數(shù)據(jù)中心信息系統(tǒng)安全域(保護(hù)對(duì)象)的設(shè)計(jì)

安全區(qū)域(以下簡(jiǎn)稱為安全域)是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)。安全域劃分是保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)施穩(wěn)定正常的基礎(chǔ)，也是保障業(yè)務(wù)信息安全的基礎(chǔ)。

一、安全域設(shè)計(jì)方法

安全域模型設(shè)計(jì)采用"同構(gòu)性簡(jiǎn)化"方法，基本思路是認(rèn)為一個(gè)復(fù)雜的網(wǎng)絡(luò)應(yīng)當(dāng)是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些網(wǎng)絡(luò)結(jié)構(gòu)元以拼接、遞歸等方式構(gòu)造出一個(gè)大的網(wǎng)絡(luò)。

一般來(lái)講，對(duì)信息系統(tǒng)安全域(保護(hù)對(duì)象)的設(shè)計(jì)應(yīng)主要考慮如下方面因素：

1.??? 業(yè)務(wù)和功能特性

1)??? 業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性。

2)??? 業(yè)務(wù)系統(tǒng)對(duì)外連接。對(duì)外業(yè)務(wù)、支撐、內(nèi)部管理。

2.??? 安全特性的要求

1)??? 安全要求相似性?？捎眯?、保密性和完整性的要求。

2)??? 威脅相似性。威脅來(lái)源、威脅方式和強(qiáng)度。

3)??? 資產(chǎn)價(jià)值相近性。重要與非重要資產(chǎn)分離。

3.??? 參照現(xiàn)有狀況

1)??? 現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況。現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、地域和機(jī)房等。

2)??? 參照現(xiàn)有的管理部門職權(quán)劃分。?

二、安全域設(shè)計(jì)步驟

一個(gè)數(shù)據(jù)中心內(nèi)部安全域的劃分主要有如下步驟：

1.??? 查看業(yè)務(wù)系統(tǒng)訪問(wèn)關(guān)系

查看網(wǎng)絡(luò)上承載的業(yè)務(wù)系統(tǒng)的訪問(wèn)終端與業(yè)務(wù)主機(jī)的訪問(wèn)關(guān)系及業(yè)務(wù)主機(jī)之間的訪問(wèn)關(guān)系，若業(yè)務(wù)主機(jī)之間沒有任何訪問(wèn)關(guān)系，則單獨(dú)考慮各業(yè)務(wù)系統(tǒng)安全域的劃分，若業(yè)務(wù)主機(jī)之間有訪問(wèn)關(guān)系，則幾個(gè)業(yè)務(wù)系統(tǒng)一起考慮安全域的劃分。

2.??? 劃分安全計(jì)算域

根據(jù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)功能實(shí)現(xiàn)機(jī)制、保護(hù)等級(jí)程度進(jìn)行安全計(jì)算域的劃分，一般分為核心處理域和訪問(wèn)域，其中數(shù)據(jù)庫(kù)服務(wù)器等后臺(tái)處理設(shè)備歸入核心處理域，前臺(tái)直接面對(duì)用戶的應(yīng)用服務(wù)器歸入訪問(wèn)域；局域網(wǎng)訪問(wèn)域可以有多種類型，包括開發(fā)區(qū)、測(cè)試區(qū)、數(shù)據(jù)共享區(qū)、數(shù)據(jù)交換區(qū)、第三方維護(hù)管理區(qū)、VPN接入?yún)^(qū)等；局域網(wǎng)的內(nèi)部核心處理域包括數(shù)據(jù)庫(kù)、安全控制管理、后臺(tái)維護(hù)區(qū)(網(wǎng)管工作)等，核心處理域應(yīng)具有隔離設(shè)備對(duì)該區(qū)域進(jìn)行安全隔離，如防火墻、路由器(使用ACL)、交換機(jī)(使用VLAN)等。

3.??? 劃分安全用戶域

根據(jù)業(yè)務(wù)系統(tǒng)的訪問(wèn)用戶分類進(jìn)行安全用戶域的劃分，訪問(wèn)同類數(shù)據(jù)的用戶終端、需要進(jìn)行相同級(jí)別保護(hù)劃為一類安全用戶域，一般分為管理用戶域、內(nèi)部用戶域、外部用戶域。

4.??? 劃分安全網(wǎng)絡(luò)域

安全網(wǎng)絡(luò)域是由連接具有相同安全等級(jí)的計(jì)算域和(或)用戶域組成的網(wǎng)絡(luò)域。網(wǎng)絡(luò)域的安全等級(jí)的確定與網(wǎng)絡(luò)所連接的安全用戶域和(或)安全計(jì)算域的安全等級(jí)有關(guān)。一般同一網(wǎng)絡(luò)內(nèi)分為三種安全域：外部域、接入域、內(nèi)部域。

