|
|
随着网络技术的持续不断的发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,也是目前网络安全建设中首要考虑的问题。
网络边界是我们的网络与其他网络的分界线,对边界进行安全防护,首先必须明确哪些网络边界需要防护,这能够最终靠安全分区设计来确定。定义安全分区的原则就是第一步是要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。如互联网连接区、广域网连接区、外联数据区、数据中心区、内网办公区、网络管理区等。
网络边界是一个网络的最重要组成部分,负责控制网络的最初及最后过滤,对一些公共服务器区进行保护,负责链路安全的VPN技术也是在网络边界设备建立和终结的。因此,边界安全的有效部署对整网安全意义重大。
随着互联网技术的飞速发展,越来越多的社会生产生活活动依附于网络进行,互联网的连通领域越来越广泛,每一个组织和个人都需要更加重视使用信息安全的防护措施,而边界安全自网络产生至今,其重要性异常凸显,最常用的防护手段和措施就是部署防火墙、入侵检测等安全设备,从网络层到应用层防护控制,形成立体纵深防御。
云数据中心大边界安全防护的建设是关注重点,需要同时考虑安全通信网络的要求和安全区域 边界的要求,保障整个云平台的正常运转,同时提升防御来自互联网的各类攻击和入侵行为的能力,是保障整个云平台系统安全的关键。
数据中心边界安全防护需要满足等保 2.0 中安全区域边界中访问控制的要求,对于进出网络的数据流实现基于应用协议和应用内容的访问控制。需要具备病毒查杀、流量管理、VPN 等安全功能防护,支持 HA 高可靠性部署,在实现应用级细粒度访问控制的基础上,同时具备恶意代码防范、 网络带宽优化、远程加密接入能力,并能提供高可靠持续性防护,满足等保 2.0 中安全区域边界中恶意代码防范的要求。由于当前安全威胁的不断进化和新型攻击技术的出现,原有的安全防护理念和防护技术面临着巨大冲击,如何在新旧技术交叠应用的变革过程中,更有效地检测和防御系统网 络面临的安全问题,也是需要关注的重点,在部署防火墙基础之上,应进一步考虑补充综合的威胁 检测防御平台增强边界的防御能力。
工控安全边界主要指办公网与生产网的网络边界防护、生产网内部各生产车间或工艺流程网络边界防护、关键 PLC 控制设备的安全防护。可以通过工业防火墙实现管理网与生产网的隔离,并保证数据传输需求;依据业务划分安全区域,针对跨装置存在的操作站互联情况,在操作站之间加装工业防火墙,实现安全域间的安全通信;通过工业防火墙对控制管理系统进行防护,保护关键控制器(如 PLC)的数据在传输中不被病毒篡改及删除,防止控制网中节点感染病毒。
