邊界安全與邊界管理

引言：對于現代企業而言，企業更加依賴于面向全世界高度開放和互聯的信息網絡，而網絡的安全性就成了令人頭疼的首要問題。從某種意義上來說，邊界管理的效益將直接影響企業的發展水平。筆者將嘗試探討一下如何將企業管理與網絡邊界安全防護融合起來，以便在企業架構的邊界更好地提升管控的效率、安全性與可靠性。

企業網絡與邊界安全

企業邊界（包括管理邊界與業務邊界）的發展使企業的結構方式變得網絡化，企業的組織架構可以看成是一種動態的、具有彈性的企業網絡。根據自身的狀況和發展的要求，企業可以構建不同類型的企業網絡，比如管理網絡和物理網絡，而信息資產與計算機網絡就屬于物理網絡的范疇。由此可見，網絡邊界是由企業邊界來定義的，網絡邊界必定要架設在企業邊界上，它必須滿足企業邊界的管理目標，同時受制于企業邊界的現狀。

從信息安全的角度來看，網絡邊界的安全不可能脫離明確的管理需求而單純用技術去實現，其安全功能與擴展性能很大程度上取決于企業網絡的堅韌程度與成熟能力，畢竟最根本上來說，技術最終是服務于管理的。在以往的IT管理實踐當中發現，不少IT技術人員往往只是習慣用點對點的方式來對網絡邊界的安全（乃至整個企業信息資產的安全）進行外科式的、針對單個事件性的處理，卻容易忽略技術與管理之間的依存關系，這樣就難以避免陷入重技術而輕管理的思維模式，而這一點卻是筆者經常強調需要去注意的環節。

下面筆者將以一個中型制造企業的信息環境與管理框架為例，簡單闡述位于邊界的信息資產安全管理，以及在管理邊界上進行信息網絡出入關口的安全防護，并介紹在網絡邊界安全管理中實現安全管理目標的簡要過程。

企業管理框架與基礎信息平臺概述

筆者僅以電子制造加工行業為范例背景。假設該企業名為“欣雨電子科技有限公司”（以下簡稱“欣雨電子”），其 核心業務是電子類產品的研發設計、加工生產、銷售與貿易等，產品以國內市場為主，部分產品出口外銷。在產業鏈的上游和中游耕耘多年之后，欣雨電子已具備一定的經營規模，業務外延的觸角已覆蓋了渠道、物流、下游銷售網絡與互聯網電子商務。該公司管理層希望在未來3年內，企業的經營規模和業務水平能達到一個新的層次，并實現IPO的戰略發展目標。

欣雨電子內部采用三層職能管理體系，簡單來說是由決策管理層、各業務系統負責主管以及基層單位主管來共同承擔企業的管理工作。近年來該企業的信息基礎設施發展很快，目前已具備相對完備的IT基礎平臺，業務系統平臺涵蓋了公司業務的延伸領域，包括 OA、ERP、HR、CRM、PDM、E-MAIL、電子商務、渠道銷售、生產過程與工程設計等各種業務系統，所有平臺的運作最終產生并交換了企業的核心運營數據，這些數據是企業最為寶貴的信息資產。

然而也和很多企業一樣，欣雨電子同樣也存在自己的信息安全問題，例如管理細節上存在很多漏洞，某些IT管理流程執行效果較差，網絡邊界安全沒有進行過清晰的設計，沒有專門的管理人員與明細的管理策略，凸顯安全管控上的缺失等，這些問題對安全管理成本、企業運營審計和業務發展的穩定性都造成了不利的影響，亟需予以解決。

驅動型管理策略的規劃

IT管理人員（應對管理的制度、流程與策略作出一些適當的調整，使之更具備達成管理目標的驅動能力。在這里，筆者把這種管理方式稱為“驅動型”管理策略，其包含了三個方面的管理策略。

1.目標管理驅動

管理人員應該根據企業各項實質性的、可量化評估的工作目標，來設計具備可操作性的管理策略，同時根據需求目標的動態變化能及時、靈活地做出調整，以適應不同的目標達成需要。比如欣雨電子的管理體系比較單一，缺乏靈活性。

因此，欣雨電子的IT管理部門還應該引入項目管理、矩陣管理等管理模式，將信息平臺的安全管理分解成各種小型化的管理流程，以進一步提高信息安全管理的效率。對于網絡邊界的安全管理，實施項目管理流程能夠以小項目、小單位、小節點與小成本的小型化方式進行邊界安全的評估、防御與響應處理。而矩陣化管理方式則能讓IT管理人員在可控的能力范圍之內，跨職能部門將那些與信息安全具體項目相關的人和物的資源整合起來，有效地進行溝通、協調、實施部署以及后續的效益評估等過程，這樣就能以較低的成本代價來達成預期的安全管理目標。

