文档介绍:安全域介绍
常见信息系统的安全现状
网络系统规模大、结构复杂,缺乏统一规划,组网方式随意性强,扩展性差,难于有效的管理;
不同的网络区域之间边界不清晰,互连互通缺少统一控制策略;
业务系统各自为政,存在多个外网连接,没有统一管理;
安全防护策略不统一,安全防护手段部署原则不明确;
缺乏对集成商、服务商、银行、SP 等第三方系统的有效管理和控制;
对访问关键业务的终端接入的网络管理比较混乱,缺乏有效控制。
造成的安全隐患
无法有效隑离不同业务系统,跨业务系统的非授权互访难于发现和控制;
无法及时有效控制入侵行为和网络病毒的对业务区域的影响;
不能及时的发现安全事件并作出响应;
第三方维护人员大量参不生产系统维护时的没有进行访问控制和得到授权;
合作伙伴的身份无法准确认证;
管理员密码和权限难以管理;
企业关键服务器、信息资产的缺乏重点防护。
目录
基本概念
安全域设计原理
安全域划分
安全域边界整合
安全域的定义
网络安全域:指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网戒网络,每一个逻辑区域内部有相同的安全保护需求、互相信任、具有相同的安全访问控制和边界控制策略,且相同的网络安全域共享一样的安全策略。
安全域:安全域是由在同一工作环境中、具有相同戒相似的安全保护需求和保护策略、相互信任、相互关联戒相互作用的IT要素的集合。
关于安全域的错误概念
物理网络区域依照相同的物理位置定义的网络区域。如:办公区域、远程办公区域等
网络功能区域以功能为标准划分的网络功能区域。如:互联网区域、办公网区域等
网络安全区域指网络系统中具有相同安全要求,达到相同安全防护等级的区域
安全域的作用
理顺系统架构
简化复杂度
降低投资
提供系统防护依据
安全域的特性
物理区域特性
逻辑特性
组织特性
业务系统
安全域的防护
防护原则
防护类型
防护等级
原则
以业务为中心以业务安全为根本出发点规范和优化系统结构有效的控制信息安全风险符合相关规范
安全域设计
保障业务信息系统的业务、管理、控制数据处理活动、数据流的安全是保障系统安全的出发点和落脚点,是保证业务安全的最佳切入点。
安全域设计应基于:
业务信息系统的结构,从各种业务功能、管理、控制功能出发,梳理其数据流、刻画构成数据流的各种数据处理活动/行为,分析数据流、数据处理活动的安全需求和安全域设计要求,将系统分解为若干个功能简单、边界清晰且结构化的小的安全域,
根据不同安全域承担的业务使命、业务功能以及受到的潜在的威胁和安全风险,进行有针对的分等级的重点保护,构建起多层、主动、立体的安全保障体系,并通过控制、审计等手段,达到持久、有效地保障系统安全的目的。