【導(dǎo)讀】薀蟻聿芇螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆芄蝿羃肂芃蒈螆羈節(jié)薁羈襖莁蚃螄膃莀莃罿聿荿蒅螂羅莈蚇羈羈莈螀袁艿莇葿蚃膅莆薂衿肁蒞蚄螞羇蒄莄袇袃蒃蒆蝕膂蒂薈裊膈蒂螀蚈肄蒁蒀羄羀蒀薂螇羋葿蚅膄蒈螇螅肀薇蕆羀羆膄蕿螃袂膃蟻罿芁膂蒁螁膇膁薃肇肅膀蚆袀罿腿螈螞芇腿蒈袈膃羋薀蟻聿芇螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆芄蝿羃肂芃蒈螆羈節(jié)薁羈襖莁蚃螄膃莀莃罿聿荿蒅螂羅莈蚇羈羈莈螀袁艿莇葿蚃膅莆薂衿肁蒞蚄螞羇蒄莄袇袃蒃蒆蝕膂蒂薈裊膈蒂螀蚈肄蒁蒀羄羀蒀薂螇羋葿蚅膄蒈螇螅肀薇蕆羀羆膄蕿螃袂膃蟻罿芁膂蒁螁膇膁薃肇肅膀蚆袀罿腿螈螞芇腿蒈袈膃羋薀蟻聿芇螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆芄蝿羃肂芃蒈螆羈節(jié)薁羈襖莁蚃螄膃莀莃罿聿荿蒅螂羅莈蚇羈羈莈螀袁艿莇葿蚃膅莆薂衿肁蒞蚄螞羇蒄莄袇袃蒃蒆蝕膂蒂薈裊膈蒂螀蚈肄蒁蒀羄羀蒀薂螇羋葿蚅膄蒈螇螅肀薇蕆羀羆膄蕿螃袂膃蟻罿芁膂蒁螁膇膁薃肇肅膀蚆袀罿腿螈螞芇腿蒈袈膃羋薀蟻聿芇螞袆羅芆莂蠆袁芅薄裊芀芄蚆螇膆

　　

【正文】 機(jī)構(gòu) 的角度考慮。將自己的網(wǎng)絡(luò)和系統(tǒng)看成內(nèi)部網(wǎng)絡(luò)，將所有的其他網(wǎng)絡(luò)都作為不可信的網(wǎng)絡(luò)來看待；將自己看成中心，然后基于這個觀點(diǎn)進(jìn)行整個系統(tǒng)的分析和安全部署。隨著安全區(qū)域方法的發(fā)展，發(fā)現(xiàn)這樣的方法難于構(gòu)建全局的安全體系，局部的設(shè)計和實(shí)施經(jīng)驗(yàn)也難于推廣到全局，也難于借鑒。 “同構(gòu)性簡化”的安全域劃分方法，其基本思路是認(rèn)為一個復(fù)雜的網(wǎng)絡(luò)應(yīng)當(dāng)是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些進(jìn)行拼接、遞歸等方式構(gòu)造出一個大的網(wǎng)絡(luò)。“ 3+1 同構(gòu)性簡化”的安全域方法是用一種 3+1 的網(wǎng)絡(luò)結(jié)構(gòu)元來分析 深圳 自治區(qū)煙草安全規(guī)劃方案 建議書 18 市 **公司 網(wǎng)絡(luò) 的系統(tǒng)。（注：除了 3+1 構(gòu) 造之外，還存在其他形式的構(gòu)造。）具體來說 深圳市 **公司 的承載網(wǎng)絡(luò)和支撐系統(tǒng)按照其維護(hù)數(shù)據(jù)的分類可以分為安全服務(wù)域、安全接入域、安全互聯(lián)域以及安全支撐域四類。在此基礎(chǔ)上確定不同區(qū)域的信息系統(tǒng)安全保護(hù)等級。同一區(qū)域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)，如進(jìn)出信息保護(hù)機(jī)制，訪問控制，物理安全特性等。 安全互聯(lián)域 連接傳輸共同數(shù)據(jù)的安全服務(wù)域和安全接入域組成的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成了安全互聯(lián)域。安全互聯(lián)域的安全等級的確定與網(wǎng)絡(luò)所連接的安全接入域和安全服務(wù)域的安全等級有關(guān)。 