王歡+許暖+王守濤

【摘要】 隨著安徽移動信息化的快速發(fā)展，業(yè)務(wù)系統(tǒng)成倍增加，網(wǎng)絡(luò)復雜度也在不斷提高。目前網(wǎng)絡(luò)主要存在問題有：網(wǎng)絡(luò)邊界不夠清晰，對網(wǎng)絡(luò)各個部分缺乏統(tǒng)一規(guī)劃，導致不少項目都有自己的防火墻設(shè)備，防火墻部署隨意性較大，種類雜亂，性能高低不一，不便于統(tǒng)一管理；由于缺乏統(tǒng)一的規(guī)劃，導致訪問控制策略制作非常繁瑣、復雜，一個需求有時候需要在幾個防火墻上同時制作策略，對全網(wǎng)的穩(wěn)定性帶來極大的影響，同時在發(fā)生問題時，路由和策略排查也耽誤很長時間。安徽移動提出安全域劃分模型并在辦公網(wǎng)進行了實踐，實現(xiàn)不同系統(tǒng)之間安全域隔離，從縱深的角度，全盤考慮安全部署和應用，提高了網(wǎng)絡(luò)安全性。

【關(guān)鍵字】 網(wǎng)絡(luò)安全 信息安全 安全域 邊界整合 網(wǎng)絡(luò)優(yōu)化

一、概述

傳統(tǒng)IT系統(tǒng)整體網(wǎng)絡(luò)建設(shè)方案很少從宏觀的角度關(guān)注IT安全體系的建立，經(jīng)常采用如物理隔離的方式來達到安全的目的，甚至建設(shè)兩套網(wǎng)絡(luò)，即所謂的內(nèi)網(wǎng)、外網(wǎng)。這種以物理隔離為主的消極防御手段使得某一IT系統(tǒng)只能做到針對自身的操作應用，而無法實現(xiàn)與其他相關(guān)系統(tǒng)之間、與Internet之間的信息交互和共享，不但禁止了有用數(shù)據(jù)交換，造成信息化工作無法開展，還進一步增加了投資，這與積極防御的理念是背道而馳的。另外，物理隔離的消極影響還在于可能會導致內(nèi)部網(wǎng)絡(luò)用戶出現(xiàn)通過電話線外連、移動計算設(shè)備一機多用、用移動存儲介質(zhì)在網(wǎng)絡(luò)間交換未知數(shù)據(jù)等潛在威脅。其次，由于IT系統(tǒng)所在的內(nèi)部網(wǎng)絡(luò)的建設(shè)方案缺乏宏觀的安全規(guī)劃，同時常規(guī)的安全系統(tǒng)經(jīng)常是分別隨著各自網(wǎng)絡(luò)或者應用系統(tǒng)進行建設(shè)的，雖然在一定程度上能夠起到安全防護作用，但是由于各套IT系統(tǒng)的安全建設(shè)自成體系、分散單一，缺乏統(tǒng)籌考慮和宏觀把握，造成系統(tǒng)中安全防御的主動權(quán)沒有辦法集中起來。因而帶來IT系統(tǒng)的安全防護能力、隱患發(fā)現(xiàn)能力、應急反應能力、信息對抗能力的整體效能下降等一系列問題。同時也帶來運營商制訂的統(tǒng)一安全策略難以貫徹、重復建設(shè)，安全設(shè)備不能充分發(fā)揮作用等問題。

因此，克服和改造IT系統(tǒng)傳統(tǒng)局域網(wǎng)整體結(jié)構(gòu)的不足是解決網(wǎng)絡(luò)安全的首要工作，而安全域劃分及對安全域細粒度保護的方法是解決這個問題的最佳方案。只有通過明確安全域劃分的原則，才能形成清晰、簡潔、穩(wěn)定的IT組網(wǎng)架構(gòu)，實現(xiàn)系統(tǒng)之間嚴格訪問控制的安全互連，更好的解決復雜系統(tǒng)的安全問題。

