SDL序列课程-第33篇-安全设计-打造坚固网络防线：网络安全策略制定指南

在当今这个互联互通的世界中，网络安全已成为企业运营和数据保护的基石。构建一个既能全面保护复杂网络，又能兼顾易用性和性能的安全策略，是网络设计领域中最重要且极具挑战性的任务之一。现代网络如同一个错综复杂的迷宫，公共服务器、外联网连接、远程访问入口以及无线网络等多种元素交织在一起，任何一个环节的疏忽都可能导致安全漏洞。因此，制定一套系统化、自上而下的网络安全策略显得尤为关键。

本指南旨在帮助您与您的客户携手合作，共同制定高效的网络安全策略，并指导您选择合适的技术来落地这些策略。我们将深入探讨安全策略制定的各个步骤，阐述一些基础的安全原则，并介绍一种模块化的安全设计方法，助您构建多层次、全方位的网络安全防护体系。最后，我们还将重点关注企业网络中风险最高的几个关键组件，例如互联网连接、远程访问网络、网络与用户服务以及无线网络，并提供相应的安全建议。

实际上，网络安全的设计理念应当贯穿于自上而下网络设计流程的每一个环节。它并非一个孤立的章节，而是与网络设计的其他方面紧密相连、相互影响的。在之前的章节中，我们已经探讨了如何识别网络资产、分析安全风险以及制定安全需求。而本章，我们将聚焦于安全策略和安全机制本身，为您提供更深层次的指导。

网络安全设计的步骤

在网络安全的设计与实施过程中，遵循一套结构化的步骤至关重要。这将帮助您理清思路，有条不紊地解决安全设计中遇到的各种问题。许多安全策略之所以未能有效保护资产并达成预期的安全目标，往往是因为在制定过程中缺乏系统性。将安全设计过程分解为以下步骤，将有助于您更高效地规划和执行安全策略：

识别网络资产： 清晰地了解需要保护的网络资产，例如服务器、数据库、用户数据、知识产权等。
分析安全风险： 评估网络资产面临的潜在威胁和风险，例如恶意软件、黑客攻击、数据泄露、拒绝服务攻击等。
分析安全要求与权衡： 明确安全目标，例如保密性、完整性和可用性，并在安全性与成本、性能、易用性等因素之间进行权衡。
制定安全计划： 创建一个高级别的安全计划文档，概述组织将采取哪些措施来满足安全要求，并规划所需的时间、资源和人员。
定义安全策略： 制定详细的安全策略，明确用户、管理人员和技术人员在保护网络资产方面的义务和行为准则。
制定应用安全策略的程序： 制定具体的操作程序，指导如何实施和执行安全策略，例如访问控制、身份验证、审计等。
制定技术实施策略： 选择合适的技术和工具来支持安全策略的实施，例如防火墙、入侵检测系统、加密技术等。（本书超出范围，未详细介绍）
获得各方认同： 确保安全计划和策略得到用户、管理层和技术人员的理解和支持。
安全培训： 对用户、管理人员和技术人员进行安全意识和技能培训，使其了解安全策略和程序，并掌握必要的安全操作技能。
实施安全策略和程序： 部署和配置安全技术，执行安全程序，正式启动安全防护体系。（本书超出范围，未详细介绍）
安全测试与更新： 定期进行安全测试，评估安全措施的有效性，并根据测试结果和新的威胁形势进行更新和改进。（第 11 步将在第 12 章 “测试您的网络设计” 中介绍）
安全维护： 持续监控网络安全状况，定期审查和更新安全策略和程序，保持安全防护体系的有效性。

识别网络资产：安全防护的基石

正如之前章节所讨论的，安全策略制定的首要任务是识别网络资产。网络资产不仅包括网络主机（服务器、终端设备及其操作系统、应用程序和数据）、网络互联设备（路由器、交换机等），还包括在网络中传输的数据。更深层次的资产还包括知识产权、商业机密以及企业声誉等无形资产。

