多栋校园网络设计需要指导

Question

当所有数据都必须经过一条电缆时，我们如何才能在多个建筑物之间创建一个安全的、分段的网络？

背景:我在一个非营利性组织工作，在一个校园里有5座大楼.我们没有IT部门。由于我从目前的安排中所看到的各种安全问题，我正在设法设计一种方法，使网络更有效率和更安全。我是一个软件工程师，不是网络工程师或网络安全专家。

当前参数：

1. 所有的东西都有一个连接到互联网。
2. 局域网没有分割。
3. 所有设备都有相同的访问权限，每个设备都可以看到所有其他设备。
4. 每个房间都有一个或多个电缆网络端口。
5. 存在多个无线路由器/接入点。
6. 其中一栋建筑包含了地下电缆的主要服务入口。其他建筑物通过光纤与之相连(每栋楼一根电缆)
7. 两栋大楼中各有一台PC处理信用卡交易，因此属于PCI遵从性要求的范围。
8. 一个Windows服务器为大多数用户处理DHCP和文件存储。

我的理解是，信用卡个人电脑需要与网络的其他部分隔离，以避免所有办公室PC机被归类为PCs下的“连接设备”。

至少，我希望看到网络为受PCI影响的设备提供一个安全的部分，为内部敏感数据(如会计和人事)提供子网，并限制访问者只访问internet。

Answer 1

答案的第一个(容易)部分是VLAN和ACL。给你，这是你的一般指导。

其馀部分取决于您所处的PCI需求。您可能需要实现IDS/IPS --您可能不需要。您可能需要实现类似Tripwire之类的东西--您可能不需要。

因此，您应该将合同外包给一个合格的IT服务机构，并具有PCI方面的经验。对于这类审计，您需要知道该做什么，并解释为什么这样做符合审核标准。

/Edit --用读卡器代替处理信用卡交易的PCI可能比尝试将您的局域网引入PCI规范的成本更低。当然，在规范中有很多东西是很好的实践。所以，是的-雇一个能为你的“我要”和“我想要”的清单提供建议和实施的人。