安全域划分和等级保护

近年来，随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作，为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁，间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等；安全保障要求的内容极为广泛，从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等，凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。

国内的政策及发展

面对严峻的形势和严重的问题，如何解决大型信息系统的信息安全问题，是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是按照安全保护强度划分不同的安全等级，以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息网络安全问题，即针对信息系统建设和使用单位，根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素，依据国家规定的等级划分标准，设定其保护等级，自主进行信息系统安全建设和安全管理，提高安全保护的科学性、整体性、实用性。

2003 年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中，已将信息安全等级保护作为国家信息安全保障工作的重中之重，要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出，信息化发展的不同阶段和不同的信息系统，有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。

之后，一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发

了《关于信息安全等级保护工作的实施意见》（66 号文）。2005年国信办下发了《电子政务信息安全等级保护实施指南》（25号文）。2005年底，公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号），并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作，并先后出台了《信息系统安全保护等级定级指南（试用稿）》、《信息系统安全等级保护基本要求（试用稿）》、《信息系统安全等级保护测评准则（送审稿）》、《信息系统安全等级保护实施指南（送审稿）》等指导性文件。

安全域划分的方法和步骤

对大型信息系统进行等级保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全等级保护的首要步骤。

安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。以某单位信息系统总体信息系统安全域划分和单独一个业务区域内部安全域划分为例（参考例图1和例图2），对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：

1.业务和功能特性

–业务系统逻辑和应用关联性

–业务系统对外连接：对外业务，支撑，内部管理

2.安全特性的要求

–安全要求相似性：可用性、保密性和完整性的要求–威胁相似性：威胁来源、威胁方式和强度

–资产价值相近性：重要与非重要资产分离

3.参照现有状况

–现有网络结构的状况：现有网络结构、地域和机房等–参照现有的管理部门职权划分

例图2：某业务安全区域内部安全域划分图

划分一个独立的业务信息系统的内部安全域的划分主要参考如下步骤：

1.查看网络上承载的业务系统的访问终端与业务主机的访问关系以及业务主机之间的访问关系，若业务主机之间没有任何访问关系的则单独考虑各业务系统安全域的划分，若业务主机之间有访问关系，则几个业务系统一起考虑安全域的划分；

2. 划分安全计算域：根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分，一般分为核心处理域和访问域，其中数据库服务器等后台处理设备归入核心处理域，前台直接面对用户的应用服务器归入访问域；{参考：局域网访问域可以有多种类型，包括：开发区，测试区，数据共享区，数据交换区，第三方维护管理区，VPN接入区等；局域网的内部核心处理域包括：数据库，安全控制管理，后台维护区（网管工作区）等，核心处理域应具有隔离设备对该区域进行安全隔离，如防火墙，路由器（使用ACL），交换机（使用VLAN）等。}

3.划分安全用户域：根据业务系统的访问用户分类进行安全用户域的划分，访问同类数据的

用户终端、需要进行相同级别保护划为一类安全用户域，一般分为管理用户域、内部用户域、外部用户域；

4.划分安全网络域：安全网络域是由连接具有相同安全等级的计算域和（或）用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和（或）安全计算域的安全等级有关。一般同一网络内化分三种安全域：外部域、接入域、内部域。

安全保护级别的确定和等级管理

信息系统的安全保护可以理解为：为确保信息系统能够抗御来自人为的和自然的原因引起的威胁和破坏而采取的有效机制和措施。这些机制和措施包括技术和管理两方面的内容。信息系统安全等级保护所规定的五个安全保护等级，是实施安全等级保护的基础。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。安全域的等级和安全保护等级之间有一定的关系，主要体现在当安全域属于同一个网络时，安全域的保护等级随着这种等级的增高而增高，但当安全域属于不同的网络，且网络的等级不相同时，和安全保护等级没有直接的关系，如对于同处在内部区域的不同等级的安全域的安全保护等级可能是相同的。

安全保护级别的确定主要根据业务系统中应用的重要程度、敏感程度以及信息资产的客观条件。信息系统包含了多个操作系统和多个数据库，以及多个独立的网络产品，网络系统也十分复杂。在对大型信息系统的安全保护等级进行划分时，通常需要对构成信息系统的操作系统、网络系统、数据库系统和独立的网络产品等子系统的安全性进行考虑，在确定各子系统对应的安全等级保护技术要求的前提下，依据木桶原理综合分析，确定对该计算机信息系统安全保护等级的划分。

