将安全域进行到底--------概念大全

network

基于安全域的企业网管理系统设计与实现
1  网络访问控制技术综述
    近年来互联网迅速发展，网络规模越来越大，许多企业也在扩展自己的网络，使得网络从狭义的局域网络延伸到远程分支机构和合作伙伴，并通过网络扩展带来的访问便捷性促进了生产效率的大幅提高。然而，网络规模的急剧扩充以及网络访问方式的增加也为网络上的不法分子提供了可乘之机。企业的内部员工以及企业的访客人员经常成为窃取企业机密信息的元凶。
    企业为了对关键网络资源进行防护，对网络资源的访问进行控制，一般在关键网络资源的前面添加防火墙，对关键资源进行访问操作前先进行身份认证，认证成功防火墙打开ACL（Access Control List：访问控制列表），认证失败则拒绝访问。这种方式实现了基本的网络访问控制，但是仍存有以下缺点：
    ◆使用便捷性问题：一般企业中有很多关键资源，由于企业规模的扩充导致这些关键资源可能并不在同一位置，不属于同一网络，那么用户就必须记住这些资源的IP、域名等信息，从而可以访问该资源。但是，从网络资源的集中管理角度出发，这些资源对用户来说应该是透明的，用户不应该记忆这些信息；
    ◆多次认证问题：在用户通过防火墙访问关键资源的时候，防火墙利用Web Portal或者Telnet等方式对用户进行认证，通过认证后打开ACL允许用户进行访问。由于各防火墙之间没有联动，就会导致用户每访问一个网络资源，都需要进行认证，这对于规模较大的企业网来说大大降低了用户的工作效率，同时也增加了用户信息泄露的可能性；
    ◆用户信息存储问题：防火墙要对用户身份进行认证，可以使用两种方式，即本地认证或者外部服务器认证（一般防火墙支持Radius和LDAP认证）。如果使用外部服务器认证则可以对用户信息进行集中式管理，对于不支持外部服务器认证的防火墙则只能使用本地认证，这就需要网管人员针对每个防火墙设置用户信息，增大了网管难度和用户使用的复杂度，同时也降低了整个网络的安全性；
    ◆资源可见性问题：对于一个用户而言，在其身份被确定的同时其网络访问权限就应该被明确，用户不需要看到他不被允许访问的网络资源，这在普通的网络访问控制中是不能够实现的；
    ◆网络行为审计问题：要实现用户对关键资源的访问审计，通常的做法是查看并综合每个防火墙的日志，但是在大量的日志数据中找到需要的审计信息是比较困难的；
    ◆网络设备问题：在传统的网络访问控制中，一般将防火墙串接在用户和关键资源之间，这就需要在每个关键资源前部署一个支持认证的防火墙，部署成本比较高。当然，现在的交换机、路由器也支持ACL功能，但是这些设备实现的ACL一般不支持用户身份认证，属于静态配置的ACL；
    ◆IP滥用问题：在传统的网络访问控制中，主要对IP以及IP层以上的协议进行了控制，而缺少对链路层信息进行控制，这就导致了IP滥用从而绕过ACL控制的漏洞。比如用户A使用IP：192.168.0.1，其MAC地址为11：11：11：11：11：11，当其访问某关键资源进行认证后防火墙将192.168.0.1的访问权限开启，此时用户B使用攻击工具使得A机宕机，B机将其IP地址修改为192.168.0.1，从而B就具有了A的访问权限。
    基于以上传统网络访问控制技术中存在的问题，本文提出了一种基于安全域的网络访问控制技术，从网络的划分、人员管理和策略配置等进行集中管理，提高了网络的可管理性和安全性，有效地解决以上问题。
2  安全域相关技术简介
    1）划分安全域
    要解决上述传统网络中存在的诸多问题，首先要对企业网络进行规划，也就是划分企业网络的安全域。
    安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域内具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。
    为了更为细粒度的对网络进行访问控制，在划分安全域后，可以继续在安全域下划分若干子安全域，子安全域不能单独创建，其必须属于某个安全域，子安全域之间可以互相重叠。如下图所示：

图1   IP安全域和子安全域的划分

    ◆将网络划分为3个安全域：
    安全域-1：用户接入所在的安全域
    安全域-2：数据中心安全域
    安全域-3：服务器安全域
    ◆服务器安全域中有一个子安全域：
    子安全域-1
    2）配置访问策略
    安全域规划完成后，需要对用户信息进行规划，比如分组、分角色对用户进行管理，然后按照用户、用户组、用户角色的不同而设置不同的安全域访问权限。
    基于安全域的网络管理系统可以充分解决传统访问控制中的缺点：
    ◆用户不用记忆复杂的服务器地址，只要访问安全域管理服务器便可以查看自己所能够访问的所有网络资源；
    ◆用户只需要在登录安全域管理服务器的时候认证一次便可访问所有其能够访问的网络资源，不需要像传统访问控制系统那样进行多次认证，实现了网络资源访问的SSO（Single Sign On：单点登录）；
    ◆用户信息只是存储在安全域管理服务器中，网络管理员在修改用户信息时更为方便，同时也更为安全；
    ◆用户登录安全域管理服务器后只能够看到其能访问的安全域，这样可增强整个网络的可管理性和安全性；
    ◆因为用户访问所有安全域都要通过安全域管理服务器，所以安全域管理服务器可以详细并精确的记录用户对网络资源的访问日志，可大大降低网络资源访问的审计工作；
    ◆安全域管理系统是动态的修改设备的ACL，所以除了支持防火墙的设备外，还支持交换机、路由器等具有ACL控制模块但不具认证功能的设备，这在一定程度上降低了企业的部署成本；
    ◆安全域管理服务器可以通过多种方式探测PC的在线状态，在PC登录某个安全域后异常退出网络或者忘记主动退出安全域的登录，探测模块可以探测到PC的下线然后自动将下发所有的ACL撤销。同时还可以探测IP-MAC的使用记录，如果发现IP-MAC对应关系发生变化时也将撤销所有此IP的ACL，这在很大程度上防止了IP滥用问题。
3  安全域管理技术实现
    1）模块设计
    基于安全域的网络访问控制体系结构图如下所示：

