如何实现企业网络安全隔离与主动防御

1. APT攻击危害

随着信息技术的发展，对于关键数据的窃取，大多都是APT攻击，比如这次西北工大网络被入侵攻击，其实质也是APT攻击。

APT（Advanced Persistent Threat）即高级可持续威胁攻击，APT是一种高级的可持续威胁攻击，APT的核心是恶意攻击者通过细致的观察分析主动防御技术，精心布局，使用各种各样的手段，悄然入侵，长期潜伏，搜索寻获机密数据、高价值数据，偷走数据而不触发任何警戒。因此，如何抵御APT攻击，对于企业网络安全防护来讲，是非常重要的问题。

西北工大网络被入侵攻击的事件可以看到，当入侵开始，传统的基于规则、基于某些策略的防火墙、入侵检测和预防系统等这类被动式防御的逻辑隔离手段很难被触发，根本无法及时有效地发现APT的入侵威胁。

2. 网络防御的核心

在我国，对于存放有高密级数据的网络，一般都会采用物理隔离的方式来实现网络安全防护。但物理隔离的方式会给互联互通的应用场景带来很多不便，使得工作效率大大降低，所以，采用逻辑隔离的方式会更加有意义。但在互联网技术发达的当代，基于条件、规则的方式并不能改善被入侵的风险。

网络的核心是数据交互，而数据交互的产生依靠的是发送端和接收端，大量的发送端和接收端之间进行数据交互就形成了现代的网络。那么，如果可以确认通信双方的身份（即数据发送端和接收端）的有效可靠，那就可以保证数据发出源头的真实非假冒；如果能确认数据被中途不被修改，那就可以保证传输数据的完整未篡改；如果能够保证通信双方可以在加密通信链路上进行通讯，那就可以保证数据传输的机密性；而实现了这些，网络的安全将会实现大大改善，网络的防御也将从被动变为主动。

3.密码隔离

密码隔离是基于密码科学，通过密钥确认发送端和接收端的唯一身份，并实现传输数据机密性和完整性的新型网络隔离技术。

采用密码隔离技术实现企业网络隔离可实现如下目标：

(1)为企业网络设备建立身份信任体系，确保网络设备身份的真实性和可鉴别性，使得设备间互联能够始终建立在可信基础之上，防止任意病毒横向渗透拓展。

(2)实现网络内设备之间的端对端身份鉴别认证，以及各网域之间的常态隔离和有条件安全通信，大大降低传统防火墙安全规则缺乏强身份认证的弱点、以及证书认证方式带来的潜在安全风险。基于密码隔离技术实现基于密钥的域间隔离和安全互联，有效降低传统防火墙安全规则缺乏强身份认证的弱点带来的潜在安全风险。

(3)建立基于密码的隔离技术和手段，实施主动防御，保证即使攻击者得手，也无法将获得的重要信息由秘密通道转移出去，同时，主动防御攻击者以内网某台终端为跳板逐层侦探网内或域外的应用系统，进而提取最高权限得到关键数据，更好地应对APT威胁。

密码隔离实现中，要通过密钥来确认网络中不同设备的唯一身份，那么密钥本身的安全性就变得非常重要。传统的密钥管理方式中，密钥都是由中心产生并管理的，这种密钥管理的方式虽然有其方便性，但实际上一旦被黑客入侵攻破或者认为泄露，安全就会彻底崩塌，整个网络隔离防御也就形同虚设了。

关注引石老王，为您解读安全与高科技，提高安全意识，保障个人信息安全。欢迎关注交流、留言探讨，期待与您的互动！

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!