企業(yè)網(wǎng)絡(luò)的安全設(shè)計是一項非常具有挑戰(zhàn)性和藝術(shù)性的工作，它包括風(fēng)險確定、模型設(shè)計、安全成本控制等等。本文將從幾個關(guān)鍵點方面向讀者介紹如何設(shè)計一個安全的企業(yè)網(wǎng)絡(luò)。

確定可接受的風(fēng)險

企業(yè)所有的信息系統(tǒng)都會導(dǎo)致企業(yè)風(fēng)險，引入風(fēng)險水平是否可以被接受最終是一個商業(yè)決策。風(fēng)險的可接受水平取決于不同組織自身的風(fēng)險承受能力。風(fēng)險厭惡型的企 業(yè)最終愿意接受較低的風(fēng)險水平并在已有系統(tǒng)中需要更多的安全控制。管理層的風(fēng)險承受能力是通過政策，程序，作業(yè)指導(dǎo)等方式傳遞給員工。一套完整的政策表達 了管理層的風(fēng)險偏好及其信息安全風(fēng)險的容忍度，使員工在設(shè)計和保障新系統(tǒng)和網(wǎng)絡(luò)時作出適當?shù)臎Q定。因此，基礎(chǔ)設(shè)施的設(shè)計和配置成為那些政策文件得以執(zhí)行的 保障。

一些組織不愿意承擔(dān)法律保護范圍之內(nèi)其他未知法律文書的更多風(fēng)險。隨著計算機信息和法律的迅速發(fā)展和變化，光美國的法律材料就有數(shù)百卷和數(shù)千個網(wǎng)頁。這甚 至沒有考慮到跨國公司所面臨的多個國家本土化操作問題。在政策的發(fā)展過程中政策將指導(dǎo)系統(tǒng)和網(wǎng)絡(luò)的設(shè)計，管理應(yīng)該花必要的時間和精力，以確定是否需要使用這些特殊的法律注意事項。

許多企業(yè)無意中違反某些法律，甚至還不知道（例如，存儲信用卡號碼不考慮支付卡行業(yè)的數(shù)據(jù)安全標準[PCI DSS]，或存儲病人數(shù)據(jù)未考慮健康保險流通與責(zé)任法案[HIPAA]的規(guī)定）修改實際控制應(yīng)用后產(chǎn)生的剩余風(fēng)險水平，因為，計劃的控制措施可能無法解決 在制定控制計劃之前未明確的風(fēng)險。

網(wǎng)絡(luò)的安全性設(shè)計

安全性是網(wǎng)絡(luò)設(shè)計中經(jīng)常被忽視的一個部分，從頭改造一個已有網(wǎng)絡(luò)的安全設(shè)計代價可能很大并且難以實施。根據(jù)不同的信任程度和安全要求分隔資產(chǎn)應(yīng)是任何新的 項目在設(shè)計階段的整體目標。將安全需求相似的資產(chǎn)整合在專門的區(qū)域，使得組織可以使用較少量的網(wǎng)絡(luò)安全設(shè)備,如防火墻、入侵檢測系統(tǒng)，保護和監(jiān)控多個應(yīng)用 程序系統(tǒng)。

另外的網(wǎng)絡(luò)設(shè)計影響因素包括預(yù)算，可用性的要求，網(wǎng)絡(luò)的規(guī)模和范圍，未來增長的預(yù)期，網(wǎng)絡(luò)容量的要求，以及管理層的風(fēng)險容忍度。例如，使用專用WAN鏈路 進行遠程辦公比使用虛擬專用網(wǎng)絡(luò)（VPN）更可靠，但其成本更高，尤其是需要長距離覆蓋。全冗余網(wǎng)絡(luò)可以很容易地從故障中恢復(fù)，但硬件費用成倍增加，以及 更多可用的路由路徑，并難以保障網(wǎng)絡(luò)流量的安全和隔離。

確定適當?shù)陌踩O(shè)計策略時，一個重要但常常錯過或不考慮的因素是確定如何使用網(wǎng)絡(luò)以及期望它支持哪些業(yè)務(wù)。良好的設(shè)計有助于在網(wǎng)絡(luò)建設(shè)完成后避免昂貴和困難的網(wǎng)絡(luò)改造。以下是幾個關(guān)鍵的網(wǎng)絡(luò)設(shè)計策略。

網(wǎng)絡(luò)設(shè)計模型

為了更清晰的描述整體設(shè)計好壞是如何影響系統(tǒng)安全的，我們以購物商場和機場設(shè)計為例。在一個購物商場里，為了使進出盡可能的方便，設(shè)計了很多入口和出口。 然而大量的出入口使得對商場出入控制的成本提高且難度加大。在各出入口都需要有安檢措施，識別和阻止不受歡迎的人。此外，安檢并非唯一的安全措施，在各種 措施部署完成后，每種措施必須保持正確配置和更新，以確保未經(jīng)授權(quán)的人無法隨意通過商場。
相比商場來說,一個機場的設(shè)計旨在讓所有乘客通過少量且嚴格的檢查站接受檢查。購物中心的網(wǎng)絡(luò)設(shè)計模型本質(zhì)上比機場周圍網(wǎng)絡(luò)的設(shè)計模型難以設(shè)計。有大量互聯(lián)的網(wǎng)絡(luò)安全設(shè)計本質(zhì)上難度更大，因為有大量訪問控制機制（諸如防火墻）必須部署和維護。

