大的公司有专门的网络安全部门,网络安全是当成保险投入在做。就像每年的车辆保险,10万的车每年投入要在2%至3%。如果出了事,后果很严重,那么拿出可能造成损失的2~3%来预防损失,这笔账是算得过来的。
小公司或小部门在投入不足的情况下如何做网络安全。比如人员投入上只能投1-2个专职人员(人力成本在20-30万),每年必做的网络安全三级等保评测加网络整改投入在50万至 150万。听着挺多了,但这是国家的强制要求,如果不是网络安全法要求,这个投入真的有可能是零。
国家对不履行网络安全保护义务的处罚也是写进法律里的,对个人的处罚一般10万起步,对单位的处罚基本上就是50至100万了。数据安全法处罚力度做了加强,对单位的处罚,200万起步。就算是对冲处罚风险,这个投入也只能算是勉强及格。
在人力、资金投入的保障之外,网络安全该如何做?现在的网络安全基本上是一把手负责,因为责任从下到上,最终负责人是一把手。出了事儿,与网络安全沾边的人都不好过。重视程度,一个与投入挂钩,另一个就体现在焦虑程度上了。
当安全受到威胁了,是否焦虑是重视程度的第一体现。负责网络安全的都很焦虑,提心吊胆。完全不焦虑说明没有认识到事情的严重性,或者还没有受到来自外界的压力。这个我们把它叫事件驱动,大部分单位和公司都是事件驱动的。
还是以车险为例,现在没有人不买保险就上路,交强险是国家强制要求的,类似我们每年都要做的等保测评。这个投入是按系统来算的,一个系统多少钱。以前是一个系统10万,两三个系统就要20-30万。这个可以理解成是交强险,交强险并不能保平安,还得来点商业险保护自己可能遭受的损失。根据对可能遭受的损失估计,每家单位投入的会不同。如果好几年都不出事,这个投入就会减少,因为觉得风险变小了。突然有一天,爆了一个雷,导致公司遭遇了巨大的损失,公司会重新评估自己的重视程度,并超量投入来弥补之前的重视程度不足。这个就叫事件驱动。
事件驱动的网络安全是非常危险的,网络是否安全,不重视是不可能安全的,光重视不投入也是有的。因为能否投入不光重视就能解决,你得真有这个条件才能投入。手底下就几杆枪,手头还紧巴巴的,重视是足够重视了,就算把自己卖了每年也交不够一两百万保护费。
费用的上升是与需要保护的设备、系统体量正相关的。系统越少,安全做起来越简单。系统越多,相互之间耦合性越高,安全做起来越复杂,也更花钱。所有的事情,最后都可以通过成本核算搞清楚。网络安全看似是白花钱,实际上是成本核算,这个成本以前是完全不管的,业务只管通,完全不管是否安全,能用就行。做安全,实际上是在还以前欠的账。我们下面来算一下网络的成本。
2000至2010年这十年左右,社会工资水平保持还在2000至3000每月,那时网线成本在1元/米,电脑芯片在升级迭代,价格作为参考意义不大,但网线这种基础设施从20年前就基本固定了,变化不大,价格也是随着通货膨胀一起缓慢增长。当前成品线大概在3元/米,好的水晶头都要5毛一个,公司内100米左右的零星布线,大概市场价在300每根,这中间有线材、人工、包管儿、爬楼顶走线等各种成本,人员来回路费都要50,零星布线,300每根的确不贵,特别是要穿墙的那种。
也就是说每一台设备,从布线通网开始,它就在花钱。一根网线300,5年使用期(如果不搬家、不搬位置、不装修),每天的使用成本是1毛6。互联网的网费,大概每天2块线(100M宽带,720每年,各地运营商价格不同),一台300W功率的电脑24h运行,一天费用按商业电价(8毛每千瓦)大概是5.76元。以满负荷进行计算,最后再打个折。3000台终端一年的成本在7.92x3000x365 = 8,672,400,这个费用是八百万。有点不可置信,实际布线成本不到300每根,集中布线会降低成本。也不是每台电脑都需要布单独光纤,一般也是从集中出口出去。3000台电脑也不可能全部24h满负荷运行,大部分是处于关机状态或低功耗状态。
