运营商IT系统网络架构的安全域划分
网络安全管理制度中的安全域划分与访问控制
网络安全管理制度中的安全域划分与访问控制网络安全管理在当今信息时代成为各个组织和企业必不可少的一部分。
为了保障网络系统的安全,安全域划分与访问控制是一种重要的管理手段。
本文将详细介绍安全域划分与访问控制的概念、原则和实施方法,以帮助读者更好地理解和应用这一管理制度。
一、安全域划分在网络系统中,安全域是指一组拥有相同安全等级和访问权限的资源集合。
安全域的划分可以根据组织的结构、业务需求和安全等级来进行。
常见的安全域划分模式包括:主机级安全域、子网级安全域和应用级安全域等。
1. 主机级安全域主机级安全域是以主机为单位进行划分的安全域。
在这种模式下,每个主机作为一个独立的安全域,拥有自己的资源和权限。
主机级安全域的划分可以按照主机的功能、用途和安全等级来进行,以实现对各个主机的精细化管理和访问控制。
2. 子网级安全域子网级安全域是以子网为单位进行划分的安全域。
在这种模式下,一个子网内的主机之间可以自由访问,而不同子网之间的访问需要经过访问控制设备进行筛选。
子网级安全域的划分基于网络拓扑和物理隔离的原则,可以提高网络的安全性和可管理性。
3. 应用级安全域应用级安全域是以应用程序为单位进行划分的安全域。
在这种模式下,每个应用程序拥有独立的安全域,根据应用程序的访问权限和功能需求进行资源的划分和管理。
应用级安全域的划分可以实现对特定应用程序的安全隔离和访问控制,减少潜在的安全风险。
二、访问控制访问控制是指根据安全策略和权限规则,对网络资源进行授权和限制访问的过程。
在网络安全管理中,访问控制是一项关键的安全保障措施,通过配置和管理访问控制策略,可以有效控制用户对网络资源的访问行为。
1. 访问控制模型访问控制模型是访问控制策略的基础,常见的访问控制模型包括强制访问控制(MAC)、自主访问控制(DAC)和基于角色的访问控制(RBAC)等。
- 强制访问控制(MAC)模型是以主体和客体的安全等级为基础,通过强制策略对访问进行限制。
网络设备配置与管理项目中的安全域划分与隔离
网络设备配置与管理项目中的安全域划分与隔离在网络设备配置与管理项目中,安全域划分与隔离是一项至关重要的任务。
通过合理的安全域划分与隔离措施,可以有效提高网络安全性,防范潜在的攻击和威胁。
本文将介绍网络设备配置与管理项目中的安全域划分与隔离方案,旨在为读者提供清晰的指导,并针对不同场景做出相应建议。
首先,对于较大规模的网络设备配置与管理项目,建议采用三层架构来划分安全域。
该架构将网络划分为核心层、汇聚层和接入层三个层级,每个层级承担不同的安全功能和管理任务。
核心层是网络设备的中心,主要负责多个汇聚层的数据转发和路由。
在安全域划分中,核心层应设置为最高安全级别,只允许授权的管理员进行配置和管理。
核心层的设备数量相对较少,不仅可以提高网络的安全性,还可以降低管理的复杂度。
汇聚层是连接核心层和接入层的枢纽,主要负责交换和整合数据。
在安全域划分中,汇聚层可以配置为多个虚拟局域网(VLAN),根据需求将不同的用户或部门划分到不同的安全域中。
比如,可以将办公区、生产区和研发区划分为不同的安全域,以实现互不干扰的网络环境。
接入层是网络设备与终端用户直接连接的层级,主要负责数据的接入和分发。
在安全域划分中,接入层可以采用访客网络和内部网络的划分,确保未经授权的用户无法直接访问内部网络。
此外,还可以采用端口隔离和用户身份验证等方式,增加网络的安全性。
其次,在网络设备配置与管理项目中,安全域的隔离也是非常重要的一环。
隔离可以避免不同安全域之间的信息泄露和攻击扩散,提高网络的容错能力和恢复速度。
以下是几种常见的安全域隔离方式:1. 物理隔离:通过使用不同的交换机或路由器,将不同的安全域隔离在物理上。
这种方式可以有效防止跨安全域的攻击和入侵,但也增加了硬件设备的成本和管理负担。
2. 虚拟隔离:通过使用虚拟局域网(VLAN)或虚拟专用网络(VPN),将不同的安全域隔离在逻辑上。