目前，国内对信息系统等级定级可以参考公安部的《信息系统安全保护等级定级指南（试用稿）》。等级保护的定级问题是一个比较复杂的问题，确定的等级将涉及以下几个方面因素：

1）信息系统所属类型，即信息系统资产的安全利益主体。

2）信息系统主要处理的业务信息类别。

3）信息系统服务范围，包括服务对象和服务网络覆盖范围。

4）业务对信息系统的依赖程度。

信息系统的安全保护等级确定之后，系统管理人员应根据安全域划分情况进行边界整合和优化，确定对重要安全域的重点保护、分类保护，制定不同子安全域的基线安全保护策略和入域安全策略。目前，系统管理人员可以参考《信息系统安全等级保护基本要求（试用稿）》进行相应等级的安全技术和安全管理建设。安全技术方面主要包括：身份鉴别与访问控制、物理安全、网络安全、节点安全、应用与数据安全等方面；安全管理方面主要包括：政策和制度、机构与人员、安全风险管理、工程建设管理、运行与维护管理、业务连续性管理、符合性管理等方面。

总结

安全域与等级化安全体系的设计需要充分考虑大型信息系统的复杂性和信息安全保障的系统性与长期性，需要系统化的统一规划设计。信息系统的管理者应坚持在风险评估的基础上，采取适当、管用、足够的措施来加强其信息系统的安全。实现等级保护，应该采取分级、分类、分阶段的策略坚持分级实施保护，加强安全，突出关注重点、要害部位，实现纵深防护；依据各大系统应用和结构的不同特点，采取不同的方法，分类加以指导和推进；照顾信息化发展阶段的不平衡，依据信息资产的大小，信息化依赖度的不同，按阶段分步骤，逐步实现等级保护的各项要求。（作者为中联绿盟信息技术（北京）有限公司专业服务部高级咨询顾问，多次参加国家网络安全标准的制定与大型企业的安全建设咨询工作。）

§1 网络安全概述

1.网络安全概述 1. 1. 网络安全的内涵 1. 1.1. 信息安全 信息安全——防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。 e .w e e k ＠ 16 3. c o m 张 定 祥

1. 1. 2. 计算机网络 计算机网络——是地理上分散的多台自主计算机互联的集合，实现信息交换、资源共享、协同工作及在线处理等功能。 1. 1.3. 网络安全 网络安全概念 网络安全——是在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、存储、传输、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原 因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不 中断。网络安全涉及的内容既有技术方面的问题，也有管理方面的问 题，两方面相互补充，缺一不可。 网络安全的三个方面 ①自主计算机的安全； ②互联安全，即用以实现互联的通信设备、通信链路、网络软件、网络协议的安全； ③各种网络应用和服务的安全。 e .w e e k ＠ 16 3. c o m 张 定 祥

1. 1.4. 网络安全的基本属性 ①机密性 也称为保密性：信息不泄露、不被非授权者获取与使用。占有性 ②完整性 信息不被删除、添加、篡改、伪造。信息的真实性。 ③可用性 不宕机、不阻塞、能正常运行 1. 1.5. 网络信息安全性服务 ①机密性服务 机密性（confidentiality ）： ? 保证信息与信息系统不被非授权者获取与使用 ? 保证系统不以电磁方式向外泄露信息 e .w e e k ＠ 16 3. c o m 张 定 祥

运营商IT系统网络架构的安全域划分

运营商IT系统网络架构的安全域划分 京移通信设计院有限公司李玮 众所周知，网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略，它是安全工作的标准和依据;安全技术框架的核心是积极防御，安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。对拥有众多IT系统的电信运营商而言，以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署，更应该是一个全面、立体、构架化的安全体系。安全体系的健康与否，关系到认证与授权是否能够做到对访问的主动控制，关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失，关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题。 IT系统安全体系具体是由解决方案和安全设备部署构成的，二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言，按照网络安全框架的要求，IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的，才能够最终保证所部署的安全设备充分发挥作用，才能够保证安全技术框架的顺利实施，进而保证安全策略的有效贯彻。 一、传统IT系统局域网架构的不足和安全威胁 传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立，经常采用如物理隔离的方式来达到安全的目的，甚至建设两套网络，即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用，而无法实现与其他相关系统之间、与Internet之间的信息交互和共享，不但禁止了有用数据交换，造成信息化工作无法开展，还进一步增加了投资，这与积极防御的理念是背道而驰的。另外，物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次，由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划，同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的，虽然在一定程度上能够起到安全防护作用，但是由于各套IT系统的安全建设自成体系、分散单一，缺乏统筹考虑和宏观把握，造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来

