等级保护网络架构安全要求与网络分段的7个安全优点

网络漏洞是线上不可避免的风险。攻击必然会发生，每个网络都必须能够抵御入侵。一种网络安全机制在限制网络漏洞造成的损害方面非常有效。这种网络安全技术就是：网络分段。

网络分段可以在成功的数据泄露期间保护网络的重要部分。如果系统受到损害，这种防御机制会限制入侵者可能造成的损害，做到有效隔离或延缓攻击的目的。

以《信息安全技术 网络安全等级保护基本要求》中第三级为例，在安全通信网络的网络架构中，有两条内容是与网络分段直接相关的。

如下表所示：

安全通信网络

网络架构

本项要求包括：

c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

d)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；

相关单位可以根据系统重要性、部门架构和区域边界等合理规划不同的网络区域，通过在主要网络设备上进行VLAN划分，实现网络区域划分及IP地址分配，从而达到网络分段的目的。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其他VLAN内的用户直接通信。如果不同VLAN间的用户需要进行通信，则需要通过防火墙、路由器或三层路由换机等设备实现，最终实现安全目的。

为防止来自外部网络的直接攻击，重要区域应避免部署在网络边界处、直接连接外部网络，这个工作是建立合理划分网段区域的基础之上，没有前面的科学合理的分段工作，重要区域的安全防护也是无从谈起的。重要区域与系统边界之间需要设置缓冲区，在重要区域前端需要部署可靠的边界防护设备并配置启用安全策略进行访问控制。

本文介绍了网络分段的所有安全好处。通过了解多层保护如何抵御攻击以及为什么分段比扁平网络结构更可靠，更好地理解《信息安全技术 网络安全等级保护基本要求》关于划分不同网络区域的必要性以及有点。

什么是网络分段？

网络分段是将网络划分为更小的部分的过程。这些部分是通过在不需要交互的系统部分之间放置屏障来创建的。例如，公司可以为其打印机创建子网，或者保留一个段用于存储数据。

一旦对网络进行分段，每个子网都将作为一个独立的系统运行，具有独特的访问和安全控制。这种网络设计允许您控制各部分之间的数据流量。可以阻止一个网段中的所有流量到达另一网段。此外，网络工程师使用网络分段按流量类型、来源或目的过滤数据流。

隔离网络的各个部分会限制威胁在系统中自由移动的能力。如果网络的某个部分遭到破坏，其他部分也不会受到损害。

网络分段的类型

网络工程师对网络进行物理或虚拟分段。比较两种分割方法：

• 物理分段： 为了对网络进行物理分段，每个子网都需要有其布线、连接和某种 类型的防火墙。物理分段提供了可靠的保护，但很难应用于大型系统。
• 虚拟分段： 这是更常见且经济实惠的网络划分方法。不同的网段共享相同的防火墙，而交换机则管理虚拟局域网（VLAN）。

两种分割方法各有优缺点，但效果是相同的。可以限制网络内的通信，并使威胁难以攻击多个部分。

为什么要对网络进行分段？

标准扁平网络易于管理，但无法提供可靠的保护。防火墙监控扁平网络架构中的所有传入流量，重点是阻止来自系统外部的攻击。如果黑客穿过边界并进入网络，没有什么可以阻止他们访问数据库和关键系统。

分段消除了扁平网络的缺陷。由于拥塞较少，对网络进行分段还可以提高性能。由于每个子网的主机较少，分段网络可以最大限度地减少本地流量并减少广播流量中的“噪音”。

网络分段策略的另一个好处是它有助于缓解合规性要求。可以将网络分割为包含具有相同合规性规则的数据的区域。单独的区域缩小了合规范围并简化了安全策略。

网络分段的安全优点

在所有 类型的网络安全中，分段提供了最强大、最有效的保护。

网络分段安全优点包括：

1. 强大的数据保护

对网络流量的控制越多，保护重要数据就越容易。分段通过限制访问数据缓存的网络部分的数量，在数据缓存周围建立一堵墙。

能够访问数据的部分越少，意味着黑客窃取有价值信息的访问点就越少。在有限的访问和本地安全协议之间，您可以降低数据丢失和被盗的风险。

2. 威胁遏制

如果黑客破坏了分段网络，他们就会被包含在单个子网内。闯入系统的其余部分需要时间。

当黑客试图强行进入其他子网时，管理员有时间升级其他网段的安全性。一旦阻止问题蔓延，管理员就可以将注意力转向被破坏的部分。

3. 有限的访问控制

分段通过限制用户对网络单个部分的访问来防止内部攻击。这种安全措施称为 最小特权策略。通过确保只有少数人可以到达网络的重要部分，您可以限制黑客进入关键系统的方式。

最小权限策略至关重要，因为人是网络安全链中最薄弱的环节。根据国际巨头Verizon的2020年数据泄露报告，超过三分之二的恶意软件网络泄露是由于恶意电子邮件而发生的。

如果用户的凭据被盗或滥用，分段网络将使入侵者远离关键资源。

4. 改进的监控和威胁检测

分段可以让您添加更多的网络监控点。更多检查可以更轻松地发现可疑行为。高级监控还有助于确定问题的根源和范围。

监视日志事件和内部连接使管理员能够查找恶意活动的模式。了解攻击者的行为方式可以采取主动的安全方法，并帮助管理员保护高风险区域。

5. 快速响应速度

不同的子网允许管理员快速响应网络中的事件。当发生攻击或错误时，很容易看出哪些部分受到影响。这些见解有助于缩小故障排除的重点范围。

对网络中事件的快速响应也可以改善用户体验。除非专用于用户的子网遭到破坏，否则客户不会感受到分段网络中问题的影响。

6. 损害控制

网络分段可最大限度地减少成功的网络安全攻击造成的损害 。通过限制攻击的传播范围，分段可以包含一个子网中的漏洞，并确保网络的其余部分是安全的。

网络错误也包含在单个子网内。其他部分不会感受到问题的影响，从而使错误更容易控制和修复。

7. 保护端点设备

由于持续的流量控制，分段可以使恶意流量远离未受保护的端点设备。随着物联网设备变得司空见惯，网络分段的优势变得至关重要。

端点设备既是网络攻击的常见目标也是起点。分段网络隔离这些设备，限制整个系统的暴露风险。

不要忽视网络分段的重要性

虽然网络分段并不是什么新鲜事，但它绝不是过时的。在攻击面切割和流量控制之间，分段是阻止严重破坏的良好的方法之一。

在未落实等级保护之前，或许网络分段更多地是一种非常好的实践模型，而在等级保护落实过程中则变成了一种要求。随着网络攻击频繁的行业（尤其是支付卡行业）的趋势表明，各类合规性要求把网络分段作为一项强制性安全措施。凡此种种，都不断说明着网络分段的好处。在落实等级保护过程中，期待大家能够在设计过程中，做到信息化与安全同步设计，结合单位业务特点充分合理的设计网络分段。

原文始发于微信公众号（河南等级保护测评）：等级保护网络架构安全要求与网络分段的7个安全优点