为网络轻松分段的七个步骤

网络分段是一种网络安保工具，它可以将网络划分为不同的网段，每个网段是自成一体的网络。网络分段让一家公司的专家可以依据公司的战略来控制网段之间的数据流。

企业经常经常使用分段来改善网络安保、改良监控、优化网络性能并发现破绽。

网络分段简介

网络分段是一种组织手腕，将公司的网络划分为多个网段或子网。每个网段和子网是自成一体的网络。这可以协助网络治理员依据公司的须要来跟踪不同网段之间的数据流。

网络分段是一种工具，有助于改善监控、优化性能，并改善企业的网络安保需求。网络分段可以防止未经授权的用户，只准许公司访问有价值的客户消息。

为网络分段的七个步骤

1. 确定最有价值的资产和数据

数据和公司资产在推进业务的价值和开展。

公司应该剖析其网络，看看哪些数据和资产须要最有力的包全。有价值的资产或者包含客户数据库或员工消息。要确定如何对数据启动估值，有三个起因：

增长：常年观察数据增长状况有助于发现数据和未来数据当中的形式。

报答：假设资产与客户数据无关，信赖和钱财是须要思索的关键局部。

危险：失落数据的危险须要思索，这有助于找到划分有价值的数据的正确方法。

2. 用标签对资产启动分类

按高、中、低不等的关键性来标志资产有助于公司确定并优先思索应该将网络安保上班重心放在哪里。为了确定价值，公司必定思索秘密性：

只管不是一切的数据和资产都具备这样的秘密性，但这是开局标志的有用方法。这些标签将定义网络中的信赖和包全。

3.检测网络和数据流，并绘制成图

为了检测网络和数据流并绘制成图，公司应该经常使用标签核对部门网络的每一步，以确定基本的数据和网络流。

在为数据和网络绘图时，专家应该留意数据如何流动、数据如何传输以及公司经常使用的方法。

业内专家倡导核对一切数据流，以便了解：

北向流量，指分开公司网络的数据流。

物品向流量，指网络边界中的系统之间传输的数据流。

南向流量，指进入公司网段的数据流。

网络分段将网络划分为不同的网段，从而提高网络安保性。

4. 确定公司想要如何为网络分段

一旦搜集了网络和数据流，公司必定确定如何为网络分段。只管防火墙通常是公司的选用，但它们并不是网络分段的惟一方式：

替换机是为网络分段的第二罕用方法。公司经常在外部经常使用替换机，同时在划分网络区域时经常使用防火墙。

气隙协助分段成功经过两家互联网提供商散布的两个网络衔接。

模拟电话线是一种为网络分段的离线方式。部署和性能模拟电话线后，没有网络入侵危险。

虚构局域网（VLAN）是一种广播域，可以在网络外部提供分区和隔离，并在部署时成功网络设计。

点对点加密是为网络分段的另一种方法，但它也可以杜相对分段的任何须要。

5. 部署网络流量分段网关

网段边界必定极速成功，以便对每个网段内的访问启动控制。一切网段都须要访问控制。为了领有网段边界，一切进出网段的网络流量都必定经过网关传输。

美国国度安保局示意：“假设部署切当，网段边界和访问控制都提供了一种灵敏的方式来口头网络分段，并且在超过网段传输时，数据流可以被灵活疏导到可以感知运行的防火墙。”

6. 制订全公司的访问控制战略

全公司的访问控制战略至关关键，由于网络立功分子或肆无忌惮的员工或者领有不受限度的访问权限。

美国国度规范与技术钻研所（NIST）宣称：“访问控制战略是一种初级别的需求，规则了如何治理访问以及谁可以在什么状况下访问消息。”

应该基于最低特权准则来选择全公司的访问控制战略，经常使用员工或者领有的成功上班所需的任何运行程序或设备。

7. 口头审计和查看，并成功网络智能化

在部署分段网关并创立公司访问控制战略之后，可以构建分段网关。定义网络分段战略确实须要随着公司网络的变动而变动。

由于经常发生变卦，公司须要口头审计和查看，并监控网络，但这也将协助公司了解能否发生了任何危险或失误。

网络分段测试可以是网络安保审计、浸透测试、破绽扫描微危险评价。

用网络分段包全贵公司

能够分隔网段有助于防止大大小小的数据暴露事情。随着一家公司壮大或变动，公司网络必定处置庞大流量。

网络分段提供了可访问性、更好的性能，并有助于包全整个公司。

本文翻译自：