【文章內(nèi)容簡(jiǎn)介】 .......................68 作用保障 ...........................................................................................................................70 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 5 第 1章 前言 項(xiàng)目概述 本文對(duì)安全劃分的方法和原則進(jìn)行了簡(jiǎn)單的介紹，并結(jié)合 XXXXX 的實(shí)際情況，提出了安全域劃分的初步建議，同時(shí)也結(jié)合了 XXXXX 的業(yè)務(wù)系統(tǒng)，對(duì)三個(gè)典型信息系統(tǒng)進(jìn)行了安全域劃分的初步探討。 本安全域技術(shù)方案主要解決以下問(wèn)題： （ 1） 劃分安全域： XXXXX 信息系統(tǒng)如何劃分安全域、安全域規(guī)劃與擴(kuò)展以及如何對(duì)安全域進(jìn)行保護(hù)。 （ 2） 網(wǎng)絡(luò)邊界整合：通過(guò)網(wǎng)絡(luò)調(diào)整實(shí)現(xiàn)安全域邊 界的整合。包括：業(yè)務(wù)系統(tǒng)各子系統(tǒng)的接入、外聯(lián)系統(tǒng)接入，內(nèi)部辦公接入、遠(yuǎn)程維護(hù)接入等。 （ 3） 部署安全產(chǎn)品：對(duì)防火墻、 IDS、網(wǎng)絡(luò)審計(jì)、桌面管理、防病毒以及控制端在復(fù)雜網(wǎng)絡(luò)下跨域、跨 VLAN 的部署。 （ 4） 風(fēng)險(xiǎn)集中監(jiān)控：按區(qū)域的集中監(jiān)控和管理。 安全域劃分的意義 ? 降低整體風(fēng)險(xiǎn) —— 各域邊界是風(fēng)險(xiǎn)控制點(diǎn)，具備縱深防御機(jī)制 ；安全域的劃分，可以更好的控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，降低系統(tǒng)風(fēng)險(xiǎn)。 ? 更易部署新業(yè)務(wù) —— 安全域是安全技術(shù)和業(yè)務(wù)擴(kuò)展部署的依據(jù) ；安全域的劃分，可以指導(dǎo)系統(tǒng)的安全規(guī)劃，設(shè)計(jì)，入網(wǎng)和驗(yàn)收工作。 ? IT 內(nèi)控的實(shí)效性增強(qiáng) —— 各域威 脅、防護(hù)等級(jí)和防護(hù)對(duì)策更清晰 ；安全域的劃分，可以 指導(dǎo)安全措施的制定和實(shí)施，可以 更好的利用系統(tǒng)安全措施，發(fā)揮安全設(shè)備的利用率。 ? 安全狀況有利于被監(jiān)控和評(píng)價(jià) —— 各個(gè)區(qū)域的防護(hù)策略成體系 ；可以在運(yùn)行維護(hù)階段監(jiān)控系統(tǒng)的全局風(fēng)險(xiǎn)，而非局部或單一風(fēng)險(xiǎn)，并提供檢查審核依據(jù)。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 6 遵循的標(biāo)準(zhǔn)和規(guī)范 主要參考標(biāo)準(zhǔn)： ? 《信息保障技術(shù)框架 》（ IATF） 美國(guó)國(guó)家安全局 ? 《信息系統(tǒng)安全管理指南》（ ISO 13335） 國(guó)際標(biāo)準(zhǔn)化組織 ? 《信息安全風(fēng)險(xiǎn)評(píng)估指南》（國(guó)標(biāo)審議稿）中華人民共和國(guó)質(zhì)監(jiān)總局 其它參考標(biāo)準(zhǔn) ： ? AS/NZS 4360: 1999 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) ? ISO/IEC 17799:2021 /BS7799 Part 1 ? ISO/IEC 27001:2021 /BS7799 Part 2 ? ISO/IEC 15408（ CC） ? GB178591999 ? 