涉密网络与非涉密网络隔离管理的入门指南
前阵子陪一家客户的IT部门做内部排查时,发现了一个让人捏把汗的情况。他们的财务系统所在的服务器和研发代码仓库所在的服务器在同一个网段里,两个系统可以互通。更离谱的是,员工办公的WiFi网络和涉密数据服务器的管理端口也在一个子网里。也就是说,任何一个员工只要在自己的工位上稍微懂一点网络知识,理论上就可以从自己的办公电脑直接访问到研发核心代码服务。虽然没有证据表明已经有人这么做了,但"可以这么做"这件事本身就是一个大问题。
网络隔离看起来是一个技术问题,但本质上是管理问题。很多中小企业起步阶段网络是以"能联网就行"为原则铺的,恨不得办公室所有设备都在一个交换机下面。随着公司长大,涉密数据越来越多,这种做法就变成了一个定时炸弹。
网络隔离要分清楚哪些东西需要分开。建议至少分成三个网络区域:核心生产区内部运行着研发系统、代码仓库、客户数据库、财务系统这些核心业务。办公区就是员工日常用的桌面电脑、打印机、企业通讯工具,可以正常上网。外部服务区包括公司网站、邮件服务器、对外服务的API接口,这些系统需要对外开放,暴露面最大。核心生产区和办公区之间要有访问控制,办公区不能直连核心区。办公区和外部服务区之间也要有防火墙管理。
实施隔离有几个最基础的手段。最简单的是VLAN——虚拟局域网。用支持VLAN的交换机把不同业务划分到不同网段上,让研发的电脑和普通办公电脑走不同的网络通道。不贵的交换机也能支持VLAN划分,很多中小企业不是技术做不到,是没人去做这件事。如果对隔离要求更高一点,还可以用防火墙策略控制VLAN之间的访问——只有经过批准的流量才能跨网段,其他的通通拦截。
WiFi网络的分级管控也很重要。很多小公司只有一个WiFi网络,密码大家都知道,来访客户都能连上。建议至少分两个WiFi信号——员工专用网络用WPA2企业版认证,连接后进入办公网络;访客专用网络独立出来,只能上互联网,不能访问公司内部资源。两个WiFi网络的物理通道也要分离,不能用了同一个出口再内部设置路由表,那样安全程度有限。
远程访问带来的网络割裂。员工在家或者出差时需要通过虚拟专用网络接入公司内网。但如果所有远程用户的虚拟专用网络通道都直接进入核心网络层,核心数据就都暴露在外了。建议远程访问通道只连接到独立的远程接入区,用户在远程接入区经过二次认证后才能进入核心生产区。
网络隔离的检查和维护。网络隔离做完之后不是一劳永逸的。网络设备配置会有变更,交换机配置可能会被人改掉,新的路由器装上去了但ACL没配上。建议每半年做一次网络隔离有效性检测,由IT或者外部的网络安全检测团队来执行渗透测试,确认隔离策略没有被绕过。
常见问题:
Q:小公司没有专门的IT人员,网络隔离能自己做吗?
A:VLAN划分和WiFi分离这些基础操作,稍微懂网络配置的IT或者找外面的网络工程师花半天时间就能完成。关键是知道要做什么、做到什么程度。建议先找一份网络拓扑图梳理一下当前的网络情况,再做隔离规划。
Q:VLAN划分之后员工之间的文件共享会不会受影响?
A:VLAN只是隔离了网络层,文件共享可以在应用层解决。建议公司搭建NAS或者文件服务器,所有员工都连到同一个文件服务器上获取文件,而不是依赖网上邻居或者文件夹共享。这样既隔了网络又保了文件访问。
Q:涉密服务器能不能连互联网?
A:核心的涉密服务器不建议直接上互联网,除非有迫切的业务需要。如果必须上网就用代理服务器做跳板,同时在涉密服务器和外部网络之间架设防火墙做深度包检测。绝不能让涉密服务器直接暴露在公网上。