2.安全風險與損害成本驅動

包括網絡邊界在內的信息安全風險威脅經常給企業造成很大的經營損害。欣雨電子的IT管理人員需要對安全威脅給企業造成的成本支出有一個清晰地認識。這就要事先對信息安全的風險威脅與惡意攻擊將可能導致的直接損害和潛在損失做一次詳細的評估，根據威脅攻擊的損害程度劃分好評估等級，并大略計算威脅可能造成的損失數值，且納入企業的運營成本之中，然后對損害數值較大的威脅采取嚴格的管控措施，并須給予優先處理。

3.業務定向驅動

企業的各條業務線，包括核心業務、擴展業務和邊緣業務，為適應市場和競爭的需要，總是在不斷地發生改變，筆者認為一方面這屬于業務對外部環境的變化所做出的適應性調整，這是不可避免的。而另一方面，業務也可能忽略了企業內部的整合能力，業務自身缺乏定型化的過程目標，內適應不佳而導致沖突不斷，其中也包括與信息安全管理上的相互沖突。

對此筆者認為，一個解決的辦法就是明確業務的定向性目標和流程，再施以針對性的安全管理策略。例如欣雨電子可以根據業務數據對外界人員訪問的敏感程度，在邊界路由器和邊界防火墻等安全節點設置數據包和用戶身份審核機制，并定向到DMZ區域或其他管制區域，只允許訪問特定授權的資源，這樣便能避免業務系統在對內部與對外部的人員提供服務時容易發生的沖突問題。

網絡邊界安全防護方案規劃與部署

在簡單介紹了與信息安全緊密相關的管理類型之后，接下來筆者將著手在技術上闡述網絡邊界安全防護的規劃原則、管理策略、產品部署與實施過程，力求結合管理的思想與方法，盡可能完整地描述筆者對于網絡邊界安全管控上的一些個人看法。

網絡邊界屬于企業信息基礎架構的一部分，信息資產的平臺是立體性的、多層次的結構，那么網絡邊界安全管理就應該從信息安全縱深防御的角度入手，體現出安全防護的層次化，并與其他部分的安全策略緊密結合，作為一個安全整體來進行規劃。

以欣雨電子為例，其網絡平臺具備三層網絡結構，主要是核心層、匯聚層和接入層，為企業內部的信息交互與數據傳輸提供高速、穩固的基礎網絡支撐。但是其信息架構的外接邊界則比較薄弱，既缺少管理上的清晰定義，也缺乏足夠的技術規劃和產品配置。因此，應該在其基礎網絡架構中劃分出第四層，即網絡邊界層，并參照信息安全縱深防御的思想進行具體的安全設計。下面筆者將分階段來說明欣雨電子網絡邊界安全防護方案的規劃和部署過程。

階段一：企業安全管理邊界與業務邊界的規劃

經過IT部門協同相關業務管理人員進行詳細的現狀和需求分析，最終確定了在欣雨電子的管理體系中，與網絡邊界安全相關的管理邊界和業務邊界范疇。

其中，安全管理邊界范圍包括：

1.內部安全管理制度的改進與細化；

2.明確相對應的管控方針和策略；

3.人員管理制度（比如明確有關獎懲制度，員工信息安全意識與應對能力的常規化培訓制度等）；

4.IT安全預算、技術人力、技能培訓等資源投入的規劃等方面。

安全業務邊界范圍包括：

1.安全業務體系的規劃，評估網絡邊界的攻擊威脅可能會損害到的業務類型和業務價值，并劃分價值等級。

2.企業信息資產評估，依照資產價值將之劃分為三類主要的信息資產類型：核心資產類、重要資產類和普通資產類。其中核心資產類是指企業具有最高價值的、關鍵性的信息資產，一旦受損將對企業的業務發展造成重大損失和負面影響；重要資產類是指對企業的業務運營負有重要作用的信息資產，如果受損將可能影響主要業務線的正常營運，但不會輕易造成業務停頓和崩潰的災難后果。普通資產類則是指一般性的軟硬件資產，對企業只是產生局部的和小范圍的作用，即使遭受惡意攻擊也不會在企業內部引發嚴重后果。

一般來說，核心資產類的損失往往是難以接受的，需要給予最高級別的安全風險評估與策略防控，其運營可靠性應當保持在99%以上；重要資產類可以進行及時有效的恢復，經過安全評估可允許存在部分非嚴重性的潛在風險；普通資產類可接受中等程度的損失，只需實施一般性的安全防護策略即可。