等級(jí)保護(hù)實(shí)施意見(jiàn)（公通字 [2021]66 號(hào)） ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 GB 17859 ? 銀監(jiān)會(huì) 63 號(hào)文《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 7 第 2章 安全域理論 安全域簡(jiǎn)介 安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子 網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。 相對(duì)以上安全域的定義， 廣義的安全域概念是指：具有相同和相似的安全要求和策略的 IT 要素的集合。這些 IT 要素包括但不僅限于： ? 物理環(huán)境 ? 策略和流程 ? 業(yè)務(wù)和使命 ? 人和組織 ? 網(wǎng)絡(luò)區(qū)域 ? 主機(jī)和系統(tǒng) ? ?? 安全域劃分作用 ? 理順系統(tǒng)架構(gòu) 進(jìn)行安全域劃分可以幫助理順網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清晰，從而更便于進(jìn)行運(yùn)行維護(hù)和各類(lèi)安全防護(hù)的設(shè)計(jì)。 ? 簡(jiǎn)化復(fù)雜度 基于安全域的保護(hù)實(shí)際上是一種工程方法，它極大的簡(jiǎn)化了系統(tǒng)的防護(hù)復(fù)雜度：由于屬于同一安全域的信息資產(chǎn)具 備相同的 IT 要素，因此可以針對(duì)安全域而不是信息資產(chǎn)來(lái)進(jìn)行防護(hù)，這樣會(huì)比基于資產(chǎn)的等級(jí)保護(hù)更易實(shí)施； ? 降低投資 由于安全域?qū)⒕邆渫瑯?IT 特征的信息資產(chǎn)集合在一起，因此在防護(hù)時(shí)可以采用公共的防護(hù)措施而不需要針對(duì)每個(gè)資產(chǎn)進(jìn)行各自的防護(hù)，這樣可以有效減少 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 8 重復(fù)投資； 同時(shí)在進(jìn)行安全域劃分后，信息系統(tǒng)和信息資產(chǎn)將分出不同的防護(hù)等級(jí)，根據(jù)等級(jí)進(jìn)行安全防護(hù)能夠提高組織在安全投資上的 ROI（投資回報(bào)率）。 ? 提供依據(jù) 組織內(nèi)進(jìn)行了安全域的設(shè)計(jì)和劃分，便于組織發(fā)現(xiàn)現(xiàn)有信息系統(tǒng)的缺陷和不足，并為今后進(jìn)行系統(tǒng)改造和新系統(tǒng)的設(shè)計(jì)提供 相關(guān)依據(jù)，也簡(jiǎn)化了新系統(tǒng)上線安全防護(hù)的設(shè)計(jì)過(guò)程。 特別是針對(duì)組織的分支機(jī)構(gòu)，安全域劃分的方案也有利于協(xié)助他們進(jìn)行系統(tǒng)安全規(guī)劃和防護(hù)，從而進(jìn)行規(guī)范的、有效的安全建設(shè)工作。 安全域劃分原則 ? 業(yè)務(wù)保障原則 安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。 信息安全服務(wù)所強(qiáng)調(diào)的核心思想是應(yīng)該從客戶(hù)（業(yè)務(wù)）而不是 IT 服務(wù)提供方（技術(shù)）的角度理解 IT 服務(wù)需求。也就是說(shuō)，在提供 IT 服務(wù)的時(shí)候，我們首先應(yīng)該考慮業(yè)務(wù)需求，根據(jù)業(yè)務(wù)需求來(lái)確定 IT 需求包括安全需求 。 