|
安全域劃分——參閱(企業(yè)網(wǎng)絡(luò)安全域劃分方法淺析�����,孟廣平)
資源天下 2019/8/23 9:54:08
計(jì)算機(jī)信息應(yīng)用系統(tǒng)的成功靠的是“三分技術(shù)��、七分管理����、十二分執(zhí)行�!
劃分安全域是企業(yè)建立縱深防御安全系統(tǒng)的基礎(chǔ)。
隨著業(yè)務(wù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)變得越來越復(fù)雜�,將網(wǎng)絡(luò)劃分為不同的區(qū)域,對(duì)每個(gè)區(qū)域進(jìn)行層次化地有重點(diǎn)的保護(hù)����,是建立縱深防御安全系統(tǒng)的自然而有效的手段。
網(wǎng)絡(luò)安全域的定義和劃分原則網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求��,相互信任�,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò),且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略���。廣義的安全域是具有相同業(yè)務(wù)要求和安全要求的系統(tǒng)要素集合���,這些要素包括網(wǎng)絡(luò)區(qū)域、主機(jī)和系統(tǒng)����、人和組織、物理環(huán)境�、策略和流程、業(yè)務(wù)和使命等諸多因素����。
通過網(wǎng)絡(luò)安全域的劃分,可以把一個(gè)復(fù)雜的大型網(wǎng)絡(luò)系統(tǒng)安全問題轉(zhuǎn)化為較小區(qū)域更為單純的安全保護(hù)問題��,從而更好地控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����,降低系統(tǒng)風(fēng)險(xiǎn);利用網(wǎng)絡(luò)安全域的劃分,理順網(wǎng)絡(luò)架構(gòu)�,可以更好地指導(dǎo)系統(tǒng)的安全規(guī)劃和設(shè)計(jì)、人網(wǎng)和驗(yàn)收工作;通過網(wǎng)絡(luò)安全域的劃分�,各區(qū)域防護(hù)重點(diǎn)明確,可以將有限的安全設(shè)備投人到最需要保護(hù)的資產(chǎn)�,提高安全設(shè)備利用率;有了網(wǎng)絡(luò)安全域的劃分,相對(duì)簡化了網(wǎng)絡(luò)安全的運(yùn)維工作�,并可有的放矢地部署網(wǎng)絡(luò)審計(jì)設(shè)備,提供檢查審核依據(jù)����。
網(wǎng)絡(luò)安全域的劃分要遵循以下原則:
(1)業(yè)務(wù)保障原則安全域方法的根本目標(biāo)是能夠更好地保障企業(yè)的生產(chǎn)經(jīng)營業(yè)務(wù)。在保證安全的同時(shí)�,還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。
(2)結(jié)構(gòu)簡化原則簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系�����,安全域劃分并不是粒度越細(xì)越好��,安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難。
(3)等級(jí)保護(hù)原則安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近���,具有相同或相近的安全等級(jí)����、安全環(huán)境��、安全策略等�����。
(4)立體協(xié)防原則安全域的主要對(duì)象是網(wǎng)絡(luò)��,但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守����,包括在物理鏈路、網(wǎng)絡(luò)�、主機(jī)系統(tǒng)、應(yīng)用等層次;同時(shí)�����,在部署安全域防護(hù)體系時(shí)�����,要綜合運(yùn)用身份鑒別、訪問控制�����、檢測(cè)審計(jì)�����、鏈路冗余��、內(nèi)容檢測(cè)等各種安全功能實(shí)現(xiàn)協(xié)防���������!
