IT security through network segmentation

对公司资产安全性的保护,是如今每一个经营良好的公司的核心内容。这对于激增的数字资产,比如机密的客户信息,员工的个人信息,知识产权等等也同样至关重要。

使公司在互联网中处于安全的地位

但是中小企业究竟该采取怎样的措施才能保证数字资产的安全性?在我们最新的系列文章中将为您提供不同的概念解读以及有建设性的答案,帮助您提高公司运营网络的安全性,保证公司最核心的宝藏免受外界侵害。

我们为您提出的建议是相对中立的,目的是帮助您找到容易操作且价格合理的最简单便捷的处理办法。

今天我们的文章将把目光锁定在网络分段以及网络隔离上。简单来说,网络分段就是对网络进行分割,将公司网络中的不同部门或不同分支划分成一系列的子网络。运用这种方法,每一个用户只拥有进入其所属子网络的权限,限制了其访问位于其他子网络数据和电脑的权利。对于防止黑客的进攻来说,也应用了相同的逻辑,入侵者最多只可在一个子网络内恣意妄为。但与此同时,让公司对其网络的完整性做出让步和妥协也是极其困难的。

物理分段和逻辑分段

关于分段方法,我们首先需要了解的是物理分段以及逻辑分段的区别。物理分段指的是建立一个与其他网络(比如其他本地网络,互联网)物理分离的实体网络。这个概念也可以扩展到,创建一个无电缆链接或者无无线网连接的完全独立的网络。这就是我们所说的网络隔离。

与之对立的是逻辑分段,它指的是创建一个虚拟的局域网络,以便将一个实体网络划分成不同的虚拟或逻辑网络。逻辑网络甚至可以在一个单一的硬件部件内完成,使整个网络沉浸在一个虚拟的环境中,用虚拟的路由器,开关,服务器去运营。

因为逻辑分段可以使用现存的硬件零部件,所以一般来说对比建立一个完整独立的物理网络,费用花销要少得多,但如果比对安全系数的话,逻辑分段就要弱一些,因为它依托的硬件会为不同的网络服务。

选择何种分段方式与花销密切相关

硬件通常都会与互联网充分链接,这使得攻击者有机会充分利用硬件中的缺点漏洞,或是设备中安装的防火墙,摧毁整个逻辑分段,从而攻击到其他不同的逻辑网络中去。独立的物理分离实体网络对这些攻击做了更充分的准备,因为它并没有和互联网相连接,理想状态下,也并没有无线网的接入点,让攻击有机会可以从附近的无线信号中侵入。

但附加的安全保障就意味着附加的费用。一个独立的物理网络在创建和维护上需要很多花销,因为所有的的设备和电缆都要分开购买,并且要维持在一个很好的运作水平上。除此之外还必须配备一个独立的安全系统(比如一个防火墙,一个入侵检测系统(IDS)一个入侵预防系统(IPS);这些都会增加很多额外的成本。

所以简单来说,更安全就意味着更多的资金投入。

没有什么是百分百安全的,但你可以确保损失是有限度的

虽然拥有这些正面的安全特性,但物理分段的网络也并不能对所有形式的攻击都免疫。比如Stuxnet,迄今为止最知名的恶意软件,就是物理分段网络漏洞的一个颇有代表性的例子。Stuxnet过去被用来通过超频活动攻击伊朗核浓缩设备中的离心机,即使离心机只与内部独立的网络相连,但入侵者仍然有可能通过USB接口引入恶意软件,从而篡改运作离心机的操作软件。

总而言之,为了保障物理分割系统的安全,严防内部威胁是非常必要的。

IT安全的未来趋势

网络分割的重要性伴随着物联网和工业4.0的快速发展而提升。这两个概念都致力于在机器中置入小型计算机群,并让它们相互连接,最终使大型机械和日常家用电器都变得更加智能。虽然他们为提升工业制造效率和使人们生活的更便捷,提供了很大的可能性,但同时也提高了网络安全事件和数据泄露的发生频率。物流网的标准化是一个持续的过程,但普遍来说,更多的设备只接收了很少的安全升级。

对此来说非常重要的一点便是,物联网和位于网络中的其他系统相隔离,以便于那些对物联网的恶意进攻不会对整个IT系统造成影响。

无论你选择使用那种方式对你的网络进行分割和隔离,都将会是非常有效的工具,帮助减少外界对公司核心价值(比如生产设备)进攻的几率。此外也将限制知识产权被盗取的可能,因为只有与之相关的工作人员才和受托方才有获取相应网络资源的权限。这样即使入侵者进入子网络,可造成的损失也在可控范围内。

在进行了这么多信息轰炸之后,让我们给您吃一颗定心丸。我们很清楚的知晓这件事情的复杂程度,我们会按照我们的经验根据您的实际情况和要求提供对问题最透彻的分析和最合适的解决方案。

Ecovis Beijing 将会竭诚为您服务,帮助您找寻最合适贵公司的网络结构,尤其您正在处理中欧之间交流往来的各项问题。

关于作者

Andre Baum

Andre Baum是海德堡办公室的IT安全专家。Baum先生先后在科隆,武汉和台北完成学业。作为中国研究和国际研究的毕业生,他对东亚地区的经济情况了如指掌,在加入 Ecovis Beijing 之前,他曾在东京和华盛顿从事国外直接投资(FDI)和国际外交等相关工作。

由于对IT领域的热爱,Baum先生拥有丰富的关于IT和网络安全的知识,与我们在北京的法律团队一起,监管与销售和包括(或不包括)中国在内的多国企业合作的物联网解决方案相关的网络安全项目。他目前还在海德堡SRH大学教授网络安全及中国法律的相关课程。

Baum先生是本公司针对想要拓展中国市场的德国投资者的主要联系人。

 

如果您想获取更多信息,可直接与我们的作者联系
Mail: andre.baum@ecovis-beijing.com