·天新网首页·加入收藏·设为首页·网站导航
数码笔记本手机摄像机相机MP3MP4GPS
硬件台式机网络服务器主板CPU硬盘显卡
办公投影打印传真
家电电视影院空调
游戏网游单机动漫
汽车新车购车试驾
下载驱动源码
学院开发设计
考试公务员高考考研
业界互联网通信探索
分享思科构建安全网络的要素
http://www.21tx.com 2005年08月30日 中国思科培训网

1 2 下一页

  病毒的突发性与不可控,引发了“安全网络”需求,对网络安全性的重视也逐级升温。思科安全网络的框架中有不少可借鉴的思想,就此,记者采访了思科系统(中国)公司IT部门经理GREg Dixon先生。

  目前,防病毒软件种类繁多,而且越来越复杂。黑客的攻击也越来越频繁,或者一些恶意攻击也逐渐增多,我们需要在这种攻击下确保系统的安全,能够及早地测试、探测到攻击的企图。

  过去,网络分界非常明晰,分为Intranet(内部网)、Extranet(外部网)、Internet(互联网)三部分,过去互联网只跟外部网发生关联,与企业内部网没有任何关系。随着电子商务日益频繁、不断地发展,企业内有一种迫切的需求出现,需要允许人们直接从互联网上访问公司内部网。由于网络界限已变得模糊,界限越是不清晰存在的危险性就越大。就安全网络的架构,记者和Greg先生进行了深入的交流,他总结了构建安全网络的要素:

  信息安全部门独立运作

  记者:思科公司的组织架构是如何设计的,谁在负责安全这项工作?

  Greg: 思科系统公司成立了一个专门负责信息安全的部门,称为Info-Sec,整个部门大约有30人。它集中汇报工作给一个人,然后由这个人再汇报给负责整个公司运营的主管,但同时也“支线汇报(与直接汇报相区别)”给CIO。Info-Sec部门毫无疑问与技术有关系,虽然它与CIO有一定的关系,但不直接隶属CIO,是希望保持一定的独立性。因为每个系统的安全都由系统管理员负责,他有权对信息进行存储操作。我们不希望所有的权力都掌握在一个人手中,否则他可以进入所有的系统,存在安全隐患。而我们期望设计一种权限分散的架构,一个系统的安全由不同的人共同负责。Info Security作为独立的部门,它起到监督系统管理员的作用,它具有进入所有系统的权限,是一个负责监督所有管理者的部门。它负有更多的监督功能,它负责查看在系统上进行的数据交换的内容、时间以及谁在传送这些内容,而不是查看谁进入了这个系统。

  记者:为什么这个部门直接向负责运营的主管汇报?

  Greg: 最重要的原因是:Info-Sec这个部门有很多的职责,不局限于监督的功能。之所以由公司内负责运营的管理者承担,而不是由纯技术人员管理,目的就是为了保持其独立性。因为如果一个人除了负责技术之外还负责安全,他有可能会在某些时候做出妥协,或许他认为安全不是很重要。因为在发生冲突的时候,他必须做出决定或者达成某种妥协。而现在这种状态,它有充分的空间来管理、策划各个部门的安全蓝图;另外,Info-Sec部门还需要做些调查工作,而它所调查的部门有可能就是IT部门的人,所以还是需要独立的空间。

  记者:部门内的成员(30人)是否有具体的分工?

  Greg: 这个部门成长特别快,他们的职能也在不断地变化。我们现在希望有特别好的平衡,整个信息安全策略的设想是能照顾到不仅是密码的设置、系统的设置,而是兼顾很多方面。

  记者:具体变化能否有事例说明,例如去年与今年的对比?

  Greg: 部门业务、人员等三年翻了一倍。

  记者:是什么因素导致了这种变化,需要不断地增加职位?

