随着企业数字化转型的逐步深入,企业投入了大量资源进行信息系统建设,信息化程度日益提升。在这一过程中,企业也越来越重视核心数据资产的保护,数据资产的安全防护成为企业面临的重大挑战。
![企业如何做好网络隔离建设,防止数据泄露?]( "企业如何做好网络隔离建设,防止数据泄露?")
各个行业的监管部门,可能会推行统一的信息安全保护标准及规范,企业出于合规性的诉求,需要按照法律法规的要求进行网络隔离。
我国明确提出 “没有网络安全就没有国家安全”,从立法规范的层面重视强调网络安全工作的重要性。对于政府部门,国家保密局2000年1月1日发布实施的《计算机信息系统国际联网保密管理规定》,明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。对于金融行业,中国银监会2006年8月7日发布实施的《银行业金融机构信息系统风险管理指引》,其中的第二十五条明确要求,“银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制”。
在严峻的安全态势之下,企业的网络安全体系建设正从“以合规为导向”转变到“以风险为导向”,从原来的“保护安全边界”转换到“保护核心数据资产”的思路上来。
越来越多的企业在网络安全体系建设和日常工作中正面临一个重要问题,那就是:如何保护企业核心数据资产?所以,很多企业为了防止知识产权、商业机密数据泄露,也主动地将自身网络进行安全性隔离。绝大多数企业都在内部实施了内外网分离,互联网与内网隔离,生产网与办公网隔离,办公网与研发网隔离,以确保企业信息安全。
![企业如何做好网络隔离建设,防止数据泄露?]( "企业如何做好网络隔离建设,防止数据泄露?")
绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离,将内部数据“困在”内网,同时也能够有效屏蔽外部网络攻击的风险。内外网隔离本质上隔离的是“自己人”与“外人”,具有较强的安全敏感性。有条件的企业可能会在内外网边界部署DLP(数据防泄漏)系统,所有内部向外部发出的数据(如电子邮件),都要经过DLP系统的内容扫描,在确保不包含敏感信息的情况下才允许发出。
较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业务之间的违规数据交换。内部子网隔离本质上解决的是“人民内部矛盾”,其敏感性因业务不同而有所差别。比如,研发网内的核心知识产权数据、生产网内的真实用户隐私数据,即便只是流入到内部办公网,也可能造成较大的安全风险。
![企业如何做好网络隔离建设,防止数据泄露?]( "企业如何做好网络隔离建设,防止数据泄露?")
DMZ(Demilitarized Zone,隔离区)它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。一般来讲,企业在内外网间架设两道防火墙,两道防火墙中间的区域即为DMZ区。内部网络可以主动访问DMZ区,DMZ区可以主动访问外部网络,这样就形成了一个中间缓冲区,从而可以达到更高的安全标准。为了让特定业务跨网,需要使其穿透DMZ区,这一般要求在DMZ区内部署针对该业务的代理(中转)设备。
在一台物理主机上安装两个网卡,一个连接内部网络,一个连接外部网络。这种隔离方式实际上是构造了一个同时能够连接两个网络的特殊设备,一般需要有专人管理。当需要进行跨网文件交换时,发送者将数据传输到该主机上,由专人进行文件内容的审查和登记后,再将数据由这台主机发送到另一个网络内。
在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。在两个网络之间架设防火墙,默认阻断所有跨网通信。为了让特定业务跨网,可以在防火墙上配置针对于该业务的特殊规则,使该业务的通信可以穿过防火墙。使用防火墙的好处有:保护脆弱的服务,控制对系统的访问,集中地安全管理,增强保密性,记录和统计网络利用数据以及非法使用数据情况。
