【導(dǎo)讀】薀蟻?lái)财P螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆芄蝿羃肂芃蒈螆羈節(jié)薁羈襖莁蚃螄膃莀莃罿聿荿蒅螂羅莈蚇羈羈莈螀袁艿莇葿蚃膅莆薂衿肁蒞蚄螞羇蒄莄袇袃蒃蒆蝕膂蒂薈裊膈蒂螀蚈肄蒁蒀羄羀蒀薂螇羋葿蚅膄蒈螇螅肀薇蕆羀羆膄蕿螃袂膃蟻罿芁膂蒁螁膇膁薃肇肅膀蚆袀罿腿螈螞芇腿蒈袈膃羋薀蟻?lái)财P螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆芄蝿羃肂芃蒈螆羈節(jié)薁羈襖莁蚃螄膃莀莃罿聿荿蒅螂羅莈蚇羈羈莈螀袁艿莇葿蚃膅莆薂衿肁蒞蚄螞羇蒄莄袇袃蒃蒆蝕膂蒂薈裊膈蒂螀蚈肄蒁蒀羄羀蒀薂螇羋葿蚅膄蒈螇螅肀薇蕆羀羆膄蕿螃袂膃蟻罿芁膂蒁螁膇膁薃肇肅膀蚆袀罿腿螈螞芇腿蒈袈膃羋薀蟻?lái)财P螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆芄蝿羃肂芃蒈螆羈節(jié)薁羈襖莁蚃螄膃莀莃罿聿荿蒅螂羅莈蚇羈羈莈螀袁艿莇葿蚃膅莆薂衿肁蒞蚄螞羇蒄莄袇袃蒃蒆蝕膂蒂薈裊膈蒂螀蚈肄蒁蒀羄羀蒀薂螇羋葿蚅膄蒈螇螅肀薇蕆羀羆膄蕿螃袂膃蟻罿芁膂蒁螁膇膁薃肇肅膀蚆袀罿腿螈螞芇腿蒈袈膃羋薀蟻?lái)财P螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆

　　

【正文】 機(jī)構(gòu) 的角度考慮。將自己的網(wǎng)絡(luò)和系統(tǒng)看成內(nèi)部網(wǎng)絡(luò)，將所有的其他網(wǎng)絡(luò)都作為不可信的網(wǎng)絡(luò)來(lái)看待；將自己看成中心，然后基于這個(gè)觀點(diǎn)進(jìn)行整個(gè)系統(tǒng)的分析和安全部署。隨著安全區(qū)域方法的發(fā)展，發(fā)現(xiàn)這樣的方法難于構(gòu)建全局的安全體系，局部的設(shè)計(jì)和實(shí)施經(jīng)驗(yàn)也難于推廣到全局，也難于借鑒。 “同構(gòu)性簡(jiǎn)化”的安全域劃分方法，其基本思路是認(rèn)為一個(gè)復(fù)雜的網(wǎng)絡(luò)應(yīng)當(dāng)是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些進(jìn)行拼接、遞歸等方式構(gòu)造出一個(gè)大的網(wǎng)絡(luò)?！?3+1 同構(gòu)性簡(jiǎn)化”的安全域方法是用一種 3+1 的網(wǎng)絡(luò)結(jié)構(gòu)元來(lái)分析 深圳 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 18 市 **公司 網(wǎng)絡(luò) 的系統(tǒng)。（注：除了 3+1 構(gòu) 造之外，還存在其他形式的構(gòu)造。）具體來(lái)說(shuō) 深圳市 **公司 的承載網(wǎng)絡(luò)和支撐系統(tǒng)按照其維護(hù)數(shù)據(jù)的分類(lèi)可以分為安全服務(wù)域、安全接入域、安全互聯(lián)域以及安全支撐域四類(lèi)。在此基礎(chǔ)上確定不同區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)。同一區(qū)域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)，如進(jìn)出信息保護(hù)機(jī)制，訪問(wèn)控制，物理安全特性等。 安全互聯(lián)域 連接傳輸共同數(shù)據(jù)的安全服務(wù)域和安全接入域組成的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成了安全互聯(lián)域。安全互聯(lián)域的安全等級(jí)的確定與網(wǎng)絡(luò)所連接的安全接入域和安全服務(wù)域的安全等級(jí)有關(guān)。 