网络安全域划分及边界整合研究与规划

摘 要：本文主要为未来3～5年的安全规划提供原则、策略和技术上的指导，建立全方位的安全防护体系，结合生产网络实际情况，从安全域划分、边界整合及安全防护等多个层面，提出适合省公司发现需要的安全域划分规范。

关键词：安全域；安全域划分；边界整合

中图分类号：TP312 文献标识码：A

在新闻报道中各种网络犯罪已经屡见不鲜，电子科技的发展极大地推动了社会生产力的发展，改善了人们的生活水平，但是在另一个方面，这也给了不法之徒以可乘之机，并且近几年的网络犯罪呈现出犯罪影响范围逐渐扩大、造成经济损失逐渐增多的趋势，这就要求各个部门、单位要充分地重视网络安全性，并采取多种形式进行有效的安全防护。

1.网络安全防护发展的现状

为落实工业与信息化部11号令《通信网络安全防护管理办法》，完善安全防护工作基础工作，提供安全系统建设规划指导。主要包括安全策略体系建设，组织和人员建设、管理制度推进以及策略体系完善等层面，并明确在未来3～5年内通过建立全方位的安全防护体系，逐步落实可管阶段、可控阶段和可信的阶段任务目标。

安全域划分是极其必要的。进行层次化、有重点的保护是保证系统与网络和信息安全的有效手段。目前互联网及相关网络主要存在以下问题：

随着网络规模和各相关应用系统的不断更新换代，电子计算机的硬件系统和软件系统都在发生着巨大的变化，并且系统的体系结构本身就极其复杂，所以在系统的建设过程中出现种类不一的网络终端以及相应的网络部件。这些情况也就导致网络使用过程中边界不清晰的情况出现，并且也存在着网络端口较为混乱的情况，上述情况的综合也就造成了企业部之间、部门和客户之间的数据传输受到阻碍，这种互相联通之间的阻碍不仅会给企业运营带来亏损，还会使企业网络安全得不到保证。

2.系统相关安全域的划分

2.1 现行划分方案

安全域的划分采用了向日葵结构，即：花心：统一的核心承载网，提供IP可达性及受限IP可达性；花环：IP承载网边界；花萼：业务模块与承载网的交互区域；花瓣：明确单一的业务功能模块。

2.2 安全域划分

安全域划分为安全防护基础工作，主要针对于各业务系统进行，梳理出业务系统安全域划分方案及防护策略要求，其流程主要包括安全域划分、相关边界整合及防护策略实施等，在安全域划分前期重点梳理业务流程，明确系统功能、模块及相关业务网元，最终确定业务系统的安全域。

2.3 划分步骤

2.3.1 明确安全域基本拓扑：网络拓扑是了解系统网络状况和系统组成的必要工具，网络拓扑中应包括系统的组成网络要素和的网络要素之间的连接方式。

2.3.2 明确安全域网络出口：梳理当前网络出口情况，明确各业务系统所使用的服务、端口，明确目标地址。

2.3.3 梳理当前业务流程：对系统的数据流和处理活动进行调查和访谈，明确系统资产主机的明确归属。

2.3.4 安全策略采集：安全策略采集主要是为了进行边界整合及调整时，了解现有系统了安全防护策略。

2.3.5 制定网络划分方案：通过对业务系统的网络进行划分，重点梳理出各区域的资产归属和区域划分。

2.3.6 实施改造方案讨论：在明确要进行相关的安全域改造后，要对具体的安全改造方案进行讨论，确认实施改造方案相关参与人员及单位。

2.4 对安全域进行相应的边界调整合并

2.4.1 进行物理调整合并

对安全域进行物理整合，也就是对于当前系统或者说多个系统以及相应的安全域进行物理方面的调整合并，其目的在于通过行之有效的物理层面调整合并，能够使整个体系的安全等级有所提升，同时也更加方便对整个体系的管理，从根本上防止网络危害的产生。在实际工作中常会出现一些资源浪费的情况，并且这种情况也不利于系统的整体安全，比如，一个系统在正常运行的时候，有时会有多个系统内部的节点需要和系统外部的网络进行联通，而在联通的时候由于各系统所使用的通信端口不同，也就需要另外的辅助设备进行协调联通，这样不仅增加工作量，同时也不利于系统的安全。针对这种情况就要及时进行层面的端口调整合并，在这个过程中首先就要将各种类型的端口进行统一，并且其使用的系统设备的也应该进行相应的统一。并且通过进一步的整合使得有着同一个类型的安全域的不同系统实现调整合并，通过这样的合并能够有效地降低不同端口建设的投资费用，并且整合之后也能够将安全域统一在一起，在这个基础上也就更方便工作人员，将防护力量集中到一起，从而实现防护等级的提升。

2.4.2 进行逻辑调整合并

通常来说逻辑调整合并，指的就是对现行的系统的单个逻辑边界进行充分整合，以期能够通过有效的边界调整合并使系统的边界能够保持较高的完整性以及条理性。在系统中还会存在着一些特定的安全区域，对于这一类的区域要灵活地根据具体的相关要求，对边界进行处理，使其能够有机地统一起来。安全域的交互网络域与互联网、专线和内网的边界为网络边界，它是安全域的重要边界。

2.4.3 其他边界的整合

安全子域边界整合：除了安全域的边界整合，安全子域之间也存在相应的边界整合，如计算域、服务域、维护域之间的整合。

3.安全域防护

3.1 边界防护要求

安全域防护整体原则可根据安全域等级划分和边界保护进行，不同等级间必须采取相应的安全防护策略。维护域：对于维护域的安全需求，以加强认证和计、限制权限，以及严格遵守配置标准的技术手段为主，同时采取安全防护工具，如：部署防病毒系统、口令管理等保护措施。另外还应加强对终端的安全管理。

3.2 边界互联防护措施

3.2.1 预防与检测相结合的方式

互联网信息技术发展到现今阶段，网络病毒的入侵不仅具有速度快的特征，并且还具有潜伏期长的特点。所谓为了能够更好地实现网络安全的防护，首先就要在系统中设置有效的防火墙，并且因为病毒更新速度快，所以相应的防火墙也要进行及时更新。另一方面，要注意到病毒潜伏期长的特点，现在的电子病毒在没有触发的情况下能够在系统中以10年为单位的进行潜伏，而一旦触发源出现，病毒就会立即启动，并对系统产生危害，所以在进行安全防护的同时还能够进行系统自身的清查工作，将所有的病毒清除出去，从根源上做到预防。

3.2.2 当安全域接入各类网络时，在使用通用防护手段的基础上，还可根据各安全域面临风险的特点，部署专业的安全技术防护系统，如DNS防护、反垃圾邮件系统、异常流量分析等。

3.2.3 安全工作依靠“三分技术、七分管理”，除了必要的安全保障措施外，加强安全管理也是重要环节。

结语

安全域划分后，网络结构清晰化，建立相应的安全防护策略及安全基线配置，更有利于安全防护部署及日常操作维护。总之，以开展安全域划分为基础，逐步将安全策略体系的管理和技术规范落实到网络安全运行维护的实际工作中，并通过实际工作的经验积累和数据分析，完成对安全策略体系持续完善过程。另外，建立安全维护管理队伍，是安全策略体系实施的重要保障。最终实现“网络安全运营的专业化、网络安全工作的制度化、全网安全的可视可管”的总体目标。

参考文献

[1]工业与信息化部11号令《通信网络安全防护管理办法》[Z].

[2] Douglas Jacobson [美].仰礼友，赵宏宇等译.网络安全基础[M].北京：电子工业出版社.