信息化觀察網(wǎng)

數(shù)據(jù)中心安全域的設(shè)計(jì)和劃分

安全區(qū)域(以下簡稱為安全域)是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)。安全域劃分是保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)施穩(wěn)定正常的基礎(chǔ)，也是保障業(yè)務(wù)信息安全的基礎(chǔ)。

一、安全域設(shè)計(jì)方法

安全域模型設(shè)計(jì)采用"同構(gòu)性簡化"方法，基本思路是認(rèn)為一個復(fù)雜的網(wǎng)絡(luò)應(yīng)當(dāng)是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些網(wǎng)絡(luò)結(jié)構(gòu)元以拼接、遞歸等方式構(gòu)造出一個大的網(wǎng)絡(luò)。

一般來講，對信息系統(tǒng)安全域(保護(hù)對象)的設(shè)計(jì)應(yīng)主要考慮如下方面因素：

1.業(yè)務(wù)和功能特性

1)業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性。

2)業(yè)務(wù)系統(tǒng)對外連接。對外業(yè)務(wù)、支撐、內(nèi)部管理。

2.安全特性的要求

1)安全要求相似性?？捎眯?、保密性和完整性的要求。

2)威脅相似性。威脅來源、威脅方式和強(qiáng)度。

3)資產(chǎn)價(jià)值相近性。重要與非重要資產(chǎn)分離。

3.參照現(xiàn)有狀況

1)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況。現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、地域和機(jī)房等。

2)參照現(xiàn)有的管理部門職權(quán)劃分。

二、安全域設(shè)計(jì)步驟

一個數(shù)據(jù)中心內(nèi)部安全域的劃分主要有如下步驟：

1.查看業(yè)務(wù)系統(tǒng)訪問關(guān)系

查看網(wǎng)絡(luò)上承載的業(yè)務(wù)系統(tǒng)的訪問終端與業(yè)務(wù)主機(jī)的訪問關(guān)系及業(yè)務(wù)主機(jī)之間的訪問關(guān)系，若業(yè)務(wù)主機(jī)之間沒有任何訪問關(guān)系，則單獨(dú)考慮各業(yè)務(wù)系統(tǒng)安全域的劃分，若業(yè)務(wù)主機(jī)之間有訪問關(guān)系，則幾個業(yè)務(wù)系統(tǒng)一起考慮安全域的劃分。

2.劃分安全計(jì)算域

根據(jù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)功能實(shí)現(xiàn)機(jī)制、保護(hù)等級程度進(jìn)行安全計(jì)算域的劃分，一般分為核心處理域和訪問域，其中數(shù)據(jù)庫服務(wù)器等后臺處理設(shè)備歸人核心處理域，前臺直接面對用戶的應(yīng)用服務(wù)器歸人訪問域；局域網(wǎng)訪問域可以有多種類型，包括開發(fā)區(qū)、測試區(qū)、數(shù)據(jù)共享區(qū)、數(shù)據(jù)交換區(qū)、第三方維護(hù)管理區(qū)、VPN接人區(qū)等；局域網(wǎng)的內(nèi)部核心處理域包括數(shù)據(jù)庫、安全控制管理、后臺維護(hù)區(qū)(網(wǎng)管工作)等，核心處理域應(yīng)具有隔離設(shè)備對該區(qū)域進(jìn)行安全隔離，如防火墻、路由器(使用ACL)、交換機(jī)(使用VLAN)等。

3.劃分安全用戶域

根據(jù)業(yè)務(wù)系統(tǒng)的訪問用戶分類進(jìn)行安全用戶域的劃分，訪問同類數(shù)據(jù)的用戶終端、需要進(jìn)行相同級別保護(hù)劃為一類安全用戶域，一般分為管理用戶域、內(nèi)部用戶域、外部用戶域。

4.劃分安全網(wǎng)絡(luò)域

安全網(wǎng)絡(luò)域是由連接具有相同安全等級的計(jì)算域和(或)用戶域組成的網(wǎng)絡(luò)域。網(wǎng)絡(luò)域的安全等級的確定與網(wǎng)絡(luò)所連接的安全用戶域和(或)安全計(jì)算域的安全等級有關(guān)。一般同一網(wǎng)絡(luò)內(nèi)分為三種安全域：外部域、接入域、內(nèi)部域。

三、安全域模型

該模型包含安全服務(wù)域、有線接人域、無線接入域、安全支撐域和安全互聯(lián)域等五個安全區(qū)域。同一安全區(qū)域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)，如進(jìn)出信息保護(hù)機(jī)制、訪問控制、物理安全特性等。

