企业网络隔离建设指南.pdf

企业网络隔离建设指南企业网络隔离建设指南保护知识产权保护知识产权防止信息泄露防止信息泄露目录目录/CONTENT/CONTENT前言前言3 3第一章第一章 网络隔离的必要性网络隔离的必要性4 41、被动隔离-合规性要求42、主动隔离-保护核心资产5第二章第二章 网络需要如何隔离？网络需要如何隔离？6 6第三章第三章 网络隔离的网络隔离的5 5种常规手段种常规手段7 71、DMZ区隔离72、双网卡主机隔离73、防火墙隔离84、虚拟机隔离8第四章第四章 跨网文件交换的常规方式跨网文件交换的常规方式9 91、开口子92、勤跑腿93、搭便车9第五章第五章 跨网文件交换产品选型考虑因素跨网文件交换产品选型考虑因素10105、网闸/光闸隔离81、几种常见的跨网文件交换方案对比112、专用跨网文件交换方案介绍12附录附录 跨网文件交换跨网文件交换DemoDemo演示视频演示视频1313企业网络隔离建设指南前言前言随着企业数字化转型的逐步深入，企业投入了大量资源进行信息系统建设，信息化程度日益提升。在这一过程中，企业也越来越重视核心数据资产的保护，数据资产的安全防护成为企业面临的重大挑战。绝大多数企业为了防止内部核心数据泄露，都实施了内外网隔离，甚至在内部网络中又划分出了研发网、办公网、生产网等。对网络进行隔离，大大提升了网络整体安全水平。然而隔离的网络，也阻断了某些需要进行跨网数据交换的特殊业务，使得跨网业务无法顺利开展。在专业化分工协作的今天，企业越来越多地需要与外部客户、合作伙伴等进行频繁的数据交换，网络隔离成为企业对外高效协作的一大障碍。如何在保证网络隔离安全的前提下，打通跨越网络的数据交换业务流程，是困扰众多企业的一大问题。3以网盘为代表的以网盘为代表的企业统一文档库以以FTPFTP为代表的为代表的文件存储服务器以以NASNAS为代表的为代表的网络存储设备把文件本身管起来把文件本身管起来存储在哪里？如何归类管理？谁有权使用？把文件交换行为管起来把文件交换行为管起来谁需要文件？谁需要文件？谁提供文件？谁提供文件？是否可以提供？是否可以提供？如何提供？如何提供？谁得到了文件？谁得到了文件？曾经提供了什么？曾经提供了什么？企业文件管理现状企业文件管理现状更关心更关心文件的存储和授权文件的存储和授权更关心更关心文件的流通和控制文件的流通和控制企业文件管理的新挑战企业文件管理的新挑战企业网络隔离建设指南第一章第一章 网络隔离的必要性网络隔离的必要性计算机信息系统安全保护等级划分准则：第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级不管是主动的还是被动的，该隔离的终究要隔离。被动隔离被动隔离-合规性要求合规性要求各个行业的监管部门，可能会推行统一的信息安全保护标准及规范，企业出于合规性的诉求，需要按照法律法规的要求进行网络隔离。中国政府已将网络安全提升至国家战略高度，明确提出“没有网络安全就没有国家安全”从立法规范的层面重视强调网络安全工作的重要性。已于2017年6月正式生效的中华人民共和国网络安全法，是中国首部在网络安全领域的基础性法律,将原来散见于各种法规、规章中的网络安全规定上升至法律层面。对于政府部门，国家保密局2000年1月1日发布实施的计算机信息系统国际联网保密管理规定，明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。对于金融行业，中国银监会2006年8月7日发布实施的银行业金融机构信息系统风险管理指引，其中的第二十五条明确要求，“银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制”。4企业网络隔离建设指南主动隔离主动隔离-保护核心资产保护核心资产近年来全球网络安全威胁态势的加速严峻，使得企业对于网络安全有了前所未有的关注高度。即便没有行业性的强制要求，但在严峻的安全态势之下，企业的网络安全体系建设正从“以合规为导向”转变到“以风险为导向”，从原来的“保护安全边界”转换到“保护核心数据资产”的思路上来。越来越多的企业在网络安全体系建设和日常工作中正面临一个重要问题，那就是：如何保护企业核心数据资产？所以，很多企业为了防止知识产权、商业机密数据泄露，也主动地将自身网络进行安全性隔离。