當(dāng)一個(gè)網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有單一安全級(jí)別時(shí)， 該安全互聯(lián)域的安全等級(jí)應(yīng)與該安全等級(jí)相同； 當(dāng)一個(gè)網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有多安全級(jí)別時(shí)，應(yīng)盡量組成不同安全等級(jí)的安全互聯(lián)域，為這些安全服務(wù)域和安全接入域中的不同安全級(jí)別提供不同的支持；如果確實(shí)無(wú)法分別提供支持，則應(yīng)按這些安全服務(wù)域和安全接入域中的最高安全級(jí)別提供安全支持，組成與最高安全級(jí)別相同安全等級(jí)的安全互聯(lián)域。 主要需要解決的安全問(wèn)題包括：網(wǎng)絡(luò)設(shè)備的強(qiáng)壯性，防止被非法訪問(wèn)；防止網(wǎng)絡(luò)的擁塞；防止線路的嗅探；防止成為惡意代碼傳播和擴(kuò)散的載體等等。 安全互聯(lián)域有時(shí)會(huì)將其他域的邊界融合在本域中，因 此，可能會(huì)以一種平臺(tái)的方式存在。安全互聯(lián)域由于主要起到承載作用，應(yīng)當(dāng)以通為主、以隔為輔?；谶@樣的防護(hù)原則，其中主要采用的安全措施包括：路由器本身的路由和過(guò)濾功能；交換機(jī)的 ACL 功能；線路的監(jiān)測(cè)功能。在骨干上建議只監(jiān)控流量，在接入端可以考慮監(jiān)控入侵行為等等。 安全接入域 由訪問(wèn)同類(lèi)數(shù)據(jù)的用戶終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以用戶所 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 19 能訪問(wèn)的安全服務(wù)域中的數(shù)據(jù)類(lèi)和用戶計(jì)算機(jī)所處的物理位置來(lái)確定。 安全接入域的安全防護(hù)等級(jí)與其所能訪問(wèn)的安全服務(wù)域的安全等級(jí)有關(guān)。當(dāng)一個(gè)安全接入域中的終端能訪問(wèn)多個(gè)安全服務(wù)域 時(shí)，該安全接入域的安全防護(hù)等級(jí)應(yīng)與這些安全服務(wù)域的最高安全等級(jí)相同。 安全接入域應(yīng)有明確的邊界，以便于進(jìn)行保護(hù)。 主要需要解決的安全問(wèn)題包括：用戶主體的信任問(wèn)題，也就是對(duì)于用戶的身份認(rèn)證；客戶端主機(jī)的信任問(wèn)題，也就是客戶端是否被感染和侵占；安全接入域內(nèi)，主機(jī)（包括客戶端）之間的互相感染和影響；安全接入域內(nèi)，一個(gè)客戶端對(duì)于另外一些客戶端的攻擊和嗅探；安全接入域內(nèi)，各個(gè)用戶之間的混淆，導(dǎo)致非授權(quán)操作；安全接入域內(nèi)的用戶和客戶端突破域的邊界安全規(guī)則等等。 針對(duì)上述主要問(wèn)題，在安全接入域內(nèi)需要考慮如下一些防護(hù)要點(diǎn)， 包括安全接入域內(nèi)和安全接入域的邊界。 安全接入域內(nèi)的防護(hù)要點(diǎn)： 安全接入域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；進(jìn)而可以部署補(bǔ)丁管理等強(qiáng)制系統(tǒng)。 安全接入域內(nèi)節(jié)點(diǎn)的訪問(wèn)控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問(wèn)控制等；如果需要加強(qiáng)，還可以部署集中身份認(rèn)證系統(tǒng)、一次登錄系統(tǒng) (SSO)等，可以基于 CA 證書(shū)、或者口令卡等； 安全接入域內(nèi)節(jié)點(diǎn)的防病毒；安全域內(nèi)的主機(jī)都應(yīng)當(dāng)部署防病毒系統(tǒng)，可以考慮部署對(duì)于客戶端的強(qiáng)制防病毒軟件安裝和強(qiáng)制升級(jí)和更新。 安全接入域內(nèi)節(jié)點(diǎn)的防入侵；可以在客戶端部署單機(jī) 防入侵系統(tǒng)。 安全接入域內(nèi)可以根據(jù)用戶主體的分類(lèi)，分成子域。