【文章內(nèi)容簡(jiǎn)介】 型方面必須遵循一系列的業(yè)界標(biāo)準(zhǔn)，充分考慮不同設(shè)備技術(shù)之間的兼容一致性。7. 產(chǎn)品異構(gòu)性原則在安全產(chǎn)品選型時(shí)，考慮不同廠商安全產(chǎn)品功能互補(bǔ)的特點(diǎn)，在進(jìn)行多層防護(hù)時(shí)，將選用不同廠商的安全產(chǎn)品。8. 區(qū)域等級(jí)原則要將信息系統(tǒng)按照合理的原則劃分為不同安全等級(jí)，分區(qū)域分等級(jí)進(jìn)行安全防護(hù)。9. 動(dòng)態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個(gè)一勞永逸的工作，而是一個(gè)長(zhǎng)期不斷完善的過程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而不斷升級(jí)發(fā)展。 技術(shù)方案的部署不可能一步到位，所以要在一個(gè)全面規(guī)劃的基礎(chǔ)上，根據(jù)實(shí)際情況，在不影響正常生產(chǎn)的前提下，分步實(shí)施。設(shè)計(jì)技術(shù)方案時(shí)，要盡量利用現(xiàn)有的設(shè)備與軟件，避免投資浪費(fèi)，這些設(shè)備包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備等。 遵照的標(biāo)準(zhǔn)或規(guī)范GB/T 開放系統(tǒng)互連基本參考模型第 2 部分：安全體系結(jié)構(gòu)RFC 1825　 TCP/IP 安全體系結(jié)構(gòu)ISO 10181:1996　信息技術(shù) 開放系統(tǒng)互連開放系統(tǒng)安全框架GB/T 182372022 信息技術(shù) 開放系統(tǒng)互連通用高層安全13 / 86GB 178591999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 　GB/T 183362022 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則ISO/ISE 17799: 2022 /BS7799ISO/ISE 15408（CC）AS/NZS 4360: 1999 《風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》GAO/AIMD0033《信息安全風(fēng)險(xiǎn)評(píng)估》IATF《信息保障技術(shù)框架》 安全建設(shè)的思路和方法我們著眼于整個(gè)安全體系建設(shè)以及安全規(guī)劃建設(shè)的長(zhǎng)期目標(biāo)，逐步完善深圳市**公司風(fēng)險(xiǎn)管理體系，將安全建設(shè)分解成多個(gè)可實(shí)施性較強(qiáng)的工程階段，明確標(biāo)識(shí)出各階段安全建設(shè)內(nèi)容和解決的安全問題，為深圳市**公司提供一個(gè)可供參考的安全建設(shè)遠(yuǎn)景規(guī)劃以及每期工程需要解決的風(fēng)險(xiǎn)管理規(guī)劃，各期工程建設(shè)內(nèi)容都是依據(jù)深圳市**公司所面臨的安全風(fēng)險(xiǎn)級(jí)別和迫切需要解決的安全問題依照從高至低排序。這樣的建設(shè)思路讓深圳市**公司明確將來安全建設(shè)的內(nèi)容以及建設(shè)方法，我們首先將解決當(dāng)前對(duì)深圳市**公司威脅最大的安全風(fēng)險(xiǎn)，在以后的各期項(xiàng)目再逐漸完善和調(diào)整安全框架內(nèi)容。 安全域建設(shè)風(fēng)險(xiǎn)管理的基本解決思路在于能夠準(zhǔn)確的識(shí)別風(fēng)險(xiǎn)，并將高級(jí)別風(fēng)險(xiǎn)降低或者轉(zhuǎn)移，風(fēng)險(xiǎn)管理需要積極的落實(shí)到深圳市**公司的各業(yè)務(wù)系統(tǒng)。只有貼近具體業(yè)務(wù)系統(tǒng)，對(duì)業(yè)務(wù)系統(tǒng)的重要性和特點(diǎn)有了清楚的定義和識(shí)別，風(fēng)險(xiǎn)管理才可能取得確實(shí)的成效。