网络终端特别多时,成本就会很高,集中管控可以降低成本。网络安全上道理相同,如果所有人都做网络安全,人力成本特别高。因为所有人都要把安全的事都做一遍,花的时间也是钱。统一管理的好处,除了降低成本,策略的一致性以及漏洞也会少很多,如果各自为战,效果上会因为人的因素而参差不齐。把权限收拢,统一管理,授权需要集中,不然会漏洞百出。
什么是安全,安全就是可控。记录发生的事,知道它在发生,并且可以改变它,不让它不受控制。能做到这一点,网络安全的事基本上就讲透了。
在不投入资金的情况下做网络安全就是使用纸和笔,通过人肉扫描的形式对网络安全资产、事件进行记录,通过现有的技术去观察网络中发生的攻击和数据流。通过溯源、终端漏洞整改、阻断攻击源、切断网络通路。
网络安全的第一步,就是梳理网络资产。登记每一台终端的IP、MAC、位置,做到终端资产定位,尽量做到无未知入网资产,有条件的可以实施入网管控,开启交换机 802.1x认证,非认证终端禁止入网。
终端入网前要要做安全检查,安装杀毒软件、开启防火墙、清理主机软件环境,特别是能访问互联网的主机,像下载者病毒是可以受控制端定制,可以下载病毒变种躲避杀毒软件查杀,对通互联网的电脑要做好登记,一旦检测来自该主机的网络攻击要及时切断主机的互联网通路。互联网不断,病毒不断,特别是一些电脑安全使用经验不足的用户群体(领导居多)。
做完终端的资产梳理,下一步就是对各接入网络交换机进行资产梳理。网络人员一般在企业中只有一到两个,负责所有网络拓扑架构的搭建,网络架构不安全是后面所有额外工作的来源,也是一切混乱的起点。所以网络架构特别重要,它决定了整个网络的连通性以及隔离特性。本来是一张网,你后期很难将难隔离出两张网。所谓的双网隔离,有时就是一个笑话。因为如果建设两套网络,从核心到汇聚,再到接入都要建立两套,这个成本是double的,往往大多数单位的网络投入是不足的,两张网的配置会相差很多,甚至整个外网会使用全千兆来搭建,一量上网人数过多,比如超过1万人同时上网,这个网络基础是无法满足这多么人同时上网的,会非常的卡。所以最终很多上网流量会从内网出去,因为内网的基础设备投入会比较靠谱,所有终端是千兆接入,汇聚走10Gb互联,核心到服务器区走40Gb互联。
网络架构一旦确定就很难改变,后期弱电项目会一直沿用这种架构。双网架构看起来很美好,实际上成本翻番。这也是我一直反对假的双网隔离的原因,因为双网隔离的本质是使用布线的方式来定义安全,但硬布线的方式,要求你建两套系统,但重心放在内网,外网就不会管。实际内外网都应该一视同仁,内外网因为布线混在一起,终端使用上也是混在一起,甚至要求一台终端布两根线,一根内网一根外网,这从设计上就是不合理的。现在的解决方案是SDN,即硬件布线是一套,但隔离措施由交换机的SDN(软件定义网络)功能来后期规划。打个比方就是一台终端的IP地址不会因为它搬家或换位置了而发生变化,网线连到交换机上就行了,隔离区域由交换机来处理,而不是通过硬布线来定义。硬布线相当于把图都画好了,后期改不了,SDN 的方式是布线不用管,平面布线都行,全部接到交换机上,SDN控制器在交换机上,可以通过软件的形式在后期对布线进行调整。相当于以前是通过硬件来画线,现在通过软件来画线,网络隔不隔离不再由硬件布线决定。
新的SDN方式的交换机,要求所有交换机全部换掉,新的网络区域可以用新的方式。传统的网络架构安全,一个是通过交换机的802.1X,实现接入层的准入。准入之后就是连通性的安全了,前面讨论了半天的内外网隔离就是基于连接性。大的网络区域通过布线、SDN方式来隔离出一些安全区域,区域的边界通过防火墙进行防护。区域内的安全怎么办?如果从连通性上来说,所有主机就是一张网,所有汇聚都接在核心上,没有边界,防火墙无处安放,这种怎么办?
