如何简化跨网络安全域的文件发送流程，大幅降低IT人员工作量？

为什么要做安全域的隔离？

随着企业数字化转型的逐步深入，企业投入了大量资源进行信息系统建设，信息化程度日益提升。在这一过程中，企业也越来越重视核心数据资产的保护，数据资产的安全防护成为企业面临的重大挑战。

绝大多数企业为了防止内部核心数据泄露，都会选择隔离网络安全域的方式。

被动隔离 - 合规性要求：各个行业的监管部门，比如政府部门、金融行业等，可能会推行统一的信息安全保护标准及规范，企业出于合规性的诉求，需要按照法律法规的要求进行网络隔离。

主动隔离 - 保护核心资产：近年来全球网络安全威胁态势的加速严峻，使得企业对于网络安全有了前所未有的关注高度。企业的网络安全体系建设正从“以合规为导向”转变到“以风险为导向”，从原来的“保护安全边界”转换到“保护核心数据资产”的思路上来。所以，很多企业为了防止知识产权、商业机密数据泄露，也主动地将自身网络进行安全性隔离。绝大多数企业都在内部实施了内外网分离，互联网与内网隔离，生产网与办公网隔离，办公网与研发网隔离，以确保企业信息安全。

不管是主动的还是被动的，该隔离的终究要隔离。

隔离后有哪些文件发送手段？

对网络进行隔离，大大提升了网络整体安全水平。然而隔离的网络，也阻断了某些需要进行跨网数据交换的特殊业务，使得跨网业务无法顺利开展。不管企业采用哪种网络隔离方式，在日后的经营管理中会发现，企业仍然有跨网络进行文件和数据传输的需求。如企业内部划分不同网络，生产网、办公网、研发网之间可能存在跨网络传输；而企业整体也可能存在内网和外网之间的文件交换，如企业和外部供应商、上下游之间的业务往来，也必须在网络隔离的情况下，有文件的流转。

如何在保证网络隔离安全的前提下，打通跨越网络的数据交换业务流程，是困扰众多企业的一大问题。针对跨网文件传输，企业也探索了不同的方式，目前来看，常用方式主要集中在以下几种：

1、使用U盘等移动介质拷贝

这是最易获取的传输方式，需要传输的文件从网络里拷贝出来后，复制到另一个网络中使用。这种操作方式最明显的优势就是操作简单，企业无需投入成本。

2、双网卡FTP/双FTP

有些企业可能设置双网卡主机，一台电脑两个网卡连接到两个不同的网络，或者会架设一个FTP服务器或网络共享，在网络设备中将其设置为例外，以此实现文件交换。FTP是一种标准的网络协议，可以用于在互联网上传递文件。这些方法是可以解决不同安全域之间数据交换的部分问题的。

3、网闸自带文件摆渡

通过网闸隔离符合物理隔离的信息安全要求，安全性较高。网闸自带文件摆渡在网络隔离上是安全的，但它采用文件同步机制，需要建立同步规则。

IT人员需要做什么？

U盘拷贝

拷贝方式会指派具有特殊权限的专人来进行操作，一般都是IT人员，以人工手动的方式在两个网络之间进行数据拷贝。如果拷贝的文件较大，需要耗费较长时间，万一出现文件损坏或者中毒的情况，需要重新进行拷贝。如果文件交换比较频繁的话，IT人员会长时间处于复制、拷贝的工作状态中，不仅会导致文件交换效率低下，而且会影响IT人员其他的工作事项进度。

在这种情况下，企业不但浪费了人力，而且无法保证人工操作本身的正确性和安全性，并且业务需求往往无法得到及时响应。

FTP

需要在两网中各搭建一套FTP服务器，由IT人员进行账号的开通管理以及服务器管理。日常最大的工作量就是账号的开通和管理。经常会临时的需要开通一些账号，有时也需要为外部客户和伙伴开通账号，由于没有权限管控功能，所以一般传完后，会再手动的关闭账号，需要传输时再重新开通，反反复复，循环无端！

由于FTP没有日志记录功能，所有操作行为没有留痕，所以一旦出现文件传输错误、丢失等情况，都需要IT人员进行人工排查。比如花了几个小时传了几千个文件到总部，传完后总部说数量不对，少了几个，IT人员又要花几个小时去进行排查，才能把丢失的文件排查出来，再重新传一遍。

另外FTP不支持设置文件有效期或发件人手动删除文件，文件都位于FTP服务器上，只能IT人员手动删除。

所以，不管是安装部署、管理维护，还是账号分配、权限管控，都极其复杂繁琐，不仅加剧IT人员的工作量，终端用户的传输业务也会受到极大影响。

网闸

网闸是利用协议转换的方法，在两个不同的安全域中以信息摆渡的方式进行数据的交换，能通过的信息必须是系统明确要求的。大致意思就是从一个网络的指定位置，摆渡到另一个网络的指定位置里，类似于同步功能。一旦任意一边的文件位置改变了，IT人员就需要进行很复杂的后台配置，如果业务较多，传输需求多样，那么IT人员将会一直处于后台配置中。

另外还有一点要注意的是，网闸设置加长口令，IT管理员调离或退出本岗位时口令应立即更换。

这种方式虽然相对来说安全性较高，但是传输机制不够灵活，只要有一点变化，就会占用IT人员的大量时间。