如何劃分安全域及網(wǎng)絡(luò)如何改造

安全域劃分及網(wǎng)絡(luò)改造是系統(tǒng)化安全建設(shè)的基礎(chǔ)性工作，也是層次化立體化防御以及落實安全管理政策，制定合理安全管理制度的基礎(chǔ)。此過程保證在網(wǎng)絡(luò)基礎(chǔ)層面實現(xiàn)系統(tǒng)的安全防御。
目標(biāo)規(guī)劃的理論依據(jù)
安全域簡介
安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。
相對以上安全域的定義，廣義的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括但不僅限于：物理環(huán)境、策略和流程、業(yè)務(wù)和使命、人和組織、網(wǎng)絡(luò)區(qū)域、主機(jī)和系統(tǒng)……

總體架構(gòu)
如下圖所示：安全域的劃分如下：

建議的劃分方法是立體的，即：各個域之間不是簡單的相交或隔離關(guān)系，而是在網(wǎng)絡(luò)和管理上有不同的層次。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施域是所有域的基礎(chǔ)，包括所有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通訊支撐設(shè)施域。
網(wǎng)絡(luò)基礎(chǔ)設(shè)施域分為骨干區(qū)、匯集區(qū)和接入?yún)^(qū)。

支撐設(shè)施域是其他上層域需要公共使用的部分，主要包括：安全系統(tǒng)、網(wǎng)管系統(tǒng)和其他支撐系統(tǒng)等。

計算域主要是各類的服務(wù)器、數(shù)據(jù)庫等，主要分為一般服務(wù)區(qū)、重要服務(wù)區(qū)和核心區(qū)。

邊界接入域是各類接入的設(shè)備和終端以及業(yè)務(wù)系統(tǒng)邊界，按照接入類型分為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。

建設(shè)規(guī)劃內(nèi)容
一、邊界接入域

邊界接入域的劃分
邊界接入域的劃分，根據(jù)公司的實際情況，相對于ISO 13335定義的接入類型，分別有如下對應(yīng)關(guān)系：
ISO 13335
實際情況
組織單獨控制的連接
內(nèi)部網(wǎng)接入（終端接入，如辦公網(wǎng)）；業(yè)務(wù)邊界（如核心服務(wù)邊界）
公共網(wǎng)絡(luò)的連接
互聯(lián)網(wǎng)接入（如Web和郵件服務(wù)器的外部接入，辦公網(wǎng)的Internet接入等）
不同組織間的連接
外聯(lián)網(wǎng)接入（如各個部門間的接入等）
組織內(nèi)的異地連接
內(nèi)聯(lián)網(wǎng)接入（單位接入等其他部門等通過專網(wǎng)接入）
組織內(nèi)人員從外部接入
遠(yuǎn)程接入（如移動辦公和遠(yuǎn)程維護(hù)）

邊界接入域威脅分析
由于邊界接入域是公司信息系統(tǒng)中與外部相連的邊界，因此主要威脅有：
××××××（外部***）
惡意代碼（病毒蠕蟲）
越權(quán)（非授權(quán)接入）
終端違規(guī)操作
……

針對邊界接入域的主要威脅，相應(yīng)的防護(hù)手段有：
訪問控制（如防火墻）用于應(yīng)對外部×××
遠(yuǎn)程接入管理（如×××）用于應(yīng)對非授權(quán)接入
病毒檢測與防御（IDS&IPS）用于應(yīng)對外部×××和蠕蟲病毒
惡意代碼防護(hù)（防病毒）用于應(yīng)對蠕蟲病毒
終端管理（注入控制、補(bǔ)丁管理、資產(chǎn)管理等）對終端進(jìn)行合規(guī)管理

