您的位置: 网界网 > 周报全文 > 正文

[周报全文]网络升级中的安全秘籍(上)

2008年01月29日 15:09:00 | 作者:王敬宜 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:企业为了保证网络与信息安全,技术团队会定期进行安全风险分析,然后适时对网络设备进行升级,以确保网络系统能够安全、可靠地运行。

标签
安全
升级
网络设备
 

【CNW.com.cn 专稿】当今,企业为了保证网络与信息安全,技术团队会定期进行安全风险分析,然后适时对网络设备进行升级,以确保网络系统能够安全、可靠地运行。

复杂的项目

在许多人看来,给网络设备进行软件升级、打补丁不过是用新软件替代旧软件,然后重新启动设备即可。这也许适用于小型的用户,或用户业务对网络系统依赖不深的网络环境。而对于一个7x24小时不间断运转的生产网来说,也许一个计划外的小小宕机就可能造成难以想象的严重后果。

另外,从信息安全角度分析,在构成信息安全的三要素(保密性、完整性、可用性)中,网络宕机将直接影响信息系统的可用性,甚至破坏信息的完整性。由此可见,网络系统设备的升级已不再是重新启动设备那么简单了,而是一个复杂的项目。

下面,笔者将从技术、管理方面分析网络升级工作的不同阶段及其特点。大体上,网络设备的软件升级工作可分为准备阶段、实施阶段、实施后确认升级成功三个阶段。从经验上看,准备阶段大概占据了80%IT工作量。

第一阶段

实施前准备:计划升级步骤

第一,确认范围。

在此步骤中,以Cisco的网络设备为例,主要是要确认有安全漏洞的IOS软件版本和受影响的设备范围。首先从Cisco网站上查出有安全漏洞的IOS软件版本以及替代版本。其次,根据IT资产数据库,确定受影响的硬件设备范围。

第二,软件升级期限。

通常,用户CIO[注]所在的信息安全部门会制定出一个大致的打补丁的最后截止日期。但是,由于大多数受影响的设备运行于各个用户的生产网上,一旦发现CIO设置的截止日期不可行,则需要与用户沟通并得到用户认可后,方可向CIO申请延长打补丁的截止日期。

第三,技术准备与注意事项。

1.注意网络设备FLASH/DRAM容量

对于新的替代IOS软件,其文件尺寸往往大于旧的软件,此时需要在升级前检查网络设备的FLASH/DRAM的有效容量是否满足新IOS软件的运行要求。FLASH/DRAM的有效容量有以下两种情况:

FLASH/DRAM的有效容量可同时容纳两个IOS软件时,我们可以在不删除旧IOS软件的情况下将新IOS软件上传到即将升级设备的FLASH卡中,这是最理想的情形。其好处是,当升级失败时,我们可以立即回退启用原来的IOS软件,降低升级过程中的风险。

有效容量只能容纳一个IOS软件时,上传新的IOS软件前需要删除旧的IOS软件,然后重新启动网络设备,这可能带来一定的风险,一旦重启动失败,需要现场人工干预重新启用旧的IOS软件。

2.选择适当的升级版本

我们在选择新的IOS软件时要考虑一些因素。首先,降低成本,现有网络设备中的FLASH/DRAM一旦不满足大尺寸IOS的要求,我们不得不采购新的FLASH/DRAM,这会带来成本开销和一定的采购周期;其次,新的IOS如果刚刚问世不久,也许会有新的安全漏洞和不稳定因素。对于企业生产网络来说,稳定、连续运行才是我们追求的目标,而不是功能齐全但暂时超出我们所需的软件,更不必说这些太新的软件会带给生产网的潜在风险。所以,最新的软件不一定稳定可靠,我们需要的是被广泛使用了一段时间并且被证明能够稳定运行、消除了大量BUG的软件,而且尽量选择与现有软件主版本号一致的软件。另外,虽然网络设备厂商都会建议某个替代软件用于升级,但还要与CIO确认是否该软件适用于用户某些特殊的网络应用环境。如果CIO有明确规定,必须在特定环境中使用某个软件中的特殊功能,那么必须按照CIO的要求选择新软件。

