小型企業(yè)信息安全域的簡(jiǎn)單劃分方法

面對(duì)信息化浪潮，各家企業(yè)對(duì)于安全雖然越來越重視，但很多對(duì)安全的概念依然停留在網(wǎng)絡(luò)端的硬件安全控制，并沒有形成一套完整的信息安全管理體系，其針對(duì)公司內(nèi)部不同業(yè)務(wù)子系統(tǒng)沒有一種統(tǒng)籌的管理思路。

此外，伴隨著業(yè)務(wù)系統(tǒng)的逐漸增多，各細(xì)分信息安全子系統(tǒng)互相之間的數(shù)據(jù)連接逐漸增多，安全邊界較為模糊，迫切需要對(duì)企業(yè)內(nèi)部信息安全網(wǎng)絡(luò)進(jìn)行重新規(guī)劃。因此本文將提出一種安全域規(guī)劃思路，希望對(duì)大家有所幫助。

規(guī)劃目的

現(xiàn)在信息安全網(wǎng)絡(luò)架構(gòu)主要是以邊界防護(hù)為主，如果進(jìn)行劃分，最好的方式是以邊界防護(hù)設(shè)備作為安全域劃分的界限，對(duì)不同域內(nèi)的業(yè)務(wù)系統(tǒng)采取不同的信息安全防御原則和手段，同時(shí)加強(qiáng)控制域間通信，使信息安全網(wǎng)絡(luò)南北和東西向防護(hù)架構(gòu)更加清晰和流暢。

表1 安全域與業(yè)務(wù)系統(tǒng)歸類

規(guī)劃思路和原則

1.規(guī)劃思路

信息安全域以應(yīng)用功能為劃分標(biāo)準(zhǔn)，將功能類似業(yè)務(wù)系統(tǒng)歸入同一安全域之下。假設(shè)A企業(yè)為一個(gè)小型互聯(lián)網(wǎng)視頻網(wǎng)站，按照現(xiàn)有業(yè)務(wù)情況，將分出以下四個(gè)安全域分別是主營業(yè)務(wù)、計(jì)費(fèi)服務(wù)、運(yùn)營支撐和安全管理服務(wù)；具體安全域與業(yè)務(wù)系統(tǒng)歸類如表1所示。

2.規(guī)劃原則

本規(guī)劃的原則是通過綜合部署、調(diào)整和補(bǔ)充所需的安全技術(shù)措施，并設(shè)置低粒度的安全策略，建立更加有效的安全機(jī)制。

安全域規(guī)劃涉及業(yè)務(wù)系統(tǒng)的各個(gè)層次、方面和服務(wù)，同時(shí)由于各業(yè)務(wù)系統(tǒng)是一個(gè)時(shí)刻在線的生產(chǎn)系統(tǒng)，為了保證安全技術(shù)保障體系的最終效果及順利實(shí)施，本規(guī)劃在設(shè)計(jì)時(shí)遵循以下原則。

（1）系統(tǒng)性：安全域規(guī)劃中所有的安全措施包括但不限于防火墻、防病毒、入侵監(jiān)測(cè)、網(wǎng)頁防護(hù)等各種安全技術(shù)產(chǎn)品以及相關(guān)的各種安全技術(shù)，通過將產(chǎn)品和技術(shù)的有機(jī)結(jié)合，使各種技術(shù)和防護(hù)手段能夠互相補(bǔ)充，相得益彰，對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用及數(shù)據(jù)所有層面進(jìn)行防護(hù)。

（2）高擴(kuò)展性：規(guī)劃的安全域內(nèi)部子系統(tǒng)均采用標(biāo)準(zhǔn)的技術(shù)、結(jié)構(gòu)、系統(tǒng)組件和用戶接口，支持所有流行的網(wǎng)絡(luò)標(biāo)準(zhǔn)及協(xié)議；保證域內(nèi)和跨域之間的數(shù)據(jù)通信可以通過技術(shù)手段予以實(shí)現(xiàn)。

（3）高可靠性和安全性：采用多層、主動(dòng)的安全防護(hù)技術(shù)，并充分考慮系統(tǒng)的容災(zāi)能力，提高安全防護(hù)的可靠性，同時(shí)采用經(jīng)過相應(yīng)安全等級(jí)認(rèn)證的產(chǎn)品和相應(yīng)的安全技術(shù)機(jī)制，保證在現(xiàn)有安全域之下進(jìn)行新的安全系統(tǒng)建設(shè)時(shí)不會(huì)引入新的信息安全風(fēng)險(xiǎn)。

（4）先進(jìn)性和穩(wěn)定性：安全域規(guī)劃要確保系統(tǒng)的穩(wěn)定性，保證業(yè)務(wù)的穩(wěn)健運(yùn)行，同時(shí)不能大規(guī)模降低系統(tǒng)的先進(jìn)性，使系統(tǒng)保持較高的性能。

