網絡安全域劃分及邊界整合研究與規劃

宋楊

摘 要：本文主要為未來3～5年的安全規劃提供原則、策略和技術上的指導，建立全方位的安全防護體系，結合生產網絡實際情況，從安全域劃分、邊界整合及安全防護等多個層面，提出適合省公司發現需要的安全域劃分規范。

關鍵詞：安全域；安全域劃分；邊界整合

中圖分類號：TP312 文獻標識碼：A

在新聞報道中各種網絡犯罪已經屢見不鮮，電子科技的發展極大地推動了社會生產力的發展，改善了人們的生活水平，但是在另一個方面，這也給了不法之徒以可乘之機，并且近幾年的網絡犯罪呈現出犯罪影響范圍逐漸擴大、造成經濟損失逐漸增多的趨勢，這就要求各個部門、單位要充分地重視網絡安全性，并采取多種形式進行有效的安全防護。

1.網絡安全防護發展的現狀

為落實工業與信息化部11號令《通信網絡安全防護管理辦法》，完善安全防護工作基礎工作，提供安全系統建設規劃指導。主要包括安全策略體系建設，組織和人員建設、管理制度推進以及策略體系完善等層面，并明確在未來3～5年內通過建立全方位的安全防護體系，逐步落實可管階段、可控階段和可信的階段任務目標。

安全域劃分是極其必要的。進行層次化、有重點的保護是保證系統與網絡和信息安全的有效手段。目前互聯網及相關網絡主要存在以下問題：

隨著網絡規模和各相關應用系統的不斷更新換代，電子計算機的硬件系統和軟件系統都在發生著巨大的變化，并且系統的體系結構本身就極其復雜，所以在系統的建設過程中出現種類不一的網絡終端以及相應的網絡部件。這些情況也就導致網絡使用過程中邊界不清晰的情況出現，并且也存在著網絡端口較為混亂的情況，上述情況的綜合也就造成了企業部之間、部門和客戶之間的數據傳輸受到阻礙，這種互相聯通之間的阻礙不僅會給企業運營帶來虧損，還會使企業網絡安全得不到保證。

2.系統相關安全域的劃分

2.1 現行劃分方案

安全域的劃分采用了向日葵結構，即：花心：統一的核心承載網，提供IP可達性及受限IP可達性；花環：IP承載網邊界；花萼：業務模塊與承載網的交互區域；花瓣：明確單一的業務功能模塊。

2.2 安全域劃分

安全域劃分為安全防護基礎工作，主要針對于各業務系統進行，梳理出業務系統安全域劃分方案及防護策略要求，其流程主要包括安全域劃分、相關邊界整合及防護策略實施等，在安全域劃分前期重點梳理業務流程，明確系統功能、模塊及相關業務網元，最終確定業務系統的安全域。