(5)生命周期原則對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)���,還要考慮不斷的變化���。
2企業(yè)網(wǎng)絡(luò)安全域的劃分方法網(wǎng)絡(luò)安全域劃分的最佳時(shí)間是在企業(yè)業(yè)務(wù)信息系統(tǒng)和網(wǎng)絡(luò)建設(shè)的初期����。但現(xiàn)實(shí)中網(wǎng)絡(luò)安全域的劃分大多是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行的�����,或多或少受到現(xiàn)有業(yè)務(wù)和系統(tǒng)的制約�����,這就要求網(wǎng)絡(luò)安全域劃分應(yīng)在遵循基本原則的基礎(chǔ)上結(jié)合現(xiàn)有系統(tǒng)的業(yè)務(wù)特性�����、安全需求���、網(wǎng)絡(luò)層次等實(shí)際因素來進(jìn)行�����。
目前網(wǎng)絡(luò)安全域劃分有以下幾種基本方法�����。
(1)按照業(yè)務(wù)系統(tǒng)來劃分�。這種方法依據(jù)業(yè)務(wù)系統(tǒng)的分類來區(qū)分支持不同業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)區(qū)域,從而把網(wǎng)絡(luò)劃分成不同的網(wǎng)絡(luò)安全域��。如承載辦公系統(tǒng)的辦公網(wǎng)��、生產(chǎn)系統(tǒng)的生產(chǎn)網(wǎng)���、管理系統(tǒng)的管理網(wǎng)等等����。這種劃分方法自然簡單���,對(duì)現(xiàn)有系統(tǒng)改動(dòng)最小,最容易實(shí)施�����。但由于類似的業(yè)務(wù)系統(tǒng)都面對(duì)相同的安全威脅�,需要采用同樣的防護(hù)手段,防護(hù)復(fù)雜而且技術(shù)投人必然重復(fù)�����,增加了網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)成本�����。
(2)按照防護(hù)等級(jí)來劃分。這種方法依據(jù)網(wǎng)絡(luò)中信息資產(chǎn)的價(jià)值劃分不同的防護(hù)等級(jí)�����,相同等級(jí)構(gòu)成相同的網(wǎng)絡(luò)安全域����。這種劃分方法中每個(gè)等級(jí)的安全域的安全防護(hù)要求是一致的,防護(hù)手段是統(tǒng)一的�,不同等級(jí)的安全域采用不同的安全手段,有效地減少了重復(fù)投資�,同時(shí)也體現(xiàn)了安全縱深防御的思想。但是由于按安全等級(jí)形成的網(wǎng)絡(luò)區(qū)域與按業(yè)務(wù)特性形成的網(wǎng)絡(luò)區(qū)域有較大的差別�,對(duì)已有系統(tǒng)重新調(diào)整整合的難度會(huì)很大,可能會(huì)影響業(yè)務(wù)系統(tǒng)的正常運(yùn)營和性能��。因此這種方法比較適合新建業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全區(qū)域規(guī)劃和劃分�����。.
(3)按照系統(tǒng)行為來劃分���。這種方法按照信息系統(tǒng)的不同行為和需求來劃分相應(yīng)網(wǎng)絡(luò)安全域�,并根據(jù)信息系統(tǒng)的等級(jí)和特點(diǎn)選擇相應(yīng)的防護(hù)手段。這種方法由于從業(yè)務(wù)系統(tǒng)現(xiàn)狀出發(fā)��,充分考慮了承載業(yè)務(wù)系統(tǒng)的信息系統(tǒng)的行大和外部威脅��,能夠設(shè)計(jì)出比按業(yè)務(wù)系統(tǒng)劃分方法更為細(xì)致的網(wǎng)絡(luò)安全域����,同時(shí)又可以避免業(yè)務(wù)系統(tǒng)大規(guī)模調(diào)整,而且也兼顧到了防護(hù)等級(jí)�����,是國際上常見的安全域劃分方法���。但由于要對(duì)每一個(gè)承載業(yè)務(wù)的信息系統(tǒng)都要進(jìn)行系統(tǒng)行為的分析,對(duì)于信息系統(tǒng)繁多的大型企業(yè)���,劃分工作量較大�����,安全區(qū)域太細(xì)也影響了安全投人的經(jīng)濟(jì)性���。盡管如此�,按照系統(tǒng)行為劃分安全域的方法仍然是國際上常見的方法����。例如美國國家安全局的IATF(信息保障技術(shù)框架)就建議采用按系統(tǒng)行為的方法來劃分網(wǎng)絡(luò)安全域。IATF據(jù)此將每個(gè)信息系統(tǒng)劃分為4個(gè)安全域:邊界接人域����、計(jì)算環(huán)境域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施域�����、支撐設(shè)施域�����。IATF的方法論是基于同構(gòu)性簡化的方法�。同構(gòu)性簡化是將復(fù)雜的環(huán)境歸結(jié)成一個(gè)或者幾個(gè)簡單單元的組合。其基本思路是認(rèn)為一個(gè)復(fù)雜(未完�����,下一頁)
|