劃分安全域的原則

    安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡或系統(tǒng)。啟明星辰公司采用“同構性簡化”的安全域劃分方法，將復雜的大網(wǎng)絡進行簡化后設計防護體系，以便進行有效的安全管理。

    啟明星辰公司安全域劃分遵循以下原則：

    1、業(yè)務保障原則：在保證安全的同時，更要保障網(wǎng)絡承載業(yè)務的正常、高效運行；

    2、結構簡化原則：安全域劃分的直接目標是將整個網(wǎng)絡變得更加簡單，簡單的網(wǎng)絡結構便于設計防護體系。因此，安全域劃分并不是粒度越細越好，安全域數(shù)量過多、過雜反而可能導致安全域的管理過于復雜，實際操作過于困難；

    3、立體協(xié)防原則：安全域劃分的主要對象是網(wǎng)絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路、網(wǎng)絡、主機系統(tǒng)、應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別、訪問控制、檢測審計、鏈路冗余、內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防。

    以某運營商的MBOSS系統(tǒng)為例，我們通過對該系統(tǒng)進行數(shù)據(jù)流分析、網(wǎng)絡結構分析，結合考慮現(xiàn)有的安全隱患，從資產(chǎn)價值、脆弱性、安全隱患三者間的關系出發(fā)，得到了整體的安全防護體系和各個業(yè)務系統(tǒng)自身的安全防護體系，為進一步管理整合后的安全域做好了準備。
 

   事例圖

    基于安全域劃分的最佳實踐，該運營商的業(yè)務支撐系統(tǒng)（BSS）、企業(yè)信息系統(tǒng)（MSS）和網(wǎng)管系統(tǒng)（OSS）被分別劃入不同的安全域，再根據(jù)每個安全域內(nèi)部的特定安全需求進一步劃分安全子域，包括：核心交換區(qū)、核心生產(chǎn)區(qū)、日常辦公區(qū)、管理服務區(qū)、接口區(qū)、內(nèi)部系統(tǒng)互聯(lián)網(wǎng)區(qū)、外部系統(tǒng)互聯(lián)區(qū)。

    安全加固

    仍以上圖為例，在劃分完安全域之后，我們對不同安全域內(nèi)的關鍵設備進行了安全加固，依據(jù)是：各安全域內(nèi)部的設備由于不同的互聯(lián)需求，面臨的威脅也不同，因此其安全需求也存在很大差異。

    1、生產(chǎn)服務器：一般都是UNIX平臺，資產(chǎn)價值最高，不直接連接外部網(wǎng)絡，主要的安全需求是訪問控制、賬號口令、權限管理和補丁管理；

    2、維護終端：一般都是WINDOWS平臺，維護管理人員可以直接操作，其用戶接入的方式也不盡相同（本地維護終端、遠程維護終端），面臨著病毒擴散、漏洞補丁、誤操作、越權和濫用等威脅，其安全需求是安全策略的集中管理、病毒檢測（固定終端）、漏洞補丁等；

    3、第三方：對業(yè)務系統(tǒng)的軟、硬件進行遠程維護或現(xiàn)場維護，其操作很難控制，面臨著病毒、漏洞、攻擊、越權或濫用、泄密等威脅，安全需求主要是接入控制，包括IP／MAC地址綁定、帳號口令、訪問控制，以及在線殺毒、防毒墻、應用層的帳號口令管理、補丁管理等；

    4、合作伙伴：涉及到與其他系統(tǒng)的連接，面臨著病毒、漏洞、入侵等威脅，安全需求是病毒防護、入侵檢測、漏洞補丁等。

    5、互聯(lián)網(wǎng)：面臨著黑客入侵、病毒擴散等威脅，主要的安全需求是入侵檢測、病毒防護、數(shù)據(jù)過濾等。

    安全域與安全策略的結合

    在劃分安全域、進行安全加固的基礎上，還需要對網(wǎng)絡邊界和重點區(qū)域采取特定的安全措施。

    邊界安全

    對于任何安全域的保護，邊界安全是最低的保護措施，通過對邊界的控制能夠保護安全域不受到來自其它區(qū)域的安全威脅。在上面的圖例中，我們采用了以下技術：邊界隔離、認證、監(jiān)視、審計。具體的產(chǎn)品實現(xiàn)包括：MPLS VPN、VPN Lite、防火墻、接口主機、交換機VLAN、PVLAN、ACL等。

    區(qū)域安全

    區(qū)域安全是通過在安全域內(nèi)部設置監(jiān)視、測量、清理、審計等技術手段，實現(xiàn)安全域內(nèi)安全事件的及時響應和清除。安全域的區(qū)域安全以安全狀況的監(jiān)控為主，對于本安全域內(nèi)部的安全事件及時響應和清除，是安全域的核心安全處置手段。具體采用的技術和產(chǎn)品包括：入侵檢測、安全審計、漏洞掃描、病毒防護、訪問控制、帳號管理、補丁管理、流量監(jiān)控等。

    實現(xiàn)效益

    通過劃分安全域?qū)崿F(xiàn)等級保護，啟明星辰公司把電信運營商復雜的安全問題化解成小區(qū)域的安全保護問題，從而在全網(wǎng)范圍內(nèi)實現(xiàn)大規(guī)模的等級保護。

    啟明星辰公司提出的解決方案不僅僅是從網(wǎng)絡系統(tǒng)、技術層面和單一安全設備來看待問題，更是從網(wǎng)絡建設的整體規(guī)劃出發(fā)，全盤考慮，幫助電信運營商從根本上解決安全問題。

    在通訊產(chǎn)業(yè)與信息產(chǎn)業(yè)迅猛結合的今天，采用啟明星辰公司安全域解決方案無疑將大大簡化電信運營商復雜的安全問題及安全管理工作，化無序為有序，提高安全工作效率。

    從SOX內(nèi)控審計的角度，安全域解決方案勢必將發(fā)揮其潛在的巨大優(yōu)勢，幫助電信運營商在SOX內(nèi)控審計的過程中化繁為簡，快速達到安全指標要求，與國際接軌，為企業(yè)帶來更大的市場和經(jīng)濟效益。