企業(yè)安全域的劃分

引言：信息安全架構(gòu)關(guān)乎著整個(gè)企業(yè)信息化資產(chǎn)的安危，合理清晰的信息安全架構(gòu)能為企業(yè)的IT建設(shè)帶來(lái)高效的安全保障。本文以劃分安全域的方法，將企業(yè)信息安全架構(gòu)劃分為多個(gè)邏輯安全域，并介紹了安全域的劃分原則，對(duì)各個(gè)安全域之間的安全策略制定提出了建議，最后結(jié)合實(shí)際案例進(jìn)行了分析。

信息安全架構(gòu)關(guān)乎著整個(gè)企業(yè)信息化資產(chǎn)的安危，合理而清晰的信息安全架構(gòu)能為企業(yè)的網(wǎng)絡(luò)建設(shè)帶來(lái)高效的安全保障。而不合理的信息安全架構(gòu)不僅浪費(fèi)企業(yè)的建設(shè)資源，還會(huì)給企業(yè)帶來(lái)很大的安全風(fēng)險(xiǎn)和威脅。

本文以劃分安全域的方法，將企業(yè)信息安全架構(gòu)劃分為多個(gè)邏輯安全域，并介紹了安全域的劃分原則，對(duì)企業(yè)各個(gè)安全域之間的安全策略制定提出了一些合理化建議，最后是結(jié)合實(shí)際的企業(yè)案例進(jìn)行了分析，希望能給相關(guān)工作的同行們帶來(lái)一些啟發(fā)和幫助。

安全域的劃分

為保障信息化建設(shè)的順利推進(jìn)，企業(yè)必須具備穩(wěn)定、高效、先進(jìn)和可擴(kuò)展性強(qiáng)的IT架構(gòu)。信息安全架構(gòu)作為IT架構(gòu)的重要組成部分，企業(yè)必須對(duì)其引起足夠的重視并進(jìn)行加強(qiáng)建設(shè)。但是另一方面，有很多企業(yè)僅僅追求眼前架構(gòu)的適用性和經(jīng)濟(jì)性，在設(shè)計(jì)之初就忽略了信息安全架構(gòu)的建設(shè)，導(dǎo)致后期難以進(jìn)行擴(kuò)展，無(wú)法兼容新的安全技術(shù)，各類(lèi)安全威脅層出不窮，最終會(huì)嚴(yán)重影響企業(yè)整體IT架構(gòu)的正常運(yùn)行。所以企業(yè)在搭建辦公網(wǎng)絡(luò)之前，必須提前對(duì)信息安全架構(gòu)進(jìn)行合理規(guī)劃，從多個(gè)維度制定嚴(yán)格的安全策略，并在實(shí)際工作中嚴(yán)格落實(shí)。

目前一般采用劃分安全域的方式對(duì)企業(yè)信息安全架構(gòu)進(jìn)行規(guī)劃。網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪(fǎng)問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。廣義上的網(wǎng)絡(luò)安全域可理解為具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。一個(gè)大的安全域還可根據(jù)內(nèi)部不同部分的不同安全需求再劃分為很多小的區(qū)域，這就為企業(yè)根據(jù)自身業(yè)務(wù)需求靈活劃分安全域提供了條件。從網(wǎng)絡(luò)邊界劃分的角度來(lái)分析，企業(yè)內(nèi)部安全域可分為Untrust域、Midtrust域 和Trust域三個(gè)部分，各個(gè)部分的安全域之間通常使用防火墻或者路由器等三層設(shè)備進(jìn)行邏輯隔離，下面分別予以詳細(xì)說(shuō)明：

1.Untrust域

Untrust域是指不可信任的安全域，該區(qū)域內(nèi)存在著較多的安全威脅，在與其通信時(shí)存在著較大的不確定性。一般企業(yè)內(nèi)的Untrust域是指Internet網(wǎng)絡(luò)，由于絕大多數(shù)的安全威脅均來(lái)自Untrust區(qū)域，所以與Untrust區(qū)域進(jìn)行交互時(shí)，必須實(shí)施嚴(yán)格的安全防護(hù)措施，包括隧道加密、病毒防御、網(wǎng)絡(luò)攻擊防御以及Web防護(hù)等；如果企業(yè)擁有多條Internet接入線(xiàn)路，還可以按照接入線(xiàn)路的不同將Untrust域劃分為多個(gè)子域，從而實(shí)施更加精細(xì)的訪(fǎng)問(wèn)控制策略。