二、研究意義

安全域[1]是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，是根據(jù)信息性質(zhì)、使用主體、安全目標和策略等的不同來劃分的，是具有相近的安全屬性需求的網(wǎng)絡(luò)實體的集合。同一安全域的系統(tǒng)共享相同的安全策略，安全域劃分的目的是把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題，是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護的有效方法。安全域劃分是將網(wǎng)絡(luò)系統(tǒng)劃分為不同安全區(qū)域，分別進行安全保護的過程。通過安全域的劃分和保護，可以基于網(wǎng)絡(luò)和系統(tǒng)進行安全檢查和評估，進而有效建立安全管理控制點，指導系統(tǒng)安全規(guī)劃、設(shè)計、入網(wǎng)和驗收工作。同時實現(xiàn)安全域邊界為災難發(fā)生時的抑制點，防止影響的擴散，同時避免了安全方面的重復投資，實現(xiàn)對各類終端用戶的控制，特別是對不可信用戶的可信控制。

三、安全域的創(chuàng)新研究

PPDRRF模型[2]是典型的、公認的安全處理模型。它是一種動態(tài)的、自適應的安全處理模型，可適應安全風險和安全需求的不斷變化，提供持續(xù)的安全保障。PPDRRF模型包括策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）和取證（Forensic）6個主要部分。防護、檢測、響應、恢復和取證構(gòu)成一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導下共同實現(xiàn)安全保障。

安徽移動安全域劃分一期目標主要實現(xiàn)PPDRRF模型中的策略（Policy）和防護（Protection），并為檢測（Detection）、響應（Response）、恢復（Recovery）和取證（Forensic）提供基 礎(chǔ)。依據(jù)支撐系統(tǒng)的架構(gòu)和IT組件提供的核心功能（業(yè)務(wù)功能、控制功能、管理功能）對支撐網(wǎng)系統(tǒng)進行計算域、用戶域、支撐域、網(wǎng)絡(luò)域的劃分，形成安全域劃分概要模型，如圖1所示。

在上一步劃分的基礎(chǔ)上，按照“先應用后網(wǎng)絡(luò)”的順序?qū)ο到y(tǒng)進行安全域的細分。應用層面包括了計算域、用戶域、支撐域，網(wǎng)絡(luò)層面包括網(wǎng)絡(luò)域。通過明確系統(tǒng)提供的各種核心業(yè)務(wù)功能及控制、管理支撐服務(wù)，分析其相應的數(shù)據(jù)流，識別其相應的應用結(jié)構(gòu)、用戶類型和分布、支撐服務(wù)及網(wǎng)絡(luò)邏輯結(jié)構(gòu)，對系統(tǒng)計算域、網(wǎng)絡(luò)域在水平方向進行不同數(shù)據(jù)流的邏輯隔離，在垂直方向進行邏輯結(jié)構(gòu)分層。計算域細分基于系統(tǒng)包括的各種應用結(jié)構(gòu)，依據(jù)應用結(jié)構(gòu)所承載數(shù)據(jù)流的不同進行水平方向分割；基于各個應用結(jié)構(gòu)的內(nèi)在業(yè)務(wù)處理邏輯功能的不同進行接入計算域、應用計算域、數(shù)據(jù)計算域的劃分。用戶域細分根據(jù)工作終端的業(yè)務(wù)類別進行業(yè)務(wù)用戶域、管理用戶域的劃分，再依據(jù)其網(wǎng)絡(luò)邏輯位置、用戶主體的不同進行本地、遠程及第三方的細分。支撐域細分根據(jù)IT要素所提供的支撐功能或服務(wù)的不同進行運維支撐域、網(wǎng)管支撐域、安全支撐域的劃分。網(wǎng)絡(luò)域細分依據(jù)應用結(jié)構(gòu)將網(wǎng)絡(luò)域垂直分為網(wǎng)絡(luò)接入域、網(wǎng)絡(luò)核心域兩層；然后根據(jù)網(wǎng)絡(luò)的外部環(huán)境進行互聯(lián)網(wǎng)接入域、外聯(lián)網(wǎng)接入域、內(nèi)聯(lián)網(wǎng)接入域的劃分，依據(jù)分支接入情況進行分支網(wǎng)接入域劃分，依據(jù)遠程用戶域的情況進行遠程接入域的劃分。對于廣域網(wǎng)，依據(jù)網(wǎng)絡(luò)的層級結(jié)構(gòu)進行網(wǎng)絡(luò)接入域、網(wǎng)絡(luò)匯聚域、網(wǎng)絡(luò)核心域的劃分

