将安全域进行到底--------概念大全

network

以信息系统划分“安全域”

锐捷网络“应用安全域解决方案”突破传统的安全解决方案，将安全域的划分不再基于服务器，而是基于信息系统。

一家2年前还在政府行业毫无斩获的公司，在2009年以其面向服务的安全网络（SSN）的产品与解决方案在全国19个省份取得规模应用，并成服务于二十余个部委的信息化建设，这家公司便是锐捷网络。 　　锐捷网络的收获来自于对政府行业需求的敏锐嗅觉。2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》（简称“27号文件”），以及2004年9月发布的《关于信息安全等级保护工作的实施意见》（简称“66号文件”），让锐捷网络看到了信息安全等级保护的诱人蛋糕。“我们的观点就是要对政府市场采用一个全新的做法，要向政府用户提供解决方案而不是买产品。”去年，锐捷网络推出了面向服务的安全网络（SSN），主要针对政府行业对安全等级保护的需求。据了解，农业部、国土资源部、最高人民法院、水利部、国家质检总局等二十余个部委已相继采用了锐捷网络的解决方案。 传统方案存弊端 　　经过对政府安全等保的研究和实践的总结，锐捷网络政府及运营商行业部技术总监吴吉朋向记者介绍，政府现有的传统的应用安全域解决方案存在一些问题：首先，“安全域”划分不是基于信息系统，而是基于服务器；依靠“应用层”授权，而不是在网络上授权，此种做法存在着安全威胁；可同时访问互联网和安全域，由于外网和互联网是相通的，终端容易被植入的木马控制，被访问或者被窃取安全域里服务器的内容；终端管理太麻烦或IDS利用效率低；身份认证网关承担巨大压力。 重新划分应用安全域 　　针对上述问题， 9月11日，锐捷网络正式宣布，向政府行业用户推出基于等级保护要求的“应用安全域解决方案”。吴吉朋介绍：“锐捷网络在传承了传统的应用安全域解决方案优点的前提下，针对传统方案存在的缺憾进行了改进，形成了高可靠、高安全的新一代应用安全域解决方案。此外，锐捷网络还为信息系统等级保护制度如何具体实施，提出了踏实、可靠、符合标准的建议。” 新方案具有六特点 　　与传统的应用安全域解决方案相比，锐捷网络本次推出的应用安全域解决方案具有园区网业务逻辑隔离、身份管理及网络授权、跨等级安全防护、安全域边界集中、强制主机安全、基于业务的可视化管理等特点。 　　吴吉朋还谈到，应用安全域解决方案可以基于信息系统的多种属性，灵活地定义应用安全域，在提升网络整体安全性的同时，提升网络整体的可用性。 　　据了解，锐捷网络应用安全域解决方案是我国第一个全面针对信息系统等级保护要求开发的，能切实满足信息系统等级保护需要的，从数据链路层至应用层全面贯穿防护的解决方案。 　　记者还从锐捷网络处获悉，在全球金融危机的大环境下，锐捷网络今年依然取得了同比43%的业绩增长。在政府行业，锐捷网络的相信有了应用安全域解决方案的保驾护航，锐捷网络在政府行业的发展更加值得期待

network

phl_i 写到:安全域安全等级的概念，个人认为很大程度成了一种概念，一种摆设。大多数单位连自己的设备（系统、网络和安全)都没用好，谈所谓的安全域和安全等级的划分全是扯蛋。

　　要是，也许恰恰相反呢？就是因为没有安全域和安全等级的思想，所以设备（系统、网络和安全）才没有被用好。
　　其实，不管我们讲不讲所谓安全域理论或者等级保护思想，我们都在自觉和不自觉地应用这些方法。比如说安全域理论，我们都知道防火墙要部署在边界，而边界一定要是一个域的边界。如果要把这个边界理解好，就要看域的内外、域的类型、边界的数据流特点等等。有了更加深入的理解，我们就会发现其实边界不一定用防火墙呢，还可能用路由器、交换机ACL、UTM、IPS、防病毒网关等等。如果这个域边界，在一个更大的域边界里面，如果在风险可控的前提下，我们可能放弃在这个边界部署强力边界防护产品。这些思考，其实都非常朴实，非常具体。其实，安全域理论就是这些朴实的安全思考的集合和升华。如果能够把这些问题想清楚（一部分），给客户讲清楚（一部分），应当会有帮助的。
　　当然，部署得好好的安全设备，可能没有人好好用。那就是另外一个问题了。就像“晚饭吃得不好，我就一定不能睡觉”；其实没有必要的。主动地解决问题，执着地提供价值，一定能够给客户真正的帮助。

===============================================
也许换一个角度，就可以让安全域方法的领域可以马上翻倍。
那就是：安全域不仅关注隔离，也同样关注连通
也就是说，防火墙不仅仅是一个隔离设备，还是一个连通设备；这个时候，思考的眼界就会一下开不少。这也是“筐架方法论”的一招——寻找对立的筐。

network

安全域概述

[size=111%]•网络安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。

网络安全域从大的方面分一般可划分为四个部分：本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置防火墙以进行安全保护。如下图(双击下图放大显示)所示：



本地网络域的安全内容有:桌面管理，应用程序管理，用户帐号管理，登录验证管理、文件、打印资源管理，通信通道管理以及灾难恢复管理等与安全相关的内容等。


远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。


公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。


伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以数据的真实性和机密性。


一个大的安全域还可根据内部不同部分的不同安全需求再划分为很多小的区域，下图是将本地安全域再进行划分后的情况。



安全域划分过程

一般在在划分安全域之前，还应先把所有的计算机进行分组。分好组中，再把各个组放到相应的区域中去，如边界DNS、和办界WEB都可放到边界区域中（即所谓的DMZ区域）去。如下图所示：

  如上图所示，每一个分组，包括的计算机，提供的服务，运行的服务，属于什么区域，有什么功能击需求，使用什么技术等，都要通过一相文档的形式反映出来。


  计算机分组并划分到不同的安全区域中后，每个区域再划根据分组划分为几个子网。以下图所示。每个S是一个网段。 每个组的安全性要求和设置是不一样的。


  区域划分后，就可设计不同区域间通信机制。如允许和拒绝的通信流量，通信安全要求以及技术，端口开禁等。 如公网到core通信必须通信VPN，并且要通过双因子验证（需要智能卡、口令）进行身份验证，身份合法后再采用IPSEC进行加密通信。下图显示区域间通讯配置和详细通信端口配置(部分)示例。




