面對信息化浪潮，各家企業(yè)對于安全雖然越來越重視，但很多對安全的概念依然停留在網(wǎng)絡端的硬件安全控制，并沒有形成一套完整的信息安全管理體系，其針對公司內(nèi)部不同業(yè)務子系統(tǒng)沒有一種統(tǒng)籌的管理思路。

此外，伴隨著業(yè)務系統(tǒng)的逐漸增多，各細分信息安全子系統(tǒng)互相之間的數(shù)據(jù)連接逐漸增多，安全邊界較為模糊，迫切需要對企業(yè)內(nèi)部信息安全網(wǎng)絡進行重新規(guī)劃。因此本文將提出一種安全域規(guī)劃思路，希望對大家有所幫助。

規(guī)劃目的

現(xiàn)在信息安全網(wǎng)絡架構(gòu)主要是以邊界防護為主，如果進行劃分，最好的方式是以邊界防護設備作為安全域劃分的界限，對不同域內(nèi)的業(yè)務系統(tǒng)采取不同的信息安全防御原則和手段，同時加強控制域間通信，使信息安全網(wǎng)絡南北和東西向防護架構(gòu)更加清晰和流暢。

表1 安全域與業(yè)務系統(tǒng)歸類

規(guī)劃思路和原則

1.規(guī)劃思路

信息安全域以應用功能為劃分標準，將功能類似業(yè)務系統(tǒng)歸入同一安全域之下。假設A企業(yè)為一個小型互聯(lián)網(wǎng)視頻網(wǎng)站，按照現(xiàn)有業(yè)務情況，將分出以下四個安全域分別是主營業(yè)務、計費服務、運營支撐和安全管理服務；具體安全域與業(yè)務系統(tǒng)歸類如表1所示。

2.規(guī)劃原則

本規(guī)劃的原則是通過綜合部署、調(diào)整和補充所需的安全技術措施，并設置低粒度的安全策略，建立更加有效的安全機制。

安全域規(guī)劃涉及業(yè)務系統(tǒng)的各個層次、方面和服務，同時由于各業(yè)務系統(tǒng)是一個時刻在線的生產(chǎn)系統(tǒng)，為了保證安全技術保障體系的最終效果及順利實施，本規(guī)劃在設計時遵循以下原則。

（1）系統(tǒng)性：安全域規(guī)劃中所有的安全措施包括但不限于防火墻、防病毒、入侵監(jiān)測、網(wǎng)頁防護等各種安全技術產(chǎn)品以及相關的各種安全技術，通過將產(chǎn)品和技術的有機結(jié)合，使各種技術和防護手段能夠互相補充，相得益彰，對網(wǎng)絡、系統(tǒng)、應用及數(shù)據(jù)所有層面進行防護。

（2）高擴展性：規(guī)劃的安全域內(nèi)部子系統(tǒng)均采用標準的技術、結(jié)構(gòu)、系統(tǒng)組件和用戶接口，支持所有流行的網(wǎng)絡標準及協(xié)議；保證域內(nèi)和跨域之間的數(shù)據(jù)通信可以通過技術手段予以實現(xiàn)。

（3）高可靠性和安全性：采用多層、主動的安全防護技術，并充分考慮系統(tǒng)的容災能力，提高安全防護的可靠性，同時采用經(jīng)過相應安全等級認證的產(chǎn)品和相應的安全技術機制，保證在現(xiàn)有安全域之下進行新的安全系統(tǒng)建設時不會引入新的信息安全風險。

（4）先進性和穩(wěn)定性：安全域規(guī)劃要確保系統(tǒng)的穩(wěn)定性，保證業(yè)務的穩(wěn)健運行，同時不能大規(guī)模降低系統(tǒng)的先進性，使系統(tǒng)保持較高的性能。

圖1 信息安全規(guī)劃示意圖

（5）可管理性和維護性：盡量將各種安全產(chǎn)品、策略納入統(tǒng)一管理之下，并運用有效的管理輔助手段，提高整個系統(tǒng)的可管理性，減少運行維護工作量。

（6）最小影響：安全域規(guī)劃盡量不改變現(xiàn)有的網(wǎng)絡結(jié)構(gòu)，以及路由策略，最小化對系統(tǒng)穩(wěn)定、持續(xù)生產(chǎn)的影響，保證各業(yè)務子域的信息安全防護系統(tǒng)的高內(nèi)聚低耦合性。

（7）經(jīng)濟性：盡量利用現(xiàn)有安全設備，使用性價比較高、易運維的產(chǎn)品和技術，保證規(guī)劃實施的經(jīng)濟性，從而降低整體成本。

（8）可操作性：按照“統(tǒng)一規(guī)范、分布實施”的策略，按照系統(tǒng)各部分的相互依賴和互動關系，考慮各種外部約束條件，科學、合理規(guī)劃系統(tǒng)建設步驟，便于規(guī)劃的順利實施。

安全域規(guī)劃及防護說明

1.信息安全規(guī)劃示意圖如圖1所示。

2.主營業(yè)務安全域安全防護設計

本域中所包含的安全子域分別是視頻點播系統(tǒng)、用戶交互服務系統(tǒng)、內(nèi)容分發(fā)業(yè)務系統(tǒng)、用戶數(shù)據(jù)采集系統(tǒng)以及存儲調(diào)度系統(tǒng)。各個系統(tǒng)主要安全控制措施包括如下：

（1）所有業(yè)務子系統(tǒng)均在網(wǎng)絡邊界位置放置獨立的二代防火墻，其中視頻點播系統(tǒng)和用戶交互服務系統(tǒng)是雙防火墻主備配置；其他業(yè)務系統(tǒng)可以采用單主用防火墻，另外可準備一臺防火墻進行冷備。

