目前很多單位在網路建設之初就在規劃和考慮更多的安全問題,非常通行的安全措施就是對網路實現隔離,所謂網路的隔離就是「拿出去」的概念,要麼把企業內網拿出去,要麼把企業網際網路拿出去。物理隔離對安全而言顯然是一種解決辦法,但是往往建設成為兩張網路的時候,企業資訊化的維護成本會迅速上公升,內網要考慮安全准入與身份認證、病毒防護、資料洩露、移動介質管理等待您,外網要考慮行為審計和流量管理、訪問控制等,總之企業的隔離之後付出的成本是很多企業沒有想到的所以很多沒有達到預想的設計效果,那麼物理隔離是否有必要?
我們可以看一下物理隔離的政策和要求從何而來?
1、中共**辦公廳十七號檔案規定:電子政務網路由政務內網和政務外網構成,兩網之間物理隔離,政務外網與網際網路之間邏輯隔離。
2、國家保密局《 計算機資訊系統國際聯網保密管理規定 》中第二章第六條明確指出:「凡是涉及國家秘密的計算機資訊系統,不得直接或間接地與國際網際網路或其它公共資訊。
3、等級保護gb/t 22239-2008邊界完整性檢查(s3)
a) 應能夠對非授權裝置私自聯到內部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷。
b) 應能夠對內部網路使用者私自聯到外部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷。
那麼企業如果不隔離面臨那些安全風險呢?
1、重要的資訊系統可能面臨多重威脅如非法攻擊、惡意掃瞄、資料洩露、資料庫篡改等等,資訊系統的執行存在安全隱患。
2、由於沒有內外網隔離,整體網路安全可控性降低,抗攻擊能力低。
3、由於沒有內外網路隔離,內網終端容易成為攻擊跳板,網際網路的安全風險如病毒、蠕蟲攻擊、後門木馬蔓延至整個網路或者重要的應用伺服器區。
4、分支機構的內外網混用,安全風險容易蔓延至集團總部。
5、遠端使用者缺少必要的第三方身份認證和准入,存在非法訪問,非授權操作。
6、整個網路的業務流量梳理比較複雜,訪問控制策略要十分嚴格和複雜。
7、企業資料的洩密可能性較高。
8、內外網混用造成各種故障的可能性較高。
在網路分離的物理隔離之外還有什麼好的解決方案嗎?很多人採用邏輯隔離即防火牆進行訪問控制和區域劃分並隔離,還有可能增加更多的安全裝置如ips,當然還有人增加網閘來進行物理隔離。在這之外呢?
虛擬化可能是一種解決方案,在整個網路當中增加乙個虛擬化區,這個區域定義辦公業務區,每乙個都有乙個自己虛擬的桌面可以訪問,這就有可能實現如下內容:
實現隔離又不讓使用者配置兩台電腦?讓業務應用移植到內網又不影響使用者體驗(任何地點任何裝置)?在合理的成本之上較快速的完成內外網的安全規劃?
虛擬化實際不需要高效能的接入終端(因為運算不在終端),虛擬化不需要大容量的頻寬(因為採用ica協議只傳輸影象變化量和滑鼠鍵盤指令),虛擬化不需要擔心資料的洩密(任何資料都在資料中心不在本地且可審計),虛擬化不需要管理員再為補丁防病毒擔心(因為技術解決了管理問題)虛擬化不用在擔心使用者體驗很差(因為所有的操作都是和電腦一樣,應用都是通過ie提供標準的業務發布已經安裝完各種外掛程式)
按需應用交付
1、在資料中心集中管理應用 – 降低成本
2、控制並加密對資料和應用的訪問 – 提公升安全性
3、迅速向任何地點上的使用者交付應用
為什麼要按需交付應用?
虛擬化何嘗不是一種解決方案呢。
VMware vSAN緊盯虛擬化應用
在vmware公司眼中,vmware vsan是vmware vsphere虛擬化環境中最理想的儲存。但是,作為一款軟體定義儲存,vmware vsan更重要的意義在於,衝破了傳統儲存軟硬體緊耦合的束縛,給了使用者更多選擇。vmware virtual san vsan 是vmware推出的首個軟體...
上海中學應用虛擬化軟
攜手上海 四大名校 之一的上海中學,在共同建設教育雲平台後,在傳統桌面雲平台上增強部署了華為應用虛擬化解決方案。通過豐富的業務應用,深度整合多種資訊資源,打破教育的資訊化邊界,讓校園變得更加智慧型。上海中學是一所擁有140多年歷史的名校,作為上海市重點中學,被譽為 一流大學的搖籃 為哈佛大學等世界名...
應用Libvirt連線KVM虛擬化平台
發布一段 用於連線指定的kvm宿主機器,獲得該宿主機器的配置資訊,以及該主機上所有的虛擬主機列表 狀態及配置資訊 include include include void listdom virconnectptr conn conn virconnectopen str if conn null ...