文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

网络分段安全优秀实践

2024-12-02 08:23

关注

1. 识别有价值的数据和资产

并非组织内的所有数据和资产都具有同等价值。某些系统,例如客户数据库,对于维持正常操作可能是必不可少的。其他的,如打印机,对企业的运作很有用,但并不重要。

为资产分配重要性和价值级别是网络分割的重要第一步。这些标签稍后将用于定义网络内的各种信任区域。

2. 为每个资产分配分类标签

除了资产的价值,考虑它们所包含的数据的敏感性也很重要。持有非常敏感数据的资产,例如客户信息、研发数据等,可能需要额外的保护以符合数据保护法规或公司安全政策。

这些标签应考虑数据的敏感性(即公开到高度受限)和资产包含的数据类型。这有助于定义符合适用法规的分段策略,例如支付卡行业数据安全标准 (PCI DSS)。

3. 跨网络映射数据流

网络分段通过将网络分成独立的段来帮助提高网络安全性。这使得攻击者在获得初始立足点后更难在网络中横向移动。

但是,有许多合法的数据流需要被允许。应映射网络上所有系统的所有数据流,包括:

4. 定义资产组

组织网络中的某些资产用于类似目的并定期通信。将这些系统彼此分开是没有意义的,因为需要许多例外来维持正常的功能。

在定义资产组时,重要的是要考虑这种相似的功能和企业网络上各种资产的敏感性。任何用于类似目的和类似敏感度级别的资产都应归为一个部分,与具有不同信任级别或功能的其他资产分开。

5. 部署分段网关

定义段边界很重要,但如果不强制执行这些边界,则对组织没有任何好处。对每个网段实施访问控制需要部署网段网关。

要强制分段边界,所有进出该分段的网络流量都必须通过网关。因此,一个组织可能需要多个网关来实现有效的分段。这些要求有助于决定是选择硬件防火墙还是虚拟防火墙。

6. 创建访问控制策略

可以允许特定段内的资产之间的流量不受限制地流动。但是,段间通信需要由段网关监控并遵守访问控制策略。

这些策略应基于最小权限原则定义,该原则规定应用程序、设备或用户应具有完成其工作所需的最低权限级别。这些权限应基于#3 中确定的合法数据流。

7. 执行定期审计和审查

在定义微分段、部署分段网关、创建和执行访问控制策略之后,实现网络分段的过程基本完成。但是,定义网络分段策略并不是一次性的练习。

由于公司网络的发展或初始设计过程中的疏忽和错误,网络分段策略可能会发生变化。解决这些潜在问题需要定期审核以确定是否进行了更改,系统中是否存在任何不必要的风险,以及如何更新网段和访问控制以减轻这些风险。

8. 尽可能自动化

定义网络分段策略可能是一项艰巨的任务,尤其是对于企业级网络。尝试手动执行所有这些步骤可能很困难或不可能。

因此,尽可能利用自动化功能非常重要。尤其是在发现和分类阶段,自动化对于识别添加到网络上的新资产、它们的通信流(如果它们包含任何漏洞)和应用网络分段策略是非常宝贵的。

来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