安全區域(以下簡稱為安全域)是指同一系統內有相同的安全保護需求,相互信任,并具有相同的安全訪問控制和邊界控制策略的子網或網絡。安全域劃分是保證網絡及基礎設施穩定正常的基礎,也是保障業務信息安全的基礎。
一、安全域設計方法
安全域模型設計采用"同構性簡化"方法,基本思路是認為一個復雜的網絡應當是由一些相通的網絡結構元所組成,這些網絡結構元以拼接、遞歸等方式構造出一個大的網絡。
一般來講,對信息系統安全域(保護對象)的設計應主要考慮如下方面因素:
1.??? 業務和功能特性
1)??? 業務系統邏輯和應用關聯性。
2)??? 業務系統對外連接。對外業務、支撐、內部管理。
2.??? 安全特性的要求
1)??? 安全要求相似性。可用性、保密性和完整性的要求。
2)??? 威脅相似性。威脅來源、威脅方式和強度。
3)??? 資產價值相近性。重要與非重要資產分離。
3.??? 參照現有狀況
1)??? 現有網絡結構的狀況。現有網絡結構、地域和機房等。
2)??? 參照現有的管理部門職權劃分。?
二、安全域設計步驟
一個數據中心內部安全域的劃分主要有如下步驟:
1.??? 查看業務系統訪問關系
查看網絡上承載的業務系統的訪問終端與業務主機的訪問關系及業務主機之間的訪問關系,若業務主機之間沒有任何訪問關系,則單獨考慮各業務系統安全域的劃分,若業務主機之間有訪問關系,則幾個業務系統一起考慮安全域的劃分。
2.??? 劃分安全計算域
根據業務系統的業務功能實現機制、保護等級程度進行安全計算域的劃分,一般分為核心處理域和訪問域,其中數據庫服務器等后臺處理設備歸入核心處理域,前臺直接面對用戶的應用服務器歸入訪問域;局域網訪問域可以有多種類型,包括開發區、測試區、數據共享區、數據交換區、第三方維護管理區、VPN接入區等;局域網的內部核心處理域包括數據庫、安全控制管理、后臺維護區(網管工作)等,核心處理域應具有隔離設備對該區域進行安全隔離,如防火墻、路由器(使用ACL)、交換機(使用VLAN)等。
3.??? 劃分安全用戶域
根據業務系統的訪問用戶分類進行安全用戶域的劃分,訪問同類數據的用戶終端、需要進行相同級別保護劃為一類安全用戶域,一般分為管理用戶域、內部用戶域、外部用戶域。
4.??? 劃分安全網絡域
安全網絡域是由連接具有相同安全等級的計算域和(或)用戶域組成的網絡域。網絡域的安全等級的確定與網絡所連接的安全用戶域和(或)安全計算域的安全等級有關。一般同一網絡內分為三種安全域:外部域、接入域、內部域。
三、安全域模型
該模型包含安全服務域、有線接入域、無線接入域、安全支撐域和安全互聯域等五個安全區域。同一安全區域內的資產實施統一的保護,如進出信息保護機制、訪問控制、物理安全特性等。
1.??? 安全服務域
安全服務域是指由各信息系統的主機/服務器經局域網連接組成的存儲和處理數據信息的區域。安全服務域細分為關鍵業務、綜合業務、公共服務和開發測試等4個子域。
劃分規則
1)??? 等保三級的業務系統服務器劃入關鍵業務子域,例如,財務管理系統。
2)??? SAN集中存儲系統劃入關鍵業務子域,并在SAN存儲設備上單獨劃分出物理/邏輯存儲區域,分別對應關鍵業務子域、綜合業務子域、公共服務子域、開發測試子域中的存儲的空間。
3)??? 等保末達到三級的業務系統服務器劃入綜合業務子域,例如,人力資源、網站系統、郵件系統等業務系統服務器。
4)??? 提供網絡基礎服務的非業務系統服務器劃入公共服務子域,例如,DNS服務器、Windows域服務器等。