以上是一个安全域划分的过程，所有过程必须归档，以便网络实施和维护时指导和参考。


总结


安全域是基于网络和系统进行安全检查和评估的基础，安全域的划分割是企业网络抗渗透的有效防护方式，安全域边界是灾难发生时的抑制点，同时安全域也是基于网络和系统进行安全建设的部署依据。

network

——安全分域解决方案

　　作为运营商重要的基础设施，数据网络日益成为一个庞大而复杂的系统。运营商的业务遍布全省的各个县市，因此数据网络也延伸到全省的各个县市，同时数据网络上承载了众多重要的业务。运营商如何在支持业务不断发展的前提下，保证数据网络的安全性是一项巨大的挑战。


1. 安全域划分的目的

　　面对一个庞大、复杂的信息系统，单独对每项信息资产确定保护方法，是非常复杂的工作，常由于疏忽或错误导致安全漏洞。但是将整个系统当成一个安全等级来防护，也难免造成没有防范层次和防范重点，对风险尤其是内部风险的控制能力不足。

　　较好的处理方式是进行安全域的划分，制订资产划分的规则，将信息资产归入不同安全域中，每个安全域内部都有着基本相同的安全特性，如安全级别，安全威胁，安全弱点，风险等。在此安全域的基础上确定该区域的信息系统安全保护等级和防护手段，同一安全域内的资产实施统一的保护。

　　安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。同一安全域的系统共享相同的安全策略，安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。


2. 安全域的分类

　　对于运营商的数据网络，根据对承载的业务和面临风险的分析，可以分为安全计算域、安全用户域、安全网络域和安全服务域。其中，安全计算域的安全等级是划定确定一个信息系统安全保护和等级划分的基础。（图1）

图1 安全域划分

• 安全网络域：
  
  支撑安全域的网络设备和网络拓扑，是安全域的承载子域。防护重点是保障网络性能和进行各子域的安全隔离与边界防护。
• 业务计算域：
  
  安全域的核心业务服务器、数据库，是安全域的核心子域。防护重点是防病毒攻击、防黑客篡改和防误操作导致数据丢失。
• 公共服务域：
  
  为安全域提供统一的安全服务，是安全域的公共子域。包括统一的外部网络接口、安全认证、事件管理、策略管理、补丁管理等服务。
• 业务终端域：
  
  需要访问安全计算域的各类客户端和维护终端，是安全域的风险子域。防护重点是加强认证和审计、限制权限，严格遵守配置标准。

3. 边界整合和防护设计

　　划分安全域后，同一安全域拥有相同的安全等级，可以认为在统一安全域之内是相互信任的，而安全风险主要是不同的安全域之间相互访问所带来的，因此对于安全域的防护主要是对安全域边界的安全防护。
我们边界的种类主要分为三种：

• 同级别安全域之间的边界
• 不同级别安全域之间的边界－实际设计实施时又分为高等级安全域和低等级安全域的边界和防护。
• 远程连接的用户－通常会通过公共运营网络，除了边界的防护，数据传送过程中也必须保障保密性和完整性。

4. 同级别安全域之间的边界

　　同级别安全域之间的安全防护主要是安全隔离和可信互访。因为同级别安全域之间的安全等级相同，主要从业务需要出发划分不同的安全域，如在运营商支撑网络中将OA系统，计费系统，网管系统划分为不同的安全域。为了防止单点的安全事件扩散到整个网络，影响其他的业务系统，需要保证同级别安全域之间的安全隔离。（图2）

　　根据以上的需求，我们可以提供MPLS-VPN解决方案，通过MPLS-VPN解决方案可以很好的滿足同级别安全域之间安全隔离的需求。

图2 不同安全域边界隔离

　　通过MPLS-VPN解决方案，可以轻松的实现各个节点和业务之间的互访和隔离需求，而且能够做到在增加新的节点或业务时，对其他节点的配置进行很小的改动，对网络上承载的业务没有影响；可以使各个业务使用同一个核心网络，而在地市节点再按照业务与不同的网络设备相连。

　　通过MPLS-VPN解决方案，可以使整个网络结构简化，减轻维护压力。


5. 不同级别安全域之间的边界

　　不同级别安全域之间的相互访问带来较大的安全风险，是网络安全防护的重点。在划分的安全域中，安全用户域是风险子域，用户域对于计算域的访问是网络中面临的主要风险。

　　采用安全接入认证网关和防火墙对不同级别安全域之间的边界进行防护。（图3）

　　安全接入认证网关通常部署在用户域接入网络的边缘，用于不同安全等级的安全域间的数据交换；通过认证授权和安全策略的检查，对终端的网络访问权限进行控制，只有通过认证和安全策略检测的终端才拥有访问网络的权限，没有通过的终端无法访问网络，从而将安全风险阻挡在网络接入的边缘，最大限度的保护了计算域中核心业务系统的安全。

　　防火墙通常部署在计算域的前端，用于提供多层次的纵深安全防护。

图3 不同安全级别业务域隔离

6. 远程接入的实现（图4）

　　随着业务的发展，远程接入的需求越来越多，远程用户通常通过INTERNET远程接入到企业的数据网络之中，安全风险很大。

　　对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护。用户通过在远端和总部之间建立VPN隧道的方式，并采用数据加密的方法，保证通信的安全。同时结合双因素认证的方式，对接入用户采用高强度的认证，授权，和审计，控制远程接入的风险。

