網(wǎng)絡分段是一種網(wǎng)絡安全工具，它可以將網(wǎng)絡劃分為不同的網(wǎng)段，每個網(wǎng)段是自成一體的網(wǎng)絡。網(wǎng)絡分段讓一家公司的專家可以根據(jù)公司的策略來控制網(wǎng)段之間的數(shù)據(jù)流。

企業(yè)經(jīng)常使用分段來改善網(wǎng)絡安全、改進監(jiān)控、提升網(wǎng)絡性能并發(fā)現(xiàn)漏洞。

網(wǎng)絡分段簡介

網(wǎng)絡分段是一種組織手段，將公司的網(wǎng)絡劃分為多個網(wǎng)段或子網(wǎng)。每個網(wǎng)段和子網(wǎng)是自成一體的網(wǎng)絡。這可以幫助網(wǎng)絡管理員根據(jù)公司的需要來跟蹤不同網(wǎng)段之間的數(shù)據(jù)流。

網(wǎng)絡分段是一種工具，有助于改善監(jiān)控、提升性能，并改善企業(yè)的網(wǎng)絡安全需求。網(wǎng)絡分段可以防止未經(jīng)授權的用戶，只允許公司訪問有價值的客戶信息。

為網(wǎng)絡分段的七個步驟

1. 確定最有價值的資產(chǎn)和數(shù)據(jù)

數(shù)據(jù)和公司資產(chǎn)在推動業(yè)務的價值和發(fā)展。

公司應該分析其網(wǎng)絡，看看哪些數(shù)據(jù)和資產(chǎn)需要最有力的保護。有價值的資產(chǎn)可能包括客戶數(shù)據(jù)庫或員工信息。要確定如何對數(shù)據(jù)進行估值，有三個因素：

增長：長期觀察數(shù)據(jù)增長情況有助于發(fā)現(xiàn)當前數(shù)據(jù)和未來數(shù)據(jù)當中的模式。

回報：如果資產(chǎn)與客戶數(shù)據(jù)有關，信任和錢財是需要考慮的重要部分。

風險：丟失數(shù)據(jù)的風險需要考慮，這有助于找到劃分有價值的數(shù)據(jù)的正確方法。

2. 用標簽對資產(chǎn)進行分類

按高、中、低不等的重要性來標記資產(chǎn)有助于公司確定并優(yōu)先考慮應該將網(wǎng)絡安全工作重心放在哪里。為了確定價值，公司必須考慮機密性：

雖然不是所有的數(shù)據(jù)和資產(chǎn)都具有這樣的機密性，但這是開始標記的有用方法。這些標簽將定義網(wǎng)絡中的信任和保護。

3.檢測網(wǎng)絡和數(shù)據(jù)流，并繪制成圖

為了檢測網(wǎng)絡和數(shù)據(jù)流并繪制成圖，公司應該使用標簽核查部門網(wǎng)絡的每一步，以確定基本的數(shù)據(jù)和網(wǎng)絡流。

在為數(shù)據(jù)和網(wǎng)絡繪圖時，專家應該注意數(shù)據(jù)如何流動、數(shù)據(jù)如何傳輸以及公司使用的方法。

業(yè)內(nèi)專家建議核查所有數(shù)據(jù)流，以便了解：

北向流量，指離開公司網(wǎng)絡的數(shù)據(jù)流。

東西向流量，指網(wǎng)絡邊界中的系統(tǒng)之間傳輸?shù)臄?shù)據(jù)流。

南向流量，指進入公司網(wǎng)段的數(shù)據(jù)流。

網(wǎng)絡分段將網(wǎng)絡劃分為不同的網(wǎng)段，從而提高網(wǎng)絡安全性。

4. 確定公司想要如何為網(wǎng)絡分段

一旦收集了網(wǎng)絡和數(shù)據(jù)流，公司必須確定如何為網(wǎng)絡分段。雖然防火墻通常是公司的選擇，但它們并不是網(wǎng)絡分段的唯一形式：

交換機是為網(wǎng)絡分段的第二常用方法。公司常常在內(nèi)部使用交換機，同時在劃分網(wǎng)絡區(qū)域時使用防火墻。

氣隙幫助分段實現(xiàn)通過兩家互聯(lián)網(wǎng)提供商分布的兩個網(wǎng)絡連接。

模擬電話線是一種為網(wǎng)絡分段的離線方式。部署和配置模擬電話線后，沒有網(wǎng)絡入侵風險。

虛擬局域網(wǎng)（VLAN）是一種廣播域，可以在網(wǎng)絡內(nèi)部提供分區(qū)和隔離，并在部署時實現(xiàn)網(wǎng)絡設計。

點對點加密是為網(wǎng)絡分段的另一種方法，但它也可以杜絕對分段的任何需要。

5. 部署網(wǎng)絡流量分段網(wǎng)關

網(wǎng)段邊界必須快速完成，以便對每個網(wǎng)段內(nèi)的訪問進行控制。所有網(wǎng)段都需要訪問控制。為了擁有網(wǎng)段邊界，所有進出網(wǎng)段的網(wǎng)絡流量都必須經(jīng)過網(wǎng)關傳輸。

美國國家安全局表示：“如果部署得當，網(wǎng)段邊界和訪問控制都提供了一種靈活的方式來執(zhí)行網(wǎng)絡分段，并且在跨越網(wǎng)段傳輸時，數(shù)據(jù)流可以被動態(tài)引導到可以感知應用的防火墻?！?/p>

6. 制定全公司的訪問控制策略

全公司的訪問控制策略至關重要，因為網(wǎng)絡犯罪分子或胡作非為的員工可能擁有不受限制的訪問權限。

美國國家標準與技術研究所（NIST）聲稱：“訪問控制策略是一種高級別的需求，規(guī)定了如何管理訪問以及誰可以在什么情況下訪問信息?！?/p>

應該基于最低特權原則來決定全公司的訪問控制策略，使用員工可能擁有的完成工作所需的任何應用程序或設備。

7. 執(zhí)行審計和審核，并實現(xiàn)網(wǎng)絡自動化

在部署分段網(wǎng)關并創(chuàng)建公司訪問控制策略之后，可以構建分段網(wǎng)關。定義網(wǎng)絡分段策略確實需要隨著公司網(wǎng)絡的變化而變化。

由于經(jīng)常出現(xiàn)變更，公司需要執(zhí)行審計和審核，并監(jiān)控網(wǎng)絡，但這也將幫助公司了解是否出現(xiàn)了任何風險或錯誤。

網(wǎng)絡分段測試可以是網(wǎng)絡安全審計、滲透測試、漏洞掃描和風險評估。

用網(wǎng)絡分段保護貴公司

能夠分隔網(wǎng)段有助于防止大大小小的數(shù)據(jù)泄露事件。隨著一家公司壯大或變化，公司網(wǎng)絡必須處理龐大流量。

網(wǎng)絡分段提供了可訪問性、更好的性能，并有助于保護整個公司。

本文翻譯自：https://www.datamation.com/security/how-to-segment-a-network/