2.Midtrust域

Midtrust域是信任度介于Untrust和Trust之間的安全域，該區(qū)域一般與Untrust區(qū)域有著相對(duì)寬松的訪(fǎng)問(wèn)需求，而與Trust區(qū)域有著較為嚴(yán)格的訪(fǎng)問(wèn)控制策略。Midtrust域一般包括企業(yè)網(wǎng)中的DMZ區(qū)、通過(guò)廣域網(wǎng)專(zhuān)線(xiàn)或者VPN與企業(yè)內(nèi)網(wǎng)互聯(lián)的其他網(wǎng)點(diǎn)等。網(wǎng)絡(luò)管理人員必須嚴(yán)格界定Midtrust域的范圍，因?yàn)镸idtrust域與Untrust域間存在較多互訪(fǎng)需求，如果范圍過(guò)于廣泛，Midtrust域中的服務(wù)器或者站點(diǎn)被黑客攻陷的概率會(huì)大大增加，進(jìn)而使企業(yè)網(wǎng)絡(luò)面臨嚴(yán)重的安全威脅。

3.Trust域

Trust域是可信任程度最高的安全域，該區(qū)域部署有企業(yè)最重要的業(yè)務(wù)系統(tǒng)，需要重點(diǎn)予以保護(hù)，與Trust域通信的流量必須經(jīng)過(guò)嚴(yán)格的過(guò)濾，以保證數(shù)據(jù)的安全性。Trust域一般指企業(yè)內(nèi)部局域網(wǎng)，如果需要進(jìn)一步細(xì)化安全策略，還可以按照業(yè)務(wù)需求劃分子域，如服務(wù)器子域和用戶(hù)子域，或者業(yè)務(wù)部門(mén)子域和管理部門(mén)子域等等。

安全策略的制定

安全域劃分完成后，下一步就需要制定安全域之間的訪(fǎng)問(wèn)控制策略，本文按照安全域之間的數(shù)據(jù)流向進(jìn)行分析，具體過(guò)程如下：

1.Untrust→Midtrust安全策略

可在防火墻上制定基于IP和端口的訪(fǎng)問(wèn)控制策略，只開(kāi)放訪(fǎng)問(wèn)Midtrust域所必須的IP和端口，同時(shí)部署入侵防御系統(tǒng)、Web防護(hù)系統(tǒng)防止來(lái)自Untrust域的應(yīng)用層攻擊。

2.Midtrust→Untrust安全策略

需要在Midtrust域內(nèi)的服務(wù)器或主機(jī)上安裝有效的殺毒軟件，并且要保證病毒庫(kù)的定時(shí)更新，防止來(lái)自Untrust域的病毒及其他威脅。

3.Untrust→Trust安全策略

在Untrust域與Trust域之間除了要部署基于IP和端口的訪(fǎng)問(wèn)控制策略和入侵防御系統(tǒng)之外，Trust域內(nèi)的主機(jī)必須及時(shí)安裝最新補(bǔ)丁，同時(shí)還要采用NAT地址轉(zhuǎn)換和端口映射的方式來(lái)加強(qiáng)對(duì)Trust域內(nèi)的安全防護(hù)。

4.Trust→Untrust安全策略

需要在Trust域內(nèi)主機(jī)上安裝殺毒軟件，在兩者的邊界處部署防病毒網(wǎng)關(guān)，加強(qiáng)病毒、木馬等安全威脅的查殺效果，同時(shí)在防火墻上實(shí)施DNAT地址偽裝策略，如果有進(jìn)一步的安全需要，還可以利用IPSec、SSL等加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密傳輸。

5.Midtrust→Trust安全策略

由 于Midtrust域 與Untrust域之間存在較多的通信需求，因此需要加強(qiáng)對(duì)Midtrust域與Untrust域之間的保護(hù)策略，為防止Midtrust域內(nèi)主機(jī)成為攻擊Trust域內(nèi)主機(jī)的跳板，必須在該方向上實(shí)施嚴(yán)格的安全策略，一般來(lái)說(shuō)，都會(huì)禁止該方向上所有的流量，如果有訪(fǎng)問(wèn)需求，必須經(jīng)過(guò)嚴(yán)格安全評(píng)估后按照“最小訪(fǎng)問(wèn)權(quán)限”的原則開(kāi)放。

