數(shù)據(jù)中心安全域的設計和劃分資料

1、數(shù)據(jù)中心安全域的設計和劃分精品文檔數(shù)據(jù)中心安全域的設計和劃分安全區(qū)域（以下簡稱為安全域）是指同一系統(tǒng)內有相同的安全保護需求，相互信 任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡。安全域劃分是 保證網(wǎng)絡及基礎設施穩(wěn)定正常的基礎，也是保障業(yè)務信息安全的基礎。一、安全域設計方法安全域模型設計采用同構性簡化方法，基本思路是認為一個復雜的網(wǎng)絡 應當是由一些相通的網(wǎng)絡結構元所組成，這些網(wǎng)絡結構元以拼接、遞歸等方式 構造出一個大的網(wǎng)絡。一般來講，對信息系統(tǒng)安全域（保護對象）的設計應主要考慮如下方面 因素：1. 業(yè)務和功能特性。 業(yè)務系統(tǒng)邏輯和應用關聯(lián)性。 業(yè)務系統(tǒng)對外連接。對外業(yè)務、支撐、內部管理

2、。2. 安全特性的要求。 安全要求相似性。可用性、保密性和完整性的要求。 威脅相似性。威脅來源、威脅方式和強度。 資產(chǎn)價值相近性。重要與非重要資產(chǎn)分離。3. 參照現(xiàn)有狀況。 現(xiàn)有網(wǎng)絡結構的狀況?，F(xiàn)有網(wǎng)絡結構、地域和機房等。 參照現(xiàn)有的管理部門職權劃分。二、安全域設計步驟一個數(shù)據(jù)中心內部安全域的劃分主要有如下步驟：1. 查看網(wǎng)絡上承載的業(yè)務系統(tǒng)的訪問終端與業(yè)務主機的訪問關系及業(yè)務 主機之間的訪問關系，若業(yè)務主機之間沒有任何訪問關系，則單獨考慮各業(yè)務 系統(tǒng)安全域的劃分，若業(yè)務主機之間有訪問關系，則幾個業(yè)務系統(tǒng)一起考慮安 全域的劃分。2. 劃分安全計算域。根據(jù)業(yè)務系統(tǒng)的業(yè)務功能實現(xiàn)機制、保護等級程度

3、 進行安全計算域的劃分，一般分為核心處理域和訪問域，其中數(shù)據(jù)庫服務器等 后臺處理設備歸人核心處理域，前臺直接面對用戶的應用服務器歸人訪問域； 局域網(wǎng)訪問域可以有多種類型，包括開發(fā)區(qū)、測試區(qū)、數(shù)據(jù)共享區(qū)、數(shù)據(jù)交換 區(qū)、第三方維護管理區(qū)、VPN接人區(qū)等；局域網(wǎng)的內部核心處理域包括數(shù)據(jù) 庫、安全控制管理、后臺維護區(qū)（網(wǎng)管工作）等，核心處理域應具有隔離設備對 該區(qū)域進行安全隔離，如防火墻、路由器（使用ACL）、交換機（使用VLAN）等。3. 劃分安全用戶域。根據(jù)業(yè)務系統(tǒng)的訪問用戶分類進行安全用戶域的劃 分，訪問同類數(shù)據(jù)的用戶終端、需要進行相同級別保護劃為一類安全用戶域， 一般分為管理用戶域、內部用戶域

4、、外部用戶域。4. 劃分安全網(wǎng)絡域。安全網(wǎng)絡域是由連接具有相同安全等級的計算域和（或）用戶域組成的網(wǎng)絡域。網(wǎng)絡域的安全等級的確定與網(wǎng)絡所連接的安全用戶 域和（或）安全計算域的安全等級有關。一般同一網(wǎng)絡內化分三種安全域：外部域、接人域、內部域。三、安全域模型該模型包含安全服務域、有線接人域、無線接入域、安全支撐域和安全互 聯(lián)域等五個安全區(qū)域。同一安全區(qū)域內的資產(chǎn)實施統(tǒng)一的保護，如進出信息保 護機制、訪問控制、物理安全特性等。1. 安全服務域。安全服務域是指由各信息系統(tǒng)的主機 /服務器經(jīng)局域網(wǎng)連接 組成的存儲和處理數(shù)據(jù)信息的區(qū)域。2. 有線接人域。有線接人域是指由有線用戶終端及有線網(wǎng)絡接人基礎設施

