采用“城堡周?chē)淖o(hù)城河”式的防御是處理計(jì)算機(jī)網(wǎng)絡(luò)安全的可靠方法，可以防止網(wǎng)絡(luò)攻擊者的出現(xiàn)。“扁平化”網(wǎng)絡(luò)致力于為網(wǎng)絡(luò)上的所有設(shè)備提供可靠快速的連接，而安全工作則著眼于隔離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)。

然而，這種傳統(tǒng)的方法已經(jīng)不再適用于保護(hù)現(xiàn)代企業(yè)復(fù)雜的互聯(lián)數(shù)字化網(wǎng)絡(luò)，或者難以應(yīng)對(duì)網(wǎng)絡(luò)攻擊者不斷發(fā)展的技巧，這導(dǎo)致了WannaCry勒索軟件攻擊等違規(guī)行為。企業(yè)的數(shù)據(jù)不斷地在進(jìn)出網(wǎng)絡(luò)。然而，當(dāng)這些數(shù)據(jù)通過(guò)企業(yè)的工作人員在將IT服務(wù)遷移到云端時(shí)，企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間就存在一條模糊的界限。

咨詢(xún)調(diào)研機(jī)構(gòu)畢馬威公司的CIO咨詢(xún)經(jīng)理Fredrik Lindstrom表示，相反，企業(yè)將網(wǎng)絡(luò)分段或?qū)⒕W(wǎng)絡(luò)分割成子網(wǎng)絡(luò)是淘汰陳舊過(guò)時(shí)的安全方法的一種最佳途徑。不幸的是，它也是企業(yè)網(wǎng)絡(luò)安全計(jì)劃中最被忽視的部分之一，因?yàn)榇蠖鄶?shù)組織認(rèn)為網(wǎng)絡(luò)分割過(guò)于復(fù)雜和繁瑣。根據(jù)Avaya公司委托進(jìn)行的研究，雖然幾乎所有的IT專(zhuān)業(yè)人員都認(rèn)為網(wǎng)絡(luò)分段是一項(xiàng)重要的安全措施，但實(shí)際上只有不到四分之一的企業(yè)實(shí)施了這項(xiàng)措施。

Lindstrom解釋說(shuō)：“很多公司不知道從哪里開(kāi)始，如何做，以及應(yīng)該包含哪些組件。”他補(bǔ)充說(shuō)，試圖實(shí)施網(wǎng)絡(luò)分段的組織經(jīng)常遭遇失敗，因?yàn)檫@是一個(gè)如此巨大的任務(wù)。

對(duì)于那些做得對(duì)的組織來(lái)說(shuō)，實(shí)施網(wǎng)絡(luò)分段是非常值得的。其威力在于它能夠直接處理當(dāng)今威脅環(huán)境的現(xiàn)實(shí)，既然無(wú)法防止網(wǎng)絡(luò)違規(guī)事件發(fā)生，但是可以將其隔離開(kāi)來(lái)，這樣病毒只能傳播到幾個(gè)點(diǎn)，而不是成千上萬(wàn)的都被感染。

根據(jù)畢馬威公司的一篇新論文“現(xiàn)代企業(yè)中提高安全性的10個(gè)部分框架：網(wǎng)絡(luò)分割勢(shì)在必行”指出，正確的網(wǎng)絡(luò)分段為防止惡意軟件和行為者在網(wǎng)絡(luò)上橫向移動(dòng)的控制奠定了基礎(chǔ)，防止?jié)撛诘母腥净蛭＜熬W(wǎng)絡(luò)傳播。網(wǎng)絡(luò)分段還允許在整個(gè)網(wǎng)絡(luò)中增加控制點(diǎn)，從而顯著提高對(duì)網(wǎng)絡(luò)流量的可視性和控制。

網(wǎng)絡(luò)分段入門(mén)的框架

畢馬威會(huì)計(jì)師事務(wù)報(bào)告中的網(wǎng)絡(luò)分段框架包含10個(gè)組成部分，其中包括制定指導(dǎo)性戰(zhàn)略文件，創(chuàng)建分段和控制點(diǎn)的網(wǎng)絡(luò)架構(gòu)，通過(guò)IT資產(chǎn)管理定義需求，實(shí)施核心安全控制，并創(chuàng)建一個(gè)全面的數(shù)據(jù)分類(lèi)程序。

