如何劃分安全域及網絡如何改造
安全域劃分及網絡改造是系統化安全建設的基礎性工做,也是層次化立體化防護以及落實安全管理政策,制定合理安全管理制度的基礎。此過程保證在網絡基礎層面實現系統的安全防護。
目標規劃的理論依據
安全域簡介
安全域是指同一系統內有相同的安全保護需求,相互信任,並具備相同的安全訪問控制和邊界控制策略的子網或網絡,相同的網絡安全域共享同樣的安全策略。
相對以上安全域的定義,廣義的安全域概念是指:具備相同和類似的安全要求和策略的IT要素的集合。這些IT要素包括但不只限於:物理環境、策略和流程、業務和使命、人和組織、網絡區域、主機和系統……數據庫
整體架構
以下圖所示:安全域的劃分以下:安全
建議的劃分方法是立體的,即:各個域之間不是簡單的相交或隔離關係,而是在網絡和管理上有不一樣的層次。服務器
網絡基礎設施域是全部域的基礎,包括全部的網絡設備和網絡通信支撐設施域。
網絡基礎設施域分爲骨幹區、聚集區和接入區。網絡
支撐設施域是其餘上層域須要公共使用的部分,主要包括:安全系統、網管系統和其餘支撐系統等。架構
計算域主要是各種的服務器、數據庫等,主要分爲通常服務區、重要服務區和核心區。運維
邊界接入域是各種接入的設備和終端以及業務系統邊界,按照接入類型分爲:互聯網接入、外聯網接入、內聯網接入和內網接入。ide
建設規劃內容
1、邊界接入域加密
邊界接入域的劃分
邊界接入域的劃分,根據公司的實際狀況,相對於ISO 13335定義的接入類型,分別有以下對應關係:
ISO 13335
實際狀況
組織單獨控制的鏈接
內部網接入(終端接入,如辦公網);業務邊界(如核心服務邊界)
公共網絡的鏈接
互聯網接入(如Web和郵件服務器的外部接入,辦公網的Internet接入等)
不一樣組織間的鏈接
外聯網接入(如各個部門間的接入等)
組織內的異地鏈接
內聯網接入(單位接入等其餘部門等經過專網接入)
組織內人員從外部接入
遠程接入(如移動辦公和遠程維護)code
邊界接入域威脅分析
因爲邊界接入域是公司信息系統中與外部相連的邊界,所以主要威脅有:
××××××(外部***)
惡意代碼(病毒蠕蟲)
越權(非受權接入)
終端違規操做
……中間件
針對邊界接入域的主要威脅,相應的防禦手段有:
訪問控制(如防火牆)用於應對外部×××
遠程接入管理(如×××)用於應對非受權接入
病毒檢測與防護(IDS&IPS)用於應對外部×××和蠕蟲病毒
惡意代碼防禦(防病毒)用於應對蠕蟲病毒
終端管理(注入控制、補丁管理、資產管理等)對終端進行合規管理
2、計算域
計算域的劃分
計算域是各種應用服務、中間件、大機、數據庫等局域計算設備的集合,根據計算環境的行爲不一樣和所受威脅不一樣,分爲如下三個區:
通常服務區
用於存放防禦級別較低(資產級別小於等於3),需直接對外提供服務的信息資產,如辦公服務器等,通常服務區與外界有直接鏈接,同時不可以訪問核心區(避免被做爲×××核心區的跳板);
重要服務區
重要服務區用於存放級別較高(資產級別大於3),不須要直接對外提供服務的信息資產,如前置機等,重要服務區通常經過通常服務區與外界鏈接,並能夠直接訪問核心區;
核心區
核心區用於存放級別很是高(資產級別大於等於4)的信息資產,如核心數據庫等,外部對核心區的訪問須要經過重要服務區跳轉。
計算域的劃分參見下圖:
計算域威脅分析
因爲計算域處於信息系統的內部,所以主要威脅有:
內部人員越權和濫用
內部人員操做失誤
軟硬件故障
內部人員篡改數據
內部人員抵賴行爲
對外服務系統遭受×××及非法***
針對計算域主要是內部威脅的特色,主要採起如下防禦手段:
應用和業務開發維護安全
基於應用的審計
身份認證與行爲審計
同時也輔助以其餘的防禦手段:
對網絡異常行爲的檢測
對信息資產的訪問控制
3、支撐設施域
支撐設施域的劃分
將網絡管理、安全管理和業務運維(業務操做監控)放置在獨立的安全域中,不只可以有效的保護上述三個高級別信息系統,同時在突發事件中也有利於保障後備通信能力。
其中,安全設備、網絡設備、業務操做監控的管理端口都應該處於獨立的管理VLAN中,若是條件容許,還應該分別劃分安全VLAN、網管VLAN和業務管理VLAN。
支撐設施域的威脅分析
支撐設施域是跨越多個業務系統和地域的,它的保密級別和完整性要求較高,對可用性的要求略低,主要的威脅有:
網絡傳輸泄密(如網絡管理人員在網絡設備上竊聽業務數據)
非受權訪問和濫用(如業務操做人員越權操做其餘業務系統)
內部人員抵賴(如對誤操做進行抵賴等)
針對支撐設施域的威脅特色和級別,應採起如下防禦措施:
帶外管理和網絡加密
身份認證和訪問控制
審計和檢測
4、網絡基礎設施域
網絡基礎設施域的劃分
網絡基礎設施域的威脅分析
主要威脅有:
網絡設備故障
網絡泄密
物理環境威脅
相應的防禦措施爲:經過備份、冗餘確保基礎網絡的可用性經過網絡傳輸加密確保基礎網絡的保密性經過基於網絡的認證確保基礎網絡的完整性
- 1. 如何劃分VLAN虛擬局域網
- 2. 如何劃分子網?
- 3. 如何劃分子網
- 4. 如何防範電腦網絡安全
- 5. 如何去學習網絡安全
- 6. 如何規劃局域網IP地址
- 7. JVM如何劃分數據區域
- 8. 雲計算如何改變網絡安全
- 9. DevOps如何塑造網絡的未來
- 10. 如何進行安全架構規劃
- 更多相關文章...
- • 如何僞造ARP響應? - TCP/IP教程
- • XSD 如何使用? - XML Schema 教程
- • Flink 數據傳輸及反壓詳解
- • Composer 安裝與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 升級Gradle後報錯Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地環境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中關鍵字前後幾行的內容
- 5. XXE萌新進階全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通過agent監控winserve12
- 8. IT行業UI前景、潛力如何?
- 9. Mac Swig 3.0.12 安裝
- 10. Windows上FreeRDP-WebConnect是一個開源HTML5代理,它提供對使用RDP的任何Windows服務器和工作站的Web訪問
- 1. 如何劃分VLAN虛擬局域網
- 2. 如何劃分子網?
- 3. 如何劃分子網
- 4. 如何防範電腦網絡安全
- 5. 如何去學習網絡安全
- 6. 如何規劃局域網IP地址
- 7. JVM如何劃分數據區域
- 8. 雲計算如何改變網絡安全
- 9. DevOps如何塑造網絡的未來
- 10. 如何進行安全架構規劃