【文章內(nèi)容簡介】 .......................68 作用保障 ...........................................................................................................................70 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 5 第 1章 前言 項目概述 本文對安全劃分的方法和原則進行了簡單的介紹，并結(jié)合 XXXXX 的實際情況，提出了安全域劃分的初步建議，同時也結(jié)合了 XXXXX 的業(yè)務系統(tǒng)，對三個典型信息系統(tǒng)進行了安全域劃分的初步探討。 本安全域技術(shù)方案主要解決以下問題： （ 1） 劃分安全域： XXXXX 信息系統(tǒng)如何劃分安全域、安全域規(guī)劃與擴展以及如何對安全域進行保護。 （ 2） 網(wǎng)絡邊界整合：通過網(wǎng)絡調(diào)整實現(xiàn)安全域邊 界的整合。包括：業(yè)務系統(tǒng)各子系統(tǒng)的接入、外聯(lián)系統(tǒng)接入，內(nèi)部辦公接入、遠程維護接入等。 （ 3） 部署安全產(chǎn)品：對防火墻、 IDS、網(wǎng)絡審計、桌面管理、防病毒以及控制端在復雜網(wǎng)絡下跨域、跨 VLAN 的部署。 （ 4） 風險集中監(jiān)控：按區(qū)域的集中監(jiān)控和管理。 安全域劃分的意義 ? 降低整體風險 —— 各域邊界是風險控制點，具備縱深防御機制 ；安全域的劃分，可以更好的控制網(wǎng)絡安全風險，降低系統(tǒng)風險。 ? 更易部署新業(yè)務 —— 安全域是安全技術(shù)和業(yè)務擴展部署的依據(jù) ；安全域的劃分，可以指導系統(tǒng)的安全規(guī)劃，設計，入網(wǎng)和驗收工作。 ? IT 內(nèi)控的實效性增強 —— 各域威 脅、防護等級和防護對策更清晰 ；安全域的劃分，可以 指導安全措施的制定和實施，可以 更好的利用系統(tǒng)安全措施，發(fā)揮安全設備的利用率。 ? 安全狀況有利于被監(jiān)控和評價 —— 各個區(qū)域的防護策略成體系 ；可以在運行維護階段監(jiān)控系統(tǒng)的全局風險，而非局部或單一風險，并提供檢查審核依據(jù)。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 6 遵循的標準和規(guī)范 主要參考標準： ? 《信息保障技術(shù)框架 》（ IATF） 美國國家安全局 ? 《信息系統(tǒng)安全管理指南》（ ISO 13335） 國際標準化組織 ? 《信息安全風險評估指南》（國標審議稿）中華人民共和國質(zhì)監(jiān)總局 其它參考標準 ： ? AS/NZS 4360: 1999 風險管理標準 ? ISO/IEC 17799:2021 /BS7799 Part 1 ? ISO/IEC 27001:2021 /BS7799 Part 2 ? ISO/IEC 15408（ CC） ? GB178591999 ? 等級保護實施意見（公通字 [2021]66 號） ? 《計算機信息系統(tǒng)安全保護等級劃分準則》 GB 17859 ? 銀監(jiān)會 63 號文《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 7 第 2章 安全域理論 安全域簡介 安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子 網(wǎng)或網(wǎng)絡，且相同的網(wǎng)絡安全域共享一樣的安全策略。 相對以上安全域的定義， 廣義的安全域概念是指：具有相同和相似的安全要求和策略的 IT 要素的集合。這些 IT 要素包括但不僅限于： ? 物理環(huán)境 ? 策略和流程 ? 業(yè)務和使命 ? 人和組織 ? 網(wǎng)絡區(qū)域 ? 主機和系統(tǒng) ? ?? 安全域劃分作用 ? 理順系統(tǒng)架構(gòu) 進行安全域劃分可以幫助理順網(wǎng)絡和應用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清晰，從而更便于進行運行維護和各類安全防護的設計。 ? 簡化復雜度 基于安全域的保護實際上是一種工程方法，它極大的簡化了系統(tǒng)的防護復雜度：由于屬于同一安全域的信息資產(chǎn)具 備相同的 IT 要素，因此可以針對安全域而不是信息資產(chǎn)來進行防護，這樣會比基于資產(chǎn)的等級保護更易實施； ? 降低投資 由于安全域?qū)⒕邆渫瑯?IT 特征的信息資產(chǎn)集合在一起，因此在防護時可以采用公共的防護措施而不需要針對每個資產(chǎn)進行各自的防護，這樣可以有效減少 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 8 重復投資； 同時在進行安全域劃分后，信息系統(tǒng)和信息資產(chǎn)將分出不同的防護等級，根據(jù)等級進行安全防護能夠提高組織在安全投資上的 ROI（投資回報率）。 ? 