6.Trust→Midtrust安全策略

由 于Trust域 和Midtrust域可信任程度均比較高，二者之間的通信流量相對(duì)安全，一般只需要在Trust域內(nèi)主機(jī)上安裝殺毒軟件就能保證兩個(gè)安全域的安全需要。

圖 1 企業(yè)網(wǎng)絡(luò)架構(gòu)圖

案例分析

制定安全策略時(shí)，結(jié)合企業(yè)的實(shí)際業(yè)務(wù)需求，可能還需要對(duì)子域間的安全策略進(jìn)行規(guī)劃，以滿(mǎn)足更高的信息安全需求。下面結(jié)合實(shí)際案例具體介紹某企業(yè)安全域的劃分以及安全策略的實(shí)施情況。

該企業(yè)網(wǎng)絡(luò)架構(gòu)可以分為本地網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)兩個(gè)部分，二者之間利用一條聯(lián)通專(zhuān)線(xiàn)進(jìn)行互聯(lián)，企業(yè)網(wǎng)絡(luò)架構(gòu)如圖1所示，其中總部局域網(wǎng)中包含服務(wù)器和各樓層用戶(hù)，有聯(lián)通和移動(dòng)兩條Internet線(xiàn)路接入，供流量負(fù)載均衡使用，而分支機(jī)構(gòu)用戶(hù)則利用專(zhuān)線(xiàn)與總部用戶(hù)共享局域網(wǎng)以及Internet等網(wǎng)絡(luò)資源，其中網(wǎng)絡(luò)設(shè)備中假設(shè)防火墻的型號(hào)為 Juniper ISG200，核心交換機(jī)型號(hào)為思科6509，各樓層交換機(jī)和路由器均為思科系列，服務(wù)器網(wǎng)段為 172.19.32.0/24，樓層用戶(hù)網(wǎng)段為172.19.4.0/21，分支機(jī)構(gòu)網(wǎng)段為192.168.4.0/24，。 按 照 安全域劃分原則對(duì)該公司網(wǎng)絡(luò)架構(gòu)進(jìn)行劃分，Internet屬于Untrust域，包含聯(lián)通和移動(dòng)兩個(gè)子域；分支機(jī)構(gòu)屬于Midtrust域；總部局域網(wǎng)屬于Trust域，包含服務(wù)器子域和用戶(hù)子域。根據(jù)不同業(yè)務(wù)的需求，企業(yè)針對(duì)各個(gè)不同安全域制定了如下安全策略：

1.分支機(jī)構(gòu)（Midtrust域）主要有兩方面的訪(fǎng)問(wèn)需求，第一是訪(fǎng)問(wèn)Internet（Untrust域），第二則是訪(fǎng)問(wèn)公司總部的OA系統(tǒng)（Trust域）。對(duì)于訪(fǎng)問(wèn)Internet的流量，在防火墻上做DNAT，同時(shí)分支機(jī)構(gòu)所有辦公電腦均安裝有Mcafee企業(yè)級(jí)殺毒軟件；對(duì)于訪(fǎng)問(wèn)總部服務(wù)器子域的流量，只能開(kāi)放訪(fǎng)問(wèn)OA系統(tǒng)的權(quán)限；對(duì)于分支機(jī)構(gòu)與總部用戶(hù)子域之間的訪(fǎng)問(wèn)則是利用路由缺失的手段進(jìn)行完全封禁，這樣一方面可以防止占用寶貴的專(zhuān)線(xiàn)帶寬，另一方面也可以減少病毒傳播的途徑，從而降低外來(lái)威脅的可能性。

2.來(lái) 自Internet（Untrust域）的用戶(hù)會(huì)有訪(fǎng)問(wèn)Trust域中業(yè)務(wù)系統(tǒng)的需求，這時(shí)可在防火墻上采用NAT技術(shù)將相應(yīng)的業(yè)務(wù)系統(tǒng)發(fā)布在外網(wǎng)上，以供Internet用戶(hù)訪(fǎng)問(wèn)，僅僅開(kāi)放所需的 443，8080和 8443端口，其他端口全部關(guān)閉，在網(wǎng)關(guān)處還部署了IPS設(shè)備，防止來(lái)自Internet的網(wǎng)絡(luò)攻擊；同時(shí)每個(gè)季度會(huì)利用專(zhuān)業(yè)的漏洞掃描設(shè)備對(duì)這些服務(wù)器進(jìn)行掃描，及時(shí)封堵相關(guān)的安全漏洞。