機場的設(shè)計并不僅僅考慮在一個航站樓內(nèi)對旅客的檢查。總的來說,機場采用高度分區(qū)分域的設(shè)計，有人需要通過任意兩個區(qū)域都需要進行安全檢查。并非所有的檢 查都是顯式的，一些監(jiān)控手段是被動的，包括攝像頭和機場便衣警員。在主要的航站樓和門區(qū)以及門區(qū)和飛機之間有顯式的檢查點，在機場內(nèi)部同樣有安檢措施，機 場員工進入內(nèi)部區(qū)域需要有特定的鑰匙,如行李間和停機坪等區(qū)域。

一般大城市機場都有多個航站樓分流旅客，這樣減少了安全問題在單個航站樓的影響面。這些更小、有更高的安全性的航站樓可以有更嚴格的安全檢查，并可以滿足 旅客不同級別的安全需求。允許乘客用不同的安全要求，如政治家和囚犯可被安全隔離，降低了某些人群對其他人可能造成的安全風(fēng)險。所有這些因素可以轉(zhuǎn)化為網(wǎng) 絡(luò)設(shè)計思想，如通過防火墻和認證系統(tǒng)控制網(wǎng)絡(luò)數(shù)據(jù)傳輸，利用網(wǎng)絡(luò)隔離不同的敏感級別的網(wǎng)絡(luò)數(shù)據(jù)，以及通過監(jiān)測系統(tǒng)來檢測未經(jīng)授權(quán)的活動。

設(shè)計一個合適的網(wǎng)絡(luò)

人們對網(wǎng)絡(luò)總會有眾多的需求和期望,如滿足甚至超越組織對可用性和性能的要求,提供一個有利于保護網(wǎng)絡(luò)敏感資產(chǎn)的平臺,并能與其他網(wǎng)絡(luò)高效和安全的互聯(lián)。 最重要的是，網(wǎng)絡(luò)總體設(shè)計必須提供可擴展能力,支持將來對網(wǎng)絡(luò)需求。正如之前對機場和購物商場的類比，整體網(wǎng)絡(luò)設(shè)計會影響組織提供與該網(wǎng)絡(luò)存在風(fēng)險相稱的 安全防護水平的能力。

為了設(shè)計和維護一個符合用戶需求的網(wǎng)絡(luò),網(wǎng)絡(luò)架構(gòu)師和工程師必須充分理解用戶需要什么。最好的辦法是讓那些構(gòu)架師和工程師參與應(yīng)用開發(fā)的過程。盡早參與開 發(fā)周期的全過程，工程師可以提出更安全的設(shè)計和網(wǎng)絡(luò)拓撲，并能保證項目團隊對安全考慮和能力有一個清晰的認識。此外,他們可以確保新項目能夠更好的兼容現(xiàn) 有的企業(yè)基礎(chǔ)設(shè)施。

獲得這類信息的一般方法包括與項目干系人、應(yīng)用程序和系統(tǒng)所有者、開發(fā)者、管理層和用戶會面。對于新項目的性能、安全性、可用性、預(yù)算和總體重要性，理解 他們的期望和需求是十分重要的。充分理解這些因素將確保項目目標符合需求,并在設(shè)計中考慮合適的網(wǎng)絡(luò)性能優(yōu)化和安全控制機制。在網(wǎng)絡(luò)實施過程中的一個最普 遍的問題是由于假設(shè)的不同導(dǎo)致未滿足預(yù)期的目標。這就是為什么預(yù)期應(yīng)該盡可能多的分解成相互看得見的(可測量)盡可能多的事實,所以安全設(shè)計師要保證任何 功能建議都有清晰易懂并且被簽署的顯式協(xié)議。

控制安全的成本

實施安全控制機制是需要費用的，包括購買、部署和運維等,并且實現(xiàn)這些系統(tǒng)的冗余方式會顯著增加成本。為一個系統(tǒng)或網(wǎng)絡(luò)考慮適當?shù)娜哂嗪桶踩刂茩C制時, 可創(chuàng)建一系列負面場景如發(fā)生安全漏洞或系統(tǒng)停運，這有助于確定組織在每次事件所花費的成本。這種風(fēng)險模型方法能夠幫助管理者確定各種安全控制機制對于公司 的價值所在。

