2、信息安全：从网络架构到行业标准

信息安全：从网络架构到行业标准

1. 网络架构的逐步揭示

在接触应用解决方案时，业务经理或开发团队通常会提供高层次的设计文档。最初的应用架构图（图1.1）展示了一个基本的业务流程：客户通过互联网访问网站服务器，网站服务器从应用服务器获取服务，应用服务器从数据库服务器获取数据；管理员登录管理服务器来管理包括软件服务器在内的各种服务器，软件服务器向其他服务器推送更新。然而，这样的高层次图表就像“卡通画”，几乎没有传达重要的安全信息，信息安全专业人员会对数据流动、存储、保护方法、认证、授权和日志等方面存在诸多疑问。

当要求提供更多安全细节时，可能会得到访问架构图（图1.2）。此图显示客户访问位于非军事区（DMZ）的Web服务器，Web服务器连接到内部网络的应用服务器，应用服务器再从数据库服务器获取数据。新的信息包括Web服务器位于DMZ，可能在至少一个外部防火墙后面，与内部网络的应用服务器之间可能由一个或多个内部防火墙分隔，同时引入了防火墙规则。管理员可以通过远程访问服务器远程访问应用服务器，软件服务器和应用服务器也可以跨越内部防火墙与DMZ中的Web服务器通信。但这个图仍然是“卡通画”，没有提供足够的安全信息，反而引发了更多问题。

进一步追问时，网络团队可能会提供网络架构图（图1.3）。该图展示了DMZ和内部网络的拓扑结构，包括外部路由器、DMZ内的路由器和内部网络路由器，以及应用虚拟局域网（VLAN）和管理VLAN。然而，此图暗示了一个单一的网络实例，所有路由器、防火墙和服务器位于同一物理位置，没有冗余、负载均衡或备份功能，仍然需要进一步澄清。

最终，系统架构师揭示了实际设计（图1.4）。网络架构在东西两个区域数据中心进行了复制，两个外部路由器交叉连接，使数据中