當(dāng)一個網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有單一安全級別時， 該安全互聯(lián)域的安全等級應(yīng)與該安全等級相同； 當(dāng)一個網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有多安全級別時，應(yīng)盡量組成不同安全等級的安全互聯(lián)域，為這些安全服務(wù)域和安全接入域中的不同安全級別提供不同的支持；如果確實(shí)無法分別提供支持，則應(yīng)按這些安全服務(wù)域和安全接入域中的最高安全級別提供安全支持，組成與最高安全級別相同安全等級的安全互聯(lián)域。 主要需要解決的安全問題包括：網(wǎng)絡(luò)設(shè)備的強(qiáng)壯性，防止被非法訪問；防止網(wǎng)絡(luò)的擁塞；防止線路的嗅探；防止成為惡意代碼傳播和擴(kuò)散的載體等等。 安全互聯(lián)域有時會將其他域的邊界融合在本域中，因 此，可能會以一種平臺的方式存在。安全互聯(lián)域由于主要起到承載作用，應(yīng)當(dāng)以通為主、以隔為輔?；谶@樣的防護(hù)原則，其中主要采用的安全措施包括：路由器本身的路由和過濾功能；交換機(jī)的 ACL 功能；線路的監(jiān)測功能。在骨干上建議只監(jiān)控流量，在接入端可以考慮監(jiān)控入侵行為等等。 安全接入域 由訪問同類數(shù)據(jù)的用戶終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以用戶所 自治區(qū)煙草安全規(guī)劃方案 建議書 19 能訪問的安全服務(wù)域中的數(shù)據(jù)類和用戶計算機(jī)所處的物理位置來確定。 安全接入域的安全防護(hù)等級與其所能訪問的安全服務(wù)域的安全等級有關(guān)。當(dāng)一個安全接入域中的終端能訪問多個安全服務(wù)域 時，該安全接入域的安全防護(hù)等級應(yīng)與這些安全服務(wù)域的最高安全等級相同。 安全接入域應(yīng)有明確的邊界，以便于進(jìn)行保護(hù)。 主要需要解決的安全問題包括：用戶主體的信任問題，也就是對于用戶的身份認(rèn)證；客戶端主機(jī)的信任問題，也就是客戶端是否被感染和侵占；安全接入域內(nèi)，主機(jī)（包括客戶端）之間的互相感染和影響；安全接入域內(nèi)，一個客戶端對于另外一些客戶端的攻擊和嗅探；安全接入域內(nèi)，各個用戶之間的混淆，導(dǎo)致非授權(quán)操作；安全接入域內(nèi)的用戶和客戶端突破域的邊界安全規(guī)則等等。 針對上述主要問題，在安全接入域內(nèi)需要考慮如下一些防護(hù)要點(diǎn)， 包括安全接入域內(nèi)和安全接入域的邊界。 安全接入域內(nèi)的防護(hù)要點(diǎn)： 安全接入域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；進(jìn)而可以部署補(bǔ)丁管理等強(qiáng)制系統(tǒng)。 安全接入域內(nèi)節(jié)點(diǎn)的訪問控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問控制等；如果需要加強(qiáng)，還可以部署集中身份認(rèn)證系統(tǒng)、一次登錄系統(tǒng) (SSO)等，可以基于 CA 證書、或者口令卡等； 安全接入域內(nèi)節(jié)點(diǎn)的防病毒；安全域內(nèi)的主機(jī)都應(yīng)當(dāng)部署防病毒系統(tǒng)，可以考慮部署對于客戶端的強(qiáng)制防病毒軟件安裝和強(qiáng)制升級和更新。 安全接入域內(nèi)節(jié)點(diǎn)的防入侵；可以在客戶端部署單機(jī) 防入侵系統(tǒng)。 