分析安全风险：未雨绸缪，防患未然

识别网络资产之后，下一步是分析安全风险。风险的来源多种多样，既可能来自外部的恶意入侵者，也可能源于内部用户的疏忽大意，例如下载携带病毒的互联网应用程序。恶意入侵者可能窃取敏感数据、篡改重要信息，甚至发动拒绝服务攻击，导致合法用户无法正常访问网络资源。近年来，拒绝服务 (DoS) 攻击日益猖獗，对企业网络安全造成了严重威胁。更详细的风险分析方法，请参考之前的章节。

安全需求与权衡：平衡安全与业务需求

在进行安全需求分析时，虽然每个客户的具体目标可能有所不同，但总体而言，安全需求的核心目标都是保护以下三个方面的资产：

数据保密性 (Confidentiality)： 确保敏感信息只能被授权用户访问，防止数据泄露。
数据完整性 (Integrity)： 确保敏感信息只能被授权用户修改，防止数据被篡改。
系统和数据可用性 (Availability)： 确保授权用户可以不间断地访问重要的计算资源，保证业务的连续性。

实现安全目标往往需要在多个方面进行权衡。我们需要在安全性与可负担性、可用性、性能以及易用性之间找到最佳平衡点。此外，安全措施的实施也会增加管理负担，例如用户身份验证、密码管理、审计日志记录等都需要耗费额外的人力物力。

安全性也可能对网络性能产生一定的影响。例如，数据包过滤器和数据加密等安全功能会消耗主机、路由器和服务器的 CPU 算力和内存资源。加密操作甚至可能占用路由器或服务器 15% 以上的可用 CPU 算力。虽然可以使用专用设备来承担加密任务，以减轻共享路由器或服务器的负担，但这仍然会对网络性能产生影响，因为数据包在加密和解密过程中会产生延迟。

另一个需要权衡的方面是，安全性有时可能会降低网络的冗余性。例如，如果所有流量都必须经过加密设备，那么该设备就可能成为单点故障，从而降低网络的可用性。

安全性还可能使负载均衡的实施变得更加复杂。某些安全机制要求流量始终沿着相同的路径传输，以便统一应用安全策略。例如，如果会话的某些 TCP 段由于负载均衡而采用了不同的路径，那么 TCP 序列号随机化（用于防止黑客猜测序列号）的机制将失去作用。

制定安全计划：蓝图先行，纲举目张

制定安全计划是安全设计的第一步。安全计划是一份高级别文档，它阐述了组织为满足安全需求而将采取的总体策略和行动方案。该计划需要明确制定安全策略、实施技术方案所需的时间、人员以及其他资源。作为网络设计师，您的职责之一是协助客户制定切实可行且具有针对性的安全计划。该计划应基于客户的业务目标、技术目标以及对网络资产和风险的全面分析。

安全计划应参考网络拓扑结构，并详细列出将要提供的网络服务（例如，FTP、Web、电子邮件等）。对于每项服务，安全计划应明确指定服务提供者、服务访问权限、访问控制方式以及服务管理责任人。

作为网络设计师，您可以基于客户的业务和技术目标，协助客户评估哪些服务是必不可少的。有时，一些并非真正需要的服务会被添加进来，仅仅因为它们是所谓的“最新趋势”。然而，每增加一项服务，都可能需要在路由器和防火墙上配置新的数据包过滤器，或者引入额外的用户身份验证流程，从而增加安全策略的复杂性。应避免制定过于复杂的安全策略，因为复杂的策略不仅难以正确实施，还可能在无意中引入新的安全漏洞。

安全计划中至关重要的一个方面是明确参与实施网络安全的人员及其职责分工：

是否需要设立专门的安全管理员职位？
最终用户及其管理人员将如何在安全体系中发挥作用？
将如何对最终用户、管理人员和技术人员进行安全策略和程序方面的培训？

为了确保安全计划的有效性，它必须得到组织内部所有层级员工的支持，特别是企业高层管理者的全力支持。总部和远程站点的技术人员应认同该计划，最终用户也应积极配合。

制定安全策略：行为准则，有章可循

根据 RFC 2196 “站点安全手册” 的定义： “安全策略是对有权访问组织技术和信息资产的人员必须遵守的规则的正式声明。”

