宋楊

摘 要：本文主要為未來3～5年的安全規(guī)劃提供原則、策略和技術(shù)上的指導，建立全方位的安全防護體系，結(jié)合生產(chǎn)網(wǎng)絡(luò)實際情況，從安全域劃分、邊界整合及安全防護等多個層面，提出適合省公司發(fā)現(xiàn)需要的安全域劃分規(guī)范。

關(guān)鍵詞：安全域；安全域劃分；邊界整合

中圖分類號：TP312 文獻標識碼：A

在新聞報道中各種網(wǎng)絡(luò)犯罪已經(jīng)屢見不鮮，電子科技的發(fā)展極大地推動了社會生產(chǎn)力的發(fā)展，改善了人們的生活水平，但是在另一個方面，這也給了不法之徒以可乘之機，并且近幾年的網(wǎng)絡(luò)犯罪呈現(xiàn)出犯罪影響范圍逐漸擴大、造成經(jīng)濟損失逐漸增多的趨勢，這就要求各個部門、單位要充分地重視網(wǎng)絡(luò)安全性，并采取多種形式進行有效的安全防護。

1.網(wǎng)絡(luò)安全防護發(fā)展的現(xiàn)狀

為落實工業(yè)與信息化部11號令《通信網(wǎng)絡(luò)安全防護管理辦法》，完善安全防護工作基礎(chǔ)工作，提供安全系統(tǒng)建設(shè)規(guī)劃指導。主要包括安全策略體系建設(shè)，組織和人員建設(shè)、管理制度推進以及策略體系完善等層面，并明確在未來3～5年內(nèi)通過建立全方位的安全防護體系，逐步落實可管階段、可控階段和可信的階段任務(wù)目標。

安全域劃分是極其必要的。進行層次化、有重點的保護是保證系統(tǒng)與網(wǎng)絡(luò)和信息安全的有效手段。目前互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)主要存在以下問題：

隨著網(wǎng)絡(luò)規(guī)模和各相關(guān)應(yīng)用系統(tǒng)的不斷更新?lián)Q代，電子計算機的硬件系統(tǒng)和軟件系統(tǒng)都在發(fā)生著巨大的變化，并且系統(tǒng)的體系結(jié)構(gòu)本身就極其復雜，所以在系統(tǒng)的建設(shè)過程中出現(xiàn)種類不一的網(wǎng)絡(luò)終端以及相應(yīng)的網(wǎng)絡(luò)部件。這些情況也就導致網(wǎng)絡(luò)使用過程中邊界不清晰的情況出現(xiàn)，并且也存在著網(wǎng)絡(luò)端口較為混亂的情況，上述情況的綜合也就造成了企業(yè)部之間、部門和客戶之間的數(shù)據(jù)傳輸受到阻礙，這種互相聯(lián)通之間的阻礙不僅會給企業(yè)運營帶來虧損，還會使企業(yè)網(wǎng)絡(luò)安全得不到保證。

2.系統(tǒng)相關(guān)安全域的劃分

2.1 現(xiàn)行劃分方案

安全域的劃分采用了向日葵結(jié)構(gòu)，即：花心：統(tǒng)一的核心承載網(wǎng)，提供IP可達性及受限IP可達性；花環(huán)：IP承載網(wǎng)邊界；花萼：業(yè)務(wù)模塊與承載網(wǎng)的交互區(qū)域；花瓣：明確單一的業(yè)務(wù)功能模塊。

2.2 安全域劃分

安全域劃分為安全防護基礎(chǔ)工作，主要針對于各業(yè)務(wù)系統(tǒng)進行，梳理出業(yè)務(wù)系統(tǒng)安全域劃分方案及防護策略要求，其流程主要包括安全域劃分、相關(guān)邊界整合及防護策略實施等，在安全域劃分前期重點梳理業(yè)務(wù)流程，明確系統(tǒng)功能、模塊及相關(guān)業(yè)務(wù)網(wǎng)元，最終確定業(yè)務(wù)系統(tǒng)的安全域。

2.3 劃分步驟

2.3.1 明確安全域基本拓撲：網(wǎng)絡(luò)拓撲是了解系統(tǒng)網(wǎng)絡(luò)狀況和系統(tǒng)組成的必要工具，網(wǎng)絡(luò)拓撲中應(yīng)包括系統(tǒng)的組成網(wǎng)絡(luò)要素和的網(wǎng)絡(luò)要素之間的連接方式。

2.3.2 明確安全域網(wǎng)絡(luò)出口：梳理當前網(wǎng)絡(luò)出口情況，明確各業(yè)務(wù)系統(tǒng)所使用的服務(wù)、端口，明確目標地址。

2.3.3 梳理當前業(yè)務(wù)流程：對系統(tǒng)的數(shù)據(jù)流和處理活動進行調(diào)查和訪談，明確系統(tǒng)資產(chǎn)主機的明確歸屬。

2.3.4 安全策略采集：安全策略采集主要是為了進行邊界整合及調(diào)整時，了解現(xiàn)有系統(tǒng)了安全防護策略。

2.3.5 制定網(wǎng)絡(luò)劃分方案：通過對業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)進行劃分，重點梳理出各區(qū)域的資產(chǎn)歸屬和區(qū)域劃分。

