數(shù)據(jù)中心安全域的設計和劃分

安全區(qū)域(以下簡稱為安全域)是指同一系統(tǒng)內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡。安全域劃分是保證網(wǎng)絡及基礎設施穩(wěn)定正常的基礎，也是保障業(yè)務信息安全的基礎。

一、安全域設計方法

安全域模型設計采用"同構性簡化"方法，基本思路是認為一個復雜的網(wǎng)絡應當是由一些相通的網(wǎng)絡結構元所組成，這些網(wǎng)絡結構元以拼接、遞歸等方式構造出一個大的網(wǎng)絡。

一般來講，對信息系統(tǒng)安全域(保護對象)的設計應主要考慮如下方面因素：

1.??? 業(yè)務和功能特性

1)??? 業(yè)務系統(tǒng)邏輯和應用關聯(lián)性。

2)??? 業(yè)務系統(tǒng)對外連接。對外業(yè)務、支撐、內部管理。

2.??? 安全特性的要求

1)??? 安全要求相似性。可用性、保密性和完整性的要求。

2)??? 威脅相似性。威脅來源、威脅方式和強度。

3)??? 資產(chǎn)價值相近性。重要與非重要資產(chǎn)分離。

3.??? 參照現(xiàn)有狀況

1)??? 現(xiàn)有網(wǎng)絡結構的狀況。現(xiàn)有網(wǎng)絡結構、地域和機房等。

2)??? 參照現(xiàn)有的管理部門職權劃分。

二、安全域設計步驟

一個數(shù)據(jù)中心內部安全域的劃分主要有如下步驟：

1.??? 查看業(yè)務系統(tǒng)訪問關系

查看網(wǎng)絡上承載的業(yè)務系統(tǒng)的訪問終端與業(yè)務主機的訪問關系及業(yè)務主機之間的訪問關系，若業(yè)務主機之間沒有任何訪問關系，則單獨考慮各業(yè)務系統(tǒng)安全域的劃分，若業(yè)務主機之間有訪問關系，則幾個業(yè)務系統(tǒng)一起考慮安全域的劃分。

2.??? 劃分安全計算域

根據(jù)業(yè)務系統(tǒng)的業(yè)務功能實現(xiàn)機制、保護等級程度進行安全計算域的劃分，一般分為核心處理域和訪問域，其中數(shù)據(jù)庫服務器等后臺處理設備歸入核心處理域，前臺直接面對用戶的應用服務器歸入訪問域；局域網(wǎng)訪問域可以有多種類型，包括開發(fā)區(qū)、測試區(qū)、數(shù)據(jù)共享區(qū)、數(shù)據(jù)交換區(qū)、第三方維護管理區(qū)、VPN接入?yún)^(qū)等；局域網(wǎng)的內部核心處理域包括數(shù)據(jù)庫、安全控制管理、后臺維護區(qū)(網(wǎng)管工作)等，核心處理域應具有隔離設備對該區(qū)域進行安全隔離，如防火墻、路由器(使用ACL)、交換機(使用VLAN)等。

3.??? 劃分安全用戶域

根據(jù)業(yè)務系統(tǒng)的訪問用戶分類進行安全用戶域的劃分，訪問同類數(shù)據(jù)的用戶終端、需要進行相同級別保護劃為一類安全用戶域，一般分為管理用戶域、內部用戶域、外部用戶域。

4.??? 劃分安全網(wǎng)絡域

安全網(wǎng)絡域是由連接具有相同安全等級的計算域和(或)用戶域組成的網(wǎng)絡域。網(wǎng)絡域的安全等級的確定與網(wǎng)絡所連接的安全用戶域和(或)安全計算域的安全等級有關。一般同一網(wǎng)絡內分為三種安全域：外部域、接入域、內部域。

三、安全域模型

該模型包含安全服務域、有線接入域、無線接入域、安全支撐域和安全互聯(lián)域等五個安全區(qū)域。同一安全區(qū)域內的資產(chǎn)實施統(tǒng)一的保護，如進出信息保護機制、訪問控制、物理安全特性等。

1.??? 安全服務域

安全服務域是指由各信息系統(tǒng)的主機/服務器經(jīng)局域網(wǎng)連接組成的存儲和處理數(shù)據(jù)信息的區(qū)域。安全服務域細分為關鍵業(yè)務、綜合業(yè)務、公共服務和開發(fā)測試等4個子域。

劃分規(guī)則

1)??? 等保三級的業(yè)務系統(tǒng)服務器劃入關鍵業(yè)務子域，例如，財務管理系統(tǒng)。

2)??? SAN集中存儲系統(tǒng)劃入關鍵業(yè)務子域，并在SAN存儲設備上單獨劃分出物理/邏輯存儲區(qū)域，分別對應關鍵業(yè)務子域、綜合業(yè)務子域、公共服務子域、開發(fā)測試子域中的存儲的空間。

