回答
2
瀏覽
1220
隔離主要是為了安全,現在很多涉密單位都必須要求進行內外網隔離,甚至在內部網絡中又劃分出了研發網、辦公網、生產網等。內外網隔離,本質上隔離的是“自己人”與“外人”,具有較強的安全敏感性。有條件的企業可能會在內外網邊界部署DLP(數據防泄漏)系統,所有內部向外部發出的數據(如電子郵件),都要經過DLP系統的內容掃描,在確保不包含敏感信息的情況下才允許發出。
較大規模的企業還可能對內部網絡實施進一步的隔離,比如劃分為辦公網、研發網、生產網、測試網等,主要用來屏蔽不同部門、不同業務之間的違規數據交換。內部子網隔離,本質上解決的是“人民內部矛盾”,其敏感性因業務不同而有所差別。比如,研發網內的核心知識產權數據、生產網內的真實用戶隱私數據,即便只是流入到內部辦公網,也可能造成較大的安全風險。
回答所涉及的環境:聯想天逸510S、Windows 10。
暫無個人描述~
- 提了384個問題,386個回答
- 回答了0個問題
企業進行內外網絡隔離的原因:
先從安全建設角度,一直以來,企業廣泛的采用縱深防御技術(defensin depth)和最小權限邏輯(least privilege)來進行企業網絡安全管理。而隔離是實現這兩個理念的基本方式,例如傳統安全管理中,通過邊界部署防火墻來實現可信網絡與外部網絡的隔離,內部不同安全級別間劃分安全域,域間通過防火墻實現隔離,并通過設置安全策略按需賦予訪問權限。
再從攻防角度說,從近年來的安全事件我們可以看到,攻擊者從以破壞為主的攻擊逐漸轉變為以特定的政治或經濟目的為主的高級可持續攻擊。無論從著名的Lockheed Martin Cyber Kill Chain(洛克希德-馬丁公司提出的網絡攻擊殺傷鏈),還是近年名聲大噪的勒索病毒、挖礦病毒,這些攻擊都有一些顯著特點,一旦邊界的防線被攻破或繞過,攻擊者就可以在數據中心內部橫向移動,而中心內部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統安全的一個主要弱點,復雜的安全策略、巨大的資金和技術都用于了邊界防護,而同樣的安全級別并不存在于內部。
最后從安全閉環角度來說,有了行為分析、有了蜜罐、有了態勢感知,卻沒有了最基本的訪問控制。數據中心內部往往幾百臺虛擬機域內全通,只有把這些進行隔離才能達到真正的安全。
內外網隔離可以通過多種方式實現,主要有以下幾種:
通過安裝部署物理網卡實現物理隔離
通過路由器或交換機實現邏輯隔離
通過第三方網絡管理類軟件實現邏輯隔離。
回答所涉及的環境:聯想天逸510S、Windows 10。