例如,修復(fù)一個安全漏洞或在非工作日處理系統(tǒng)中斷事件產(chǎn)生了哪些費用？一定要包括直接損失，例如銷售損失、生產(chǎn)率降低、更換費用等，同時也要考慮間接損 失，例如組織聲譽受損、品牌力下降、客戶信心下降等。根據(jù)預(yù)期損失的估算值，公司可確定合適的支出水平。例如，花費20萬美元升級交易系統(tǒng)實現(xiàn) 99.999%的可用性，也許表面上看起來過于昂貴，但如果系統(tǒng)宕機可能造成公司每小時25萬美元的損失，這筆費用就顯得微不足道了。

務(wù)必強調(diào)網(wǎng)絡(luò)可用性

網(wǎng)絡(luò)可用性要求系統(tǒng)具備一定的彈性，并可及時為用戶提供服務(wù)（也就是當用戶需要時即可用）。與可用性相對的概念是拒絕服務(wù)，也就是當用戶需要時無法及時訪 問到資源。拒絕服務(wù)可以是故意的（例如，惡意的個人行為）或是意外的（如硬件或軟件發(fā)生故障）。不可用系統(tǒng)使企業(yè)失去收入，降低員工的工作效率，而且還會 以無形的方式（如消費者失去信心和負面宣傳）使得組織遭受損失。業(yè)務(wù)可用性需求使得一些組織建立備份數(shù)據(jù)中心，進行系統(tǒng)和數(shù)據(jù)的實時鏡像，實現(xiàn)故障切換， 降低自然災(zāi)害或恐怖襲擊摧毀他們唯一數(shù)據(jù)中心的風(fēng)險。

根據(jù)具體的業(yè)務(wù)和風(fēng)險因素，冗余往往會增加成本和復(fù)雜性。確定合適的可用性和冗余級別是一個重要的設(shè)計元素，這是由業(yè)務(wù)需求和資源可用性之間的平衡點所決定的。

確保可用性的最佳做法是在整個架構(gòu)中避免單點故障。這可能需要在硬件、網(wǎng)絡(luò)和應(yīng)用程序功能提供冗余和故障切換的能力。完全冗余方案的部署和維護是非常昂貴的，因為隨著故障切換機制數(shù)量的增加，系統(tǒng)的復(fù)雜性增加，這樣會提高支持成本和故障排除的復(fù)雜程度。

應(yīng)用程序的可用性應(yīng)經(jīng)過評估，以確定系統(tǒng)不可用對財務(wù)及業(yè)務(wù)的影響。執(zhí)行這項評估將有助于管理層針對某個特定網(wǎng)絡(luò)或應(yīng)用程序，在故障切換機制、成本和復(fù)雜 性之間找到最佳的平衡點。眾多的安全設(shè)備廠商有故障切換機制解決方案，當主防火墻發(fā)生故障時，備份防火墻會承擔(dān)相關(guān)的處理責(zé)任。除了防火墻，路由器也可以 被部署為高可用性配置。

要了解需要哪種冗余，就要盡量確定業(yè)務(wù)正常運行多長時間后，可能出現(xiàn)故障。防火墻或路由器的冗余解決方案只是實現(xiàn)一個完整的高可用性網(wǎng)絡(luò)構(gòu)架的其中一步。 例如，兩個防火墻被接入到同一臺交換機的時候，高可用性防火墻解決方案就沒有價值，因為該交換機存在單點故障，在其正常運行過程中的任何中斷都將使得防火 墻中斷，無法體現(xiàn)防火墻故障切換機制的價值。該問題同樣適用于路由器，如果連接防火墻和其余網(wǎng)絡(luò)之間只有一臺路由器，那么該路由器的故障也會導(dǎo)致整個網(wǎng)絡(luò) 中斷。

一個真正的高可用性設(shè)計將在交換機、網(wǎng)絡(luò)、防火墻和應(yīng)用程序?qū)用嫔隙疾捎萌哂嗟挠布M件。在消除故障點時，一定要考慮所有可能的組件。你可能希望通過備用 電池提供可靠的電源，通常稱為不間斷電源（UPS），甚至是一臺應(yīng)急發(fā)電機以應(yīng)對可能的長時間中斷的風(fēng)險。設(shè)計師應(yīng)考慮提供多個互聯(lián)網(wǎng)服務(wù)供應(yīng)商的互聯(lián)網(wǎng) 連接服務(wù)，以防止某個供應(yīng)商網(wǎng)絡(luò)出現(xiàn)問題時影響到組織。

今天的高可用性的設(shè)計在現(xiàn)代數(shù)據(jù)中心、網(wǎng)絡(luò)和計算架構(gòu)中已經(jīng)達到很高的水平，，從設(shè)施本身到運行于最終用戶的應(yīng)用程序。負載平衡器在保障網(wǎng)絡(luò)服務(wù)的可用性 和性能方面也發(fā)揮了重要作用。今天的應(yīng)用交付技術(shù)正在被用于保障安全性和可用性。在某些情況下，企業(yè)已經(jīng)完全摒棄了Web端，而是直接在應(yīng)用交付控制器 （ADC）上操作，它能提供優(yōu)化的應(yīng)用和網(wǎng)絡(luò)性能。