概述
随着企业数字化转型的逐步深入,企业投入了大量资源进行信息系统建设,信息化程度日益提升。在这一过程中,企业也越来越重视核心数据资产的保护,数据资产的安全防护成为企业面临的重大挑战。
绝大多数企业为了防止内部核心数据泄露,都实施了内外网隔离,甚至在内部网络中又划分出了研发网、办公网、生产网等。
对网络进行隔离,大大提升了网络整体安全水平。然而隔离的网络,也阻断了某些需要进行跨网数据交换的特殊业务,使得跨网业务无法顺利开展。
在专业化分工协作的今天,企业越来越多地需要与外部客户、合作伙伴等进行频繁的数据交换,网络隔离成为企业对外高效协作的一大障碍。
如何在保证网络隔离安全的前提下,打通跨越网络的数据交换业务流程,是困扰众多企业的一大问题。
为什么要进行网络隔离?
保证一个系统真正安全的途径只有一个:断开网络,这也许正在成为一个真正的解决方案。
不管是主动的还是被动的,该隔离的终究要隔离。
被动隔离-合规性要求
各个行业的监管部门,可能会推行统一的信息安全保护标准及规范,企业出于合规性的诉求,需要按照法律法规的要求进行网络隔离。
对于政府部门,国家保密局2000年1月1日发布实施的《计算机信息系统国际联网保密管理规定》,明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。
计算机信息系统安全保护等级划分准则
●第一级:用户自主保护级;
●第二级:系统审计保护级;
●第三级:安全标记保护级;
●第四级:结构化保护级;
●第五级:访问验证保护级。
对于金融行业,中国银监会2006年8月7日发布实施的《银行业金融机构信息系统风险管理指引》,其中的第二十五条明确要求,“银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制”。
主动隔离-保护核心资产
即便没有行业性的强制要求,如今越来越多的企业为了防止知识产权、商业机密数据泄露,也主动地将自身网络进行安全性隔离。
以中兴事件为例,美国商务部称经过了多年的调查,中兴通讯在2011年的内部机密文件被美方掌握,《关于全面整顿和规范公司出口管制相关业务的报告》,《进出口管制风险规避方案——以YL为例》。据媒体报道称,直接引发此次制裁的是这两份中兴内部绝密文件的泄露。
类似的数据泄露事件频发,给众多企业敲响了警钟,一旦发生数据泄露,可能会对企业造成毁灭性的打击。
网络隔离的维度
解决敌我矛盾-内外网隔离
绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离,将内部数据“困在”内网,同时也能够有效屏蔽外部网络攻击的风险。
内外网隔离,本质上隔离的是“自己人”与“外人”,具有较强的安全敏感性。有条件的企业可能会在内外网边界部署DLP(数据防泄漏)系统,所有内部向外部发出的数据(如电子邮件),都要经过DLP系统的内容扫描,在确保不包含敏感信息的情况下才允许发出。
解决内部矛盾-内部子网隔离
较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业务之间的违规数据交换。
内部子网隔离,本质上解决的是“人民内部矛盾”,其敏感性因业务不同而有所差别。比如,研发网内的核心知识产权数据、生产网内的真实用户隐私数据,即便只是流入到内部办公网,也可能造成较大的安全风险。
网络隔离的常规手段
防火墙隔离
在两个网络之间架设防火墙,默认阻断所有跨网通信。
为了让特定业务跨网,可以在防火墙上配置针对于该业务的特殊规则,使该业务的通信可以穿过防火墙。
DMZ区隔离
DMZ(Demilitarized Zone,隔离区)是一个非安全系统与安全系统之间的缓冲区。
