網(wǎng)絡(luò)分段是經(jīng)過(guò)檢驗(yàn)而可靠的網(wǎng)絡(luò)安全原則之一，在IT開(kāi)始出現(xiàn)時(shí)，網(wǎng)絡(luò)分段就已經(jīng)存在。

　　回顧20世紀(jì)70年代James Martin和Saltzer及Schroeder的作品，其中的最小特權(quán)和職責(zé)分離的概念讓企業(yè)限制用戶(hù)只能訪(fǎng)問(wèn)有業(yè)務(wù)需求的系統(tǒng)。然而，在這種概念出現(xiàn)幾十年后，仍然有不計(jì)其數(shù)的事故涉及對(duì)系統(tǒng)的未經(jīng)授權(quán)訪(fǎng)問(wèn)，而這些系統(tǒng)根本就不應(yīng)該被訪(fǎng)問(wèn)。

　　舉個(gè)例子，最近某國(guó)攻擊者入侵歐洲網(wǎng)絡(luò)，攻擊者使用了高權(quán)限訪(fǎng)問(wèn)來(lái)竊取數(shù)據(jù)。如果通過(guò)網(wǎng)絡(luò)分段部署了正確的訪(fǎng)問(wèn)限制，這些攻擊原本可以被阻止。

　　在本文中，我們將討論企業(yè)網(wǎng)絡(luò)分段的優(yōu)點(diǎn)和缺點(diǎn)，并提供部署網(wǎng)絡(luò)分段的最佳做法來(lái)減少各種網(wǎng)絡(luò)安全威脅帶來(lái)的風(fēng)險(xiǎn)。

　　網(wǎng)絡(luò)分段的好處

　　網(wǎng)絡(luò)分段是指網(wǎng)絡(luò)的分離或隔離（通常使用一個(gè)或多個(gè)防火墻），但在政府或軍方，它可能意味著出于安全原因，物理隔離網(wǎng)絡(luò)，斷開(kāi)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)或互聯(lián)網(wǎng)的連接。適當(dāng)?shù)木W(wǎng)絡(luò)分段可以帶來(lái)以下好處：

　　• 為關(guān)鍵服務(wù)器和應(yīng)用提供強(qiáng)有力的保護(hù)

　　• 限制遠(yuǎn)程工作人員到他們所需的網(wǎng)絡(luò)區(qū)域

　　• 簡(jiǎn)化網(wǎng)絡(luò)管理，包括事件監(jiān)控和事件響應(yīng)

　　• 面對(duì)永無(wú)止境的安全審計(jì)和來(lái)自業(yè)務(wù)伙伴及客戶(hù)的問(wèn)卷調(diào)查，網(wǎng)絡(luò)分段可以最大限度地減小這方面的工作

　　雖然在理論上來(lái)說(shuō)，這些優(yōu)點(diǎn)都很好，但網(wǎng)絡(luò)分段不只是“分段就完事了”，還有很多工作需要做。同時(shí)，企業(yè)還必須考慮網(wǎng)絡(luò)分段帶來(lái)的以下缺點(diǎn)和挑戰(zhàn)：

　　• 對(duì)于跨職能部門(mén)、外部供應(yīng)商以及需要大量?jī)?nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)的業(yè)務(wù)流程，按照他們的訪(fǎng)問(wèn)水平進(jìn)行分段幾乎是不可能的。

　　• 使用虛擬局域網(wǎng)（VLAN）進(jìn)行分段（這是最常見(jiàn)的類(lèi)型）似乎是一個(gè)好主意，但本地網(wǎng)絡(luò)的任何人只要知道IP尋址方案，他們都可以簡(jiǎn)單地跳到新的網(wǎng)段，并且可以繞過(guò)網(wǎng)絡(luò)分段的訪(fǎng)問(wèn)限制。

　　• 在執(zhí)行安全漏洞掃描時(shí)，網(wǎng)絡(luò)分段真的是非常麻煩。你將需要根據(jù)訪(fǎng)問(wèn)控制列表或防火墻規(guī)則物理地或邏輯地將你的掃描儀在網(wǎng)段間移動(dòng)，你可能還需要部署遠(yuǎn)程掃描傳感器。