Lindstrom說(shuō)，在如此大量的工作，最重要的組織優(yōu)先事項(xiàng)是通過(guò)變更管理來(lái)處理涉及的人員的關(guān)系，并設(shè)定程序的基本部分，如資產(chǎn)管理和數(shù)據(jù)分類(lèi)。Lindstrom說(shuō)：“一旦組織擁有了基礎(chǔ)設(shè)施，那么就可以擁有從安全到網(wǎng)絡(luò)到數(shù)據(jù)中心的覆蓋范圍，所有這些傳統(tǒng)的IT團(tuán)隊(duì)的工作。”他補(bǔ)充說(shuō)，通過(guò)從小事做起，而不是試圖在這樣一個(gè)大型項(xiàng)目中做得面面俱到，組織可以實(shí)現(xiàn)最后的覆蓋，而最成熟的組織可以實(shí)施網(wǎng)絡(luò)分段，而這是一種基于行為的保護(hù)措施。

畢馬威會(huì)計(jì)師事務(wù)所的文章詳細(xì)介紹了一家高科技制造企業(yè)的案例，這家高科技制造企業(yè)由于有機(jī)增長(zhǎng)和收購(gòu)而整合了網(wǎng)絡(luò)基礎(chǔ)設(shè)施。它沒(méi)有提供必要的網(wǎng)絡(luò)細(xì)分來(lái)保護(hù)重大的研發(fā)投資。這家公司對(duì)差距進(jìn)行評(píng)估并設(shè)定目標(biāo)，將網(wǎng)絡(luò)分段策略分解為更小的項(xiàng)目。該公司解決了其全球網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全缺陷問(wèn)題，提高了安全性、自動(dòng)化、運(yùn)營(yíng)效率，以滿(mǎn)足該公司目前的需求。

網(wǎng)絡(luò)分段實(shí)施面臨的最大挑戰(zhàn)

Lindstrom說(shuō)，企業(yè)的人員和內(nèi)部斗爭(zhēng)往往是實(shí)施網(wǎng)絡(luò)分段的最大障礙。該項(xiàng)目必須涉及從人力資源和法律、IT資產(chǎn)管理、安全網(wǎng)絡(luò)，以及最終用戶(hù)計(jì)算等各個(gè)方面。他說(shuō)：“所有這些孤島必須協(xié)同工作才能正確實(shí)施這個(gè)框架。這是企業(yè)如何處理網(wǎng)絡(luò)的一個(gè)變化?！?

他補(bǔ)充說(shuō)，讓組織了解網(wǎng)絡(luò)細(xì)分工作的最重要方法是制定如何取得成功，以及如何改變用戶(hù)的行為。也就是說(shuō)，當(dāng)組織將網(wǎng)絡(luò)分割與資產(chǎn)管理集成相結(jié)合時(shí)，如何恰當(dāng)?shù)厣婕叭肆Y源和法律，以及如何進(jìn)行工作。

另外，大多數(shù)組織都犯了過(guò)分依賴(lài)供應(yīng)商的錯(cuò)誤，在談到網(wǎng)絡(luò)分段的過(guò)程中，他們可能不會(huì)提供什么客觀(guān)的建議。Lindstrom說(shuō)：“供應(yīng)商會(huì)說(shuō)他們正在為組織做最好的事情，但是他們傾向于提供產(chǎn)品和服務(wù)，而不是為了讓這個(gè)組織的業(yè)務(wù)成功?！?

提供巨大成果的長(zhǎng)期努力

網(wǎng)絡(luò)分割限制了網(wǎng)絡(luò)違約事件的損害，可以說(shuō)是一種抵御最新的復(fù)雜安全威脅的最佳防御手段。但對(duì)于大多數(shù)公司來(lái)說(shuō)，即使是違規(guī)的可能性也不足以讓他們開(kāi)始實(shí)施。而采用網(wǎng)絡(luò)細(xì)分往往是由一個(gè)重大的違規(guī)事件引發(fā)的，這個(gè)事件激發(fā)了這些組織為此必須采取行動(dòng)。

但現(xiàn)在是企業(yè)考慮實(shí)施網(wǎng)絡(luò)分割的時(shí)候了。這是一項(xiàng)長(zhǎng)期的努力，可能需要三個(gè)月到三年的時(shí)間。 Lindstrom說(shuō)：“企業(yè)可以開(kāi)始進(jìn)行網(wǎng)絡(luò)細(xì)分，但是如果沒(méi)有其他組件，比如成熟的數(shù)據(jù)分類(lèi)程序和IT資產(chǎn)管理，就不會(huì)順利實(shí)施。 ”

他補(bǔ)充說(shuō)，這完全是為了打破孤島效應(yīng)。Lindstrom說(shuō)：“企業(yè)開(kāi)始關(guān)注網(wǎng)絡(luò)細(xì)分和隔離組件是至關(guān)重要的。即使只專(zhuān)注于數(shù)據(jù)中心，無(wú)論是在內(nèi)部部署數(shù)據(jù)中心還是在云端，這都是朝著正確方向邁出的一大步?！?