如果企业已经实施了云桌面虚拟化平台,可以在虚拟化平台内构造两个虚拟子网(比如一个办公虚拟子网,一个研发虚拟子网),两个虚拟子网子网间不连通。企业可以为每个有需求的员工分配两个虚拟桌面,分别连接两个虚拟子网,通过这种方式来实现虚拟桌面的隔离。虚拟机隔离技术是一项很好的策略,能够有效防止病毒蔓延到整个云环境。
网闸/光闸是专用的网络隔离设备,其隔离安全性最高,基本原理是阻断网络通信协议,在内部采用私有通信协议,同一时间只连接一个网络,轮流连接两个网络进行数据摆渡。
对网络进行隔离,大大提升了网络整体安全水平。然而隔离的网络,也阻断了某些需要进行跨网数据交换的特殊业务,使得跨网业务无法顺利开展。
在专业化分工协作的今天,企业越来越多地需要与外部客户、合作伙伴等进行频繁的数据交换,网络隔离成为企业对外高效协作的一大障碍。如何在保证网络隔离安全的前提下,打通跨越网络的数据交换业务流程,是困扰众多企业的一大问题。很多企业会尝试一些传统的办法:
【安全U盘拷贝】:很多公司会上终端安全系统,所以得使用安全认证的U盘来拷贝,这种方式最大的一个问题就是麻烦,效率低下,容易中毒!而且也无法监管拷贝的内容,最终的数据流向也无从知晓。
【FTP/共享文件夹】:FTP和共享文件夹的方式也是一种比较普遍的方法,只有专人有权限访问不同的网络进行文件的上传下载,这种方式效率比较低,数据交换业务多的时候专人忙不过来,而且整个过程也不好管控,没有任何的记录可以跟踪。
【网闸】:网闸自带的摆渡功能可以进行数据交换,但是网闸无法实现人对的人数据交换,审批和审计功能也较弱,加上网闸是硬件形态,拓展性较差,难以满足企业未来的网络发展规划!
所以,以上这些方法都无法解决安全可控的跨网文件交换问题!
市面上做跨网文件交换的厂家也有不少,但是IT部门需要一个既符合安全管理标准,又能满足业务用户需求,同时又可以被IT管控的跨网文件交换系统,能做到这样的可不多。Ftrans飞驰云联的《Ftrans Ferry跨网文件安全交换系统》就是其中之一。
![企业如何做好网络隔离建设,防止数据泄露?]( "企业如何做好网络隔离建设,防止数据泄露?")
-
系统支持网闸、防火墙、虚拟桌面、VLAN、DMZ、软件逻辑隔离等多种隔离方式,在保证安全的前提下,提供多种文件发送方式,包括自己发给自己、自己发给他人等,各种业务场景都能用;
-
系统内置审批流程,支持多级审批、逐级审批、转审等,可灵活的设置审批规则和条件,可与OA、BPM等系统集成;
-
系统提供非常完整的日志记录,什么用户在什么时间以什么IP地址发了什么文件等,都一目了然,并且管理员可以查看原始文件,一旦发现问题可以及时追溯;
-
系统提供多重安全保障,内置防病毒引擎、内容安全检查、传输加密等,避免病毒文件进入内网,防止敏感文件外泄;
-
纯软件的解决方案,可以便捷地与AD/LDAP、OA、BPM、第三方杀毒引擎、DLP、企业微信、钉钉等集成;
-
系统支持TB级超大文件快速传输,支持断点续传、错误重传、一致性校验等,无需人工干预,提供高速可靠的文件传输能力保障。
除以上功能之外,Ftrans还能满足其他业务场景需求:
-
解决方案灵活,支持单站点、多站点部署,可实现两个或多个网络之间的单双向文件摆渡,灵活适应企业不同级别的安全要求;
-
支持企业文件的管理和共享,可进行灵活的权限分配,支持部门空间、项目空间的协作管理模式,各工作空间逻辑隔离,互不影响,可独立开展文件管理和安全管控;
-
不仅可以实现内部隔离网间的文件摆渡,还可以支持和外部合作伙伴之间的文件安全收发,一套平台覆盖多种应用场景。
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):企业如何做好网络隔离建设,防止数据泄露?
评论