（2）考慮到視頻點播系統(tǒng)的性能要求，不適宜將過多的安全設備串接到系統(tǒng)內(nèi)部，導致網(wǎng)絡延遲增大，用戶點播體驗降低，因此在于用戶相關的子域內(nèi)采用將安全設備進行旁路接入的方式進行引流監(jiān)控。對于存儲系統(tǒng)而言，需要著重考慮災備系統(tǒng)。

（3）各業(yè)務系統(tǒng)對外遠程維護均通過安全設備進行控制，保證有效區(qū)分角色對業(yè)務系統(tǒng)控制，留存登錄維護證據(jù)，便于追溯。

3.計費服務安全域安全防護設計

本域所包含的安全子域分別是計費服務系統(tǒng)、呼叫服務系統(tǒng)和微信服務系統(tǒng)。各個系統(tǒng)主要安全控制措施包括如下：

（1）所有業(yè)務子系統(tǒng)均在網(wǎng)絡邊界位置放置獨立的二代防火墻，其中計費服務系統(tǒng)和呼叫服務業(yè)務聯(lián)系緊密，對外策略均在計費服務系統(tǒng)防火墻上實現(xiàn)。

（2）計費服務系統(tǒng)雖然對外可以通過策略進行控制，但是也要防止內(nèi)部人員惡意或無意導致的攻擊，因此建議采用串接部署安全設備，同時控制監(jiān)控頻率，防止誤報產(chǎn)生。微信服務系統(tǒng)由于對外提供服務，另外需要獨立訪問微信服務器，因此必須串接多種安全設備，保證有惡意行為時第一時間攔截。

（3）以上三種系統(tǒng)對外遠程維護均可采用安全登錄設備和SSLVPN設備登錄相結(jié)合的方式，雙設備密碼多人管理控制，防止出現(xiàn)密碼一人控制導致的密碼泄露。

4.運營支撐安全域安全防護設計

本域所包含的安全子域分別是網(wǎng)絡管理系統(tǒng)系統(tǒng)、投訴處理系統(tǒng)、域名服務系統(tǒng)、公司網(wǎng)站系統(tǒng)、公司郵件系統(tǒng)。各個系統(tǒng)主要安全控制措施包括如下：

（1）除域名服務系統(tǒng)外，業(yè)務子系統(tǒng)均在網(wǎng)絡邊界位置放置獨立的二代防火墻，由于安全等級較低，因此采用單主用防火墻結(jié)構(gòu)。

（2）除網(wǎng)絡管理系統(tǒng)一般為內(nèi)網(wǎng)管理系統(tǒng)外，其他四個系統(tǒng)均需對外提供服務，而且均與業(yè)務運營的持續(xù)性有較多關聯(lián)，因此這四個系統(tǒng)中安全設備均為串接使用。其中域名服務系統(tǒng)即時性要求較高，所以需要謹慎測試后再串接入相應安全設備。

（3）由于業(yè)務系統(tǒng)安全等級較低，因此均采用SSLVPN方式來進行遠程登錄控制。

5.安全管理服務安全域

（1）信息安全日志留存系統(tǒng)著重解決的是對于四大安全域的所有安全設備的日志信息進行備份，備份周期為90日滾存，其目標是符合三級安全等級保護規(guī)則要求。

（2）信息安全日志分析系統(tǒng)著重解決網(wǎng)內(nèi)安全設備的攻擊信息匯總和分析，其主要目的是大幅減少現(xiàn)有安全維護人員的日常工作量，同時可根據(jù)分析結(jié)果有針對性調(diào)整安全防御的側(cè)重點，做到有的放矢。

安全域規(guī)劃要點說明

1.安全域規(guī)劃的子域粒度要做到適度

本身信息安全域規(guī)劃的先期目的是想通過規(guī)劃將功能類似的業(yè)務子系統(tǒng)進行合并，采用類 似的安全防護手段，這樣既可以保證維護的高效，也能控制成本。但是伴隨著業(yè)務的增長，業(yè)務子系統(tǒng)也會發(fā)生裂變或是合并，這就導致如果前期劃分的域到了后期不再適合業(yè)務需求，并且如果考慮不周全還會導致安全設備使用的偏差。

因此，在前期劃分的時候應該先進行業(yè)務子系統(tǒng)的分級，直接確定一級業(yè)務系統(tǒng)，保證其在后期的業(yè)務裂變中不會出現(xiàn)降級現(xiàn)象，然后依次排序，形成樹形的分級結(jié)構(gòu)，可以合并的子域絕不分開，保證域分割的合理性。

2.安全域規(guī)劃中子域間策略控制要規(guī)范

公司的業(yè)務系統(tǒng)雖然劃分了安全域，但是其目的是增加每個安全域自身的內(nèi)聚性，也就是說即使脫離企業(yè)對外大的安全防護控制，依然可以保護自身的信息安全。

但是現(xiàn)在企業(yè)中子域之間策略聯(lián)系也非常密切，例如計費系統(tǒng)就會不停的被其他業(yè)務系統(tǒng)請求各種認證及計費數(shù)據(jù)，所以這就導致子域間的策略會非常的多，例如對于策略上必須的源地址、目的地址、端口、應用、域名、時間、動作等都需要有一個規(guī)范化的標注方式，策略兩端地址粒度控制在一個IP地址以內(nèi)等等。越是做的規(guī)范化就越能在安全事件的判斷上縮短時間。