安全域划分和等级保护

近年来，随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作，为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁，间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等；安全保障要求的内容极为广泛，从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等，凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。 国内的政策及发展 面对严峻的形势和严重的问题，如何解决大型信息系统的信息安全问题，是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是按照安全保护强度划分不同的安全等级，以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息网络安全问题，即针对信息系统建设和使用单位，根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素，依据国家规定的等级划分标准，设定其保护等级，自主进行信息系统安全建设和安全管理，提高安全保护的科学性、整体性、实用性。 2003 年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中，已将信息安全等级保护作为国家信息安全保障工作的重中之重，要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出，信息化发展的不同阶段和不同的信息系统，有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。 之后，一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发

网络安全纵深防御体系

网络安全纵深防御体系 第一层是安全域划分，这个安全域是对业务的抽象，并不是对物理服务器的划分，在大规模分布式架构中，同一个安全域的机器可能并不一定位于同一个物理机房，但是它们对应相同的安全等级，共享一组相同的访问控制策略，只对其他安全域或Iinternet 暴露有限的协议和接口。即使攻击者渗透了其他相邻的服务器，也只能扫描和访问这个安全域内有限的几个端口，没办法自由渗透，这个方案主要解决Plan-B曲线救国时被人侵者“误伤”，即被无意识的扫描行为以很低的成本获取新的站点和权限，以及获得单点root后进步渗透的扩散，希望能把安全事件爆发的最大范围抑制在一个安全域中，而不是直接扩散到全网。 第二层是基于数据链路层的隔离，只有第二层隔离了才能算真正隔离，否则只在第3层以上做ACL效果会差一些，仍然会遭受ARP攻击。第二层使用VPC、Vxlan、VLan等方法相当于在安全域的基础上对一组服务器以更细的粒度再画一道防线，进一步抑制单点沦陷后受害源扩大的问题。在不是特别大的网络中可以直接跳过安全域到这一步。当然安全域的概念在任何时候都是存在的，我们在这里仅仅是在做划分的事情。 第二层之上就是端口状态协议过滤，这是绝大多数“防火墙”应用的场景。解决的还是对黑客暴露的攻击面的问题，即使我的加固做得不到位，不必要的服务没有清理干净，开放了有问题的端口，甚至有些端口上跑着的服务还有漏洞，但是因为被防火墙过滤了，路由不可达，所以攻击者利用不了，他只能在对外或对信任域暴露的端口上去想办法。本质上，就是给攻击者提供“窄带”，有限的访问通道。不过在有复杂嵌套引用关系的大规模生产网络中，出于运维成本的考虑，有时候访问控制策略不会做得很细粒度，因为那样的话，如果有台机器挂了，换个P都麻烦，这也是安全向业务的妥协。 再往上一层是现在讨论最多的APP安全，其实从图中也可以看出你平日的工作都是聚焦于哪层。这一层单独拆开都可以再建一个纵深防御的子体系。应用层通常是暴露在Internet上的攻击面，这一层主要是解决认证鉴权、注入跨站上传之类的应用层漏洞，尽可能把入侵者堵在信息和资源的唯一入口。如果你在开发WAF，那你对应的也是这一层的工作。 应用层上方是容器、运行时环境。这里的目标是假设服务器上的应用程序有漏洞，且攻击者找到了漏洞，我不希望这个漏洞能被成功利用，直接跳转到系统权限，而是希望能在这一步阻止攻击者，办法就是通过容器加固。比如阻止一些危险函数的运行，比如上传了webshell 但是不被解析执行，比如你想执行eval()并用种种方法变形编码字符串拼接逃过了应用层的检测，但是到了运行时其实是相同的底层指令，那么无论攻击者在上层多么努力地变形，我都有可能在更底层把攻击者揪出来，哪怕不直接阻断，我也至少报个警。在绝大多数入侵活动中，上传或生成webshell 是从应用权限向系统权限转化的关键一步，所以这一层的防御也是比较重要的。后面会有单独篇幅讲如何对抗webshell。

