赖于一个或多个其他厂商产品;
那么,我们的网络需要什么样的安全架构?
答:统一、全网、自防御架构,让网络就像人体一样,具有自我免疫功能;这才是真正需要的安全发展方案,尤其现在网络威胁是动态变化,更需要“零日”自防御保护的网络!!!!
外洗、内控、中隔离,这才是规模IT安全发展的正确方向!这样才是全面的安全考量!
何谓“外洗”:来自企业网络外的攻击,需要在边界过滤清洗掉,就像我们家用洗衣机一样,要把污渍洗掉而不能把合法的网络数据过滤掉,而将正常数据留给用户;
这一点,可以企业自身部署实现,也可以通过购买电信的清洗服务完成;如果企业自己实现,那么攻击数据时通过外网线路已经进入企业边界网络;而购买电信服务,可以避免恶意数据占用企业出口到电信的带宽;
何谓“内控”:企业网络需要加强自身控制,需要全网监控;企业服务器、个人PC机,需要安全加固;企业外来人员,需要隔离以保护企业网络;企业网络的安全事件有控制性的联动,而不是孤立的事件报告;
何谓“中隔离”:企业网络按照功能可以分为多种不同安全级别的功能网络区域,这些区域之间,互相访问需要加强隔离/控制;即,企业大网络是需要建立安全区域划分的;
所以,作为大型企业,要做安全,就要做统一的、全网络的、具备自我防御、适应动态威胁的安全架构体系,这样,才具备未来不断发展的考验;
论述至此,业界能真正做到如此有价值的全网络安全架构,我们推荐Cisco!!!
先说“外洗”:目前Cisco这个领域的解决方案业界独一无二,也有厂商在模仿Cisco方案,但最终以失败告终,我们也正在将电信的某些客户从其他厂商迁移到Cisco,电信的某些用户甚至跟贵公司同处于同一个IDC里,有的厂商甚至通过恶意攻击用户而推销他们的产品,到最后还是被绳之以法,
其次说“内控”: Cisco的MARS,全网络安全架构的“大脑”,Cisco-MARS的功能就是可以接受各种设备的事件和数据,进行事件分析.汇总、然后根据需要生成相关的报告结果. 以达到识别和消除网络攻击;Cisco的网络准入控制(NAC、新版本的CCA),让任何服务器/主机进入网络前就必须接受公司策略检查;Cisco的CSA,为服务器和主机PC的加固/防护包括公司敏感数据保护;
再说“中隔离”:按照功能区的安全域划分,在执行完办公OA全网络准入控制、安全事件全网络实时检查后,建议从更高层次确保贵公司为每个功能区建立安全区域,这些域相互访问又相互隔离;