圖1 信息安全規(guī)劃示意圖

（5）可管理性和維護(hù)性：盡量將各種安全產(chǎn)品、策略納入統(tǒng)一管理之下，并運(yùn)用有效的管理輔助手段，提高整個(gè)系統(tǒng)的可管理性，減少運(yùn)行維護(hù)工作量。

（6）最小影響：安全域規(guī)劃盡量不改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，以及路由策略，最小化對(duì)系統(tǒng)穩(wěn)定、持續(xù)生產(chǎn)的影響，保證各業(yè)務(wù)子域的信息安全防護(hù)系統(tǒng)的高內(nèi)聚低耦合性。

（7）經(jīng)濟(jì)性：盡量利用現(xiàn)有安全設(shè)備，使用性價(jià)比較高、易運(yùn)維的產(chǎn)品和技術(shù)，保證規(guī)劃實(shí)施的經(jīng)濟(jì)性，從而降低整體成本。

（8）可操作性：按照“統(tǒng)一規(guī)范、分布實(shí)施”的策略，按照系統(tǒng)各部分的相互依賴和互動(dòng)關(guān)系，考慮各種外部約束條件，科學(xué)、合理規(guī)劃系統(tǒng)建設(shè)步驟，便于規(guī)劃的順利實(shí)施。

安全域規(guī)劃及防護(hù)說明

1.信息安全規(guī)劃示意圖如圖1所示。

2.主營業(yè)務(wù)安全域安全防護(hù)設(shè)計(jì)

本域中所包含的安全子域分別是視頻點(diǎn)播系統(tǒng)、用戶交互服務(wù)系統(tǒng)、內(nèi)容分發(fā)業(yè)務(wù)系統(tǒng)、用戶數(shù)據(jù)采集系統(tǒng)以及存儲(chǔ)調(diào)度系統(tǒng)。各個(gè)系統(tǒng)主要安全控制措施包括如下：

（1）所有業(yè)務(wù)子系統(tǒng)均在網(wǎng)絡(luò)邊界位置放置獨(dú)立的二代防火墻，其中視頻點(diǎn)播系統(tǒng)和用戶交互服務(wù)系統(tǒng)是雙防火墻主備配置；其他業(yè)務(wù)系統(tǒng)可以采用單主用防火墻，另外可準(zhǔn)備一臺(tái)防火墻進(jìn)行冷備。

（2）考慮到視頻點(diǎn)播系統(tǒng)的性能要求，不適宜將過多的安全設(shè)備串接到系統(tǒng)內(nèi)部，導(dǎo)致網(wǎng)絡(luò)延遲增大，用戶點(diǎn)播體驗(yàn)降低，因此在于用戶相關(guān)的子域內(nèi)采用將安全設(shè)備進(jìn)行旁路接入的方式進(jìn)行引流監(jiān)控。對(duì)于存儲(chǔ)系統(tǒng)而言，需要著重考慮災(zāi)備系統(tǒng)。

（3）各業(yè)務(wù)系統(tǒng)對(duì)外遠(yuǎn)程維護(hù)均通過安全設(shè)備進(jìn)行控制，保證有效區(qū)分角色對(duì)業(yè)務(wù)系統(tǒng)控制，留存登錄維護(hù)證據(jù)，便于追溯。

3.計(jì)費(fèi)服務(wù)安全域安全防護(hù)設(shè)計(jì)

本域所包含的安全子域分別是計(jì)費(fèi)服務(wù)系統(tǒng)、呼叫服務(wù)系統(tǒng)和微信服務(wù)系統(tǒng)。各個(gè)系統(tǒng)主要安全控制措施包括如下：

（1）所有業(yè)務(wù)子系統(tǒng)均在網(wǎng)絡(luò)邊界位置放置獨(dú)立的二代防火墻，其中計(jì)費(fèi)服務(wù)系統(tǒng)和呼叫服務(wù)業(yè)務(wù)聯(lián)系緊密，對(duì)外策略均在計(jì)費(fèi)服務(wù)系統(tǒng)防火墻上實(shí)現(xiàn)。

（2）計(jì)費(fèi)服務(wù)系統(tǒng)雖然對(duì)外可以通過策略進(jìn)行控制，但是也要防止內(nèi)部人員惡意或無意導(dǎo)致的攻擊，因此建議采用串接部署安全設(shè)備，同時(shí)控制監(jiān)控頻率，防止誤報(bào)產(chǎn)生。微信服務(wù)系統(tǒng)由于對(duì)外提供服務(wù)，另外需要獨(dú)立訪問微信服務(wù)器，因此必須串接多種安全設(shè)備，保證有惡意行為時(shí)第一時(shí)間攔截。