在安全域劃分時(shí)會(huì)面臨有些業(yè)務(wù)緊密相連，但是根據(jù)安全要求（信息密級(jí)要求，訪問(wèn)應(yīng)用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務(wù)按安全域的要求強(qiáng)性劃分，還是合并安全域以滿足業(yè)務(wù)要求？必須綜合考慮業(yè)務(wù)隔離的難度和合并安全域的風(fēng)險(xiǎn)（會(huì)出現(xiàn)有些資產(chǎn)保護(hù)級(jí)別不夠），從而給出合適的安全域劃分。 ? 等級(jí)保護(hù)原則 根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以及考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素，將其劃為不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施，以保障業(yè)務(wù)支撐的網(wǎng)絡(luò)和信息安全。 安全域的劃分要做到每個(gè)安全域的信息 資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等。 安全域所涉及應(yīng)用和資產(chǎn)的價(jià)值越高，面臨的威脅越大，那么它的安全保護(hù)等級(jí)也就越高。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 9 本文檔定義了不同等級(jí)的安全域，對(duì)這些安全域的等級(jí)保護(hù)從業(yè)務(wù)數(shù)據(jù)流角度來(lái)看，要求高等級(jí)安全域允許向低等級(jí)安全域發(fā)起業(yè)務(wù)訪問(wèn)的請(qǐng)求，保證發(fā)送數(shù)據(jù)的機(jī)密性，鑒別低等級(jí)安全域的合法性，對(duì)接受的數(shù)據(jù)進(jìn)行完整性校驗(yàn)，對(duì)業(yè)務(wù)操作進(jìn)行日志記錄與審計(jì)；低等級(jí)安全域向高等級(jí)安全域只允許受限訪問(wèn)，保證發(fā)送數(shù)據(jù)的完整性，對(duì)業(yè)務(wù)操作進(jìn)行日志記錄與審計(jì)。在基于等級(jí)保護(hù)原則同時(shí)遵循策略最大化原則 。 ? 深度防御原則 根據(jù)網(wǎng)絡(luò)應(yīng)用訪問(wèn)的順序，逐層進(jìn)行防御，保護(hù)核心應(yīng)用的安全。 安全域的主要對(duì)象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等層次；同時(shí)，在部署安全域防護(hù)體系的時(shí)候，要綜合運(yùn)用身份鑒別、訪問(wèn)控制、檢測(cè)審計(jì)、鏈路冗余、內(nèi)容檢測(cè)等各種安全功能實(shí)現(xiàn)協(xié)防。 ? 結(jié)構(gòu)簡(jiǎn)化原則 安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。安全域劃分不宜過(guò)于復(fù)雜。 ? 生命周期原則 對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變 化；另外，在安全域的建設(shè)和調(diào)整過(guò)程中要考慮工程化的管理。 ? 安全最大化原則 針對(duì)業(yè)務(wù)系統(tǒng)可能跨越多個(gè)安全域的情況，對(duì)該業(yè)務(wù)系統(tǒng)的安全防護(hù)必須要使該系統(tǒng)在全局上達(dá)到要求的安全等級(jí)，即實(shí)現(xiàn)安全的最大化防護(hù)，同時(shí)滿足多個(gè)安全域的保護(hù)策略。 ? 可擴(kuò)展性原則 當(dāng)有新的業(yè)務(wù)系統(tǒng)需要接入業(yè)務(wù)支撐網(wǎng)時(shí)，按照等級(jí)保護(hù)、對(duì)端可信度等原則將其分別劃分至不同安全等級(jí)域的各個(gè)子域。 邊界防護(hù)的原則 根據(jù)本文檔提出安全域劃分原則及相關(guān)標(biāo)準(zhǔn)，在不同安全等級(jí)的域間進(jìn)行數(shù)據(jù)互訪必須遵循以下防護(hù)原則： 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 10 ? 