网络安全“降本增效”的八种方法.docx

《网络安全“降本增效”的八种方法.docx》由会员分享，可在线阅读，更多相关《网络安全“降本增效”的八种方法.docx（9页珍藏版）》请在第一文库网上搜索。

1、网络安全“降本增效”的八种方法目录内容提要11 .前言22 .数据中心安全能力需求22.1. 等级保护2,0对数据中心安全能力提出要求22.2. IDC/ISP互联网信安系统要求22.3. 3.黑洞路由传递需求22.4. 数据中心安全建设方案分析32.5. 安全能力池部署位置选择32.6. 6.安全能力池架构选择4?大数据园区安全建设方案5? ?大数据园区安全配套建设方案5? ?IDC/ISP系统优化方案63 .网络安全“降本增效”的八种方法71. 1.采用基于风险的安全策略，优先保护关键资产72. 2.加强安全意识培训，打造人肉防火墙73. 3.投资安全自动化84. 4.外包安全服务85.

2、5.定期更新和打补丁86. 6.打造战略情报网络97. 7.跟踪关键安全运营指标并展示安全投资回报率98. 8.集中化安全管理94 .总结9内容提要对于需要战术性缩减安全预算的企业，我们介绍几个投入少见效快，用最 少资源最大限度降低风险的八种方法。在当下的经济寒冬中，网络犯罪和内部威胁空前活跃，但越来越多的企业 却把“降本增效”的屠刀抡向网络安全部门，导致很多安全团队面临“既要马 儿跑，又要马儿不吃草”的窘境。1 .前言事实上，将网络安全看作成本支出是企业数字化转型过程中最大的认知误 区之一，网络安全支出（投资）是当今全球企业IT的最高优先级事项，有着可量 化的关键业绩指标和投资回报率。尤其是

3、在经济衰退、数字风险骤增的动荡时 期，网络安全是企业跑赢同行，在熊市笑到最后的“核心生存力”。对于需要战术性缩减安全预算的企业，我们介绍几个投入少见效快，用最 少资源最大限度降低风险的八种方法。2 .数据中心安全能力需求2.1. 等级保护2.0对数据中心安全能力提出要求为适应云计算、大数据、物联网及工业控制等新技术的安全需求，国家适 时出台了等保2.0的建设体系。等保2.0的要求包括安全物理环境、安全通信网 络、安全区域边界、安全计算环境及安全管理中心5个方面。物理安全一般在 机房建设初期进行了考虑，安全相关制度需在数据中心投入使用时制定，相关 安全配套建设需要与网络建设做到“三同步”，根据安

4、全通信网络、安全区域 边界以及安全计算环境的需求配置安全设备。2. 2. IDC/ISP互联网信安系统要求目前IDC/ISP系统均已实现100%覆盖IDC,具备数据安全功能，可对数据 泄露、跨境流动、网络攻击、恶意程序、网络异常等行为进行监测溯源和处理。现有IDC/ISP系统随着链路容量的扩大，EU系统存在资源利用率不高、对 云业务安全监测能力不足等问题。CU系统因逐年扩容建设成本较高，需考虑通 过存算分离技术来实现资源按需扩展，提高资源利用率，实现降本增效。2. 3.黑洞路由传递需求大型IDC设置有专门的IDC出口路由器，在网络边界做汇总回程路由的时 候有些网段不在内网中，但是又包含在汇总后

5、的网段中，这些路由通过缺省路 由进行转发，能根据默认路由又回到原来的路由器，这就形成了环路，影响路 由器的处理效率。因此，面向IDC出口的黑洞路由传递是在大型数据中心建设 中需要解决的问题之一。2. 4.数据中心安全建设方案分析数据中心安全能力建设既要对IDC和互联网专线用户等提供安全防护能力, 也要对内外运营商自有系统和网络提供安全防护能力。3. 5.安全能力池部署位置选择从安全原子能力的实现方式来看，可以将安全能力分为流量型和非流量型 安全原子能力，以实现安全防护。流量型一般包括网关类安全能力及镜像类安 全能力，网关类通过VPNPBRVXLANSRv6等技术，将流量牵引至安全能力池 内，流

