[Tips]企业安全扯淡之网络分割

by: 云舒
2008-04-16
http://www.ph4nt0m.org

继续扯淡，今天是网络的分割问题。

网络分割几句话就能说清楚了，不过却是一个很重要并且很麻烦的问题。重要是因为做了分割之后，整体的安全性会好很多；麻烦主要是因为在实施之前整理需求很繁杂，实施之后又需要有长期的维护。

网络分割的原则，就是找到网络中的各个边界，使用路由或者防火墙将其隔离，最好是路由隔离。这里的边界主要是指办公网络和 internet的边界，生产网络和internet的边界，办公网络和生产网络的边界，以及各子公司网络的边界。除了这些比较粗略的分割之外，还应该包括小范围细粒度的划分，这里的网络已经是粗略分割之后的某一部分的分割了，包括办公网络内部按照部门职责进行的分割，生产网络按照相同应用的分割。

被分割的各个网络之间，根据部门重要程度，数据的敏感性程度，来设置他们的安全级别，进而部署访问策略。重要的部门以及应用不应该被其它部门，其它应用访问到。对于内网策略，严格来说，即使是同一个安全级别的，也应该独立开来。这里又涉及到第一篇《企业安全扯淡之YY内网准入以及划分》中讲到的动态vlan划分的内容，因为很多人是需要移动办公的。

做网络分割之前，需要对应用非常的了解。因为影响业务运作的安全措施，和攻击者造成的危害是差不多的。对于业务需要的访问，评估之后采取相应的措施，或者允许，或者使用其他手段达到同样的目的。这里前期的准备，需要和IT，运维，还有其它各种涉及到的部门交涉，谈判，争取他们的协助。

完成了严格的网络分割之后，后期的维护主要是指新策略的建立或修改。因为网络分割之后，策略由安全部门和网络维护部门协同掌握，IT和运维的新需求再绕不开安全部门的审核。这样也为制订业务的流程和标准打下了基础，也是下一篇要扯的。