1.安全服務(wù)域

安全服務(wù)域是指由各信息系統(tǒng)的主機(jī)/服務(wù)器經(jīng)局域網(wǎng)連接組成的存儲和處理數(shù)據(jù)信息的區(qū)域。安全服務(wù)域細(xì)分為關(guān)鍵業(yè)務(wù)、綜合業(yè)務(wù)、公共服務(wù)和開發(fā)測試等4個子域。

劃分規(guī)則

1)等保三級的業(yè)務(wù)系統(tǒng)服務(wù)器劃入關(guān)鍵業(yè)務(wù)子域，例如，財(cái)務(wù)管理系統(tǒng)。

2)SAN集中存儲系統(tǒng)劃入關(guān)鍵業(yè)務(wù)子域，并在SAN存儲設(shè)備上單獨(dú)劃分出物理/邏輯存儲區(qū)域，分別對應(yīng)關(guān)鍵業(yè)務(wù)子域、綜合業(yè)務(wù)子域、公共服務(wù)子域、開發(fā)測試子域中的存儲的空間。

3)等保末達(dá)到三級的業(yè)務(wù)系統(tǒng)服務(wù)器劃入綜合業(yè)務(wù)子域，例如，人力資源、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等業(yè)務(wù)系統(tǒng)服務(wù)器。

4)提供網(wǎng)絡(luò)基礎(chǔ)服務(wù)的非業(yè)務(wù)系統(tǒng)服務(wù)器劃入公共服務(wù)子域，例如，DNS服務(wù)器、Windows域服務(wù)器等。

5)用于開發(fā)和測試的服務(wù)器劃分入開發(fā)測試子域。

2.有線接人域

有線接人域是指由有線用戶終端及有線網(wǎng)絡(luò)接人基礎(chǔ)設(shè)施組成的區(qū)域。終端安全是信息安全防護(hù)的瓶頸和重點(diǎn)。

劃分規(guī)則

所有有線用戶終端及有線網(wǎng)絡(luò)接入基礎(chǔ)設(shè)施劃入有線接入域。

3.無線接人域

無線接人域是指由無線用戶終端、無線集線器、無線訪問節(jié)點(diǎn)、無線網(wǎng)橋和無線網(wǎng)卡等無線接人基礎(chǔ)設(shè)施組成的區(qū)域。

劃分規(guī)則

所有無線用戶終端和無線集線器、無線訪問節(jié)點(diǎn)、無線網(wǎng)橋、無線網(wǎng)卡等無線接入基礎(chǔ)設(shè)施劃入無線接入域。

4.安全支撐域

安全支撐域是指由各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護(hù)終端和服務(wù)器等組成的區(qū)域，實(shí)現(xiàn)的功能包括安全域內(nèi)的身份認(rèn)證、權(quán)限控制、病毒防護(hù)、補(bǔ)丁升級，各類安全事件的收集、整理、關(guān)聯(lián)分析，安全審計(jì)，人侵檢測，漏洞掃描等。

劃分規(guī)則

各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護(hù)終端和服務(wù)器劃入安全支撐域。

5.安全互聯(lián)域

安全互聯(lián)域是指由連接安全服務(wù)域、有線接人域、無線接入域、安全支撐域和外聯(lián)網(wǎng)(Extranet)的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成的區(qū)域。安全互聯(lián)域細(xì)分為局域網(wǎng)互聯(lián)、廣域網(wǎng)互聯(lián)、外部網(wǎng)互聯(lián)、因特網(wǎng)互聯(lián)4個子域。

劃分規(guī)則

1)局域網(wǎng)核心層、匯聚層互聯(lián)設(shè)備和鏈路劃入局域網(wǎng)互聯(lián)子域。

2)自主管理的綜合數(shù)字網(wǎng)接入鏈路和接入設(shè)備，包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備和前端服務(wù)器劃入廣域網(wǎng)互聯(lián)子域。

3)自主管理的第三方合作伙伴網(wǎng)絡(luò)接入鏈路和接入設(shè)備，包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備和前端服務(wù)器劃入外部網(wǎng)互聯(lián)子域。

4)自主管理的因特網(wǎng)接入鏈路和接人設(shè)備，包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備和前端服務(wù)器劃入因特網(wǎng)互聯(lián)子域。

四、安全域互訪原則

1.安全服務(wù)域、安全支撐域、有線接入域、無線接入域之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許直接連接。

2.關(guān)鍵業(yè)務(wù)子域、綜合業(yè)務(wù)子域、公共服務(wù)子域、開發(fā)測試子域之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許百接連接。