6、量经过处理后再回注被防护对象，此类安全能力与业务流量相关，时延 要求较低。镜像类将访问流量镜像至安全资源池内进行分析，并将结果反馈至 安全管理系统。非流量型安全能力要求IP可达即可，安全原子能力只需与被防护目标网络 IP可达，对时延要求比流量型的要求更低。根据以上安全能力的分类，安全能力的部署位置有两种选择，即通过集中 和近源部署实现安全防护。集中部署可以构建统一的安全能力池，安全能力资 源共建共享，集约化建设运营。近源部署则是将部分安全能力在防护目标的近 源侧进行本地化部署，下沉至IDC机房，作为安全能力池的延伸，经由安全管 理平台统一管理，通过近源流量牵引实现安全防护。如图1所示，数据中心

7、因用户访问的时延敏感性，宜选用近源侧部署方式, 根据数据中心规模的大小，可分为3种部署方式：1）一是安全能力下沉至IDC机房；2）二是按城域网进行集约部署；3）三是以省为单位集中部署。3种部署方式对比如表1所示。图1数据中心安全能力池部署方式表IIDC安全能力池三种部署方式对比部詈方案I下沉至IDC机房按城域网进行集约部詈I以省为单位集中部詈特点他庶用户近.时 祗低用户集中, 投资效益好LJ以省为单位集中击q 相比，M少了流肽的迂 回.因在同一城市，时 延满足用户需求,多个 中小型用户共享安全防 护能力业务流量需牵引至省出口侧.时延较大.不 适合数据中心安全能力流网型需求，非流鼠 里安全能力可

8、根据实际情况选择适用场景;I大型IDC 一中小型IDCI适合作流鼠型时延要求低的安全能力的部署2. 67安全能力池架构选择在安全能力组网架构选择上，传统的安全设备以串式为主，此种方案能较 好地对数据流进行安全能力处理，组网简单，串式安全能力组网如图2所示。L7C备 r ;: 一: :1IDC客户 Anti-DDoS下一代防火墙IPS T APT| dWAF H 数据中心:M图2传统串式安全能力架构此组网架构存在一个弊端，即串式安全架构安全能力池可扩展性差，单台 设备故障影响整体的安全能力，所有流量流经所有安全设备，安全设备间紧耦 合。针对传统安全架构遇到的挑战，F5借助强大的全栈安全服务引擎，

9、推出了 SSLO,即SSL可视化与智能编排解决方案，可以做到安全能力资源池动态扩展、 精分流量编排、设备故障快速隔离、安全设备灰度发布、以安全业务服务为调 度核心。借鉴F5 SSLO安全架构编排理念，采用基于园区汇聚并行安全架构部 署方式，可以完成数据中心的安全能力部署。3种安全架构部署方式对比如表2 所示。表2安全能力池架构部署方式对比安全架构传统串式安全架构F5 SSLO安全编排园区汇聚并行安全架构特点以串式组网借助F5 SSLO安全 编排能力，进行安 全资源池的部署安全能力以并行方式集中 于园区汇聚侧，安全能力池 由硬件体机方式部詈优点架构简单清晰,可 扩展性差,安全设 备紧耦合安全资源

10、池化可灵 活扩展，需要具有 软件的编排能力借鉴了 F5 SSLO安全架构理 念，借助强大的硬件处理能 力，优化了串式安全架构.安全能力设备可灵活扩展适用场景安全能力需求较少的用户机房云计克数据中心业务种类多的数据中心大数据园区安全建设方案随着国家一体化大数据中心提出及“东数西算”工程的启动，运营商纷纷 在八大枢纽节点进行数据中心的建设，以某运营商在河北周边数据中心建设为 例，一期建设3栋数据中心大楼，启用6000机架，考虑到建设初期IDC流量小, 按单机架流量150Mbit/s、DCSW出口带宽利用率65%进行扩容，通过计算可 得DCSW出口带宽达到1400Go在以上测算模型的基础上进行数据中