绝大多数企业都在内部实施了内外网分离，互联网与内网隔离，生产网与办公网隔离，办公网与研发网隔离，以确保企业信息安全。以中兴事件为例，美国商务部称经过了多年的调查，中兴通讯在2011年的内部机密文件被美方掌握，关于全面整顿和规范公司出口管制相关业务的报告，进出口管制风险规避方案以YL为例。据媒体报道称，直接引发此次制裁的是这两份中兴内部绝密文件的泄露。类似的数据泄露事件频发，给众多企业敲响了警钟，一旦发生数据泄露，企业面临的不仅仅是声望、经济利益的受损，甚至还可能面临诉讼等法律指控，也许会对企业造成毁灭性的打击。5企业网络隔离建设指南第二章第二章 网络需要如何隔离？网络需要如何隔离？内外网隔离内外网隔离-解决敌我矛盾解决敌我矛盾绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离，将内部数据“困在”内网，同时也能够有效屏蔽外部网络攻击的风险。内外网隔离，本质上隔离的是“自己人”与“外人”，具有较强的安全敏感性。有条件的企业可能会在内外网边界部署DLP（数据防泄漏）系统，所有内部向外部发出的数据（如电子邮件），都要经过DLP系统的内容扫描，在确保不包含敏感信息的情况下才允许发出。内部子网隔离内部子网隔离-解决内部矛盾解决内部矛盾较大规模的企业还可能对内部网络实施进一步的隔离，比如划分为办公网、研发网、生产网、测试网等，主要用来屏蔽不同部门、不同业务之间的违规数据交换。内部子网隔离，本质上解决的是“人民内部矛盾”，其敏感性因业务不同而有所差别。比如，研发网内的核心知识产权数据、生产网内的真实用户隐私数据，即便只是流入到内部办公网，也可能造成较大的安全风险。内网外网内外网隔离内外网隔离隔离“自己人”与“外人”办公网测试网生产网研发网内部子网隔离内部子网隔离隔离内部部门、业务敌 我 矛 盾人 民 内 部 矛 盾6企业网络隔离建设指南第三章第三章 网络隔离的网络隔离的5 5种常规手段种常规手段双网卡主机隔离双网卡主机隔离在一台物理主机上安装两个网卡，一个连接内部网络，一个连接外部网络。这种隔离方式实际上是构造了一个同时能够连接两个网络的特殊设备，一般需要有专人管理。当需要进行跨网文件交换时，发送者将数据传输到该主机上，由专人进行文件内容的审查和登记后，再将数据由这台主机发送到另一个网络内。DMZDMZ区隔离区隔离DMZ（Demilitarized Zone，隔离区）它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。一般来讲，企业在内外网间架设两道防火墙，两道防火墙中间的区域即为DMZ区。内部网络可以主动访问DMZ区，DMZ区可以主动访问外部网络，这样就形成了一个中间缓冲区，从而可以达到更高的安全标准。DMZ防火墙为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。为了让特定业务跨网，需要使其穿透DMZ区，这一般要求在DMZ区内部署针对该业务的代理（中转）设备。7企业网络隔离建设指南防火墙隔离防火墙隔离在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。在两个网络之间架设防火墙，默认阻断所有跨网通信。为了让特定业务跨网，可以在防火墙上配置针对于该业务的特殊规则，使该业务的通信可以穿过防火墙。使用防火墙的好处有：保护脆弱的服务，控制对系统的访问，集中地安全管理，增强保密性，记录和统计网络利用数据以及非法使用数据情况。虚拟机隔离虚拟机隔离如果企业已经实施了虚拟化平台，可以在虚拟化平台内构造两个虚拟子网（比如一个办公虚拟子网，一个研发虚拟子网），两个虚拟子网子网间不连通。企业可以为每个有需求的员工分配两个虚拟桌面，分别连接两个虚拟子网，通过这种方式来实现虚拟桌面的隔离。虚拟机隔离技术是一项很好的策略，能够有效防止病毒蔓延到整个云环境。网闸网闸/光闸隔离光闸隔离网闸/光闸是专用的网络隔离设备，其隔离安全性最高，基本原理是阻断网络通信协议，在内部采用私有通信协议，同一时间只连接一个网络，轮流连接两个网络进行数据摆渡。8企业网络隔离建设指南第四章第四章 跨网文件交换的常规方式跨网文件交换的常规方式开口子开口子在采用防火墙等软隔离手段时，许多企业在解决跨网文件交换时，为了方便，常常采用为特定业务开通特例端口的方式，使其不受跨网隔离的限制。