IP地址管理在信息安全建设中发挥的重要作用
IP地址简述与发展
信息化网络通信的发展,离不开IP(此处指IPv4,若无特殊说明,本文中所描述的IP均指IPv4)地址,IP地址作为TCP/IP网络通信的基本组成元素,重要程度不言而喻。从专业的技术角度而言,IP地址是IP协议中的一部分概念,负责IP协议的路径选择与转发,尽最大努力交付网络数据包。即,IP地址决定了IP协议在Internet如何转发与传送。类似于日常生活中的收/发快递的地址,当我们在某宝、某东进行网购的时候,需要填写一个收件地址,收件地址必须详细到省、市、县、街道、门牌。只有使用清楚、明确、唯一的收件地址,才能确保收件人正确无误的收到心仪的商品。
实际情况中,地址不仅仅包含位置信息,更多情况下地址是主机或用户在通信过程中的重要标识,一个地址代表了物理或者逻辑上的一个单独存在,通信的一方对另一方一无所知,在地址的伪装下,完美隐藏了通信双方在现实世界中真实的关系与角色,仅仅只需要遵从通信的基本原则即可。
“1993年,《纽约客》杂志刊登了一则漫画,画面上一条狗坐在电脑前,对着同伴说:在互联网,没人知道你是一条狗。”形象的表现了通信的双方可以完全陌生,仅仅表现为地址间的数据交互。
互联网发展的初期,科研人员并未预料到TCP/IP协议会有如此大的市场前景和应用范围,因此部分设计或者架构受限于当初的信息化环境而考虑的不够周全。随着TCP/IP技术在Internet网的迅速发展,越来越多的企业通过IP地址接入互联网,TCP/IP网络迎来了野蛮生长的窗口期,犹如洪荒巨兽一般在全世界范围内肆意成长,发展速度出乎所有人的预料,IP地址俨然如一把被握在时代巨人手中的达摩克利斯之剑,在其大行其道的同时,危机若隐若现。由于IP地址设计中的问题和缺陷,IP地址的问题很快开始制约TCP/IP网络持续的指数级增长,对全球网络互联互通发起了挑战,其中一个挑战是:全球唯一的地址空间将被耗尽,即IP地址的数量无法满足全球信息化的需求。为了延缓这一挑战的出现时间,在RFC1918中定义了私网地址(10.0.0.0 - 10.255.255.255、172.16.0.0 - 172.31.255.255、192.168.0.0 - 192.168.255.255),私网地址无需暴露在互联网,只需要在组织内部使用即可,任何符合TCP/IP标准的组织均可随意使用私网地址进行组织内组网,私网地址空间中的IP地址仅在一个组织内部保证唯一,这样他们可以在自己拥有的私有网络内部实现通信进而减少使用公网IP。私网IP的概念与名称是相对于公网IP(全球可路由IP)而存在的,私网IP的部署与使用完全基于组织需求,无需征得任意机构的允许,若需使用公网IP地址,组织需要向IANA申请并注册。
私网IP地址的定义及使用在一定程度上缓解了地址即将耗尽的问题,组织仅需申请极少数的公网IP,通过NAT技术(RFC1631规定)进行IP地址转换,将组织内部的私网IP地址转换为公网IP地址,使私网IP地址可访问全球网络资源,实现网络互联互通。当然,私网IP地址的使用也引发了部分安全问题,如私网IP地址在访问某公网服务器时,公网服务器仅仅只能识别到公网IP,无法分辨公网IP所代表的私网IP,造成服务器无法准确的识别或标识真实的访问方,对安全审计和追踪提出了极大地挑战,如:某些不法分子在公众平台发布恶意信息,诽谤他人,抹黑政府,干扰企业正常经营,扰乱社会秩序,非法获利。但是,公众平台却无法准确的识别发布者的个人信息,仅能识别出公网IP。要彻底解决此类问题,一方面可以通过信息化安全防护产品来解决,但是更彻底的解决办法,是从IP地址本身的架构入手。
