网络安全防护研究

一、基于安全域的网络安全防护

在一个安全域内也可进一步细化，被划分为安全子域。从而，将复杂的网络简单化，保障网络安全防护的层次和深度，突出安全防护的重点，便于进行有效的运维管理，使得整体网络系统的安全和各应用系统安全都得到提高，抵御潜在威胁，降低安全风险。安全域的划分，应按照以下基本原则：业务保障原则：机房网络承载着很多业务系统，并且很多重要业务是需要不间断持续运行，安全域划分不仅要考虑到保障机房整体网络的安全可靠，还要保障单位重要业务系统的正常和高效运行。简化划分原则：安全域的划分是把原有复杂的网络进行简单化处理，使网络结构简单、边界清晰，易于部署。因此，划分安全域过多、过细，反而适得其反，造成设计上的繁冗，不利于在实施上进行防护部署，也给运维和管理带来不便。等级保护原则：安全域划分应综合考虑其承载的业务类型，信息系统、资产等的重要程度，明确不同安全等级。安全等级不同，需要设定的安全环境及安全策略等保护措施也不同，同一安全域的信息资产实施统一的保护。整体防御原则：根据网络实际情况，安全域划分要从网络实际出发，围绕网络防护重点，安全域需要考虑在网络的不同层次上进行安全防护设计，包括物理安全、网络安全、系统安全、应用安全等。并且运用多种安全技术与措施进行协防，达到整体防御的效果。

1.安全域划分把网络中的安全风险和隐患保持在一个合理范围，解决可能存在的风险和隐患，不应单一考虑安全产品的选择和安全设备的简单叠加，而是从实际现状出发，通过合理布局、有效防护、全局管理，才能提高安全性。因此，我们以安全域划分作为网络安全防护设计的基准，将各个应用系统分别划入不同的安全域，在根据每个安全域内部的特定安全需求进一步划分。经过对机房网络的综合考虑和分析，我们把安全域分为互联网域、核心交换域、服务域、接入域、安全管理域。互联网域：本区域是和互联网进行直接连接，主要放置互联网直接访问的设备。核心交换域：主要放置网络中的核心交换设备，是支撑整体网络的网络设备和网络拓扑。用于实现各业务系统的有效划分、安全隔离，不同系统之间通过安全策略进行有规则的信息交互。服务域：本区域包含了各业务应用服务器、重要信息系统、数据库系统等，通过基础网络设施的连接进行信息数据的存储及处理。需要注重的是防病毒攻击、数据篡改，保证数据完整性。接入域：包含了外部主机接入和局域网终端用户接入，需要注重的是加强认证、访问控制、统一部署防病毒等。安全管理域：由安全控制及管理维护平台等设备构成，主要提供对网络设备、安全设备、业务系统、终端用户的集中管理，提高网络风险分析和管理能力。

2.安全域基础防护策略通过对安全域的划分，便于我们清楚地明确网络的层次结构。然后，根据安全域边界和内部风险分析，制定网络安全系统的部署，解决安全域边界防护，安全域内防护问题。安全域边界：通过对安全域边界的控制，保护安全域不受来自其他域的安全威胁。采用的主要安全技术为边界隔离。安全产品部署：防火墙、VLAN划分相结合的方式进行访问控制。互联网域：此处是网络对外连接的重要出口，因此，也是对网络数据流入流出很好的监控位置。采用的安全技术是利用入侵防御系统，流量监控，对网络出口的数据流及网络攻击行为进行检测，防止DDOS攻击。安全产品部署：IPS设备、流控设备等。服务域内部：对于业务服务器及数据存储，通过防火墙制定对业务系统和数据的访问规则，过滤恶意代码的攻击，防御系统漏洞、数据篡改等，利用入侵检测系统监视网络攻击行为并进行报警。采用的安全技术有漏洞扫描系统和入侵检测系统。安全产品部署：防火墙、主机加固、IDS设备等。接入域：可以统一部署防病毒系统，用于对终端的病毒检测和清除，实现全网病毒防护，防止病毒大范围传播。严格控制局域网终端和外部终端的准入规则，建立完善的用户账号登录机制，避免闲置及过期的用户存在，控制权限操作范围。安全管理域：部署集中管控系统，管理划分的安全域和子域信息，实现日志管理、数据采集、网络管理和用户管理等功能，全面记录网络运行情况。对网络进行安全审计，有助于分析潜在风险。安全产品部署：集中管理平台，安全审计系统等。

二、采用基于安全域的网络安全防护设计，有以下优点

1.网络结构扩展性和易用性得到充分发挥通过对网络安全域的划分，不仅能较好地满足当前安全的需求，而且为今后新业务的扩展提供了有力的支撑。对于新增业务安全设计不必重新投入，只需将支撑该业务的应用系统接入不同的安全域，就能够满足基本的安全需求。不但节省投资，也适应业务的发展。

2.有利于网络安全事件的预警和处理通过对网络安全域的划分，我们可以清楚地了解网络的层次结构，更加深入地分析安全域中隐藏的漏洞及隐患。针对突发的各种网络安全事件，管理员可以尽快的判断问题所在，究其原因，及时处理，减小损失。

3.有利于网络的集中管理通过对网络安全域的划分，可以使分散单一的管理方式转换为统一集中的管理方式。安全管理域能把不同应用系统集中到该域的安全管理平台上来，对其进行统一的安全策略部署、监控及管理，有效地提高网络管理的工作效率。随着网络技术发展的逐步深入，网络应用范围的不断扩大，我们对网络的依赖性越来越强，所以完善网络结构安全，优化网络安全管理已越来越为人们所关注。通过安全域的划分，可以使网络区域清晰、扩展灵活，增强安全。通过对各个区域的风险分析，有针对性地进行防护部署，从而形成联合防御、立体防御。在以后的网络建设和应用中，如何完善网络结构的安全，提高抗攻击能力，降低安全风险，仍然是我们不断深入思考和解决的问题。

作者：张伟