如何划分安全域及网络如何改造
安全域划分及网络改造是系统化安全建设的基础性工作,也是层次化立体化防御以及落实安全管理政策,制定合理安全管理制度的基础。此过程保证在网络基础层面实现系统的安全防御。
目标规划的理论依据
安全域简介
安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。
相对以上安全域的定义,广义的安全域概念是指:具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括但不仅限于:物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统……
总体架构
如下图所示:安全域的划分如下:
建议的划分方法是立体的,即:各个域之间不是简单的相交或隔离关系,而是在网络和管理上有不同的层次。
网络基础设施域是所有域的基础,包括所有的网络设备和网络通讯支撑设施域。
网络基础设施域分为骨干区、汇集区和接入区。
支撑设施域是其他上层域需要公共使用的部分,主要包括:安全系统、网管系统和其他支撑系统等。
计算域主要是各类的服务器、数据库等,主要分为一般服务区、重要服务区和核心区。
边界接入域是各类接入的设备和终端以及业务系统边界,按照接入类型分为:互联网接入、外联网接入、内联网接入和内网接入。
建设规划内容
一、边界接入域
边界接入域的划分
边界接入域的划分,根据公司的实际情况,相对于ISO 13335定义的接入类型,分别有如下对应关系:
ISO 13335
实际情况
组织单独控制的连接
内部网接入(终端接入,如办公网);业务边界(如核心服务边界)
公共网络的连接
互联网接入(如Web和邮件服务器的外部接入,办公网的Internet接入等)
不同组织间的连接
外联网接入(如各个部门间的接入等)
组织内的异地连接
内联网接入(单位接入等其他部门等通过专网接入)
组织内人员从外部接入
远程接入(如移动办公和远程维护)
边界接入域威胁分析
由于边界接入域是公司信息系统中与外部相连的边界,因此主要威胁有:
××××××(外部***)
恶意代码(病毒蠕虫)
越权(非授权接入)
终端违规操作
……
针对边界接入域的主要威胁,相应的防护手段有:
访问控制(如防火墙)用于应对外部×××
远程接入管理(如×××)用于应对非授权接入
病毒检测与防御(IDS&IPS)用于应对外部×××和蠕虫病毒
恶意代码防护(防病毒)用于应对蠕虫病毒
终端管理(注入控制、补丁管理、资产管理等)对终端进行合规管理
二、计算域计算域的划分
计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合,根据计算环境的行为不同和所受威胁不同,分为以下三个区:
一般服务区
用于存放防护级别较低(资产级别小于等于3),需直接对外提供服务的信息资产,如办公服务器等,一般服务区与外界有直接连接,同时不能够访问核心区(避免被作为×××核心区的跳板);
重要服务区
重要服务区用于存放级别较高(资产级别大于3),不需要直接对外提供服务的信息资产,如前置机等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心区;
核心区
核心区用于存放级别非常高(资产级别大于等于4)的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。
计算域的划分参见下图:
计算域威胁分析
由于计算域处于信息系统的内部,因此主要威胁有:
内部人员越权和滥用
内部人员操作失误
软硬件故障
内部人员篡改数据
内部人员抵赖行为
对外服务系统遭受×××及非法***
针对计算域主要是内部威胁的特点,主要采取以下防护手段:
应用和业务开发维护安全
基于应用的审计
身份认证与行为审计
同时也辅助以其他的防护手段:
对网络异常行为的检测
对信息资产的访问控制
三、支撑设施域
支撑设施域的划分
将网络管理、安全管理和业务运维(业务操作监控)放置在独立的安全域中,不仅能够有效的保护上述三个高级别信息系统,同时在突发事件中也有利于保障后备通讯能力。
其中,安全设备、网络设备、业务操作监控的管理端口都应该处于独立的管理VLAN中,如果条件允许,还应该分别划分安全VLAN、网管VLAN和业务管理VLAN。
支撑设施域的威胁分析
支撑设施域是跨越多个业务系统和地域的,它的保密级别和完整性要求较高,对可用性的要求略低,主要的威胁有:
网络传输泄密(如网络管理人员在网络设备上窃听业务数据)
非授权访问和滥用(如业务操作人员越权操作其他业务系统)
内部人员抵赖(如对误操作进行抵赖等)
针对支撑设施域的威胁特点和级别,应采取以下防护措施:
带外管理和网络加密
身份认证和访问控制
审计和检测
四、网络基础设施域
网络基础设施域的划分
网络基础设施域的威胁分析
主要威胁有:
网络设备故障
网络泄密
物理环境威胁
相应的防护措施为:
通过备份、冗余确保基础网络的可用性
通过网络传输加密确保基础网络的保密性
通过基于网络的认证确保基础网络的完整性
转载于:https://blog.51cto.com/13769225/2130914
如何划分安全域及网络如何改造相关推荐
- 对“车库咖啡的网络现状改造”的一点个人看法
今天看到51cto首页的一条封推,(车库咖啡的网络现状改造),提点不同意见,顺便谈谈无线部署的问题,胡言乱语,没个规划,凑合看看吧. http://network.51cto.com/art/2012 ...