在万物互联的需求背景下,原有的IP地址数量完全无法满足使用需求,严重制约了互联网的应用和发展,设计了下一代IP协议IPv6(Internet Protocol Version 6),IPv6的地址数量号称可以为全世界的每一粒沙子分配一个地址,不仅从根本上解决了原IP地址的一些顽疾,也推进了物联网、车联网、移动通信的变革与深化。我国在IPv6演进过程中,发挥了重要的作用。2017年,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,以促进互联网演进升级和健康创新发展,满足《国民经济和社会发展第十三个五年规划纲要》、《国家信息化发展战略纲要》、《“十三五国家信息化规划》的具体要求。通过推进IPv6的规模化部署,对互联网技术生态、网络信息技术、产业、应用的创新有重要影响。有助于提升我国网络信息技术自主创新的能力。
IP地址在信息化基础建设中的重要作用
我们使用网络时,最关心的问题是信息数据的收发功能,即:发送者的信息数据与行为能否成功发送出去,接收者能否完整无误的、及时的收到来自发送者的信息。发送与接收概括的讲是一种信息的传送,我们的各种操作会被各种应用软件以信息(数据包)的形式进行传输,那么,信息是如何从起点到达终点的呢?通常,从起点到终点不是一条直达的高速公路,而是由不同的路由器组建起来的一段一段的网络路径,要经过多次跳转才能抵达终点。因此,对信息化基础网络而言,IP地址主要发挥定址、路由、路由汇总等作用。
IP地址作用
接入网络的设备都必须有一个独一无二的IP地址,这样才能够标识一个目标。所以一台设备的一块网卡默认只能被分配到一个IP地址,也就是说一个IP地址只能被分配给一个网卡,网络中任意一个数据包仅且只能被一个IP来接收(广播/组播地址除外),除此之外的任何终端均无法接收此数据包(特殊设备和场景除外,如某些网卡具备监听功能),确保数据不被第三方设备监听和劫持。
IP路由作用
众所周知,IP地址是由四组数字组成的,每组数字的范围都是0-255,这些数字所有可能的排列组合方式加起来也就只有42亿左右。据2019年初的数据统计,全世界的网民就已经达到了43.88亿,考虑到一个人坐拥多台可以接入互联网的设备及IoT设备,如果只是单纯的为每一台接入互联网的设备直接分配一个IP地址,是完全无法满足使用需求的,还好,我们前边提到了NAT技术,在一定程度上延迟了IP耗尽的时间点。在真实的网络环境中,路由器提供了NAT功能并充当路由节点,根据目的IP进行路由。每一个路由器相当于一个中转站,传输的信息相当于接力棒, IP地址充当这个传递过程中的运动员,将IP数据包以接力棒的形式传递到下一个路由节点,基于这种机制,我们的电脑、手机等网络设备经过多级路由之后与互联网相连。
IP路由汇总作用
汇总(或者也称为聚合、超网化或信息隐藏)并不是一个新鲜的概念,通过汇总可以简洁的描述去往某一块区域的地址,就像要描述从1至100的所有整数,一种方式是1、2、3、、、、100,而另一种是1~100,我们理所当然的认为第二种方式较第一种方式更便于理解和记忆。当路由器对外宣布去往特定网络的路由时,这条路由统一汇总当前网络中所有主机和设备的地址。路由汇总是一种使用单个IP或网段地址表示一组IP地址的方式。通过路由汇总,可以使路由器在计算路由表或从路由表中查找匹配条目时,减少 CPU、内存的负载;降低路由器宣告路由时使用的网络带宽;若某条路由的有效性发生变化后,相关路由器可以更快的获取最新的路由状态,提高网络的稳定性。
IP地址在信息化安全建设中的重要作用
信息化发展与发展过程中的安全性问题是相生相伴的概念,信息化发展过程中,信息的安全问题是信息化管理者必然需要考虑的问题。维基百科对”安全“的定义是:安全是一种状态,最简单的定义是没有危险,较详细的定义是指受到保护,不受到各种类型的故障、损坏、错误、意外、伤害或是其他不情愿事件的影响,这些类型包括身体、社会、灵性、财务、政治、情感、职业、心理及教育等方面。安全也可以定义为可以控制的特定的且已被识别的危害,使风险在一定可接受的水准以下,减少一些造成健康或经济损失的可能性。安全可以包括对人或对所有物的保护。百度百科对”安全“的定义是:安全,通常指人没有受到威胁、危险、危害、损失。人类的整体与生存环境资源的和谐相处,互相不伤害,不存在危险的隐患,是免除了不可接受的损害风险的状态。安全是在人类生产过程中,将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态。由此可见,信息安全是一个临时的或者短时间内有效的状态,是一段时间内可控风险的标识,从大跨度的时间轴来观测的话,信息从始至终都处于不安全的状态。信息安全的建设工作从来都不是一劳永逸、一蹴而就的,在信息化建设的过程中,信息安全建设需要贯彻始终。只有将其贯彻始终,才能确保信息化建设的整个生命周期均处于相对安全的状态。