这实际上就是大内网安全,内网就是一张网,内网主机按楼栋、按科室、按功能划出来不同的VLAN,但实际上它们之间都是连通的。主机间相互可达,主机内部相互攻击的情况也比较普遍。在控制了入网资产登入、准入、入网前安全排查,下一步就是解决互通的问题。
第一种方法,是使用 交换机的 port 隔离功能,让 48端口相互之间不可达,数据只能向上走,同一台交换机上的主机间不相互通信。但跨交换机还是可达的,跨交换机如果要实现主机间不可达,只能写 ACL策略,只让其通服务器段,跨VLAN不让通。这个需要写的ACL会非常多。
另一种轻量级的办法是只写固定端口的ACL策略,在交换机上封端口,135-139、445、3389等端口全部封掉。损失掉一些方便性的同时,极大地提升安全性。
最后就是交换机的安全,管理地址、协议,是telnet、还是ssh、串口认证是否开启,如果直接通过串口能否访问交换机。是所有交换机都共用一套密码,还是每台交换机的密码都不同,交换机的配置文件有没有备份,如何定期备份。
网络安全做到最后,就是库管员的工作,登记、造册、打标、记录。
做好终端安全、网络交换机的基础设施安全,后面才应该接触高级的操作。
常用网络安全系统和措施总结:
准入(交换机802.1x 认证)
ACL (访问控制列表,交换机层面的防护)
边界防火墙(只有网络边界起作用)
堡垒机(用来控制和记录维护人员访问系统)
日志审计(记录服务器、网络设备的日志,可供存储和查询)
数据库审计(对数据库的语句级访问进行记录,主要用来事后跟踪非法数据库操作)
态势感知(对网络镜像流量进行分析,通过抓包来分析网络威胁,可对网络攻击源进行用户画像)
上网行为管理(对上网流量进行应用识别,可按IP和用户进行流控和应用的流量进行管控)
流量追溯(可将镜像流量存储下来,供事后查看历史流量,对历史流量和会话进行分析或故障定位)
TAP (镜像流量交换机,一种特殊的交换机,可定义入口和出口,可将一个接口的流量,复制多份给不同接口)
EDR (Endpoint Detection and Response、一般指杀软)
安全与便利是互为平衡的两端,越安全就越不方便,想既安全又方便,两全齐美,也不是不可能,只要是多花钱。比如内外网物理隔离,两台电脑办公,要求足够安全的场所甚至还要设置多道门禁、身份识别、涉密电脑不联网,房间有手机信号屏蔽器。这样也很方便,有的单位的办公电脑不允许私自维修,电脑都不能随便装软件。如果要用,在安全性要求不高的电脑上操作,生产区域的电脑不准随便动。
网络安全分为粗的安全和细的安全,黑名单是粗安全,白名单是细安全。当一张网,拓扑细到标明每个实体时,剩下的就是控制。安全是在知道的前提下进行控制。可以从以下内容看看自己的网络安全做到多细了:
终端资产登记 ( IP、MAC、位置)
交换机 VLAN 资产(楼栋分布、拓扑)
服务器资产登记(系统名称、IP、对外服务端口)
互联网出口(NAT 端口映射、防火墙是白名单还是黑名单)
数据安全(备份策略、CDP 连续数据保护)
存储资产(可用空间、性能、数据量、备份、硬件状态巡检)
机房环境安全(进出日志、门禁、监控、环境检测报警)
UPS (放电测试、可供电时长、三相电负载是否均衡)
核心数据库和业务的安全(灾备、冗余、集群单节点维护测试)
硬盘监控(存储安全,RAID重建时长,备件管理)
此文由 我的网站 编辑,未经允许不得转载!:首页 > 潮·科技 » 小公司的网络安全该如何做
webd自建网盘软件 局域网自架网盘