網(wǎng)絡(luò)安全域劃分及邊界整合研究與規(guī)劃

宋楊

摘 要：本文主要為未來3～5年的安全規(guī)劃提供原則、策略和技術(shù)上的指導(dǎo)，建立全方位的安全防護(hù)體系，結(jié)合生產(chǎn)網(wǎng)絡(luò)實(shí)際情況，從安全域劃分、邊界整合及安全防護(hù)等多個(gè)層面，提出適合省公司發(fā)現(xiàn)需要的安全域劃分規(guī)范。

關(guān)鍵詞：安全域；安全域劃分；邊界整合

中圖分類號(hào)：TP312 文獻(xiàn)標(biāo)識(shí)碼：A

在新聞報(bào)道中各種網(wǎng)絡(luò)犯罪已經(jīng)屢見不鮮，電子科技的發(fā)展極大地推動(dòng)了社會(huì)生產(chǎn)力的發(fā)展，改善了人們的生活水平，但是在另一個(gè)方面，這也給了不法之徒以可乘之機(jī)，并且近幾年的網(wǎng)絡(luò)犯罪呈現(xiàn)出犯罪影響范圍逐漸擴(kuò)大、造成經(jīng)濟(jì)損失逐漸增多的趨勢(shì)，這就要求各個(gè)部門、單位要充分地重視網(wǎng)絡(luò)安全性，并采取多種形式進(jìn)行有效的安全防護(hù)。

1.網(wǎng)絡(luò)安全防護(hù)發(fā)展的現(xiàn)狀

為落實(shí)工業(yè)與信息化部11號(hào)令《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》，完善安全防護(hù)工作基礎(chǔ)工作，提供安全系統(tǒng)建設(shè)規(guī)劃指導(dǎo)。主要包括安全策略體系建設(shè)，組織和人員建設(shè)、管理制度推進(jìn)以及策略體系完善等層面，并明確在未來3～5年內(nèi)通過建立全方位的安全防護(hù)體系，逐步落實(shí)可管階段、可控階段和可信的階段任務(wù)目標(biāo)。

安全域劃分是極其必要的。進(jìn)行層次化、有重點(diǎn)的保護(hù)是保證系統(tǒng)與網(wǎng)絡(luò)和信息安全的有效手段。目前互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)主要存在以下問題：

隨著網(wǎng)絡(luò)規(guī)模和各相關(guān)應(yīng)用系統(tǒng)的不斷更新?lián)Q代，電子計(jì)算機(jī)的硬件系統(tǒng)和軟件系統(tǒng)都在發(fā)生著巨大的變化，并且系統(tǒng)的體系結(jié)構(gòu)本身就極其復(fù)雜，所以在系統(tǒng)的建設(shè)過程中出現(xiàn)種類不一的網(wǎng)絡(luò)終端以及相應(yīng)的網(wǎng)絡(luò)部件。這些情況也就導(dǎo)致網(wǎng)絡(luò)使用過程中邊界不清晰的情況出現(xiàn)，并且也存在著網(wǎng)絡(luò)端口較為混亂的情況，上述情況的綜合也就造成了企業(yè)部之間、部門和客戶之間的數(shù)據(jù)傳輸受到阻礙，這種互相聯(lián)通之間的阻礙不僅會(huì)給企業(yè)運(yùn)營帶來虧損，還會(huì)使企業(yè)網(wǎng)絡(luò)安全得不到保證。

2.系統(tǒng)相關(guān)安全域的劃分

2.1 現(xiàn)行劃分方案

安全域的劃分采用了向日葵結(jié)構(gòu)，即：花心：統(tǒng)一的核心承載網(wǎng)，提供IP可達(dá)性及受限IP可達(dá)性；花環(huán)：IP承載網(wǎng)邊界；花萼：業(yè)務(wù)模塊與承載網(wǎng)的交互區(qū)域；花瓣：明確單一的業(yè)務(wù)功能模塊。

2.2 安全域劃分

安全域劃分為安全防護(hù)基礎(chǔ)工作，主要針對(duì)于各業(yè)務(wù)系統(tǒng)進(jìn)行，梳理出業(yè)務(wù)系統(tǒng)安全域劃分方案及防護(hù)策略要求，其流程主要包括安全域劃分、相關(guān)邊界整合及防護(hù)策略實(shí)施等，在安全域劃分前期重點(diǎn)梳理業(yè)務(wù)流程，明確系統(tǒng)功能、模塊及相關(guān)業(yè)務(wù)網(wǎng)元，最終確定業(yè)務(wù)系統(tǒng)的安全域。