信息安全从技术路线上分为强安全、弱安全两个方面,更贴切的一种对应说法是技术安全、管理安全。技术安全主要倾向于使用技术手段,从数据安全的原理角度出发对数据进行安全防护,如:数据加密、病毒软件查杀;管理安全需将信息安全技术防护能力与组织管理手段相结合,通过技术手段辅助日常运维的安全管理,迫使使用者合规、合法的使用信息化产品。技术安全的演进主要依赖于技术迭代,需要对计算机硬件、软件、通信协议、数学算法有深入理解;管理安全是将已有的信息安全技术进行灵活组合,搭配出满足企业行政管理、适合普通用户使用习惯、兼容多种网络环境的产品或者解决方案,以防出现信息泄露、网络扫描事件。
当前形势下,信息安全防护技术纷繁复杂、信息安全加固手段灵活多变、信息安全概念日新月异。在TCP/IP网络中,IP地址在信息安全的建设和防护目标中必然处于首当其冲的位置。通过加强IP地址管理,可以从以下四个方面对基础信息安全建设作出重要贡献。
理清网络资产、防止非法接入
曾几何时,组织对内部资产的盘点主要集中在有形资产,如:现在码字用的笔记本电脑、显示画面用的显示器、上网用的路由器、网络摄像头、固定电话。但是,在信息化快速发展的今天,组织内部无形资产所蕴含的价值要远远超过有形资产的价值,如知识产权、专利文件。在信息安全中,IP地址这一无形资产往往处于被遗忘的角落,但却默默发挥重大作用,从不显山露水。
作为一个信息化安全建设的从业者,听到终端使用者最高频的报障是”上不了网“这四个字,而绝大部分上不了网的原因最后都定位于是IP地址的原因。如IP地址冲突、IP地址分配错乱、IP地址访问受限等。如若可以实时掌握IP地址的分配情况、分布范围、在线状态、接入位置、使用时间轴,管理员不仅可以对当前IP地址使用态势一目了然,快速高效解决日常运维过程中发生的网络故障,还可以从中识别出哪些是允许使用的合法、合规的IP地址,哪些是禁止使用的非法、违规的IP地址,从网络层识别可疑的破坏者与入侵者。
与IP地址相伴相生的还有MAC(Media Access Control Address)地址,MAC地址用于在网络中唯一标识一块网卡,也称为物理地址或者局域网地址。每一个IP地址必须对应唯一的一个MAC地址,一个MAC地址可以被多个IP所使用。在很长一段时间内,MAC地址都作为局域网内部终端的唯一标识,物资管理部常将MAC地址作为资产标识,获取MAC地址的唯一手段就是产品采购入库时的登记信息,很多终端使用者为了躲避监管或者随意行事,私自更改终端MAC地址,或者直接冒充其他终端的MAC地址进而完成某些不可告人的任务。
实时掌握IP地址/MAC地址对应情况,辅以安全技术手段。防止出现IP地址/MAC地址伪造、终端违规接入网络信息点、待审核的终端接入网络窃取网络信息等安全事件,是信息化安全建设的第一道防线。建设信息安全铜墙铁壁的万里征程中,管理员必须先梳理清楚当前网络环境中IP地址资产现状,才有可能在这场信息化战役中立于不败之地,否则只能当一个兵来将挡水来土掩的被动者防御者。
加强安全防护策略的应用效果