数据中心安全域的设计和划分

数据中心安全域的设计和划分 安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础，也是保障业务信息安全的基础。 一、安全域设计方法 安全域模型设计采用"同构性简化"方法，基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些网络结构元以拼接、递归等方式构造出一个大的网络。 一般来讲，对信息系统安全域(保护对象)的设计应主要考虑如下方面因素： 1.业务和功能特性。 ①业务系统逻辑和应用关联性。 ②业务系统对外连接。对外业务、支撑、内部管理。 2.安全特性的要求。 ①安全要求相似性。可用性、保密性和完整性的要求。 ②威胁相似性。威胁来源、威胁方式和强度。 ③资产价值相近性。重要与非重要资产分离。 3.参照现有状况。 ①现有网络结构的状况。现有网络结构、地域和机房等。 ②参照现有的管理部门职权划分。 二、安全域设计步骤 一个数据中心内部安全域的划分主要有如下步骤： 1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系，若业务主机之间没有任何访问关系，则单独考虑各业务系统安全域的划分，若业务主机之间有访问关系，则几个业务系统一起考虑安全域的划分。 2.划分安全计算域。根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分，一般分为核心处理域和访问域，其中数据库服务器等后台

处理设备归人核心处理域，前台直接面对用户的应用服务器归人访问域；局域网访问域可以有多种类型，包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等；局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等，核心处理域应具有隔离设备对该区域进行安全隔离，如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。 3.划分安全用户域。根据业务系统的访问用户分类进行安全用户域的划分，访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域，一般分为管理用户域、内部用户域、外部用户域。 4.划分安全网络域。安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内化分三种安全域:外部域、接人域、内部域。 三、安全域模型 该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护，如进出信息保护机制、访问控制、物理安全特性等。 1.安全服务域。安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。 2.有线接人域。有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。 3.无线接人域。无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。 4.安全支撑域。安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域，实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级，各类安全事件的收集、整理、关联分析，安全审计，人侵检测，漏洞扫描等。 5.安全互联域。安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。

数据中心安全域隔离解决方案

数据中心安全域隔离解决方案 数据中心安全建设的基本原则：按照不同安全等级进行区域划分，进 行层次化、有重点的保护，通过传统防火墙分级分域的进行有针对性的访问 控制、安全防护。 数据中心安全域隔离存在的问题 防火墙基于五元组部署访问控制策略，但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题： 传统防火墙仍面临新的安全挑战 70%的攻击来自应用层，防火墙防护存在短板

APT、0day、欺诈等威胁出现，使边界防御失陷 深信服数据中心安全域隔离解决方案 本方案采用技术上先进的下一代防 火墙作为数据中心安全域隔离的主要载 体。既可以解决传统安全域隔离可视性 和管理便利性上的问题，同时还能够通 过开启应用层防护的模块和失陷主机检 测的模块加固数据中心的安全。有效的 补数据中心存在的安全短板，提升数据 中心安全防护与检测的能力。 ?数据中心安全域设计建议 将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。对数据中心网络及应用系统实施网络分级分区防护，有效地增加了重要应用系统的安全防护纵深，使得外部的侵入需要穿过多层防护机制，不仅增加恶意攻击的难度，还为主动防御提供了时间上的保证。

接入区:安全等级中，包含三个子区，互联网接入区、分支机构接入区和第三方接入区； 办公区:安全等级低，包含两个子区，内网办公区和无线办公区； 业务区:安全等级高，包含三个子区，对外业务区、核心业务区、内部应用区。 方案特点 ?精细到应用的访问控制粒度 不仅具备五元组访问控制策略，还可以通过结 合应用识别与用户识别技术制定的L3-L7 一体化 应用控制策略,提高了策略控制的准确度，提升数据中 心管理的效率。 如访问数据中心的常见应用 OA、ERP、Web、 邮箱等；或外部运维人员访问数据库等场景，通过应用层访问控制策略，解决传统 ACL 的无法对端口逃逸、端口跳跃等（如使用 Oracle 建立连接 1521，连接后为随机端口）技术的应用进行控制的问题。 ?向导式可视化的策略管理 上线部署：简单易懂的 IT 向 导配置，无需管理员掌握复杂的安 全知识，也可以完成策略的快速部 署上线，轻松掌握对数据中心安全 策略的部署。 新增业务：数据中心新增业务 时，能主动发现新增资产，防止安全策略疏漏。管理员无需手动查找新增资产，只需要对新增资产进行一 键策略的关联部署就可以快速添加策略。 策略管理：可视化的策略管理，提升了 访问控制策略管理的可视性，使管理员可以 更容易的看清楚策略部署的情况；同时提供 策略命中数量，便于管理员清除无效策略。 ?支持更强防护和检测能力的扩展 L2-7 层防护功能扩展：本方案采用深信