階段二：安全節點的設計

為更好地對網絡邊界相關的安全領域進行聚焦，以方便IT部門集中管控，我們可以把企業的每一個網絡邊界接口劃為一個網絡節點，在相應的網絡節點上部署應對性的安全管理措施，筆者把這樣的網絡節點稱為網絡安全節點。安全節點分為兩種類型：外部網絡安全節點與內部網絡安全節點。外部網絡安全節點設置在企業網絡管理的邊界，是企業主干網絡與外部環境進行信息通訊的關口。內部網絡安全節點一般是以業務部門或者核心的子網絡作為邊界，其節點往往分布在部門級交換設備和其他重要業務環境的網絡連接設備之上，作為企業內部信息訪問和網絡安全防御的集中管控邊界。

圖1 外部網絡安全節點設置與訪問渠道

圖2 信息平臺外部威脅流和潛在損害

欣雨電子除了位于廣州的企業總部之外，在東莞與惠州還擁有兩家分支機構（均為制造企業），而在企業的外界網絡環境，欣雨電子需要和多種類型的遠程用戶進行訪問交互，包括下屬分支機構、外部客戶、供應商、渠道合作伙伴和出差員工等遠程訪問點，因此需要在企業外部邊界設置多個不同的網絡安全節點，同時設計相應的安全管理策略。

以下是欣雨電子網絡邊界外部安全節點說明（如圖1），IT管理人員可以針對下屬分支機構和外部伙伴用戶這兩種不同方式的訪問渠道，分別設置兩個主要的外部網絡安全節點，這樣IT部門便能對各個網絡安全節點單獨進行規劃，并且更好地將企業安全管理制度及具體節點的IT安全防護策略結合起來投入實施。圖1展示了欣雨電子外部主要安全節點的一個簡單示例。

在欣雨電子信息資產整體安全架構的規劃基礎上，IT管理人員可以進一步分析企業可能會遭受的潛在風險與威脅流，以及各種威脅攻擊可能會導致的損害后果。此外，IT管理人員還需要在網絡邊界以及關聯區域邊界中標注對應的安全節點，以便能直觀地規劃相關的安全管理策略。圖2展示了一個外部威脅攻擊流和潛在攻擊損害的簡化示例圖樣，其中已標注了欣雨電子外部及內部網絡安全節點的關鍵管控位置。

階段三：網絡邊界安全防護拓撲模型的構建

大多數企業內部的IT基礎設施都包含有多種不同的信息資產類型，這些信息資產是由業務與數據的敏感程度來定義的，需要對其加以區分管理。在本文中，筆者引入“安全區域”的概念，將安全級別和安全策略相似或相同的信息資產類型，劃分為一個安全區域，并進一步分解為較小的安全管理區域。

根據這一設計思想，欣雨電子的信息基礎平臺可劃分為以下幾個主要的安全管理區域：邊界連接區（主要針對互聯網與廣域網鏈接）、DMZ隔離區、數據中心管理區、生產管制區、內網辦公區（可按業務部門的環境進一步分解）以及測試管控區等幾個安全區域，每個安全域對應一個或多個安全節點，以便進行安全策略的細化部署。

在完成了上述的準備步驟之后，IT部門需要結合欣雨電子信息平臺的整體架構來設計網絡邊界安全的拓撲模型。為了能直觀地展現網絡架構模型，這里僅畫出一個比較簡單的拓撲模型，其中網絡邊界安全體系采用了縱深防御的設計結構，如圖3所示。

圖3 縱深邊界防護信息基礎架構拓撲模型

階段四：邊界安全縱深防護體系的部署

從上圖3可以看出，欣雨電子的信息基礎平臺同樣具有多層次、多領域的結構。因此，欣雨電子需要部署一套深層次的邊界防護解決方案，而其中重點是要覆蓋網絡通信、傳輸狀態、數據保護以及應用層安全等在內的多個層級目標，它應該工作在第2層（數據鏈路層）到第6層（表示層）乃至第7層（應用層）的OSI網絡架構區間，這樣才能更好地保障信息資產立體防御的運作效果。

部署縱深安全防護體系需要多種類型的安全設備與系統作為基礎支撐。欣雨電子IT部門通過綜合考量各種因素后認為，在網絡邊界上應該側重部署由邊界路由器、邊界防火墻、邊界交換機、VPN與應用層防御系統等多重設施組成的邊界縱深防護方案，這樣既可達到較為有效的防護效果，又能使方案的成本投入容易為企業管理層和預算決策主管所接受。

網絡邊界安全防護方案的總結

本文所述之內容是將企業邊界管理的思想應用于網絡邊界安全防護的一個綜合性方案，并且在一家模擬的制造企業中加以實施。這個方案從縱深防御的角度入手，將網絡邊界進行分解管理，能夠有效地提高網絡邊界乃至企業信息資產平臺的安全防御水平。但每一家企業的信息環境和所面對的安全問題各不相同，因此本文的最終目的是希望能給企業管理人員和IT管理人員一個簡單的參考，向廣大同行們學習交流更多的成熟經驗，并且也歡迎同行們的批評指正。