本文包括《数据中心安全域的设计和划分》、《企业网络安全区域划分的原则和方法》，介绍了安全域设计方法、设计步骤、安全域模型、安全域互访原则、安全域边界整合及整合原则及边界防护技术。

数据中心安全域的设计和划分

安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础，也是保障业务信息安全的基础。

一、安全域设计方法

安全域模型设计采用'同构性简化'方法，基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些网络结构元以拼接、递归等方式构造出一个大的网络。

一般来讲，对信息系统安全域(保护对象)的设计应主要考虑如下方面因素：

1.    业务和功能特性

1)    业务系统逻辑和应用关联性。

2)    业务系统对外连接。对外业务、支撑、内部管理。

2.    安全特性的要求

1)    安全要求相似性。可用性、保密性和完整性的要求。

2)    威胁相似性。威胁来源、威胁方式和强度。

3)    资产价值相近性。重要与非重要资产分离。

3.    参照现有状况

1)    现有网络结构的状况。现有网络结构、地域和机房等。

2)    参照现有的管理部门职权划分。

二、安全域设计步骤

一个数据中心内部安全域的划分主要有如下步骤：

1.    查看业务系统访问关系

查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系，若业务主机之间没有任何访问关系，则单独考虑各业务系统安全域的划分，若业务主机之间有访问关系，则几个业务系统一起考虑安全域的划分。

2.    划分安全计算域

根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分，一般分为核心处理域和访问域，其中数据库服务器等后台处理设备归人核心处理域，前台直接面对用户的应用服务器归人访问域；局域网访问域可以有多种类型，包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等；局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等，核心处理域应具有隔离设备对该区域进行安全隔离，如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。

3.    划分安全用户域

根据业务系统的访问用户分类进行安全用户域的划分，访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域，一般分为管理用户域、内部用户域、外部用户域。

4.    划分安全网络域

安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内分为三种安全域：外部域、接入域、内部域。

三、安全域模型

该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护，如进出信息保护机制、访问控制、物理安全特性等。

1.    安全服务域

安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。安全服务域细分为关键业务、综合业务、公共服务和开发测试等4个子域。

划分规则

1)    等保三级的业务系统服务器划入关键业务子域，例如，财务管理系统。

2)    SAN集中存储系统划入关键业务子域，并在SAN存储设备上单独划分出物理/逻辑存储区域，分别对应关键业务子域、综合业务子域、公共服务子域、开发测试子域中的存储的空间。

3)    等保末达到三级的业务系统服务器划入综合业务子域，例如，人力资源、网站系统、邮件系统等业务系统服务器。

4)    提供网络基础服务的非业务系统服务器划入公共服务子域，例如，DNS服务器、Windows域服务器等。

5)    用于开发和测试的服务器划分入开发测试子域。

2.    有线接人域

有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。

划分规则

所有有线用户终端及有线网络接入基础设施划入有线接入域。

3.    无线接人域

无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。

划分规则

所有无线用户终端和无线集线器、无线访问节点、无线网桥、无线网卡等无线接入基础设施划入无线接入域。

4.    安全支撑域

安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域，实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级，各类安全事件的收集、整理、关联分析，安全审计，人侵检测，漏洞扫描等。

划分规则

各类安全产品的管理平台、监控中心、维护终端和服务器划入安全支撑域。

5.    安全互联域

安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。安全互联域细分为局域网互联、广域网互联、外部网互联、因特网互联4个子域。

划分规则

1)    局域网核心层、汇聚层互联设备和链路划入局域网互联子域。

2)    自主管理的综合数字网接入链路和接入设备，包含网络设备、安全设备和前端服务器划入广域网互联子域。

3)    自主管理的第三方合作伙伴网络接入链路和接入设备，包含网络设备、安全设备和前端服务器划入外部网互联子域。

4)    自主管理的因特网接入链路和接人设备，包含网络设备、安全设备和前端服务器划入因特网互联子域。

四、安全域互访原则

1.    安全服务域、安全支撑域、有线接入域、无线接入域之间的互访

必须经过安全互联域，不允许直接连接。

2.    关键业务子域、综合业务子域、公共服务子域、开发测试子域之间的互访

必须经过安全互联域，不允许百接连接。

3.    广域网互联子域、外部网互联子域、因特网互联子域和其他安全域或子域之间的互访

必须经过安全互联域，不允许直接连接。

4.    广域网互联子域、外部网互联子域、因特网互联子域之间的互访

必须经过安全互联域，不允许直接连接。

5.    同一安全子域之间的互访

如关键业务子域、综合业务子域、基础业务子域、公共服务子域、开发测试子域内部的不同系统之间应采用VLAN进行隔离，VLAN间的路由应设置在核心或汇聚层设备上，不允许通过接人层交换机进行路由。

五、安全域边界整合及整合原则

安全域之间互联接口数量越多，安全性越难以控制，因此，必须在保证各种互联需求的前提下对安全域边界进行合理整合，通过对系统接口的有效整理和归并，减少接口数量，提高接口规范性。边界整合最终要实现不同类别边界链路层物理隔离，边界设备(如交换机、路由器或防火墙等)实现硬件独立，杜绝混用现象。同时边界设备要满足冗余要求。

安全域边界整合的原则

1.    安全支撑域与安全互联域之间所有的互访接口整合为一个边界

2.    有线接入域与安全互联域之间所有的互访接口整合为一个边界

3.    安全互联域与外部网络之间所有的互访接口整合为三个边界

1)    广域网互连子域与广域网之间所有的互访接口整合为一个边界。

2)    因特网互联子域与因特网之间所有的互访接口整合为一个边界。

3)    外部网互联子域与第三方网络之间所有的互访接口整合为一个边界。

4.    安全服务域与安全互联域之间所有的互访接口整合为四个边界

关键业务子域边界、综合业务子域边界、公共服务子域边界、开发测试子域边界。

1)    关键业务子域与局域网互联子域之间所有的互访接口整合为一个边界。

2)    综合业务子域与局域网互联子域之间所有的互访接口整合为一个边界。

3)    公共服务子域与局域网互联子域之间所有的互访接口整合为一个边界。

4)    开发测试子域与局域网互联子域之间所有的互访接口整合为一个边界。

六、边界防护技术

目前常用的边界保护技术主要包括防火墙、接口服务器、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护等。

1.    防火墙

防火墙可以根据互联系统的安全策略对进出网络的信息流进行控制(允许、拒绝、监测)。防火墙作为不同网络或网络安全区域之间信息的出入口，能根据系统的安全策略控制出入网络的信息流，且具有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和外部网之间的活动，保证内部网络的安全。

通过防火墙可以防止非系统内用户的非法入侵、过滤不安全服务及规划网络信息的流向。防火墙的重要作用是网络隔离和对用户进行访问控制，目的是防止对网络信息资源的非授权访问和操作，包括各个子网对上级网络，各个同级子网之间的非法访问和操作。这些访问控制，在物理链路一级的加密设备中很难实现，而防火墙则具有很强的安全网络访问控制能力，主要体现在它完善的访问控制策略上。

2.    接口服务器

接口服务器的目的在于实现威胁等级高的系统访问威胁等级低的系统时，Server-Server间的通信。通过接口服务器，使防护等级高的系统中后台的核心服务器对威胁等级高的系统屏蔽，在向威胁等级高的系统访问时，看到的仅仅是应用接口服务器，这样对系统的防护更加有效，而且也更容易实现二者之间的访问控制，因此适用于威胁等级高的系统访问防护等级高的系统。这种保护方式需要与单层或双重异构防火墙结合进行部署。类似设备，如堡垒主机、数据交换服务器等。

3.    病毒过滤

病毒过滤一般采用全面的协议保护和内嵌的内容过滤功能，能够对SMTP、PUP3、IMAP、HTTP、FTP等应用协议进行病毒过滤以及采用关键字、URL过滤等方式来阻止非法数据的进入。由于数据流经历了完全的过滤检查，必然会使得其效率有所降低。

4.    入侵防护

入侵防护是一种主动式的安全防御技术，它不仅能实时监控到各种恶意与非法的网络流量，同时还可以直接将有害的流量阻挡于所保护的网络之外，从而对其网络性能进行最佳的优化。入侵防护主要用来防护三种类型的攻击：异常流量类防护、攻击特征类防护、漏洞攻击类防护。

5.    单向物理隔离

物理隔离技术通常采用高速电子开关隔离硬件和专有协议，确保网络间在任意时刻物理链路完全断开。同时可以在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换。

6.    拒绝服务防护

拒绝服务防护一般包含两个方面：一是针对不断发展的攻击形式，能够有效地进行检测；二是降低对业务系统或者是网络的影响，保证业务系统的连续性和可用性。通常拒绝服务防护应能够从背景流量申精确的区分攻击流量、降低攻击对服务的影响、具备很强的扩展性和良好的可靠性。

7.    认证和授权

基于数字证书，实现网络访问身份的高强度认证，保障网络边界的安全；只有通过数字证书校验的合法的、被授权的用户才可以接入网络，才可以访问后台的业务系统。

企业网络安全区域划分的原则和方法

网络逐渐成为企业运营不可或缺的一部分，基于互联网的应用、远程培训、在线订购以及财务交易等，极大地提高企业的生产力和盈利能力，带来很多的便利。

但在享受便利的同时，网络系统同样也成为安全威胁的首要目标，网络安全面临着前所未有的威胁。威胁不仅来自人为的破坏，也来自自然环境。各种人员、机构出于各种目的攻击行为，系统自身的安全缺陷（脆弱性），以及自然灾难，都可能构成对企业网络系统的威胁。

威胁的发起因素是威胁的主体， 按威胁主体的性质分类， 安全威胁可以分为人为的安全威胁和非人为的安全威胁。按人为攻击的方式分类，可以分为被动攻击、主动攻击、邻近攻击和分发攻击等。

1、安全威胁

非人为的安全威胁

非人为的安全威胁主要分为两类，一类是自然灾难，另一类是技术局限性。信息系统都是在一定的物理环境下运行， 自然灾难对信息系统的威胁是非常严重的。典型的自然灾难包括：地震、水灾、火灾、风灾等。自然灾难可能会对信息系统造成毁灭性的破坏。

同所有技术一样，信息技术本身也存在局限性，有很多缺陷和漏洞。典型的缺陷包括：系统、硬件、软件的设计缺陷、实现缺陷和配置缺陷。信息系统的高度复杂性以及信息技术的高速发展和变化，使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。

人为安全威胁

网络系统面临的人为安全威胁可分为外部威胁和内部威胁，人为安全威胁主要是人为攻击，主要分为以下几类：被动攻击、主动攻击、邻近攻击、分发攻击。

• 被动攻击

这类攻击主要包括被动监视通信信道上的信息传送。被动攻击主要是了解所传送的信息，一般不易被发现。典型攻击行为有：

a) 监听通信数据；

b) 解密加密不善的通信数据；

c) 口令截获；

d) 通信流量分析。

• 主动攻击

主动攻击为攻击者主动对信息系统实施攻击，包括企图避开安全保护，引入恶意代码，以及破坏数据和系统的完整性。

a) 修改数据；

b) 重放所截获的数据；

c) 插入数据；

d) 盗取合法建立的会话；

e) 伪装；

f) 越权访问；

g) 利用缓冲区溢出（BOF）漏洞执行代码；

h) 插入和利用恶意代码（如：特洛依木马、后门、病毒等）；

i) 利用协议、软件、系统故障和后门；

j) 拒绝服务攻击。

• 邻近攻击

此类攻击的攻击者试图在地理上尽可能接近被攻击的网络、系统和设备，目的是修改、收集信息，或者破坏系统。这种接近可以是公开的或秘密的，也可能是两种都有，邻近攻击最容易发生在没有良好保安措施的地方。典型的邻近攻击有：

a) 偷取磁盘后又还回；

b) 偷窥屏幕信息；

c) 收集作废的打印纸；

d) 物理毁坏通信线路。

• 分发攻击

分发攻击是指在系统硬件和软件的开发、生产、运输、安装和维护阶段，攻击者恶意修改设计、配置等行为。典型的分发攻击方式有：

a) 利用制造商在设备上设置隐藏的攻击途径；

b) 在产品分发、安装时修改软硬件配置，设置隐藏的攻击途径；

c) 在设备和系统维护升级过程中修改软硬件配置，设置隐藏的攻击途径。直接通过因特网进行远程升级维护具有较大的安全风险。

• 内部威胁

内部威胁是由于内部管理不善， 由内部合法人员造成， 他们具有对系统的合法访问权限。内部合法人员对系统的威胁， 除了具有上述人为安全威胁的攻击方式， 还具有其特有的攻击手段。内部威胁分为恶意和非恶意两种，即恶意攻击和非恶意威胁。恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。非恶意威胁则是由于合法用户的无意行为造成了对政务信息系统的攻击，他们并非故意要破坏信息和系统，但由于误操作、经验不足、培训不足而导致一些特殊的行为，对系统造成了破坏。

典型的内部威胁有：

a) 恶意修改数据和安全机制配置参数；

b) 恶意建立未授权的网络连接，如：拨号连接；

c) 恶意的物理损坏和破坏；

d) 无意的数据损坏和破坏，如：误删除。

2、传统安全防范技术

面对如此众多的威胁威胁， 传统安全防范技术强调单个安全产品的重要性， 如防火墙的性能和功能，IDS 入侵检测系统的高效性等，而对全网的安全威胁没有一个仔细的研究，对网络安全的设计没有明确的层次和区域，如下图所示：

网络中部署了相关的安全产品，防火墙，VPN，IDS，安全管理等，但由于组网方式很随意，没有统一规划，不清楚网络的威胁，层次，区域策略，安全防护手段部署原则不明确，当网络某一局部出现安全隐患被侵入后，由于网络之间边界不清楚，无清楚的边界控制，攻击很容易扩散，从而局部侵入马上成为全网侵入，造成对全网的威胁。当局部的蠕虫泛滥，造成全网的快速泛滥，企业用户缺乏足够的缓冲处理时间，可能很快造成全网瘫痪，而部署的安全设备也不能充分的发挥作用，成为资源的浪费。

3、纵深防御和安全区域划分

因此，在多种多样的安全威胁前，企业需要建立纵深防御体系，防止因某个部分的侵入而导致整个系统的崩溃；基于网络系统之间逻辑关联性和物理位置，功能特性，划分清楚的安全层次和安全区域，在部署安全产品和策略时，才可以定义清楚安全策略和部署模式。

特别是对复杂的大系统，安全保障包括网络基础设施、业务网，办公网，本地交换网，电子商务网，信息安全基础设施等多个保护区域。这些区域是一个紧密联系的整体，相互间既有纵向的纵深关系,又有横向的协作关系，每个范围都有各自的安全目标和安全保障职责。积极防御、综合防范的方针为各个保护范围提供安全保障，有效地协调纵向和横向的关系，提高网络整体防御能力。

安全区域划分对企业网络的建设有着以下重要意义：

• 纵深防御依赖于安全区域的清除定义

• 安全区域间边界清晰，明确边界安全策略

• 加强安全区域策略控制力，控制攻击扩散，增加应对安全突发事件的缓冲处理时间

• 依据安全策略，可以明确需要部署的安全设备

• 使相应的安全设备充分运用，发挥应有的作用

安全域隔离技术

安全域隔离技术主要分为物理隔离技术和逻辑隔离技术两类

• 物理隔离

· 物理级（电磁辐射）-- 屏蔽、干扰

· 终端级（双网机）-- 双盘型、双区型

· 传输信道级 -- 非加密信道、加密信道

· 网络级（网闸）

--信息交换型

--信息共享型

--系统互操作型

• 逻辑隔离

· 防火墙控制

· VLAN虚拟网技术

· FR, ATM技术

· L2TP V3,ATOM

· IPsec VPN, MPLS VPN, SSL VPN, GRE技术

· 病毒网关过滤技术

· 应用层安全控制技术

4、一般企业网络安全区域设计模型

企业网络情况和业务系统千差万别， 所以不同企业对安全区域的划分， 可以有完全不同的表述方法和模式。但一般而言，大多数企业均有相同的网络部分和安全分区。

安全区域相关定义

在划分安全区域时，需要明确几个安全区域相关的定义，以免模糊他们之间的概念，造成区域划分完之后， 依然逻辑不清晰， 安全策略无法明确， 立体的纵深防御体系也无法建立。一般在安全区域划分时，需要明确如下常用的定义：

·  物理网络区域

物理网络区域是指数据网中，依照在相同的物理位置定义的网络区域，通常如办公区域，远程办公室区域，楼层交换区域等

·  网络功能区域

功能区域是指以功能为标准，划分的逻辑网络功能区域，如互联网区域，生产网区域，办公网区域等

·  网络安全区域

网络安全区域是指网络系统内具有相同安全要求、达到相同安全防护等级的区域。同一安全区域一般要求有统一的安全管理组织和安全防护体系及策略，不同的安全区域的互访需要有相应的边界安全策略。

·  网络安全层次

根据层次分析方法，将网络安全区域划分成几个不同安全等级的层次，同一层次包含若干个安全等级相同的区域，同层安全区域之间相互逻辑或物理隔离。

·  物理网络区域和安全区域的关系

一个物理网络区域可以对应多个安全区域，一个安全区域只能对应一个物理网络区域

·  网络功能区域和物理网络区域的关系

一个网络功能区域可以对应多个物理网络区域，一个物理网络区域只能对应一个网络功能区域，如办公网功能区域，可以包含总部办公网物理区域，远程办公室办公网物理区域，移动办公物理区域等。

·  网络功能区域和安全区域的关系

一个网络功能区域可以对应多个网络安全区域，一个网络安全区域只能对应一个网络功能区域。

安全区域设计一般原则

尽管不同企业对安全区域的设计可能理解不尽相同， 但还是有一般的安全区域设计原则可供参考如下：

·  一 体化设计原则

综合考虑整体网络系统的需求，一个整体的网络安全区域设计规范以规范我

·  多重保护原则

不能把整个系统的安全寄托在单一的安全措施或安全产品上，要建立一套多重保护系统，各重保护相互补充，当一层保护被攻破时，其它层的保护仍可确保信息系统的安全

·  定义清楚的安全区域边界

设定清楚的安全区域边界，可以明确安全区域策略，从而确定需要部署何种安全技术和设备

·  在安全域之间执行完整的策略

在安全域之间执行完整的安全策略，帮助建立完整的纵深防御体系，方便安全技术实施部署

·  通常安全域越多越好

·  较多的安全区域划分可以提供更精确的访问控制策略，提高网络的可控性

·  太多的安全区域，会增加管理复杂性

·  需要在较多的安全区域划分和管理的复杂性之间做出平衡选择

·  风险、代价平衡分析的原则

通过分析网络系统面临的各种安全问题挑战， 确保实施网络系统安全策略的成本与被保护资源的价值相匹配；确保安全防护的效果与网络系统的高效、健壮相匹配。

·  适应性、灵活性原则

在进行网络安全区域设计时，不能只强调安全方面的要求，要避免对网络、应用系统的发展造成太多的阻碍；另外，在网络安全区域模型保持相对稳定的前提下，要求整体安全区域架构可以根据实际安全需求变化进行微调，使具体网络安全部署的策略易于修改，随时做出调整。

网络安全区域划分方法

• 传统的划分方法

传统安全区域划分方法基本是以安全功能区域和物理区域相结合，做出安全区域的划分。在一般规模较小的企业网络环境中，这种方式简明，方便，逻辑清楚 便于实施。但在先对比较复杂的企业网络系统中，应用系统相对复杂， 传统方式主要考虑不同应用系统之间安全防护等级的不同，较少考虑同一应用系统对外提供服务时内部不同层次之间存在的安全等级差异，一般而言，存在以下4个方面缺点：

·  在应用系统较为复杂的网络系统中，不同应用系统的用户层、表示层功能相互整合，各应用系统不同层次间的联系日趋复杂，从而很难设定明确的界限对应用系统进行归类，造成安全区域边界模糊。

·  设置在安全区域边界的防火墙实施的安全策略级别不清， 存在着应用划分层次(用户、表示、应用、数据) 4 层功能两两之间各种级差的访问控制策略，防火墙安全等级定位不清，不利于安全管理和维护。

·  所有区域定义的安全级别过于复杂，多达 10 级安全等级，等级高低没有严格的划分标准，造成实施边界防护时难以进行对应操作。

·  逻辑网络安全区域和物理网络区域的概念不清，相互混用，无法明确指出两者之间的相互关系。

• 改进的安全区域划分方法- 层次型安全区域划分方法

借鉴 B/S 结构应用系统对外提供服务的层次关系，采用层次分析的方法，将数据网络划分成核心数据层、应用表述层、网络控制层、用户接入层 4 个不同的安全等级，从核心数据层到用户接入层安全等级递减。不同安全层次等级之间由于存在较大安全级差，需要通过防火墙实施物理隔离和高级别防护；同一安全等级层次内的资源，根据对企业的重要性不同，以及面临的外来攻击威胁、内在运维风险不同， 进一步划分成多个安全区域， 每个区域之间利用防火墙、 IOS ACL、VLAN 实施逻辑、物理的隔离，形成一个垂直分层，水平分区的网络安全区域模型。