三、安全域模型

該模型包含安全服務(wù)域、有線接入域、無(wú)線接入域、安全支撐域和安全互聯(lián)域等五個(gè)安全區(qū)域。同一安全區(qū)域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)，如進(jìn)出信息保護(hù)機(jī)制、訪問(wèn)控制、物理安全特性等。

1.??? 安全服務(wù)域

安全服務(wù)域是指由各信息系統(tǒng)的主機(jī)/服務(wù)器經(jīng)局域網(wǎng)連接組成的存儲(chǔ)和處理數(shù)據(jù)信息的區(qū)域。安全服務(wù)域細(xì)分為關(guān)鍵業(yè)務(wù)、綜合業(yè)務(wù)、公共服務(wù)和開發(fā)測(cè)試等4個(gè)子域。

劃分規(guī)則

1)??? 等保三級(jí)的業(yè)務(wù)系統(tǒng)服務(wù)器劃入關(guān)鍵業(yè)務(wù)子域，例如，財(cái)務(wù)管理系統(tǒng)。

2)??? SAN集中存儲(chǔ)系統(tǒng)劃入關(guān)鍵業(yè)務(wù)子域，并在SAN存儲(chǔ)設(shè)備上單獨(dú)劃分出物理/邏輯存儲(chǔ)區(qū)域，分別對(duì)應(yīng)關(guān)鍵業(yè)務(wù)子域、綜合業(yè)務(wù)子域、公共服務(wù)子域、開發(fā)測(cè)試子域中的存儲(chǔ)的空間。

3)??? 等保末達(dá)到三級(jí)的業(yè)務(wù)系統(tǒng)服務(wù)器劃入綜合業(yè)務(wù)子域，例如，人力資源、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等業(yè)務(wù)系統(tǒng)服務(wù)器。

4)??? 提供網(wǎng)絡(luò)基礎(chǔ)服務(wù)的非業(yè)務(wù)系統(tǒng)服務(wù)器劃入公共服務(wù)子域，例如，DNS服務(wù)器、Windows域服務(wù)器等。

5)??? 用于開發(fā)和測(cè)試的服務(wù)器劃分入開發(fā)測(cè)試子域。

2.??? 有線接入域

有線接入域是指由有線用戶終端及有線網(wǎng)絡(luò)接入基礎(chǔ)設(shè)施組成的區(qū)域。終端安全是信息安全防護(hù)的瓶頸和重點(diǎn)。

劃分規(guī)則

所有有線用戶終端及有線網(wǎng)絡(luò)接入基礎(chǔ)設(shè)施劃入有線接入域。

3.??? 無(wú)線接入域

無(wú)線接入域是指由無(wú)線用戶終端、無(wú)線集線器、無(wú)線訪問(wèn)節(jié)點(diǎn)、無(wú)線網(wǎng)橋和無(wú)線網(wǎng)卡等無(wú)線接入基礎(chǔ)設(shè)施組成的區(qū)域。

劃分規(guī)則

所有無(wú)線用戶終端和無(wú)線集線器、無(wú)線訪問(wèn)節(jié)點(diǎn)、無(wú)線網(wǎng)橋、無(wú)線網(wǎng)卡等無(wú)線接入基礎(chǔ)設(shè)施劃入無(wú)線接入域。

4.??? 安全支撐域

安全支撐域是指由各類安全產(chǎn)品的管理平臺(tái)、監(jiān)控中心、維護(hù)終端和服務(wù)器等組成的區(qū)域，實(shí)現(xiàn)的功能包括安全域內(nèi)的身份認(rèn)證、權(quán)限控制、病毒防護(hù)、補(bǔ)丁升級(jí)，各類安全事件的收集、整理、關(guān)聯(lián)分析，安全審計(jì)，入侵檢測(cè)，漏洞掃描等。

劃分規(guī)則

各類安全產(chǎn)品的管理平臺(tái)、監(jiān)控中心、維護(hù)終端和服務(wù)器劃入安全支撐域。

5.??? 安全互聯(lián)域

安全互聯(lián)域是指由連接安全服務(wù)域、有線接入域、無(wú)線接入域、安全支撐域和外聯(lián)網(wǎng)(Extranet)的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成的區(qū)域。安全互聯(lián)域細(xì)分為局域網(wǎng)互聯(lián)、廣域網(wǎng)互聯(lián)、外部網(wǎng)互聯(lián)、因特網(wǎng)互聯(lián)4個(gè)子域。