图 2  基于安全域的网络访问控制体系结构
    ◆ID管理模块：用户信息管理模块，提供用户信息的添加、删除和修改等功能，集中管理企业网络中的用户。同时可以将用户按权限进行分组、分角色进而实行管理，利用组和角色对特定用户集合进行管理；
    ◆安全域管理模块：管理用户划分的安全域和子安全域信息，用户可以添加、删除和修改安全域以及子安全域，可以配置安全域之间的访问控制关系，比如在访问安全域A的时候不能同时访问安全域B等；
    ◆访问策略管理模块：管理用户与安全域、子安全域之间的访问控制关系，定义用户在什么时间、什么地点可以访问那些安全域等；
    ◆Web服务管理：为用户提供Web服务，用户通过web服务进行身份认证以及安全域的访问和退出等；
    ◆通信平台：主要是通过SSH、Telnet对防火墙进行配置，为用户打开指定的ACL访问；
    ◆探测模块：探测用户PC是否在线，探测方式可以采用ARP、ICMP、SAMBA等协议；
    2）系统流程设计
    在安全域下，用户接入网络访问网络资源的步骤如下所示：

图 3  访问网络资源

    ◆第0步：用户接入网络，直接访问安全域失败，因为防火墙ACL默认禁止用户访问此安全域；
    ◆第1步：用户通过Web浏览器访问安全域管理服务器IP或URL；
    ◆第2步：用户在身份认证页面输入身份信息，安全域管理服务器对用户进行认证，认证成功则继续，认证失败需重新认证；
    ◆第3步：用户认证成功后，安全域管理服务器利用管理员配置的访问策略将用户可访问域显示给用户；
    ◆第4、5步：用户选择登录其要访问的安全域，安全域管理服务器通过网络连接开启用户PC对安全域（或子安全域）的ACL；
    ◆第6步：用户成功访问其登录的安全域；
    ◆第7步：当用户退出安全域后安全域管理服务器将下发给防火墙的ACL撤销。同时，如果在线探测模块探测到用户下线或者用户IP-MAC发生改变的时候也会撤销其为此IP下发的ACL。
4  结束语
    通过上述介绍可以看到，使用安全域管理企业网络，可以充分解决传统网络访问控制技术所存在的问题，可以提高用户的工作效率，增强网络的可管理性和安全性。当然，上述安全域管理系统也有需要改进的部分，比如通过SSH、Telnet配置设备ACL，由于网络设备厂商的多样化导致命令处理十分复杂，主要原因是现如今还没有这方面的业界或企业标准，随着网络安全的进一步发展，希望这方面得到改善。

