9 Kiểm soát truy cập
9.4.6 Tình trạng phân tách trong các mạng
Các mạng đang ngày càng mở rộng vượt qua biên giới tổ chức truyền thống, vì các mối quan hệ kinh doanh được hình thành địi hỏi sự kết nối lẫn nhau hoặc chia sẻ các phương tiện xử lý thơng tin và nối mạng. Việc mở rộng này có thể làm tăng rủi ro truy cập trái phép đối với các hệ thống thông tin đã và đang tồn tại sử dụng mạng, một số hệ thống yêu cầu bảo vệ khỏi người sử dụng mạng khác vì tính nhạy cảm hoặc tính phê bình của chúng. Trong các trường hợp này, việc hướng dẫn các kiểm soát trong mạng, để cách ly các nhóm dịch vụ thơng tin, nên xem xét người sử dụng và các hệ thống thông tin.
Một biện pháp kiểm sốt tính an tồn của các mạng lớn là chia chúng thành các miền mạng logic riêng biệt, ví dụ các miền mạng nội bộ và các miền mạng bên ngoài của một tổ chức, mỗi cái được bảo vệ bởi một vành đai an ninh xác định. Vành đai này có thể được thực hiện bằng việc lắp đặt một cổng ra vào an ninh giữa hai mạng này để được kết nối lẫn nhau để kiểm sốt truy cập và luồng thơng tin giữa 2 miền. Cổng này nên được định hình thành một bộ lọc giữa các miền này (xem 9.4.7 và 9.4.8) và để chặn truy cập trái phép liên quan đến chính sách kiểm sốt truy cập của tổ chức (xem 9.1). Ví dụ cho loại cổng này thường được nói đến như một bức tường lửa.
Tiêu chuẩn để chia tách các mạng thành các miền nên dựa trên chính sách kiểm sốt truy cập, các yêu cầu truy cập (xem 9.1) và cũng phải tính đến chi phí tương đối và ảnh hưởng biểu hiện của việc kết hợp công nghệ cổng ra vào và lộ trình mạng phù hợp (xem 9.4.7 và 9.4.8).