3.待升级设备上的特殊功能

升级软件前要特别注意待升级设备上所启用的一些特殊功能,如MPLS, GRE tunnelIPSec VPN等等,需要注意这些功能在新旧IOS软件共存情况下的彼此兼容性和可靠性。

4.实验室测试新软件

有条件的话,在新IOS软件正式上线之前,应在实验室内尽量搭建网络环境模拟实际应用,力求暴露新软件或新旧软件共存环境中的潜在问题,最好进行网络压力测试,模拟用户业务流高峰情形。这尤其适用于启用了VPN等特殊应用的环境,往往小流量测试难以暴露问题,而在高压测试时,软件中的不兼容等潜在问题就会显现出来,从而避免新软件上线后对生产网的负面影响。

5.分析拓扑图并确定升级顺序

以一个IPSec VPN网络为例。某用户广域网是HUB-Spoke模式的双核心广域网,两个核心节点位于一个城市的不同数据中心,近10个不同规模、不同业务量的分支节点分布于全国各地。

通过分析,我们确认所有节点的广域网路由器的IOS软件存在安全隐患需要升级。但是(+本站微信networkworldweixin),由于用户网络是7×24小时运行的生产网,我们不可能一次性升级所有的网络设备。为了赶在截止日期之前完成所有的升级工作,经与用户IT部门协商,同意我们利用5个周末的晚上时间做升级,每次只限2小时,该时间段是用户业务流最少的时候。这就意味着,在1个多月的升级过渡期内,该用户的IPSec VPN网络将共存新旧两种IOS软件。为了测试不同IOS软件版本的兼容性,我们正式升级前在实验室内进行了模拟环境测试,确认了不同软件版本可以工作在一起。

信息安全的风险不可能完全消除,只能降低到各方能够接受的程度。即使通过了试验验证,也只能从一定程度上降低风险,但不可能完全消除风险。考虑到不同软件需要共存一个多月的时间,我们就需要拟定适当的设备升级顺序,力图进一步降低升级时的整体风险,达到用户允许的风险范围内。

通过分析用户业务数据流特征,我们发现全网各分支节点都分别部署了两台广域网路由器做VPN终结设备,一主一备形成热备份冗余工作模式。通常情况下,全部数据流经由主设备(Spoke-R1)流向核心节点,仅当主设备或其连接的广域网或局域网链路失效时,全部数据流才通过副设备(Spoke-R2)与外界连通。 这里的数据流路径选择是通过配置在OSPFcost值的不同达到路由自动选择的目的。例如配置在Spoke-R1上的Cost值是100,而配置在Spoke-R2上的Cost值是200,使得Spoke-R1总是优选的路由出口设备。

在各个分支节点中,根据业务重要性、流量大小的不同,区分出重要和次要节点,此时可以为各节点按重要性分为不同等级,用于确定适当的升级顺序。

广域网的核心节点是同城异地的两个数据中心,在每个数据中心只有一台广域网路由器做VPN终结设备。同样,Hub-R1是主设备,Hub-R2是副设备,二者形成热备份冗余工作模式。

根据上述环境、数据流向以及业务特点分析,我们确定了升级原则,即首先升级次要节点中的次要设备,再升级主要节点中的次要设备,然后升级次要节点中的主要设备,以此类推。之所以先升级次要节点的次要设备,是因为我们无法预测在实际升级后的生产网运行期间还会出现什么未知问题。而首先升级最次要的设备,即使真的出现问题,相对其他主要节点的影响而言,它对用户业务的影响也会小些。换句话说,次要节点可以作为整体升级的“试验田”,一旦出现问题,使我们有机会回退并降低风险和项目压力,后续的升级也可以及时中止。

相关链接 

安全升级的关键点

         确认升级范围

·界定软件版本

         明确升级期限

· IT与业务部门共同确定截止日期

         其他因素

· 注意升级容量

· 选择软件版本

· 注意特殊功能

· 开展广泛测试

· 确定升级顺序

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]