2.3 劃分步驟

2.3.1 明確安全域基本拓撲：網絡拓撲是了解系統網絡狀況和系統組成的必要工具，網絡拓撲中應包括系統的組成網絡要素和的網絡要素之間的連接方式。

2.3.2 明確安全域網絡出口：梳理當前網絡出口情況，明確各業務系統所使用的服務、端口，明確目標地址。

2.3.3 梳理當前業務流程：對系統的數據流和處理活動進行調查和訪談，明確系統資產主機的明確歸屬。

2.3.4 安全策略采集：安全策略采集主要是為了進行邊界整合及調整時，了解現有系統了安全防護策略。

2.3.5 制定網絡劃分方案：通過對業務系統的網絡進行劃分，重點梳理出各區域的資產歸屬和區域劃分。

2.3.6 實施改造方案討論：在明確要進行相關的安全域改造后，要對具體的安全改造方案進行討論，確認實施改造方案相關參與人員及單位。

2.4 對安全域進行相應的邊界調整合并

2.4.1 進行物理調整合并

對安全域進行物理整合，也就是對于當前系統或者說多個系統以及相應的安全域進行物理方面的調整合并，其目的在于通過行之有效的物理層面調整合并，能夠使整個體系的安全等級有所提升，同時也更加方便對整個體系的管理，從根本上防止網絡危害的產生。在實際工作中常會出現一些資源浪費的情況，并且這種情況也不利于系統的整體安全，比如，一個系統在正常運行的時候，有時會有多個系統內部的節點需要和系統外部的網絡進行聯通，而在聯通的時候由于各系統所使用的通信端口不同，也就需要另外的輔助設備進行協調聯通，這樣不僅增加工作量，同時也不利于系統的安全。針對這種情況就要及時進行層面的端口調整合并，在這個過程中首先就要將各種類型的端口進行統一，并且其使用的系統設備的也應該進行相應的統一。并且通過進一步的整合使得有著同一個類型的安全域的不同系統實現調整合并，通過這樣的合并能夠有效地降低不同端口建設的投資費用，并且整合之后也能夠將安全域統一在一起，在這個基礎上也就更方便工作人員，將防護力量集中到一起，從而實現防護等級的提升。

2.4.2 進行邏輯調整合并

通常來說邏輯調整合并，指的就是對現行的系統的單個邏輯邊界進行充分整合，以期能夠通過有效的邊界調整合并使系統的邊界能夠保持較高的完整性以及條理性。在系統中還會存在著一些特定的安全區域，對于這一類的區域要靈活地根據具體的相關要求，對邊界進行處理，使其能夠有機地統一起來。安全域的交互網絡域與互聯網、專線和內網的邊界為網絡邊界，它是安全域的重要邊界。

2.4.3 其他邊界的整合

安全子域邊界整合：除了安全域的邊界整合，安全子域之間也存在相應的邊界整合，如計算域、服務域、維護域之間的整合。

3.安全域防護

3.1 邊界防護要求

安全域防護整體原則可根據安全域等級劃分和邊界保護進行，不同等級間必須采取相應的安全防護策略。維護域：對于維護域的安全需求，以加強認證和審計、限制權限，以及嚴格遵守配置標準的技術手段為主，同時采取安全防護工具，如：部署防病毒系統、口令管理等保護措施。另外還應加強對終端的安全管理。

3.2 邊界互聯防護措施

3.2.1 預防與檢測相結合的方式

互聯網信息技術發展到現今階段，網絡病毒的入侵不僅具有速度快的特征，并且還具有潛伏期長的特點。所謂為了能夠更好地實現網絡安全的防護，首先就要在系統中設置有效的防火墻，并且因為病毒更新速度快，所以相應的防火墻也要進行及時更新。另一方面，要注意到病毒潛伏期長的特點，現在的電子病毒在沒有觸發的情況下能夠在系統中以10年為單位的進行潛伏，而一旦觸發源出現，病毒就會立即啟動，并對系統產生危害，所以在進行安全防護的同時還能夠進行系統自身的清查工作，將所有的病毒清除出去，從根源上做到預防。

3.2.2 當安全域接入各類網絡時，在使用通用防護手段的基礎上，還可根據各安全域面臨風險的特點，部署專業的安全技術防護系統，如DNS防護、反垃圾郵件系統、異常流量分析等。

3.2.3 安全工作依靠“三分技術、七分管理”，除了必要的安全保障措施外，加強安全管理也是重要環節。

結語

安全域劃分后，網絡結構清晰化，建立相應的安全防護策略及安全基線配置，更有利于安全防護部署及日常操作維護。總之，以開展安全域劃分為基礎，逐步將安全策略體系的管理和技術規范落實到網絡安全運行維護的實際工作中，并通過實際工作的經驗積累和數據分析，完成對安全策略體系持續完善過程。另外，建立安全維護管理隊伍，是安全策略體系實施的重要保障。最終實現“網絡安全運營的專業化、網絡安全工作的制度化、全網安全的可視可管”的總體目標。

參考文獻

[1]工業與信息化部11號令《通信網絡安全防護管理辦法》[Z].

[2] Douglas Jacobson [美].仰禮友，趙宏宇等譯.網絡安全基礎[M].北京：電子工業出版社.