随着技术手段的不断升级,企业数据防泄密的方法有很多,真的不胜枚举,本文中,我们就重点聊一聊网络隔离。
网络隔离,很多企业并不陌生,尤其是研发型企业、集成电路行业、金融行业、医疗行业等,大部分都是做了网络隔离的,隔离的方式也有很多种,常见的比如网闸、防火墙、VLAN、虚拟化、划分网段和安全域等等。
隔离了就一定能防止代码泄密吗?
也不一定。
隔离可以实现网络层面的控制,不同网络之间是不能随意互传数据的,但是,还是得搭配一些终端安全的管控手段,比如DLP、禁用USB接口等,防止数据通过终端设备泄密。
所以,网络隔离的方式这块,比较推荐的是云桌面虚拟化隔离的方式,这种方式可能在研发型企业里比较普遍,用云桌面的方式可以直接解决终端安全这块问题,数据不落地,安全性较好,而且所有数据集中管理,相对来说成本也较低,然后再用虚拟化的方式做网络隔离,就一举两得,既能防止终端的恶意拷贝,又能禁止不同网间的数据随意交换。
网络隔离后,代码等核心数据如何交换?
做网络隔离是为了更好的保护数据,但是数据的流转又是业务中必不可少的环节。那么,在网络隔离环境下,如何才能让数据安全可控的流转呢?主要方式无外乎以下几种:
1、人工。指派具有特殊权限的专人,以人工手动的方式在两个网络之间进行数据拷贝,比如U盘拷贝、光盘刻录等。这种方式不仅耗费人力精力,而且难以实现管控,时效性也难以保证。
2、开端口。比如用防火墙等软隔离手段时,为了方便,常常采用为特定业务开通特例端口的方式,使其不受跨网隔离的限制。这种“开口子”的方式尽管一时方便,但是实际上违背了网络隔离的初衷,降低了安全标准,最终口子开得越来越多,防火墙上百孔千疮,网络隔离形同虚设。
3、网闸。网闸一般自带在两个网络间文件同步的功能,企业可能会利用这一功能完成跨网文件交换。然而网闸的文件同步功能,一般是从一个网络的存储位置到另一网络的存储位置,而企业的安全管理诉求远不止于此。比如,哪些人可以将文件放到指定存储位置,是否可以由管理人员审批,哪些人可以从存储位置将文件取走,是否有通知,这些过程是否有记录,是否可审计等等。
所以,网络隔离后,需要专业的跨网文件摆渡系统,在符合等保以及行业规范的前提下,实现不同网间的文件安全交换。什么样的文件摆渡系统才叫专业呢?《Ftrans Ferry跨网文件安全交换系统》就是个不错的选择。为什么这么说呢?因为它可以建立统一、安全、可控、便捷的跨网数据交换通道,实现事前可控制、事中可审查、事后可追溯的跨网文件交换全生命周期管控。下面我们来看下具体有哪些功能特性:
1、丰富的审批流程,全面满足各种审批要求
系统内置丰富的审批流程,可根据收发件人所在的部门、用户组、标签、管理角色、业务角色、IP地址等20余种条件,自动触发不同的审批流程,支持以部门主管逐级审批、以汇报人指定级别逐级审批等。
2、完整的日志记录,便于及时的审计追溯
系统提供业内最全面的日志记录,包括用户行为记录、审查审核记录、系统操作记录等,而且能够长期留存和追溯原始文件,也可以根据完整的日志记录,形成报表,便于灵活查询。
3、内置多重安全策略,全方位守护数据安全
系统采用前置机部署架构,网络边界清晰,未经审核绝不越界,并且内置防病毒检测、内容安全检查、传输加密、访问控制等策略,全方位保障数据安全。
4、支持多个工作空间,实现差异化管理
系统支持创建多个逻辑独立的工作空间,用于面向不同的网域、部门、项目等,各工作空间逻辑隔离,互不影响,可独立开展文件管理和安全管控。
5、提供高性能高可靠传输服务,大幅提升业务时效性
系统内置高性能传输协议,支持TB级文件高速传输,通过断点续传、错误重传、一致性校验等,确保数据100%完整正确。
6、强大的集成能力和延展性,全面支持企业级的应用集成
广泛的集成支持,权限组件均提供开放API,全面支持企业级的应用集成。支持AD/LDAP用户集成和原有OA、BPM等外部审批流程集成。支持ICAP协议,可与第三方杀毒引擎、DLP等集成,加强安全检测能力。
做网络隔离是为了防止数据泄露,而在网络隔离环境下,实现安全可控的文件交换,才是最终目标。