　　• 如果企業(yè)沒(méi)有使用端點(diǎn)安全控制（例如反惡意軟件、入侵防御和數(shù)據(jù)丟失防護(hù)）來(lái)應(yīng)對(duì)每個(gè)網(wǎng)段內(nèi)的惡意活動(dòng)（例如惡意軟件感染或內(nèi)部威脅），他們?nèi)匀粚��?huì)面臨很大的風(fēng)險(xiǎn)。

　　• 現(xiàn)在企業(yè)使用的很多面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備、服務(wù)器、web應(yīng)用和云服務(wù)都必須在全球范圍內(nèi)提供可用性，企業(yè)可能會(huì)試圖拒絕壞流量進(jìn)入網(wǎng)絡(luò)，但這正變得越來(lái)越難以實(shí)現(xiàn)。

　　• 高管不希望其計(jì)算體驗(yàn)受到阻礙。

　　然而，網(wǎng)絡(luò)分段并不總是解決問(wèn)題的辦法。并且，特定業(yè)務(wù)流程、合作伙伴網(wǎng)絡(luò)連接或缺乏網(wǎng)絡(luò)管理資源（金錢(qián)或技能）可能是更為優(yōu)先的考慮因素。在追求安全與便利性的平衡中，后者往往更加重要。不過(guò)，這些并不意味著你不應(yīng)該部署網(wǎng)絡(luò)分段。

　　讓筆者深感有趣的是，很多企業(yè)（大型企業(yè)在內(nèi)）部署了各種水平的網(wǎng)絡(luò)分段，而沒(méi)有完全了解其中的真正風(fēng)險(xiǎn)。要知道，你不能保護(hù)你不認(rèn)識(shí)的東西。如果你沒(méi)有清楚認(rèn)識(shí)這是什么以及風(fēng)險(xiǎn)何在，你將無(wú)法部署長(zhǎng)期可行的有效的網(wǎng)絡(luò)分段。

　　當(dāng)今的“全連接”網(wǎng)絡(luò)無(wú)疑有利于安全攻擊的執(zhí)行，而我們可以使用經(jīng)過(guò)驗(yàn)證可靠的安全原則來(lái)預(yù)防這些攻擊。對(duì)于一切與安全有關(guān)的事物，并沒(méi)有放之四海而皆準(zhǔn)的解決辦法；每個(gè)網(wǎng)絡(luò)都是不同的，每個(gè)企業(yè)都有獨(dú)特的需求，同時(shí)，每個(gè)部門(mén)的業(yè)務(wù)主管都有不同的信息風(fēng)險(xiǎn)容忍度。

　　那么，最適合你企業(yè)的是什么？這恐怕只有你自己知道。首先，防火墻規(guī)則、ACL和VLAN組合將能夠明確誰(shuí)和哪些系統(tǒng)需要訪(fǎng)問(wèn)你網(wǎng)絡(luò)的特定區(qū)域。其次，強(qiáng)大的滲透測(cè)試和持續(xù)的安全評(píng)估將幫助企業(yè)明確需要哪些額外的安全措施。你可能會(huì)發(fā)現(xiàn)，你需要額外的IPS傳感器、更強(qiáng)的文件訪(fǎng)問(wèn)控制，或者甚至更專(zhuān)注于DLP控制。

　　在企業(yè)選擇了正確的工具和技術(shù)組合后，困難的工作開(kāi)始了：真正開(kāi)始執(zhí)行“理想的”網(wǎng)絡(luò)分段。當(dāng)然，決定你是否需要部署網(wǎng)絡(luò)分段的業(yè)務(wù)驅(qū)動(dòng)因素也將發(fā)揮一定作用。這可能包括已知風(fēng)險(xiǎn)、合規(guī)性（例如PCI DSS）或者合同要求，或者需要這個(gè)功能的特定業(yè)務(wù)流程。雖然企業(yè)可能永遠(yuǎn)也達(dá)不到“理想狀態(tài)”，但重要的是你盡了一切努力來(lái)最大限度地減少網(wǎng)絡(luò)攻擊區(qū)域。

　　面對(duì)企業(yè)現(xiàn)在要應(yīng)對(duì)的網(wǎng)絡(luò)復(fù)雜性，盡量減小安全事故的影響與防止安全事故同樣重要。歸根結(jié)底，政策和文化將決定企業(yè)應(yīng)該采用怎樣的網(wǎng)絡(luò)分段，你的企業(yè)只要接受就行了。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：網(wǎng)絡(luò)分段優(yōu)缺點(diǎn)及最佳做法

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121514044.html