3.廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他安全域或子域之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許直接連接。

4.廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許直接連接。

5.同一安全子域之間的互訪

如關(guān)鍵業(yè)務(wù)子域、綜合業(yè)務(wù)子域、基礎(chǔ)業(yè)務(wù)子域、公共服務(wù)子域、開發(fā)測試子域內(nèi)部的不同系統(tǒng)之間應(yīng)采用VLAN進(jìn)行隔離，VLAN間的路由應(yīng)設(shè)置在核心或匯聚層設(shè)備上，不允許通過接人層交換機(jī)進(jìn)行路由。

五、安全域邊界整合及整合原則

安全域之間互聯(lián)接口數(shù)量越多，安全性越難以控制，因此，必須在保證各種互聯(lián)需求的前提下對安全域邊界進(jìn)行合理整合，通過對系統(tǒng)接口的有效整理和歸并，減少接口數(shù)量，提高接口規(guī)范性。邊界整合最終要實(shí)現(xiàn)不同類別邊界鏈路層物理隔離，邊界設(shè)備(如交換機(jī)、路由器或防火墻等)實(shí)現(xiàn)硬件獨(dú)立，杜絕混用現(xiàn)象。同時邊界設(shè)備要滿足冗余要求。

安全域邊界整合的原則

1.安全支撐域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界

2.有線接入域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界

3.安全互聯(lián)域與外部網(wǎng)絡(luò)之間所有的互訪接口整合為三個邊界

1)廣域網(wǎng)互連子域與廣域網(wǎng)之間所有的互訪接口整合為一個邊界。

2)因特網(wǎng)互聯(lián)子域與因特網(wǎng)之間所有的互訪接口整合為一個邊界。

3)外部網(wǎng)互聯(lián)子域與第三方網(wǎng)絡(luò)之間所有的互訪接口整合為一個邊界。

4.安全服務(wù)域與安全互聯(lián)域之間所有的互訪接口整合為四個邊界

關(guān)鍵業(yè)務(wù)子域邊界、綜合業(yè)務(wù)子域邊界、公共服務(wù)子域邊界、開發(fā)測試子域邊界。

1)關(guān)鍵業(yè)務(wù)子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

2)綜合業(yè)務(wù)子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

3)公共服務(wù)子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

4)開發(fā)測試子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

六、邊界防護(hù)技術(shù)

目前常用的邊界保護(hù)技術(shù)主要包括防火墻、接口服務(wù)器、病毒過濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)等。

1.防火墻

防火墻可以根據(jù)互聯(lián)系統(tǒng)的安全策略對進(jìn)出網(wǎng)絡(luò)的信息流進(jìn)行控制(允許、拒絕、監(jiān)測)。防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間信息的出入口，能根據(jù)系統(tǒng)的安全策略控制出入網(wǎng)絡(luò)的信息流，且具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的活動，保證內(nèi)部網(wǎng)絡(luò)的安全。

通過防火墻可以防止非系統(tǒng)內(nèi)用戶的非法入侵、過濾不安全服務(wù)及規(guī)劃網(wǎng)絡(luò)信息的流向。防火墻的重要作用是網(wǎng)絡(luò)隔離和對用戶進(jìn)行訪問控制，目的是防止對網(wǎng)絡(luò)信息資源的非授權(quán)訪問和操作，包括各個子網(wǎng)對上級網(wǎng)絡(luò)，各個同級子網(wǎng)之間的非法訪問和操作。這些訪問控制，在物理鏈路一級的加密設(shè)備中很難實(shí)現(xiàn)，而防火墻則具有很強(qiáng)的安全網(wǎng)絡(luò)訪問控制能力，主要體現(xiàn)在它完善的訪問控制策略上。

2.接口服務(wù)器

接口服務(wù)器的目的在于實(shí)現(xiàn)威脅等級高的系統(tǒng)訪問威脅等級低的系統(tǒng)時，Server-Server間的通信。通過接口服務(wù)器，使防護(hù)等級高的系統(tǒng)中后臺的核心服務(wù)器對威脅等級高的系統(tǒng)屏蔽，在向威脅等級高的系統(tǒng)訪問時，看到的僅僅是應(yīng)用接口服務(wù)器，這樣對系統(tǒng)的防護(hù)更加有效，而且也更容易實(shí)現(xiàn)二者之間的訪問控制，因此適用于威脅等級高的系統(tǒng)訪問防護(hù)等級高的系統(tǒng)。這種保護(hù)方式需要與單層或雙重異構(gòu)防火墻結(jié)合進(jìn)行部署。類似設(shè)備，如堡壘主機(jī)、數(shù)據(jù)交換服務(wù)器等。