要將風(fēng)險(xiǎn)管理和業(yè)務(wù)系統(tǒng)聯(lián)系起來，用安全域是一個(gè)比較好的解決思路。通過劃分安全域，我們可以將網(wǎng)絡(luò)根據(jù)業(yè)務(wù)系統(tǒng)、功能和重要性劃分成不同的層次，并且不同的安全域面臨的是不完全相同的安全風(fēng)險(xiǎn)，14 / 86關(guān)注程度和解決的方法也就不同。 安全域基本概念一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務(wù)要求和安全要求的 IT 系統(tǒng)要素的集合。這些 IT 系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務(wù)和使命… … 安全域劃分的原則安全域的理論和方法所遵循的根本原則： 等級(jí)保護(hù)原則根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以及考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素，將其劃為不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施，以保障業(yè)務(wù)支撐的網(wǎng)絡(luò)和信息安全。在參考工信部等級(jí)保護(hù)的指導(dǎo)意見《TC260N0015 信息系統(tǒng)安全技術(shù)要求》對(duì)安全等級(jí)的劃分基礎(chǔ)上，結(jié)合業(yè)務(wù)支撐系統(tǒng)的具體情況，安全域所涉及應(yīng)用15 / 86和資產(chǎn)的價(jià)值越高，面臨的威脅越大，那么它的安全保護(hù)等級(jí)也就越高。本文檔定義了不同等級(jí)的安全域，對(duì)這些安全域的等級(jí)保護(hù)從業(yè)務(wù)數(shù)據(jù)流角度來看，要求高等級(jí)安全域允許向低等級(jí)安全域發(fā)起業(yè)務(wù)訪問的請(qǐng)求，保證發(fā)送數(shù)據(jù)的機(jī)密性，鑒別低等級(jí)安全域的合法性，對(duì)接受的數(shù)據(jù)進(jìn)行完整性校驗(yàn)，對(duì)業(yè)務(wù)操作進(jìn)行日志記錄與審計(jì)；低等級(jí)安全域向高等級(jí)安全域只允許受限訪問，保證發(fā)送數(shù)據(jù)的完整性，對(duì)業(yè)務(wù)操作進(jìn)行日志記錄與審計(jì)。在基于等級(jí)保護(hù)原則同時(shí)遵循策略最大化原則。 業(yè)務(wù)保障原則安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。 結(jié)構(gòu)簡(jiǎn)化原則安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。安全域劃分不宜過于復(fù)雜。 生命周期原則對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。 深度防御原則根據(jù)網(wǎng)絡(luò)應(yīng)用訪問的順序，逐層進(jìn)行防御，保護(hù)核心應(yīng)用的安全。 安全最大化原則針對(duì)業(yè)務(wù)系統(tǒng)可能跨越多個(gè)安全域的情況，對(duì)該業(yè)務(wù)系統(tǒng)的安全防護(hù)必須要使該系統(tǒng)在全局上達(dá)到要求的安全等級(jí)，即實(shí)現(xiàn)安全的最大化防護(hù)，同時(shí)滿16 / 86足多個(gè)安全域的保護(hù)策略。 分步實(shí)施原則分布實(shí)施原則：貫徹安全工作“統(tǒng)一規(guī)劃，分步實(shí)施”的原則，根據(jù)自身情況分階段落實(shí)安全域劃分和邊界整合的工作。 可擴(kuò)展性原則當(dāng)有新的業(yè)務(wù)系統(tǒng)需要接入業(yè)務(wù)支撐網(wǎng)時(shí)，按照等級(jí)保護(hù)、對(duì)端可信度等原則將其分別劃分至不同安全等級(jí)域的各個(gè)子域。 安全域邊界防護(hù)原則根據(jù)本文檔提出安全域劃分原則及相關(guān)標(biāo)準(zhǔn)，在不同安全等級(jí)的域間進(jìn)行數(shù)據(jù)互訪必須遵循以下防護(hù)原則。