network

谈大型信息系统的安全域划分与等级保护建设

2008-12-04 作者：于慧龙 来源：soft6.com

引言 近年来，随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作，为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁，间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等；安全保障要求的内容极为广泛，从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等，凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。 国内的政策及发展 面对严峻的形势和严重的问题，如何解决大型信息系统的信息安全问题，是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是按照安全保护强度划分不同的安全等级，以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息网络安全问题，即针对信息系统建设和使用单位，根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素，依据国家规定的等级划分标准，设定其保护等级，自主进行信息系统安全建设和安全管理，提高安全保护的科学性、整体性、实用性。 2003年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中，已将信息安全等级保护作为国家信息安全保障工作的重中之重，要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出，信息化发展的不同阶段和不同的信息系统，有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。 之后，一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》（66号文）。2005年国信办下发了《电子政务信息安全等级保护实施指南》（25号文）。2005年底，公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号），并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作，并先后出台了《信息系统安全保护等级定级指南（试用稿）》、《信息系统安全等级保护基本要求（试用稿）》、《信息系统安全等级保护测评准则（送审稿）》、《信息系统安全等级保护实施指南（送审稿）》等指导性文件。 安全域划分的方法和步骤 对大型信息系统进行等级保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全等级保护的首要步骤。 安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。以某单位信息系统总体信息系统安全域划分和单独一个业务区域内部安全域划分为例（参考例图1和例图2），对信息系统安全域（保护对象）的划分应主要考虑如下方面因素： 1.业务和功能特性 –业务系统逻辑和应用关联性 –业务系统对外连接：对外业务，支撑，内部管理 2.安全特性的要求 –安全要求相似性：可用性、保密性和完整性的要求 –威胁相似性：威胁来源、威胁方式和强度 –资产价值相近性：重要与非重要资产分离 3.参照现有状况 –现有网络结构的状况：现有网络结构、地域和机房等 –参照现有的管理部门职权划分 例图1：信息系统总体安全域划分图 例图2：某业务安全区域内部安全域划分图 划分一个独立的业务信息系统的内部安全域的划分主要参考如下步骤： 1.查看网络上承载的业务系统的访问终端与业务主机的访问关系以及业务主机之间的访问关系，若业务主机之间没有任何访问关系的则单独考虑各业务系统安全域的划分，若业务主机之间有访问关系，则几个业务系统一起考虑安全域的划分； 2.划分安全计算域：根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分，一般分为核心处理域和访问域，其中数据库服务器等后台处理设备归入核心处理域，前台直接面对用户的应用服务器归入访问域；{参考：局域网访问域可以有多种类型，包括：开发区，测试区，数据共享区，数据交换区，第三方维护管理区，VPN接入区等；局域网的内部核心处理域包括：数据库，安全控制管理，后台维护区（网管工作区）等，核心处理域应具有隔离设备对该区域进行安全隔离，如防火墙，路由器（使用ACL），交换机（使用VLAN）等。} 3.划分安全用户域：根据业务系统的访问用户分类进行安全用户域的划分，访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域，一般分为管理用户域、内部用户域、外部用户域； 4.划分安全网络域：安全网络域是由连接具有相同安全等级的计算域和（或）用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和（或）安全计算域的安全等级有关。一般同一网络内化分三种安全域：外部域、接入域、内部域。 安全保护级别的确定和等级管理 信息系统的安全保护可以理解为：为确保信息系统能够抗御来自人为的和自然的原因引起的威胁和破坏而采取的有效机制和措施。这些机制和措施包括技术和管理两方面的内容。信息系统安全等级保护所规定的五个安全保护等级，是实施安全等级保护的基础。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。安全域的等级和安全保护等级之间有一定的关系，主要体现在当安全域属于同一个网络时，安全域的保护等级随着这种等级的增高而增高，但当安全域属于不同的网络，且网络的等级不相同时，和安全保护等级没有直接的关系，如对于同处在内部区域的不同等级的安全域的安全保护等级可能是相同的。 安全保护级别的确定主要根据业务系统中应用的重要程度、敏感程度以及信息资产的客观条件。信息系统包含了多个操作系统和多个数据库，以及多个独立的网络产品，网络系统也十分复杂。在对大型信息系统的安全保护等级进行划分时，通常需要对构成信息系统的操作系统、网络系统、数据库系统和独立的网络产品等子系统的安全性进行考虑，在确定各子系统对应的安全等级保护技术要求的前提下，依据木桶原理综合分析，确定对该计算机信息系统安全保护等级的划分。 目前，国内对信息系统等级定级可以参考公安部的《信息系统安全保护等级定级指南（试用稿）》。等级保护的定级问题是一个比较复杂的问题，确定的等级将涉及以下几个方面因素： 1）信息系统所属类型，即信息系统资产的安全利益主体。 2）信息系统主要处理的业务信息类别。 3）信息系统服务范围，包括服务对象和服务网络覆盖范围。 4）业务对信息系统的依赖程度。 信息系统的安全保护等级确定之后，系统管理人员应根据安全域划分情况进行边界整合和优化，确定对重要安全域的重点保护、分类保护，制定不同子安全域的基线安全保护策略和入域安全策略。目前，系统管理人员可以参考《信息系统安全等级保护基本要求（试用稿）》进行相应等级的安全技术和安全管理建设。安全技术方面主要包括：身份鉴别与访问控制、物理安全、网络安全、节点安全、应用与数据安全等方面；安全管理方面主要包括：政策和制度、机构与人员、安全风险管理、工程建设管理、运行与维护管理、业务连续性管理、符合性管理等方面。 总结 安全域与等级化安全体系的设计需要充分考虑大型信息系统的复杂性和信息安全保障的系统性与长期性，需要系统化的统一规划设计。信息系统的管理者应坚持在风险评估的基础上，采取适当、管用、足够的措施来加强其信息系统的安全。实现等级保护，应该采取分级、分类、分阶段的策略坚持分级实施保护，加强安全，突出关注重点、要害部位，实现纵深防护；依据各大系统应用和结构的不同特点，采取不同的方法，分类加以指导和推进；照顾信息化发展阶段的不平衡，依据信息资产的大小，信息化依赖度的不同，按阶段分步骤，逐步实现等级保护的各项要求。（

network

网络安全域划分系统之五层阶梯法：网络安全域划分系统之五层阶梯法：
物理上隔离： 即支持足够种类与数量的物理端口划开Zone（SPF，GE，FE,GBIC )；
逻辑上隔离： 即支持Virtuall Firewall 功能 ，同一物理口上可逻辑上划开Zone；           
策略上隔离： 即支持足够的策略数在不同的安全Zone 之间，策略上划开服务Zone；  
应用上隔离： 即支持应用的DPI，能够区分出流量内容，控制Zone之间的业务；        
准入上隔离： 即支持网络准入控制，系统能够根据接入端点的系统安全状况，接入不同等级的Zone；

network

网络逻辑安全区域的划分

      我们已知道相同的应用存在不同的节点，不同的节点的安全等级存在或大或小的差异，如果忽略这些差异的存在，就会产生安全风险，根据网络安全的木桶原理，安全风险的等级就会由本区域中防护等级最低的，或者风险最高的网络资源来决定。我们前边提到，以往的做法是同一应用的所有节点都划分在同一个安全域中，导致防护不力。因此，我们必须建立新的网络安全域的划分模型，同时制定新的安全域的划分原则。