3.病毒過濾

病毒過濾一般采用全面的協(xié)議保護(hù)和內(nèi)嵌的內(nèi)容過濾功能，能夠?qū)MTP、PUP3、IMAP、HTTP、FTP等應(yīng)用協(xié)議進(jìn)行病毒過濾以及采用關(guān)鍵字、URL過濾等方式來阻止非法數(shù)據(jù)的進(jìn)入。由于數(shù)據(jù)流經(jīng)歷了完全的過濾檢查，必然會使得其效率有所降低。

4.入侵防護(hù)

入侵防護(hù)是一種主動式的安全防御技術(shù)，它不僅能實(shí)時監(jiān)控到各種惡意與非法的網(wǎng)絡(luò)流量，同時還可以直接將有害的流量阻擋于所保護(hù)的網(wǎng)絡(luò)之外，從而對其網(wǎng)絡(luò)性能進(jìn)行最佳的優(yōu)化。入侵防護(hù)主要用來防護(hù)三種類型的攻擊：異常流量類防護(hù)、攻擊特征類防護(hù)、漏洞攻擊類防護(hù)。

5.單向物理隔離

物理隔離技術(shù)通常采用高速電子開關(guān)隔離硬件和專有協(xié)議，確保網(wǎng)絡(luò)間在任意時刻物理鏈路完全斷開。同時可以在兩個相互物理隔離的網(wǎng)絡(luò)間安全、高速、可靠地進(jìn)行數(shù)據(jù)交換。

6.拒絕服務(wù)防護(hù)

拒絕服務(wù)防護(hù)一般包含兩個方面：一是針對不斷發(fā)展的攻擊形式，能夠有效地進(jìn)行檢測；二是降低對業(yè)務(wù)系統(tǒng)或者是網(wǎng)絡(luò)的影響，保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。通常拒絕服務(wù)防護(hù)應(yīng)能夠從背景流量申精確的區(qū)分攻擊流量、降低攻擊對服務(wù)的影響、具備很強(qiáng)的擴(kuò)展性和良好的可靠性。

7.認(rèn)證和授權(quán)

基于數(shù)字證書，實(shí)現(xiàn)網(wǎng)絡(luò)訪問身份的高強(qiáng)度認(rèn)證，保障網(wǎng)絡(luò)邊界的安全；只有通過數(shù)字證書校驗(yàn)的合法的、被授權(quán)的用戶才可以接入網(wǎng)絡(luò)，才可以訪問后臺的業(yè)務(wù)系統(tǒng)。

企業(yè)網(wǎng)絡(luò)安全區(qū)域劃分的原則和方法

網(wǎng)絡(luò)逐漸成為企業(yè)運(yùn)營不可或缺的一部分，基于互聯(lián)網(wǎng)的應(yīng)用、遠(yuǎn)程培訓(xùn)、在線訂購以及財(cái)務(wù)交易等，極大地提高企業(yè)的生產(chǎn)力和盈利能力，帶來很多的便利。

但在享受便利的同時，網(wǎng)絡(luò)系統(tǒng)同樣也成為安全威脅的首要目標(biāo)，網(wǎng)絡(luò)安全面臨著前所未有的威脅。威脅不僅來自人為的破壞，也來自自然環(huán)境。各種人員、機(jī)構(gòu)出于各種目的攻擊行為，系統(tǒng)自身的安全缺陷（脆弱性），以及自然災(zāi)難，都可能構(gòu)成對企業(yè)網(wǎng)絡(luò)系統(tǒng)的威脅。

威脅的發(fā)起因素是威脅的主體，按威脅主體的性質(zhì)分類，安全威脅可以分為人為的安全威脅和非人為的安全威脅。按人為攻擊的方式分類，可以分為被動攻擊、主動攻擊、鄰近攻擊和分發(fā)攻擊等。

1、安全威脅

非人為的安全威脅

非人為的安全威脅主要分為兩類，一類是自然災(zāi)難，另一類是技術(shù)局限性。信息系統(tǒng)都是在一定的物理環(huán)境下運(yùn)行，自然災(zāi)難對信息系統(tǒng)的威脅是非常嚴(yán)重的。典型的自然災(zāi)難包括：地震、水災(zāi)、火災(zāi)、風(fēng)災(zāi)等。自然災(zāi)難可能會對信息系統(tǒng)造成毀滅性的破壞。