- 项目实战丨某高校校园网络升级改造方案
项目名称 某高校校园网网络优化升级 参与人员 参与学员:莫同学 学习课程:CCNA+CCNP+CCIE 微思工程师:郑工 项目背景 校园网是指利用网络设备.适宜的组网技术与协议.通信介质以及各类系统软 ...
- 什么是划分子网?网络工程师划分子网有啥技巧?
随着互联网的快速发展,越来越多的组织和企业在其内部建立了复杂的网络系统来满足日常的信息传输和资源共享需求.而在这些网络系统中,划分子网(也称为子网划分)作为一种常见的网络管理方法,为组织和企业提供了更 ...
- MPLS-组网组网方案助连锁餐饮网络升级改造
随着互联网时代的到来,餐饮业的信息化发展迅速.从排名.点餐.外卖.结账到会员制,越来越多的软件开始为餐饮业定制,客户体验越来越重要.只要网络不好,所有软件系统都无法提供服务. 传统的IP-Sec组网方 ...
- 网络项目改造的大致流程
具体说明:一栋大楼从千兆cat6类升级成万兆光纤,总计四百多个节点,三万米长的光纤,十台48口支持万兆的H3C二层交换机,十个理线器和十个配线架,等一些材料. 做前准备:有图纸,准备采购材料,具体施工 ...
- BENET上海分公司网络改造项目设计实施方案(S1项目实践)
BENET上海分公司网络改造项目设计实施方案 目录 目录- - 1 - 一.企业用户需求分析- - 2 - 1.1.项目概述-- - 2 - 1.2.系统需求概括-- - 3 - 1.3.项目建设的要 ...
- 无边界网络的划分建立
随着云平台和移动互联网的发展,传统的网络边界逐渐被打破,企业与外部合作伙伴建立可信连接变得愈来愈重要,需要远程访问公司网络的供应商越来越多,于是对这些外部特权访问会话的管理.监视和保护工作就成为了热点 ...
- 必看 | VLAN划分和网络配置实例
1.VLAN基础知识 VLAN(Virtual Local Area Network)的中文名为:"虚拟局域网",注意和'VPN'(虚拟专用网)进行区分. VLAN是一种将局域网设 ...
- 网络基础知识--子网划分
一:网络设备及其架构介绍 计算机网络发展过程 计算机与通信的融合过程就是计算机网络的发展过程,利用通信线路把位于不同的点上的多个计算机系统相互连接起来便形成了计算机网络,在网络中,通过功能完善的网络 ...
- vlan之间互相访问_VLAN的划分和网络的配置实例
1.VLAN基础知识 VLAN(Virtual Local Area Network)的中文名为'虚拟局域网',注意不是'VPN'(虚拟专用网).VLAN是一种将局域网设备从逻辑上划分(注意,不是从物 ...
最新文章
- 作为一名程序员为什么要用vim作为自己的IDE编辑器
- fedora18 fedora17安装显卡驱动和网卡驱动
- 从源码透析gRPC调用原理
- python中frozenset( )和set()的用法区别
- Python笔记(6)-输入输出
- 软件构造学习笔记-第二周
- python 确定字符互异
- java diamond 运算符_解决:Java source1.5不支持diamond运算符,请使用source 7或更高版本以启用diamond运算符...
- Stimulsoft新版本2022.4 版本正式发布|附免费下载试用
- 面试后HR让你等通知的真相
- 5个可以网上赚钱的副业,聪明人早就开始做了,现在了解也不迟!
- 由Jack Dorsey背书支持的CoinList进军DeFi市场
- python读取图片的几种方式
- SEO集思广益,如何做到效果最佳?
- hexo博客如何绑定个人域名
- 离婚时夫妻共同债务和个人债务如何区分
- spring.jpa.open-in-view is enabled by default. Therefore, database queries may be performed during v
- 安全测试——验证日志文件
- Linux_搜狗输入法的卸载
- Echarts实现世界地图