图4 远程接入实现

　　基于以上的安全域划分方案，保证安全防护的层次和深度，突出安全防护的重点，能够很好的解决在运营商支撑网这类庞大复杂的数据网络中安全防护的问题。

network

某运营商计划全面展开数据业务系统的安全域划分，并制定了相应的安全域划分与边界整合技术规范，旨在指导、规范数据业务系统的安全域划分和边界整合工作，切实提高安全防护效果。　　数据业务系统是某运营商的重要业务系统，其系统安全保障工作已经纳入了企业的安全保障战略。近年来，随着数据业务的高速发展，数据业务占该运营商运营总收入的比例已经超过了1/4，数据业务已经成为其高增长业务，且根据预测，在2008年其数据业务占总收入的比例将超过1/3，数据业务的重要性是不言而喻的。但是，数据业务系统大多是基于IP/IT平台构建的，由于其自身协议、架构、技术方面的缺陷，导致个人信息泄漏、充值卡被窃等安全事件屡屡出现，安全问题十分突出。
　　保障数据业务系统的安全、稳定、顺畅运行已经成为该运营商信息安全建设的重中之重，是满足相关法律法规要求、保持其市场竞争优势、实现发展战略的重要保证和支撑。
　　安全域划分的建设内容
　　安全域划分的建设内容主要包括了安全域划分、边界整合和安全防护三部分，其中重点是安全域划分和安全防护。该运营商制定的相应技术规范基本涵盖了上述内容，对数据业务系统的安全域划分、边界整合以及采用的保护方案进行了规范，并对具体实施工作给出了简要的建议。
　　数据业务系统的安全域划分与该运营商制定的其他要求，如《账户口令管理办法》、《客户信息保密管理》、《4A技术规范》及系列基线保护规范等等要求是相辅相承的，分别规定了安全保护工作在某一方面的具体要求和推荐做法。
　　面临的挑战
　　该运营商在制定数据业务系统安全域划分及边界整合的相应规范时，为了保证了规范的适宜性、灵活性，突出其指导意义，仅提出了框架式、粗线条的要求，没有针对各种不同数据业务系统提出相应的解决方案。这在一定程度上可能造成了各省分公司在落实技术要求时，因为没有明确的指导和要求，会有一定的困惑。
　　1)该运营商目前拥有的数据业务系统种类众多，并具有网络互联网广、IT技术杂、业务流程众多的特点，且存在着相互依存和依赖。另外，由于各地数据业务的发展状况及系统建设情况存在着较大的差别，且同一类型的系统可能是由不同厂商提供的，造成各省之间的差别存在较大差异，无法跨省进行经验借鉴，在进行安全域划分时，也需要各省公司人员针对自身的实际情况和每个系统的特点，制定更为细致的规范或要求，这就要求各省公司人员能够深刻理解安全域划分原理和指导思想。
　　2)在进行系统安全域划分或整合时，往往涉及系统的重构和网络结构的变化，可能会涉及业务、管理、运维等各个不同的部门及厂家，这必然存在大量的协调问题，对项目人员的管理能力都具有较高的要求。
　　3)安全域防护体系的设计需要懂业务、懂技术、懂管理并具有一定安全知识和技能的高级人员，能够从业务持续安全的高度进行体系设计。
　　另外，在具体系统的安全域划分和割接时还存在资源、资金、业务连续性等各方面的挑战，这里不再一一叙述，
　　针对这些挑战，本文对安全域方法进行了深入的探讨和阐述，并参考相关资料，阐述了安全域划分、边界整合、安全防护体系设计和系统改造实施的一些经验和做法，并对系统改扩建中安全域管理给出了建议。
安全域的划分和边界整合设计
　　安全域的科学、合理划分是对信息系统进行边界整合的前提，是选择和部署安全防护措施，制定信息系统安全保护策略的基础。
　　安全域划分就是按照安全防护的角度对系统进行区域划分，把复杂巨大的系统分解为简单而结构化的小的区域，以便于防护和管理。
　　边界整合就是在安全域划分的基础上，对保护等级、功能、通信方法相同或相似的区域进行整合，减少或简化系统边界，以便于防护和监控。
　　安全域划分指导思想
　　安全域划分目标是通过对系统进行分区域划分和防护，构建起有效的纵深防护体系，有效抵御潜在威胁，降低风险，保证系统的顺畅运行，保证业务服务的持续、有效提供。
　　为了达到“保证业务服务持续、有效提供”根本目标的实现，必须坚持“以业务为中心、流程为驱动、风险为导向”的指导思想，围绕业务服务，紧紧抓住业务数据流程这根主线，分析系统、业务处理活动所受到的各种潜在威胁及可能的影响，确定安全防护等级，构建起满足等级保护要求的纵深的安全防护体系，并配合管理手段，使其持续保持有效。
　　·业务为中心
　　安全域的划分、防护应围绕业务服务展开，并以是否有效保障了业务的安全、稳定、顺畅运行为最终评判标准。以业务为中心，要求全面了解系统支撑或提供的各种业务服务，分析各种业务服务对机密性、完整性、可用性、可控性、真实性、抗否认、可稽核性、合规性等等各方面的要求，确定系统的安全保护等级和保护要求。
　　·流程为驱动
　　从IT的角度看，系统支撑或提供的业务服务表现为一系列相互关联的业务数据流程，保障业务的安全就是要保障这一系列业务数据流的安全。因此，要求全面、细致、深入了解各种业务服务所对应的业务数据流程集合以及相关的管理、控制数据流程，并紧紧抓住数据流程这根主线，识别贯穿整个数据流程的关键数据处理活动，全面、细致的刻画业务服务的实现细节。通过对数据流、数据处理活动的深入、系统分析，并综合考虑其IT组成要素的实际情况，分析来自业务、IT风险、合规等方面的安全需求，将具有相同或近似安全保护需求的IT要素归并到一个安全域中，沿着数据流程构建起纵深的防护体系，同时，对不相关的数据流进行有效的隔离。
　　·风险为导向
　　系统保护的核心就是保护业务信息处理逻辑，即保护数据产生、获取、处理(识别、转换、筛选、汇总、分析等等)、传输、存储和恢复、销毁的全过程、全生命周期的安全。也就是保护信息数据流及贯穿整个数据流数据处理活动的安全。
　　通过从系统、业务/管理/控制数据流、数据处理活动等几个层次深入系统分析，可以明确系统受到的各种潜在威胁及可能的风险，并根据系统的安全保护等级和要求，可以确定出各种IT组成要素的安全保护需求，并综合各种情况和约束条件确定安全保护策略，确定最佳的安全防护措施及其部署方式，将具有相同或近似安全策略的IT要素归并到一个安全域中，并简化安全域之间的边界通信。
　　·简化和优化系统结构
　　系统的规模越来越大、结构越来越复杂，对这类信息系统的安全防护难度越来越大，难于进行安全度量和评测。
　　根据信息系统的内在结构，将其划分为较小的安全域，并规范每个安全域提供的业务功能、数据处理活动，规范安全域之间的互联互通方式，优化安全域之间的交互作用方式和机制，从而规范、简化、优化系统结构，使系统更加易于防护和运维、管理。
　　·符合相关标准规范要求
　　系统的安全防护应满足信息系统安全等级保护、SOX法规和行业规范的要求。
安全域划分方法
　　数据业务系统模型
　　安全域划分的对象是业务系统。该运营商的数据业务系统通常是基于IT技术进行构建的，其信息系统模型一般如下：

图 业务信息系统组成结构模型

　　一个大型的、复杂的数据业务系统是由一个基本的数据业务系统扩展而成的，因此数据业务系统的模型可以概括为由终端、服务器、网络系统及支撑性设施构成的。
　　基本安全域类型设计
　　工作终端、网络基础设施、服务主机和数据存储设施及支撑性设施承载的信息处理功能不同，安全保护需求不同，应属于不同的安全域类型。因此，可以首先将一个系统的IT要素划分为用户域、计算域、网络域、支撑域四类基本的安全域。

　　图 安全域的基本构成

　　用户域由进行同类业务处理、访问同类数据的用户终端组成，例如工作站、便携式电脑等;网络域由连接用户域、计算域及支撑域的用来传输数据的互联基础设施组成，例如网络交换机、路由器、网络链路等;计算域由在局域范围内进行处理、传输、存贮数据的服务设备或系统组成，例如服务器设备、操作系统、数据库系统等;支撑域由支撑业务运营的基础组件及作为各个安全设备、软件或系统的管理控制组件构成，如安全管理组件、数字证书组件等。
　　四类基本安全域也反映了系统的层次结构，例如网络域对计算域、用户域、支撑域起着传输和承载服务关系。
　　对于具体系统来说，还需要在基本安全域的基础上进行进一步的细分。细分时应依据与业务服务的相关性依次展开，即按照计算域、用户域、支撑域、网络域的进行细分。