同所有技術(shù)一樣，信息技術(shù)本身也存在局限性，有很多缺陷和漏洞。典型的缺陷包括：系統(tǒng)、硬件、軟件的設(shè)計(jì)缺陷、實(shí)現(xiàn)缺陷和配置缺陷。信息系統(tǒng)的高度復(fù)雜性以及信息技術(shù)的高速發(fā)展和變化，使得信息系統(tǒng)的技術(shù)局限性成為嚴(yán)重威脅信息系統(tǒng)安全的重大隱患。

人為安全威脅

網(wǎng)絡(luò)系統(tǒng)面臨的人為安全威脅可分為外部威脅和內(nèi)部威脅，人為安全威脅主要是人為攻擊，主要分為以下幾類：被動攻擊、主動攻擊、鄰近攻擊、分發(fā)攻擊。

被動攻擊

這類攻擊主要包括被動監(jiān)視通信信道上的信息傳送。被動攻擊主要是了解所傳送的信息，一般不易被發(fā)現(xiàn)。典型攻擊行為有：

a)監(jiān)聽通信數(shù)據(jù)；

b)解密加密不善的通信數(shù)據(jù)；

c)口令截獲；

d)通信流量分析。

主動攻擊

主動攻擊為攻擊者主動對信息系統(tǒng)實(shí)施攻擊，包括企圖避開安全保護(hù)，引入惡意代碼，以及破壞數(shù)據(jù)和系統(tǒng)的完整性。

a)修改數(shù)據(jù)；

b)重放所截獲的數(shù)據(jù)；

c)插入數(shù)據(jù)；

d)盜取合法建立的會話；

e)偽裝；

f)越權(quán)訪問；

g)利用緩沖區(qū)溢出（BOF）漏洞執(zhí)行代碼；

h)插入和利用惡意代碼（如：特洛依木馬、后門、病毒等）；

i)利用協(xié)議、軟件、系統(tǒng)故障和后門；

j)拒絕服務(wù)攻擊。

鄰近攻擊

此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網(wǎng)絡(luò)、系統(tǒng)和設(shè)備，目的是修改、收集信息，或者破壞系統(tǒng)。這種接近可以是公開的或秘密的，也可能是兩種都有，鄰近攻擊最容易發(fā)生在沒有良好保安措施的地方。典型的鄰近攻擊有：

a)偷取磁盤后又還回；

b)偷窺屏幕信息；

c)收集作廢的打印紙；

d)物理毀壞通信線路。

分發(fā)攻擊

分發(fā)攻擊是指在系統(tǒng)硬件和軟件的開發(fā)、生產(chǎn)、運(yùn)輸、安裝和維護(hù)階段，攻擊者惡意修改設(shè)計(jì)、配置等行為。典型的分發(fā)攻擊方式有：

a)利用制造商在設(shè)備上設(shè)置隱藏的攻擊途徑；

b)在產(chǎn)品分發(fā)、安裝時修改軟硬件配置，設(shè)置隱藏的攻擊途徑；

c)在設(shè)備和系統(tǒng)維護(hù)升級過程中修改軟硬件配置，設(shè)置隱藏的攻擊途徑。直接通過因特網(wǎng)進(jìn)行遠(yuǎn)程升級維護(hù)具有較大的安全風(fēng)險(xiǎn)。

內(nèi)部威脅

內(nèi)部威脅是由于內(nèi)部管理不善，由內(nèi)部合法人員造成，他們具有對系統(tǒng)的合法訪問權(quán)限。內(nèi)部合法人員對系統(tǒng)的威脅，除了具有上述人為安全威脅的攻擊方式，還具有其特有的攻擊手段。內(nèi)部威脅分為惡意和非惡意兩種，即惡意攻擊和非惡意威脅。惡意攻擊是指出于各種目的而對所使用的信息系統(tǒng)實(shí)施的攻擊。非惡意威脅則是由于合法用戶的無意行為造成了對政務(wù)信息系統(tǒng)的攻擊，他們并非故意要破壞信息和系統(tǒng)，但由于誤操作、經(jīng)驗(yàn)不足、培訓(xùn)不足而導(dǎo)致一些特殊的行為，對系統(tǒng)造成了破壞。

典型的內(nèi)部威脅有：

a)惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)；

b)惡意建立未授權(quán)的網(wǎng)絡(luò)連接，如：撥號連接；

c)惡意的物理損壞和破壞；

d)無意的數(shù)據(jù)損壞和破壞，如：誤刪除。

2、傳統(tǒng)安全防范技術(shù)