安全域划分及防护

目录 安全域划分及防护规范 ............................................................................................... 错误!未定义书签。 一. 概述 (3) 1.1适用范围 (3) 1.2引用标准 (3) 二. XX证券信息系统概述 (4) 三.安全域划分规范 (6) 3.1划分原则 (6) 3.2安全域划分 (9) 3.2.1网络外部域 (10) 3.2.2网络接入域 (10) 3.2.3网络核心域 (11) 3.2.4计算域 (11) 3.2.5管理用户域 (12) 3.2.6安全支撑域 (12) 3.2.7边界描述 (12) 四.安全域保护定级 (15) 五.安全域防护策略 (18) 5.1 XX证券信息系统防护策略 (18)

5.2网络核心域防护 (18) 5.2.1边界防护策略 (18) 5.2.2边界5的防护策略 (19) 5.2.3边界6的防护策略 (19) 5.2.4边界7、8的防护策略 (20) 5.2.5边界9的防护策略 (21) 5.2.6内部防护策略 (22) 5.3网络接入域的防护 (24) 5.3.1边界防护策略 (24) 5.3.2 互联网接入域 (25) 5.3.3外联网接入域1的防护策略 (27) 5.3.4外联网接入域2的防护策略 (28) 5.3.5内联网接入域的防护策略 (30) 六. 总结 (31)

一. 概述 1.1 适用范围 本文档是根据xx证券公司2008年网络安全评估项目的要求，结合xx证券网络的建设现状，制定了安全域划分框架，并在此基础上制定了安全域的保护等级以及对应的安全防护规范。 本文档为xx证券信息网络的安全规划和工程建设提供了依据，可用来指导构建详细的安全技术防护体系和安全产品部署方案。 本文档面向xx证券公司信息系统的管理者和信息系统安全的工程技术人员。 1.2 引用标准 ●《关于加强信息安全保障工作的意见》（中办、国办[2003]27号文） ●公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级 保护工作的实施意见》（公通字【2004】66号文） ●国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报 告》 ●美国国家标准和技术研究所（NIST，National Institute of Standards and Technology）制订的SP 800系列文档：《IT系统安全自评估指南》、 《IT系统风险管理指南》、《联邦IT系统安全认证和认可指南》、《信息系 统安全规划指南》等，https://www.wendangku.net/doc/1711689599.html,/publications/nistpubs/ ●美国国家安全局，信息保障技术框架IATF（Information Assurance

中国移动云计算网络安全域划分技术要求

中国移动云计算 网络安全域划分技术要求 Technical Specification of Centralized Security Protection for Cloud Computing 版本号： 1.0.0 中国移动通信集团公司网络部 2013年12月

目录 前言 (1) 1综述 (2) 2云计算网络安全域划分 (2) 2.1安全域划分的原则 (3) 2.2云计算平台的主要安全域 (4) 2.2.1云计算平台组网的基本架构 (4) 2.2.2云计算平台基础网络安全域划分方法 (5) 2.2.3云计算平台所承载业务系统组网安全域划分方法 (7) 3云计算网络的安全防护要求 (8) 3.1.1云计算平台与互联网之间互联安全要求 (8) 3.1.2云计算平台与支撑系统之间互联安全要求 (8) 3.1.3云计算平台上承载的业务系统之间互联安全要求 (8) 4云计算平台安全运维要求 (9) 4.1安全维护要求 (9) 4.2安全管理要求 (9) 5编制历史 (10) 附录A 引用标准与依据 (10) 附录B 相关术语与缩略语 (11)

前言 针对数据业务系统向云计算平台承载方式演进的需求，按照等级保护和集中化要求，本要求明确了在云计算网络环境下组网规划，实施安全域划分的基本原则，并进一步提出了云计算环境安全防护的基本要求。 本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。并在此基础上，以业务系统为单位，每个业务系统划分不同的VLAN，实现云计算网络环境下业务系统间的安全隔离。 本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据，支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。 本技术要求主要包括以下3个方面内容： 1、云计算平台安全域划分； 2、云计算平台边界整合； 3、云计算平台的安全防护。 起草单位：中国移动通信有限公司网络部、中国移动通信研究院。 主要起草人：柏洪涛、任兰芳、刘斐、魏来、徐海东、周智。

