安全域,讓企業更安全

劃分安全域，建立基于安全域的信息安全防御體系，可以提高企業的信息安全保障能力，使信息系統更加安全可靠地運行。

社會信息化建設逐步深入，各行各業對信息系統的依賴程度正在不斷提高，信息系統對業務的支撐作用更加明顯。企業必須保護這些對其發展壯大至關重要的信息資產。由于入侵、破壞信息系統的事件每天都在發生，加上對于Internet危險地帶的認知不斷加深，企業對信息安全的需求前所未有地高漲起來。對于企業而言，安全問題已經不再遙不可及，而是開始在自己身邊出現。安全漏洞會大大降低企業的市場價值，威脅到企業的生存，即使最小的漏洞也能將企業的名譽、客戶的隱私信息和知識產權置于危險之中。

如何提高企業的信息安全保障能力，確保信息系統安全且可靠地運行，已經成為企業亟待解決的問題。

劃分安全域

當我們面對一個龐大而復雜的信息系統時，單獨對每項信息資產確定保護方法是非常復雜的工作，常常由于疏忽或錯誤導致安全漏洞。但是，將整個系統作為一個安全等級來防護，會出現沒有防范層次和防范重點、對內部風險的控制能力不夠等問題。因此，人們提出了分域的安全防護思路，即:科學地進行區域的劃分，每個區域具有基本相同的安全特性，如安全級別、安全威脅、風險等，依據這些特性，將信息資產歸入不同的域中，實施不同的安全保護。這種安全防護思路實際上是基于“同構性簡化”的理念提出的，它將復雜的環境歸結成若干個簡單“單元”的組合，歸入同一安全域內的信息系統共享相同的安全防護手段，大規模復雜系統的安全問題轉化為若干個較小區域的安全保護問題，最終可以實現對所有信息系統的全方位、分層次的有效保護。

通過對業務系統的分析，可以把安全域劃分為安全用戶域、安全網絡域、業務服務域、基礎保障域:

安全用戶域是對訪問業務服務域的各類客戶端和維護終端的劃分，是風險子域，需要建立桌面安全標準，加強認證、防病毒與審計;

安全網絡域包括安全域的網絡設備和網絡拓撲，是信息承載子域，需要保障網絡性能，進行域間安全隔離與邊界防護;

業務服務域是安全域的核心子域，是對業務服務器、數據庫等重要應用的劃分，需要重點防護病毒攻擊、信息竊取與篡改、誤操作數據丟失等行為;

基礎保障域提供統一的安全服務，包括身份認證、安全管理、策略管理、補丁管理等服務。

建立縱深防御體系

依據安全域劃分原則，同一安全域擁有相同的安全等級和屬性，域內是相互信任的，安全風險主要來自不同的安全域互訪，需要加強安全域邊界的安全防護。

相同級別安全域之間的安全等級相同，主要考慮的是域間安全隔離和可信互訪。從業務角度出發劃分安全域，如在用戶支撐網絡中將辦公管理系統、人力資源管理系統、財務管理系統等劃分為不同的安全域。為了防止單點安全事件擴散到整個網絡，如人力資源系統出現問題時，應進行安全隔離，避免其對辦公管理、財務等系統造成影響。

不同級別安全域之間的互訪會帶來較大的安全風險，是網絡安全防護的重點。安全用戶域是風險子域，用戶同時訪問互聯網資源和業務服務域是網絡中面臨的主要風險。通過認證授權和安全策略的檢查，對終端的信息系統訪問權限進行控制，只有通過認證和安全策略檢測的終端才擁有一定的信息系統訪問權限，沒有通過的終端無法訪問信息系統、甚至不能接入網絡，從而將安全風險阻擋在網絡接入的邊緣，最大限度地保護了業務服務域中核心業務系統的安全(見圖1)。

在安全域劃分的基礎上，根據縱深防御思想，保障安全系統設計的廣度和深度，促進建立全面、綜合、高效的信息安全保障體系:在廣度上要求從網絡架構、操作系統、應用系統、數據庫系統等各個層面考慮安全系統的建設;在深度上要求分層次地、由外而內地(從網絡邊界、內部網絡，到核心服務器乃至桌面PC)考慮安全體系建設的規劃。

基于安全域的縱深防御系統是將安全劃分和防護的理念與縱深防御理論結合，構建一個多維、多層的信息安全防御系統。同時，信息系統安全是“三分技術、七分管理”，在加強安全防護技術的前提下，必須得到高級管理層的高度重視和密切配合，必須制定一系列的安全管理制度，并保障其有效落實。信息系統安全建設是一個長期的、不斷完善的過程，需要隨時研究、評估新的威脅帶來的安全風險，并針對安全風險，將控制措施不斷地整合到信息安全系統中進行更新，提高信息系統安全。