歸并系統(tǒng)接入 存在邊界不清、連接混亂的實(shí)際問(wèn) 題時(shí)，只有在保證支撐系統(tǒng)的各種互聯(lián)需求的有效提供的前提下對(duì)安全域的邊界進(jìn)行合理的整合，對(duì)系統(tǒng)接入的進(jìn)行有效的整理和歸并，減少接入數(shù)量，提高系統(tǒng)接入的規(guī)范性，才能做到“重點(diǎn)防護(hù)、重兵把守”，達(dá)到事半功倍的效果。 ? 最小授權(quán)原則 安全子域間的防護(hù)需要按照安全最小授權(quán)原則，依據(jù)“缺省拒絕”的方式制定防護(hù)策略。防護(hù)策略在身份鑒別的基礎(chǔ)上，只授權(quán)開(kāi)放必要的訪問(wèn)權(quán)限，并保證數(shù)據(jù)安全的完整性、機(jī)密性、可用性。 ? 業(yè)務(wù)相關(guān)性原則 對(duì)安全子域的安全防護(hù)要充分考慮該子域的業(yè)務(wù)特點(diǎn)，在保證業(yè)務(wù)正常運(yùn)行、保證效率的情況下分別設(shè)置相應(yīng)的 安全防護(hù)策略。 如果子域之間的業(yè)務(wù)關(guān)聯(lián)性、互訪信任度、數(shù)據(jù)流量、訪問(wèn)頻度等較低，通常情況下沒(méi)有數(shù)據(jù)互訪的業(yè)務(wù)需求，因此安全防護(hù)策略非常嚴(yán)格，原則上不允許數(shù)據(jù)互訪。如果子域之間互訪信任度、數(shù)據(jù)流量、訪問(wèn)頻度等比較高，通常情況下業(yè)務(wù)關(guān)系比較緊密，安全防護(hù)策略可以較為寬松，通常允許受限的信任互訪。 ? 策略最大化原則 本文檔針對(duì)各域分別制定了多項(xiàng)防護(hù)策略。核心域防護(hù)包括核心域與接入域邊界和核心域各子域之間的防護(hù)，接入域防護(hù)包括接入域內(nèi)部邊界和外部邊界的防護(hù)，當(dāng)存在多項(xiàng)不同安全策略時(shí)，安全域防護(hù)策略包含這些策略的合集， 并選取最嚴(yán)格的防護(hù)策略，安全域的防護(hù)必須遵循策略最大化原則。 安全域劃分步驟 依據(jù) IATF 劃分安全域主要分為以下幾個(gè)步驟： ? 總體規(guī)劃 定義出需要?jiǎng)澐值姆秶澐值膶哟魏图?jí)別。 ? 分析信息系統(tǒng) 分析信息系統(tǒng)的應(yīng)用需求、安全需求和主要威脅。 ? 確定信息子系統(tǒng)等級(jí) 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 11 從資產(chǎn)價(jià)值、資產(chǎn)脆弱性和所受威脅三點(diǎn)加以確認(rèn)。 ? 選擇防護(hù)措施 根據(jù)安全需求確定防護(hù)級(jí)別，根據(jù)威脅選擇措施種類(lèi)，以應(yīng)用需求驗(yàn)證防護(hù)措施的可行性。 規(guī)劃規(guī)程要充分結(jié)合實(shí)際，實(shí)際工作流程如下： 圖 1. 安全域規(guī)劃步驟 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 12 第 3章 安全域規(guī)劃設(shè)計(jì)方案 安全域劃分 背景分析 由 于本次 安全域劃分是在現(xiàn)有信息系統(tǒng)上進(jìn)行，因此必然受到現(xiàn) 有系統(tǒng)的制約 ，無(wú)論是從遷移復(fù)雜度還是割接成本考慮，均不宜進(jìn)行翻天覆地的改動(dòng)。 因此，安全域劃分的原則應(yīng)是：結(jié)合實(shí)際，參考國(guó)內(nèi)外標(biāo)準(zhǔn)，逐步優(yōu)化，劃分方法參照 IATF 的行為域劃分法。 IATF安全域理論 IATF 是美國(guó)國(guó)防部和國(guó)家安全局制定的《信息保障技術(shù)框架》。 