在互聯網公司如何設計合理的網絡安全架構

在互聯網公司網絡安全建設中，不可避免會接觸到網絡架構。健壯且彈性的網絡安全架構是做好網絡安全管理的關鍵。那么如何設計一個適用的且合規的網絡安全架構呢。本文將以筆者的實踐進行了總結分享。為了讓大家對互聯網公司的網絡安全架構先有一個直觀的感受，分享一下之前在一個互聯網公司網絡安全建設中參與規劃的一個網絡架構。

東西/原料

億圖圖示
收集架構拓撲常識

方式/步調

1
思慮為什么要進行收集架構扶植
是為領會決什么現實問題，網站被入侵，數據被盜，仍是因為等保合規需要，仍是多方面身分需要。
這個問題的謎底很是關頭，決議了架構設計的規模、架構實施難度及當作等。
2
明白架構設計時遵循的原則
1、收集平安架構是辦事于營業的。這是根基前提。萬萬不要為了搞平安，把營業給搞死了。沒有絕對的平安，只有相對的平安。平安的素質其實是提高匹敵當作本。
2、分類分級原則；按照營業的特點及平安風險承受價格、營業聯系水平來對營業進行分區劃域。好比營業是否需要拜候外網，資產在等保中的主要性水平，資產在公司的價值凹凸等。
3
明白收集架構的平安法則
以DMZ區為例，法則如下：
1.內網可以拜候DMZ
此策略是為了便利內網用戶利用和辦理DMZ中的辦事器。
2.外網可以拜候DMZ
DMZ中的辦事器自己就是要給外界供給辦事的，所以外網必需可以拜候DMZ。同時，外網拜候DMZ需要由防火墻完當作對外埠址到辦事器現實地址的轉換。
3.DMZ不克不及拜候內網
很較著，若是違反此策略，則當入侵者攻下DMZ時，就可以進一步進攻到內網的主要數據。確實有需要，可以采用代辦署理的體例。
4.DMZ不克不及拜候外網
此條策略也有破例，好比DMZ中放置郵件辦事器時，就需要拜候外網，不然將不克不及正常工作。
5、默認禁止原則。除非有合法營業需要，白名單開通拜候，不然一律禁止拜候。
4
評估平安投入和產出
平安投入若是大于平安所遭遇的損掉，那現實上是無效地投入。為了避免呈現這種環境，所以必然要進行平安投入和產出的評估，做好平安當作本和平安收益的均衡。若是投入太多，就需要調整架構，不必一口吻吃個胖子，分階段地來扶植。
5
組織評審
平安架構扶植，作為涉及到運維、平安、營業等多方合作的工作，前期設計完當作之后，必然要組織三方評審，告竣一致。評審完后，按照定見進行點竄完美。
END