      网络安全区域划分模型 　　根据网络安全分区防护的要求，结合应用系统服务器之间服务层次关系的分析，引出了新的层次型网络安全区域模型。该模型用垂直分层、水平分区的设计思想系统阐述了这一新的网络安全区域的划分方法。
　　1、垂直分层：
　　首先将应用系统服务器分为4个网络安全层次，分别对应由高到低的4个安全防护等级---核心层、应用层、隔离层、接入层，每个网络安全层次内部包含的服务器具有相似的应用处理功能和相同的安全防护等级。
　　 核心层：安全等级为1，主要存放银行核心金融数据和核心主机应用服务；
　　 应用层：安全等级为2，主要存放银行主要应用服务和局部数据；
　　 隔离层：安全等级为3，主要存放银行通讯前置设备、WEB服务器、应用隔离机等，作为安全访问缓冲区；
　　 接入层：安全等级为4：主要存放各种网络接入设备，用于连接被防护单位以外的客户端和隔离/应用服务器。
　　对应用系统实施网络分层防护，有效地增加了系统的安全防护纵深，使得外部的侵入需要穿过多层防护机制，不仅增加恶意攻击的难度，还为主动防御提供了时间上的保证。当外部攻击穿过外层防护机制进入计算中心隔离区后，进一步的侵入受到应用层和核心层防护机制的制约。由于外层防护机制已经检测到入侵，并及时通知了管理中心。当黑客再次试图进入应用区时，管理员可以监控到黑客的行为，收集相关证据，并随时切断黑客的攻击路径。
　　2、水平分区：
　　同一网络安全层次(等级)内的资源，根据对企业的重要性、面临的外来攻击风险、内在的运行风险不同，还需要进一步划分成多个网络安全区域。划分的原则是将同一网络安全层次内服务器之间的连接控制在区域内部，尽量消除同一安全层次内部安全区域之间的连接；划分的目的是为了对同一安全层次内各安全区域实施相互逻辑/物理隔离，以便最大程度降低网络安全层次的运行维护风险和内部/外部攻击风险。
　　对安全层次内部的分区隔离，可以有效的分散网络安全层次的运行维护风险和安全攻击风险。在运行维护风险方面，网络设备的故障和各种操作失误都会对相关设备造成影响，有效的分区隔离，可以将这种影响限制在较小的区域内部，有利于保证整体应用系统的网络安全运行。在安全防护风险方面，当黑客侵入某一安全区域后，由于安全层次内部的区域之间水平隔离，黑客的攻击不能继续扩散到安全层次内的其他区域，使得安全风险可以被限制在最小的范围内。同时，安全层次内部的分区隔离，还能有效的防范源自内部的各种安全攻击行为，为不同系统的维护人员明确维护范围，确保应用系统的整体安全。
　　为降低运行风险和攻击风险，平衡投资成本和管理维护成本，同一安全层次可以由2-4个物理交换机域组成，一个物理交换机域可以包含多个外部攻击风险相近的安全区域，但是一个安全区域不能同时存在于不同的物理交换机域中，同一物理交换机域内的不同安全区域之间仍然需要利用ACL或交换机板卡式防火墙实现逻辑隔离。
　　层次型网络安全区域划分模型的优点：
　　垂直分层、水平分区的层次型安全区域模型是综合考虑了同一应用系统对外提供服务时，不同层次之间存在的安全等级差异，以及同一安全等级(层次)内的不同应用系统资源之间有隔离的需求等多方面的因素得出的，与传统的安全区域划分法相比主要存在以下3个方面的优点：
　　 边界清晰，定位明确
　　由于层次型网络安全区域模型是在对应用的层次结构分析以及同层次间不同应用的隔离需求分析基础上建立的，因此垂直分层、水平分区的层次型划分方法相较于传统的根据业务类型划分的方法更为清晰，不同应用层面上的服务器能够明确的定位在规划的安全区内。通过给每个安全区域分配连续可汇总的IP地址，可以较容易地实现安全区域之间的隔离和防护。
　　 安全控制和管理较为简单
　　进行应用开发时，由于各个层次上的应用服务器服务的对象各不相同，所以，根据应用层次建立的网络安全区域模型的数据流较为明确，架构也比较清晰，使控制和管理趋向简单化。
　　 安全性较高
　　在层次型的安全区域模型中，各个层次都是有明确安全等级的服务器的集合，并且同一安全等级(层次)内的不同资源又可以根据面临攻击风险和运行风险的不同，水平分成多个逻辑区域，区域之间采用安全控制手段加以隔离。这种基于垂直分层和水平分区进行安全控制的模式，不仅能够实现同一个应用中不同层次资源的安全要求，同时也能大大降低同一层次中，攻击风险和运行风险的发生和扩散。
　　综上所述，在引入了层次型网络安全区域划分模型后，银行可以容易地在不同层次以及不同区域之间部署物理/逻辑安全防范措施，形成水平和垂直两个方向的多层次的保护，使得高风险节点的网络安全风险被局限在相应的区域内或层次上，而不至于到处蔓延。我们相信根据这种模型进行网络结构调整和网络安全改造之后，银行的网络安全和客户的利益将得到更大程度的保障。

network

划分安全域的原则

        安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。公司采用“同构性简化”的安全域划分方法，将复杂的大网络进行简化后设计防护体系，以便进行有效的安全管理。