3)??? 等保末達到三級的業(yè)務系統(tǒng)服務器劃入綜合業(yè)務子域，例如，人力資源、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等業(yè)務系統(tǒng)服務器。

4)??? 提供網(wǎng)絡基礎服務的非業(yè)務系統(tǒng)服務器劃入公共服務子域，例如，DNS服務器、Windows域服務器等。

5)??? 用于開發(fā)和測試的服務器劃分入開發(fā)測試子域。

2.??? 有線接入域

有線接入域是指由有線用戶終端及有線網(wǎng)絡接入基礎設施組成的區(qū)域。終端安全是信息安全防護的瓶頸和重點。

劃分規(guī)則

所有有線用戶終端及有線網(wǎng)絡接入基礎設施劃入有線接入域。

3.??? 無線接入域

無線接入域是指由無線用戶終端、無線集線器、無線訪問節(jié)點、無線網(wǎng)橋和無線網(wǎng)卡等無線接入基礎設施組成的區(qū)域。

劃分規(guī)則

所有無線用戶終端和無線集線器、無線訪問節(jié)點、無線網(wǎng)橋、無線網(wǎng)卡等無線接入基礎設施劃入無線接入域。

4.??? 安全支撐域

安全支撐域是指由各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護終端和服務器等組成的區(qū)域，實現(xiàn)的功能包括安全域內的身份認證、權限控制、病毒防護、補丁升級，各類安全事件的收集、整理、關聯(lián)分析，安全審計，入侵檢測，漏洞掃描等。

劃分規(guī)則

各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護終端和服務器劃入安全支撐域。

5.??? 安全互聯(lián)域

安全互聯(lián)域是指由連接安全服務域、有線接入域、無線接入域、安全支撐域和外聯(lián)網(wǎng)(Extranet)的互聯(lián)基礎設施構成的區(qū)域。安全互聯(lián)域細分為局域網(wǎng)互聯(lián)、廣域網(wǎng)互聯(lián)、外部網(wǎng)互聯(lián)、因特網(wǎng)互聯(lián)4個子域。

劃分規(guī)則

1)??? 局域網(wǎng)核心層、匯聚層互聯(lián)設備和鏈路劃入局域網(wǎng)互聯(lián)子域。

2)??? 自主管理的綜合數(shù)字網(wǎng)接入鏈路和接入設備，包含網(wǎng)絡設備、安全設備和前端服務器劃入廣域網(wǎng)互聯(lián)子域。

3)??? 自主管理的第三方合作伙伴網(wǎng)絡接入鏈路和接入設備，包含網(wǎng)絡設備、安全設備和前端服務器劃入外部網(wǎng)互聯(lián)子域。

4)??? 自主管理的因特網(wǎng)接入鏈路和接入設備，包含網(wǎng)絡設備、安全設備和前端服務器劃入因特網(wǎng)互聯(lián)子域。

四、安全域互訪原則

1.??? 安全服務域、安全支撐域、有線接入域、無線接入域之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許直接連接。

2.??? 關鍵業(yè)務子域、綜合業(yè)務子域、公共服務子域、開發(fā)測試子與之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許百接連接。

3.??? 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他安全域或子域之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許直接連接。

4.??? 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪

必須經(jīng)過安全互聯(lián)域，不允許直接連接。

5.??? 同一安全子域之間的互訪

如關鍵業(yè)務子域、綜合業(yè)務子域、基礎業(yè)務子域、公共服務子域、開發(fā)測試子域內部的不同系統(tǒng)之間應采用VLAN進行隔離，VLAN間的路由應設置在核心或匯聚層設備上，不允許通過接入層交換機進行路由。

五、安全域邊界整合及整合原則

安全域之間互聯(lián)接口數(shù)量越多，安全性越難以控制，因此，必須在保證各種互聯(lián)需求的前提下對安全域邊界進行合理整合，通過對系統(tǒng)接口的有效整理和歸并，減少接口數(shù)量，提高接口規(guī)范性。邊界整合最終要實現(xiàn)不同類別邊界鏈路層物理隔離，邊界設備(如交換機、路由器或防火墻等)實現(xiàn)硬件獨立，杜絕混用現(xiàn)象。同時邊界設備要滿足冗余要求。