网络安全防护工作总结

通信网络安全防护工作总结 为提高网络通讯防护水平，从网络结构安全、网络访问控制、边界完整性几个大方向上采取一系列技术手段保障通信网络安全稳定，总结如下： （1）网络冗余和备份 使用电信和网通双城域网冗余线路接入,目前电信城域网的 接入带宽是20M,联通城域网的接入带宽是20M.可根据日后用户的不断增多和务业的发展需求再向相关网络服务提供商定购更 大的线路带宽。 （2）路由器安全控制 业务服务器及路由器之间配置静态路由，并进行访问控制列表控制数据流向。Qos保证方向使用金(Dscp32),银(Dscp8),铜(Dscp0)的等级标识路由器的Qos方式来分配线路带宽的优先级,保证在网络流量出现拥堵时优先为重要的数据流和服务类型预 留带宽并优先传送。 （3）防火墙安全控制 主机房现有配备有主备juniper防火墙和深信服waf防火墙，juniper防火墙具备ips、杀毒等功能模块，深信服waf防火墙主要用于网页攻击防护，可防止sql注入、跨站攻击、黑客挂马等攻击。 防火墙使用Untrust,Trunst和DMZ区域来划分网络,使用策略来控制各个区域之间的安全访问。

（4）IP子网划分/地址转换和绑定 已为办公区域,服务器以及各个路由器之间划分IP子网段,保证各个子网的IP可用性和整个网络的IP地址非重复性。使用NAT,PAT,VIP,MIP对内外网IP地址的映射转换,在路由器和防火墙上使用IP地址与MAC地址绑定的方式来防止发生地址欺骗行为。服务器及各个路由器之间划分IP子网划分:172.16.0.0/16 （5）网络域安全隔离和限制 生产网络和办公网络隔离，连接生产必须通过连接vpn才能连接到生产网络。在网络边界部署堡垒机,通过堡垒机认证后才可以对路由器进行安全访问操作,在操作过程中堡垒机会将所有操作过程视频录像，方便安全审计以及系统变更后可能出现的问题，迅速查找定位。另外路由器配置访问控制列表只允许堡垒机和备机IP地址对其登陆操作,在路由器中配置3A认证服务,通过TACAS服务器作为认证,授权。 （6）网络安全审记 网络设备配置日志服务,把设备相关的日志消息统一发送到日志服务器上作记录及统计操作.日志服务器设置只允许网管主机的访问,保证设备日志消息的安全性和完整性。 logging buffered 102400 logging trap debugging logging source-interface Loopback0 logging XX.XX.XX.XX(日志服务器IP)

划分安全域的解决方案

划分安全域的解决方案 划分安全域的原则 安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法，将复杂的大网络进行简化后设计防护体系，以便进行有效的安全管理。 启明星辰公司安全域划分遵循以下原则： 1、业务保障原则； 2、结构简化原则； 3、立体协防原则。 以某运营商系统为例，我们通过对该系统进行数据流分析、网络结构分析，结合考虑现有的安全隐患，从资产价值、脆弱性、安全隐患三者间的关系出发，得到了整体的安全防护体系和各个业务系统自身的安全防护体系，为进一步管理整合后的安全域做好了准备。 基于安全域划分的最佳实践，该运营商的各个系统被分别划入不同的安全域，再根据每个安全域内部的特定安全需求进一步划分安全子域，包括：核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示：

安全加固 在划分安全域之后，我们对不同安全域内的关键设备进行安全加固，依据是：各安全域内部的设备由于不同的互联需求，面临的威胁也不同，因此其安全需求也存在很大差异。 1、生产服务器：一般都是UNIX平台，资产价值最高，不直接连接外部网络，主要的安全需求是访问控制、账号口令、权限管理和补丁管理； 2、维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同（本地维护终端、远程维护终端），面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测（固定终端）、漏洞补丁等； 3、第三方：对业务系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IP／MAC地址绑定、帐号口令、访问控制，以及在线杀毒、防毒

网络安全细分领域分析

网络安全细分领域分析

矩阵图分为三个矩阵区，领先者、竞争者与潜力者。每个厂商所处的区域主要与三大系列指标有关，影响力、规模和技术创新力。影响力主要是指品牌知名度、行业口碑、市场地位等；规模主要是指营业收入、人员数量、利润等；技术创新力主要是指研发投入、产品化能力、技术定位等。三个指标之间互有影响，并非完全独立，如技术创新力就会给影响力带来重要支撑，规模也会给技术创新力和影响力带来辅助作用。