信息安全建设任务与信息安全防护产品迭代一直处于相互促进的状态,一方面信息安全建设的任务和目标促进了信息安全产品的研发,另一方面信息安全产品的研发与迭代推动信息安全建设往更高阶段前进。沿着产品演进路线逆流而上,我们不难发现,信息安全产品距今大致经历了四个发展阶段,第一阶段以网络通信隔离与防护为主,如防火墙、网闸、加密机等设备;第二阶段以终端安全为主,以杀毒软件、防毒墙、介质管理、主机管理为代表;第三阶段以脆弱性防护为主,如漏洞扫描、应用补丁、数据防泄漏等;第四阶段以应用安全威胁防护为主,如WAF、沙盒加固、威胁感知等,每一个阶段均是上一个阶段的场景加强。从以上四个阶段可以明确的感知到,信息安全中的基础安全建设几近成熟,下一阶段的建设重点必然以细分行业或领域的安全建设为主,尤其是针对移动端、云端等方向的安全建设。
不同安全产品所具有的安全防护能力、管控对象、防护治理思路不尽相同。如此多的安全防护手段,如何抽象出一个相同的、标准的、唯一的管理对象,只有IP地址能获此殊荣,IP地址是多种信息安全产品共同的管理对象。如防火墙可以基于IP地址做访问控制策略、漏洞扫描系统可以基于IP地址完成系统扫描等。相同的管理对象不仅降低了维护者的学习与记忆成本,而且无意间统一了管理的对象元素,让所有的系统都围绕统一的圆点进行安全防护,针对每个IP地址都作用相同等级的防护手段,形成异构的防护圈,多个IP地址组成一个大的防护网,最终实现全网的安全建设。
围绕IP地址完成安全加强和策略配置的基础上,还要注意安全策略的日常变更与动态维护,很大程度的安全威胁都是由于维护不及时而给了不法分子可乘之机。多次公开的信息安全威胁事件表明,绝大部分安全事件均是由于管理疏忽而造成。如某组织在溯源一件重特大安全事件时,发现安全事件的诱因居然是一个已被销户的网络摄像头。从资产登记角度对比后发现这一摄像头早于半年前就下线维修了,但是整条网络通路上的所有安全设备均未变更此摄像头的网络访问策略与访问权限,使攻击者通过伪造网络摄像头的IP地址顺利通过了防火墙、防毒墙、WAF等设备的安全检查。再比如在某次产品测试或者维护过程中,为了便捷操作给某些运维人员做了NAT静态映射,对于此类临时的一次性的网络映射,身份认证、主机健康度等检查手段大概率将使用一些健壮性较差的标识,完成产品测试或者维护后没有及时清理NAT静态映射中内外网间对应关系。当不法人员通过网络侦测发现这一NAT后,很容易通过暴力破解撞库获取到合法的user/password,进而肆意破坏内部网络,窃取内部秘密信息。
正所谓成也萧何败也萧何,在信息化安全建设的过程中,可谓是成也IP地址败也IP地址,它对于信息安全建设的贡献和重要性不言而喻,但引发的安全事件也数不胜数。相信在以后很长一段时间内,它将继续在信息化安全的海洋里荣辱不惊的发光发热。
落实网络实名制
前边我们谈到,IP地址具有隐匿性,主要指IP地址是一个网络通信上的专有名词,通信的双方无需也无法了解通信的主体是人还是物,只需要按照通信协议的规定,将需要交付的通信内容交给IP协议,然后由IP地址负责标识出数据包转发的路径,最终将交付物交付对端IP地址。在整个交互过程中,没有显式的用户信息存在,尽管IP地址可能会是某一次网络攻击或者信息泄露的源头,但IP地址无需对任何组织机构或者个人负责,当然它也无法负责,安全事件的最终责任必然落实到某一责任人或者相关方身上,通常情况下,责任人会被定义为IP地址的使用者。由于信息化建设是一个由小到大,从简至繁的过程,在建设的初期,管理员只需通过一个简单的表格,即可完整的记录IP地址与用户的对应关系。随着建设内容的深化,人员、设备的增加,手工登记IP地址与用户的对应关系显然是不合时宜的。
在国家大力推行无纸化、电子化办公的基础上,任何岗位的人员均无法离开网络而办公,部门内部或者部门间的人员流转更替较为普遍,此类流转更替,信息管理员无法及时获取,久而久之,管理员手中登记表的内容已经完全失真。信息安全防线一被攻破后,若想明确第一责任人无异于天方夜谭。此外,当基于IP地址的安全策略配置及管控遇到移动办公时立即会变得捉襟见肘,使用者同时会使用有线网络及无线网络,而且需要在无线网络中进行切换或漫游,随着网络的切换与漫游,IP地址必须视情况而变化,终端配置固定IP地址的时代一去不返。手动登记用户与IP地址的对应表已然不再可能。