面對如此眾多的威脅威脅，傳統(tǒng)安全防范技術(shù)強(qiáng)調(diào)單個安全產(chǎn)品的重要性，如防火墻的性能和功能，IDS入侵檢測系統(tǒng)的高效性等，而對全網(wǎng)的安全威脅沒有一個仔細(xì)的研究，對網(wǎng)絡(luò)安全的設(shè)計(jì)沒有明確的層次和區(qū)域，如下圖所示：

網(wǎng)絡(luò)中部署了相關(guān)的安全產(chǎn)品，防火墻，VPN，IDS，安全管理等，但由于組網(wǎng)方式很隨意，沒有統(tǒng)一規(guī)劃，不清楚網(wǎng)絡(luò)的威脅，層次，區(qū)域策略，安全防護(hù)手段部署原則不明確，當(dāng)網(wǎng)絡(luò)某一局部出現(xiàn)安全隱患被侵入后，由于網(wǎng)絡(luò)之間邊界不清楚，無清楚的邊界控制，攻擊很容易擴(kuò)散，從而局部侵入馬上成為全網(wǎng)侵入，造成對全網(wǎng)的威脅。當(dāng)局部的蠕蟲泛濫，造成全網(wǎng)的快速泛濫，企業(yè)用戶缺乏足夠的緩沖處理時間，可能很快造成全網(wǎng)癱瘓，而部署的安全設(shè)備也不能充分的發(fā)揮作用，成為資源的浪費(fèi)。

3、縱深防御和安全區(qū)域劃分

因此，在多種多樣的安全威脅前，企業(yè)需要建立縱深防御體系，防止因某個部分的侵入而導(dǎo)致整個系統(tǒng)的崩潰；基于網(wǎng)絡(luò)系統(tǒng)之間邏輯關(guān)聯(lián)性和物理位置，功能特性，劃分清楚的安全層次和安全區(qū)域，在部署安全產(chǎn)品和策略時，才可以定義清楚安全策略和部署模式。

特別是對復(fù)雜的大系統(tǒng)，安全保障包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、業(yè)務(wù)網(wǎng)，辦公網(wǎng)，本地交換網(wǎng)，電子商務(wù)網(wǎng)，信息安全基礎(chǔ)設(shè)施等多個保護(hù)區(qū)域。這些區(qū)域是一個緊密聯(lián)系的整體，相互間既有縱向的縱深關(guān)系,又有橫向的協(xié)作關(guān)系，每個范圍都有各自的安全目標(biāo)和安全保障職責(zé)。積極防御、綜合防范的方針為各個保護(hù)范圍提供安全保障，有效地協(xié)調(diào)縱向和橫向的關(guān)系，提高網(wǎng)絡(luò)整體防御能力。

安全區(qū)域劃分對企業(yè)網(wǎng)絡(luò)的建設(shè)有著以下重要意義：

縱深防御依賴于安全區(qū)域的清除定義

安全區(qū)域間邊界清晰，明確邊界安全策略

加強(qiáng)安全區(qū)域策略控制力，控制攻擊擴(kuò)散，增加應(yīng)對安全突發(fā)事件的緩沖處理時間

依據(jù)安全策略，可以明確需要部署的安全設(shè)備

使相應(yīng)的安全設(shè)備充分運(yùn)用，發(fā)揮應(yīng)有的作用

安全域隔離技術(shù)

安全域隔離技術(shù)主要分為物理隔離技術(shù)和邏輯隔離技術(shù)兩類

物理隔離

•物理級（電磁輻射）--屏蔽、干擾

•終端級（雙網(wǎng)機(jī)）--雙盤型、雙區(qū)型

•傳輸信道級--非加密信道、加密信道

•網(wǎng)絡(luò)級（網(wǎng)閘）

--信息交換型

--信息共享型

--系統(tǒng)互操作型

邏輯隔離

•防火墻控制

•VLAN虛擬網(wǎng)技術(shù)

•FR,ATM技術(shù)

•L2TP V3,ATOM

•IPsec VPN,MPLS VPN,SSL VPN,GRE技術(shù)

•病毒網(wǎng)關(guān)過濾技術(shù)

•應(yīng)用層安全控制技術(shù)

4、一般企業(yè)網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)模型

企業(yè)網(wǎng)絡(luò)情況和業(yè)務(wù)系統(tǒng)千差萬別，所以不同企業(yè)對安全區(qū)域的劃分，可以有完全不同的表述方法和模式。但一般而言，大多數(shù)企業(yè)均有相同的網(wǎng)絡(luò)部分和安全分區(qū)。

