網絡分段是一種網絡安全工具，它可以將網絡劃分為不同的網段，每個網段是自成一體的網絡。網絡分段讓一家公司的專家可以根據公司的策略來控製網段之間的數據流。

企業經常使用分段來改善網絡安全、改進監控、提升網絡性能並發現漏洞。

網絡分段簡介

網絡分段是一種組織手段，將公司的網絡劃分為多個網段或子網。每個網段和子網是自成一體的網絡。這可以幫助網絡管理員根據公司的需要來跟踪不同網段之間的數據流。

網絡分段是一種工具，有助於改善監控、提升性能，並改善企業的網絡安全需求。網絡分段可以防止未經授權的用戶，只允許公司訪問有價值的客戶信息。

為網絡分段的七個步驟

1. 確定最有價值的資產和數據

數據和公司資產在推動業務的價值和發展。

公司應該分析其網絡，看看哪些數據和資產需要最有力的保護。有價值的資產可能包括客戶數據庫或員工信息。要確定如何對數據進行估值，有三個因素：

增長：長期觀察數據增長情況有助於發現當前數據和未來數據當中的模式。

回報：如果資產與客戶數據有關，信任和錢財是需要考慮的重要部分。

風險：丟失數據的風險需要考慮，這有助於找到劃分有價值的數據的正確方法。

2. 用標籤對資產進行分類

按高、中、低不等的重要性來標記資產有助於公司確定並優先考慮應該將網絡安全工作重心放在哪裡。為了確定價值，公司必須考慮機密性：

雖然不是所有的數據和資產都具有這樣的機密性，但這是開始標記的有用方法。這些標籤將定義網絡中的信任和保護。

3.檢測網絡和數據流，並繪製成圖

為了檢測網絡和數據流並繪製成圖，公司應該使用標籤核查部門網絡的每一步，以確定基本的數據和網絡流。

在為數據和網絡繪圖時，專家應該注意數據如何流動、數據如何傳輸以及公司使用的方法。

業內專家建議核查所有數據流，以便了解：

北向流量，指離開公司網絡的數據流。

東西向流量，指網絡邊界中的系統之間傳輸的數據流。

南向流量，指進入公司網段的數據流。

網絡分段將網絡劃分為不同的網段，從而提高網絡安全性。

4. 確定公司想要如何為網絡分段

一旦收集了網絡和數據流，公司必須確定如何為網絡分段。雖然防火牆通常是公司的選擇，但它們並不是網絡分段的唯一形式：

交換機是為網絡分段的第二常用方法。公司常常在內部使用交換機，同時在劃分網絡區域時使用防火牆。

氣隙幫助分段實現通過兩家互聯網提供商分佈的兩個網絡連接。

模擬電話線是一種為網絡分段的離線方式。部署和配置模擬電話線後，沒有網絡入侵風險。

虚拟局域网（VLAN）是一种广播域，可以在网络内部提供分区和隔离，并在部署时实现网络设计。

点对点加密是为网络分段的另一种方法，但它也可以杜绝对分段的任何需要。

5. 部署网络流量分段网关

网段边界必须快速完成，以便对每个网段内的访问进行控制。所有网段都需要访问控制。为了拥有网段边界，所有进出网段的网络流量都必须经过网关传输。

美国国家安全局表示：“如果部署得当，网段边界和访问控制都提供了一种灵活的方式来执行网络分段，并且在跨越网段传输时，数据流可以被动态引导到可以感知应用的防火墙。”

6. 制定全公司的访问控制策略

全公司的访问控制策略至关重要，因为网络犯罪分子或胡作非为的员工可能拥有不受限制的访问权限。

美国国家标准与技术研究所（NIST）声称：“访问控制策略是一种高级别的需求，规定了如何管理访问以及谁可以在什么情况下访问信息。”

应该基于最低特权原则来决定全公司的访问控制策略，使用员工可能拥有的完成工作所需的任何应用程序或设备。

7. 执行审计和审核，并实现网络自动化

在部署分段网关并创建公司访问控制策略之后，可以构建分段网关。定义网络分段策略确实需要随着公司网络的变化而变化。

由于经常出现变更，公司需要执行审计和审核，并监控网络，但这也将帮助公司了解是否出现了任何风险或错误。

网络分段测试可以是网络安全审计、渗透测试、漏洞扫描和风险评估。

用网络分段保护贵公司

能够分隔网段有助于防止大大小小的数据泄露事件。随着一家公司壮大或变化，公司网络必须处理庞大流量。

网络分段提供了可访问性、更好的性能，并有助于保护整个公司。