　　

      计算域的设计

　　对于计算域内IT要素进行细分，主要基于信息系统的应用结构，从承载的业务功能、数据流、数据处理活动及受到的威胁等导致安全需求差异化的因素进行考虑。

　　图 常见应用系统结构

　　系统的常见应用结构如上图所示。对于Browser/WEB/APP/DB、Agent/Manager/Server、Peer/Proxy/Peer结构，其每部分提供的功能/服务都有所不同，访问策略和数据处理活动不同，可以把计算域的IT要素大致分为接入服务、应用服务和数据库服务三部分。相应的，可以将计算域细分为接入计算区、应用计算区、数据计算区，其防护级别逐渐递增。

　图 一个信息系统的应用层次结构

　　对于一个信息系统来说，一般是这些常见应用结构的集合体。对于简单的数据业务系统，可以将应用计算区、数据计算区合并称为核心计算区或核心生产区。
　　用户域设计
　　对于用户域细分设计，主要从用户终端承担的业务功能、所处的逻辑位置、用户主体、受到的威胁等导致安全需求差异化的因素进行考虑。
　　从功能方面，可以将用户终端分为管理、业务两类;从用户主体方面，可分为内部和第三方;从逻辑位置方面，可以分为本地和远程。用户域IT要素的综合分析：
　　本着简单、实用、实效的原则，用户域可以首先分为业务用户区、管理用户区两类，再根据所处的逻辑位置的不同划分为本地、远程两部分，最后可以对本地管理用户区再依据用户主体的不同进行细分为本地内部管理、本地第三方管理两部分。
　　另外，对于仍处在开发中的系统，可以设计单独的开发区，并与正常运营使用的系统进行严格隔离。
　　支撑域设计
　　对于支撑域的安全域细分主要根据其内部IT要素提供的支撑功能或服务，以及服务实现要求、合规性要求等方面进行考虑。
　　对于数据业务系统的支撑性基础设施一般包括运行维护中心或安全服务中心两部分。相应的可以划分为运维管理区、安全服务区。
　　网络域设计
　　对于数据业务系统来说，其系统是分布式的，例如：省中心通过MDCN或CMNet与其他节点相连，或者所有节点通过专线方式相连。
　　为了有效的防范来自外部网络环境的威胁，系统的核心部分一般会通过一个互联互通的隔离带与外部环境网络相连。系统及其外部网络环境结构一般如下：

　　图 信息系统及其外部网络环境

　　在互联互通部分，一般会有三个逻辑网络部分(可能使用同一网络设备)负责Internet(CMNet)、Extranet、Intranet(MDCN、IP承载网)网络的接入，其安全需求因为外部网络环境的不同而不同，这三个逻辑部分可分别称之为互联网接入部分、外联网接入部分、内联网接入部分。
　　因此，数据业务系统网络一般可以首先将网络划分为网络核心区、网络接入区两个部分。网络核心区内部一般有应用计算区、数据计算区及运维管理区、安全服务区，网络核心区负责这些上层区域的隔离和通信控制及提供其所需的网络层安全服务。网络接入区可以根据实际情况细分为互联网接入区、外联网接入区、内联网接入区、远程接入区等。
安全域划分模型
　　按照这种安全域划分方法，业务系统的安全域划分模型见下图示。

　　图 安全域划分模型

　　安全域划分示例
　　例如，有一数据业务系统，其允许SP通过CMNet访问，对其开发的增值业务进行定制和管理。同时内部用户或服务人员也可以通过网络对其增值业务进行定制和管理。同时，本系统还与银行合作伙伴通过前置机互联，完成相应的充值、缴费等作业;通过MDCN与BOSS系统互联，及时进行话单的传递。另外，为了便于对系统进行监控和管理，部署在其内部的网管前置机可以将采集到的管理信息及时发送到网管中心。
　　其系统结构图及主要数据流如下图示：

　　图 系统结构及数据流分布图

　　此系统的安全域划分结构如下示：

　　图 系统安全域划分示例

边界整合
　　边界整合的目的是简化系统、安全域的防护边界，使其便于防护、便于管理、强化控制、节省投资。
　　安全域划分完毕后，可以系统的识别出安全域的边界。安全域边界通常是逻辑通信边界，逻辑通信边界通常覆盖了OSI通信模型的网络层、传输层和应用层。
　　整合原则
　　边界的整合，必须在保障业务安全、顺畅运行且性能满足要求的情况下，按照下述原则对安全域的边界进行整合：
　　·安全域的跨边界通信方式相似，业务功能相似;
　　·安全域具有相同安全保护等级、相似的安全保护策略;
　　·安全域的类型相同。
　　对于原则的第一条，需要特定注意。因为在数据业务系统中，常常存在业务数据流和管理控制数据流共用设备的情形，但其保护需求和保护策略及对性能的要求存在一定的差异，通常对其进行逻辑上的隔离，不能进行合并。
　　整合内容
　　整合的内容覆盖了两个层次和两个方面。
　　两个层次是指系统级和安全域级。安全域级的边界整合一般对本系统各节点间或本节点内部的计算域、支撑域、用户域、网络域及其子域进行整合;系统级边界整合一般是对本系统与其他数据业务系统进行整合。
　　两个方面是指逻辑整合和物理整合，其中核心是逻辑整合。物理整合是指对系统的多个节点(或多个系统)、安全域的边界进行物理调整，使其共用相同的设备，使用相同的通信端口。这种整合对象一般是系统的多个相似部分(如：用户终端)或者多个系统的相似部分(如：多个系统的拨号用户接入)。逻辑整合是指对系统的、安全域的逻辑边界进行整合，使其具有清晰、完整地逻辑边界，便于进行安全管理、安全防护和安全控制。
　　安全防护体系设计
　　在安全域划分和边界整合完毕后，就需要进行安全域防护策略及规范的设计。安全域防护策略及规范的设计一般按照如下思路进行。
　　1)识别和分析目标环境
　　通过对各安全域提供的信息服务的识别，全面、深入分析各种信息服务所对应的数据流及数据处理活动情况;同时，识别本安全域所包含的网络设备、服务器、应用及互联现状，分析信息服务在网络、系统、应用层的信息承载情况，其中重点是跨边界的通信情况。
　　2)识别和分析安全威胁
　　以信息服务所对应的各种数据流、数据处理活动、数据为对象，全面识别其在网络、系统、应用、内容等层次受到的威胁及存在的脆弱性，并评估信息服务可能受到的侵害和影响。
　　3)确定安全需求
　　首先，以安全域承载的信息服务为根本出发点，分析各种信息服务的性能要求、业务持续性要求、业务安全要求;其次，从系统的威胁、脆弱性现状及趋势走向，分析系统的IT风险控制要求;再次，可以从等级保护、SOX等要求出发，分析系统的合规性安全需求;最后，汇总这几个方面的安全需求，进行系统归纳、整理，明确最终的安全需求。
　　4)规划安全保护策略
　　安全域防护策略指明了满足安全需求而需要的一系列安全防护要求。这通常需要对系统的总体安全需求进行整理，然后，按照总体系统(本系统+内部其他系统)、本系统、安全域的层次逐步细化，明确各个安全域的边界和内部安全防护策略。
　　例如，单位已经在系统外部部署了防病毒系统，本系统就可以通过部署二级防病毒服务器或直接使用外部系统的防病毒服务。在本系统层面上，可以建立一个安全服务区，进行安全设施的部署，为各个安全域提供其所需的安全服务。
　　5)规划安全防护规范
　　根据系统及各个安全域的安全保护策略，明确相应的安全防护措施及其部署方式，明确关键的技术规格参数的要求，明确各个设备应部署的安全防护策略，并检查安全防护是否满足安全服务所需的性能、安全需求。

