企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南

目錄/CONTENT前言 3第一章網(wǎng)絡(luò)隔離的要性 41、被動(dòng)隔離-合規(guī)性要求 42、主動(dòng)隔離-保護(hù)核心資產(chǎn) 5第二章網(wǎng)絡(luò)需如何離？ 6第三章網(wǎng)絡(luò)隔離的種常規(guī)手段 71、DMZ區(qū)隔離 72、雙網(wǎng)卡主機(jī)隔離 73、防火墻隔離 84、虛擬機(jī)隔離 85、網(wǎng)閘/光閘隔離 8第四章跨網(wǎng)文交換常規(guī)式 91、開(kāi)口子 92、勤跑腿 93、搭便車 9第五章跨網(wǎng)文交換品選考慮素 101、幾種常見(jiàn)的跨網(wǎng)文件交換方案對(duì)比 112、專用跨網(wǎng)文件交換方案介紹 12附錄跨網(wǎng)文交換Demo示視頻 13企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南前言前言隨著企業(yè)數(shù)字化轉(zhuǎn)型的逐步深入，企業(yè)投入了大量資源進(jìn)行信息系統(tǒng)建設(shè)，信息化程度日益提升。在這一過(guò)程中，企業(yè)也越來(lái)越重視核心數(shù)據(jù)資產(chǎn)的保護(hù)，數(shù)據(jù)資產(chǎn)的安全防護(hù)成為企業(yè)面臨的重大挑戰(zhàn)。更關(guān)心文件的存儲(chǔ)和授權(quán)以網(wǎng)盤(pán)為代表的企業(yè)統(tǒng)一文檔庫(kù)更關(guān)心文件的存儲(chǔ)和授權(quán)以網(wǎng)盤(pán)為代表的企業(yè)統(tǒng)一文檔庫(kù)把文件本身管起來(lái)?存儲(chǔ)在哪里？?如何歸類管理？?誰(shuí)有權(quán)使用？以NAS網(wǎng)絡(luò)存儲(chǔ)設(shè)備以FTP件存儲(chǔ)服務(wù)器企業(yè)文件管理現(xiàn)狀更關(guān)心文件的流通和控制把文件交換行為管起來(lái)?誰(shuí)需要文件？?誰(shuí)提供文件？?是否可以提供？?如何提供？?誰(shuí)得到了文件？?曾經(jīng)提供了什么？企業(yè)文件管理的新挑戰(zhàn)絕大多數(shù)企業(yè)為了防止內(nèi)部核心數(shù)據(jù)泄露，都實(shí)施了內(nèi)外網(wǎng)隔離，甚至在內(nèi)部網(wǎng)絡(luò)中又劃分出了研發(fā)網(wǎng)、辦公網(wǎng)、生產(chǎn)網(wǎng)等。對(duì)網(wǎng)絡(luò)進(jìn)行隔離，大大提升了網(wǎng)絡(luò)整體安全水平。然而隔離的網(wǎng)絡(luò)，也阻斷了某些需要進(jìn)行跨網(wǎng)數(shù)據(jù)交換的特殊業(yè)務(wù)，使得跨網(wǎng)業(yè)務(wù)無(wú)法順利開(kāi)展。在專業(yè)化分工協(xié)作的今天，企業(yè)越來(lái)越多地需要與外部客戶、合作伙伴等進(jìn)行頻繁的數(shù)據(jù)交換，網(wǎng)絡(luò)隔離成為企業(yè)對(duì)外高效協(xié)作的一大障礙。如何在保證網(wǎng)絡(luò)隔離安全的前提下，打通跨越網(wǎng)絡(luò)的數(shù)據(jù)交換業(yè)務(wù)流程，是困擾眾多企業(yè)的一大問(wèn)題。企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南第一章網(wǎng)絡(luò)隔離的必要性不管是主動(dòng)的還是被動(dòng)的，該隔離的終究要隔離。被動(dòng)隔離-合規(guī)性要求各個(gè)行業(yè)的監(jiān)管部門(mén)，可能會(huì)推行統(tǒng)一的信息安全保護(hù)標(biāo)準(zhǔn)及規(guī)范，企業(yè)出于合規(guī)性的訴求，需要按照法律法規(guī)的要求進(jìn)行網(wǎng)絡(luò)隔離。