企业网络隔离建设指南
前言
随着企业数字化转型深入,企业重视核心数据资产保护,数据安全防护成为重大挑战。多数企业实施内外网隔离,甚至内部划分研发网、办公网、生产网等,提升网络整体安全水平。然而,网络隔离也阻断了跨网数据交换业务,成为企业对外高效协作的障碍。如何在保证安全前提下打通跨网数据交换,是众多企业面临的问题。
第一章 网络隔离的必要性
被动隔离-合规性要求
各行业监管部门推行信息安全保护标准,企业需按法律法规进行网络隔离。中国《网络安全法》等法规明确要求网络隔离,政府部门、金融行业等均有具体规定。
主动隔离-保护核心资产
全球网络安全威胁加剧,企业网络安全体系建设从“合规导向”转向“风险导向”,从“保护安全边界”转向“保护核心数据资产”。企业主动隔离网络以防止知识产权、商业机密泄露,如中兴事件所示,数据泄露可能造成毁灭性打击。
第二章 网络需要如何隔离?
内外网隔离-解决敌我矛盾
企业将内网与互联网隔离,屏蔽外部攻击风险,本质上是隔离“自己人”与“外人”。有条件的企业在边界部署DLP系统,扫描内部向外发出的数据。
内部子网隔离-解决内部矛盾
大规模企业将内部网络划分为办公网、研发网、生产网等,屏蔽不同部门、业务之间的违规数据交换。本质上是解决“人民内部矛盾”,敏感性因业务不同而异。
第三章 网络隔离的5种常规手段
双网卡主机隔离
在一台物理主机上安装两个网卡,分别连接内部网络和外部网络,由专人管理文件内容审查和登记。
DMZ区隔离
在内外网间架设两道防火墙,中间区域为DMZ区,形成缓冲区,内部网络可主动访问DMZ区,DMZ区可主动访问外部网络。需在DMZ区部署针对特定业务的代理设备。
防火墙隔离
在两个网络之间架设防火墙,默认阻断所有跨网通信,通过配置特殊规则使特定业务通信穿过防火墙。
虚拟机隔离
在虚拟化平台内构造两个虚拟子网,为员工分配两个虚拟桌面分别连接两个虚拟子网,实现隔离。
网闸/光闸隔离
专用的网络隔离设备,阻断网络通信协议,同一时间只连接一个网络,轮流连接两个网络进行数据摆渡,安全性最高。
第四章 跨网文件交换的常规方式
开口子
为特定业务开通特例端口,方便但降低安全标准,最终防火墙漏洞增多,隔离形同虚设。
勤跑腿
人工手动在两个网络之间进行数据拷贝,浪费人力,无法保证操作正确性和安全性,业务需求响应不及时。
搭便车
利用网闸等设备的文件同步功能完成跨网文件交换,但无法满足企业安全管理诉求,如文件审批、审计等。
第五章 跨网文件交换产品选型考虑因素
企业IT部门面临安全规范、领导要求和业务呼声的多方面压力。业务部门需要便捷、直接、易用、快速的跨网文件交换,IT部门需要管控、可视化、安全、合规的系统。
几种常见的跨网文件交换方案对比
| 方案 |
隔离安全性 |
数据交换速度 |
防病毒检查 |
文件内容审计 |
支持DLP引擎 |
支持审批流程 |
集中管控 |
硬件成本 |
软件成本 |
| 移动硬盘拷贝 |
较好 |
一般 |
染病毒难 |
较难 |
不支持 |
不支持 |
较难 |
较低 |
较低 |
| 网闸摆渡 |
好 |
差 |
容易 |
较难 |
不支持 |
不支持 |
较难 |
高 |
较低 |
| 双网卡主机中转 |
好 |
一般 |
难 |
较难 |
不支持 |
不支持 |
较难 |
较高 |
较低 |
| 专用跨网文件交换(如Ftrans) |
好 |
高 |
容易 |
容易 |
支持 |
支持 |
无 |
较低 |
较高 |
专用跨网文件交换方案介绍
Ftrans跨网文件安全交换解决方案提供安全可控、可审计、易用、高速可靠的数据交换,支持虚拟化环境,灵活适配企业IT环境发展变化。
附录
跨网文件交换Demo演示视频,展示如何基于Ftrans平台实现安全可控的跨网文件交换。