提供依據(jù) 組織內(nèi)進行了安全域的設計和劃分，便于組織發(fā)現(xiàn)現(xiàn)有信息系統(tǒng)的缺陷和不足，并為今后進行系統(tǒng)改造和新系統(tǒng)的設計提供 相關依據(jù)，也簡化了新系統(tǒng)上線安全防護的設計過程。 特別是針對組織的分支機構(gòu)，安全域劃分的方案也有利于協(xié)助他們進行系統(tǒng)安全規(guī)劃和防護，從而進行規(guī)范的、有效的安全建設工作。 安全域劃分原則 ? 業(yè)務保障原則 安全域方法的根本目標是能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率。 信息安全服務所強調(diào)的核心思想是應該從客戶（業(yè)務）而不是 IT 服務提供方（技術(shù)）的角度理解 IT 服務需求。也就是說，在提供 IT 服務的時候，我們首先應該考慮業(yè)務需求，根據(jù)業(yè)務需求來確定 IT 需求包括安全需求 。 在安全域劃分時會面臨有些業(yè)務緊密相連，但是根據(jù)安全要求（信息密級要求，訪問應用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務按安全域的要求強性劃分，還是合并安全域以滿足業(yè)務要求？必須綜合考慮業(yè)務隔離的難度和合并安全域的風險（會出現(xiàn)有些資產(chǎn)保護級別不夠），從而給出合適的安全域劃分。 ? 等級保護原則 根據(jù)安全域在業(yè)務支撐系統(tǒng)中的重要程度以及考慮風險威脅、安全需求、安全成本等因素，將其劃為不同的安全保護等級并采取相應的安全保護技術(shù)、管理措施，以保障業(yè)務支撐的網(wǎng)絡和信息安全。 安全域的劃分要做到每個安全域的信息 資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。 安全域所涉及應用和資產(chǎn)的價值越高，面臨的威脅越大，那么它的安全保護等級也就越高。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 9 本文檔定義了不同等級的安全域，對這些安全域的等級保護從業(yè)務數(shù)據(jù)流角度來看，要求高等級安全域允許向低等級安全域發(fā)起業(yè)務訪問的請求，保證發(fā)送數(shù)據(jù)的機密性，鑒別低等級安全域的合法性，對接受的數(shù)據(jù)進行完整性校驗，對業(yè)務操作進行日志記錄與審計；低等級安全域向高等級安全域只允許受限訪問，保證發(fā)送數(shù)據(jù)的完整性，對業(yè)務操作進行日志記錄與審計。在基于等級保護原則同時遵循策略最大化原則 。 ? 深度防御原則 根據(jù)網(wǎng)絡應用訪問的順序，逐層進行防御，保護核心應用的安全。 安全域的主要對象是網(wǎng)絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路、網(wǎng)絡、主機系統(tǒng)、應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別、訪問控制、檢測審計、鏈路冗余、內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防。 ? 結(jié)構(gòu)簡化原則 安全域劃分的直接目的和效果是要將整個網(wǎng)絡變得更加簡單，簡單的網(wǎng)絡結(jié)構(gòu)便于設計防護體系。安全域劃分不宜過于復雜。 ? 生命周期原則 對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮不斷的變 化；另外，在安全域的建設和調(diào)整過程中要考慮工程化的管理。 ? 安全最大化原則 針對業(yè)務系統(tǒng)可能跨越多個安全域的情況，對該業(yè)務系統(tǒng)的安全防護必須要使該系統(tǒng)在全局上達到要求的安全等級，即實現(xiàn)安全的最大化防護，同時滿足多個安全域的保護策略。 ? 可擴展性原則 當有新的業(yè)務系統(tǒng)需要接入業(yè)務支撐網(wǎng)時，按照等級保護、對端可信度等原則將其分別劃分至不同安全等級域的各個子域。 邊界防護的原則 根據(jù)本文檔提出安全域劃分原則及相關標準，在不同安全等級的域間進行數(shù)據(jù)互訪必須遵循以下防護原則： 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 10 ? 歸并系統(tǒng)接入 存在邊界不清、連接混亂的實際問 題時，只有在保證支撐系統(tǒng)的各種互聯(lián)需求的有效提供的前提下對安全域的邊界進行合理的整合，對系統(tǒng)接入的進行有效的整理和歸并，減少接入數(shù)量，提高系統(tǒng)接入的規(guī)范性，才能做到“重點防護、重兵把守”，達到事半功倍的效果。 ? 最小授權(quán)原則 安全子域間的防護需要按照安全最小授權(quán)原則，依據(jù)“缺省拒絕”的方式制定防護策略。防護策略在身份鑒別的基礎上，只授權(quán)開放必要的訪問權(quán)限，并保證數(shù)據(jù)安全的完整性、機密性、可用性。 ? 業(yè)務相關性原則 對安全子域的安全防護要充分考慮該子域的業(yè)務特點，在保證業(yè)務正常運行、保證效率的情況下分別設置相應的 安全防護策略。 