安全接入域內(nèi)可以根據(jù)用戶主體的分類，分成子域。對于非常不可信的用戶和客戶端，可以重點(diǎn)部署流量監(jiān)控，以便能夠最快地發(fā)現(xiàn)可能出現(xiàn)的蠕蟲傳播和拒絕服務(wù)攻擊。 安全接入域內(nèi)如果根據(jù)用戶所操作業(yè)務(wù)分類進(jìn)行子域劃分，可以針對不同的子域進(jìn)行應(yīng)用的監(jiān)控和審計； 自治區(qū)煙草安全規(guī)劃方案 建議書 20 安全接入域內(nèi)防泄密；監(jiān)控安全接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問等。 安全接入域的邊界防護(hù)，主要是要保證從安全接入域到其他域的訪問都是由可信的用戶從可信的客戶端上發(fā)起的；同時還要保證安全接入域不受其 他域的侵害和影響。 安全接入域和其他安全域之間邊界和連線的防護(hù)要點(diǎn)： 安全接入域和內(nèi)部的邊界上需要安全網(wǎng)關(guān)，主要考慮訪問控制的要求；這樣的安全網(wǎng)關(guān)可以是路由器、防火墻、交換機(jī)的 ACL 等等。 對安全接入域邊界上流經(jīng)的數(shù)據(jù)進(jìn)行檢測，監(jiān)測內(nèi)容包括：入侵、病毒、蠕蟲、流量、應(yīng)用等； 在安全接入域邊界上進(jìn)行惡意代碼防護(hù)； 安全接入域和其他安全域的互聯(lián)方式可能需要加密傳輸， VPN 就是一種常見的方式； 為了防止安全接入域內(nèi)的用戶突破或者繞過，需要建立防止客戶端非授權(quán)訪問的控制系統(tǒng)，如非法外聯(lián)系統(tǒng)可以防止客戶端通過撥號、無 線網(wǎng)卡等方式繞過邊界防護(hù)； 為了防止安全接入域內(nèi)的用戶互相嗅探并且越權(quán)操作，需要對用戶和其相應(yīng)的客戶端進(jìn)行分組。比如：對于用戶分組后劃入不同的 VLAN 就是一種方式等等。 安全服務(wù)域 在局域范圍內(nèi)存儲，傳輸、處理同類數(shù)據(jù)，具有相同安全等級保護(hù)的單一計算機(jī)（主機(jī) /服務(wù)器）或多個計算機(jī)組成了安全服務(wù)域，不同數(shù)據(jù)在計算機(jī)的上分布情況，是確定安全服務(wù)域的基本依據(jù)。 根據(jù)數(shù)據(jù)分布，可以有以下安全服務(wù)域：單一計算機(jī)單一安全級別服務(wù)域，多計算機(jī)單一安全級別服務(wù)域，單一計算機(jī)多安全級別綜合服務(wù)域，多計算機(jī)多安全級別綜合服務(wù) 域。 自治區(qū)煙草安全規(guī)劃方案 建議書 21 主要需要解決的安全問題包括：服務(wù)器被入侵，完整性受到破壞；服務(wù)器被拒絕服務(wù)攻擊；服務(wù)器成為惡意代碼的傳播載體；服務(wù)器成為垃圾的傳播載體等等。 防護(hù)要點(diǎn)：安全服務(wù)域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；安全服務(wù)域內(nèi)節(jié)點(diǎn)的訪問控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問控制等；訪問控制機(jī)制要和安全接入域的鑒別機(jī)制之間相互結(jié)合；安全服務(wù)域內(nèi)節(jié)點(diǎn)的防病毒：特別是基于 windows 平臺的服務(wù)器；安全服務(wù)域內(nèi)節(jié)點(diǎn)的防入侵；安全服務(wù)域內(nèi)重要鏈路的流量監(jiān)控；安全服務(wù)域內(nèi)業(yè)務(wù)的監(jiān)控和審計；服務(wù)域內(nèi)防 泄密；安全服務(wù)域內(nèi)一些可能產(chǎn)生或者傳播垃圾的服務(wù)器的防護(hù)，如：郵件服務(wù)器需要部署垃圾郵件過濾等等。 