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：第一級(jí)：用戶自主保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)于政府部門(mén)，國(guó)家保密局2000年1月1日發(fā)布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》，明確要求“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連，必須實(shí)行物理隔離”。對(duì)于金融行業(yè)，中國(guó)銀監(jiān)會(huì)2006年8月7日發(fā)布實(shí)施的《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》，其中的第二十五條明確要求，“銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理。生產(chǎn)網(wǎng)絡(luò)與開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離；加強(qiáng)無(wú)線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制”。企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南主動(dòng)隔離-保護(hù)核心資產(chǎn)近年來(lái)全球網(wǎng)絡(luò)安全威脅態(tài)勢(shì)的加速嚴(yán)峻，使得企業(yè)對(duì)于網(wǎng)絡(luò)安全有了前所未有的關(guān)注高度。即便沒(méi)有行業(yè)性的強(qiáng)制要求，但在嚴(yán)峻的安全態(tài)勢(shì)之下，企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)正從“以合規(guī)為導(dǎo)向”轉(zhuǎn)變到“以風(fēng)險(xiǎn)為導(dǎo)向”，從原來(lái)的“保護(hù)安全邊界”轉(zhuǎn)換到“保護(hù)核心數(shù)據(jù)資產(chǎn)”的思路上來(lái)。越來(lái)越多的企業(yè)在網(wǎng)絡(luò)安全體系建設(shè)和日常工作中正面臨一個(gè)重要問(wèn)題，那就是：如何保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)？所以，很多企業(yè)為了防止知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密數(shù)據(jù)泄露，也主動(dòng)地將自身網(wǎng)絡(luò)進(jìn)行安全性隔離。絕大多數(shù)企業(yè)都在內(nèi)部實(shí)施了內(nèi)外網(wǎng)分離，互聯(lián)網(wǎng)與內(nèi)網(wǎng)隔離，生產(chǎn)網(wǎng)與辦公網(wǎng)隔離，辦公網(wǎng)與研發(fā)網(wǎng)隔離，以確保企業(yè)信息安全。以中興事件為例，美國(guó)商務(wù)部稱經(jīng)過(guò)了多年的調(diào)查，中興通訊在2011年的內(nèi)部機(jī)密文件被美方掌握，《關(guān)于全面整頓和規(guī)范公司出口管制相關(guān)業(yè)務(wù)的報(bào)告》，《進(jìn)出口管制風(fēng)險(xiǎn)規(guī)避方案——以YL為例》。據(jù)媒體報(bào)道稱，直接引發(fā)此次制裁的是這兩份中興內(nèi)部絕密文件的泄露。類似的數(shù)據(jù)泄露事件頻發(fā)，給眾多企業(yè)敲響了警鐘，一旦發(fā)生數(shù)據(jù)泄露，企業(yè)面臨的不僅僅是聲望、經(jīng)濟(jì)利益的受損，甚至還可能面臨訴訟等法律指控，也許會(huì)對(duì)企業(yè)造成毀滅性的打擊。類似的數(shù)據(jù)泄露事件頻發(fā)，給眾多企業(yè)敲響了警鐘，一旦發(fā)生數(shù)據(jù)泄露，企業(yè)面臨的不僅僅是聲望、經(jīng)濟(jì)利益的受損，甚至還可能面臨訴訟等法律指控，也許會(huì)對(duì)企業(yè)造成毀滅性的打擊。