對(duì)于非常不可信的用戶和客戶端，可以重點(diǎn)部署流量監(jiān)控，以便能夠最快地發(fā)現(xiàn)可能出現(xiàn)的蠕蟲(chóng)傳播和拒絕服務(wù)攻擊。 安全接入域內(nèi)如果根據(jù)用戶所操作業(yè)務(wù)分類(lèi)進(jìn)行子域劃分，可以針對(duì)不同的子域進(jìn)行應(yīng)用的監(jiān)控和審計(jì)； 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 20 安全接入域內(nèi)防泄密；監(jiān)控安全接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問(wèn)等。 安全接入域的邊界防護(hù)，主要是要保證從安全接入域到其他域的訪問(wèn)都是由可信的用戶從可信的客戶端上發(fā)起的；同時(shí)還要保證安全接入域不受其 他域的侵害和影響。 安全接入域和其他安全域之間邊界和連線的防護(hù)要點(diǎn)： 安全接入域和內(nèi)部的邊界上需要安全網(wǎng)關(guān)，主要考慮訪問(wèn)控制的要求；這樣的安全網(wǎng)關(guān)可以是路由器、防火墻、交換機(jī)的 ACL 等等。 對(duì)安全接入域邊界上流經(jīng)的數(shù)據(jù)進(jìn)行檢測(cè)，監(jiān)測(cè)內(nèi)容包括：入侵、病毒、蠕蟲(chóng)、流量、應(yīng)用等； 在安全接入域邊界上進(jìn)行惡意代碼防護(hù)； 安全接入域和其他安全域的互聯(lián)方式可能需要加密傳輸， VPN 就是一種常見(jiàn)的方式； 為了防止安全接入域內(nèi)的用戶突破或者繞過(guò)，需要建立防止客戶端非授權(quán)訪問(wèn)的控制系統(tǒng)，如非法外聯(lián)系統(tǒng)可以防止客戶端通過(guò)撥號(hào)、無(wú) 線網(wǎng)卡等方式繞過(guò)邊界防護(hù)； 為了防止安全接入域內(nèi)的用戶互相嗅探并且越權(quán)操作，需要對(duì)用戶和其相應(yīng)的客戶端進(jìn)行分組。比如：對(duì)于用戶分組后劃入不同的 VLAN 就是一種方式等等。 安全服務(wù)域 在局域范圍內(nèi)存儲(chǔ)，傳輸、處理同類(lèi)數(shù)據(jù)，具有相同安全等級(jí)保護(hù)的單一計(jì)算機(jī)（主機(jī) /服務(wù)器）或多個(gè)計(jì)算機(jī)組成了安全服務(wù)域，不同數(shù)據(jù)在計(jì)算機(jī)的上分布情況，是確定安全服務(wù)域的基本依據(jù)。 根據(jù)數(shù)據(jù)分布，可以有以下安全服務(wù)域：?jiǎn)我挥?jì)算機(jī)單一安全級(jí)別服務(wù)域，多計(jì)算機(jī)單一安全級(jí)別服務(wù)域，單一計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域，多計(jì)算機(jī)多安全級(jí)別綜合服務(wù) 域。 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 21 主要需要解決的安全問(wèn)題包括：服務(wù)器被入侵，完整性受到破壞；服務(wù)器被拒絕服務(wù)攻擊；服務(wù)器成為惡意代碼的傳播載體；服務(wù)器成為垃圾的傳播載體等等。 防護(hù)要點(diǎn)：安全服務(wù)域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；安全服務(wù)域內(nèi)節(jié)點(diǎn)的訪問(wèn)控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問(wèn)控制等；訪問(wèn)控制機(jī)制要和安全接入域的鑒別機(jī)制之間相互結(jié)合；安全服務(wù)域內(nèi)節(jié)點(diǎn)的防病毒：特別是基于 windows 平臺(tái)的服務(wù)器；安全服務(wù)域內(nèi)節(jié)點(diǎn)的防入侵；安全服務(wù)域內(nèi)重要鏈路的流量監(jiān)控；安全服務(wù)域內(nèi)業(yè)務(wù)的監(jiān)控和審計(jì)；服務(wù)域內(nèi)防 泄密；安全服務(wù)域內(nèi)一些可能產(chǎn)生或者傳播垃圾的服務(wù)器的防護(hù)，如：郵件服務(wù)器需要部署垃圾郵件過(guò)濾等等。 