  Greg: 最重要的原因,是对安全意识的加强,对安全的需求在不断增长,包括在思科公司内部也需要加强安全意识;另外,恶意攻击日益频繁,我们也需要根据实际情况加强自己的反攻击力量。例如我们公司的员工通过一种安全的检测、认证之后就可以从互联网访问到内部网。如果整个链条中有一个节点非常薄弱,那整个链条的强壮度就跟最弱的节点强度一样(类似于木桶理论),这对安全同样适用。安全有两个重要因素:第一,确保整个系统的一致性、统一性和完整性;第二,就是企业中的人。比如在美国我们有一个很好的安全系统,但在中国,由于中国的需求与国际的标准不同,那整个系统将会变得非常脆弱。例如思科有自己的产品IDS(入侵检测系统),这个系统放在了公司网络的很多节点上,确保公司的安全。我们公司还有一套安全系统CSA(CISCO Security Agent),由于我们的设备配置几乎都是一样的,所以在一个星期之内,这个软件就安装完毕,它可以非常迅速地对攻击进行检测和做出反应。

  加强外部访问管理

  记者:思科内部网络有35000个节点需要管理,是否也涉及思科的合作伙伴?

  Greg: 对合作伙伴的安全管理,就是设定他们访问的区域,对于区域之外的环境是不允许进入的。另外网络层之外,应用层也有这样的策略,需要实现软件的统一性、规范化。在每一种应用之间都有软件防火墙,需要认证才能进入下一层。对于外部的人,由于每一层都有安全防护,他们想访问核心的数据是不容易的。

  记者:他们能访问到哪一层?

  Greg: 水平访问的控制比较容易实现,而垂直方向的访问就不太容易。不是说我们不让他访问,而是需要根据他自身的需求,确定他能访问哪一层,而且也要经过很严格的认证。对于某些用户,他也能访问我们的核心数据,例如订单等,最终还是看他自身的需求。我们采用了惟一的系统软件,而不是说谁的好,重要的就是惟一。例如我们的数据库就用Oracle,而我们的邮件系统也只有一个,避免发生冲突。在软件统一性的基础上,我们Web Server的安全重点在于及时更新,如果操作系统有潜在的漏洞就需要及时堵住,同时每个服务器需要及时更新,只要一个没有打补丁,病毒就会广泛传播。

  记者:思科公司如何管理自己的服务器?

  Greg: 我们的服务器放在一起,进行统一管理。数据中心(数据、财务)在美国,每一个国家有一个呼叫中心,中国就以北京作为中心。另外,也有一些合作伙伴的网络与我们相连,但都设置了防火墙。目前,由于部署内部、外部和互联网这种模式比较昂贵,而且现在多数应用虚拟的概念,在物理上很难区分这个层次,而且物理上划分也非常麻烦。现在的状况就是在逻辑上可以进行区分,在网络结构上差别比较模糊。

  记者:有多少个合作伙伴的网络连接到思科的网络。

  Greg: 这个情况太复杂了,不只是合作伙伴的问题,很难说清楚具体的数量。但可以设置安全的通道(Tunnel)来与我们连接,中国可能就有二三十家能够访问我们。

  重视安全网络技术

  记者:在安全网络中,哪些技术比较重要?

  Greg: IDS、控制管理是非常重要的,Info-Sec部门要求公司内部员工做正确的事情,而且要有保证。另外应用层的内部控制,我们有一个认证的技术——令牌、一次性口令。不是所有的人都需要认证,只是涉及跟应用相关的人。再有还是强调统一性,如果利用同样的认证方式、软件、协议,非常方便管理。我们的防火墙本身就有防病毒的功能,在E-mail服务器里也有,层层关卡监测病毒。

上一篇: IPv6迁移费用大结算
下一篇: 详解HSRP和VRRP的不同之处

1 2 下一页

关于我们 | 联系我们 | 加入我们 | 广告服务 | 投诉意见 | 网站导航
Copyright © 2000-2011 21tx.com, All Rights Reserved.
晨新科技 版权所有 Created by TXSite.net