文档介绍：参阅(企业网络安全域划分方法浅析,孟广平) 计算机信息应用系统的成功靠的是“三分技术、七分管理、十二分执行。”划分安全域是企业建立纵深防御安全系统的基础。随着业务的不断发展*** 的计算机网络变得越来越复杂,将网络划分为不同的区域, 对每个区域进行层次化地有重点的保护,是建立纵深防御安全系统的自然而有效的手段。网络安全域的定义和划分原则网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义的安全域是具有相同业务要求和安全要求的系统要素集合,这些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等诸多因素。通过网络安全域的划分,可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题,从而更好地控制网络安全风险,降低系统风险; 利用网络安全域的划分,理顺网络架构,可以更好地指导系统的安全规划和设计、人网和验收工作; 通过网络安全域的划分,各区域防护重点明确,可以将有限的安全设备投人到最需要保护的资产,提高安全设备利用率; 有了网络安全域的划分,相对简化了网络安全的运维工作,并可有的放矢地部署网络审计设备,提供检查审核依据。网络安全域的划分要遵循以下原则: (l) 业务保障原则安全域方法的根本目标是能够更好地保障企业的生产经营业务。在保证安全的同时,还要保障业务的正常运行和运行效率。(2) 结构简化原则简单的网络结构便于设计防护体系,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。(3) 等级保护原则安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。(4) 立体协防原则安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次; 同时,在部署安全域防护体系时,要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。‘(5) 生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化。 2企业网络安全域的划分方法网络安全域划分的最佳时间是在企业业务信息系统和网络建设的初期。但现实中网络安全域的划分大多是在现有网络的基础上进行的,或多或少受到现有业务和系统的制约,这就要求网络安全域划分应在遵循基本原则的基础上结合现有系统的业务特性、安全需求、网络层次等实际因素来进行。目前网络安全域划分有以下几种基本方法。(l)按照业务系统来划分。这种方法依据业务系统的分类来区分支持不同业务系统的网络区域,从而把网络划分成不同的网络安全域。如承载办公系统的办公网、生产系统的生产网、管理系统的管理网等等。这种划分方法自然简单,对现有系统改动最小, 最容易实施。但由于类似的业务系统都面对相同的安全威胁,需要采用同样的防护手段,防护复杂而且技术投人必然重复,增加了网络安全系统的建设成本。(2) 按照防护等级来划分。这种方法依据网络中信息资产的价值划分不同的防护等级, 相同等级构成相同的网络安全域。这种划分方法中每个等级的安全域的安全防护要求是一致的,防护手段是统一的,不同等级的安全域采用不同的安全手段,有效地减少了重复投资,同时也体现了安全纵深防御的思想。但是由于按安全等