安全策略旨在告知用户、管理人员和技术人员他们在保护技术和信息资产方面的义务和行为准则。安全策略还应明确规定履行这些义务的具体机制。与安全计划一样，安全策略的制定和实施也需要得到员工、管理者、高层领导以及技术人员的共同支持。

在安全和网络管理员的协助下，制定安全策略是高层管理者的重要职责。管理员需要广泛征求来自管理层、用户、网络设计师、工程师以及法律顾问等各方的意见，以确保策略的全面性和可行性。作为网络设计师，您应与安全管理员紧密合作，深入了解安全策略可能对网络设计产生的潜在影响。

安全策略制定完成后，应由高层管理人员向全体员工进行宣贯，确保每位员工都清楚了解策略的内容和要求。许多企业还会要求员工签署一份声明，表明他们已阅读、理解并同意遵守安全策略。

安全策略并非一成不变的，而是一个动态的文档。随着组织业务的不断发展和技术环境的快速变化，安全策略也应定期进行更新，以反映新的业务方向和技术趋势，并应对不断演变的安全风险。

安全策略的主要组成部分

一般来说，一份完善的安全策略应至少包含以下几个关键组成部分：

访问策略 (Access Policy)： 定义网络资源的访问权限和特权，为外部网络连接、设备接入网络以及系统软件安装等行为提供明确的指导。访问策略还应涵盖数据分类管理，例如将数据划分为“机密”、“内部”和“绝密”等不同级别。
责任策略 (Accountability Policy)： 明确用户、操作人员和管理人员在安全方面的责任和义务。责任策略应规定审计机制，并提供事件处理指南，指导在检测到潜在入侵事件时应采取的应对措施以及需要联系的责任人。
身份验证策略 (Authentication Policy)： 通过有效的密码策略建立用户身份信任，并为远程身份验证设置明确的准则。
隐私策略 (Privacy Policy)： 定义用户对电子邮件监控、键盘记录以及访问个人文件等方面的合理隐私期望，平衡安全需求与用户隐私。
计算机技术采购指南 (Computer Technology Procurement Guidelines)： 指导如何采购、配置和审计计算机系统和网络设备，以确保其符合安全策略的要求。

制定安全程序：策略落地，操作指南

安全程序是安全策略的具体实施细则，它将抽象的安全策略转化为可操作的步骤和流程。安全程序详细定义了配置管理、用户登录、安全审计以及日常维护等操作规程。安全程序应针对不同用户群体（例如，最终用户、网络管理员和安全管理员）分别编写，确保每个角色都清楚了解自己在安全维护中的职责和操作方法。安全程序还应明确规定事件响应流程（即，当检测到入侵事件时，应该采取哪些措施以及需要联系哪些人员）。安全程序可以通过讲师指导的培训课程或用户自主学习的培训材料进行传达。

持续维护安全：安全之路，永无止境

网络安全绝非一劳永逸，而是一个持续不断的过程。为了确保安全防护体系始终有效，必须进行持续的安全维护，具体措施包括：定期进行独立的安全审计、认真查阅审计日志、及时响应安全事件、密切关注最新的安全文献和机构警报、定期执行安全测试、不断培训安全管理员，以及根据新的威胁形势和业务变化，及时更新安全计划和策略。

思科安全专家提出了 “安全轮 (Security Wheel)” 的概念，生动地阐释了安全维护的循环往复、永无止境的特性——实施、监控、测试、改进，周而复始，循环往复。对于许多 “过度劳累” 的安全工程师而言，或许会对 “安全轮” 的概念产生深刻的共鸣。为了不断更新安全机制，以应对层出不穷的新型攻击，安全管理员常常感到自己如同 “训练轮上的仓鼠”，疲于奔命，却又不得不持续运转。