数据中心安全域的设计和划分 | 周末送资料

本文介绍了安全域设计方法、设计步骤、安全域模型、安全域互访原则、安全域边界整合及整合原则及边界防护技术。

安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础,也是保障业务信息安全的基础。

一、安全域设计方法

安全域模型设计采用'同构性简化'方法,基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元以拼接、递归等方式构造出一个大的网络。

一般来讲,对信息系统安全域(保护对象)的设计应主要考虑如下方面因素:

1.    业务和功能特性

1)    业务系统逻辑和应用关联性。

2)    业务系统对外连接。对外业务、支撑、内部管理。

2.    安全特性的要求

1)    安全要求相似性。可用性、保密性和完整性的要求。

2)    威胁相似性。威胁来源、威胁方式和强度。

3)    资产价值相近性。重要与非重要资产分离。

3.    参照现有状况

1)    现有网络结构的状况。现有网络结构、地域和机房等。

2)    参照现有的管理部门职权划分。

二、安全域设计步骤

一个数据中心内部安全域的划分主要有如下步骤:

1.    查看业务系统访问关系

查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系,若业务主机之间没有任何访问关系,则单独考虑各业务系统安全域的划分,若业务主机之间有访问关系,则几个业务系统一起考虑安全域的划分。

2.    划分安全计算域

根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分,一般分为核心处理域和访问域,其中数据库服务器等后台处理设备归入核心处理域,前台直接面对用户的应用服务器归入访问域;局域网访问域可以有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接入区等;局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等,核心处理域应具有隔离设备对该区域进行安全隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。

3.    划分安全用户域

根据业务系统的访问用户分类进行安全用户域的划分,访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域,一般分为管理用户域、内部用户域、外部用户域。

4.    划分安全网络域

安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内分为三种安全域:外部域、接入域、内部域。

三、安全域模型

该模型包含安全服务域、有线接入域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、物理安全特性等。

1.    安全服务域

安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。安全服务域细分为关键业务、综合业务、公共服务和开发测试等4个子域。

划分规则

1)    等保三级的业务系统服务器划入关键业务子域,例如,财务管理系统。

2)    SAN集中存储系统划入关键业务子域,并在SAN存储设备上单独划分出物理/逻辑存储区域,分别对应关键业务子域、综合业务子域、公共服务子域、开发测试子域中的存储的空间。

3)    等保末达到三级的业务系统服务器划入综合业务子域,例如,人力资源、网站系统、邮件系统等业务系统服务器。

4)    提供网络基础服务的非业务系统服务器划入公共服务子域,例如,DNS服务器、Windows域服务器等。

5)    用于开发和测试的服务器划分入开发测试子域。

2.    有线接入域

有线接入域是指由有线用户终端及有线网络接入基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。

划分规则

所有有线用户终端及有线网络接入基础设施划入有线接入域。

3.    无线接入域

无线接入域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接入基础设施组成的区域。

划分规则

所有无线用户终端和无线集线器、无线访问节点、无线网桥、无线网卡等无线接入基础设施划入无线接入域。

4.    安全支撑域

安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域,实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级,各类安全事件的收集、整理、关联分析,安全审计,入侵检测,漏洞扫描等。

划分规则

各类安全产品的管理平台、监控中心、维护终端和服务器划入安全支撑域。

5.    安全互联域

安全互联域是指由连接安全服务域、有线接入域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。安全互联域细分为局域网互联、广域网互联、外部网互联、因特网互联4个子域。

划分规则

1)    局域网核心层、汇聚层互联设备和链路划入局域网互联子域。

2)    自主管理的综合数字网接入链路和接入设备,包含网络设备、安全设备和前端服务器划入广域网互联子域。

3)    自主管理的第三方合作伙伴网络接入链路和接入设备,包含网络设备、安全设备和前端服务器划入外部网互联子域。

4)    自主管理的因特网接入链路和接入设备,包含网络设备、安全设备和前端服务器划入因特网互联子域。

四、安全域互访原则

1.    安全服务域、安全支撑域、有线接入域、无线接入域之间的互访

必须经过安全互联域,不允许直接连接。

2.    关键业务子域、综合业务子域、公共服务子域、开发测试子与之间的互访

必须经过安全互联域,不允许百接连接。

3.    广域网互联子域、外部网互联子域、因特网互联子域和其他安全域或子域之间的互访

必须经过安全互联域,不允许直接连接。

4.    广域网互联子域、外部网互联子域、因特网互联子域之间的互访

必须经过安全互联域,不允许直接连接。

5.    同一安全子域之间的互访

如关键业务子域、综合业务子域、基础业务子域、公共服务子域、开发测试子域内部的不同系统之间应采用VLAN进行隔离,VLAN间的路由应设置在核心或汇聚层设备上,不允许通过接入层交换机进行路由。

