随着技术手段的不断升级,企业数据防泄密的方法有很多,真的不胜枚举,本文中,我们就重点聊一聊网络隔离这个方法。
网络隔离,很多企业并不陌生,尤其是研发型企业、金融行业、医疗行业等,大部分都是做了网络隔离的,隔离的方式也有很多种,常见的比如网闸、防火墙、VLAN、虚拟化、划分网段和安全域等等,如果对网络隔离建设这块还不是很了解的话,可以看看《企业网络隔离建设指南》这个白皮书资料,里面介绍的很详尽。(PS:免费下载)
那么,如何网络隔离,这里就不过多阐述了,我们就来聊聊如何通过网络隔离防止代码等核心数据的泄密。
隔离了就一定能防止代码泄密吗?
也不一定。
隔离可以实现网络层面的控制,不同网络之间是不能随意互传数据的,但是,还是得搭配一些终端安全的管控手段,比如DLP、禁用USB接口等,防止数据通过终端设备泄密。
所以,网络隔离的方式这块,比较推荐的是云桌面虚拟化隔离的方式,这种方式可能在研发型企业里比较普遍,用云桌面的方式可以直接解决终端安全这块问题,数据不落地,安全性较好,而且所有数据集中管理,相对来说成本也较低,然后再用虚拟化的方式做网络隔离,就一举两得,既能防止终端的恶意拷贝,又能禁止不同网间的数据随意交换。
网络隔离后,代码等核心数据如何交换?
做网络隔离是为了更好的保护数据,将核心数据“困”在内网,但是,企业对文件管理的需求,已经不再局限于存储和授权了,而是更关心文件的流通和控制,想要数据发挥其最大的价值,数据就得流转起来。
那么,在网络隔离环境下,如何才能让数据安全可控的流转呢?主要方式无外乎以下几种:
1、人工。指派具有特殊权限的专人,以人工手动的方式在两个网络之间进行数据拷贝,比如U盘拷贝、光盘刻录等。在这种情况下,企业不但浪费了人力,而且无法保证人工操作本身的正确性和安全性,并且业务需求往往无法得到及时响应。
2、开端口。比如用防火墙等软隔离手段时,为了方便,常常采用为特定业务开通特例端口的方式,使其不受跨网隔离的限制。这种“开口子”的方式尽管一时方便,但是实际上违背了网络隔离的初衷,降低了安全标准,最终口子开得越来越多,防火墙上百孔千疮,网络隔离形同虚设。
3、网闸。网闸一般自带在两个网络间文件同步的功能,企业可能会利用这一功能完成跨网文件交换。然而网闸的文件同步功能,一般是从一个网络的存储位置到另一网络的存储位置,而企业的安全管理诉求远不止于此。比如,哪些人可以将文件放到指定存储位置,是否可以由管理人员审批,哪些人可以从存储位置将文件取走,是否有通知,这些过程是否有记录,是否可审计等等。
4、专业的跨网文件交换系统。需要符合等保以及行业规范的前提下,实现不同网间的文件安全可控的交换,比如要有审批、有审计,而且需要灵活的实现网间单双向的一对一、一对多的数据交换,另外就是需要简单易用,提高效率。
任何高端的技术防护手段都离不开“人”,世界头号heike Kevin Mitnick曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。所以,首先需要对行为进行管控,审批后合规的文件才能发出,并且可以对所有的操作行为进行审计和追溯,清晰的掌握数据的流向,快速追溯数据泄露责任。
做网络隔离是为了防止数据泄露,而在网络隔离环境下,实现安全可控的文件交换,才是最终目标。关于网络隔离建设以及文件交换这块,还是推荐看看《企业网络隔离建设指南》这个资料,分析的全面透彻,相信不会让你失望的!