一般来讲,企业在内外网间架设两道防火墙,两道防火墙中间的区域即为DMZ区。内部网络可以主动访问DMZ区,DMZ区可以主动访问外部网络,这样就形成了一个中间缓冲区,从而可以达到更高的安全标准。
为了让特定业务跨网,需要使其穿透DMZ区,这一般要求在DMZ区内部署针对该业务的代理(中转)设备。
双网卡主机隔离
在一台物理主机上安装两个网卡,一个连接内部网络,一个连接外部网络。
这种隔离方式实际上是构造了一个同时能够连接两个网络的特殊设备,一般需要有专人管理。当需要进行跨网文件交换时,发送者将数据传输到该主机上,由专人进行文件内容的审查和登记后,再将数据由这台主机发送到另一个网络内。
虚拟机隔离
如果企业已经实施了虚拟化平台,可以在虚拟化平台内构造两个虚拟子网(比如一个办公虚拟子网,一个研发虚拟子网),两个虚拟子网子网间不连通。企业可以为每个有需求的员工分配两个虚拟桌面,分别连接两个虚拟子网,通过这种方式来实现虚拟桌面的隔离。
网闸/光闸隔离
网闸/光闸是专用的网络隔离设备,其隔离安全性最高,基本原理是阻断网络通信协议,在内部采用私有通信协议,同一时间只连接一个网络,轮流连接两个网络进行数据摆渡。
跨网数据交换的常规方式
开口子
在采用防火墙等软隔离手段时,许多企业在解决跨网文件交换时,为了方便,常常采用为特定业务开通特例端口的方式,使其不受跨网隔离的限制。
这种“开口子”的方式尽管一时方便,但是实际上违背了网络隔离的初衷,降低了安全标准,最终口子开得越来越多,防火墙上百孔千疮,网络隔离形同虚设。
勤跑腿
在采用无法开口子的硬隔离手段时,企业可能选用的另一种方式——人工,指派具有特殊权限的专人,以人工手动的方式在两个网络之间进行数据拷贝。
在这种情况下,企业不但浪费了人力,而且无法保证人工操作本身的正确性和安全性,并且业务需求往往无法得到及时响应。
搭便车
网闸等专用隔离设备,一般自带在两个网络间文件同步的功能,企业可能会利用这一功能完成跨网文件交换。
然而网闸的文件同步功能,一般是从一个网络的存储位置到另一网络的存储位置,而企业的安全管理诉求远不止于此。比如,哪些人可以将文件放到指定存储位置,是否可以由管理人员审批,哪些人可以从存储位置将文件取走,是否有通知,这些过程是否有记录,是否可审计等等。
易用性与安全性的平衡
企业IT部门在解决跨网文件交换问题的时候,往往非常头痛,面临各方面的压力。
●安全有规范-红线不能碰,标准不能降
●领导有要求-实施要迅速,补洞要及时
●业务有呼声-使用要便捷,复杂没人用
业务部门对于跨网文件交换的需求有:
●便捷
●直接
●易用
●快
IT部门对于跨网文件交换的要求有:
●管控
●可视化
●安全
●合规
IT部门需要一个既符合安全管理标准,又能满足业务用户需求,同时又可以被IT管控的跨网文件交换系统。
跨网文件交换解决方案
图1 跨网文件交换解决方案
Ftrans跨网文件交换解决方案关键特性
●完美适配企业现有网络隔离方案,无需改变网络架构即可部署,支持多种跨网文件交换方式。
●简单易用,不改变传统操作模式,自动邮件通知,无需培训,业务部门即可操作使用。
●全流程自动化的跨网文件交换方式,大幅节省企业人工成本,大大减轻IT部门压力。
●支持针对文件交换行为的人工审批,内置多级审批流程引擎,也可与企业现有流程引擎对接。
●支持自动化的文件内容检查,可与企业现有DLP对接,可根据内容审查结果自动阻断,或转为人工审核。
●采用金融级的数据传输加密算法,支持数据落盘加密,可设定文件提取码、有效期、下载次数等,确保跨网数据交换安全、合规。
●所有环节的数据交换行为全记录,可以反向追溯具体数据流转过程,确保跨网数据交换可审计、可追溯。