2008年4月16日星期三

[Tips]企业安全扯淡之网络分割

by: 云舒
2008-04-16
http://www.ph4nt0m.org

继续扯淡,今天是网络的分割问题。

网络分割几句话就能说清楚了,不过却是一个很重要并且很麻烦的问题。重要是因为做了分割之后,整体的安全性会好很多;麻烦主要是因为在实施之前整理需求很繁杂,实施之后又需要有长期的维护。

网络分割的原则,就是找到网络中的各个边界,使用路由或者防火墙将其隔离,最好是路由隔离。这里的边界主要是指办公网络和 internet的边界,生产网络和internet的边界,办公网络和生产网络的边界,以及各子公司网络的边界。除了这些比较粗略的分割之外,还应该包括小范围细粒度的划分,这里的网络已经是粗略分割之后的某一部分的分割了,包括办公网络内部按照部门职责进行的分割,生产网络按照相同应用的分割。

被分割的各个网络之间,根据部门重要程度,数据的敏感性程度,来设置他们的安全级别,进而部署访问策略。重要的部门以及应用不应该被其它部门,其它应用访问到。对于内网策略,严格来说,即使是同一个安全级别的,也应该独立开来。这里又涉及到第一篇《企业安全扯淡之YY内网准入以及划分》中讲到的动态vlan划分的内容,因为很多人是需要移动办公的。

做网络分割之前,需要对应用非常的了解。因为影响业务运作的安全措施,和攻击者造成的危害是差不多的。对于业务需要的访问,评估之后采取相应的措施,或者允许,或者使用其他手段达到同样的目的。这里前期的准备,需要和IT,运维,还有其它各种涉及到的部门交涉,谈判,争取他们的协助。

完成了严格的网络分割之后,后期的维护主要是指新策略的建立或修改。因为网络分割之后,策略由安全部门和网络维护部门协同掌握,IT和运维的新需求再绕不开安全部门的审核。这样也为制订业务的流程和标准打下了基础,也是下一篇要扯的。