network

　安全域改造实施　　按照安全域划分结果，对系统进行改造实施工作具有非常高的要求，尤其是对于在线运行的数据业务系统。
　　为了保证实施工作的顺利，应注意以下要点：
　　·详细的系统调研
　　通过全面、深入、细致的调研，客观、准确地了解现网状况，系统的掌握其业务承载情况及提供的业务功能和服务。
　　·数据流梳理
　　根据系统提供的业务服务及功能，对其业务数据流、管理和控制数据流进行分析和梳理，并深入分析贯穿整个数据流的关键数据处理活动。
　　·安全需求
　　基于系统提供的业务服务，明确可接受的安全基线;基于数据流及贯穿数据流的关键数据处理活动分析系统受到的潜在安全威胁及可能的影响，归纳出系统的安全需求。
　　·安全域划分
　　按照安全域划分的指导思想，沿数据流进行垂直分层，形成纵深的防护体系;并对不同的数据通信流进行水平隔离，防止互相干扰和侵害，同时按照OSI模型进行立体分层。
　　·安全防护体系设计
　　根据安全需求，明确所需的安全防护措施及其部署位置和策略，覆盖预警、防护、检测、响应、恢复等安全防护的各个环节。
　　·系统割接
　　根据安全域划分和防护方案，制定科学、合理的安全域改造方案，并针对系统的客观情况，拟定缜密的实施计划，做好实施工作中的风险控制，并在割接完毕后进行各种业务服务的测试。其中，关键要保证所测试业务服务的完备性，这可以通过在调研阶段所做的业务数据流程分析，归纳出各种业务服务及具有不同业务数据流程的同一业务服务的详细列表，明确测试内容和方法。
　　·策略落实
　　安全策略不可能一步到位，应按由松入严的方式，对安全策略逐步细化落实。而且，安全策略的设计可能存在遗漏和差错，因此应通过监听、监控手段对安全策略进行预先检查和验证。

系统安全域管理和审计
　　安全保障要“管理与技术并重”。通过安全域划分和边界整合改造可以基本上建立起一个有效的安全技术防护体系。但为了使安全技术防护发挥最大的效能，同时使安全技术防护持续有效，必须采用管理手段加以制度化管理。
　　安全域管理
　　安全域管理目的是保证信息系统的运营期和改扩建过程中，有效贯彻和落实安全域的相关规范。
　　安全域管理内容包括：
　　·设立相应的管理岗位，明确其管理职责、任务和权利;
　　·制定安全域的相关管理办法和规范，并将其融入已有的安全管理体系。
　　一般制定的管理制度包括：
　　·《安全域管理员规定》
　　·《安全域工程设计规范》
　　·《安全域工程建设验收规范》
　　·《安全域运维管理规范》
　　 安全域审计
　　审计的目的是客观的获取数据业务系统安全域划分和安全防护信息，并与既定的安全域防护规范或要求进行对比，分析存在的差距与不足，提出相应的整改建议，以将业务信息系统维持在正确的安全保护等级或者组织能够接受的安全风险程度内。
　　对安全域进行审计，主要包括三个方面的内容：
　　·评估安全域划分和边界整合、安全域的防护策略与既定标准规范的符合程度，以及安全防护效果;
　　·评估安全域管理、控制过程与既定规章制度的符合程度以及管理绩效;
　　·对发现的偏离或不足之处给出纠正或改进建议。
　　一般制定的审计制度或文件包括：
　　·《审计指标体系》
　　建立科学的审计指标体系及评分办法。
　　·《审计检查列表》
　　检查系统的安全域划分情况与记录是否，各个安全域的防护是否满足相关要求。
　　展望
　　安全域划分和改造是一项艰巨的工作，内容涉及安全域划分服务、设备采购和部署、系统改造、安全策略调整等等内容。且随着该运营商数据业务的蓬勃展开及安全形势的日益严峻，安全建设任务已迫在眉睫。
　　对于数据业务系统的直接管理方来说，抓紧做好自身数据业务系统的普查工作，选择一家有实力、有能力、有经验、易沟通、信得过的安全服务商提供相应的咨询服务，明确工作的先后顺序，制定明确的行动方案，将是一个十分可行的工作方法。
　　通过对数据业务系统进行安全域划分和改造，可以推动安全防护技术体系的建设，提升安全技术防护效果。但安全保障需要依赖“管理和技术”两种手段，在进行数据业务系统安全域划分和改造工作的同时，尽快开展信息安全管理制度、流程建设工作，建立强有力的安全管理组织结构，明确安全责任，理顺管理流程，强化落实执行，加强协同配合，定能起到事半功倍的效果

