划分安全域的解决方案

《划分安全域的解决方案》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、划分安全域的解决方案划分安全域的原则       安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法，将复杂的大网络进行简化后设计防护体系，以便进行有效的安全管理。       启明星辰公司安全域划分遵循以下原则：       1、业务保障原则；       2、结构简化原则；       3、立体协防原则。       以某运营商系统为例，我们通过对该系统进行数据流分析、网络结构分析，结合考虑现有的安全隐患，从资产价值、脆弱性、安全隐患三者间的关系出发，得到了

2、整体的安全防护体系和各个业务系统自身的安全防护体系，为进一步管理整合后的安全域做好了准备。       基于安全域划分的最佳实践，该运营商的各个系统被分别划入不同的安全域，再根据每个安全域内部的特定安全需求进一步划分安全子域，包括：核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示：安全加固       在划分安全域之后，我们对不同安全域内的关键设备进行安全加固，依据是：各安全域内部的设备由于不同的互联需求，面临的威胁也不同，因此其安全需求也存在很大差异。       1、生产服务器：一般都是UNIX平台，资产价

3、值最高，不直接连接外部网络，主要的安全需求是访问控制、账号口令、权限管理和补丁管理；       2、维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同（本地维护终端、远程维护终端），面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测（固定终端）、漏洞补丁等；       3、第三方：对业务系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IP／MAC地址绑定、帐号口令、访问控制，以及在线杀毒、防毒墙

4、、应用层的帐号口令管理、补丁管理等；       4、合作伙伴：涉及到与其他系统的连接，面临着病毒、漏洞、入侵等威胁，安全需求是病毒防护、入侵检测、漏洞补丁等。       5、互联网：面临着黑客入侵、病毒扩散等威胁，主要的安全需求是入侵检测、病毒防护、数据过滤等。安全域与安全策略的结合       在划分安全域、进行安全加固的基础上，还需要对网络边界和重点区域采取特定的安全措施。       边界安全       对于任何安全域的保护，边界安全是最低的保护措施，通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中，我们采用了以下技术：边

5、界隔离、认证、监视、审计。具体的产品实现包括：MPLSVPN、VPNLite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。       区域安全       区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段，实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主，对于本安全域内部的安全事件及时响应和清除，是安全域的核心安全处置手段。具体采用的技术和产品包括：入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。实现效益       通过划分安全域实现等级保护，启明星辰公司把电信运营商复杂

6、的安全问题化解成小区域的安全保护问题，从而在全网范围内实现大规模的等级保护。该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题，更是从网络建设的整体规划出发，全盘考虑，帮助电信运营商从根本上解决安全问题。       从SOX内控审计的角度，安全域解决方案也将发挥其潜在的巨大优势，帮助电信运营商在SOX内控审计的过程中化繁为简，快速达到安全指标要求，与国际接轨，为企业带来更大的市场和经济效益