如何劃分安全域及網(wǎng)絡如何改造-創(chuàng)新互聯(lián)

安全域劃分及網(wǎng)絡改造是系統(tǒng)化安全建設的基礎性工作，也是層次化立體化防御以及落實安全管理政策，制定合理安全管理制度的基礎。此過程保證在網(wǎng)絡基礎層面實現(xiàn)系統(tǒng)的安全防御。
目標規(guī)劃的理論依據(jù)
安全域簡介
安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡，相同的網(wǎng)絡安全域共享一樣的安全策略。
相對以上安全域的定義，廣義的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括但不僅限于：物理環(huán)境、策略和流程、業(yè)務和使命、人和組織、網(wǎng)絡區(qū)域、主機和系統(tǒng)……

創(chuàng)新互聯(lián)公司堅信：善待客戶，將會成為終身客戶。我們能堅持多年，是因為我們一直可值得信賴。我們從不忽悠初訪客戶，我們用心做好本職工作，不忘初心，方得始終。十載網(wǎng)站建設經(jīng)驗創(chuàng)新互聯(lián)公司是成都老牌網(wǎng)站營銷服務商,為您提供成都做網(wǎng)站、網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設、網(wǎng)站設計、H5建站、網(wǎng)站制作、成都品牌網(wǎng)站建設、小程序定制開發(fā)服務,給眾多知名企業(yè)提供過好品質(zhì)的建站服務。

總體架構(gòu)
如下圖所示：安全域的劃分如下：

建議的劃分方法是立體的，即：各個域之間不是簡單的相交或隔離關系，而是在網(wǎng)絡和管理上有不同的層次。

網(wǎng)絡基礎設施域是所有域的基礎，包括所有的網(wǎng)絡設備和網(wǎng)絡通訊支撐設施域。
網(wǎng)絡基礎設施域分為骨干區(qū)、匯集區(qū)和接入?yún)^(qū)。

支撐設施域是其他上層域需要公共使用的部分，主要包括：安全系統(tǒng)、網(wǎng)管系統(tǒng)和其他支撐系統(tǒng)等。

計算域主要是各類的服務器、數(shù)據(jù)庫等，主要分為一般服務區(qū)、重要服務區(qū)和核心區(qū)。

邊界接入域是各類接入的設備和終端以及業(yè)務系統(tǒng)邊界，按照接入類型分為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。

建設規(guī)劃內(nèi)容
一、邊界接入域

邊界接入域的劃分
邊界接入域的劃分，根據(jù)公司的實際情況，相對于ISO 13335定義的接入類型，分別有如下對應關系：
ISO 13335
實際情況
組織單獨控制的連接
內(nèi)部網(wǎng)接入（終端接入，如辦公網(wǎng)）；業(yè)務邊界（如核心服務邊界）
公共網(wǎng)絡的連接
互聯(lián)網(wǎng)接入（如Web和郵件服務器的外部接入，辦公網(wǎng)的Internet接入等）
不同組織間的連接
外聯(lián)網(wǎng)接入（如各個部門間的接入等）
組織內(nèi)的異地連接
內(nèi)聯(lián)網(wǎng)接入（單位接入等其他部門等通過專網(wǎng)接入）
組織內(nèi)人員從外部接入
遠程接入（如移動辦公和遠程維護）

邊界接入域威脅分析
由于邊界接入域是公司信息系統(tǒng)中與外部相連的邊界，因此主要威脅有：
××××××（外部***）
惡意代碼（病毒蠕蟲）
越權(quán)（非授權(quán)接入）
終端違規(guī)操作
……

針對邊界接入域的主要威脅，相應的防護手段有：
訪問控制（如防火墻）用于應對外部×××
遠程接入管理（如×××）用于應對非授權(quán)接入
病毒檢測與防御（IDS&IPS）用于應對外部×××和蠕蟲病毒
惡意代碼防護（防病毒）用于應對蠕蟲病毒
終端管理（注入控制、補丁管理、資產(chǎn)管理等）對終端進行合規(guī)管理

