劃分安全域的原則

    安全域是指同一環境內有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網絡或系統。啟明星辰公司采用“同構性簡化”的安全域劃分方法，將復雜的大網絡進行簡化后設計防護體系，以便進行有效的安全管理。

    啟明星辰公司安全域劃分遵循以下原則：

    1、業務保障原則：在保證安全的同時，更要保障網絡承載業務的正常、高效運行；

    2、結構簡化原則：安全域劃分的直接目標是將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系。因此，安全域劃分并不是粒度越細越好，安全域數量過多、過雜反而可能導致安全域的管理過于復雜，實際操作過于困難；

    3、立體協防原則：安全域劃分的主要對象是網絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路、網絡、主機系統、應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等各種安全功能實現協防。

    以某運營商的MBOSS系統為例，我們通過對該系統進行數據流分析、網絡結構分析，結合考慮現有的安全隱患，從資產價值、脆弱性、安全隱患三者間的關系出發，得到了整體的安全防護體系和各個業務系統自身的安全防護體系，為進一步管理整合后的安全域做好了準備。
 

   事例圖

    基于安全域劃分的最佳實踐，該運營商的業務支撐系統（BSS）、企業信息系統（MSS）和網管系統（OSS）被分別劃入不同的安全域，再根據每個安全域內部的特定安全需求進一步劃分安全子域，包括：核心交換區、核心生產區、日常辦公區、管理服務區、接口區、內部系統互聯網區、外部系統互聯區。

    安全加固

    仍以上圖為例，在劃分完安全域之后，我們對不同安全域內的關鍵設備進行了安全加固，依據是：各安全域內部的設備由于不同的互聯需求，面臨的威脅也不同，因此其安全需求也存在很大差異。

    1、生產服務器：一般都是UNIX平臺，資產價值最高，不直接連接外部網絡，主要的安全需求是訪問控制、賬號口令、權限管理和補丁管理；

    2、維護終端：一般都是WINDOWS平臺，維護管理人員可以直接操作，其用戶接入的方式也不盡相同（本地維護終端、遠程維護終端），面臨著病毒擴散、漏洞補丁、誤操作、越權和濫用等威脅，其安全需求是安全策略的集中管理、病毒檢測（固定終端）、漏洞補丁等；

    3、第三方：對業務系統的軟、硬件進行遠程維護或現場維護，其操作很難控制，面臨著病毒、漏洞、攻擊、越權或濫用、泄密等威脅，安全需求主要是接入控制，包括IP／MAC地址綁定、帳號口令、訪問控制，以及在線殺毒、防毒墻、應用層的帳號口令管理、補丁管理等；

    4、合作伙伴：涉及到與其他系統的連接，面臨著病毒、漏洞、入侵等威脅，安全需求是病毒防護、入侵檢測、漏洞補丁等。

    5、互聯網：面臨著黑客入侵、病毒擴散等威脅，主要的安全需求是入侵檢測、病毒防護、數據過濾等。

    安全域與安全策略的結合

    在劃分安全域、進行安全加固的基礎上，還需要對網絡邊界和重點區域采取特定的安全措施。

    邊界安全

    對于任何安全域的保護，邊界安全是最低的保護措施，通過對邊界的控制能夠保護安全域不受到來自其它區域的安全威脅。在上面的圖例中，我們采用了以下技術：邊界隔離、認證、監視、審計。具體的產品實現包括：MPLS VPN、VPN Lite、防火墻、接口主機、交換機VLAN、PVLAN、ACL等。

    區域安全

    區域安全是通過在安全域內部設置監視、測量、清理、審計等技術手段，實現安全域內安全事件的及時響應和清除。安全域的區域安全以安全狀況的監控為主，對于本安全域內部的安全事件及時響應和清除，是安全域的核心安全處置手段。具體采用的技術和產品包括：入侵檢測、安全審計、漏洞掃描、病毒防護、訪問控制、帳號管理、補丁管理、流量監控等。

    實現效益

    通過劃分安全域實現等級保護，啟明星辰公司把電信運營商復雜的安全問題化解成小區域的安全保護問題，從而在全網范圍內實現大規模的等級保護。

    啟明星辰公司提出的解決方案不僅僅是從網絡系統、技術層面和單一安全設備來看待問題，更是從網絡建設的整體規劃出發，全盤考慮，幫助電信運營商從根本上解決安全問題。

    在通訊產業與信息產業迅猛結合的今天，采用啟明星辰公司安全域解決方案無疑將大大簡化電信運營商復雜的安全問題及安全管理工作，化無序為有序，提高安全工作效率。

    從SOX內控審計的角度，安全域解決方案勢必將發揮其潛在的巨大優勢，幫助電信運營商在SOX內控審計的過程中化繁為簡，快速達到安全指標要求，與國際接軌，為企業帶來更大的市場和經濟效益。