根據(jù)對集團公司規(guī)范的研究[4]，結(jié)合我省實際情況，簡化部署策略，高效的進行部門網(wǎng)絡(luò)域的劃分，以“明晰網(wǎng)絡(luò)架構(gòu)、保障訪問安全、精簡防護手段、提高維護效率”為原則，將部門的網(wǎng)絡(luò)劃分為管理信息化域（MSS，簡稱M域）、業(yè)務(wù)支撐域（BSS，簡稱B域）這2個業(yè)務(wù)域，業(yè)務(wù)域間部署防火墻進行域間隔離；各業(yè)務(wù)域內(nèi)劃分：互聯(lián)網(wǎng)出口域、核心域、接口域和開發(fā)測試域這4個子域，同一子域內(nèi)的設(shè)備互訪不受限制，跨子域的訪問需經(jīng)過防火墻進行訪問策略控制。所有的業(yè)務(wù)系統(tǒng)必須歸屬于1個業(yè)務(wù)域，并且在核心域內(nèi)基于VLAN進行網(wǎng)絡(luò)管理，不在通過防火墻進行訪問控制。所有的防火墻部署基于主備互用或負載均衡架構(gòu)，確保網(wǎng)絡(luò)的動態(tài)冗余性[5] ?；ヂ?lián)網(wǎng)出口域因業(yè)務(wù)敏感性，采用雙層異構(gòu)防火墻，同時部署相應的安全防護設(shè)備進行安全管控。業(yè)務(wù)域和子域間防火墻在業(yè)務(wù)等級高的業(yè)務(wù)區(qū)部署，具體來說：B域和M域間在B域側(cè)部署防火墻，互聯(lián)網(wǎng)出口域和核心域在互聯(lián)網(wǎng)出口域側(cè)進行隔離，核心域和接口域在核心域側(cè)進行隔離。云平臺內(nèi)部劃分為：BSS、MSS、OSS、開發(fā)測試、綜合訪問區(qū)、互聯(lián)網(wǎng)訪問區(qū)這6個域，在開發(fā)測試、綜合訪問和互聯(lián)網(wǎng)訪問這3個域，分別劃分3個子與域?qū)狟SS、MSS和OSS。各域間默認禁止互訪，各域內(nèi)不同的業(yè)務(wù)系統(tǒng)使用不同的VLAN進行隔離。各域之間的互訪，則通過引入虛擬防火墻，進行訪問策略的控制。