IATF 在劃分安全域的時(shí)候主要按照信息系統(tǒng)的行為來(lái)進(jìn)行，由于具備不同行為的信息系統(tǒng)遭遇的安全威脅不同，因此實(shí)際劃分的時(shí)候可以對(duì)每個(gè)信息系統(tǒng)進(jìn)行分析，通過(guò)行為需求和安全需求共同分析出該子系統(tǒng)應(yīng)該屬于哪 個(gè)安全域。 IATF 提出的安全域劃分如下： 圖 2. IATF 安全域劃分圖 如上圖所示， IATF 中將信息系統(tǒng)劃分為四個(gè)根級(jí)節(jié)點(diǎn)域：邊界接入域、計(jì)算環(huán)境域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施域和支撐性設(shè)施域。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 13 安全域總體架構(gòu) 總體架構(gòu) 如下圖所示：安全域的劃分在根級(jí)節(jié)點(diǎn)上參照 IATF，并在每個(gè)域中繼續(xù)進(jìn)行細(xì)分。 圖 3. 安全域總體框架圖 本次建議的劃分方法是立體的，即：各個(gè)域之間不是簡(jiǎn)單的相交或隔離關(guān)系，而是在網(wǎng)絡(luò)和管理上有不同的層次。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域是所有域的基礎(chǔ)，包括所有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通訊支撐設(shè)施，網(wǎng)絡(luò)基礎(chǔ)設(shè)施域分為骨干區(qū)、匯集區(qū)和 接入?yún)^(qū)。 支撐性設(shè)施域是其他上層域需要公共使用的部分，主要包括：網(wǎng)絡(luò)管理中心、安全管理中心、業(yè)務(wù)操作監(jiān)控中心等。 計(jì)算環(huán)境域主要是各類(lèi)的服務(wù)器、數(shù)據(jù)庫(kù)等，主要分為一般服務(wù)區(qū)、重要服務(wù)區(qū)和核心區(qū)。 邊界接入域是各類(lèi)接入的設(shè)備和終端 以及業(yè)務(wù)系統(tǒng)邊界 ，按照接入類(lèi)型分 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 14 為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。 圖 4. 安全域立體結(jié)構(gòu)圖 多層次體系 根據(jù) XXXXX的情況和安全域的劃分原則和劃分方法， 域是本次安全域劃分的第一層結(jié)構(gòu)，劃分的原則是業(yè)務(wù)行為。 XXXXX安全域總體設(shè)計(jì)計(jì)劃劃分為 4個(gè)域，分別是邊界接入域 、網(wǎng)絡(luò)設(shè)施域、計(jì)算環(huán)境域、支撐設(shè)施域。 區(qū)是本次安全域劃分的第二層結(jié)構(gòu)，劃分的原則是威脅的等級(jí)和類(lèi)型，設(shè)計(jì)中擬 細(xì)化為 13個(gè)區(qū)，包括邊界 接入域的 4個(gè)區(qū)：互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部網(wǎng)接入?yún)^(qū)；網(wǎng)絡(luò)設(shè)施域的 3個(gè)區(qū)：網(wǎng)絡(luò)骨干區(qū)、網(wǎng)絡(luò)匯集區(qū)、網(wǎng)絡(luò)接入?yún)^(qū)；計(jì)算環(huán)境域的 3個(gè)區(qū)：核心計(jì)算去、重要服務(wù)區(qū)、一般服務(wù)區(qū)；支撐設(shè)施域的 3個(gè)區(qū)：網(wǎng)絡(luò)管理區(qū)、安全管理區(qū)和監(jiān)控操作區(qū)。 根據(jù) 遭遇的威脅也不同，劃分在不同的域?qū)嵤┎煌姆雷o(hù)有利于降低防護(hù)成本。 單元是本次安全域劃分的第三層結(jié)構(gòu)，劃分的原則是功能。 其中除了網(wǎng)絡(luò)設(shè)施域之外，其余 3個(gè)