5)??? 用于開發和測試的服務器劃分入開發測試子域。
2.??? 有線接入域
有線接入域是指由有線用戶終端及有線網絡接入基礎設施組成的區域。終端安全是信息安全防護的瓶頸和重點。
劃分規則
所有有線用戶終端及有線網絡接入基礎設施劃入有線接入域。
3.??? 無線接入域
無線接入域是指由無線用戶終端、無線集線器、無線訪問節點、無線網橋和無線網卡等無線接入基礎設施組成的區域。
劃分規則
所有無線用戶終端和無線集線器、無線訪問節點、無線網橋、無線網卡等無線接入基礎設施劃入無線接入域。
4.??? 安全支撐域
安全支撐域是指由各類安全產品的管理平臺、監控中心、維護終端和服務器等組成的區域,實現的功能包括安全域內的身份認證、權限控制、病毒防護、補丁升級,各類安全事件的收集、整理、關聯分析,安全審計,入侵檢測,漏洞掃描等。
劃分規則
各類安全產品的管理平臺、監控中心、維護終端和服務器劃入安全支撐域。
5.??? 安全互聯域
安全互聯域是指由連接安全服務域、有線接入域、無線接入域、安全支撐域和外聯網(Extranet)的互聯基礎設施構成的區域。安全互聯域細分為局域網互聯、廣域網互聯、外部網互聯、因特網互聯4個子域。
劃分規則
1)??? 局域網核心層、匯聚層互聯設備和鏈路劃入局域網互聯子域。
2)??? 自主管理的綜合數字網接入鏈路和接入設備,包含網絡設備、安全設備和前端服務器劃入廣域網互聯子域。
3)??? 自主管理的第三方合作伙伴網絡接入鏈路和接入設備,包含網絡設備、安全設備和前端服務器劃入外部網互聯子域。
4)??? 自主管理的因特網接入鏈路和接入設備,包含網絡設備、安全設備和前端服務器劃入因特網互聯子域。
四、安全域互訪原則
1.??? 安全服務域、安全支撐域、有線接入域、無線接入域之間的互訪
必須經過安全互聯域,不允許直接連接。
2.??? 關鍵業務子域、綜合業務子域、公共服務子域、開發測試子與之間的互訪
必須經過安全互聯域,不允許百接連接。
3.??? 廣域網互聯子域、外部網互聯子域、因特網互聯子域和其他安全域或子域之間的互訪
必須經過安全互聯域,不允許直接連接。
4.??? 廣域網互聯子域、外部網互聯子域、因特網互聯子域之間的互訪
必須經過安全互聯域,不允許直接連接。
5.??? 同一安全子域之間的互訪
如關鍵業務子域、綜合業務子域、基礎業務子域、公共服務子域、開發測試子域內部的不同系統之間應采用VLAN進行隔離,VLAN間的路由應設置在核心或匯聚層設備上,不允許通過接入層交換機進行路由。
五、安全域邊界整合及整合原則
安全域之間互聯接口數量越多,安全性越難以控制,因此,必須在保證各種互聯需求的前提下對安全域邊界進行合理整合,通過對系統接口的有效整理和歸并,減少接口數量,提高接口規范性。邊界整合最終要實現不同類別邊界鏈路層物理隔離,邊界設備(如交換機、路由器或防火墻等)實現硬件獨立,杜絕混用現象。同時邊界設備要滿足冗余要求。
安全域邊界整合的原則
1.??? 安全支撐域與安全互聯域之間所有的互訪接口整合為一個邊界
2.??? 有線接入域與安全互聯域之間所有的互訪接口整合為一個邊界
3.??? 安全互聯域與外部網絡之間所有的互訪接口整合為三個邊界
1)??? 廣域網互連子域與廣域網之間所有的互訪接口整合為一個邊界。
2)??? 因特網互聯子域與因特網之間所有的互訪接口整合為一個邊界。
3)??? 外部網互聯子域與第三方網絡之間所有的互訪接口整合為一個邊界。
4.??? 安全服務域與安全互聯域之間所有的互訪接口整合為四個邊界