根據(jù)集團公司《中國移動支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求》，威脅等級分為1-5，其中5威脅最大，即可能造成的損失最大[3]。通過單層防火墻實現(xiàn)兩個安全域邊界的訪問控制，適用于威脅等級相差較小的安全域之間的連接，具體包括支撐系統(tǒng)之間的互訪，支撐系統(tǒng)內(nèi)部互訪、集團-省公司-地市的連接，第三方、漫游終端對支撐系統(tǒng)的訪問。通過雙重異構(gòu)防火墻實現(xiàn)邊界的訪問控制，適用于威脅等級為4、5的系統(tǒng)與等級為1、2的支撐系統(tǒng)的連接，具體包括銀行和SP等合作伙伴的連接，VPN 專網(wǎng)應用的合作伙伴的連接，業(yè)務(wù)支撐系統(tǒng)的網(wǎng)上營業(yè)廳、網(wǎng)上聯(lián)辦營業(yè)廳，網(wǎng)管系統(tǒng)的綜合IP數(shù)據(jù)網(wǎng)管的采集，企業(yè)信息化系統(tǒng)與互聯(lián)網(wǎng)的連接，包括辦公上網(wǎng)、企業(yè)代理商的接入等。通過接口服務(wù)器（如PORTAL）實現(xiàn)系統(tǒng)之間的互訪，適用于威脅等級為3、5的系統(tǒng)與1、2的支撐系統(tǒng)的連接，具體包括網(wǎng)上營業(yè)廳的WEB服務(wù)器，銀行的前置機，IP數(shù)據(jù)網(wǎng)管的采集服務(wù)器，企業(yè)信息化系統(tǒng)的郵件轉(zhuǎn)發(fā)服務(wù)器和短消息轉(zhuǎn)發(fā)服務(wù)器等。通過接口服務(wù)器結(jié)合物理隔離實現(xiàn)內(nèi)/外網(wǎng)的訪問，適用于互聯(lián)網(wǎng)與支撐系統(tǒng)之間的互聯(lián)邊界，不適用于有大量實時性數(shù)據(jù)交互的系統(tǒng)之間的連接，具體包括業(yè)務(wù)支撐系統(tǒng)與網(wǎng)上營業(yè)廳的WEB服務(wù)器、SP對帳系統(tǒng)之間的連接等。

為便于描述，針對上述采用單層防火墻的訪問控制手段，我們稱其為NSG（Normal Secure Gateway）；針對上述采用雙重異構(gòu)防火墻的訪問控制手段，我們稱其為ESG（Enhanced Secure Gateway）。CMnet到核心域使用ESG進行網(wǎng)絡(luò)隔離，終端域到業(yè)務(wù)系統(tǒng)使用NSG進行隔離，接口域到其他業(yè)務(wù)域使用了接口服務(wù)器隔離，最終形成了適用于安徽移動的安全域劃分模型，如圖2所示。

四、應用情況

整改后BOSS分公司終端用戶，設(shè)計院BOSS終端用戶和鐵通省公司終端用戶訪問BOSS應用，直接從緯五路新建兩臺NE40E路由器經(jīng)BOSS核心交換機，對BOSS應用進行訪問；訪問OA應用，從緯五路新建兩臺S9300交換機經(jīng)OA核心PE路由器，對OA應用進行訪問。OA分公司終端用戶，設(shè)計院OA終端用戶和鐵通省公司終端用戶訪問BOSS應用，從緯五路新建兩臺NE40E路由器經(jīng)BOSS核心交換機，對BOSS應用進行訪問；訪問OA應用直接經(jīng)OA核心PE路由器訪問OA業(yè)務(wù)應用。根據(jù)監(jiān)測數(shù)據(jù)報告，核心設(shè)備CPU利用率同比降低了20%。最終不僅實現(xiàn)了同安全域內(nèi)訪問使用NSG隔離，不同安全域間訪問使用ESG隔離的安徽移動安全域劃分模型，提高了網(wǎng)絡(luò)安全性，而且減少了路由跳數(shù)，還減小了核心設(shè)備的壓力。

參 考 文 獻

[1]于慧龍；李萍；大型信息系統(tǒng)安全域劃分和等級保護[J]；計算機安全；2006年07期

[2]孟學軍，石崗；基于P～2DR的網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J]；計算機工程；2004年04期

[3]《中國移動業(yè)務(wù)支撐網(wǎng)安全域劃分和邊界整合技術(shù)要求》（QB-J-003-2005）

[4]《中國移動支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求》

[5]張智杰. 安全域劃分關(guān)鍵理論與應用實現(xiàn)[D]. 昆明：昆明理工大學，2008.