五、安全域边界整合及整合原则

安全域之间互联接口数量越多,安全性越难以控制,因此,必须在保证各种互联需求的前提下对安全域边界进行合理整合,通过对系统接口的有效整理和归并,减少接口数量,提高接口规范性。边界整合最终要实现不同类别边界链路层物理隔离,边界设备(如交换机、路由器或防火墙等)实现硬件独立,杜绝混用现象。同时边界设备要满足冗余要求。

安全域边界整合的原则

1.    安全支撑域与安全互联域之间所有的互访接口整合为一个边界

2.    有线接入域与安全互联域之间所有的互访接口整合为一个边界

3.    安全互联域与外部网络之间所有的互访接口整合为三个边界

1)    广域网互连子域与广域网之间所有的互访接口整合为一个边界。

2)    因特网互联子域与因特网之间所有的互访接口整合为一个边界。

3)    外部网互联子域与第三方网络之间所有的互访接口整合为一个边界。

4.    安全服务域与安全互联域之间所有的互访接口整合为四个边界

关键业务子域边界、综合业务子域边界、公共服务子域边界、开发测试子域边界。

1)    关键业务子域与局域网互联子域之间所有的互访接口整合为一个边界。

2)    综合业务子域与局域网互联子域之间所有的互访接口整合为一个边界。

3)    公共服务子域与局域网互联子域之间所有的互访接口整合为一个边界。

4)    开发测试子域与局域网互联子域之间所有的互访接口整合为一个边界。

六、边界防护技术

目前常用的边界保护技术主要包括防火墙、接口服务器、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护等。

1.    防火墙

防火墙可以根据互联系统的安全策略对进出网络的信息流进行控制(允许、拒绝、监测)。防火墙作为不同网络或网络安全区域之间信息的出入口,能根据系统的安全策略控制出入网络的信息流,且具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和外部网之间的活动,保证内部网络的安全。

通过防火墙可以防止非系统内用户的非法入侵、过滤不安全服务及规划网络信息的流向。防火墙的重要作用是网络隔离和对用户进行访问控制,目的是防止对网络信息资源的非授权访问和操作,包括各个子网对上级网络,各个同级子网之间的非法访问和操作。这些访问控制,在物理链路一级的加密设备中很难实现,而防火墙则具有很强的安全网络访问控制能力,主要体现在它完善的访问控制策略上。

2.    接口服务器

接口服务器的目的在于实现威胁等级高的系统访问威胁等级低的系统时,Server-Server间的通信。通过接口服务器,使防护等级高的系统中后台的核心服务器对威胁等级高的系统屏蔽,在向威胁等级高的系统访问时,看到的仅仅是应用接口服务器,这样对系统的防护更加有效,而且也更容易实现二者之间的访问控制,因此适用于威胁等级高的系统访问防护等级高的系统。这种保护方式需要与单层或双重异构防火墙结合进行部署。类似设备,如堡垒主机、数据交换服务器等。

3.    病毒过滤

病毒过滤一般采用全面的协议保护和内嵌的内容过滤功能,能够对SMTP、PUP3、IMAP、HTTP、FTP等应用协议进行病毒过滤以及采用关键字、URL过滤等方式来阻止非法数据的进入。由于数据流经历了完全的过滤检查,必然会使得其效率有所降低。

4.    入侵防护

入侵防护是一种主动式的安全防御技术,它不仅能实时监控到各种恶意与非法的网络流量,同时还可以直接将有害的流量阻挡于所保护的网络之外,从而对其网络性能进行最佳的优化。入侵防护主要用来防护三种类型的攻击:异常流量类防护、攻击特征类防护、漏洞攻击类防护。

5.    单向物理隔离

物理隔离技术通常采用高速电子开关隔离硬件和专有协议,确保网络间在任意时刻物理链路完全断开。同时可以在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换。

6.    拒绝服务防护

拒绝服务防护一般包含两个方面:一是针对不断发展的攻击形式,能够有效地进行检测;二是降低对业务系统或者是网络的影响,保证业务系统的连续性和可用性。通常拒绝服务防护应能够从背景流量申精确的区分攻击流量、降低攻击对服务的影响、具备很强的扩展性和良好的可靠性。

7.    认证和授权

基于数字证书,实现网络访问身份的高强度认证,保障网络边界的安全;只有通过数字证书校验的合法的、被授权的用户才可以接入网络,才可以访问后台的业务系统。

(0)

相关推荐

  • 网络安全防御体系分为几种?

    在当今社会,大部分公司的业务开展都离不开互联网的支持;而且随着互联网的不断发展,国家和企业逐渐把注意力转移到网络空间的安全上,所以网络安全成为大家关注的焦点. 企业主要职责是保护公司互联网业务的安全, ...