劃分規(guī)則

1)??? 局域網(wǎng)核心層、匯聚層互聯(lián)設(shè)備和鏈路劃入局域網(wǎng)互聯(lián)子域。

2)??? 自主管理的綜合數(shù)字網(wǎng)接入鏈路和接入設(shè)備，包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備和前端服務(wù)器劃入廣域網(wǎng)互聯(lián)子域。

3)??? 自主管理的第三方合作伙伴網(wǎng)絡(luò)接入鏈路和接入設(shè)備，包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備和前端服務(wù)器劃入外部網(wǎng)互聯(lián)子域。

4)??? 自主管理的因特網(wǎng)接入鏈路和接入設(shè)備，包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備和前端服務(wù)器劃入因特網(wǎng)互聯(lián)子域。

四、安全域互訪原則

1.??? 安全服務(wù)域、安全支撐域、有線接入域、無(wú)線接入域之間的互訪

必須經(jīng)過(guò)安全互聯(lián)域，不允許直接連接。

2.??? 關(guān)鍵業(yè)務(wù)子域、綜合業(yè)務(wù)子域、公共服務(wù)子域、開發(fā)測(cè)試子與之間的互訪

必須經(jīng)過(guò)安全互聯(lián)域，不允許百接連接。

3.??? 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他安全域或子域之間的互訪

必須經(jīng)過(guò)安全互聯(lián)域，不允許直接連接。

4.??? 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪

必須經(jīng)過(guò)安全互聯(lián)域，不允許直接連接。

5.??? 同一安全子域之間的互訪

如關(guān)鍵業(yè)務(wù)子域、綜合業(yè)務(wù)子域、基礎(chǔ)業(yè)務(wù)子域、公共服務(wù)子域、開發(fā)測(cè)試子域內(nèi)部的不同系統(tǒng)之間應(yīng)采用VLAN進(jìn)行隔離，VLAN間的路由應(yīng)設(shè)置在核心或匯聚層設(shè)備上，不允許通過(guò)接入層交換機(jī)進(jìn)行路由。

五、安全域邊界整合及整合原則

安全域之間互聯(lián)接口數(shù)量越多，安全性越難以控制，因此，必須在保證各種互聯(lián)需求的前提下對(duì)安全域邊界進(jìn)行合理整合，通過(guò)對(duì)系統(tǒng)接口的有效整理和歸并，減少接口數(shù)量，提高接口規(guī)范性。邊界整合最終要實(shí)現(xiàn)不同類別邊界鏈路層物理隔離，邊界設(shè)備(如交換機(jī)、路由器或防火墻等)實(shí)現(xiàn)硬件獨(dú)立，杜絕混用現(xiàn)象。同時(shí)邊界設(shè)備要滿足冗余要求。

安全域邊界整合的原則

1.??? 安全支撐域與安全互聯(lián)域之間所有的互訪接口整合為一個(gè)邊界

2.??? 有線接入域與安全互聯(lián)域之間所有的互訪接口整合為一個(gè)邊界

3.??? 安全互聯(lián)域與外部網(wǎng)絡(luò)之間所有的互訪接口整合為三個(gè)邊界

1)??? 廣域網(wǎng)互連子域與廣域網(wǎng)之間所有的互訪接口整合為一個(gè)邊界。

2)??? 因特網(wǎng)互聯(lián)子域與因特網(wǎng)之間所有的互訪接口整合為一個(gè)邊界。

3)??? 外部網(wǎng)互聯(lián)子域與第三方網(wǎng)絡(luò)之間所有的互訪接口整合為一個(gè)邊界。

4.??? 安全服務(wù)域與安全互聯(lián)域之間所有的互訪接口整合為四個(gè)邊界

關(guān)鍵業(yè)務(wù)子域邊界、綜合業(yè)務(wù)子域邊界、公共服務(wù)子域邊界、開發(fā)測(cè)試子域邊界。

1)??? 關(guān)鍵業(yè)務(wù)子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個(gè)邊界。

2)??? 綜合業(yè)務(wù)子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個(gè)邊界。

3)??? 公共服務(wù)子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個(gè)邊界。

4)??? 開發(fā)測(cè)試子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個(gè)邊界。

六、邊界防護(hù)技術(shù)

目前常用的邊界保護(hù)技術(shù)主要包括防火墻、接口服務(wù)器、病毒過(guò)濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)等。

1.??? 防火墻

防火墻可以根據(jù)互聯(lián)系統(tǒng)的安全策略對(duì)進(jìn)出網(wǎng)絡(luò)的信息流進(jìn)行控制(允許、拒絕、監(jiān)測(cè))。防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間信息的出入口，能根據(jù)系統(tǒng)的安全策略控制出入網(wǎng)絡(luò)的信息流，且具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。