5、 組成的區(qū)域。終端安全是信息安全防護的瓶頸和重點。3. 無線接人域。無線接人域是指由無線用戶終端、無線集線器、無線訪問 節(jié)點、無線網(wǎng)橋和無線網(wǎng)卡等無線接人基礎設施組成的區(qū)域。4. 安全支撐域。安全支撐域是指由各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護終端和服務器等組成的區(qū)域，實現(xiàn)的功能包括安全域內的身份認證、權限 控制、病毒防護、補丁升級，各類安全事件的收集、整理、關聯(lián)分析，安全審 計，人侵檢測，漏洞掃描等。5. 安全互聯(lián)域。安全互聯(lián)域是指由連接安全服務域、有線接人域、無線接 入域、安全支撐域和外聯(lián)網(wǎng)(Extranet)的互聯(lián)基礎設施構成的區(qū)域。安全服務域細分為關鍵業(yè)務、綜合業(yè)務、公共服務和開發(fā)測

6、試等4個子域；安全互聯(lián)域細分為局域網(wǎng)互聯(lián)、廣域網(wǎng)互聯(lián)、外部網(wǎng)互聯(lián)、因特網(wǎng)互聯(lián)4個子域。(一) 、安全服務域劃分 等保三級的業(yè)務系統(tǒng)服務器劃入關鍵業(yè)務子域，例如，財務管理系統(tǒng)。 SAN集中存儲系統(tǒng)劃入關鍵業(yè)務子域，并在 SAN存儲設備上單獨劃分出 物理/邏輯存儲區(qū)域，分別對應關鍵業(yè)務子域、綜合業(yè)務子域、公共服務子域、 開發(fā)測試子域中的存儲的空間。 等保末達到三級的業(yè)務系統(tǒng)服務器劃入綜合業(yè)務子域，例如，人力資源、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等業(yè)務系統(tǒng)服務器。 提供網(wǎng)絡基礎服務的非業(yè)務系統(tǒng)服務器劃入公共服務子域，例如，DNS服務器、Windows域服務器等。 用于開發(fā)和測試的服務器劃分入開發(fā)測試子域。（二）、

7、有線接入域劃分所有有線用戶終端及有線網(wǎng)絡接入基礎設施劃入有線接入域。（三）、無線接入域劃分所有無線用戶終端和無線集線器、無線訪問節(jié)點、無線網(wǎng)橋、無線網(wǎng)卡等 無線接入基礎設施劃入無線接入域。（四）、安全支撐域劃分各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護終端和服務器劃入安全支撐 域。（五）、安全互聯(lián)域劃分。 局域網(wǎng)核心層、匯聚層互聯(lián)設備和鏈路劃入局域網(wǎng)互聯(lián)子域。 自主管理的綜合數(shù)字網(wǎng)接入鏈路和接入設備，包含網(wǎng)絡設備、安全設備 和前端服務器劃入廣域網(wǎng)互聯(lián)子域。 自主管理的第三方合作伙伴網(wǎng)絡接入鏈路和接入設備，包含網(wǎng)絡設備、 安全設備和前端服務器劃入外部網(wǎng)互聯(lián)子域。 自主管理的因特網(wǎng)接入鏈路和接人設備，

8、包含網(wǎng)絡設備、安全設備和前 端服務器劃入因特網(wǎng)互聯(lián)子域。四、安全域互訪原則1. 安全服務域、安全支撐域、有線接入域、無線接入域之間的互訪必須經(jīng) 過安全互聯(lián)域，不允許直接連接。2. 關鍵業(yè)務子域、綜合業(yè)務子域、公共服務子域、開發(fā)測試子與之間的互訪必須經(jīng)過安全互聯(lián)域，不允許百接連接。3. 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他安全域或子 域之間的互訪必須經(jīng)過安全互聯(lián)域，不允許直接連接。4. 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪必須經(jīng) 過安全互聯(lián)域，不允許直接連接。同一安全子域，如關鍵業(yè)務子域、綜合業(yè)務子域、基礎業(yè)務子域、公共服 務子域、開發(fā)測試子域內部的不同系統(tǒng)之

9、間應采用VLAN進行隔離，VLAN間的路由應設置在核心或匯聚層設備上，不允許通過接人層交換機進行路由。五、安全域邊界整合安全域之間互聯(lián)接口數(shù)量越多，安全性越難以控制，因此，必須在保證各 種互聯(lián)需求的前提下對安全域邊界進行合理整合，通過對系統(tǒng)接口的有效整理 和歸并，減少接口數(shù)量，提高接口規(guī)范性。邊界整合最終要實現(xiàn)不同類別邊界 鏈路層物理隔離，邊界設備（如交換機、路由器或防火墻等）實現(xiàn)硬件獨立，杜 絕混用現(xiàn)象。同時邊界設備要滿足冗余要求。安全域邊界整合的原則如下：1. 安全支撐域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界。2. 有線接入域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界。3. 安全互