2.3.6 實施改造方案討論：在明確要進行相關(guān)的安全域改造后，要對具體的安全改造方案進行討論，確認實施改造方案相關(guān)參與人員及單位。

2.4 對安全域進行相應(yīng)的邊界調(diào)整合并

2.4.1 進行物理調(diào)整合并

對安全域進行物理整合，也就是對于當前系統(tǒng)或者說多個系統(tǒng)以及相應(yīng)的安全域進行物理方面的調(diào)整合并，其目的在于通過行之有效的物理層面調(diào)整合并，能夠使整個體系的安全等級有所提升，同時也更加方便對整個體系的管理，從根本上防止網(wǎng)絡(luò)危害的產(chǎn)生。在實際工作中常會出現(xiàn)一些資源浪費的情況，并且這種情況也不利于系統(tǒng)的整體安全，比如，一個系統(tǒng)在正常運行的時候，有時會有多個系統(tǒng)內(nèi)部的節(jié)點需要和系統(tǒng)外部的網(wǎng)絡(luò)進行聯(lián)通，而在聯(lián)通的時候由于各系統(tǒng)所使用的通信端口不同，也就需要另外的輔助設(shè)備進行協(xié)調(diào)聯(lián)通，這樣不僅增加工作量，同時也不利于系統(tǒng)的安全。針對這種情況就要及時進行層面的端口調(diào)整合并，在這個過程中首先就要將各種類型的端口進行統(tǒng)一，并且其使用的系統(tǒng)設(shè)備的也應(yīng)該進行相應(yīng)的統(tǒng)一。并且通過進一步的整合使得有著同一個類型的安全域的不同系統(tǒng)實現(xiàn)調(diào)整合并，通過這樣的合并能夠有效地降低不同端口建設(shè)的投資費用，并且整合之后也能夠?qū)踩蚪y(tǒng)一在一起，在這個基礎(chǔ)上也就更方便工作人員，將防護力量集中到一起，從而實現(xiàn)防護等級的提升。

2.4.2 進行邏輯調(diào)整合并

通常來說邏輯調(diào)整合并，指的就是對現(xiàn)行的系統(tǒng)的單個邏輯邊界進行充分整合，以期能夠通過有效的邊界調(diào)整合并使系統(tǒng)的邊界能夠保持較高的完整性以及條理性。在系統(tǒng)中還會存在著一些特定的安全區(qū)域，對于這一類的區(qū)域要靈活地根據(jù)具體的相關(guān)要求，對邊界進行處理，使其能夠有機地統(tǒng)一起來。安全域的交互網(wǎng)絡(luò)域與互聯(lián)網(wǎng)、專線和內(nèi)網(wǎng)的邊界為網(wǎng)絡(luò)邊界，它是安全域的重要邊界。

2.4.3 其他邊界的整合

安全子域邊界整合：除了安全域的邊界整合，安全子域之間也存在相應(yīng)的邊界整合，如計算域、服務(wù)域、維護域之間的整合。

3.安全域防護

3.1 邊界防護要求

安全域防護整體原則可根據(jù)安全域等級劃分和邊界保護進行，不同等級間必須采取相應(yīng)的安全防護策略。維護域：對于維護域的安全需求，以加強認證和審計、限制權(quán)限，以及嚴格遵守配置標準的技術(shù)手段為主，同時采取安全防護工具，如：部署防病毒系統(tǒng)、口令管理等保護措施。另外還應(yīng)加強對終端的安全管理。

3.2 邊界互聯(lián)防護措施

3.2.1 預防與檢測相結(jié)合的方式

互聯(lián)網(wǎng)信息技術(shù)發(fā)展到現(xiàn)今階段，網(wǎng)絡(luò)病毒的入侵不僅具有速度快的特征，并且還具有潛伏期長的特點。所謂為了能夠更好地實現(xiàn)網(wǎng)絡(luò)安全的防護，首先就要在系統(tǒng)中設(shè)置有效的防火墻，并且因為病毒更新速度快，所以相應(yīng)的防火墻也要進行及時更新。另一方面，要注意到病毒潛伏期長的特點，現(xiàn)在的電子病毒在沒有觸發(fā)的情況下能夠在系統(tǒng)中以10年為單位的進行潛伏，而一旦觸發(fā)源出現(xiàn)，病毒就會立即啟動，并對系統(tǒng)產(chǎn)生危害，所以在進行安全防護的同時還能夠進行系統(tǒng)自身的清查工作，將所有的病毒清除出去，從根源上做到預防。

3.2.2 當安全域接入各類網(wǎng)絡(luò)時，在使用通用防護手段的基礎(chǔ)上，還可根據(jù)各安全域面臨風險的特點，部署專業(yè)的安全技術(shù)防護系統(tǒng)，如DNS防護、反垃圾郵件系統(tǒng)、異常流量分析等。

3.2.3 安全工作依靠“三分技術(shù)、七分管理”，除了必要的安全保障措施外，加強安全管理也是重要環(huán)節(jié)。

結(jié)語

安全域劃分后，網(wǎng)絡(luò)結(jié)構(gòu)清晰化，建立相應(yīng)的安全防護策略及安全基線配置，更有利于安全防護部署及日常操作維護?？傊蚤_展安全域劃分為基礎(chǔ)，逐步將安全策略體系的管理和技術(shù)規(guī)范落實到網(wǎng)絡(luò)安全運行維護的實際工作中，并通過實際工作的經(jīng)驗積累和數(shù)據(jù)分析，完成對安全策略體系持續(xù)完善過程。另外，建立安全維護管理隊伍，是安全策略體系實施的重要保障。最終實現(xiàn)“網(wǎng)絡(luò)安全運營的專業(yè)化、網(wǎng)絡(luò)安全工作的制度化、全網(wǎng)安全的可視可管”的總體目標。

參考文獻

[1]工業(yè)與信息化部11號令《通信網(wǎng)絡(luò)安全防護管理辦法》[Z].

[2] Douglas Jacobson [美].仰禮友，趙宏宇等譯.網(wǎng)絡(luò)安全基礎(chǔ)[M].北京：電子工業(yè)出版社.