企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南第二章網(wǎng)絡(luò)需要如何隔離？?jī)?nèi)外網(wǎng)隔離-解決敵我矛盾絕大多數(shù)企業(yè)采取的第一個(gè)步驟是將企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)進(jìn)行隔離，將內(nèi)部數(shù)據(jù)“困在”內(nèi)網(wǎng)，同時(shí)也能夠有效屏蔽外部網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。內(nèi)外網(wǎng)隔離，本質(zhì)上隔離的是“自己人”與“外人”，具有較強(qiáng)的安全敏感性。有條件的企業(yè)可能會(huì)在內(nèi)外網(wǎng)邊界部署DLP（數(shù)據(jù)防泄漏）所有內(nèi)部向外部發(fā)出的數(shù)據(jù)（如電子郵件），都要經(jīng)過(guò)DLP系統(tǒng)的內(nèi)容掃描，在確保不包含敏感信息的情況下才允許發(fā)出。

內(nèi)部子網(wǎng)隔離-解決內(nèi)部矛盾較大規(guī)模的企業(yè)還可能對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)施進(jìn)一步的隔離，比如劃分為辦主要用來(lái)屏蔽不同部門(mén)、不同業(yè)務(wù)之間的違規(guī)數(shù)據(jù)交換。內(nèi)部子網(wǎng)隔離，本質(zhì)上解決的是“人民內(nèi)部矛盾”，其敏感性因業(yè)務(wù)不同而有所差別。比如，研發(fā)網(wǎng)內(nèi)的核心知識(shí)產(chǎn)權(quán)數(shù)據(jù)、生產(chǎn)網(wǎng)內(nèi)的真實(shí)用戶隱私數(shù)據(jù)，即便只是流入到內(nèi)部辦公網(wǎng)，也可能造成較大的安全風(fēng)險(xiǎn)。66人民內(nèi)部矛盾測(cè)試網(wǎng)內(nèi)部子網(wǎng)隔離隔離內(nèi)部部門(mén)、業(yè)務(wù)研發(fā)網(wǎng)生產(chǎn)網(wǎng)辦公網(wǎng)內(nèi)外網(wǎng)隔離隔離“自己人”與“外人”敵我矛盾外網(wǎng)內(nèi)網(wǎng)企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南第三章網(wǎng)絡(luò)隔離的5種常規(guī)手段DMZ區(qū)隔離 DMZ（DemilitarizedZone，隔離區(qū)）它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問(wèn)用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。一般來(lái)講，企業(yè)在內(nèi)外網(wǎng)間架設(shè)兩道防火墻，兩道防火墻中間的區(qū)域即為DMZ區(qū)。內(nèi)部網(wǎng)絡(luò)可以主動(dòng)訪問(wèn)DMZ區(qū)，DMZ區(qū)可以主動(dòng)訪問(wèn)外部網(wǎng)絡(luò)，這樣就形成了一個(gè)中間緩沖區(qū)，從而可以達(dá)到更高的安全標(biāo)準(zhǔn)。DMZ防火墻為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認(rèn)為是非常安全的。同時(shí)它提供了一個(gè)區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需要公開(kāi)，而與內(nèi)部安全策略相矛盾的情況發(fā)生。為了讓特定業(yè)務(wù)跨網(wǎng)，需要使其穿透DMZ區(qū)，這一般要求在DMZ區(qū)內(nèi)部署針對(duì)該業(yè)務(wù)的代理（中轉(zhuǎn)）設(shè)備。雙網(wǎng)卡主隔離 在一臺(tái)物理主機(jī)上安裝兩個(gè)網(wǎng)卡，一個(gè)連接內(nèi)部網(wǎng)絡(luò)，一個(gè)連接外部網(wǎng)絡(luò)。這種隔離方式實(shí)際上是構(gòu)造了一個(gè)同時(shí)能夠連接兩個(gè)網(wǎng)絡(luò)的特殊設(shè)備，一般需要有專人管理。