劃分安全域的原則

    安全域是指同一環(huán)境內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。啟明星辰公司采用“同構(gòu)性簡化”的安全域劃分方法，將復(fù)雜的大網(wǎng)絡(luò)進(jìn)行簡化后設(shè)計(jì)防護(hù)體系，以便進(jìn)行有效的安全管理。

    啟明星辰公司安全域劃分遵循以下原則：

    1、業(yè)務(wù)保障原則：在保證安全的同時，更要保障網(wǎng)絡(luò)承載業(yè)務(wù)的正常、高效運(yùn)行；

    2、結(jié)構(gòu)簡化原則：安全域劃分的直接目標(biāo)是將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。因此，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多、過雜反而可能導(dǎo)致安全域的管理過于復(fù)雜，實(shí)際操作過于困難；

    3、立體協(xié)防原則：安全域劃分的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等層次；同時，在部署安全域防護(hù)體系的時候，要綜合運(yùn)用身份鑒別、訪問控制、檢測審計(jì)、鏈路冗余、內(nèi)容檢測等各種安全功能實(shí)現(xiàn)協(xié)防。

    以某運(yùn)營商的MBOSS系統(tǒng)為例，我們通過對該系統(tǒng)進(jìn)行數(shù)據(jù)流分析、網(wǎng)絡(luò)結(jié)構(gòu)分析，結(jié)合考慮現(xiàn)有的安全隱患，從資產(chǎn)價值、脆弱性、安全隱患三者間的關(guān)系出發(fā)，得到了整體的安全防護(hù)體系和各個業(yè)務(wù)系統(tǒng)自身的安全防護(hù)體系，為進(jìn)一步管理整合后的安全域做好了準(zhǔn)備。
 

   事例圖

    基于安全域劃分的最佳實(shí)踐，該運(yùn)營商的業(yè)務(wù)支撐系統(tǒng)（BSS）、企業(yè)信息系統(tǒng)（MSS）和網(wǎng)管系統(tǒng)（OSS）被分別劃入不同的安全域，再根據(jù)每個安全域內(nèi)部的特定安全需求進(jìn)一步劃分安全子域，包括：核心交換區(qū)、核心生產(chǎn)區(qū)、日常辦公區(qū)、管理服務(wù)區(qū)、接口區(qū)、內(nèi)部系統(tǒng)互聯(lián)網(wǎng)區(qū)、外部系統(tǒng)互聯(lián)區(qū)。

    安全加固

    仍以上圖為例，在劃分完安全域之后，我們對不同安全域內(nèi)的關(guān)鍵設(shè)備進(jìn)行了安全加固，依據(jù)是：各安全域內(nèi)部的設(shè)備由于不同的互聯(lián)需求，面臨的威脅也不同，因此其安全需求也存在很大差異。

    1、生產(chǎn)服務(wù)器：一般都是UNIX平臺，資產(chǎn)價值最高，不直接連接外部網(wǎng)絡(luò)，主要的安全需求是訪問控制、賬號口令、權(quán)限管理和補(bǔ)丁管理；

    2、維護(hù)終端：一般都是WINDOWS平臺，維護(hù)管理人員可以直接操作，其用戶接入的方式也不盡相同（本地維護(hù)終端、遠(yuǎn)程維護(hù)終端），面臨著病毒擴(kuò)散、漏洞補(bǔ)丁、誤操作、越權(quán)和濫用等威脅，其安全需求是安全策略的集中管理、病毒檢測（固定終端）、漏洞補(bǔ)丁等；

    3、第三方：對業(yè)務(wù)系統(tǒng)的軟、硬件進(jìn)行遠(yuǎn)程維護(hù)或現(xiàn)場維護(hù)，其操作很難控制，面臨著病毒、漏洞、攻擊、越權(quán)或?yàn)E用、泄密等威脅，安全需求主要是接入控制，包括IP／MAC地址綁定、帳號口令、訪問控制，以及在線殺毒、防毒墻、應(yīng)用層的帳號口令管理、補(bǔ)丁管理等；

    4、合作伙伴：涉及到與其他系統(tǒng)的連接，面臨著病毒、漏洞、入侵等威脅，安全需求是病毒防護(hù)、入侵檢測、漏洞補(bǔ)丁等。

    5、互聯(lián)網(wǎng)：面臨著黑客入侵、病毒擴(kuò)散等威脅，主要的安全需求是入侵檢測、病毒防護(hù)、數(shù)據(jù)過濾等。

    安全域與安全策略的結(jié)合

    在劃分安全域、進(jìn)行安全加固的基礎(chǔ)上，還需要對網(wǎng)絡(luò)邊界和重點(diǎn)區(qū)域采取特定的安全措施。

    邊界安全

    對于任何安全域的保護(hù)，邊界安全是最低的保護(hù)措施，通過對邊界的控制能夠保護(hù)安全域不受到來自其它區(qū)域的安全威脅。在上面的圖例中，我們采用了以下技術(shù)：邊界隔離、認(rèn)證、監(jiān)視、審計(jì)。具體的產(chǎn)品實(shí)現(xiàn)包括：MPLS VPN、VPN Lite、防火墻、接口主機(jī)、交換機(jī)VLAN、PVLAN、ACL等。

    區(qū)域安全

    區(qū)域安全是通過在安全域內(nèi)部設(shè)置監(jiān)視、測量、清理、審計(jì)等技術(shù)手段，實(shí)現(xiàn)安全域內(nèi)安全事件的及時響應(yīng)和清除。安全域的區(qū)域安全以安全狀況的監(jiān)控為主，對于本安全域內(nèi)部的安全事件及時響應(yīng)和清除，是安全域的核心安全處置手段。具體采用的技術(shù)和產(chǎn)品包括：入侵檢測、安全審計(jì)、漏洞掃描、病毒防護(hù)、訪問控制、帳號管理、補(bǔ)丁管理、流量監(jiān)控等。

    實(shí)現(xiàn)效益

    通過劃分安全域?qū)崿F(xiàn)等級保護(hù)，啟明星辰公司把電信運(yùn)營商復(fù)雜的安全問題化解成小區(qū)域的安全保護(hù)問題，從而在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)大規(guī)模的等級保護(hù)。

    啟明星辰公司提出的解決方案不僅僅是從網(wǎng)絡(luò)系統(tǒng)、技術(shù)層面和單一安全設(shè)備來看待問題，更是從網(wǎng)絡(luò)建設(shè)的整體規(guī)劃出發(fā)，全盤考慮，幫助電信運(yùn)營商從根本上解決安全問題。

    在通訊產(chǎn)業(yè)與信息產(chǎn)業(yè)迅猛結(jié)合的今天，采用啟明星辰公司安全域解決方案無疑將大大簡化電信運(yùn)營商復(fù)雜的安全問題及安全管理工作，化無序?yàn)橛行颍岣甙踩ぷ餍省?br />
    從SOX內(nèi)控審計(jì)的角度，安全域解決方案勢必將發(fā)揮其潛在的巨大優(yōu)勢，幫助電信運(yùn)營商在SOX內(nèi)控審計(jì)的過程中化繁為簡，快速達(dá)到安全指標(biāo)要求，與國際接軌，為企業(yè)帶來更大的市場和經(jīng)濟(jì)效益。