        公司安全域划分遵循以下原则：

        1、业务保障原则；
        2、结构简化原则；
        3、立体协防原则。

        以某运营商系统为例，我们通过对该系统进行数据流分析、网络结构分析，结合考虑现有的安全隐患，从资产价值、脆弱性、安全隐患三者间的关系出发，得到了整体的安全防护体系和各个业务系统自身的安全防护体系，为进一步管理整合后的安全域做好了准备。

        基于安全域划分的最佳实践，该运营商的各个系统被分别划入不同的安全域，再根据每个安全域内部的特定安全需求进一步划分安全子域，包括：核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示：



        安全加固

        在划分安全域之后，我们对不同安全域内的关键设备进行安全加固，依据是：各安全域内部的设备由于不同的互联需求，面临的威胁也不同，因此其安全需求也存在很大差异。

        1、生产服务器：一般都是UNIX平台，资产价值最高，不直接连接外部网络，主要的安全需求是访问控制、账号口令、权限管理和补丁管理；
        2、维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同（本地维护终端、远程维护终端），面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测（固定终端）、漏洞补丁等；
        3、第三方：对业务系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IP／MAC地址绑定、帐号口令、访问控制，以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等；
        4、合作伙伴：涉及到与其他系统的连接，面临着病毒、漏洞、入侵等威胁，安全需求是病毒防护、入侵检测、漏洞补丁等。
        5、互联网：面临着黑客入侵、病毒扩散等威胁，主要的安全需求是入侵检测、病毒防护、数据过滤等。

        安全域与安全策略的结合

        在划分安全域、进行安全加固的基础上，还需要对网络边界和重点区域采取特定的安全措施。

        边界安全

        对于任何安全域的保护，边界安全是最低的保护措施，通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中，我们采用了以下技术：边界隔离、认证、监视、审计。具体的产品实现包括：MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。

        区域安全

        区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段，实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主，对于本安全域内部的安全事件及时响应和清除，是安全域的核心安全处置手段。具体采用的技术和产品包括：入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。

        实现效益

        通过划分安全域实现等级保护，公司把电信运营商复杂的安全问题化解成小区域的安全保护问题，从而在全网范围内实现大规模的等级保护。该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题，更是从网络建设的整体规划出发，全盘考虑，帮助电信运营商从根本上解决安全问题。
        从SOX内控审计的角度，安全域解决方案也将发挥其潜在的巨大优势，帮助电信运营商在SOX内控审计的过程中化繁为简，快速达到安全指标要求，与国际接轨，为企业带来更大的市场和经济效益。

network

Share-Win 科技依据 GB17859 、 GB/T20269 、 GB/T20270 、 GB/T20271 、 GB/T20272 、 GB/T20273 、 GB/T20282 国家等级保护制度的要求和对网络信息安全的实际需求，根据“等级化安全体系”的理念，采用体系化和等级化相结合的方法，协助用户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：
1. 系统识别与定级：通过分析蓬江区各应用系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2. 安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。
3. 安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。
4. 确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。
5. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。
6. 安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。
7. 安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。
通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管理建设，保障系统整体的安全

network

信息安全已经成为国家安全的重要组成部分。长江通信管理局为长江干线水上安全通信管理主管部门，主要负责重庆至上海2600余公里长江干线水上安全通信的行政管理和保障工作，具有通信行政管理、公益性通信保障和通信信息服务职能。在提供安全通信保障服务的同时，长江通信自身的网络安全问题也成为安全通信保障的重点工作之一。
    网络安全体系的设计目标是以长江通信信息系统的现实问题为基础，参照国际和国内安全标准和规范，充分利用成熟的信息安全理论成果，研究出整体性好、可操作性强，并且融策略、组织、运作和技术为一体的安全体系。本信息安全指标体系可分为安全技术、安全运作、安全组织和安全策略文档四个方面，涉及长江通信管理局所有网络、主机系统、平台、应用软件和业务数据等。

网络现状分析

    长江数据通信网络由6个节点组成，现在承载网上主要是内部数据流，按照长江通信发展规划，未来将通过MPLS/VPN来将业务流量分为三种。长江数据通信网络现在已经实现了覆盖较为广泛的IP传输网络，未来其上会承载越来越多的业务，因此加强其安全也是当务之急。长航数据通信计划采用MPLS/VPN划分不同的VPN通道，在逻辑上将各种不同的应用进行隔离,要加强各VPN通道的安全问题。

安全模型

    一个完整的信息安全体系应该包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。其中，安全策略体系是整个信息安全体系的核心，为整个信息安全体系提供指导和支持。信息安全策略体系通过人的因素（组织体系），依据信息安全技术体系，针对各个业务系统，对具体实施、运行过程进行监督、指导和考核（运作体系）。
    一个完整的安全架构包括横向和纵向四个主要安全维度：OSI安全层次、系统安全生命周期、安全技术和安全管理，而安全区域（或层次）和安全级别是网络安全防护新的考虑重点。安全技术是网络安全、操作系统安全、应用系统安全的关键，管理是安全的保障。

