作者:顾娟
链接:https://www.zhihu.com/question/314745822/answer/1183812295
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

绝大多数企业为了防止内部核心数据泄露,都实施了内外网隔离,甚至在内部网络中又划分出了研发网、办公网、生产网等。主要目的和场景是这样的:

绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离,将内部数据“困在”内网,同时也能够有效屏蔽外部网络攻击的风险。

内外网隔离,本质上隔离的是“自己人”与“外人”,具有较强的安全敏感性。有条件的企业可能会在内外网边界部署DLP(数据防泄漏)系统,所有内部向外部发出的数据(如电子邮件),都要经过DLP系统的内容扫描,在确保不包含敏感信息的情况下才允许发出。

较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业务之间的违规数据交换。

内部子网隔离,本质上解决的是“人民内部矛盾”,其敏感性因业务不同而有所差别。比如,研发网内的核心知识产权数据、生产网内的真实用户隐私数据,即便只是流入到内部办公网,也可能造成较大的安全风险。

隔离的方式也有很多,主要如下:

  • DMZ(Demilitarized Zone,隔离区)它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。

  • 在一台物理主机上安装两个网卡,一个连接内部网络,一个连接外部网络。

  • 在内部网和外部网之间、专用网公共网之间的边界上构造的保护屏障。在两个网络之间架设防火墙,默认阻断所有跨网通信。

  • 如果企业已经实施了虚拟化平台,可以在虚拟化平台内构造两个虚拟子网(比如一个办公虚拟子网,一个研发虚拟子网),两个虚拟子网子网间不连通。

  • 网闸/光闸是专用的网络隔离设备,其隔离安全性最高,基本原理是阻断网络通信协议,在内部采用私有通信协议,同一时间只连接一个网络,轮流连接两个网络进行数据摆渡

以上都是个人的一些看法,如果想要进一步了解的话,推荐看看《企业网络隔离建设指南》这个资料,免费下载的,可供参考。


标签: none

添加新评论