4、一般企業網絡安全區域設計模型
企業網絡情況和業務系統千差萬別, 所以不同企業對安全區域的劃分, 可以有完全不同的表述方法和模式。但一般而言,大多數企業均有相同的網絡部分和安全分區。
安全區域相關定義
在劃分安全區域時,需要明確幾個安全區域相關的定義,以免模糊他們之間的概念,造成區域劃分完之后, 依然邏輯不清晰, 安全策略無法明確, 立體的縱深防御體系也無法建立。一般在安全區域劃分時,需要明確如下常用的定義:
? 物理網絡區域
物理網絡區域是指數據網中,依照在相同的物理位置定義的網絡區域,通常如辦公區域,遠程辦公室區域,樓層交換區域等
? 網絡功能區域
功能區域是指以功能為標準,劃分的邏輯網絡功能區域,如互聯網區域,生產網區域,辦公網區域等
? 網絡安全區域
網絡安全區域是指網絡系統內具有相同安全要求、達到相同安全防護等級的區域。同一安全區域一般要求有統一的安全管理組織和安全防護體系及策略,不同的安全區域的互訪需要有相應的邊界安全策略。
? 網絡安全層次
根據層次分析方法,將網絡安全區域劃分成幾個不同安全等級的層次,同一層次包含若干個安全等級相同的區域,同層安全區域之間相互邏輯或物理隔離。
? 物理網絡區域和安全區域的關系
一個物理網絡區域可以對應多個安全區域,一個安全區域只能對應一個物理網絡區域
? 網絡功能區域和物理網絡區域的關系
一個網絡功能區域可以對應多個物理網絡區域,一個物理網絡區域只能對應一個網絡功能區域,如辦公網功能區域,可以包含總部辦公網物理區域,遠程辦公室辦公網物理區域,移動辦公物理區域等。
? 網絡功能區域和安全區域的關系
一個網絡功能區域可以對應多個網絡安全區域,一個網絡安全區域只能對應一個網絡功能區域。
安全區域設計一般原則
盡管不同企業對安全區域的設計可能理解不盡相同, 但還是有一般的安全區域設計原則可供參考如下:
? 一 體化設計原則
綜合考慮整體網絡系統的需求,一個整體的網絡安全區域設計規范以規范我
? 多重保護原則
不能把整個系統的安全寄托在單一的安全措施或安全產品上,要建立一套多重保護系統,各重保護相互補充,當一層保護被攻破時,其它層的保護仍可確保信息系統的安全
? 定義清楚的安全區域邊界
設定清楚的安全區域邊界,可以明確安全區域策略,從而確定需要部署何種安全技術和設備
? 在安全域之間執行完整的策略
在安全域之間執行完整的安全策略,幫助建立完整的縱深防御體系,方便安全技術實施部署
? 通常安全域越多越好
? 較多的安全區域劃分可以提供更精確的訪問控制策略,提高網絡的可控性
? 太多的安全區域,會增加管理復雜性
? 需要在較多的安全區域劃分和管理的復雜性之間做出平衡選擇
? 風險、代價平衡分析的原則
通過分析網絡系統面臨的各種安全問題挑戰, 確保實施網絡系統安全策略的成本與被保護資源的價值相匹配;確保安全防護的效果與網絡系統的高效、健壯相匹配。
? 適應性、靈活性原則
在進行網絡安全區域設計時,不能只強調安全方面的要求,要避免對網絡、應用系統的發展造成太多的阻礙;另外,在網絡安全區域模型保持相對穩定的前提下,要求整體安全區域架構可以根據實際安全需求變化進行微調,使具體網絡安全部署的策略易于修改,隨時做出調整。
網絡安全區域劃分方法
傳統的劃分方法
傳統安全區域劃分方法基本是以安全功能區域和物理區域相結合,做出安全區域的劃分。在一般規模較小的企業網絡環境中,這種方式簡明,方便,邏輯清楚 便于實施。但在先對比較復雜的企業網絡系統中,應用系統相對復雜, 傳統方式主要考慮不同應用系統之間安全防護等級的不同,較少考慮同一應用系統對外提供服務時內部不同層次之間存在的安全等級差異,一般而言,存在以下4個方面缺點:
? 在應用系統較為復雜的網絡系統中,不同應用系統的用戶層、表示層功能相互整合,各應用系統不同層次間的聯系日趨復雜,從而很難設定明確的界限對應用系統進行歸類,造成安全區域邊界模糊。
? 設置在安全區域邊界的防火墻實施的安全策略級別不清, 存在著應用劃分層次(用戶、表示、應用、數據) 4 層功能兩兩之間各種級差的訪問控制策略,防火墻安全等級定位不清,不利于安全管理和維護。
? 所有區域定義的安全級別過于復雜,多達 10+級安全等級,等級高低沒有嚴格的劃分標準,造成實施邊界防護時難以進行對應操作。
? 邏輯網絡安全區域和物理網絡區域的概念不清,相互混用,無法明確指出兩者之間的相互關系。
改進的安全區域劃分方法- 層次型安全區域劃分方法
借鑒 B/S 結構應用系統對外提供服務的層次關系,采用層次分析的方法,將數據網絡劃分成核心數據層、應用表述層、網絡控制層、用戶接入層 4 個不同的安全等級,從核心數據層到用戶接入層安全等級遞減。不同安全層次等級之間由于存在較大安全級差,需要通過防火墻實施物理隔離和高級別防護;同一安全等級層次內的資源,根據對企業的重要性不同,以及面臨的外來攻擊威脅、內在運維風險不同, 進一步劃分成多個安全區域, 每個區域之間利用防火墻、 IOS ACL、VLAN 實施邏輯、物理的隔離,形成一個垂直分層,水平分區的網絡安全區域模型。