安全區(qū)域相關(guān)定義

在劃分安全區(qū)域時，需要明確幾個安全區(qū)域相關(guān)的定義，以免模糊他們之間的概念，造成區(qū)域劃分完之后，依然邏輯不清晰，安全策略無法明確，立體的縱深防御體系也無法建立。一般在安全區(qū)域劃分時，需要明確如下常用的定義：

•物理網(wǎng)絡(luò)區(qū)域

物理網(wǎng)絡(luò)區(qū)域是指數(shù)據(jù)網(wǎng)中，依照在相同的物理位置定義的網(wǎng)絡(luò)區(qū)域，通常如辦公區(qū)域，遠(yuǎn)程辦公室區(qū)域，樓層交換區(qū)域等

•網(wǎng)絡(luò)功能區(qū)域

功能區(qū)域是指以功能為標(biāo)準(zhǔn)，劃分的邏輯網(wǎng)絡(luò)功能區(qū)域，如互聯(lián)網(wǎng)區(qū)域，生產(chǎn)網(wǎng)區(qū)域，辦公網(wǎng)區(qū)域等

•網(wǎng)絡(luò)安全區(qū)域

網(wǎng)絡(luò)安全區(qū)域是指網(wǎng)絡(luò)系統(tǒng)內(nèi)具有相同安全要求、達(dá)到相同安全防護(hù)等級的區(qū)域。同一安全區(qū)域一般要求有統(tǒng)一的安全管理組織和安全防護(hù)體系及策略，不同的安全區(qū)域的互訪需要有相應(yīng)的邊界安全策略。

•網(wǎng)絡(luò)安全層次

根據(jù)層次分析方法，將網(wǎng)絡(luò)安全區(qū)域劃分成幾個不同安全等級的層次，同一層次包含若干個安全等級相同的區(qū)域，同層安全區(qū)域之間相互邏輯或物理隔離。

•物理網(wǎng)絡(luò)區(qū)域和安全區(qū)域的關(guān)系

一個物理網(wǎng)絡(luò)區(qū)域可以對應(yīng)多個安全區(qū)域，一個安全區(qū)域只能對應(yīng)一個物理網(wǎng)絡(luò)區(qū)域

•網(wǎng)絡(luò)功能區(qū)域和物理網(wǎng)絡(luò)區(qū)域的關(guān)系

一個網(wǎng)絡(luò)功能區(qū)域可以對應(yīng)多個物理網(wǎng)絡(luò)區(qū)域，一個物理網(wǎng)絡(luò)區(qū)域只能對應(yīng)一個網(wǎng)絡(luò)功能區(qū)域，如辦公網(wǎng)功能區(qū)域，可以包含總部辦公網(wǎng)物理區(qū)域，遠(yuǎn)程辦公室辦公網(wǎng)物理區(qū)域，移動辦公物理區(qū)域等。

•網(wǎng)絡(luò)功能區(qū)域和安全區(qū)域的關(guān)系

一個網(wǎng)絡(luò)功能區(qū)域可以對應(yīng)多個網(wǎng)絡(luò)安全區(qū)域，一個網(wǎng)絡(luò)安全區(qū)域只能對應(yīng)一個網(wǎng)絡(luò)功能區(qū)域。

安全區(qū)域設(shè)計(jì)一般原則

盡管不同企業(yè)對安全區(qū)域的設(shè)計(jì)可能理解不盡相同，但還是有一般的安全區(qū)域設(shè)計(jì)原則可供參考如下：

•一體化設(shè)計(jì)原則

綜合考慮整體網(wǎng)絡(luò)系統(tǒng)的需求，一個整體的網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)規(guī)范以規(guī)范我

•多重保護(hù)原則

不能把整個系統(tǒng)的安全寄托在單一的安全措施或安全產(chǎn)品上，要建立一套多重保護(hù)系統(tǒng)，各重保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層的保護(hù)仍可確保信息系統(tǒng)的安全