安全服務(wù)域和其他域之間邊界和連線的防護(hù)要點(diǎn)：安全服務(wù)域邊界上的安全網(wǎng)關(guān)，主要考慮訪問(wèn)控制的要求；安全服務(wù)域邊界上的監(jiān)測(cè)，監(jiān)測(cè)內(nèi)容包括：入侵、病毒、蠕蟲(chóng)、流量、應(yīng)用等；安全服務(wù)域邊界上的惡意代碼防護(hù)；安全服務(wù)域中的服務(wù)器和其他域的服務(wù)器發(fā)生業(yè)務(wù)關(guān)聯(lián)時(shí)，很可能需要考慮加密傳輸?shù)鹊取? 安全支撐域 為整個(gè) IT 架構(gòu)提供集中的安全服務(wù)，進(jìn)行集中的安全管理和監(jiān)控以及響應(yīng)。具體來(lái)說(shuō)可能包括如下內(nèi)容：病毒監(jiān)控中心、認(rèn)證中心、 安全管理中心等。 主要需要解決的安全問(wèn)題包括：安全支撐域要能夠?qū)τ谄渌踩蛱峁┍匾陌踩?；安全支撐域自身不能帶?lái)新的安全風(fēng)險(xiǎn)，要做好自身的防護(hù)。 安全支撐域不同于其他系統(tǒng)的獨(dú)特性在于，安全支撐域會(huì)以代理 Agent 的方式或者提供調(diào)用服務(wù)的方式，插入（ pluginto）到被監(jiān)管的系統(tǒng)中。代理方式比如：業(yè)務(wù)支撐系統(tǒng)會(huì)放置計(jì)費(fèi)前端服務(wù)器在業(yè)務(wù)系統(tǒng)中，安全監(jiān)控系統(tǒng)會(huì)將IDS 等檢測(cè)引擎放置在被監(jiān)控的網(wǎng)絡(luò)中等等；調(diào)用服務(wù)方式比如：認(rèn)證中心提供證書(shū)服務(wù)或者其他認(rèn)證服務(wù)。 為了能夠保證這種插入機(jī)制的正確和安全，要確保 插入的功能對(duì)于被監(jiān)管的 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 22 系統(tǒng)不產(chǎn)生不良的影響；同時(shí)還要確保插入的點(diǎn)不會(huì)使安全支撐域受到被監(jiān)管系統(tǒng)的影響。因此插入點(diǎn)和安全支撐域之間常常需要采用相應(yīng)的安全措施，比如：帶外管理：即插入點(diǎn)到安全支撐域之間建立單獨(dú)的物理鏈路或者 vpn 連接；鏈路加密：插入點(diǎn)和安全支撐域之間的數(shù)據(jù)傳輸和命令傳輸都使用加密傳輸，比如采用 ssl 等；插入點(diǎn)自身安全性：插入點(diǎn)對(duì)于安全支撐域來(lái)說(shuō)屬于域外的飛地，因此對(duì)于插入點(diǎn)要能夠做到比較強(qiáng)的安全性，其產(chǎn)品的安全性可以用 CC 的等級(jí)來(lái)描述。 統(tǒng)一認(rèn)證授權(quán)系統(tǒng)技術(shù)方案 統(tǒng)一 認(rèn)證系統(tǒng)通過(guò)動(dòng)態(tài)口令卡、 PKI 數(shù)字證書(shū)、 IC 卡等多種通用認(rèn)證手段對(duì)用戶進(jìn)行身份驗(yàn)證，是一個(gè)對(duì)企業(yè)內(nèi)部系統(tǒng)及網(wǎng)絡(luò)設(shè)備的各種訪問(wèn)進(jìn)行統(tǒng)一認(rèn)證、授權(quán)、審核的企業(yè)級(jí)認(rèn)證服務(wù)平臺(tái)，能夠確保企業(yè)用戶訪問(wèn)各種資源的安全性，全面的實(shí)施和貫徹用戶制訂的資源訪問(wèn)策略。 根據(jù) 深圳市 **公司 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和安全需求，提出解決方案如下： 認(rèn)證服務(wù)器高可用性部署 在 深圳