10、聯(lián)域與外部網(wǎng)絡之間所有的互訪接口整合為三個邊界，分別是：廣域網(wǎng)互連子域與廣域網(wǎng)之間所有的互訪接口整合為一個邊界。 因特網(wǎng)互聯(lián)子域與因特網(wǎng)之間所有的互訪接口整合為一個邊界。 外部網(wǎng)互聯(lián)子域與第三方網(wǎng)絡之間所有的互訪接口整合為一個邊界。4. 安全服務域與安全互聯(lián)域之間所有的互訪接口整合為四個邊界：關鍵業(yè) 務子域邊界、綜合業(yè)務子域邊界、公共服務子域邊界、開發(fā)測試子域邊界。 關鍵業(yè)務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊 界。 綜合業(yè)務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊 界。 公共服務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊 界。 開發(fā)測試子域與局域網(wǎng)互聯(lián)子域之間

11、所有的互訪接口整合為一個邊 界。六、邊界防護技術目前常用的邊界保護技術主要包括防火墻、接口服務器、病毒過濾、入侵 防護、單向物理隔離、拒絕服務防護等。1. 防火墻。防火墻可以根據(jù)互聯(lián)系統(tǒng)的安全策略對進出網(wǎng)絡的信息流進行 控制（允許、拒絕、監(jiān)測）。防火墻作為不同網(wǎng)絡或網(wǎng)絡安全區(qū)域之間信息的出 入口，能根據(jù)系統(tǒng)的安全策略控制出入網(wǎng)絡的信息流，且具有較強的抗攻擊能 力，它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防 火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和外 部網(wǎng)之間的活動，保證內部網(wǎng)絡的安全。通過防火墻可以防止非系統(tǒng)內用戶的非法入侵、過濾不安全服務及規(guī)劃

12、網(wǎng) 絡信息的流向。防火墻的重要作用是網(wǎng)絡隔離和對用戶進行訪問控制，目的是 防止對網(wǎng)絡信息資源的非授權訪問和操作，包括各個子網(wǎng)對上級網(wǎng)絡，各個同 級子網(wǎng)之間的非法訪問和操作。這些訪問控制，在物理鏈路一級的加密設備中 很難實現(xiàn)，而防火墻則具有很強的安全網(wǎng)絡訪問控制能力，主要體現(xiàn)在它完善 的訪問控制策略上。2. 接口服務器。接口服務器的目的在于實現(xiàn)威脅等級高的系統(tǒng)訪問威脅等 級低的系統(tǒng)時，Server-Server間的通信。通過接口服務器，使防護等級高的 系統(tǒng)中后臺的核心服務器對威脅等級高的系統(tǒng)屏蔽，在向威脅等級高的系統(tǒng)訪 問時，看到的僅僅是應用接口服務器，這樣對系統(tǒng)的防護更加有效，而且也更 容易實

13、現(xiàn)二者之間的訪問控制，因此適用于威脅等級高的系統(tǒng)訪問防護等級高 的系統(tǒng)。這種保護方式需要與單層或雙重異構防火墻結合進行部署。類似設備，如堡壘主機、數(shù)據(jù)交換服務器等。3. 病毒過濾。病毒過濾一般采用全面的協(xié)議保護和內嵌的內容過濾功能， 能夠對SMTP、PUP3 IMAP、HTTP、FTP等應用協(xié)議進行病毒過濾以及采用 關鍵字、URL過濾等方式來阻止非法數(shù)據(jù)的進入。由于數(shù)據(jù)流經(jīng)歷了完全的過 濾檢查，必然會使得其效率有所降低。4入侵防護。入侵防護是一種主動式的安全防御技術，它不僅能實時監(jiān)控 到各種惡意與非法的網(wǎng)絡流量，同時還可以直接將有害的流量阻擋于所保護的 網(wǎng)絡之外，從而對其網(wǎng)絡性能進行最佳的優(yōu)化。入侵防護主要用來防護三種類 型的攻擊：異常流量類防護、攻擊特征類防護、漏洞攻擊類防護。5. 單向物理隔離。物理隔離技術通常米用咼速電子開關隔離硬件和專有協(xié) 議，確保網(wǎng)絡間在任意時刻物理鏈路完全斷開。同時可以在兩個相互物理隔離 的網(wǎng)絡間安全、高速、可靠地進行數(shù)據(jù)交換。6拒絕服務防護。拒絕服務防護一般包含兩個方面：一是針