3.Trust域內(nèi)的服務(wù)器子域和用戶(hù)子域具備不同的訪(fǎng)問(wèn)需求，其中部分服務(wù)器需要連接Internet來(lái)進(jìn)行系統(tǒng)更新，所以這些服務(wù)器必須能夠正常訪(fǎng)問(wèn)Internet，其余服務(wù)器則被禁止訪(fǎng)問(wèn)Internet，為保障服務(wù)器安全，所有服務(wù)器均安裝了卡巴斯基殺毒軟件企業(yè)版；而用戶(hù)需要訪(fǎng)問(wèn)Internet和內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，所有用戶(hù)主機(jī)均安裝了Mcafee企業(yè)級(jí)殺毒軟件，同時(shí)在防火墻上實(shí)施DNAT，網(wǎng)關(guān)處還部署了防毒墻設(shè)備，進(jìn)一步保護(hù)用戶(hù)上網(wǎng)安全。企業(yè)內(nèi)還存在一套業(yè)務(wù)系統(tǒng)和財(cái)務(wù)系統(tǒng)，分別供總部業(yè)務(wù)人員和財(cái)務(wù)人員訪(fǎng)問(wèn)，其他用戶(hù)均不得越權(quán)訪(fǎng)問(wèn)。

從上述安全策略的分析可知，需要在服務(wù)器子域與分支機(jī)構(gòu)和用戶(hù)子域間實(shí)施訪(fǎng)問(wèn)控制策略，其中業(yè)務(wù)系統(tǒng)服務(wù)器 IP 為 172.19.32.10，財(cái)務(wù)系統(tǒng)服務(wù)器IP為172.19.32.11，OA 系 統(tǒng) 的服務(wù)器為172.19.32.100，業(yè)務(wù)人員VLAN網(wǎng)段為172.19.4.0/24，財(cái)務(wù)人員VLAN網(wǎng)段為172.19.5.0/24，實(shí) 施 ACL的具體方法如下：

//在核心交換機(jī)上創(chuàng)建名為con_acl的訪(fǎng)問(wèn)控制列表

Core（config）# ip access-list extended con_acl

Core（config-extnacl）# permit ip host 172.19.32.10 172.19.4.0 0.0.0.255

Core（config-extnacl）# permit ip host 172.19.32.11 172.19.5.0 0.0.0.255

Core（config-extnacl）# permit ip host 172.19.32.100 192.168.4.0 0.0.0.255

Core（config-extnacl）# deny ip host 172.19.32.10 any

Core（config-extnacl）# deny ip host 172.19.32.11 any

Core（config-extnacl）# deny ip any 192.168.4.0 0.0.0.255

Core（config-ext-nacl）# permit ip any any

Core（config-ext-nacl）# do write

//在服務(wù)器VLAN（VLAN 32）上引用con_acl

Core（config）#interface vlan 32

Core（config-if）# ip access-group con_acl out

Core（config-if）# do write

總結(jié)

不同的企業(yè)由于規(guī)模和業(yè)務(wù)等的不同在網(wǎng)絡(luò)架構(gòu)方面存在著不同的需求，這就導(dǎo)致在安全域的劃分和安全策略的制定上都存在著很大差異。以上案例也只是對(duì)一般企業(yè)的網(wǎng)絡(luò)架構(gòu)規(guī)劃與建設(shè)方面的分析，實(shí)際情況下可能更要復(fù)雜。因此，企業(yè)應(yīng)當(dāng)在結(jié)合自身實(shí)際網(wǎng)絡(luò)架構(gòu)和訪(fǎng)問(wèn)需求情況下規(guī)劃安全域和安全策略。

安全域的劃分工作應(yīng)當(dāng)在網(wǎng)絡(luò)規(guī)劃之初就考慮，這樣就能保證后期的實(shí)施工作能夠有條不紊的進(jìn)行，即使后期網(wǎng)絡(luò)架構(gòu)或者需求有所變動(dòng)，公司也能夠很快地進(jìn)行相關(guān)調(diào)整，避免出現(xiàn)“拆東墻，補(bǔ)西墻”的尷尬局面，保證公司信息安全架構(gòu)的穩(wěn)定運(yùn)轉(zhuǎn)。