安全体系设计思路

    根据对长江通信管理局当前网络安全现状的分析，以及其网络的未来信息安全体系规划，为长江通信管理局改造后的网络设计一个主动的、立体的、层次化的信息安全保障体系，同时保证核心业务网的安全，主要思路为通过对核心业务网络边界的安全改造以及强化内部终端环境的安全，建立统一高效的安全管理平台，实现业务系统的安全要求，其中涉及的主要技术包括：
   安全组织。从人员到组织架构，从安全方针到安全策略，管理和人员的因素始终是安全的第一要素。由于涉及众多的协同单位，如何实现与这些单位的安全对接也是需要考虑的问题；访问控制。主要覆盖整个网络内的重要节点的连接位置。即对边界处实现对重点防护。由于业务系统的重要性，实行尽量严格的访问控制是必要的；入侵检测和防御；审计系统；终端安全管理；风险评估系统；安全服务；安全运行中心；帐号口令管理系统。

安全建设工作遵循的原则

    安全建设工作应遵循以下基本原则：“分级保护”原则；“三分技术、七分管理”原则；“内外并重”原则；“整体规划，分步实施”原则；“风险管理”原则；“适度安全”原则。
    新的安全形势下需要新的思维和新的解决方案。长江通信管理局应将网络划分成网络边界、网络基础设施、终端计算环境、以及支持性基础设施建设等多个防御领域，保护信息及信息系统，满足其保密性、完整性、可用性、可认证性、不可否认性等安全需求。
    对于长江通信管理局来说，可以结合各个应用系统的安全需求和实际拓扑，将所有资产进行合理的安全类别的重新定义，并从管理、技术、人员三个角度进行强化。

信息安全建设第一阶段

    按照安全建设的分级原则，第一阶段主要考虑网络基础安全、终端安全、数据安全、安全管理四大方面，每个方面可以引伸出具体的安全技术细节：
    网络基础安全：安全域划分和隔离；网络边界入侵检测和防护；网络边界远程接入控制。终端安全统一管理系统：终端补丁管理；终端强制认证；终端防火墙；终端入侵防护；终端日志管理；终端防病毒。漏洞管理系统。安全管理平台建设。安全管理制度和流程建立。

信息安全建设第二阶段

    在第二阶段的安全建设中需要考虑对终端安全管理系统、安全管理中心（SOC）的扩容，扩大其管理的范围同时考虑安全日志审计、帐号口令管理系统等安全建设。
    终端安全管理系统扩容；SOC系统扩容；安全审计系统；帐号口令管理系统；完善安全管理制度。
    大量网络设备、安全设备、主机和应用系统的部署，会产生大量的帐号和口令，目前帐号口令的审计、审批和管理流程仍然采用传统的纸质流程来实现。需要采用信息化技术手段来管理帐号口令，有效地实现一人一帐号和帐号管理流程化、安全化。鉴于此在第二阶段部署一套帐号口令统一管理系统，对所有帐号口令进行统一管理，做到职能化、合理化、安全化。

信息安全建设第三阶段

    在一、二阶段安全建设成功结束后，全网安全基本达到了系统化的程度，各种安全产品充分发挥作用，安全管理也逐步到位和正规化。此时进行安全管理建设，主要从以下两个方面着手完善：

    4A平台建设和专业安全服务。
    4A体系框架中最重要的是4A管理平台；账号管理；认证管理；授权管理；审计管理。本阶段可以考虑成立安全管理部门，聘请专门的安全服务顾问，建立信息安全管理体系ISMS，建立PDCA机制，按照ISO17799的要求进行安全管理，通过ISO27001认证。

边界安全和安全域划分

    网络基础安全建设主要考虑安全域划分和加强安全边界防护措施，重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。目前 有7个节点，因此加强各个局端出口安全防护。并且在各个节点位置部署入侵检测系统，加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全等方面。
    1.统一威胁管理系统解决方案
    在综合考虑各种边界安全技术的基础上，长江通信管理局应在未来的网络安全建设中采用统一威胁管理系统（UTM）进行边界防护。随着攻击越来越朝混合攻击发展的趋势，考虑到性价比和防护效果的最大化要求，统一威胁管理系统是最适合的选择。
    在各分支节点交换和路由处部署统一威胁管理系统。考虑到以后各节点将实现INTERNET出口的统一，可以不考虑分支节点的internet出口的深度安全防御。采用了UTM统一威胁管理系统，可以实现对内部流量访问业务系统的流量进行集中的管控，包括进行访问控制、内容过滤等。
    2.入侵检测问题
    通过部署UTM产品可以实现静态的深度过滤和防护，保证内部用户和系统的安全。但是安全威胁是动态变化的，因此采用深度检测和防御还不能最大化安全效果，为此建议长江通信管理局采用入侵检测系统对通过UTM的流量进行动态的检测，实时发现其中的异常流量。  
    在各个分支的核心交换机上将进出流量进行集中监控，通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现。从而提高安全维护人员的预警能力。
    3.IPS入侵防护解决方案
    考虑到未来需要进行internet出口位置的整合，因此建议在整合后的internet边界位置放置一台IPS设备，实现对internet流量的深度检测和过滤。
    4.安全域划分和系统安全
    考虑到自身业务系统的特点，为了更好地对各种服务器进行集中防护和监控，长江通信管理局建议在局机关节点处划分一个服务器安全区域，将各种业务服务器进行集中管控，并且考虑到未来发展需要，可以将未来需要新增的服务器进行集中放置。这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域，前期可以将已有业务系统进行集中，随着业务发展，可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤。采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。