關鍵業務子域邊界、綜合業務子域邊界、公共服務子域邊界、開發測試子域邊界。
1)??? 關鍵業務子域與局域網互聯子域之間所有的互訪接口整合為一個邊界。
2)??? 綜合業務子域與局域網互聯子域之間所有的互訪接口整合為一個邊界。
3)??? 公共服務子域與局域網互聯子域之間所有的互訪接口整合為一個邊界。
4)??? 開發測試子域與局域網互聯子域之間所有的互訪接口整合為一個邊界。
六、邊界防護技術
目前常用的邊界保護技術主要包括防火墻、接口服務器、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護等。
1.??? 防火墻
防火墻可以根據互聯系統的安全策略對進出網絡的信息流進行控制(允許、拒絕、監測)。防火墻作為不同網絡或網絡安全區域之間信息的出入口,能根據系統的安全策略控制出入網絡的信息流,且具有較強的抗攻擊能力,它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和外部網之間的活動,保證內部網絡的安全。
通過防火墻可以防止非系統內用戶的非法入侵、過濾不安全服務及規劃網絡信息的流向。防火墻的重要作用是網絡隔離和對用戶進行訪問控制,目的是防止對網絡信息資源的非授權訪問和操作,包括各個子網對上級網絡,各個同級子網之間的非法訪問和操作。這些訪問控制,在物理鏈路一級的加密設備中很難實現,而防火墻則具有很強的安全網絡訪問控制能力,主要體現在它完善的訪問控制策略上。
2.??? 接口服務器
接口服務器的目的在于實現威脅等級高的系統訪問威脅等級低的系統時,Server-Server間的通信。通過接口服務器,使防護等級高的系統中后臺的核心服務器對威脅等級高的系統屏蔽,在向威脅等級高的系統訪問時,看到的僅僅是應用接口服務器,這樣對系統的防護更加有效,而且也更容易實現二者之間的訪問控制,因此適用于威脅等級高的系統訪問防護等級高的系統。這種保護方式需要與單層或雙重異構防火墻結合進行部署。類似設備,如堡壘主機、數據交換服務器等。
3.??? 病毒過濾
病毒過濾一般采用全面的協議保護和內嵌的內容過濾功能,能夠對SMTP、PUP3、IMAP、HTTP、FTP等應用協議進行病毒過濾以及采用關鍵字、URL過濾等方式來阻止非法數據的進入。由于數據流經歷了完全的過濾檢查,必然會使得其效率有所降低。
4.??? 入侵防護
入侵防護是一種主動式的安全防御技術,它不僅能實時監控到各種惡意與非法的網絡流量,同時還可以直接將有害的流量阻擋于所保護的網絡之外,從而對其網絡性能進行最佳的優化。入侵防護主要用來防護三種類型的攻擊:異常流量類防護、攻擊特征類防護、漏洞攻擊類防護。
5.??? 單向物理隔離
物理隔離技術通常采用高速電子開關隔離硬件和專有協議,確保網絡間在任意時刻物理鏈路完全斷開。同時可以在兩個相互物理隔離的網絡間安全、高速、可靠地進行數據交換。
6.??? 拒絕服務防護
拒絕服務防護一般包含兩個方面:一是針對不斷發展的攻擊形式,能夠有效地進行檢測;二是降低對業務系統或者是網絡的影響,保證業務系統的連續性和可用性。通常拒絕服務防護應能夠從背景流量申精確的區分攻擊流量、降低攻擊對服務的影響、具備很強的擴展性和良好的可靠性。
7.??? 認證和授權
基于數字證書,實現網絡訪問身份的高強度認證,保障網絡邊界的安全;只有通過數字證書校驗的合法的、被授權的用戶才可以接入網絡,才可以訪問后臺的業務系統。
編輯:黃飛
?
評論
查看更多