從歷史發(fā)展來看,網(wǎng)絡(luò)安全域隔離是傳統(tǒng)安全領(lǐng)域中常見的一種防御手段。就好像春秋戰(zhàn)爭期間修建的長城一直延續(xù)到世界末日,發(fā)揮了巨大作用,除了要塞和城墻外,它還修建了高墻和寬闊的河流。長城和城墻都旨在建設(shè)城外和城內(nèi)兩個(gè)安全區(qū)。此外,為了應(yīng)用統(tǒng)一的保護(hù)策略,同一安全區(qū)域中的主體應(yīng)該更容易通信。
在企業(yè)網(wǎng)絡(luò)防護(hù)領(lǐng)域,隔離網(wǎng)絡(luò)安全區(qū)是最重要和最基本的網(wǎng)絡(luò)安全防護(hù)手段之一。
然而,在加強(qiáng)企業(yè)網(wǎng)絡(luò)安全的過程中,網(wǎng)絡(luò)安全隔離系統(tǒng)的有效實(shí)施面臨著一系列挑戰(zhàn)。
網(wǎng)絡(luò)安全域隔離
網(wǎng)絡(luò)安全領(lǐng)域是指由具有相同安全級(jí)別和類似業(yè)務(wù)類型/功能的計(jì)算機(jī)、服務(wù)器、數(shù)據(jù)庫和操作系統(tǒng)組成的系統(tǒng)IP網(wǎng)段或多個(gè)網(wǎng)格段、VLAN。您可以將整個(gè)網(wǎng)絡(luò)連接到防火墻接口,也可以將一個(gè)或多個(gè)機(jī)柜連接到設(shè)備。
上述描述仍然是抽象的。雖然列出了一些示例,例如數(shù)據(jù)庫服務(wù)器和訪問客戶端的web服務(wù)器,但它們不是安全級(jí)別。還有提供正式服務(wù)的環(huán)境測試服務(wù)器和生產(chǎn)服務(wù)器。必須將其劃分為安全區(qū)域。
總的來說,安全領(lǐng)域確實(shí)是一個(gè)值得信賴的領(lǐng)域。根據(jù)控制要求,將被認(rèn)為可靠的個(gè)人計(jì)算機(jī)和設(shè)備放在安全領(lǐng)域可以在信任區(qū)域?qū)嵤┫鄬?duì)寬松的安全策略。在托管區(qū)邊界實(shí)施更嚴(yán)格的控制和訪問控制。每個(gè)信任區(qū)中的服務(wù)器數(shù)量取決于許多因素,例如單位信息系統(tǒng)的設(shè)置和信息安全意識(shí)。
從網(wǎng)絡(luò)攻擊者的角度來看,有一種典型的水平滲透攻擊方法,即攻擊者竊取內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)。為了擴(kuò)大作戰(zhàn)范圍,經(jīng)常掃描節(jié)點(diǎn)所在的C類地址區(qū)域。企業(yè)內(nèi)通常不再存在網(wǎng)絡(luò)隔離。
在這個(gè)階段,C段有受到威脅的危險(xiǎn)。如果網(wǎng)絡(luò)安全字段未被隔離,整個(gè)數(shù)據(jù)中心可能會(huì)直接受到攻擊者的攻擊。
在此基礎(chǔ)上,實(shí)際的網(wǎng)絡(luò)安全隔離是指將整個(gè)網(wǎng)絡(luò)劃分為較小的安全信任區(qū)。否則,在攻擊者獲得下一個(gè)地址后,整個(gè)網(wǎng)絡(luò)將處于平坦?fàn)顟B(tài)。
網(wǎng)絡(luò)安全域隔離的優(yōu)勢
1、為了減少破壞的規(guī)模,可以將病毒、不利因素隔離在一個(gè)小范圍內(nèi)。
2、病毒、不利因素可以集中在警戒線上,徹底消滅。
3、我們可以將安全地區(qū)的好與壞與其他不利因素隔離開來。
4、建立安全“邊界”,加強(qiáng)各方面的保護(hù),也可以阻止其他不利因素。