专注于用户认证与网络管理的产品适时而动,推出了合理的解决方案,将网络实名化。通过任意网络接入方式入网的终端均需要完成用户认证,认证的同时自动将认证用户与IP地址进行强关联,记录关联的准确时间,对IP地址在线时间段进行实时监测,直至IP地址下线,形成IP、用户、终端、上下线时间的关联数据,让每一个IP地址都有迹可循。通过落实网络实名制,也让隐藏在网络中的无主IP地址和黑户IP地址完全暴露,杜绝由此类IP地址所诱发的安全威胁。落实网络实名制,也在无形中遏制了NAT网络中私网IP地址在公众平台发表不正当言论的行为。
信息安全审计
信息安全一直以来都是“相对信息安全”的代名词,从来都没有绝对的信息安全,或者说根本不存在绝对的信息安全。每当有信息安全事件爆发后,技术专家均需就安全事件的爆发流程进行复盘和追溯,以便发现最新形式的攻击手段及当前信息安全建设中所存在的不足与短板。信息安全审计日志是复盘和追溯的重要依据,通过审计日志(如防火墙中的会话日志、IPS中的攻击日志、防毒墙中的威胁日志、准入控制中的非法接入日志等等),将信息安全攻击事件的爆发路径进行轨迹画像,简单清晰的描绘安全攻击的来龙去脉。
要完成轨迹画像这一任务,技术专家通常会提炼出整个攻击流程中不同安全系统所记录的相同元素,基于相同元素将不同系统的审计记录进行汇总,然后输出整体的安全分析。对绝大部分系统或者场景而言,不同系统的相同日志元素只能是IP地址,IP地址起到串联不同系统、日志的作用,进而进行全流程的日志分析。
随着信息化产品的标准化程度越来越高,不同产品的日志记录逐渐采用了Syslog(系统日志,最新syslog标准为RFC5424)标准,在最新的Syslog标准规范中,使用了Hostname(可以选用域名、静态IP、主机名、动态IP来替代,优先级依次降低)字段来标识发送syslog消息的源主机,相较于域名,IP地址更准确的代表真实的源主机,由此可见,IP地址变成了Hostname字段实际上的代名词。
IP地址在信息话管理工作中的重要作用
信息化建设和发展过程离不开规范的技术管理,同时,规范的技术管理也需要立足于当前的信息化建设现状及发展阶段。有效的IP地址管理工作,在信息化系统的规划、建设、运维阶段均发挥重大的作用。
规划阶段
凡事预则立不预则废,在信息化系统建设过程中这一原则同样适用。清晰明确的网络拓扑图及IP地址标注,使产品供应商或者项目经理精准把握所需完成的建设任务和实现目标。基于网络层的详尽信息,信息化建设任务的参与方能从网络整体架构输出详细、可落地的解决方案。合理规划IP地址的分配方式与使用范围,使子网/VLAN与组织架构相对应,将每一个单独的组织单位分配单独的子网与VLAN,确保组织单位内部广播信息仅在VLAN内传播,即使爆发信息安全事件,也可将事件控制在独立区域内,避免引发更大范围的安全事件。
规划阶段另一个不得不考虑的IP地址问题便是地址容量的问题,即:IP地址的规划不仅要符合组织机构的分层分区模式,也需要基于不同部门的业务特点考虑后期IP地址扩容,如:产品测试部,可能会引入多个品牌不同型号的产品进行测试,需要预留足够的IP地址以满足后期的使用需求;再比如工业互联网中,除了数控机床、精密机加工设备,后期可能需要部署大量的温度、湿度、电磁、震动传感器,用于监控整个生产过程。
建设阶段
建设是将规划实现的过程,需要按照规划逐步完成目标任务。首先需要基于楼宇结构或者组织架构,将规划好的子网/VLAN信息在数据通信设备中进行配置与实现,实现数据正常通信,其次考虑安全规范或者管理要求。安全规范中时常听到的管理要求就是“逐步启用策略,控制过程风险”,任何形式和种类的信息安全均是建立在业务连续性之上的安全,无法保证业务连续性的安全不具备任何实际意义。前文我们曾经谈到过,当前的信息化产品多基于IP地址完成策略配置,那么“逐步启用策略,控制过程风险”实际上就是部分IP地址启用策略,部分IP地址不启用策略,小范围内验证信息化建设任务的可用性及健壮性,最终确保整体任务的顺利交付。