•定義清楚的安全區(qū)域邊界

設(shè)定清楚的安全區(qū)域邊界，可以明確安全區(qū)域策略，從而確定需要部署何種安全技術(shù)和設(shè)備

•在安全域之間執(zhí)行完整的策略

在安全域之間執(zhí)行完整的安全策略，幫助建立完整的縱深防御體系，方便安全技術(shù)實(shí)施部署

•通常安全域越多越好

•較多的安全區(qū)域劃分可以提供更精確的訪問控制策略，提高網(wǎng)絡(luò)的可控性

•太多的安全區(qū)域，會增加管理復(fù)雜性

•需要在較多的安全區(qū)域劃分和管理的復(fù)雜性之間做出平衡選擇

•風(fēng)險(xiǎn)、代價(jià)平衡分析的原則

通過分析網(wǎng)絡(luò)系統(tǒng)面臨的各種安全問題挑戰(zhàn)，確保實(shí)施網(wǎng)絡(luò)系統(tǒng)安全策略的成本與被保護(hù)資源的價(jià)值相匹配；確保安全防護(hù)的效果與網(wǎng)絡(luò)系統(tǒng)的高效、健壯相匹配。

•適應(yīng)性、靈活性原則

在進(jìn)行網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)時，不能只強(qiáng)調(diào)安全方面的要求，要避免對網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的發(fā)展造成太多的阻礙；另外，在網(wǎng)絡(luò)安全區(qū)域模型保持相對穩(wěn)定的前提下，要求整體安全區(qū)域架構(gòu)可以根據(jù)實(shí)際安全需求變化進(jìn)行微調(diào)，使具體網(wǎng)絡(luò)安全部署的策略易于修改，隨時做出調(diào)整。

網(wǎng)絡(luò)安全區(qū)域劃分方法

傳統(tǒng)的劃分方法

傳統(tǒng)安全區(qū)域劃分方法基本是以安全功能區(qū)域和物理區(qū)域相結(jié)合，做出安全區(qū)域的劃分。在一般規(guī)模較小的企業(yè)網(wǎng)絡(luò)環(huán)境中，這種方式簡明，方便，邏輯清楚便于實(shí)施。但在先對比較復(fù)雜的企業(yè)網(wǎng)絡(luò)系統(tǒng)中，應(yīng)用系統(tǒng)相對復(fù)雜，傳統(tǒng)方式主要考慮不同應(yīng)用系統(tǒng)之間安全防護(hù)等級的不同，較少考慮同一應(yīng)用系統(tǒng)對外提供服務(wù)時內(nèi)部不同層次之間存在的安全等級差異，一般而言，存在以下4個方面缺點(diǎn)：

•在應(yīng)用系統(tǒng)較為復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中，不同應(yīng)用系統(tǒng)的用戶層、表示層功能相互整合，各應(yīng)用系統(tǒng)不同層次間的聯(lián)系日趨復(fù)雜，從而很難設(shè)定明確的界限對應(yīng)用系統(tǒng)進(jìn)行歸類，造成安全區(qū)域邊界模糊。

•設(shè)置在安全區(qū)域邊界的防火墻實(shí)施的安全策略級別不清，存在著應(yīng)用劃分層次(用戶、表示、應(yīng)用、數(shù)據(jù))4層功能兩兩之間各種級差的訪問控制策略，防火墻安全等級定位不清，不利于安全管理和維護(hù)。

•所有區(qū)域定義的安全級別過于復(fù)雜，多達(dá)10+級安全等級，等級高低沒有嚴(yán)格的劃分標(biāo)準(zhǔn)，造成實(shí)施邊界防護(hù)時難以進(jìn)行對應(yīng)操作。

•邏輯網(wǎng)絡(luò)安全區(qū)域和物理網(wǎng)絡(luò)區(qū)域的概念不清，相互混用，無法明確指出兩者之間的相互關(guān)系。

改進(jìn)的安全區(qū)域劃分方法-層次型安全區(qū)域劃分方法

借鑒B/S結(jié)構(gòu)應(yīng)用系統(tǒng)對外提供服務(wù)的層次關(guān)系，采用層次分析的方法，將數(shù)據(jù)網(wǎng)絡(luò)劃分成核心數(shù)據(jù)層、應(yīng)用表述層、網(wǎng)絡(luò)控制層、用戶接入層4個不同的安全等級，從核心數(shù)據(jù)層到用戶接入層安全等級遞減。不同安全層次等級之間由于存在較大安全級差，需要通過防火墻實(shí)施物理隔離和高級別防護(hù)；同一安全等級層次內(nèi)的資源，根據(jù)對企業(yè)的重要性不同，以及面臨的外來攻擊威脅、內(nèi)在運(yùn)維風(fēng)險(xiǎn)不同，進(jìn)一步劃分成多個安全區(qū)域，每個區(qū)域之間利用防火墻、IOS ACL、VLAN實(shí)施邏輯、物理的隔離，形成一個垂直分層，水平分區(qū)的網(wǎng)絡(luò)安全區(qū)域模型。