  二、計算域

計算域的劃分
計算域是各類應(yīng)用服務(wù)、中間件、大機(jī)、數(shù)據(jù)庫等局域計算設(shè)備的集合，根據(jù)計算環(huán)境的行為不同和所受威脅不同，分為以下三個區(qū)：
一般服務(wù)區(qū)
用于存放防護(hù)級別較低（資產(chǎn)級別小于等于3），需直接對外提供服務(wù)的信息資產(chǎn)，如辦公服務(wù)器等，一般服務(wù)區(qū)與外界有直接連接，同時不能夠訪問核心區(qū)（避免被作為×××核心區(qū)的跳板）；

重要服務(wù)區(qū)
重要服務(wù)區(qū)用于存放級別較高（資產(chǎn)級別大于3），不需要直接對外提供服務(wù)的信息資產(chǎn)，如前置機(jī)等，重要服務(wù)區(qū)一般通過一般服務(wù)區(qū)與外界連接，并可以直接訪問核心區(qū)；

核心區(qū)
核心區(qū)用于存放級別非常高（資產(chǎn)級別大于等于4）的信息資產(chǎn)，如核心數(shù)據(jù)庫等，外部對核心區(qū)的訪問需要通過重要服務(wù)區(qū)跳轉(zhuǎn)。
計算域的劃分參見下圖：

計算域威脅分析
由于計算域處于信息系統(tǒng)的內(nèi)部，因此主要威脅有：
內(nèi)部人員越權(quán)和濫用
內(nèi)部人員操作失誤
軟硬件故障
內(nèi)部人員篡改數(shù)據(jù)
內(nèi)部人員抵賴行為
對外服務(wù)系統(tǒng)遭受×××及非法***

針對計算域主要是內(nèi)部威脅的特點，主要采取以下防護(hù)手段：
應(yīng)用和業(yè)務(wù)開發(fā)維護(hù)安全
基于應(yīng)用的審計
身份認(rèn)證與行為審計
同時也輔助以其他的防護(hù)手段：
對網(wǎng)絡(luò)異常行為的檢測
對信息資產(chǎn)的訪問控制
三、支撐設(shè)施域
支撐設(shè)施域的劃分

將網(wǎng)絡(luò)管理、安全管理和業(yè)務(wù)運維（業(yè)務(wù)操作監(jiān)控）放置在獨立的安全域中，不僅能夠有效的保護(hù)上述三個高級別信息系統(tǒng)，同時在突發(fā)事件中也有利于保障后備通訊能力。

其中，安全設(shè)備、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)操作監(jiān)控的管理端口都應(yīng)該處于獨立的管理VLAN中，如果條件允許，還應(yīng)該分別劃分安全VLAN、網(wǎng)管VLAN和業(yè)務(wù)管理VLAN。

支撐設(shè)施域的威脅分析
支撐設(shè)施域是跨越多個業(yè)務(wù)系統(tǒng)和地域的，它的保密級別和完整性要求較高，對可用性的要求略低，主要的威脅有：
網(wǎng)絡(luò)傳輸泄密（如網(wǎng)絡(luò)管理人員在網(wǎng)絡(luò)設(shè)備上竊聽業(yè)務(wù)數(shù)據(jù)）
非授權(quán)訪問和濫用（如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng)）
內(nèi)部人員抵賴（如對誤操作進(jìn)行抵賴等）

針對支撐設(shè)施域的威脅特點和級別，應(yīng)采取以下防護(hù)措施：
帶外管理和網(wǎng)絡(luò)加密
身份認(rèn)證和訪問控制
審計和檢測
四、網(wǎng)絡(luò)基礎(chǔ)設(shè)施域

網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的劃分

網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的威脅分析
主要威脅有：
網(wǎng)絡(luò)設(shè)備故障
網(wǎng)絡(luò)泄密
物理環(huán)境威脅

相應(yīng)的防護(hù)措施為：
通過備份、冗余確?；A(chǔ)網(wǎng)絡(luò)的可用性
通過網(wǎng)絡(luò)傳輸加密確?；A(chǔ)網(wǎng)絡(luò)的保密性
通過基于網(wǎng)絡(luò)的認(rèn)證確保基礎(chǔ)網(wǎng)絡(luò)的完整性