歸并系統(tǒng)接口深圳市**公司的網(wǎng)絡(luò)目前確實(shí)存在邊界不清的實(shí)際問題，在此情況下只有在保證支撐系統(tǒng)的各種互聯(lián)需求的有效提供的前提下對(duì)安全域的邊界進(jìn)行合理的整合，對(duì)系統(tǒng)接口的進(jìn)行有效的整理和歸并，減少接口數(shù)量，提高系統(tǒng)接口的規(guī)范性，才能做到“ 重點(diǎn)防護(hù)、重兵把守 ”，達(dá)到事半功倍的效果。最小授權(quán)原則安全子域間的防護(hù)需要按照安全最小授權(quán)原則，依據(jù)“缺省拒絕”的方式制定防護(hù)策略。防護(hù)策略在身份鑒別的基礎(chǔ)上，只授權(quán)開放必要的訪問權(quán)限，并保證數(shù)據(jù)安全的完整性、機(jī)密性、可用性。業(yè)務(wù)相關(guān)性原則對(duì)安全子域的安全防護(hù)要充分考慮該子域的業(yè)務(wù)特點(diǎn)，在保證業(yè)務(wù)正常運(yùn)行、保證效率的情況下分別設(shè)置相應(yīng)的安全防護(hù)策略。如果子域之間的業(yè)務(wù)關(guān)聯(lián)性、互訪信任度、數(shù)據(jù)流量、訪問頻度等較低，通常情況下沒有數(shù)據(jù)互訪的業(yè)務(wù)需求，因此安全防護(hù)策略非常嚴(yán)格，原則上不允許數(shù)據(jù)互訪。如果子域之間互訪信任度、數(shù)據(jù)流量、訪問頻度等比較高，通常情況下業(yè)務(wù)關(guān)系比較緊密，安全防護(hù)策略可以較為寬松，通常允許受限的信17 / 86任互訪。策略最大化原則本文檔針對(duì)各域分別制定了多項(xiàng)防護(hù)策略。核心域防護(hù)包括核心域與接入域邊界和核心域各子域之間的防護(hù)，接入域防護(hù)包括接入域內(nèi)部邊界和外部邊界的防護(hù)，當(dāng)存在多項(xiàng)不同安全策略時(shí)，安全域防護(hù)策略包含這些策略的合集，并選取最嚴(yán)格的防護(hù)策略，安全域的防護(hù)必須遵循策略最大化原則。 安全域理論安全域劃分以及基于安全域的整體安全工作，對(duì)深圳市**公司具有很大的意義和實(shí)際作用：? 安全域劃分基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行，是下一步安全建設(shè)的部署依據(jù)，可以指導(dǎo)系統(tǒng)的安全規(guī)劃、設(shè)計(jì)、入網(wǎng)和驗(yàn)收工作；? 可以更好的利用系統(tǒng)安全措施，發(fā)揮安全設(shè)備的利用率；? 基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基礎(chǔ)，可以在運(yùn)行維護(hù)階段降低系統(tǒng)風(fēng)險(xiǎn)，提供檢查審核依據(jù)；? 安全域可以更好的控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，降低系統(tǒng)風(fēng)險(xiǎn)；? 安全域的分割是出現(xiàn)問題時(shí)的預(yù)防，能夠防止有害行為的滲透；? 安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，能夠防止影響的擴(kuò)散。早期在進(jìn)行安全域的劃分時(shí)，完全從一個(gè)業(yè)務(wù)單元或者行政機(jī)構(gòu)的角度考慮。將自己的網(wǎng)絡(luò)和系統(tǒng)看成內(nèi)部網(wǎng)絡(luò)，將所有的其他網(wǎng)絡(luò)都作為不可信的網(wǎng)絡(luò)來看待；將自己看成中心，然后基于這個(gè)觀點(diǎn)進(jìn)行整個(gè)系統(tǒng)的分析和安全部署。隨著安全區(qū)域方法的發(fā)展，發(fā)現(xiàn)這樣的方法難于構(gòu)建全局的安全體系，局部的設(shè)計(jì)和實(shí)施經(jīng)驗(yàn)也難于推廣到全局，也難于借鑒?！巴瑯?gòu)性簡(jiǎn)化”的安全域劃分方法，其基本思路是認(rèn)為一個(gè)復(fù)雜的網(wǎng)絡(luò)應(yīng)18 / 86當(dāng)是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些進(jìn)行拼接、遞歸等方式構(gòu)造出一個(gè)大的網(wǎng)絡(luò)。 “3+1 同構(gòu)性簡(jiǎn)化”的安全域方法是用一種 3+1 的網(wǎng)絡(luò)結(jié)構(gòu)元來分析深圳市**公司網(wǎng)絡(luò)的系統(tǒng)。 （注：除了 3+1 構(gòu)造之外，還存在其他形式的構(gòu)造。）具體來說深圳市**公司的承載網(wǎng)絡(luò)和支撐系統(tǒng)按照其維護(hù)數(shù)據(jù)的分類可以分為安全服務(wù)域、安全接入域、安全互聯(lián)域以及安全支撐域四類。在此基礎(chǔ)上確定不同區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)。同一區(qū)域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)，如進(jìn)出信息保護(hù)機(jī)制，訪問控制，物理安全特性等。 安全互聯(lián)域連接傳輸共同數(shù)據(jù)的安全服務(wù)域和安全接入域組成的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成了安全互聯(lián)域。安全互聯(lián)域的安全等級(jí)的確定與網(wǎng)絡(luò)所連接的安全接入域和安全服務(wù)域的安全等級(jí)有關(guān)。當(dāng)一個(gè)網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有單一安全級(jí)別時(shí)，該安全互聯(lián)域的安全等級(jí)應(yīng)與該安全等級(jí)相同；當(dāng)一個(gè)網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有多安全級(jí)別時(shí)，應(yīng)盡量組成不同安全等級(jí)的安全互聯(lián)域，為這些安全服務(wù)域和安全接入域中的不同安全級(jí)別提供不同的支持；如果確實(shí)無法分別提供支持，則應(yīng)按這些安全服務(wù)域和安全接入域中的最高安全級(jí)別提供安全支持，組成與最高安全級(jí)別相同安全等級(jí)的安全互聯(lián)域。主要需要解決的安全問題包括：網(wǎng)絡(luò)設(shè)備的強(qiáng)壯性，防止被非法訪問；防止網(wǎng)絡(luò)的擁塞；防止線路的嗅探；防止成為惡意代碼傳播和擴(kuò)散的載體等等。安全互聯(lián)域有時(shí)會(huì)將其他域的邊界融合在本域中，因此，可能會(huì)以一種平臺(tái)的方式存在。安全互聯(lián)域由于主要起到承載作用，應(yīng)當(dāng)以通為主、以隔為輔?；谶@樣的防護(hù)原則，其中主要采用的安全措施包括：路由器本身的路由和過濾功能；交換機(jī)的 ACL 功能；線路的監(jiān)測(cè)功能。在骨干上建議只監(jiān)控流量，在接入端可以考慮監(jiān)控入侵行為等等。19 / 86 安全接入域由訪問同類數(shù)據(jù)的用戶終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以用戶所能訪問的安全服務(wù)域中的數(shù)據(jù)類和用戶計(jì)算機(jī)所處的物理位置來確定。安全接入域的安全防護(hù)等級(jí)與其所能訪問的安全服務(wù)域的安全等級(jí)有關(guān)。當(dāng)一個(gè)安全接入域中的終端能訪問多個(gè)安全服務(wù)域時(shí)，該安全接入域的安全防護(hù)等級(jí)應(yīng)與這些安全服務(wù)域的最高安全等級(jí)相同。安全接入域應(yīng)有明確的邊界，以便于進(jìn)行保護(hù)。主要需要解決的安全問題包括：用戶主體的信任問題，也就是對(duì)于用戶的身份認(rèn)證；客戶端主機(jī)的信任問題，也就是客戶端是否被感染和侵占；安全接入域內(nèi)，主機(jī)（包括客戶端）之間的互相感染和影響；安全接入域內(nèi)，一個(gè)客戶端對(duì)于另外一些客戶端的攻擊和嗅探；安全接入域內(nèi)，各個(gè)用戶之間的混淆，導(dǎo)致非授權(quán)操作；安全接入域內(nèi)的用戶和客戶端突破域的邊界安全規(guī)則等等。針對(duì)上述主要問題，在安全接入域內(nèi)需要考慮如下一些防護(hù)要點(diǎn)，包括安全接入域內(nèi)和安全接入域的邊界。