安全服務(wù)域和其他域之間邊界和連線的防護(hù)要點(diǎn)：安全服務(wù)域邊界上的安全網(wǎng)關(guān)，主要考慮訪問控制的要求；安全服務(wù)域邊界上的監(jiān)測，監(jiān)測內(nèi)容包括：入侵、病毒、蠕蟲、流量、應(yīng)用等；安全服務(wù)域邊界上的惡意代碼防護(hù)；安全服務(wù)域中的服務(wù)器和其他域的服務(wù)器發(fā)生業(yè)務(wù)關(guān)聯(lián)時，很可能需要考慮加密傳輸?shù)鹊取? 安全支撐域 為整個 IT 架構(gòu)提供集中的安全服務(wù)，進(jìn)行集中的安全管理和監(jiān)控以及響應(yīng)。具體來說可能包括如下內(nèi)容：病毒監(jiān)控中心、認(rèn)證中心、 安全管理中心等。 主要需要解決的安全問題包括：安全支撐域要能夠?qū)τ谄渌踩蛱峁┍匾陌踩?；安全支撐域自身不能帶來新的安全風(fēng)險，要做好自身的防護(hù)。 安全支撐域不同于其他系統(tǒng)的獨(dú)特性在于，安全支撐域會以代理 Agent 的方式或者提供調(diào)用服務(wù)的方式，插入（ pluginto）到被監(jiān)管的系統(tǒng)中。代理方式比如：業(yè)務(wù)支撐系統(tǒng)會放置計費(fèi)前端服務(wù)器在業(yè)務(wù)系統(tǒng)中，安全監(jiān)控系統(tǒng)會將IDS 等檢測引擎放置在被監(jiān)控的網(wǎng)絡(luò)中等等；調(diào)用服務(wù)方式比如：認(rèn)證中心提供證書服務(wù)或者其他認(rèn)證服務(wù)。 為了能夠保證這種插入機(jī)制的正確和安全，要確保 插入的功能對于被監(jiān)管的 自治區(qū)煙草安全規(guī)劃方案 建議書 22 系統(tǒng)不產(chǎn)生不良的影響；同時還要確保插入的點(diǎn)不會使安全支撐域受到被監(jiān)管系統(tǒng)的影響。因此插入點(diǎn)和安全支撐域之間常常需要采用相應(yīng)的安全措施，比如：帶外管理：即插入點(diǎn)到安全支撐域之間建立單獨(dú)的物理鏈路或者 vpn 連接；鏈路加密：插入點(diǎn)和安全支撐域之間的數(shù)據(jù)傳輸和命令傳輸都使用加密傳輸，比如采用 ssl 等；插入點(diǎn)自身安全性：插入點(diǎn)對于安全支撐域來說屬于域外的飛地，因此對于插入點(diǎn)要能夠做到比較強(qiáng)的安全性，其產(chǎn)品的安全性可以用 CC 的等級來描述。 統(tǒng)一認(rèn)證授權(quán)系統(tǒng)技術(shù)方案 統(tǒng)一 認(rèn)證系統(tǒng)通過動態(tài)口令卡、 PKI 數(shù)字證書、 IC 卡等多種通用認(rèn)證手段對用戶進(jìn)行身份驗(yàn)證，是一個對企業(yè)內(nèi)部系統(tǒng)及網(wǎng)絡(luò)設(shè)備的各種訪問進(jìn)行統(tǒng)一認(rèn)證、授權(quán)、審核的企業(yè)級認(rèn)證服務(wù)平臺，能夠確保企業(yè)用戶訪問各種資源的安全性，全面的實(shí)施和貫徹用戶制訂的資源訪問策略。 根據(jù) 深圳市 **公司 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和安全需求，提出解決方案如下： 認(rèn)證服務(wù)器高可用性部署 在 深圳