network

http://www.ccw.com.cn 2005-04-13 14:25:12



安全服务背景
随着安全信息化建设的飞速发展，安全服务的内容也日新月异，但大多专业安全服务都是以主机的风险评估、系统加固、应急响应、企业制订安全策略、应用安全防护、安全产品集成等为主，对于网络架构方面的安全服务内容却少得可怜，大多安全服务专注于网络层面的安全产品集成、应用层的安全防护，管理层面的安全策略体系。而实际上网络安全是信息安全的基础，没有网络安全就没有信息安全。正是在这样的安全服务业务背景下，网络架构分析和完备的安全保障体系建设显得更为重要。
网络架构分析
1.网络架构分析及安全保障体系建设
网络架构分析对企业整个网络体系进行深入调研，以国际安全标准和框架为指导，从物理层、网络层到应用层，全面的对网络的结构、网络协议、网络流量、网络规范性等多个方面进行深刻分析，对网络现状优点给予肯定，指出网络现状不足之处，同时提出安全保障体系建设解决方案。
安全保障体系建设就是根据网络架构分析的结果，对网络架构中不足的部分有针对性的提出网络架构安全建设的解决方案。
2.网络架构分析流程
网络现状资料搜集
搜集前期网络建设方案和图表、查验文档、网络边界划分、下发问卷调查、人工访谈、上机验证、工具测试、实地考察等方式对现状进行深入调研。
网络架构分析原则
根据IATF技术框架分析网络设计是否层次分明，是否采用了核心层、汇聚层、接入层等划分原则的网络结构，划分不规范不利于网络优化和调整；网络边界是否清晰，是否符合IATF的网络基础设施、边界/外部连接、计算环境、支撑基础设施的深度防御原则，边界不清晰不便于安全控制。
关键业务系统和非关键业务系统之间是否进行了分离，分离后各业务区域之间的逻辑控制是否合理。业务系统之间的交叠不但影响网络的性能也会给网络带来安全上的隐患。
路由设计是否合理，是否存在路由设计混乱、不规范的情况，是否采用安全路由协议，路由区域之间是否采用安全防护措施，路由设计不合理就会存在遭受路由攻击的可能。
内网中的安全区域划分和访问控制是否合理，各VLAN之间的访问控制是否严格，不严格就会被越权访问。
对某些关键设备是否进行了冗余备份，备份是安全需要考虑的重要因素，广域网设备、局域网设备、广域网链路、局域网链路是否采用了物理上的备份和采取备份协议。
IP地址规划是否合理，IP地址规划是否连续，并且在不同的业务系统采用不同的网段，便于以后网络IP调整。
网络设备命名是否规范，是否有统一的命名原则，并且很容易区分各个设备的。
网络系统流量分析系统是否完备，网络系统数据流比较大，而且复杂，如果流量分析系统不完备，当网络流量异常时或遭DOS攻击时，也很难有应对措施。
QOS、其他网络优化配置是否合理，配置合理的QOS就会增加网络的可用性。
安全配置是否合理，网络设备的不必要的服务、端口、协议是否关闭，网络设备的安全漏洞及其脆弱的安全配置方面的优化，如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。
安全防护体系是否坚固，分析整个网络系统中是否部署了防火墙及VPN系统、抗拒绝服务系统、漏洞扫描系统、IDS&IPS系统、防病毒体系、动态口令认证系统，各个安全系统之间的集成是否合理。
网络架构分析结论
根据上述网络架构分析原则，对网络现状中的优点进行肯定，并阐述合理性的根据。
根据上述网络架构分析原则，对网络现状中的不足进行客观评价，并指出不合理的地方，阐述不合理性的根据。
3.安全保障体系建设方案
对不合理的网络结构进行调整，保证层次分明、边界清晰、冗余备份、路由协议合理，统一规划IP地址、设备命名。
采用业界先进安全技术对关键业务系统和非关键业务系统进行逻辑隔离，保证各个业务系统间的安全性和高效性，例如：采用MPLS-VPN来进行对各业务系统间逻辑划分并进行互访控制。
进行QOS配置、网络其他安全方面的优化，对设备本身安全进行配置，例如：使用访问控制、身份验证配置，关闭不必要的端口、服务、协议。
·安全技术体系建设主要包括安全评估、安全防护、入侵检测、应急恢复四部分内容，各个安全产品部署如下：
在企业总部安装实施安全漏洞扫描系统；
在企业网络出口及个别关键网段部署防火墙；
在企业内网划分VLAN以实现基本访问控制；
在企业网络出口部署抗拒绝服务设备，实现对网络的保护；
建立企业公网及企业总部与下级单位传输的VPN通道；
对企业VPN及重要网络设备和服务器实施动态口令认证产品；
在企业的整个信息系统范围内实施防病毒体系；
在企业总部关键网段和出口实施网络入侵检测设备；
在企业总部指定应急人员，建立基本的应急响应计划和方案；
对某些关键设备进行冷备份，对重要的应用系统和数据实施备份存储系统；
在国际标准ISO7498-2安全体系结构理论的指导下，分别从鉴别认证、访问控制、数据加密、完整性保护、抗抵赖等五个角度提出了企业具体的技术性要求；
根据BS7799标准进行企业安全管理规范、安全策略、安全指南的制订，从而建立完备的安全管理体系。
·安全域划分，针对不同的区域的重要程度，有重点的、分期的进行安全防护，逐步从核心网络向网络边缘延伸。
例如：网络可以分成三个区域：信任域、非信任域和隔离区域。信任域和隔离区域就可以进行重点保护，对于非信任域，根据不同的业务系统的重要程度进行重点保护。
·网管系统的部署，包括网络设备网管软件的部署和网络安全网管软件的部署等。
·流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。
带宽的网络流量分析
复杂的网络系统上面，不同的应用占用不同的带宽，重要的应用是否得到了最佳的带宽？它占的比例是多少？队列设置和网络优化是否生效？通过基于带宽的网络流量分析会使其更加明确。工具主要有MRTG等，它是一个监控网络链路流量负载的工具软件， 它通过snmp协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户，以非常直观的形式显示流量负载。
网络协议流量分析
对网络流量进行协议划分，真对不同的协议我们进行流量监控和分析,如果某一个协议在一个时间段内出现超常暴涨，就有可能是攻击流量或蠕虫病毒出现。Cisco NetFlow V5可以根据不同的协议对网络流量进行划分，对不同协议流量进行分别汇总。
基于网段的业务流量分析
流量分析系统可以针对不同的VLAN来进行网络流量监控，大多数企业，都是不同的业务系统通过VLAN来进行逻辑隔离的，所以可以通过流量分析系统针对不同的VLAN 来对不同的业务系统的业务流量进行监控。Cisco NetFlow V5可以针对不同的VLAN进行流量监控。
网络异常流量分析
异常流量分析系统，支持异常流量发现和报警，能够通过对一个时间窗内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量异常监测的基础。能把焦点放在企业的核心业务上。通过积极主动鉴定和防止针对网络的安全威胁，保证了服务水平协议(SLA)并且改进顾客服务, 从而为企业节约成本。异常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平台、PeakFlow Traffic流量管理平台等。
对于异常攻击流量的牵引解决方案主要有Cisco–Riverhead的DOS流量牵引解决方案，和绿盟科技的黑洞（抗DOS攻击产品）流量牵引解决方案，由于篇幅限制这里不再赘述。
应用服务异常流量分析
当应用层出现异常流量时，通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析，并通过IPS的安全防护技术进行反击。
网络架构分析作用安全架构分析遵循了BS7799-2的PDCA原则，企业网络架构分析和安全保障体系的建立，将对企业IT架构产生重大的影响，同时显著的提高了企业网络的信息安全水平和管理能力。具体来说，有如下效果。
系统运行集成化
降低安全风险，提高企业安全投资效率和控制安全风险；
控制安全方面的投入，缩短信息安全体系建设周期；
提高企业员工的整体安全意识。
·安全管理流程合理化
企业整体安全性得到大幅度提升；
企业面对安全事件的响应速度大大加快；
企业客户满意度显著改善。
·安全监控动态化
企业可以根据安全管理需要，利用安全产品提供的信息资源设计出一套动态监控安全信息变化的报表体系，以期即时反馈和纠正安全管理中存在的问题。
管理改善持续化
随着安全产品的应用和企业安全管理流程的合理化，企业信息安全管理水平将会明显提高。为了衡量企业安全管理水平的改善程度，可以依据安全顾问咨询企业提供的企业安全管理评价指标体系对企业安全管理水平进行综合评价。评价过程本身并不是目的，为企业建立一个可以不断进行自我评价和不断改善的安全管理机制，才是真正的目的。

