机密性
对于某些组织而言,在内部网络中仍然要保证高度的机密性要求。这可能意味着对于数据的整个生命周期过程中,都需要考虑各阶段安全风险和防护手段。这部分内容一般不列入网络安全的范畴,本文并未展开讨论。
完整性
对于组织的某些特定信息资产,保障其完整性至关重要。对于该信息资产的存储、修改都需要考虑可能的安全风险,并通过技术手段进行保障。这部分内容往往通过安全设计和数据备份实现,不是传统的网络安全范畴。本文并未展开讨论。
可用性
网络安全主要考虑的是带宽挤占带来的可用性风险,本文并未对信息资产的可用性进行全面讨论。
风险的定义
各组织对于风险的接受程度并不相同,这也导致了本文讨论的风险可能对于部分组织并不完整。
内网网络安全的解决之道
按照前文的分析结果,内网网络的安全主要关注的对象应该是网络、通信方和信息交换相关的安全风险。对于这三个对象,安全管理员可以采取相应的技术缓解风险。
网络
合理划分网络
对于组织而言,传统的网络划分往往是由网络管理部进行的。组织的安全管理员需要网络划分进行审阅。网络划分的依据除了根据地理位置、部门之外,也应考虑其包含信息资产安全等级,安全管理员关注网络划分的目的在于更容易实现按安全等级进行保护。应尽可能避免安全等级相差较大的信息资产划分在同一网络中。
设置边界检查点
对于来自不同的网络的通信应在其边界处设置检查点,过滤其中可能的安全威胁,包括未授权的网络访问和潜在的攻击。
技术实现
防火墙(Firewall)
防火墙是最早出现的网络安全技术,也是相对简单的一种。防火墙作为网络边界检查点的主要作用是实现访问控制。
防火墙作为一种安全技术,主要优势包括:
性能:目前的防火墙已经有100G的产品。
工作在网络层:可实现网络地址翻译甚至路由等功能。
配置容易:防火墙配置较为容易。
但是在实践中,防火墙并非是内网边界检查点最常用的设备,这主要是因为以下原因:
