【導(dǎo)讀】襖羈蕆薁螀羈膆蒄蚆羀艿蠆羅罿莁蒂袀羈蒃蚇螆肇膃蒀螞肆芅蚆薈肅莇蒈羇肅膇螄袃肄艿薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膀芆薃螆腿莈莆螞腿肈薂薈膈芀莄羆膇莃蝕袂膆蒅蒃螈膅膅蚈蚄膄芇蒁羃芃荿蚆衿芃蒂葿螅節(jié)膁蚅蟻袈莃蒈蚇袇蒆螃羅袇膅薆袁袆羋螁螇裊莀薄蚃羄蒂莇羃膂薂袈芄蒞襖羈蕆薁螀羈膆蒄蚆羀艿蠆羅罿莁蒂袀羈蒃蚇螆肇膃蒀螞肆芅蚆薈肅莇蒈羇肅膇螄袃肄艿薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膀芆薃螆腿莈莆螞腿肈薂薈膈芀莄羆膇莃蝕袂膆蒅蒃螈膅膅蚈蚄膄芇蒁羃芃荿蚆衿芃蒂葿螅節(jié)膁蚅蟻袈莃蒈蚇袇蒆螃羅袇膅薆袁袆羋螁螇裊莀薄蚃羄蒂莇羃膂薂袈芄蒞襖羈蕆薁螀羈膆蒄蚆羀艿蠆羅罿莁蒂袀羈蒃蚇螆肇膃蒀螞肆芅蚆薈肅莇蒈羇肅膇螄袃肄艿薇蝿肅莂螂蚅肂蒄薅羄肁膄莈袀膀芆薃螆腿莈莆螞腿肈薂薈膈芀莄羆膇莃蝕袂膆蒅蒃螈膅膅蚈蚄膄芇蒁羃芃荿蚆衿芃蒂葿螅節(jié)膁蚅蟻袈莃蒈蚇袇蒆螃羅袇膅薆袁袆羋螁螇裊莀薄蚃羄蒂莇羃膂薂袈芄蒞襖羈蕆薁螀羈膆蒄蚆羀艿蠆羅罿莁蒂袀羈蒃蚇螆肇

　　

【正文】 缺省拒絕 ‖的方式制定防護(hù)策略。防護(hù)策略在身份鑒別的基礎(chǔ)上，只授權(quán)開(kāi)放必要的訪問(wèn)權(quán)限，并保證數(shù)據(jù)安全的完整性、機(jī)密性、可用性。 業(yè)務(wù)相關(guān)性原則 對(duì)安全子域的安全防護(hù)要充分考慮該子域的業(yè)務(wù)特點(diǎn)，在保證業(yè)務(wù)正常運(yùn)行、保證效率的情況下分別設(shè)置相應(yīng)的安全防護(hù)策略。 如果子域之間的業(yè)務(wù)關(guān)聯(lián)性、互訪信任度、數(shù)據(jù)流量、訪問(wèn)頻度等較低，通常情況下沒(méi)有數(shù)據(jù)互訪的業(yè)務(wù)需求，因此安全防護(hù) 策略非常嚴(yán)格，原則上不允許數(shù)據(jù)互訪。如果子域之間互訪信任度、數(shù)據(jù)流量、訪問(wèn)頻度等比較高，通常情況下業(yè)務(wù)關(guān)系比較緊密，安全防護(hù)策略可以較為寬松，通常允許受限的信任互訪。 16 自治區(qū)煙草安全規(guī)劃方案建議書 策略最大化原則 安全域理論 安全域劃分以及基于安全域的整體安全工作，對(duì)自治區(qū)煙草公司具有很大的意義和實(shí)際作用： 安全域劃分基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行，是下一步安全建設(shè)的部署依據(jù)，可以 指導(dǎo)系統(tǒng)的安全規(guī)劃、設(shè)計(jì)、入網(wǎng)和驗(yàn)收工作； 可以更好的利用系統(tǒng)安全措施，發(fā)揮安全設(shè)備的利用率； 基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基礎(chǔ)，可以在運(yùn)行維護(hù)階段降低 系統(tǒng)風(fēng)險(xiǎn)，提供檢查審核依據(jù)； 安全域可以更好的控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，降低系統(tǒng)風(fēng)險(xiǎn)； 安全域的分割是出現(xiàn)問(wèn)題時(shí)的預(yù)防，能夠防止有害行為的滲透； 安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，能夠防止影響的擴(kuò)散。 早期在進(jìn)行安全域的劃分時(shí)，完全從一個(gè)業(yè)務(wù)單元或者行政機(jī)構(gòu)的角度考慮。將自己的網(wǎng)絡(luò)和系統(tǒng)看成內(nèi)部網(wǎng)絡(luò)，將所有的其他網(wǎng)絡(luò)都作為不可信的網(wǎng)絡(luò)來(lái)看待；將自己看成中心，然后基于這個(gè)觀點(diǎn)進(jìn) 行整個(gè)系統(tǒng)的分析和安全部署。隨著安全區(qū)域方法的發(fā)展，發(fā)現(xiàn)這樣的方法難于構(gòu)建全局的安全體系，局部的設(shè)計(jì)和實(shí)施經(jīng)驗(yàn)也難于推廣到全局，也難于借鑒。 ―同構(gòu)性簡(jiǎn)化 ‖的安全域劃分方法，其基本思路是認(rèn)為一個(gè)復(fù)雜的網(wǎng)絡(luò)應(yīng)當(dāng)是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些進(jìn)行拼接、遞歸等方式構(gòu)造出一個(gè)大的網(wǎng)絡(luò)。 ―3+1同構(gòu)性簡(jiǎn)化 ‖的安全域方法是用一種 3+1的網(wǎng)絡(luò)結(jié)構(gòu)元來(lái)分析自治 17 自治區(qū)煙草安全規(guī)劃方案建議書 區(qū)煙草公司網(wǎng)絡(luò)的系統(tǒng)。（注：除了3+1 構(gòu)造之外，還存在其他形式的構(gòu)造。）具體來(lái)說(shuō) 自治區(qū)煙草公司的承載網(wǎng)絡(luò)和支撐系統(tǒng)按照其維護(hù)數(shù)據(jù)的分類可以分為安全服務(wù)域、安全接入域、安全互聯(lián)域以及安全支撐域四類。在此基礎(chǔ)上確定不同區(qū)域的信息系統(tǒng)安全保護(hù)等級(jí)。同一區(qū)域安全互聯(lián)域 連接傳輸共同數(shù)據(jù)的安全服務(wù)域和安全接入域組成的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成了安全互聯(lián)域。安全互聯(lián)域的安全等級(jí)的確定與網(wǎng)絡(luò)所連接的安全接入域和安全服務(wù)域的安全等級(jí)有關(guān)。 當(dāng)一個(gè)網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有單一安全級(jí)別時(shí)，該安全互聯(lián)域的安全等級(jí)應(yīng)與該安全等級(jí)相同； 當(dāng)一個(gè)網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有多安全級(jí)別時(shí)，應(yīng)盡量 組成不同安全等級(jí)的安全互聯(lián)域，為這些安全服務(wù)域和安全接入域中的不同安全級(jí)別提供不同的支持；如果確實(shí)無(wú)法分別提供支持，則應(yīng)按這些安全服務(wù)域和安全接入域中的最高安全級(jí)別提供安全支持，組成與最高安全級(jí)別相同安全等級(jí)的安全互聯(lián)域。 主要需要解決的安全問(wèn)題包括：網(wǎng)絡(luò)設(shè)備的強(qiáng)壯性，防止被非法訪問(wèn)；防止網(wǎng)絡(luò)的擁塞；防止線路的嗅探；防止成為惡意代碼傳播和擴(kuò)散的載體等等。 安全互聯(lián)域有時(shí)會(huì)將其他域的邊界融合在本域中，因此，可能會(huì)以一種平臺(tái)的方式存在。安全互聯(lián)域由于主要起到承載作用，應(yīng)當(dāng)以通為主、以隔為輔?；谶@樣的防護(hù)原 則，其中主要采用的安全措施包括：路由器本身的路由和過(guò)濾功能；交換機(jī)的 ACL 功能；線路的監(jiān)測(cè)功能。在骨干上建議只監(jiān)控流量，在接入端可以考慮監(jiān)控入侵行為等等。 安全接入域 由訪問(wèn)同類數(shù)據(jù)的用戶終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以用戶所 18 自治區(qū)煙草安全規(guī)劃方案建議書 能訪問(wèn)的安全服務(wù)域中的數(shù)據(jù)類和用戶計(jì)算機(jī)所處的物理位置來(lái)確定。 安全接入域的安全防護(hù)等級(jí)與其所能訪問(wèn)的安全服務(wù)域的安全等級(jí)有關(guān)。當(dāng)一個(gè)安全接入域中的終端能訪問(wèn)多個(gè)安全服務(wù)域時(shí)， 該安全接入域的安全防護(hù)等級(jí)應(yīng)與這些安全服務(wù)域的最高安全等級(jí)相同。 安全接入域應(yīng)有明確的邊界，以便于進(jìn)行保護(hù)。 主要需要解決的安全問(wèn)題包括：用戶主體的信任問(wèn)題，也就是對(duì)于用戶的身份認(rèn)證；客戶端主機(jī)的信任問(wèn)題，也就是客戶端是否被感染和侵占；安全接入域內(nèi)，主機(jī)（包括客戶端）之間的互相感染和影響；安全接入域內(nèi)，一個(gè)客戶端對(duì)于另外一些客戶端的攻擊和嗅探；安全接入域內(nèi)，各個(gè)用戶之間的混淆，導(dǎo)致非授權(quán)操作；安全接入域內(nèi)的用戶和客戶端突破域的邊界安全規(guī)則等等。 針對(duì)上述主要問(wèn)題，在安全接入域內(nèi)需要考慮如下一些防護(hù)要點(diǎn) ，包括安全接入域內(nèi)和安全接入域的邊界。 安全接入域內(nèi)的防護(hù)要點(diǎn)： 安全接入域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；進(jìn)而可以部署補(bǔ)丁管理等強(qiáng)制系統(tǒng)。 安全接入域內(nèi)節(jié)點(diǎn)的訪問(wèn)控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問(wèn)控制等；如果需要加強(qiáng)，還可以部署集中身份認(rèn)證系統(tǒng)、一次登錄系統(tǒng) (SSO)等，可以基于 CA證書、或者口令卡等； 安全接入域內(nèi)節(jié)點(diǎn)的防病毒；安全域內(nèi)的主機(jī)都應(yīng)當(dāng)部署防病毒系統(tǒng)，可以考慮部署對(duì)于客戶端的強(qiáng)制防病毒軟件安裝和強(qiáng)制升級(jí)和更新。 安全接入域內(nèi)節(jié)點(diǎn)的防入侵；可以在客 戶端部署單機(jī)防入侵系統(tǒng)。 安全接入域內(nèi)可以根據(jù)用戶主體的分類，分成子域。對(duì)于非常不可信的用戶和客戶端，可以重點(diǎn)部署流量監(jiān)控，以便能夠最快地發(fā)現(xiàn)可能出現(xiàn)的蠕蟲傳播和拒絕服務(wù)攻擊。 安全接入域內(nèi)如果根據(jù)用戶所操作業(yè)務(wù)分類進(jìn)行子域劃分，可以針對(duì)不同的子域進(jìn)行應(yīng)用的監(jiān)控和審計(jì)； 19 自治區(qū)煙草安全規(guī)劃方案建議書 安全接入域安全服務(wù)域 在局域范圍內(nèi)存儲(chǔ)，傳輸、處理同類數(shù)據(jù)，具有相同安全等級(jí)保護(hù)的單一計(jì)算機(jī)（主機(jī) /服務(wù)器）或多個(gè)計(jì)算機(jī)組成了安全服務(wù)域，不同數(shù)據(jù)在計(jì)算機(jī)的 上分布情況，是確定安全服務(wù)域的基本依據(jù)。 根據(jù)數(shù)據(jù)分布，可以有以下安全服務(wù)域：?jiǎn)我挥?jì)算機(jī)單一安全級(jí)別服務(wù)域，多計(jì)算機(jī)單一安全級(jí)別服務(wù)域，單一計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域，多計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域。 20 自治區(qū)煙草安全規(guī)劃方案建議書 主要需要解決的安全問(wèn)題包括：服務(wù)器被入侵，完整性受到破壞；服務(wù)器被拒絕服務(wù)攻擊；服務(wù)器成為惡意代碼的傳播載體；服務(wù)器成為垃圾的傳播載體等等。 防護(hù)要點(diǎn)：安全服務(wù)域安全支撐域 為整個(gè) IT 架構(gòu)提供集中的安全服務(wù)，進(jìn)行集中的安全管理和 監(jiān)控以及響應(yīng)。具體來(lái)說(shuō)可能包括如下內(nèi)容：病毒監(jiān)控中心、認(rèn)證中心、安全管理中心等。 主要需要解決的安全問(wèn)題包括：安全支撐域要能夠?qū)τ谄渌踩蛱峁┍匾陌踩危话踩斡蜃陨聿荒軒?lái)新的安全風(fēng)險(xiǎn)，要做好自身的防護(hù)。 安全支撐域不同于其他系統(tǒng)的獨(dú)特性在于，安全支撐域會(huì)以代理 Agent的方式或者提供調(diào)用服務(wù)的方式，插入（ pluginto）到被監(jiān)管的系統(tǒng)中。代理方式比如：業(yè)務(wù)支撐系統(tǒng)會(huì)放置計(jì)費(fèi)前端服務(wù)器在業(yè)務(wù)系統(tǒng)中，安全監(jiān)控系統(tǒng)會(huì)將 IDS 等檢測(cè)引擎放置在被監(jiān)控的網(wǎng)絡(luò)中等等；調(diào)用服務(wù)方式比如：認(rèn)證中心提供證書 服務(wù)或者其他認(rèn)證服務(wù)。 為了能夠保證這種插入機(jī)制的正確和安全，要確保插入的功能對(duì)于被監(jiān)管的 21 自治區(qū)煙草安全規(guī)劃方案建議書