監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關閉

網絡分段的優(yōu)缺點及挑戰(zhàn)

申請免費試用、咨詢電話:400-8352-114

網絡分段是經過檢驗而可靠的網絡安全原則之一,在上網行為開始出現時,網絡分段就已經存在?;仡?0世紀70年代James Martin和Saltzer及Schroeder的作品,其中的最小特權和職責分離的概念讓企業(yè)限制用戶只能訪問有業(yè)務需求的系統(tǒng)。然而,在這種概念出現幾十年后,仍然有不計其數的事故涉及對系統(tǒng)的未經授權訪問,而這些系統(tǒng)根本就不應該被訪問。舉個例子,最近某國攻擊者入侵歐洲網絡,攻擊者使用了高權限訪問來竊取數據。如果通過網絡分段部署了正確的訪問限制,這些攻擊原本可以被阻止。

在本文中,我們將討論企業(yè)網絡分段的優(yōu)點和缺點,并提供部署網絡分段的最佳做法來減少各種網絡安全威脅帶來的風險。

網絡分段的好處

網絡分段是指網絡的分離或隔離(通常使用一個或多個防火墻),但在政府或軍方,它可能意味著出于安全原因,物理隔離網絡,斷開網絡與其他網絡或互聯網的連接。適當的網絡分段可以帶來以下好處:

• 為關鍵服務器和應用提供強有力的保護

• 限制遠程工作人員到他們所需的網絡區(qū)域

• 簡化網絡管理,包括事件監(jiān)控和事件響應

• 面對永無止境的安全審計和來自業(yè)務伙伴及客戶的問卷調查,網絡分段可以最大限度地減小這方面的工作。

網絡分段的缺點及挑戰(zhàn)

雖然在理論上來說,這些優(yōu)點都很好,但網絡分段不只是“分段就完事了”,還有很多工作需要做。同時,企業(yè)還必須考慮網絡分段帶來的以下缺點和挑戰(zhàn):

• 對于跨職能部門、外部供應商以及需要大量內部網絡訪問的業(yè)務流程,按照他們的訪問水平進行分段幾乎是不可能的。

• 使用虛擬局域網(VLAN)進行分段(這是最常見的類型)似乎是一個好主意,但本地網絡的任何人只要知道IP尋址方案,他們都可以簡單地跳到新的網段,并且可以繞過網絡分段的訪問限制。

• 在執(zhí)行安全漏洞掃描時,網絡分段真的是非常麻煩。你將需要根據訪問控制列表或防火墻規(guī)則物理地或邏輯地將你的掃描儀在網段間移動,你可能還需要部署遠程掃描傳感器。

• 如果企業(yè)沒有使用端點安全控制(例如反惡意軟件、入侵防御和數據丟失防護)來應對每個網段內的惡意活動(例如惡意軟件感染或內部威脅),他們仍然將會面臨很大的風險。

• 現在企業(yè)使用的很多面向互聯網的網絡基礎設施設備、服務器、web應用和云服務都必須在全球范圍內提供可用性,企業(yè)可能會試圖拒絕壞流量進入網絡,但這正變得越來越難以實現。

• 高管不希望其計算體驗受到阻礙。

然而,網絡分段并不總是解決問題的辦法。并且,特定業(yè)務流程、合作伙伴網絡連接或缺乏網絡管理資源(金錢或技能)可能是更為優(yōu)先的考慮因素。在追求安全與便利性的平衡中,后者往往更加重要。不過,這些并不意味著你不應該部署網絡分段。

讓筆者深感有趣的是,很多企業(yè)(大型企業(yè)在內)部署了各種水平的網絡分段,而沒有完全了解其中的真正風險。要知道,你不能保護你不認識的東西。如果你沒有清楚認識這是什么以及風險何在,你將無法部署長期可行的有效的網絡分段。

當今的“全連接”網絡無疑有利于安全攻擊的執(zhí)行,而我們可以使用經過驗證可靠的安全原則來預防這些攻擊。對于一切與安全有關的事物,并沒有放之四海而皆準的解決辦法;每個網絡都是不同的,每個企業(yè)都有獨特的需求,同時,每個部門的業(yè)務主管都有不同的信息風險容忍度。

那么,最適合你企業(yè)的是什么?這恐怕只有你自己知道。首先,防火墻規(guī)則、ACL和VLAN組合將能夠明確誰和哪些系統(tǒng)需要訪問你網絡的特定區(qū)域。其次,強大的滲透測試和持續(xù)的安全評估將幫助企業(yè)明確需要哪些額外的安全措施。你可能會發(fā)現,你需要額外的IPS傳感器、更強的文件訪問控制,或者甚至更專注于DLP控制。

在企業(yè)選擇了正確的工具和技術組合后,困難的工作開始了:真正開始執(zhí)行“理想的”網絡分段。當然,決定你是否需要部署網絡分段的業(yè)務驅動因素也將發(fā)揮一定作用。這可能包括已知風險、合規(guī)性(例如PCI DSS)或者合同要求,或者需要這個功能的特定業(yè)務流程。雖然企業(yè)可能永遠也達不到“理想狀態(tài)”,但重要的是你盡了一切努力來最大限度地減少網絡攻擊區(qū)域。

面對企業(yè)現在要應對的網絡復雜性,盡量減小安全事故的影響與防止安全事故同樣重要。歸根結底,政策和文化將決定企業(yè)應該采用怎樣的網絡分段,你的企業(yè)只要接受就行了。

【推薦閱讀】

上網行為運維管理專區(qū)

云計算運維管理的十六大功能

調查:NAS設備比路由器更易受到攻擊

如何完成遠程排除網絡故障

網管軟件專區(qū)

本文來自互聯網,僅供參考
發(fā)布:2007-04-15 10:00    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
相關文章:
相關軟件
聯系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