network

内部安全域应用方案边界概述
　　目前，多数单位的网络内部存在各种业务系统，各业务系统的资产价值、安全等级都不相同，因此需要划分安全域进行有针对性地保护，比如银行总部数据中心的核心业务服务器区、电信支撑网数据中心的BOSS系统服务器区，以及政务网中的对外服务区、核心服务区、网络接入区、网络核心区及安全管理区等区域。这些区域与核心网络设备之间的边界定义为内部安全域边界，安全域对外通讯的数据流必须经过内部安全域边界。
风险与需求分析 　　不同的专网有不同的安全域，不同的安全域面临的威胁也不相同。比如政府网和企业网划分的安全域就有很大区别，政府网通常有内、外服务区的区分，而企业网则通常有办公服务器区和业务服务器区的区分。这些虽然都是安全域，但一个专网内不同安全域的防护却有天壤之别，比如，核心服务器区的边界需要有重兵把守，而办公接入区的边界却可以大门敞开，因此，分析内部安全域的安全威胁需要针对内部安全域边界的特点进行统筹考虑。
　　内部安全域边界是域内对外数据流的要道，外部对内部安全域的威胁和域内对外的威胁数据流都经过内部安全域边界，概括这些威胁数据流主要有：非授权访问、病毒传播和恶意攻击三类。
非授权访问
　　内部员工越权登陆安全域内服务器、越权查询安全域内服务器的敏感信息或违规使用网络服务器资源等越权和违规行为会危害系统安全，因此，需要限制对受保护资产的违规和越权操作，并进行审计。
病毒传播
　　病毒的种类和传播途径越来越多，几乎到了无孔不入的地步，比如蠕虫病毒可以自动扫描主机的漏洞并学习网络拓扑，完成在局域网和广域网的传播。病毒的传染和泛滥会导致系统崩溃、系统资源耗尽等严重后果，病毒泛滥有可能堵塞内部安全域边界，造成服务中断，而来自专网内部的病毒数据都经过内部安全域边界。
恶意攻击
　　外部恶意人员进入内部网后的攻击行为和内部员工的恶意攻击行为，一般都以专网内核心安全域中的核心安全资产作为攻击目标，以应用层攻击为主，同时也有个别网络层攻击，一般以窃取、修改或试图破坏内部资源为目的，因此，需要对重要的资源进行重点保护。
方案概述 　　安全域的划分是为了有效地管理，因此，可以根据资产的安全级别、资产的功能和数据流向来划分安全域，在这些因素中，首先需要考虑的是资产的安全级别，将具有相同安全级别的资产划分在一个安全域内，可以有针对性地部署安全防护措施，做到重点资产重点防护。

一般来说，在大型局域网中，具有以下几类典型的安全域：业务服务器区、办公服务器区、核心数据库区、管理服务器区以及一般用户的办公区。

　　由于内部安全域的种类很多，所以在设计和部署上要具体情况具体分析。
　　核心服务器区部署了最重要的网络资产，是重点防护的区域，这个安全域不仅访问流量大、面临的威胁也非常复杂，通过部署高端防火墙可以控制绝大多数违规访问，防火墙仅针对访问需要，打开必要的通讯端口和地址，形成内部安全域的第一道屏障。同时，通过部署认证网关，对访问者的身份进行鉴别，防止身份伪造，提高安全性。在确认访问者的身份后，对访问行为进行审计，可以详细记录访问过程，用于事后回溯。此外，在区内核心交换节点处部署IDS，对非法攻击和病毒进行监控。
　　对于业务服务器区和办公服务器区，除部署防火墙进行网络层的控制以外，还应针对应用服务器区常见的应用层攻击，部署IPS或防病毒网关，控制各类应用层攻击，阻断病毒的传播。通过防火墙、认证网关、防毒网关、IDS，形成一个多维立体的防护系统。
　　在办公接入区部署的都是终端设备，因此没必要在这个区域边界部署安全设施，可以利用网络设备进行一些简单的访问控制，通过网络层和传输层来限制终端的访问范围和应用，控制病毒的传播，如果与内网安全安全和终端安全系统相结合，还可以达到更好的效果。
具体部署示意图如下：

　　联想网御内部安全域边界防护系统可以在边界处进行全面的安全防护，还可以与内网安全安全和终端安全系统配合，达到更好的效果。
优势与特点
关键区域重点保护
　　通过在不同安全级别的内部安全域部署不同的边界防护系统，可以达到重点资产重点保护的目的。在核心服务器区可以投入高端、功能完善的设备和系统，在安全级别不高的安全域可以根据情况部署较为经济、简单的系统。
强大的身份认证功能
　　联想网御认证网关支持大规模并发用户同时认证，适合业务流量集中的核心服务器区的身份认证；支持Web浏览器认证，方便客户使用；支持软令牌、硬件令牌和短信令牌三种双因素认证方式，有效地弥补了用户名、密码认证的不足。
强大的病毒识别能力
　　采用全文深度检索，可以彻底查清邮件附件的病毒；采用跨时空域的上下文关联分析算法，可以准确识别出蠕虫病毒报文，最大限度地节约网络资源、防止病毒蔓延。