2.3 劃分步驟

2.3.1 明確安全域基本拓?fù)洌壕W(wǎng)絡(luò)拓?fù)涫橇私庀到y(tǒng)網(wǎng)絡(luò)狀況和系統(tǒng)組成的必要工具，網(wǎng)絡(luò)拓?fù)渲袘?yīng)包括系統(tǒng)的組成網(wǎng)絡(luò)要素和的網(wǎng)絡(luò)要素之間的連接方式。

2.3.2 明確安全域網(wǎng)絡(luò)出口：梳理當(dāng)前網(wǎng)絡(luò)出口情況，明確各業(yè)務(wù)系統(tǒng)所使用的服務(wù)、端口，明確目標(biāo)地址。

2.3.3 梳理當(dāng)前業(yè)務(wù)流程：對(duì)系統(tǒng)的數(shù)據(jù)流和處理活動(dòng)進(jìn)行調(diào)查和訪談，明確系統(tǒng)資產(chǎn)主機(jī)的明確歸屬。

2.3.4 安全策略采集：安全策略采集主要是為了進(jìn)行邊界整合及調(diào)整時(shí)，了解現(xiàn)有系統(tǒng)了安全防護(hù)策略。

2.3.5 制定網(wǎng)絡(luò)劃分方案：通過對(duì)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)進(jìn)行劃分，重點(diǎn)梳理出各區(qū)域的資產(chǎn)歸屬和區(qū)域劃分。

2.3.6 實(shí)施改造方案討論：在明確要進(jìn)行相關(guān)的安全域改造后，要對(duì)具體的安全改造方案進(jìn)行討論，確認(rèn)實(shí)施改造方案相關(guān)參與人員及單位。

2.4 對(duì)安全域進(jìn)行相應(yīng)的邊界調(diào)整合并

2.4.1 進(jìn)行物理調(diào)整合并

對(duì)安全域進(jìn)行物理整合，也就是對(duì)于當(dāng)前系統(tǒng)或者說多個(gè)系統(tǒng)以及相應(yīng)的安全域進(jìn)行物理方面的調(diào)整合并，其目的在于通過行之有效的物理層面調(diào)整合并，能夠使整個(gè)體系的安全等級(jí)有所提升，同時(shí)也更加方便對(duì)整個(gè)體系的管理，從根本上防止網(wǎng)絡(luò)危害的產(chǎn)生。在實(shí)際工作中常會(huì)出現(xiàn)一些資源浪費(fèi)的情況，并且這種情況也不利于系統(tǒng)的整體安全，比如，一個(gè)系統(tǒng)在正常運(yùn)行的時(shí)候，有時(shí)會(huì)有多個(gè)系統(tǒng)內(nèi)部的節(jié)點(diǎn)需要和系統(tǒng)外部的網(wǎng)絡(luò)進(jìn)行聯(lián)通，而在聯(lián)通的時(shí)候由于各系統(tǒng)所使用的通信端口不同，也就需要另外的輔助設(shè)備進(jìn)行協(xié)調(diào)聯(lián)通，這樣不僅增加工作量，同時(shí)也不利于系統(tǒng)的安全。針對(duì)這種情況就要及時(shí)進(jìn)行層面的端口調(diào)整合并，在這個(gè)過程中首先就要將各種類型的端口進(jìn)行統(tǒng)一，并且其使用的系統(tǒng)設(shè)備的也應(yīng)該進(jìn)行相應(yīng)的統(tǒng)一。并且通過進(jìn)一步的整合使得有著同一個(gè)類型的安全域的不同系統(tǒng)實(shí)現(xiàn)調(diào)整合并，通過這樣的合并能夠有效地降低不同端口建設(shè)的投資費(fèi)用，并且整合之后也能夠?qū)踩蚪y(tǒng)一在一起，在這個(gè)基礎(chǔ)上也就更方便工作人員，將防護(hù)力量集中到一起，從而實(shí)現(xiàn)防護(hù)等級(jí)的提升。

2.4.2 進(jìn)行邏輯調(diào)整合并

通常來說邏輯調(diào)整合并，指的就是對(duì)現(xiàn)行的系統(tǒng)的單個(gè)邏輯邊界進(jìn)行充分整合，以期能夠通過有效的邊界調(diào)整合并使系統(tǒng)的邊界能夠保持較高的完整性以及條理性。在系統(tǒng)中還會(huì)存在著一些特定的安全區(qū)域，對(duì)于這一類的區(qū)域要靈活地根據(jù)具體的相關(guān)要求，對(duì)邊界進(jìn)行處理，使其能夠有機(jī)地統(tǒng)一起來。安全域的交互網(wǎng)絡(luò)域與互聯(lián)網(wǎng)、專線和內(nèi)網(wǎng)的邊界為網(wǎng)絡(luò)邊界，它是安全域的重要邊界。