當(dāng)需要進(jìn)行跨網(wǎng)文件交換時(shí)，發(fā)送者將數(shù)據(jù)傳輸?shù)皆撝鳈C(jī)上，由專人進(jìn)行文件內(nèi)容的審查和登記后，再將數(shù)據(jù)由這臺(tái)主機(jī)發(fā)送到另一個(gè)網(wǎng)絡(luò)內(nèi)。企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南防火墻隔離 在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的邊界上構(gòu)造的保護(hù)屏障。在兩個(gè)網(wǎng)絡(luò)之間架設(shè)防火墻，默認(rèn)阻斷所有跨網(wǎng)通信。為了讓特定業(yè)務(wù)跨網(wǎng)，可以在防火墻上配置針對(duì)于該業(yè)務(wù)的特殊規(guī)則，使該業(yè)務(wù)的通信可以穿過(guò)防火墻。使用防火墻的好處有：保護(hù)脆弱的服務(wù)，控制對(duì)系統(tǒng)的訪問(wèn)，集中地安全管理，增強(qiáng)保密性，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)情況。虛擬機(jī)隔離 如果企業(yè)已經(jīng)實(shí)施了虛擬化平臺(tái)，可以在虛擬化平臺(tái)內(nèi)構(gòu)造兩個(gè)虛擬子網(wǎng)（比如一個(gè)辦公虛擬子網(wǎng)，一個(gè)研發(fā)虛擬子網(wǎng)），兩個(gè)虛擬子網(wǎng)子網(wǎng)間不連通。企業(yè)可以為每個(gè)有需求的員工分配兩個(gè)虛擬桌面，分別連接兩個(gè)虛擬子網(wǎng)，通過(guò)這種方式來(lái)實(shí)現(xiàn)虛擬桌面的隔離。虛擬機(jī)隔離技術(shù)是一項(xiàng)很好的策略，能夠有效防止病毒蔓延到整個(gè)云環(huán)境。網(wǎng)閘/光閘隔離網(wǎng)閘/光閘是專用的網(wǎng)絡(luò)隔離設(shè)備，其隔離安全性最高，基本原理是阻斷網(wǎng)絡(luò)通信協(xié)議，在內(nèi)部采用私有通信協(xié)議，同一時(shí)間只連接一個(gè)網(wǎng)絡(luò)，輪流連接兩個(gè)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)擺渡。企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南第四章跨網(wǎng)文件交換的常規(guī)方式隨著企業(yè)數(shù)字化轉(zhuǎn)型逐步深入，企業(yè)的業(yè)務(wù)開(kāi)展，越來(lái)越依賴于不斷增加的辦公、生產(chǎn)、研發(fā)等IT系統(tǒng)，也越來(lái)越頻繁地需要與外部進(jìn)行持續(xù)大量的數(shù)據(jù)交換。開(kāi)口子在采用防火墻等軟隔離手段時(shí)，許多企業(yè)在解決跨網(wǎng)文件交換時(shí)，為了方便，常常采用為特定業(yè)務(wù)開(kāi)通特例端口的方式，使其不受跨網(wǎng)隔離的限制。這種“開(kāi)口子”的方式盡管一時(shí)方便，但是實(shí)際上違背了網(wǎng)絡(luò)隔離的初衷，降低了安全標(biāo)準(zhǔn)，最終口子開(kāi)得越來(lái)越多，防火墻上百孔千瘡，網(wǎng)絡(luò)隔離形同虛設(shè)。勤跑腿在采用無(wú)法開(kāi)口子的硬隔離手段時(shí)，企業(yè)可能選用的另一種方式——人工，指派具有特殊權(quán)限的專人，以人工手動(dòng)的方式在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)拷貝。在這種情況下，企業(yè)不但浪費(fèi)了人力，而且無(wú)法保證人工操作本身的正確性和安全性，并且業(yè)務(wù)需求往往無(wú)法得到及時(shí)響應(yīng)。搭便車網(wǎng)閘等專用隔離設(shè)備，一般自帶在兩個(gè)網(wǎng)絡(luò)間文件同步的功能，企業(yè)可能會(huì)利用這一功能完成跨網(wǎng)文件交換。然而網(wǎng)閘的文件同步功能，一般是從一個(gè)網(wǎng)絡(luò)的存儲(chǔ)位置到另一網(wǎng)絡(luò)的存儲(chǔ)位置，而企業(yè)的安全管理訴求遠(yuǎn)不止于此。