通過(guò)防火墻可以防止非系統(tǒng)內(nèi)用戶的非法入侵、過(guò)濾不安全服務(wù)及規(guī)劃網(wǎng)絡(luò)信息的流向。防火墻的重要作用是網(wǎng)絡(luò)隔離和對(duì)用戶進(jìn)行訪問(wèn)控制，目的是防止對(duì)網(wǎng)絡(luò)信息資源的非授權(quán)訪問(wèn)和操作，包括各個(gè)子網(wǎng)對(duì)上級(jí)網(wǎng)絡(luò)，各個(gè)同級(jí)子網(wǎng)之間的非法訪問(wèn)和操作。這些訪問(wèn)控制，在物理鏈路一級(jí)的加密設(shè)備中很難實(shí)現(xiàn)，而防火墻則具有很強(qiáng)的安全網(wǎng)絡(luò)訪問(wèn)控制能力，主要體現(xiàn)在它完善的訪問(wèn)控制策略上。

2.??? 接口服務(wù)器

接口服務(wù)器的目的在于實(shí)現(xiàn)威脅等級(jí)高的系統(tǒng)訪問(wèn)威脅等級(jí)低的系統(tǒng)時(shí)，Server-Server間的通信。通過(guò)接口服務(wù)器，使防護(hù)等級(jí)高的系統(tǒng)中后臺(tái)的核心服務(wù)器對(duì)威脅等級(jí)高的系統(tǒng)屏蔽，在向威脅等級(jí)高的系統(tǒng)訪問(wèn)時(shí)，看到的僅僅是應(yīng)用接口服務(wù)器，這樣對(duì)系統(tǒng)的防護(hù)更加有效，而且也更容易實(shí)現(xiàn)二者之間的訪問(wèn)控制，因此適用于威脅等級(jí)高的系統(tǒng)訪問(wèn)防護(hù)等級(jí)高的系統(tǒng)。這種保護(hù)方式需要與單層或雙重異構(gòu)防火墻結(jié)合進(jìn)行部署。類似設(shè)備，如堡壘主機(jī)、數(shù)據(jù)交換服務(wù)器等。

3.??? 病毒過(guò)濾

病毒過(guò)濾一般采用全面的協(xié)議保護(hù)和內(nèi)嵌的內(nèi)容過(guò)濾功能，能夠?qū)MTP、PUP3、IMAP、HTTP、FTP等應(yīng)用協(xié)議進(jìn)行病毒過(guò)濾以及采用關(guān)鍵字、URL過(guò)濾等方式來(lái)阻止非法數(shù)據(jù)的進(jìn)入。由于數(shù)據(jù)流經(jīng)歷了完全的過(guò)濾檢查，必然會(huì)使得其效率有所降低。

4.??? 入侵防護(hù)

入侵防護(hù)是一種主動(dòng)式的安全防御技術(shù)，它不僅能實(shí)時(shí)監(jiān)控到各種惡意與非法的網(wǎng)絡(luò)流量，同時(shí)還可以直接將有害的流量阻擋于所保護(hù)的網(wǎng)絡(luò)之外，從而對(duì)其網(wǎng)絡(luò)性能進(jìn)行最佳的優(yōu)化。入侵防護(hù)主要用來(lái)防護(hù)三種類型的攻擊：異常流量類防護(hù)、攻擊特征類防護(hù)、漏洞攻擊類防護(hù)。

5.??? 單向物理隔離

物理隔離技術(shù)通常采用高速電子開關(guān)隔離硬件和專有協(xié)議，確保網(wǎng)絡(luò)間在任意時(shí)刻物理鏈路完全斷開。同時(shí)可以在兩個(gè)相互物理隔離的網(wǎng)絡(luò)間安全、高速、可靠地進(jìn)行數(shù)據(jù)交換。

6.??? 拒絕服務(wù)防護(hù)

拒絕服務(wù)防護(hù)一般包含兩個(gè)方面：一是針對(duì)不斷發(fā)展的攻擊形式，能夠有效地進(jìn)行檢測(cè)；二是降低對(duì)業(yè)務(wù)系統(tǒng)或者是網(wǎng)絡(luò)的影響，保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。通常拒絕服務(wù)防護(hù)應(yīng)能夠從背景流量申精確的區(qū)分攻擊流量、降低攻擊對(duì)服務(wù)的影響、具備很強(qiáng)的擴(kuò)展性和良好的可靠性。

7.??? 認(rèn)證和授權(quán)

基于數(shù)字證書，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)身份的高強(qiáng)度認(rèn)證，保障網(wǎng)絡(luò)邊界的安全；只有通過(guò)數(shù)字證書校驗(yàn)的合法的、被授權(quán)的用戶才可以接入網(wǎng)絡(luò)，才可以訪問(wèn)后臺(tái)的業(yè)務(wù)系統(tǒng)。

編輯：黃飛

?