11、心安全能 力的建设，某运营商大数据园区安全能力建设包括安全配套建设及国家监管 IDC/ISP系统的建设。国翻大数据园区安全配套建设方案安全能力分别满足流量型及非流量型的需求，流量型安全能力下沉至IDC 园区，在园区内安全能力建设时，采用由其中一栋IDC机楼承接安全能力池的 建设，其它机楼安全能力通过IP可达方式牵引至安全能力池进行部署。根据等 保2.0的要求以及IDC园区自身路由安全的需求，安全能力池按需部署防火墙、 IPS、DNS反解析、Web防挂马、APT、WAF、漏洞扫描、基线扫描、双提升测 试服务器以及黑洞路由传递等10项安全原子能力。非流量型云安全自服务借助 统一的安全能力部署方式，

12、利用原有城域网的安全能力进行建设。在部署架构的选择上，借鉴F5 SSLO安全架构编排理念，安全能力设备集 中部署在园区汇聚交换机侧，每台设备均双上行至汇聚交换机，既保证了链路 安全，又做到了安全资源池可动态扩展、设备故障快速隔离、降低业务时延、 高效支撑业务发展。大型IDC安全能力池部署如图3所示。图3大型IDC安全能力池部署 画翻IDC/ISP系统优化方案根据IDC/ISP系统建设要求，需对DCSW出口带宽进行100%覆盖。依据 IDC/ISP系统EU及CU存储的计算模型，总体存储新增需求达到8022TB。EU 采用分散部署的方式，分别在每栋机楼部署。CU采用集中部署方式，放置于其 中一栋I

13、DC机楼。在CU系统建设中，存储容量建设随着网络带宽的扩容，每年 的扩容量增长较快，目前常用的存储方式为分布式存储，存储容量为 120TB(2Uo针对ID冷存储型服务器常见的单台设备容量为288T(4U),两种建 设方式对比如表3所示。表3 CU两种建设方式对比CU建设方式冷存储型服务器分布式存储服务器存储容量需求8022TB8022TB的台设备存储容展288TBI20TB所需设备数量28台67台设备高度4U2U5KW机架可放置数及5台10台占用机架数量（42U标准机架）6架7架投资估算低高I/O处理能力 !低综合对比冷存储型服务器及分布式存储服务器，冷存储服务器投资小、占 用机架少，因此选用

14、冷存储服务器进行CU系统建设，可以实现降本增效。该方 案应用于某运营商在大数据园区安全能力的建设，经测试，可达到数据中心的 防护要求，对数据中心安全能力的建设有一定的参考价值。3.网络安全“降本增效”的八种方法3.1. 采用基于风险的安全策略，优先保护关键资产企业资产、数据的业务价值和所面临的安全威胁各不相同，为了提高防御 效率，安全团队需要进行彻底的资产盘点和风险评估，以确定最关键的资产及 其潜在威胁。将优先保护关键资产作为基于风险的安全管理策略的一部分，企 业可以大大提高资源分配效率。一般来说，安全团队需要专注于保护对核心业务运营至关重要的敏感客户 数据、知识产权和系统。同时，安全领导者需

15、要帮助业务部门了解暴露风险以 及风险缓解的技术成本。反过来，考虑到预算限制，企业领导者必须最终确定 他们愿意接受哪些风险，不要把降本增效搞成了 “降本增效”甚至“降本翻车” O 3. 2.加强安全意识培训，打造人肉防火墙根据卡巴斯基的“2023年人为因素调查报告”，64%的网络安全事件由人 为错误导致，远远超过黑客攻击（20%）。今天，人为错误（包括疏忽和故意）仍然 是数据泄露的主要原因之一，而安全意识培训一直是投入产出比最高的网络安 全投资之一。通过定期培训计划加强员工的网络安全意识，企业可获得显著且持续的安 全投资回报。即使企业的技术和人力资源有限，训练有素、消息灵通的员工队 伍也可以充当强大的“人肉防火墙”。安全意识培训除了教育员工有关网络钓鱼诈骗、社会工程策略和密码卫生 知识外，还应包括定期(至少每季度)的灾难恢复和网络战培训。3. 3.投资安全自动化网络安全的降本增效，降的不是人力成本，是技术债和运营成本，增的不 是工作压力，而是智力效率和业务弹性。自动化网络安全工具可以简化流程并 减少人工干预