network

　电子政务作为信息网络的一个特殊应用领域，运行着大量需要保护的数据和信息，有其自身特殊性。如果系统的安全性被破坏，造成敏感信息暴露或丢失，或网络被攻击等安全事件，可能导致严重的后果。因此，构建电子政务信息安全保障体系就变得尤为重要。但如何设计完善的信息安全系统，如何形成有效的信息安全管理体系等问题都是电子政务信息化的难点和要点。本文结合咸阳市电子政务信息系统实际，以安全域作为安全设计和建设的辅助线，进行综合的防护体系设计，并提出用安全管理平台解决管理问题以及如何解决安全管理平台存在的监控平台设计，种类繁多的设备数据采集和与其它网络应用平台互联互通三个技术难点。 　　
电子政务内网安全域划分 　　
安全域的基本概念 　　
安全域（security domain） 就是由实施共同安全策略的主体和客体组成的集合。网络安全域是指同一系统内有相同或相似的安全保护需求，相互信任，并具有相同或相似的安全访问控制和边界控制策略的网络或子网，相同或相似的网络安全域共享一样的安全策略。 　　
安全域方法是对一个组织的资产、业务、网络和系统的理解方法，经过安全域的分析和整合，可以更好地体现一个组织的特征。 　　
安全域的基本原则 　　
安全域的理论和方法所遵循的根本原则如下： 　　
1.业务保障原则：安全域方法在保证安全的同时，还要保障业务的正常和高效运行。 　　
2.结构简化原则：安全域划分并不是粒度越细越好，否则可能导致安全域的管理过于复杂和困难。 　　
3.分级保护原则：安全域的划分要做到每个安全域的信息资产具有相同或相近的密级分级、安全环境、安全策略等。 　　
4.立体协防原则：安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括物理安全、网络安全、系统安全、防病毒、ca认证、容灾备份等电子政务内网的整体安全环境。 　　
电子政务内网安全域结构划分 　　
将安全域划分作为安全解决方案的主线，电子政务安全域划分为如下结构： 　　
互联域：包含了电子政务的网络核心设备，连接路由设备等； 　　
接入域：包含了政务内网和连接的各委办局网络，根据属性的不同还可细分为内部接入域（局域网用户）和各委办局接入域； 　　
服务域：包含了电子政务内网的oa系统、公文传输系统、电子印章系统、档案管理系统、内网门户网站系统、pki/ca系统和数据库系统等系统服务器； 　
　安全管理支撑域：新加域，主要包含了电子政务系统所有的系统、网络设备和安全设备的管理终端和管理服务器。 　　
电子政务安全域防护体系 　　
总体安全解决方案 　　
在明确了电子政务安全域结构后，根据安全域边界和内部的风险分析，制定了电子政务的安全解决方案，解决安全域边界防护，安全域防护问题。总体的安全解决方案如下： 　　
安全域边界：主要安全风险为网络访问控制、防网络入侵、防资源滥用、防区域网络病毒传播和防数据泄漏。采用的安全技术有防火墙、防毒墙与vlan以及vpn相结合的方式进行访问控制。 　　
接入域内部：主要安全风险为病毒、接入控制、文档防护、终端漏洞、非法外联、终端维护和终端审计。采用的安全技术有网络防病毒、内网安全管理系统。 　　互联域内部：互联域主要是网络设备，因此主要风险是设备的单点故障等问题，这类问题可通过设备冗余的方式解决；互联域的一个主要作用是各个安全域之间数据的传输，因此是对各个安全域间交换数据的最佳监控点。采用的安全技术是利用入侵检测系统[2]对各个安全域的交换数据进行检测。 　　
服务域内部：主要安全风险为系统漏洞、业务漏洞、业务违规操作、防系统入侵、数据库漏洞和数据库违规操作。采用的安全技术有漏洞扫描系统和ips入侵防御系统。 　　
安全管理支撑域内部：安全管理域承担着漏洞管理、威胁管理、日志管理、资产管理、信息采编、网络管理和用户管理等功能，面临的安全风险有管理系统的远程管理、管理人员误操作、管理人员权限分配问题、管理人员身份确认问题和多系统的有效安全管理问题。部署了所有安全设备的管理服务器，并部署了内网安全管理系统、行为审计系统、网维系统、日志审计系统，用ca/ra认证系统[3]进行身份认证、授权管理和责任认定，用安全管理平台进行全面统一的管理。 　　
利用安全管理平台解决安全域防护体系管理问题 　　
在电子政务安全平台的建设中将不同位置、不同安全系统中分散且海量的安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。系统部署可以分为核心系统部署配置和数据采集系统部署配置两大步骤。 　　
核心系统部署和配置 　　
核心系统一般包括管理服务器、数据库服务器、事件采集服务器。管理服务器完成对数据处理、显示和报告功能；数据库服务器实现数据存储功能；事件采集服务器完成对各种安全设备、网络设备、主机\应用系统的弱点数据采集和威胁数据采集功能。 　　
1. 数据采集系统部署和配置 　　
数据采集系统指部署在被评估环境中的各种可以提供弱点数据和威胁数据的设备，包括已有设备和风险评估必须使用的设备。数据采集的范围和对象包括已有安全设备，防火墙、防病毒、入侵检测、日志审计等系统数据采集。也包括对核心业务和资产配置数据采集，关键数据库、操作系统日志采集。 　　
2.安全管理平台的软件架构 　　
平台由“四个中心、五个功能模块”组成。四个中心为漏洞评估中心、运行状况监控中心、事件/流量监控中心、安全预警风险管理与响应管理中心；五个功能模块为策略管理、资产管理、用户管理、安全知识管理、自身系统维护管理。具有以下功能特点：安全事件集中收集和处理、漏洞评估管理、关联分析、资产管理风险评估、安全事件/流量监控安全、策略管理、响应管理、全面知识管理、多样化显示方式以及丰富直观的报表。 　　
安全管理平台 　　
1.监控平台的结构 　　
监控平台，是安全管理平台的重要组成部分，它包含远端安全设备（事件发生）、安全事件收集、事件分析、状态监视、展现报表等重要组件。除技术之外，还有一个重要组成部分就是运行人员、应急小组和专家队伍。所以，监控平台需要相应的管理制度和应急处理流程，在应急处理流程中还应该包括明确的事件升级制度。 　　
监控平台主要由安全设备集中管理、安全运维流程、应急响应和组织的安全管理四部分组成。 　　
2.安全设备集中管理 　　
集中管理平台可以自动发现网络中的网络设备和安全设备，并且以设备码的形式对其进行分类，以可视化的拓扑图形式对其进行管理。 　　
以集中统一的方式收集、存储整个系统中的网络设备、安全系统、主机服务器的日志和报警信息。并对所有的日志进行关联分析，收集和整合所有重复的和相似的事件到单一的事件，采用统一的数据定义格式，形成专业的分析报告。 　　
3.snmp和syslog接口 　　
一方面平台设备间要进行数据传输和搜集，另一方面接口要支持api定制，因此，在电子政务平台的接口中主要应用snmp和syslog两种标准接口，其优点是通用性和兼容性好。 　　
（1）、 snmp接口 　　
简单网络管理协议(snmp)是一种应用层协议, 便于在网络设备间交换管理信息。它是tcp/ip协议簇的一部分。 网络管理员使用snmp管理网络性能, 发现和解决网络故障, 并计划网络增长。有两种snmp版本: snmp v1和snmp v2。它们有一些共同的特征, 但snmpv2提供增强功能。snmpv3的标准化还没有完成。 　　
（2）、syslog接口 　
　syslog功能是通过信息中心模块（info-center）实现的，它是信息中心模块所具有的一个子功能。现在主要对输出到日志主机的日志格式做简略的说明。输出到日志主机采用端口号514。格式根据rfc3164（the bsd syslog protocol）制定，并对消息头部进行扩展。日志信息格式如下：<优先级>时间戳 主机名 模块名/级别/信息摘要:内容。例如：<189>jun 7 05:22:03 2003 quidway ifnet/6/updownine protocol on interface ethernet0/0/0, changed state to up。 　　
总结 　　本文在防护体系设计中采用了很好的“工具”——安全域。通过安全域的划分，清晰了整个电子政务内网的业务管理、业务边界和业务区域，这样通过各个区域的风险分析，有针对性的进行设备和技术的选择，在保证充分发挥功能的同时，避免了设备功能的重复和无效的资金投入。针对安全管理平台存在的技术难点，本文通过采用snmp和syslog接口，并试用api接口编辑的方式解决了平台对于数据采集、多平台互联互通问题。

network

安全域管理1.1  概述传统的防火墙的策略配置通常都是围绕报文入接口、出接口展开的，这在早期的双穴防火墙中还比较普遍。随着防火墙的不断发展，已经逐渐摆脱了只连接外网和内网的角色，出现了内网/外网/DMZ（Demilitarized Zone，非军事区）的模式，并且向着提供高端口密度的方向发展。一台高端防火墙通常能够提供十几个以上的物理接口，同时连接多个逻辑网段。在这种组网环境中，传统基于接口的策略配置方式需要为每一个接口配置安全策略，给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。
和传统防火墙基于接口的策略配置方式不同，业界主流防火墙通过围绕安全域（Security Zone）来配置安全策略的方式解决上述问题。所谓安全域，是一个抽象的概念，它可以包含普通物理接口和逻辑接口，也可以包括二层物理Trunk接口+VLAN，划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。引入安全区域的概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理。比如，首先可以将防火墙上连接到研发不同网段的四个接口加入安全域Zone_RND，连接服务器区的两个接口加入安全域Zone_DMZ，这样管理员之需要部署这两个域之间的安全策略即可。同时如果后续网络变化，只需要调整相关域内的接口，而安全策略不需要修改。可见，通过引入安全域的概念，不但简化了策略的维护复杂度，同时也将网络业务和安全业务的分离。