（3）以上三種系統(tǒng)對(duì)外遠(yuǎn)程維護(hù)均可采用安全登錄設(shè)備和SSLVPN設(shè)備登錄相結(jié)合的方式，雙設(shè)備密碼多人管理控制，防止出現(xiàn)密碼一人控制導(dǎo)致的密碼泄露。

4.運(yùn)營支撐安全域安全防護(hù)設(shè)計(jì)

本域所包含的安全子域分別是網(wǎng)絡(luò)管理系統(tǒng)系統(tǒng)、投訴處理系統(tǒng)、域名服務(wù)系統(tǒng)、公司網(wǎng)站系統(tǒng)、公司郵件系統(tǒng)。各個(gè)系統(tǒng)主要安全控制措施包括如下：

（1）除域名服務(wù)系統(tǒng)外，業(yè)務(wù)子系統(tǒng)均在網(wǎng)絡(luò)邊界位置放置獨(dú)立的二代防火墻，由于安全等級(jí)較低，因此采用單主用防火墻結(jié)構(gòu)。

（2）除網(wǎng)絡(luò)管理系統(tǒng)一般為內(nèi)網(wǎng)管理系統(tǒng)外，其他四個(gè)系統(tǒng)均需對(duì)外提供服務(wù)，而且均與業(yè)務(wù)運(yùn)營的持續(xù)性有較多關(guān)聯(lián)，因此這四個(gè)系統(tǒng)中安全設(shè)備均為串接使用。其中域名服務(wù)系統(tǒng)即時(shí)性要求較高，所以需要謹(jǐn)慎測(cè)試后再串接入相應(yīng)安全設(shè)備。

（3）由于業(yè)務(wù)系統(tǒng)安全等級(jí)較低，因此均采用SSLVPN方式來進(jìn)行遠(yuǎn)程登錄控制。

5.安全管理服務(wù)安全域

（1）信息安全日志留存系統(tǒng)著重解決的是對(duì)于四大安全域的所有安全設(shè)備的日志信息進(jìn)行備份，備份周期為90日滾存，其目標(biāo)是符合三級(jí)安全等級(jí)保護(hù)規(guī)則要求。

（2）信息安全日志分析系統(tǒng)著重解決網(wǎng)內(nèi)安全設(shè)備的攻擊信息匯總和分析，其主要目的是大幅減少現(xiàn)有安全維護(hù)人員的日常工作量，同時(shí)可根據(jù)分析結(jié)果有針對(duì)性調(diào)整安全防御的側(cè)重點(diǎn)，做到有的放矢。

安全域規(guī)劃要點(diǎn)說明

1.安全域規(guī)劃的子域粒度要做到適度

本身信息安全域規(guī)劃的先期目的是想通過規(guī)劃將功能類似的業(yè)務(wù)子系統(tǒng)進(jìn)行合并，采用類 似的安全防護(hù)手段，這樣既可以保證維護(hù)的高效，也能控制成本。但是伴隨著業(yè)務(wù)的增長(zhǎng)，業(yè)務(wù)子系統(tǒng)也會(huì)發(fā)生裂變或是合并，這就導(dǎo)致如果前期劃分的域到了后期不再適合業(yè)務(wù)需求，并且如果考慮不周全還會(huì)導(dǎo)致安全設(shè)備使用的偏差。

因此，在前期劃分的時(shí)候應(yīng)該先進(jìn)行業(yè)務(wù)子系統(tǒng)的分級(jí)，直接確定一級(jí)業(yè)務(wù)系統(tǒng)，保證其在后期的業(yè)務(wù)裂變中不會(huì)出現(xiàn)降級(jí)現(xiàn)象，然后依次排序，形成樹形的分級(jí)結(jié)構(gòu)，可以合并的子域絕不分開，保證域分割的合理性。

2.安全域規(guī)劃中子域間策略控制要規(guī)范

公司的業(yè)務(wù)系統(tǒng)雖然劃分了安全域，但是其目的是增加每個(gè)安全域自身的內(nèi)聚性，也就是說即使脫離企業(yè)對(duì)外大的安全防護(hù)控制，依然可以保護(hù)自身的信息安全。

但是現(xiàn)在企業(yè)中子域之間策略聯(lián)系也非常密切，例如計(jì)費(fèi)系統(tǒng)就會(huì)不停的被其他業(yè)務(wù)系統(tǒng)請(qǐng)求各種認(rèn)證及計(jì)費(fèi)數(shù)據(jù)，所以這就導(dǎo)致子域間的策略會(huì)非常的多，例如對(duì)于策略上必須的源地址、目的地址、端口、應(yīng)用、域名、時(shí)間、動(dòng)作等都需要有一個(gè)規(guī)范化的標(biāo)注方式，策略兩端地址粒度控制在一個(gè)IP地址以內(nèi)等等。越是做的規(guī)范化就越能在安全事件的判斷上縮短時(shí)間。