运维阶段
运维是信息化发展不可缺失的一环,类似于汽车保养,只有定时保养,才能确保数据通信正常运转,为信息化工作深入发展打下坚实基础。日常运维工作中,IP地址的运维是最耗时耗力的工作。尤其是IP地址的分发、配置、回收,每当有新员工入职、新终端上线、新系统投产均需及时分配IP地址,便于迅速开展。同时,若员工离职、终端下线、系统停产也需要立即回收已分配的IP地址,防止一些恶意用户使用非法终端配置未回收的IP地址刺探内网资源。更重要的没有合理有效的IP地址监控与管理,可能导致网络可用性和服务质量的急速下降,甚至可能引发网络环路进而造成信息网络的崩溃。
IP地址管理在组织中的应用实践及效果
大量信息化网络安全问题中,令网络管理员感到最头痛的问题就是DDI(DDI是DHCP、DNS、IP三者的简称)相关问题。绝大部分组织的内部网络环境中使用DNS场景相对较少,因此管理员最常遇到的无非就是DHCP相关问题或IP地址相关问题。一般环境中,网络终端与设备的IP地址较多的采用手工配置静态IP或者通过交换机、路由器、Windows Server DHCP服务进行IP地址分配,很少有组织采用专业的IP地址管理产品对组织内的IP地址进行统一的管理与分配。怎样有效地管理整个网络系统的中IP地址,如IP地址分配、IP地址监控、IP地址回收、IP地址安全防护等内容成为困扰在信息化建设中的重大问题。
若想从根本上解决此类问题,离不开自动化、智能化的IP地址管理系统,针对IP地址分配、IP地址监控、IP地址回收、IP地址安全防护几个方面进行流程化、标准化梳理。摒弃传统运维形势下的工作方式,如:网络管理员通过手工维护Excel表格登记IP地址、利用简单PING命令来查询验证某IP地址是否有效使用、只有IP地址分配机制没有IP地址回收机制。具体操作步骤如下几点:
IP地址分配
可基于终端的MAC地址、Hostname、DHCP Option选项、使用人的角色,提供灵活的基于DHCP协议的IP地址分配服务,满足高并发、分布式环境中的使用需求。全面遵从RFC2131、RFC3396、RFC4361等相关标准,提供完整的DHCP服务功能,支持标准的DHCP配置选项以及自定义选项,可以无缝置换第三方DHCP服务器。针对特殊场景中的静态IP地址,采用管理员授权制度,将特殊的IP地址标记为不可分配的IP地址,避免在组织内造成IP地址冲突的事件。
IP地址回收
DHCP环境中不仅支持通过DHCP租约时长回收IP地址功能,还应该支持终端在线探测功能,当终端离线且长时间未上线时立即回收终端的IP地址。手工配置静态IP地址环境,可以根据终端离线时长设置IP地址回收策略,对长时间未上线的终端,对其IP地址进行强制回收。此外,从多个维度记录IP地址的使用轨迹,主要包含某一段时间内是谁在用什么终端使用此IP地址,避免张冠李戴的现象发生。
IP地址统计
实时掌握每个子网/VLAN中当前IP地址分配(含授权使用的静态IP地址)情况,如:IP地址总数、已分配/已授权IP地址、未分配IP地址、IP地址使用率、IP地址的分配/回收时间、IP地址在组织网络中的接入位置。可基于组织架构定时产生当前IP地址的使用报告,含IP地址的使用历史、IP地址当前状态分布、IP地址可用性测算等多方面内容。
IP地址监控与防护
传统的IP地址产品(开源的IP地址管理系统或Windows DHCP Server)尽最大努力提供了IP地址分配和少量数据统计工作,但无法处理组织中未授权的手工配置IP地址行为、非法的IP地址仿冒行为,此类事件不仅极大的影响了组织内信息业务的连续性,同时也为不法分子进行信息窃取、网络刺探等行为提供了可能性。要落实IP地址管理工作,IP地址防护工作必然需要优先考虑。
通过以上四个步骤完成IP地址全生命周期的流程化管理,不仅提高了管理效率,落实了管理效果,以技术手段落实管理政策,用管理政策优化技术思路,寻求技术手段与管理政策间平衡点,让IP地址管理在当下的信息化环境中发挥重大作用。