内外网隔离是有安全需求企业的标配。因为优点很明显,就是杜绝了外部攻击获取重要数据的同时也可以有效防止内部人员泄漏数据(把数据传送到外网),直接物理上切断了这种可能,也相对容易管理。
不过内网隔离并不是仅仅做个网络分区管理就可以的,其实根据我们有做内网隔离的客户的具体环境看,内网隔离也需要一系列的行政政策及IT建设配合才能取到效果,不然就有掩耳盗铃嫌疑。
同时内网隔离缺点也很明显,最大的缺点就是研发人员需要外网查资料(现在一般是配两台电脑来解决),内外网之间必要的数据传输。特别对于IT人员,不能从外网直接复制粘贴其实已经大幅降低了工作效率。
从我们客户的使用情况我简单总结了几点,抛砖引玉。
1.内网隔离需要做好安全闭环:譬如:内网设备没有禁用USB设备会使内网隔离形同虚设(可通过安装USB网卡、U盘等形式把数据转移)。
2.如果安全级别很高,办公场所也需要分区做好密区和非密区管理。譬如:密区不能带手机进去、或者进入密区用一次性贴纸封住手机摄像头和数据口。
3.内网设备的数据不落地。不少有内网隔离的用户在内网还有一层保护,就是使用远程桌面来工作。这样能最大程度的杜绝数据落地被copy或者直接拆硬盘的可能。
4. DMZ区。在密区和办公区之间搞一个DMZ区其实对于IT维护会方便不少。
5.数据摆渡的审批细节:从外网传输到内网的数据可以不审批只留日志。但是内网往外传一定要审批,这里有两个细节,一个是审批人,很多企业甚至系统会用IT管理员来审批,这是错误的,因为管理员很多时候并不清楚数据的重要程度,适合的审批人应该是和项目密切相关的责任人。还有一个细节就是“要禁止数据摆渡传输文件夹”因为文件夹可以做很深,审批人不容易注意很深的文件夹里是不是藏了什么资料。
总之,如果都上内网隔离了,就需要从各方面完成闭环,不然内网隔离不方便不说,相反更不安全,只要一个地方有漏洞,其实就还不如不隔离。
接下来讲讲内网隔离环境下使用巴别鸟企业网盘的好处,讲主要的三个:
1.巴别鸟可以当数据摆渡设备使用。比传统的数据摆渡和网闸更加强大方便。
2.巴别鸟可以作为密区的文件共享及协同工具使用,提高密区内的工作效率及文件管理安全性。
3.巴别鸟可以统一管理密区的所有文件,并且有强大的权限管理、版本管理、日志审计功能。
最后,介绍下巴别鸟企业网盘数据摆渡功能模块:
1.1. 数据摆渡
巴别鸟可以使用“部门安全策略”的方式隔离某个部门数据,实现涉密部门的安全性和外发审批等功能,但是面对网络隔离的密区和非密区之间的文件传输,就需要用到数据摆渡的方式,确保密区和非密区之间可以安全可控的交换文件,这里就需要部署巴别鸟数据摆渡功能。在巴别鸟中,该功能模块命名为“传送文件“便于普通用户理解。
实现方式
1. 在密区(研发区)和非密区(办公区)各部署一套巴别鸟,在两套巴别鸟之间传送文件:
· 需要安装巴别鸟数据摆渡模块
· 两套服务器间需要配置传输端口
· 传输使用SSL加密
· 支持多套巴别鸟之间互传文件
· 超级管理员可设定特定的文件接收者及审核人
· 可设定从非密区向密区传送文件无需审批
· 所有的传输都有记录及日志
2. 多套巴别鸟在多个网络进行文件传送:
3. 单套巴别鸟简化的文件传送方式*:
有些客户的核心需求是非密区往密区便捷快速传输文件,仅想在密区部署一套巴别鸟,并没有在非密区使用网盘的需求,这时候就可以使用简化的数据摆渡方式。
· 出于安全考虑,该方式仅支持非密区向密区传送文件,并不支持密区向非密区传送文件。
· 除了在密区部署完整的巴别鸟系统,也需要在非密区部署一个文件传输服务。
· 非密区向密区传输文件无需审批。
使用步骤
部署完成数据摆渡模块的巴别鸟会在企业控制台增加一个“传送文件配置”模块,如果在企业控制台能看到该模块入口,说明已部署成功数据摆渡模块。
1. 在企业控制台“传送文件配置”中新建接受端口和发送端口。已确定数据摆渡的接受端和发送端。
· 如果其中一套巴别鸟只配置了接口端口没有配置发送端口,那么就只能接收文件但不能发送文件。如:密区只能接收文件但不能发送文件。
· 新建了接收端会自动生成一个token,发送端要填入该token以实现加密传输。
· 一个巴别鸟可以建立多个接收端,每个接收端可以选择不同的成员。如:研发部和技术部的接收端分开。
· 通过审核后,接收人员能在自己的巴别鸟账号“传送文件”栏目找到摆渡过来的文件。
2. 使用者在巴别鸟企业网盘中直接右键“传送文件”选择传送的接收端进行文件传送(发件)。并在“传送文件”栏目下查看发送过来并通过审核的文件。
· 为保证安全,传送文件以文件为单位(在多层文件夹中夹带重要文件,骗过审核),并不支持选择文件夹传送,但支持多选文件进行传送。
3. 具有审批权限的管理员或部门经理可以在“传送文件”栏目下对接收和发送的文件进行审核,审核通过后文件才能传输。