如果子域之間的業(yè)務關聯(lián)性、互訪信任度、數(shù)據(jù)流量、訪問頻度等較低，通常情況下沒有數(shù)據(jù)互訪的業(yè)務需求，因此安全防護策略非常嚴格，原則上不允許數(shù)據(jù)互訪。如果子域之間互訪信任度、數(shù)據(jù)流量、訪問頻度等比較高，通常情況下業(yè)務關系比較緊密，安全防護策略可以較為寬松，通常允許受限的信任互訪。 ? 策略最大化原則 本文檔針對各域分別制定了多項防護策略。核心域防護包括核心域與接入域邊界和核心域各子域之間的防護，接入域防護包括接入域內(nèi)部邊界和外部邊界的防護，當存在多項不同安全策略時，安全域防護策略包含這些策略的合集， 并選取最嚴格的防護策略，安全域的防護必須遵循策略最大化原則。 安全域劃分步驟 依據(jù) IATF 劃分安全域主要分為以下幾個步驟： ? 總體規(guī)劃 定義出需要劃分的范圍、劃分的層次和級別。 ? 分析信息系統(tǒng) 分析信息系統(tǒng)的應用需求、安全需求和主要威脅。 ? 確定信息子系統(tǒng)等級 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 11 從資產(chǎn)價值、資產(chǎn)脆弱性和所受威脅三點加以確認。 ? 選擇防護措施 根據(jù)安全需求確定防護級別，根據(jù)威脅選擇措施種類，以應用需求驗證防護措施的可行性。 規(guī)劃規(guī)程要充分結(jié)合實際，實際工作流程如下： 圖 1. 安全域規(guī)劃步驟 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 12 第 3章 安全域規(guī)劃設計方案 安全域劃分 背景分析 由 于本次 安全域劃分是在現(xiàn)有信息系統(tǒng)上進行，因此必然受到現(xiàn) 有系統(tǒng)的制約 ，無論是從遷移復雜度還是割接成本考慮，均不宜進行翻天覆地的改動。 因此，安全域劃分的原則應是：結(jié)合實際，參考國內(nèi)外標準，逐步優(yōu)化，劃分方法參照 IATF 的行為域劃分法。 IATF安全域理論 IATF 是美國國防部和國家安全局制定的《信息保障技術(shù)框架》。 IATF 在劃分安全域的時候主要按照信息系統(tǒng)的行為來進行，由于具備不同行為的信息系統(tǒng)遭遇的安全威脅不同，因此實際劃分的時候可以對每個信息系統(tǒng)進行分析，通過行為需求和安全需求共同分析出該子系統(tǒng)應該屬于哪 個安全域。 IATF 提出的安全域劃分如下： 圖 2. IATF 安全域劃分圖 如上圖所示， IATF 中將信息系統(tǒng)劃分為四個根級節(jié)點域：邊界接入域、計算環(huán)境域、網(wǎng)絡基礎設施域和支撐性設施域。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 13 安全域總體架構(gòu) 總體架構(gòu) 如下圖所示：安全域的劃分在根級節(jié)點上參照 IATF，并在每個域中繼續(xù)進行細分。 圖 3. 安全域總體框架圖 本次建議的劃分方法是立體的，即：各個域之間不是簡單的相交或隔離關系，而是在網(wǎng)絡和管理上有不同的層次。 網(wǎng)絡基礎設施域是所有域的基礎，包括所有的網(wǎng)絡設備和網(wǎng)絡通訊支撐設施，網(wǎng)絡基礎設施域分為骨干區(qū)、匯集區(qū)和 接入?yún)^(qū)。 支撐性設施域是其他上層域需要公共使用的部分，主要包括：網(wǎng)絡管理中心、安全管理中心、業(yè)務操作監(jiān)控中心等。 計算環(huán)境域主要是各類的服務器、數(shù)據(jù)庫等，主要分為一般服務區(qū)、重要服務區(qū)和核心區(qū)。 邊界接入域是各類接入的設備和終端 以及業(yè)務系統(tǒng)邊界 ，按照接入類型分 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 14 為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。 圖 4. 安全域立體結(jié)構(gòu)圖 多層次體系 根據(jù) XXXXX的情況和安全域的劃分原則和劃分方法， 域是本次安全域劃分的第一層結(jié)構(gòu)，劃分的原則是業(yè)務行為。 XXXXX安全域總體設計計劃劃分為 4個域，分別是邊界接入域 、網(wǎng)絡設施域、計算環(huán)境域、支撐設施域。 區(qū)是本次安全域劃分的第二層結(jié)構(gòu)，劃分的原則是威脅的等級和類型，設計中擬 細化為 13個區(qū)，包括邊界 接入域的 4個區(qū)：互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部網(wǎng)接入?yún)^(qū)；網(wǎng)絡設施域的 3個區(qū)：網(wǎng)絡骨干區(qū)、網(wǎng)絡匯集區(qū)、網(wǎng)絡接入?yún)^(qū)；計算環(huán)境域的 3個區(qū)：核心計算去、重要服務區(qū)、一般服務區(qū)；支撐設施域的 3個區(qū)：網(wǎng)絡管理區(qū)、安全管理區(qū)和監(jiān)控操作區(qū)。 根據(jù) 遭遇的威脅也不同，劃分在不同的域?qū)嵤┎煌姆雷o有利于降低防護成本。 單元是本次安全域劃分的第三層結(jié)構(gòu)，劃分的原則是功能。 其中除了網(wǎng)絡設施域之外，其余 3個