安全接入域內(nèi)的防護(hù)要點(diǎn)：安全接入域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；進(jìn)而可以部署補(bǔ)丁管理等強(qiáng)制系統(tǒng)。安全接入域內(nèi)節(jié)點(diǎn)的訪問控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問控制等；如果需要加強(qiáng)，還可以部署集中身份認(rèn)證系統(tǒng)、一次登錄系統(tǒng)(SSO)等，可以基于 CA 證書、或者口令卡等；安全接入域內(nèi)節(jié)點(diǎn)的防病毒；安全域內(nèi)的主機(jī)都應(yīng)當(dāng)部署防病毒系統(tǒng)，可以考慮部署對(duì)于客戶端的強(qiáng)制防病毒軟件安裝和強(qiáng)制升級(jí)和更新。安全接入域內(nèi)節(jié)點(diǎn)的防入侵；可以在客戶端部署單機(jī)防入侵系統(tǒng)。安全接入域內(nèi)可以根據(jù)用戶主體的分類，分成子域。對(duì)于非常不可信的用戶和客戶端，可以重點(diǎn)部署流量監(jiān)控，以便能夠最快地發(fā)現(xiàn)可能出現(xiàn)的蠕蟲傳20 / 86播和拒絕服務(wù)攻擊。安全接入域內(nèi)如果根據(jù)用戶所操作業(yè)務(wù)分類進(jìn)行子域劃分，可以針對(duì)不同的子域進(jìn)行應(yīng)用的監(jiān)控和審計(jì)；安全接入域內(nèi)防泄密；監(jiān)控安全接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、FTP、WEB 訪問等。安全接入域的邊界防護(hù)，主要是要保證從安全接入域到其他域的訪問都是由可信的用戶從可信的客戶端上發(fā)起的；同時(shí)還要保證安全接入域不受其他域的侵害和影響。安全接入域和其他安全域之間邊界和連線的防護(hù)要點(diǎn)：安全接入域和內(nèi)部的邊界上需要安全網(wǎng)關(guān)，主要考慮訪問控制的要求；這樣的安全網(wǎng)關(guān)可以是路由器、防火墻、交換機(jī)的 ACL 等等。對(duì)安全接入域邊界上流經(jīng)的數(shù)據(jù)進(jìn)行檢測(cè)，監(jiān)測(cè)內(nèi)容包括：入侵、病毒、蠕蟲、流量、應(yīng)用等；在安全接入域邊界上進(jìn)行惡意代碼防護(hù)；安全接入域和其他安全域的互聯(lián)方式可能需要加密傳輸，VPN 就是一種常見的方式；為了防止安全接入域內(nèi)的用戶突破或者繞過，需要建立防止客戶端非授權(quán)訪問的控制系統(tǒng)，如非法外聯(lián)系統(tǒng)可以防止客戶端通過撥號(hào)、無線網(wǎng)卡等方式繞過邊界防護(hù)；為了防止安全接入域內(nèi)的用戶互相嗅探并且越權(quán)操作，需要對(duì)用戶和其相應(yīng)的客戶端進(jìn)行分組。比如：對(duì)于用戶分組后劃入不同的 VLAN 就是一種方式等等。 安全服務(wù)域在局域范圍內(nèi)存儲(chǔ)，傳輸、處理同類數(shù)據(jù)，具有相同安全等級(jí)保護(hù)的單一21 / 86計(jì)算機(jī)（主機(jī)/服務(wù)器）或多個(gè)計(jì)算機(jī)組成了安全服務(wù)域，不同數(shù)據(jù)在計(jì)算機(jī)的上分布情況，是確定安全服務(wù)域的基本依據(jù)。根據(jù)數(shù)據(jù)分布，可以有以下安全服務(wù)域：?jiǎn)我挥?jì)算機(jī)單一安全級(jí)別服務(wù)域，多計(jì)算機(jī)單一安全級(jí)別服務(wù)域，單一計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域，多計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域。主要需要解決的安全問題包括：服務(wù)器被入侵，完整性受到破壞；服務(wù)器被拒絕服務(wù)攻擊；服務(wù)器成為惡意代碼的傳播載體；服務(wù)器成為垃圾的傳播載體等等。防護(hù)要點(diǎn)：安全服務(wù)域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置