  • 智慧医院IT基础设施建设方案

    图1:智慧医院IT基础设施建设方案 云计算.大数据.人工智能以及互联网化发展已在众多行业带来颠覆性变革,这些变革在医疗健康领域也不例外.AI医疗影像.手术机器人.精准医疗.3D器官打印.虚拟现实.远程 ...

  • 运用无线网络,实现新能源电厂信息安全接入的新模式

    ★中国电工技术学会出品★ 面向能源互联网的智能配电系统与装备 阅读会议通知,请戳下面标题 会议通知︱2019智能配电技术研讨会 分析智能配电系统发展趋势 研讨配电物联网对装备制造业的挑战和机遇 参会注 ...

  • 东南大学新一代校园网络建设思考

    2021 东南大学新一代 校园网络建设思考 王健 东南大学网络与信息中心副主任 一直以来,以网络夯实信息化基础.数据驱动智能化管理.云端助力数字化转型的东南大学,目前正在结合整个新的校园网络路线图,分 ...

  • 网络设备数量太多,冲突故障经常发生如何解决?

    如果一个办公网络中电脑非常多,经常出现网络冲突怎么办?如何彻底的解决这样的问题呢?有没有好的办法? 企业网通用的网络类型为以太网,是一种基于CSMA/CD(Carrier Sense Multiple ...

  • 终端安全进入自适应数据安全运营时代

    2021年,将是数字化转型过程中及其重要的一年! 世间万事万物都存在有规律的节点,这一年不仅将是世界格局的转折点,还将是很多行业生死攸关的转折点,更将是无数普通人逆袭的绝佳之年. 如果一个时代,让你觉 ...

  • 加快推进5G+工业互联网安全的标准化建设该做些啥?

    近日,在中国移动5G+工业互联网推进大会上,中国移动联合中兴通讯.中国信通院.北京邮电大学.三一重工.鞍钢集团等单位共同发布了<5G+工业互联网安全白皮书>(以下简称"白皮书&q ...

  • 互联网业务安全实战

    问题 互联网业务的业务层次模型 围绕业务的模型 移动APP全流程防护 移动端安全组件 移动端应用加固 账号安全 数据风控 基于多层数据处理技术的体系 全链路防护体系 感谢原作者: https://ww ...

  • 数据中心安全域 / 企业网络安全域的设计和划分

    本文包括<数据中心安全域的设计和划分>.<企业网络安全区域划分的原则和方法>,介绍了安全域设计方法.设计步骤.安全域模型.安全域互访原则.安全域边界整合及整合原则及边界防护技术 ...

  • 小型数据中心规划和设计原则

    一.小型数据中心的定义 数据中心(Data Center)是大范围协作的特定设备网络,用来在Internet网络基础设施上加速信息的传递.又可以细分为企业级数据中心.其他数据中心等. 企业数据中心(E ...

  • 数据中心消防联动控制设计(一)

    数据中心消防联动控制设计(一)

  • 实现 CMDB 数据准确的思考与实践 | 周末送资料

    实现 CMDB 数据准确的思考与实践 | 周末送资料

  • 网络信息安全设计及防护策略总结 | 周末送资料

    [摘要]随着互联网+技术的快速发展,网络DDOS攻击.勒索病毒.SQL注入.暴力破解.数据泄密等等网络安全事件经常发生,网络信息安全面临严重的挑战,为保障客户的信息资产安全,保障客户业务系统安全稳定运 ...

  • 收藏!完整的 ITIL 及 IT 服务管理理论 | 周末送资料

    目录 第一章 服务与服务管理 第二章 IT服务管理的演进 第三章 ITIL,IT服务管理的最佳实践 第四章I T服务管理生命周期模型 第五章 IT服务组织架构及人员管理 第六章 IT服务管理的战略作用 ...

  • 经典巡检资料合集:巡检内容、工具、方法、巡检表模板等 | 周末送资料

    IT 巡检内容.方法大全 目 录 1.  概述 2.  巡检维度 3.  巡检内容 4.  巡检方法 5.  常用命令.常见问题和解决方法 6.  附录 1 词汇表 7.  附录 2 参考资料 1. ...

  • 等保 2.0 政策规范详细解读 | 周末送资料

    等保 2.0 政策规范详细解读 | 周末送资料

  • IaaS 技术方案参考 | 周末送资料

    为了满足业务发展的需要,有效地解决资源利用率以及业务快速上线需求.集中管控.降低运维成本.快速部署.节能环保等问题.搭建云计算平台,通过虚拟化.自动化等互联网相关技术来解决现有数据中心的各种挑战,随着 ...