如何劃分安全域及網絡如何改造

安全域劃分及網絡改造是系統化安全建設的基礎性工作，也是層次化立體化防御以及落實安全管理政策，制定合理安全管理制度的基礎。此過程保證在網絡基礎層面實現系統的安全防御。
目標規劃的理論依據
安全域簡介
安全域是指同一系統內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網或網絡，相同的網絡安全域共享一樣的安全策略。
相對以上安全域的定義，廣義的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括但不僅限于：物理環境、策略和流程、業務和使命、人和組織、網絡區域、主機和系統……

總體架構
如下圖所示：安全域的劃分如下：

建議的劃分方法是立體的，即：各個域之間不是簡單的相交或隔離關系，而是在網絡和管理上有不同的層次。

網絡基礎設施域是所有域的基礎，包括所有的網絡設備和網絡通訊支撐設施域。
網絡基礎設施域分為骨干區、匯集區和接入區。

支撐設施域是其他上層域需要公共使用的部分，主要包括：安全系統、網管系統和其他支撐系統等。

計算域主要是各類的服務器、數據庫等，主要分為一般服務區、重要服務區和核心區。

邊界接入域是各類接入的設備和終端以及業務系統邊界，按照接入類型分為：互聯網接入、外聯網接入、內聯網接入和內網接入。

建設規劃內容
一、邊界接入域

邊界接入域的劃分
邊界接入域的劃分，根據公司的實際情況，相對于ISO 13335定義的接入類型，分別有如下對應關系：
ISO 13335
實際情況
組織單獨控制的連接
內部網接入（終端接入，如辦公網）；業務邊界（如核心服務邊界）
公共網絡的連接
互聯網接入（如Web和郵件服務器的外部接入，辦公網的Internet接入等）
不同組織間的連接
外聯網接入（如各個部門間的接入等）
組織內的異地連接
內聯網接入（單位接入等其他部門等通過專網接入）
組織內人員從外部接入
遠程接入（如移動辦公和遠程維護）

邊界接入域威脅分析
由于邊界接入域是公司信息系統中與外部相連的邊界，因此主要威脅有：
××××××（外部***）
惡意代碼（病毒蠕蟲）
越權（非授權接入）
終端違規操作
……

針對邊界接入域的主要威脅，相應的防護手段有：
訪問控制（如防火墻）用于應對外部×××
遠程接入管理（如×××）用于應對非授權接入
病毒檢測與防御（IDS&IPS）用于應對外部×××和蠕蟲病毒
惡意代碼防護（防病毒）用于應對蠕蟲病毒
終端管理（注入控制、補丁管理、資產管理等）對終端進行合規管理

  二、計算域

計算域的劃分
計算域是各類應用服務、中間件、大機、數據庫等局域計算設備的集合，根據計算環境的行為不同和所受威脅不同，分為以下三個區：
一般服務區
用于存放防護級別較低（資產級別小于等于3），需直接對外提供服務的信息資產，如辦公服務器等，一般服務區與外界有直接連接，同時不能夠訪問核心區（避免被作為×××核心區的跳板）；

重要服務區
重要服務區用于存放級別較高（資產級別大于3），不需要直接對外提供服務的信息資產，如前置機等，重要服務區一般通過一般服務區與外界連接，并可以直接訪問核心區；

核心區
核心區用于存放級別非常高（資產級別大于等于4）的信息資產，如核心數據庫等，外部對核心區的訪問需要通過重要服務區跳轉。
計算域的劃分參見下圖：

計算域威脅分析
由于計算域處于信息系統的內部，因此主要威脅有：
內部人員越權和濫用
內部人員操作失誤
軟硬件故障
內部人員篡改數據
內部人員抵賴行為
對外服務系統遭受×××及非法***

針對計算域主要是內部威脅的特點，主要采取以下防護手段：
應用和業務開發維護安全
基于應用的審計
身份認證與行為審計
同時也輔助以其他的防護手段：
對網絡異常行為的檢測
對信息資產的訪問控制
三、支撐設施域
支撐設施域的劃分

將網絡管理、安全管理和業務運維（業務操作監控）放置在獨立的安全域中，不僅能夠有效的保護上述三個高級別信息系統，同時在突發事件中也有利于保障后備通訊能力。

其中，安全設備、網絡設備、業務操作監控的管理端口都應該處于獨立的管理VLAN中，如果條件允許，還應該分別劃分安全VLAN、網管VLAN和業務管理VLAN。

支撐設施域的威脅分析
支撐設施域是跨越多個業務系統和地域的，它的保密級別和完整性要求較高，對可用性的要求略低，主要的威脅有：
網絡傳輸泄密（如網絡管理人員在網絡設備上竊聽業務數據）
非授權訪問和濫用（如業務操作人員越權操作其他業務系統）
內部人員抵賴（如對誤操作進行抵賴等）

針對支撐設施域的威脅特點和級別，應采取以下防護措施：
帶外管理和網絡加密
身份認證和訪問控制
審計和檢測
四、網絡基礎設施域

網絡基礎設施域的劃分

網絡基礎設施域的威脅分析
主要威脅有：
網絡設備故障
網絡泄密
物理環境威脅

相應的防護措施為：
通過備份、冗余確保基礎網絡的可用性
通過網絡傳輸加密確保基礎網絡的保密性
通過基于網絡的認證確保基礎網絡的完整性