network

为了阻止黑客对电信级业务、应用系统的破坏，公司在延用一系列传统安全产品（如防火墙、防病毒、入侵检测、入侵防御、漏洞扫描等）的同时，根据国际安全领域权威的ISO 17799/27001和最符合萨班斯（SOX）法案要求的COBIT等标准，推出了全新的、贴近电信市场需求的、面向业务保障的安全服务体系解决方案。

业务系统安全解决方案

    公司紧随世界发展，面对新一代市场挑战，提出了更具针对性的业务系统安全解决方案。以萨班斯（SOX）法案对内控系统的安全需求为根本，制定了全新的风险评估、应急响应、安全加固等服务，时刻以市场上的安全需求为导向，更树立起全面的电信级安全服务解决方案。用专注、专业、专心的精神为电信运营商客户切实解决遇到的安全问题。



    安全管理监控闭环服务体系

    安全管理监控服务是网络与信息安全系统的委托管理与服务，是风险管理的过程化实施，是专业安全公司为企业提供的专家级服务体系。该体系以全面保护、实时监控、专家响应为基本元素，建立了一套闭环服务体系，这种全面的安全服务体系能完全使企业摆脱维护系统安全的烦恼，并从最大程度上提高投资回报率。

在这个闭环中，依次执行以下6部分内容：

     为了解系统本身的漏洞及潜在的风险，对系统进行风险评估；
     针对评估出来的漏洞和风险提出准确的系统加固建议；
     依据系统加固建议，有效地部署并配置安全设备；
     对工作进程进行安全监控，确保其顺利进行；
     如遇紧急事件，由资深安全专家做出及时响应，以解决问题；
     根据客户信息系统中的信息资产情况，提供相应的安全信息通告，以邮件，电话或短信的方式发给客户，提供及时的修补和防御措施。
     此外，在整个管理监控过程中，对企业相关人员进行安全实践培训。

     为您带来的收益

     最大限度降低安全运营成本；
     建立强化的信息安全保障体系；
     充分利用体系中已有的安全产品；
     免除您在使用与维护安全产品时的烦恼；
     降低企业信息安全人员的投入。

network

2