  二、計算域

計算域的劃分
計算域是各類應用服務、中間件、大機、數(shù)據(jù)庫等局域計算設備的集合，根據(jù)計算環(huán)境的行為不同和所受威脅不同，分為以下三個區(qū)：
一般服務區(qū)
用于存放防護級別較低（資產(chǎn)級別小于等于3），需直接對外提供服務的信息資產(chǎn)，如辦公服務器等，一般服務區(qū)與外界有直接連接，同時不能夠訪問核心區(qū)（避免被作為×××核心區(qū)的跳板）；

重要服務區(qū)
重要服務區(qū)用于存放級別較高（資產(chǎn)級別大于3），不需要直接對外提供服務的信息資產(chǎn)，如前置機等，重要服務區(qū)一般通過一般服務區(qū)與外界連接，并可以直接訪問核心區(qū)；

核心區(qū)
核心區(qū)用于存放級別非常高（資產(chǎn)級別大于等于4）的信息資產(chǎn)，如核心數(shù)據(jù)庫等，外部對核心區(qū)的訪問需要通過重要服務區(qū)跳轉(zhuǎn)。
計算域的劃分參見下圖：

計算域威脅分析
由于計算域處于信息系統(tǒng)的內(nèi)部，因此主要威脅有：
內(nèi)部人員越權(quán)和濫用
內(nèi)部人員操作失誤
軟硬件故障
內(nèi)部人員篡改數(shù)據(jù)
內(nèi)部人員抵賴行為
對外服務系統(tǒng)遭受×××及非法***

針對計算域主要是內(nèi)部威脅的特點，主要采取以下防護手段：
應用和業(yè)務開發(fā)維護安全
基于應用的審計
身份認證與行為審計
同時也輔助以其他的防護手段：
對網(wǎng)絡異常行為的檢測
對信息資產(chǎn)的訪問控制
三、支撐設施域
支撐設施域的劃分

將網(wǎng)絡管理、安全管理和業(yè)務運維（業(yè)務操作監(jiān)控）放置在獨立的安全域中，不僅能夠有效的保護上述三個高級別信息系統(tǒng)，同時在突發(fā)事件中也有利于保障后備通訊能力。

其中，安全設備、網(wǎng)絡設備、業(yè)務操作監(jiān)控的管理端口都應該處于獨立的管理VLAN中，如果條件允許，還應該分別劃分安全VLAN、網(wǎng)管VLAN和業(yè)務管理VLAN。

支撐設施域的威脅分析
支撐設施域是跨越多個業(yè)務系統(tǒng)和地域的，它的保密級別和完整性要求較高，對可用性的要求略低，主要的威脅有：
網(wǎng)絡傳輸泄密（如網(wǎng)絡管理人員在網(wǎng)絡設備上竊聽業(yè)務數(shù)據(jù)）
非授權(quán)訪問和濫用（如業(yè)務操作人員越權(quán)操作其他業(yè)務系統(tǒng)）
內(nèi)部人員抵賴（如對誤操作進行抵賴等）

針對支撐設施域的威脅特點和級別，應采取以下防護措施：
帶外管理和網(wǎng)絡加密
身份認證和訪問控制
審計和檢測
四、網(wǎng)絡基礎設施域

網(wǎng)絡基礎設施域的劃分

網(wǎng)絡基礎設施域的威脅分析
主要威脅有：
網(wǎng)絡設備故障
網(wǎng)絡泄密
物理環(huán)境威脅

相應的防護措施為：
通過備份、冗余確?；A網(wǎng)絡的可用性
通過網(wǎng)絡傳輸加密確保基礎網(wǎng)絡的保密性
通過基于網(wǎng)絡的認證確?；A網(wǎng)絡的完整性

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前題目：如何劃分安全域及網(wǎng)絡如何改造-創(chuàng)新互聯(lián)
文章URL：http://bm7419.com/article46/igieg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供電子商務、網(wǎng)站排名、手機網(wǎng)站建設、云服務器、用戶體驗、關鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)