基于移动分组域的安全域划分与防护研究论文.pdfVIP

基于移动分组域的安全域划分与防护研究 姜蕾文置 10168) (中国电信股份有限公司辽宁分公司网络运行维护部1 摘 要 随着网络和计算机技术的迅速发展，基于网络连接的安全问题日益突出。 本文在全面分析安全域划分和防护思路的基础上，探讨了移动分组域安全域划分和防护 的解决对策，旨在能够为安全防护工作提供一个有益的参考和借鉴。 关键词 安全域；边界；防护 1安全域概述 目前，各业务系统存在部分网络和系统边界不清晰，各业务系统问互联互通缺乏统 一控制规范，安全问题易扩散，跨业务系统非授权互访难以监控等问题。因此，需要将 大规模复杂的网络系统的安全风险分解为小区域简单的网络系统的安全风险，细化安全 等级划分，清晰界定安全域的边界，降低或规避风险，有效实现安全防护。 (1)安全域：是指同一系统内具有相同的安全保护需求，相互信任并具有相同的安 全访问控制和边界控制策略的IT要素集合，相同的安全域共享相同的安全策略。 (2)安全子域：安全域可根据其管理需求的不同、地域的不同、数据分类的不同， 进一步划分为若干安全子域。 (3)业务域：是指承载网上的业务网、业务系统和支撑系统，它们具有单一的业务功能。 2安全域划分和防护思路 2．1总体划分思路 安全域划分是以“向El葵”模型为参考(图1)，将互联网及相关网络系统划分为承 载网、用户域和业务域，其中业务域包含业务网、业务系统和支撑系统。 安全域的划分采用向El葵结构，即： (1)花心：统一的核心承载网，提供IP可达性及受限IP可达性； (2)花瓣：明确单一的业务功能模块。 2．2安全域划分原则 安全域划分有五个原则： (1)技术划分原则：应从技术层面上进行划分，不应从维护管理界面进行划分。 (2)业务保障优先原则：在保证业务正常运行的前提下，保护相关网络及系统的安全。 (3)结构简化原则：明确防护需求，把复杂巨大的系统分解为简单而结构化的小区域。 (4)等级保护原则：属于同一安全域内的系统应互相信任，并要有相同或相近的安 341 图1安全域总体划分示意图 全等级、安全环境和安全策略等。 (5)全生命周期原则：安全域的划分还需要考虑在网络和系统的需求设计、建设、 运行维护等各个阶段，以保证安全域划分的有效性。 2．3安全域划分方法 根据安全域中数据的分类，将每个业务域划分为交互网络域、计算域、维护域、服 务域四个安全子域(图1)。 (1)交互网络域：是安全子域与承载网的统一接口区域，由连接具有相同安全等级 的计算域、维护域和服务域的网络设备和网络拓扑组成。交互网络域通常包括路由器、 交换机、防火墙、人侵防护等设备，是安全域的承载子域。 (2)计算域：是指在安全域范围内负责存储、传输、处理业务数据的计算机或集群 组成的区域，例如应用服务器、磁盘阵列等。 (3)维护域：是由能访问同类数据或进行业务维护、业务处理的维护终端组成。 (4)服务域：是由支撑业务运营的基础组件及提供安全服务管理控制组件组成，包 括对外服务区和对内服务区。对外服务区是安全域提供统一对外服务所组成的区域；对 内服务区是安全域提供安全认证、事件管理、策略管理、补丁管理等统一服务的区域。 2．4边界整合 通过边界整合能够简化安全域的防护边界，使其便于防护和管理，能够强化控制， 并节省投资保护。 2．4．1 边界整合方法 边界整合就是在安全域划分的基础上，对保护等级、功能、通信方法相同或相似的 区域进行整合，减少或简化系统边界，便于防护和监控。安全域边界整合包含逻辑整合 和物理整合。 (1)逻辑整合：指对单个安全域逻辑边界的整合，使其具有清晰、完整的逻辑边 界，便于进行安全管理、安全防护和安全控制。 342 (2)物理整合：指对同一物理地址的多个安全域的多个边界进行物理调整，使其共 用相同的设备。 2．4．2与第三方的边界 与第三方的边界主