• 网络分片是安全漏洞扫描的一个真实痛点。我们需要通过访问控制列表/防火墙规则在物理或逻辑上将扫描程序从一个分片移到另一个分片。此外，我们可能还需要同时部署远程扫描传感器。

• 如果企业不使用终端安全控制程序(如反病毒软件、入侵防御和防止数据丢失)来处理每一个网络分片中的恶意行为(如病毒感染或内部威胁)，那么他们仍然会面临巨大的风险。

• 现代企业所使用的无数面对互联网的网络基础架构设备、服务器、Web应用程序和云服务必须面向公众开放——组织可以尝试隔离恶意流量，但是这是很难实现的。

• 执行主管不希望自己的计算体验受到周期性影响。

然而，网络分片可能并不总是最佳解决方法。特定的业务流程、合作伙伴网络连接或缺少网络管理资源(例如，资金或技术)等都可能造成更严重的问题。甚至，在追求安全性与方便性的平衡过程中，后者往往占据优先地位。但是，这些都不意味着我们应该放弃给网络划分正确的分片。

让我感兴趣的是许多组织(包括一些大型企业)在还没有完全理解网络分片的真实风险之前，就已经实现了各种级别的网络分片。如果不懂一项技术，那么我们就不可能保证它的安全性。如果还没有清晰理解它所处的状态及其风险，那么从长远角度看，我们是不可能实现一种一直保持有效的网络分片。

毫无疑问，现代的“全面互联”网络肯定会加剧安全漏洞的暴露，但是它们可以通过一些行之有效的安全原则来避免。虽然所有方面都要考虑安全性，但是并没有一种方法能够解决所有问题;每一个网络都存在差异，每一个业务都有其特殊需求，而且每一个业务执行团队的信息风险容忍力也各不相同。

那么，什么才是最适合自身企业的?答案只有我们自己知道。混合使用防火墙规则、ACL和VLAN技术，才能规定什么人和系统需要访问特定区域的网络。此外， 执行一个强有力的渗透测试并持续评估安全性，将帮助组织发现所需要的额外措施。我们很可能最终会发现需要额外的IPS传感器、更严格的文件访问控制或者必须重要关注于DLP控制。

当组织混合使用这些工具和技术之后，马上会遇到一个更困难的工作：真正去实现“理想的”网络分片。当然，决定是否应用网络分片的业务动因也会开始起作用。这可能包括一些已知风险、合规性(例如：PCI DSS)或合同需求及需要这个功能的特定业务流程。虽然一些公司可能从未达到他们的“理想状态”，但是最重要的是我们必须尽可能地减少任意用户能接触到的网络攻击区域。

由于现代企业网络非常复杂，减少网络漏洞影响重要性及合理性丝毫不亚于在第一线防止漏洞出现。最后，政治与文化也决定了应该部署何种网络分片技术，企业必须能够适应这个问题。

(责任编辑：)