隨着技術手段的不斷升級，企業數據防泄密的方法有很多，真的不勝枚舉，本文中，我們就重點聊一聊網絡隔離這個方法。

網絡隔離，很多企業並不陌生，尤其是研發型企業、金融行業、醫療行業等，大部分都是做了網絡隔離的，隔離的方式也有很多種，常見的比如網閘、防火牆、VLAN、虛擬化、劃分網段和安全域等等，如果對網絡隔離建設這塊還不是很瞭解的話，可以看看《企業網絡隔離建設指南》這個白皮書資料，裏面介紹的很詳盡。（PS：免費下載）

那麼，如何網絡隔離，這裏就不過多闡述了，我們就來聊聊如何通過網絡隔離防止代碼等核心數據的泄密。

隔離了就一定能防止代碼泄密嗎？

也不一定。

隔離可以實現網絡層面的控制，不同網絡之間是不能隨意互傳數據的，但是，還是得搭配一些終端安全的管控手段，比如DLP、禁用USB接口等，防止數據通過終端設備泄密。

所以，網絡隔離的方式這塊，比較推薦的是雲桌面虛擬化隔離的方式，這種方式可能在研發型企業裏比較普遍，用雲桌面的方式可以直接解決終端安全這塊問題，數據不落地，安全性較好，而且所有數據集中管理，相對來説成本也較低，然後再用虛擬化的方式做網絡隔離，就一舉兩得，既能防止終端的惡意拷貝，又能禁止不同網間的數據隨意交換。

網絡隔離後，代碼等核心數據如何交換？

做網絡隔離是為了更好的保護數據，將核心數據“困”在內網，但是，企業對文件管理的需求，已經不再侷限於存儲和授權了，而是更關心文件的流通和控制，想要數據發揮其最大的價值，數據就得流轉起來。

那麼，在網絡隔離環境下，如何才能讓數據安全可控的流轉呢？主要方式無外乎以下幾種：

1、人工。指派具有特殊權限的專人，以人工手動的方式在兩個網絡之間進行數據拷貝，比如U盤拷貝、光盤刻錄等。在這種情況下，企業不但浪費了人力，而且無法保證人工操作本身的正確性和安全性，並且業務需求往往無法得到及時響應。

2、開端口。比如用防火牆等軟隔離手段時，為了方便，常常採用為特定業務開通特例端口的方式，使其不受跨網隔離的限制。這種“開口子”的方式儘管一時方便，但是實際上違背了網絡隔離的初衷，降低了安全標準，最終口子開得越來越多，防火牆上百孔千瘡，網絡隔離形同虛設。

3、網閘。網閘一般自帶在兩個網絡間文件同步的功能，企業可能會利用這一功能完成跨網文件交換。然而網閘的文件同步功能，一般是從一個網絡的存儲位置到另一網絡的存儲位置，而企業的安全管理訴求遠不止於此。比如，哪些人可以將文件放到指定存儲位置，是否可以由管理人員審批，哪些人可以從存儲位置將文件取走，是否有通知，這些過程是否有記錄，是否可審計等等。

4、專業的跨網文件交換系統。需要符合等保以及行業規範的前提下，實現不同網間的文件安全可控的交換，比如要有審批、有審計，而且需要靈活的實現網間單雙向的一對一、一對多的數據交換，另外就是需要簡單易用，提高效率。

任何高端的技術防護手段都離不開“人”，世界頭號heike Kevin Mitnick曾説過一句話：“人是最薄弱的環節。你可能擁有最好的技術、防火牆、入侵檢測系統、生物鑑別設備，可只要有人給毫無戒心的員工打個電話……”。所以，首先需要對行為進行管控，審批後合規的文件才能發出，並且可以對所有的操作行為進行審計和追溯，清晰的掌握數據的流向，快速追溯數據泄露責任。

做網絡隔離是為了防止數據泄露，而在網絡隔離環境下，實現安全可控的文件交換，才是最終目標。關於網絡隔離建設以及文件交換這塊，還是推薦看看《企業網絡隔離建設指南》這個資料，分析的全面透徹，相信不會讓你失望的！