网络安全域隔离问题的研究与思考
|
全域 网络安全域就是一组安全等级相同、业务类型/功能相似的计算机、服务器、数据库、业务系统等构成的系统**,具体表现在网络中可能是一个IP网段(一个C段、一个B段)或几个网段**,或者是一个VLAN或几个VLAN**,或者是连接一个防火墙接口下的整个网络区域,或者是机房里的一个机柜或几个机柜等。上面的解释其实还是比较抽象,举几个例子,比如存储****的数据库服务器与供客户访问的Web服务器显然就不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器显然也不是一个安全等级,因此,要对他们进行安全域划分。总的来说,一个安全域其实就是一个信任域,在符合监管要求的情况下你可以把一些你认为可以相互信任的计算机、设备放置在一个安全信任域当中,在信任域内部实施较松的安全策略,而信任域边界实施较为严格监控、访问控制等。每个信任域内服务器的多寡取决于单位信息系统建设、信息安全意识等多方面因素的制约。 从网络攻击者的角度来说,有一种典型的攻击方式叫横向渗透攻击,其含义是攻击者拿下了内网的某一台主机,为了扩大战果,往往会对该主机所在的C类地址段进行扫描,因为在企业内部一般同一个C类地址段不会有进一步的网络隔离划分。此时,这是一个C类段处于风险之中,那么如果我们没有进行网络安全域隔离,那么,整个数据中心都有可能处于攻击者的直接打击范围。基于这后一点,我们明白了,网络安全域隔离其实就是将整个网络划分为一个一个比较小的安全信任域,要不然整个网络处于一张平面,攻击者拿下一个地址之后,可以对整个网络进行扫描探测发现。 二、网络安全域隔离有什么好处
据笔者看来有四点:一是可以将坏东西、坏人隔离在一个小区域,以减小破坏程度。二是可以将坏东西、坏人集中在隔离边界对其进行集中清除消灭。三是可以让好东西、好人隔离在一个相对安全的区域,免受其他坏东 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
