在互联网公司如何设计合理的网络安全架构

在互联网公司网络安全建设中，不可避免会接触到网络架构。健壮且弹性的网络安全架构是做好网络安全管理的关键。那么如何设计一个适用的且合规的网络安全架构呢。本文将以笔者的实践进行了总结分享。为了让大家对互联网公司的网络安全架构先有一个直观的感受，分享一下之前在一个互联网公司网络安全建设中参与规划的一个网络架构。

东西/原料

亿图图示
收集架构拓扑常识

方式/步调

1
思虑为什么要进行收集架构扶植
是为领会决什么现实问题，网站被入侵，数据被盗，仍是因为等保合规需要，仍是多方面身分需要。
这个问题的谜底很是关头，决议了架构设计的规模、架构实施难度及当作等。
2
明白架构设计时遵循的原则
1、收集平安架构是办事于营业的。这是根基前提。万万不要为了搞平安，把营业给搞死了。没有绝对的平安，只有相对的平安。平安的素质其实是提高匹敌当作本。
2、分类分级原则；按照营业的特点及平安风险承受价格、营业联系水平来对营业进行分区划域。好比营业是否需要拜候外网，资产在等保中的主要性水平，资产在公司的价值凹凸等。
3
明白收集架构的平安法则
以DMZ区为例，法则如下：
1.内网可以拜候DMZ
此策略是为了便利内网用户利用和办理DMZ中的办事器。
2.外网可以拜候DMZ
DMZ中的办事器自己就是要给外界供给办事的，所以外网必需可以拜候DMZ。同时，外网拜候DMZ需要由防火墙完当作对外埠址到办事器现实地址的转换。
3.DMZ不克不及拜候内网
很较着，若是违反此策略，则当入侵者攻下DMZ时，就可以进一步进攻到内网的主要数据。确实有需要，可以采用代办署理的体例。
4.DMZ不克不及拜候外网
此条策略也有破例，好比DMZ中放置邮件办事器时，就需要拜候外网，不然将不克不及正常工作。
5、默认禁止原则。除非有合法营业需要，白名单开通拜候，不然一律禁止拜候。
4
评估平安投入和产出
平安投入若是大于平安所遭遇的损掉，那现实上是无效地投入。为了避免呈现这种环境，所以必然要进行平安投入和产出的评估，做好平安当作本和平安收益的均衡。若是投入太多，就需要调整架构，不必一口吻吃个胖子，分阶段地来扶植。
5
组织评审
平安架构扶植，作为涉及到运维、平安、营业等多方合作的工作，前期设计完当作之后，必然要组织三方评审，告竣一致。评审完后，按照定见进行点窜完美。
END