比如，哪些人可以將文件放到指定存儲(chǔ)位置，是否可以由管理人員審批，哪些人可以從存儲(chǔ)位置將文件取走，是否有通知，這些過(guò)程是否有記錄，是否可審計(jì)等等。企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南第五章跨網(wǎng)文件交換產(chǎn)品選型考慮因素在企業(yè)的日常業(yè)務(wù)中，存在大量需要在不同網(wǎng)絡(luò)之間進(jìn)行文件傳遞的場(chǎng)景。處在內(nèi)網(wǎng)的員工，需要將設(shè)計(jì)圖紙、項(xiàng)目資料等文件發(fā)送給外網(wǎng)的用戶。客戶、供應(yīng)商、合作伙伴，需要通過(guò)互聯(lián)網(wǎng)將文件發(fā)送給內(nèi)網(wǎng)員工?？萍夹推髽I(yè)，需要持續(xù)將從外部獲取的大量數(shù)據(jù)導(dǎo)入到研發(fā)網(wǎng)，進(jìn)行機(jī)器務(wù)收集的數(shù)據(jù)等。網(wǎng)絡(luò)的物理隔離，給數(shù)據(jù)交換帶來(lái)很多不便，比如員工出差只能接入互聯(lián)網(wǎng)，沒(méi)有辦法取得內(nèi)網(wǎng)文件。另外，內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)需要從外網(wǎng)提取采集數(shù)據(jù)，由于服務(wù)隔離，數(shù)據(jù)的獲取也很困難。企業(yè)IT部門(mén)在解決跨網(wǎng)文件交換問(wèn)題的時(shí)候，往往非常頭痛，面臨各方面的壓力。IT部門(mén)需要一個(gè)既符合安全管理標(biāo)準(zhǔn)，又能滿足業(yè)務(wù)用戶需求，同時(shí)又可以被IT管控的跨網(wǎng)文件交換系統(tǒng)。業(yè)務(wù)部門(mén)對(duì)于跨網(wǎng)文件交換的需求有：便捷業(yè)務(wù)部門(mén)對(duì)于跨網(wǎng)文件交換的需求有：便捷直接易用快IT部門(mén)對(duì)于跨網(wǎng)文件交換的要求有：管控可視化安全合規(guī)企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南幾種常見(jiàn)的跨網(wǎng)文件交換方案對(duì)比考慮因素移動(dòng)硬盤(pán)拷貝網(wǎng)閘擺渡雙網(wǎng)卡主機(jī)中轉(zhuǎn)跨網(wǎng)文件交換)隔離安全性較好好較差好數(shù)據(jù)交換速度一般差高極高防病毒檢查難易染病毒難容易內(nèi)置自動(dòng)殺毒檢查文件內(nèi)容審計(jì)較難較難需開(kāi)發(fā)容易容易支持主流DLP引擎支持審批流程不支持不支持不支持支持內(nèi)置流程引擎可審計(jì)不支持有文件交換記錄，無(wú)法跟蹤到人不支持支持，人員數(shù)據(jù)交換行為全記錄集中管控較難存在遺失風(fēng)險(xiǎn)較難無(wú)集中管理容易容易硬件成本低高較低可利用企業(yè)現(xiàn)有設(shè)備，支持虛擬化部署軟件成本較低較低高低企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南企業(yè)網(wǎng)絡(luò)隔離建設(shè)指南專用跨網(wǎng)文件交換方案介紹可管可控的Ftrans跨網(wǎng)文件安全交換解決方案關(guān)鍵特性安全可控可審計(jì)，全面控制跨網(wǎng)交換行為，快速追溯數(shù)據(jù)泄露責(zé)任。在一個(gè)平臺(tái)內(nèi)完成發(fā)送、檢測(cè)、審批、接收、審計(jì)的全流程，大幅提升操作用性及業(yè)務(wù)時(shí)效性。除日常文檔外，也支持生產(chǎn)數(shù)據(jù)、代碼、軟件包、日志等大體量數(shù)據(jù)的高速靠交換。基于通用IT基礎(chǔ)設(shè)施，支持虛擬化環(huán)境，可以靈活適配企業(yè)未來(lái)IT環(huán)境及網(wǎng)架構(gòu)的發(fā)展變化。簡(jiǎn)單易用，不改變傳統(tǒng)操作模式，無(wú)需培訓(xùn)，快速上手使用。附錄：跨網(wǎng)文件交換Demo演示視頻Demo演示視頻《如何完成網(wǎng)絡(luò)隔離條件下的文件跨