这种“开口子”的方式尽管一时方便，但是实际上违背了网络隔离的初衷，降低了安全标准，最终口子开得越来越多，防火墙上百孔千疮，网络隔离形同虚设。勤跑腿勤跑腿在采用无法开口子的硬隔离手段时，企业可能选用的另一种方式人工，指派具有特殊权限的专人，以人工手动的方式在两个网络之间进行数据拷贝。在这种情况下，企业不但浪费了人力，而且无法保证人工操作本身的正确性和安全性，并且业务需求往往无法得到及时响应。搭便车搭便车网闸等专用隔离设备，一般自带在两个网络间文件同步的功能，企业可能会利用这一功能完成跨网文件交换。然而网闸的文件同步功能，一般是从一个网络的存储位置到另一网络的存储位置，而企业的安全管理诉求远不止于此。比如，哪些人可以将文件放到指定存储位置，是否可以由管理人员审批，哪些人可以从存储位置将文件取走，是否有通知，这些过程是否有记录，是否可审计等等。随着企业数字化转型逐步深入，企业的业务开展，越来越依赖于不断增加的办公、生产、研发等IT系统，也越来越频繁地需要与外部进行持续大量的数据交换。9企业网络隔离建设指南第五章第五章 跨网文件交换产品选型考虑因素跨网文件交换产品选型考虑因素企业IT部门在解决跨网文件交换问题的时候，往往非常头痛，面临各方面的压力。安全有规范-红线不能碰，标准不能降 领导有要求-实施要迅速，补洞要及时 业务有呼声-使用要便捷，复杂没人用业务部门对于跨网文件交换的需求有：便捷 直接 易用 快IT部门对于跨网文件交换的要求有：管控 可视化 安全 合规IT部门需要一个既符合安全管理标准，又能满足业务用户需求，同时又可以被IT管控的跨网文件交换系统。在企业的日常业务中，存在大量需要在不同网络之间进行文件传递的场景。处在内网的员工，需要将设计图纸、项目资料等文件发送给外网的用户。客户、供应商、合作伙伴，需要通过互联网将文件发送给内网员工。科技型企业，需要持续将从外部获取的大量数据导入到研发网，进行机器学习、数据挖掘等数据处理工作，比如传感器采集的数据、测试数据、网络服务收集的数据等。网络的物理隔离，给数据交换带来很多不便，比如员工出差只能接入互联网，没有办法取得内网文件。另外，内网业务系统需要从外网提取采集数据，由于服务隔离，数据的获取也很困难。10企业网络隔离建设指南几种常见的跨网文件交换方案对比几种常见的跨网文件交换方案对比11考虑因素移动硬盘拷贝网闸摆渡双网卡主机中转专用跨网文件交换(如Ftrans跨网文件交换)隔离安全性较好好较差好数据交换速度一般差高极高防病毒检查难易染病毒难容易内置自动杀毒检查文件内容审计较难较难需开发容易容易支持主流DLP引擎支持审批流程不支持不支持不支持支持内置流程引擎可审计不支持有文件交换记录，无法跟踪到人不支持支持，人员数据交换行为全记录集中管控较难存在遗失风险较难无集中管理容易容易硬件成本低高较低可利用企业现有设备，支持虚拟化部署软件成本较低较低高低企业网络隔离建设指南专用跨网文件交换方案介绍专用跨网文件交换方案介绍扫描关注微信公众号 安全可控可审计，全面控制跨网交换行为，快速追溯数据泄露责任。在一个平台内完成发送、检测、审批、接收、审计的全流程，大幅提升操作易用性及业务时效性。除日常文档外，也支持生产数据、代码、软件包、日志等大体量数据的高速可靠交换。基于通用IT基础设施，支持虚拟化环境，可以灵活适配企业未来IT环境及网络架构的发展变化。简单易用，不改变传统操作模式，无需培训，快速上手使用。关键特性关键特性12可管可控的Ftrans跨网文件安全交换解决方案企业网络隔离建设指南扫描关注微信公众号附录：跨网文件交换附录：跨网文件交换DemoDemo演示视频演示视频13Demo演示视频如何完成网络隔离条件下的文件跨网外发，3分钟学会如何基于Ftrans平台，实现安全可控的跨网文件交换。Demo1演示内网用户UserA需要向外网用户UserB发送文件包，这一行为要求经过管理员admin的审核。视频按照：发送文件包-管理员审核-自动投递-文件包接收的完整流程进行演示。有些场景下，针对如测试数据、备份数据等业务数据，我们并不希望跨网发送到人，而是希望跨网发送到指定的服务器存储位置。Demo2演示内网用户UserA需要将采集的数据，发送到外网服务器指定的存储位置，这一行为要求经过管理员admin的审核。