企业网络安全区域设计原则与划分方法【下】

4、一般企业网络安全区域设计模型

企业网络情况和业务系统千差万别, 所以不同企业对安全区域的划分, 可以有完全不同的表述方法和模式。但一般而言,大多数企业均有相同的网络部分和安全分区。

安全区域相关定义

在划分安全区域时,需要明确几个安全区域相关的定义,以免模糊他们之间的概念,造成区域划分完之后, 依然逻辑不清晰, 安全策略无法明确, 立体的纵深防御体系也无法建立。一般在安全区域划分时,需要明确如下常用的定义:

•  物理网络区域

物理网络区域是指数据网中,依照在相同的物理位置定义的网络区域,通常如办公区域,远程办公室区域,楼层交换区域等

•  网络功能区域

功能区域是指以功能为标准,划分的逻辑网络功能区域,如互联网区域,生产网区域,办公网区域等

•  网络安全区域

网络安全区域是指网络系统内具有相同安全要求、达到相同安全防护等级的区域。同一安全区域一般要求有统一的安全管理组织和安全防护体系及策略,不同的安全区域的互访需要有相应的边界安全策略。

•  网络安全层次

根据层次分析方法,将网络安全区域划分成几个不同安全等级的层次,同一层次包含若干个安全等级相同的区域,同层安全区域之间相互逻辑或物理隔离。

•  物理网络区域和安全区域的关系

一个物理网络区域可以对应多个安全区域,一个安全区域只能对应一个物理网络区域

•  网络功能区域和物理网络区域的关系

一个网络功能区域可以对应多个物理网络区域,一个物理网络区域只能对应一个网络功能区域,如办公网功能区域,可以包含总部办公网物理区域,远程办公室办公网物理区域,移动办公物理区域等。

•  网络功能区域和安全区域的关系

一个网络功能区域可以对应多个网络安全区域,一个网络安全区域只能对应一个网络功能区域。

安全区域设计一般原则

尽管不同企业对安全区域的设计可能理解不尽相同, 但还是有一般的安全区域设计原则可供参考如下:

•  一 体化设计原则

综合考虑整体网络系统的需求,一个整体的网络安全区域设计规范以规范我

•  多重保护原则

不能把整个系统的安全寄托在单一的安全措施或安全产品上,要建立一套多重保护系统,各重保护相互补充,当一层保护被攻破时,其它层的保护仍可确保信息系统的安全

•  定义清楚的安全区域边界

设定清楚的安全区域边界,可以明确安全区域策略,从而确定需要部署何种安全技术和设备

•  在安全域之间执行完整的策略

在安全域之间执行完整的安全策略,帮助建立完整的纵深防御体系,方便安全技术实施部署

•  通常安全域越多越好

•  较多的安全区域划分可以提供更精确的访问控制策略,提高网络的可控性

•  太多的安全区域,会增加管理复杂性

•  需要在较多的安全区域划分和管理的复杂性之间做出平衡选择

•  风险、代价平衡分析的原则

通过分析网络系统面临的各种安全问题挑战, 确保实施网络系统安全策略的成本与被保护资源的价值相匹配;确保安全防护的效果与网络系统的高效、健壮相匹配。

•  适应性、灵活性原则

在进行网络安全区域设计时,不能只强调安全方面的要求,要避免对网络、应用系统的发展造成太多的阻碍;另外,在网络安全区域模型保持相对稳定的前提下,要求整体安全区域架构可以根据实际安全需求变化进行微调,使具体网络安全部署的策略易于修改,随时做出调整。

网络安全区域划分方法

传统安全区域划分方法基本是以安全功能区域和物理区域相结合,做出安全区域的划分。在一般规模较小的企业网络环境中,这种方式简明,方便,逻辑清楚 便于实施。但在先对比较复杂的企业网络系统中,应用系统相对复杂, 传统方式主要考虑不同应用系统之间安全防护等级的不同,较少考虑同一应用系统对外提供服务时内部不同层次之间存在的安全等级差异,一般而言,存在以下4个方面缺点:

   •  在应用系统较为复杂的网络系统中,不同应用系统的用户层、表示层功能相互整合,各应用系统不同层次间的联系日趋复杂,从而很难设定明确的界限对应用系统进行归类,造成安全区域边界模糊。

   •  设置在安全区域边界的防火墙实施的安全策略级别不清, 存在着应用划分层次(用户、表示、应用、数据) 4 层功能两两之间各种级差的访问控制策略,防火墙安全等级定位不清,不利于安全管理和维护。

   •  所有区域定义的安全级别过于复杂,多达 10+级安全等级,等级高低没有严格的划分标准,造成实施边界防护时难以进行对应操作。

   •  逻辑网络安全区域和物理网络区域的概念不清,相互混用,无法明确指出两者之间的相互关系。

借鉴 B/S 结构应用系统对外提供服务的层次关系,采用层次分析的方法,将数据网络划分成核心数据层、应用表述层、网络控制层、用户接入层 4 个不同的安全等级,从核心数据层到用户接入层安全等级递减。不同安全层次等级之间由于存在较大安全级差,需要通过防火墙实施物理隔离和高级别防护;同一安全等级层次内的资源,根据对企业的重要性不同,以及面临的外来攻击威胁、内在运维风险不同, 进一步划分成多个安全区域, 每个区域之间利用防火墙、 IOS ACL、VLAN 实施逻辑、物理的隔离,形成一个垂直分层,水平分区的网络安全区域模型。


江苏国骏信息科技有限公司 苏ICP备17037372号-2 电话:400-6776-989; 0516-83887908 邮箱:manager@jsgjxx.com