调查对象为国内市场上相应细分领域的国内外厂商。由于国外厂商通常在技术和影响力上领先，但其研发中心往往不设在国内，所以国外厂商更多居于矩阵图右上角的位置。表明其技术与影响力的领先地位，但在收入和技术人员方面在国内的规模较小。 此次报告推出的矩阵图包含5个细分领域：数据库安全、威胁情报、身份认证、态势感知、抗DDoS。其中，抗DDoS分为硬件设备和软件与服务两张矩阵图。除了矩阵图以外，本报告同时也对各细分领域的技术定义、产品比例、产品形态、行业用户、技术趋势和市场规模进行了简要叙述。 一、数据库安全矩阵（DSM, Database Security Matrix）

本矩阵图(DSM)中的“数据库安全”是指：以保护数据库系统，包括系统中数据的应用、存储和相关网络连接为目的，防止数据库系统遭到泄露、篡改或破坏的安全技术。“数据库安全” 归属于安全牛全景图中【数据安全】的一级分类下。 数据库安全矩阵(DSM)调研的厂商共14家，分别为：安华金和、安恒信息、Imperva、中安威士、昂楷科技、杭州美创、优炫软件、闪捷信息、星瑞格、世平信息、上讯信息、汉领信息、海峡信息、Mcafee。

运营商数据业务系统的安全域划分

某运营商计划全面展开数据业务系统的安全域划分，并制定了相应的安全域划分与边界整合技术规范，旨在指导、规范数据业务系统的安全域划分和边界整合工作，切实提高安全防护效果。 数据业务系统是某运营商的重要业务系统，其系统安全保障工作已经纳入了企业的安全保障战略。近年来，随着数据业务的高速发展，数据业务占该运营商运营总收入的比例已经超过了1/4，数据业务已经成为其高增长业务，且根据预测，在2008年其数据业务占总收 入的比例将超过1/3，数据业务的重要性是不言而喻的。但是，数据业务系统大多是基于IP/IT 平台构建的，由于其自身协议、架构、技术方面的缺陷，导致个人信息泄漏、充值卡被窃等安全事件屡屡出现，安全问题十分突出。 保障数据业务系统的安全、稳定、顺畅运行已经成为该运营商信息安全建设的重中之重，是满足相关法律法规要求、保持其市场竞争优势、实现发展战略的重要保证和支撑。 一、安全域划分的建设内容 安全域划分的建设内容主要包括了安全域划分、边界整合和安全防护三部分，其中重点是安全域划分和安全防护。该运营商制定的相应技术规范基本涵盖了上述内容，对数据业务系统的安全域划分、边界整合以及采用的保护方案进行了规范，并对具体实施工作给出了简要的建议。 数据业务系统的安全域划分与该运营商制定的其他要求，如《账户口令管理办法》、《客户信息保密管理》、《4A技术规范》及系列基线保护规范等等要求是相辅相承的，分别规定了安全保护工作在某一方面的具体要求和推荐做法。 二、面临的挑战 该运营商在制定数据业务系统安全域划分及边界整合的相应规范时，为了保证了规范的适宜性、灵活性，突出其指导意义，仅提出了框架式、粗线条的要求，没有针对各种不同数据业务系统提出相应的解决方案。这在一定程度上可能造成了各省分公司在落实技术要求时，因为没有明确的指导和要求，会有一定的困惑。 1)该运营商目前拥有的数据业务系统种类众多，并具有网络互联网广、IT技术杂、业务流程众多的特点，且存在着相互依存和依赖。另外，由于各地数据业务的发展状况及系统建设情况存在着较大的差别，且同一类型的系统可能是由不同厂商提供的，造成各省之间的差别存在较大差异，无法跨省进行经验借鉴，在进行安全域划分时，也需要各省公司人员针对自身的实际情况和每个系统的特点，制定更为细致的规范或要求，这就要求各省公司人员能够深刻理解安全域划分原理和指导思想。