安全域邊界整合的原則

1.??? 安全支撐域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界

2.??? 有線接入域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界

3.??? 安全互聯(lián)域與外部網(wǎng)絡之間所有的互訪接口整合為三個邊界

1)??? 廣域網(wǎng)互連子域與廣域網(wǎng)之間所有的互訪接口整合為一個邊界。

2)??? 因特網(wǎng)互聯(lián)子域與因特網(wǎng)之間所有的互訪接口整合為一個邊界。

3)??? 外部網(wǎng)互聯(lián)子域與第三方網(wǎng)絡之間所有的互訪接口整合為一個邊界。

4.??? 安全服務域與安全互聯(lián)域之間所有的互訪接口整合為四個邊界

關鍵業(yè)務子域邊界、綜合業(yè)務子域邊界、公共服務子域邊界、開發(fā)測試子域邊界。

1)??? 關鍵業(yè)務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

2)??? 綜合業(yè)務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

3)??? 公共服務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

4)??? 開發(fā)測試子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

六、邊界防護技術

目前常用的邊界保護技術主要包括防火墻、接口服務器、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護等。

1.??? 防火墻

防火墻可以根據(jù)互聯(lián)系統(tǒng)的安全策略對進出網(wǎng)絡的信息流進行控制(允許、拒絕、監(jiān)測)。防火墻作為不同網(wǎng)絡或網(wǎng)絡安全區(qū)域之間信息的出入口，能根據(jù)系統(tǒng)的安全策略控制出入網(wǎng)絡的信息流，且具有較強的抗攻擊能力，它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和外部網(wǎng)之間的活動，保證內部網(wǎng)絡的安全。

通過防火墻可以防止非系統(tǒng)內用戶的非法入侵、過濾不安全服務及規(guī)劃網(wǎng)絡信息的流向。防火墻的重要作用是網(wǎng)絡隔離和對用戶進行訪問控制，目的是防止對網(wǎng)絡信息資源的非授權訪問和操作，包括各個子網(wǎng)對上級網(wǎng)絡，各個同級子網(wǎng)之間的非法訪問和操作。這些訪問控制，在物理鏈路一級的加密設備中很難實現(xiàn)，而防火墻則具有很強的安全網(wǎng)絡訪問控制能力，主要體現(xiàn)在它完善的訪問控制策略上。

2.??? 接口服務器

接口服務器的目的在于實現(xiàn)威脅等級高的系統(tǒng)訪問威脅等級低的系統(tǒng)時，Server-Server間的通信。通過接口服務器，使防護等級高的系統(tǒng)中后臺的核心服務器對威脅等級高的系統(tǒng)屏蔽，在向威脅等級高的系統(tǒng)訪問時，看到的僅僅是應用接口服務器，這樣對系統(tǒng)的防護更加有效，而且也更容易實現(xiàn)二者之間的訪問控制，因此適用于威脅等級高的系統(tǒng)訪問防護等級高的系統(tǒng)。這種保護方式需要與單層或雙重異構防火墻結合進行部署。類似設備，如堡壘主機、數(shù)據(jù)交換服務器等。

3.??? 病毒過濾

病毒過濾一般采用全面的協(xié)議保護和內嵌的內容過濾功能，能夠對SMTP、PUP3、IMAP、HTTP、FTP等應用協(xié)議進行病毒過濾以及采用關鍵字、URL過濾等方式來阻止非法數(shù)據(jù)的進入。由于數(shù)據(jù)流經(jīng)歷了完全的過濾檢查，必然會使得其效率有所降低。

4.??? 入侵防護

入侵防護是一種主動式的安全防御技術，它不僅能實時監(jiān)控到各種惡意與非法的網(wǎng)絡流量，同時還可以直接將有害的流量阻擋于所保護的網(wǎng)絡之外，從而對其網(wǎng)絡性能進行最佳的優(yōu)化。入侵防護主要用來防護三種類型的攻擊：異常流量類防護、攻擊特征類防護、漏洞攻擊類防護。

5.??? 單向物理隔離

物理隔離技術通常采用高速電子開關隔離硬件和專有協(xié)議，確保網(wǎng)絡間在任意時刻物理鏈路完全斷開。同時可以在兩個相互物理隔離的網(wǎng)絡間安全、高速、可靠地進行數(shù)據(jù)交換。

6.??? 拒絕服務防護

拒絕服務防護一般包含兩個方面：一是針對不斷發(fā)展的攻擊形式，能夠有效地進行檢測；二是降低對業(yè)務系統(tǒng)或者是網(wǎng)絡的影響，保證業(yè)務系統(tǒng)的連續(xù)性和可用性。通常拒絕服務防護應能夠從背景流量申精確的區(qū)分攻擊流量、降低攻擊對服務的影響、具備很強的擴展性和良好的可靠性。

7.??? 認證和授權

基于數(shù)字證書，實現(xiàn)網(wǎng)絡訪問身份的高強度認證，保障網(wǎng)絡邊界的安全；只有通過數(shù)字證書校驗的合法的、被授權的用戶才可以接入網(wǎng)絡，才可以訪問后臺的業(yè)務系統(tǒng)。

網(wǎng)絡 邊緣數(shù)據(jù)中心管理 EDCM 通用安全

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。