图1-1 安全区域划分示意图
1.2  配置安全域1.2.1  配置概述用户登录到Web网管界面后，在界面左侧的导航栏中选择“设备管理 > 安全域”，进入如图1-2所示的界面。

图1-2 安全域管理Web界面
安全域配置的推荐步骤如表1-1所示。
表1-1 安全域配置步骤

步骤	配置任务	说明 [/td]
1	1.2.2  创建安全域	可选 缺省情况下，ROOT虚拟防火墙有以下几个安全域：Management、Local、Trust、DMZ、Untrust [/td]
2	1.2.3  添加接口到安全域	必选 添加指定的接口（包括物理接口、三层子接口、二层子接口、VLAN虚接口、二层以太网接口+VLAN）到已创建的安全域，可添加的接口和VLAN必须与安全域在同一个虚拟防火墙中

1.2.2  创建安全域在导航栏中选择“设备管理 > 安全域”，单击<新建>按钮，进入安全域的创建页面。

图1-3 创建安全域
创建安全域的详细配置如表1-2所示。
表1-2 创建安全域的详细配置

配置项	说明 [/td]
安全域ID	安全域ID在同一个虚拟防火墙中必须唯一 [/td]
安全域名	安全域名称 [/td]
优先级	设置安全域的优先级 缺省情况下，允许从高优先级安全域到低优先级安全域方向的报文通过 [/td]
共享	指定安全域是否可以被其他虚拟防火墙访问

可点击返回“表1-1 安全域配置步骤”。
1.2.3  添加接口到安全域在导航栏中选择“设备管理 > 安全域”，单击需要修改的安全域对应的编辑图标，进入修改安全域页面。

图1-4 修改安全域
安全域的详细配置如表1-3所示。
表1-3 添加接口到安全域的详细配置

配置项		说明 [/td]
ID/域名/虚拟设备		安全域的ID、域名和所属的虚拟设备 不可以修改 [/td]
优先级		指定安全域的优先级 缺省情况下，允许从高优先级安全域到低优先级安全域方向的报文通过 [/td]
共享		指定安全域是否可以被其他虚拟设备引用 [/td]
接口	接口	已经添加到安全域的接口处于选中状态；可以添加到安全域但还没有添加的接口处于未选中状态 [/td]
	所属VLAN	如果是二层以太网接口，必须同时指定添加到安全域的VLAN范围。VLAN必须已经添加到安全域所属虚拟防火墙中，且没有被添加到其他的安全区域中

可点击返回“表1-1
安全域配置步骤”。
1.3  安全域典型配置举例1. 组网需求某公司以SecBlade防火墙作为网络边界防火墙，连接公司内部网络和Internet。公司需要对外提供WWW和FTP服务。
现需要对防火墙进行一些安全域的基本配置，为后面的安全策略的设置做好准备。

图1-5 配置安全域组网图
2. 配置思路(1)
公司内部网络属于可信任网络，可以自由访问服务器和外部网络。可以将内部网络部署在优先级相对较高的Trust区域，由防火墙的以太网口Ten-GigabitEthernet 0/0.1与之相连。
(2)
外部网络属于不可信任网络，需要使用严格的安全规则来限制外部网络对公司内部网络和服务器的访问。可以将外部网络部署在优先级相对较低的Untrust区域，由防火墙的以太网口Ten-GigabitEthernet 0/0.3与之相连。
(3)
公司对外提供服务的WWW Server、FTP Server等，如果将这些服务器放置于外部网络则它们的安全性无法保障；如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。可以将服务器部署在优先级处于Trust和Untrust之间的DMZ区域，由防火墙的以太网口Ten-GigabitEthernet 0/0.1与之相连。这样，处于DMZ区域的服务器可以自由访问处于优先级较低的Untrust区域的外部网络，但在访问处于优先级较高的Turst区域的公司内部网络时，则要受到严格的安全规则的限制。
3. 配置步骤缺省情况下，系统已经创建了Trust、DMZ和Untrust安全域。因此不需要创建这些安全域，只需对其进行部署即可。
(1)
部署Turst安全域
# 添加Ten-GigabitEthernet 0/0.1接口到Trust域。
l
在导航栏中选择“系统管理->安全域管理”。
l
单击Trust安全域的编辑图标。
l
选中Ten-GigabitEthernet 0/0.1。
l
单击<确定>按钮。
(2)
部署DMZ安全域
# 添加Ten-GigabitEthernet 0/0.2接口到DMZ域。
l
在导航栏中选择“系统管理->安全域管理”。
l
单击DMZ安全域的编辑图标。
l
选中Ten-GigabitEthernet 0/0.2。
l
单击<确定>按钮。
(3)
部署Unturst安全域
# 添加Ten-GigabitEthernet 0/0.3接口到Unturst域。
l
在导航栏中选择“系统管理->安全域管理”。
l
单击Unturst安全域的编辑图标。
l
选中Ten-GigabitEthernet 0/0.3。
l
单击<确定>按钮。

network

某证券安全域划分及防护规范报告
【摘要或目录】：安全域划分及防护规范        1
一. 概述        5
1.1 适用范围        5
1.2 引用标准        5
二. XX证券信息系统概述        6
三. 安全域划分规范        8
3.1 划分原则        8
3.2 安全域划分        11
3.2.1 网络外部域        12
3.2.2 网络接入域        12
3.2.3 网络核心域        13
3.2.4 计算域        14
3.2.5 管理用户域        14
3.2.6 安全支撑域        14
3.2.7 边界描述        15
四. 安全域保护定级        18
五. 安全域防护策略        20
5.1 XX证券信息系统防护策略        20
5.2 网络核心域防护        20
5.2.1 边界防护策略        21
5.2.2 边界5的防护策略        21
5.2.3 边界6的防护策略        22
5.2.4 边界7、8的防护策略        23
5.2.5 边界9的防护策略        24
5.2.6 内部防护策略        24
5.3 网络接入域的防护        26
5.3.1 边界防护策略        26
5.3.2 互联网接入域        27
5.3.3 外联网接入域1的防护策略        29
5.3.4 外联网接入域2的防护策略        31
5.3.5 内联网接入域的防护策略        32
六. 总结        33