2.4.3 其他邊界的整合

安全子域邊界整合：除了安全域的邊界整合，安全子域之間也存在相應(yīng)的邊界整合，如計(jì)算域、服務(wù)域、維護(hù)域之間的整合。

3.安全域防護(hù)

3.1 邊界防護(hù)要求

安全域防護(hù)整體原則可根據(jù)安全域等級(jí)劃分和邊界保護(hù)進(jìn)行，不同等級(jí)間必須采取相應(yīng)的安全防護(hù)策略。維護(hù)域：對(duì)于維護(hù)域的安全需求，以加強(qiáng)認(rèn)證和審計(jì)、限制權(quán)限，以及嚴(yán)格遵守配置標(biāo)準(zhǔn)的技術(shù)手段為主，同時(shí)采取安全防護(hù)工具，如：部署防病毒系統(tǒng)、口令管理等保護(hù)措施。另外還應(yīng)加強(qiáng)對(duì)終端的安全管理。

3.2 邊界互聯(lián)防護(hù)措施

3.2.1 預(yù)防與檢測(cè)相結(jié)合的方式

互聯(lián)網(wǎng)信息技術(shù)發(fā)展到現(xiàn)今階段，網(wǎng)絡(luò)病毒的入侵不僅具有速度快的特征，并且還具有潛伏期長的特點(diǎn)。所謂為了能夠更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全的防護(hù)，首先就要在系統(tǒng)中設(shè)置有效的防火墻，并且因?yàn)椴《靖滤俣瓤欤韵鄳?yīng)的防火墻也要進(jìn)行及時(shí)更新。另一方面，要注意到病毒潛伏期長的特點(diǎn)，現(xiàn)在的電子病毒在沒有觸發(fā)的情況下能夠在系統(tǒng)中以10年為單位的進(jìn)行潛伏，而一旦觸發(fā)源出現(xiàn)，病毒就會(huì)立即啟動(dòng)，并對(duì)系統(tǒng)產(chǎn)生危害，所以在進(jìn)行安全防護(hù)的同時(shí)還能夠進(jìn)行系統(tǒng)自身的清查工作，將所有的病毒清除出去，從根源上做到預(yù)防。

3.2.2 當(dāng)安全域接入各類網(wǎng)絡(luò)時(shí)，在使用通用防護(hù)手段的基礎(chǔ)上，還可根據(jù)各安全域面臨風(fēng)險(xiǎn)的特點(diǎn)，部署專業(yè)的安全技術(shù)防護(hù)系統(tǒng)，如DNS防護(hù)、反垃圾郵件系統(tǒng)、異常流量分析等。

3.2.3 安全工作依靠“三分技術(shù)、七分管理”，除了必要的安全保障措施外，加強(qiáng)安全管理也是重要環(huán)節(jié)。

結(jié)語

安全域劃分后，網(wǎng)絡(luò)結(jié)構(gòu)清晰化，建立相應(yīng)的安全防護(hù)策略及安全基線配置，更有利于安全防護(hù)部署及日常操作維護(hù)?？傊?，以開展安全域劃分為基礎(chǔ)，逐步將安全策略體系的管理和技術(shù)規(guī)范落實(shí)到網(wǎng)絡(luò)安全運(yùn)行維護(hù)的實(shí)際工作中，并通過實(shí)際工作的經(jīng)驗(yàn)積累和數(shù)據(jù)分析，完成對(duì)安全策略體系持續(xù)完善過程。另外，建立安全維護(hù)管理隊(duì)伍，是安全策略體系實(shí)施的重要保障。最終實(shí)現(xiàn)“網(wǎng)絡(luò)安全運(yùn)營的專業(yè)化、網(wǎng)絡(luò)安全工作的制度化、全網(wǎng)安全的可視可管”的總體目標(biāo)。

參考文獻(xiàn)

[1]工業(yè)與信息化部11號(hào)令《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》[Z].

[2] Douglas Jacobson [美].仰禮友，趙宏宇等譯.網(wǎng)絡(luò)安全基礎(chǔ)[M].北京：電子工業(yè)出版社.