安全域划分

安全域划分 ——参阅（企业网络安全域划分方法浅析，孟广平） 计算机信息应用系统的成功靠的是“三分技术、七分管理、十二分执行。” 划分安全域是企业建立纵深防御安全系统的基础。 随着业务的不断发展***的计算机网络变得越来越复杂，将网络划分为不同的区域，对每个区域进行层次化地有重点的保护，是建立纵深防御安全系统的自然而有效的手段。 网络安全域的定义和划分原则网络安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。广义的安全域是具有相同业务要求和安全要求的系统要素集合，这些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等诸多因素。 通过网络安全域的划分，可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题，从而更好地控制网络安全风险，降低系统风险;利用网络安全域的划分，理顺网络架构，可以更好地指导系统的安全规划和设计、人网和验收工作;通过网络安全域的划分，各区域防护重点明确，可以将有限的安全设备投人到最需要保护的资产，提高安全设备利用率;有了网络安全域的划分，相对简化了网络安全的运维工作，并可有的放矢地部署网络审计设备，提供检查审核依据。 网络安全域的划分要遵循以下原则: （1）业务保障原则安全域方法的根本目标是能够更好地保障企业的生产经营业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 （2）结构简化原则简单的网络结构便于设计防护体系，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。 （3）等级保护原则安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。 （4）立体协防原则安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次;同时，在部署安全域防护体系时，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。‘ （5）生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化。 2企业网络安全域的划分方法网络安全域划分的最佳时间是在企业业务信息系统和网络建设的初期。但现实中网络安全域的划分大多是在现有网络的基础上进行的，或多或少受到现有业务和系统的制约，这就要求网络安全域划分应在遵循基本原则的基础上结合现有系统的业务特性、安全需求、网络层次等实际因素来进行。

信息安全系统基础知识题集

第一部分信息安全基础知识（673题） 一、判断题 1.防火墙的功能是防止网外未经授权以网的访问。（）对 2.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。（）错 3.PKI（Public Key Infrastructure）体系定义了完整的身份认证、数字签名、权限管理标 准。（）错 4.更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试，并制订详 细的回退方案。（）错 5.发起大规模的DDOS攻击通常要控制大量的中间网络或系统。（）对 6.应采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并 保存六个月以上。（）对 7.入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对 网络进行监测，从而提供对部攻击、外部攻击的实时防护。（）对 8.IPS在IDS的基础上增加了防御功能，且部署方式也相同。（）错 9.根据公安部信息系统实现等级保护的要求，信息系统的安全保护等级分为五级。（） 对 10.防火墙不能防止部网络用户的攻击，传送已感染病毒的软件和文件、数据驱动型的 攻击。（）对 11.安全的口令，长度不得小于8位字符串，要字母和数字或特殊字符的混合，用户名 和口令禁止相同。（）对 12.涉及二级与三级系统间共用的网络设备、安全设备，采用“就低不就高”的原则， 按二级要求进行防护。（）错 13.隔离装置部属在应用服务器与数据库服务器之间，除具备网络强隔离、地址绑定、 访问控制等功能外，还能够对SQL语句进行必要的解析与过滤，抵御SQL注入攻击。 （）对

14.安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合，一个安 全域可以被划分为安全子域。（）对 15.公钥密码算法有效解决了对称密码算法的密钥分发问题，因此比对称密码算法更优 秀。（）错 16.安全加密技术分为两大类：对称加密技术和非对称加密技术。两者的主要区别是对 称加密算法在加密、解密过程中使用同一个密钥：而非对称加密算法在加密、解密过程中使用两个不同的密钥。（）对 17.ORACLE默认情况下，口令的传输方式是加密。（）错 18.在ORACLE数据库安装补丁时，不需要关闭所有与数据库有关的服务。（）错 19.在信息安全中，主体、客体及控制策略为访问控制三要素。（）对 20.防火墙可以解决来自部网络的攻击。（）错 21.防火墙作为实现网络边界隔离的设备，其部署应以安全域划分及系统边界整合为前 提，综合考虑边界风险的程度来设定。（）对 22.在等级保护监管中，第二级信息系统的运营、使用单位应当依据国家有关管理规和 技术标准进行保护，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。（）错 23.针对各等级系统应具有的对抗能力和恢复能力，公安部给出了各等级的基本安全要 求。基本安全要求包括了基本技术要求和基本管理要求，基本技术要求主要用于对抗威胁和实现技术能力，基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。（）对 24.国家电网公司管理信息大区中的外网间使用的是逻辑强隔离装置，只允许一个方向 的访问。（）对 25.PDRR安全模型包括保护、检测、相应、恢复四个环节。（）对 26.互联网出口必须向公司信息通信主管部门进行说明后方可使用。（）错 27.在个人网计算机上存放“秘密”标识的文件，这违反了严禁在信息网计算机存储、 处理国家秘密信息的规定。（）对 28.最小特权、纵深防御是网络安全的原则之一。（）对 29.根据国家电网公司信息、外网隔离要求，不允许同一台终端同时连接到信息网和互 联网，在连接信息网时须切断与因特网的连接，在连接因特网时须切断与信息网的连接。（）错