虚拟隔离可以更灵活地配置和管理安全域,降低硬件成本,但需要确保网络设备和软件的兼容性和安全性。
网络安全域
网络安全域网络安全是指在计算机网络中保护网络系统资源和信息不受非法或恶意活动侵害的一系列措施和技术手段。
现如今,随着网络的普及和应用范围的不断扩大,网络安全问题也日益凸显,给个人、组织和国家带来了严重的损失和危害。
因此,构建一个安全的网络环境对于维护网络的正常运行和用户的利益至关重要。
网络安全域是指在网络中划定的一块相对独立的网络空间。
它可以根据企业或组织的需求进行划分,形成不同的安全区域,并在每个安全区域内实施相应的安全策略和措施。
网络安全域的划分可以根据以下几个方面进行考虑:首先,根据网络的功能和用途进行划分。
可以将网络划分为内部网络和外部网络,内部网络主要用于企业或组织内部通信和办公,外部网络用于与外界的通信和互联。
这样的划分可以有效地隔离内外网的风险,保护内部网络的安全。
其次,根据网络的业务和应用进行划分。
对于不同的业务和应用,可以将网络划分为不同的部门或项目的安全域。
比如可以将财务部门、研发部门、管理部门等划分为不同的安全域,并为每个安全域制定相应的安全策略和访问权限,实现精细化的安全管理。
另外,还可以根据网络中的风险和威胁进行划分。
可以将网络划分为高风险和低风险的安全域,对于高风险的安全域可以采取更加严格和精细的安全策略,以应对潜在的威胁和入侵行为。
最后,网络安全域的划分还需要考虑网络性能和用户的便利性。
划分过多的安全域可能导致网络性能下降和管理复杂度增加,而划分过少的安全域可能无法有效地隔离风险和威胁。
因此,在划分安全域时需要综合考虑这些因素,找到一个合适的平衡点。
总而言之,网络安全域的划分是保护网络安全的一项重要措施。
通过合理划分网络安全域,可以实现精细化的安全管理和风险控制,提高网络的安全性和稳定性。
同时,用户也需要加强自身的网络安全意识,学习和掌握一些基本的网络安全知识和技巧,以更好地保护自己的网络安全。
只有通过集体和个人的共同努力,才能构建一个安全、可信赖的网络环境。
网络安全边界域
网络安全边界域
网络安全边界域是指在网络架构中划定的不同安全级别的边界线,用来保护网络系统和数据不受未经授权的访问和攻击。
网络安全边界域的划分通常根据不同的功能和安全需求来确定不同的边界线。
首先,在网络中,通常会划分出外部边界、内部边界和信任域边界。
外部边界是与公共网络相连的边界线,用来与外部世界进行通信。
为了保护内部网络环境,通常会在外部边界上设置防火墙、入侵检测系统等安全设备来阻挡潜在的攻击。
其次,内部边界是将内部网络划分成不同的安全域,用来限制访问权限和隔离网络流量。
内部边界通常会根据不同的业务需求和安全级别来设置,比如将办公网络和生产网络分开,或者将研发网络和销售网络分开。
在内部边界上,可以使用虚拟局域网(VLAN)或安全域隔离技术来实现网络的隔离和访问控制。
信任域边界是指存在信任关系的网络之间的边界线,允许较高安全级别的网络访问较低安全级别的网络。
在信任域边界上,通常会使用安全网关、反向代理等技术来实现安全访问和身份验证。
此外,还可以采用虚拟专用网络(VPN)技术来建立
安全的远程访问连接。
除了以上的边界域,还可以根据具体的网络安全需求划分其他的边界域,比如安全子网、安全区域等。
在这些边界域中,可以通过安全策略、网络隔离、访问控制等措施来保护网络安全。
综上所述,网络安全边界域的划分是为了提高网络安全性,并根据不同的安全级别和功能需求来设置相应的安全边界线。
通过合理划分和配置边界域,可以有效地防止网络攻击和未经授权的访问,保护网络系统和数据的安全。
网络安全安全域划分策略(Ⅱ)
网络安全安全域划分策略随着网络技术的不断发展,网络安全问题也日益凸显。
在企业和组织的网络环境中,合理的网络安全安全域划分策略显得尤为重要。
本文将从安全域划分的基本概念出发,探讨网络安全领域的相关问题,并提出一些应对网络安全挑战的解决方案。
安全域划分的基本概念安全域划分是指根据网络环境的特点和安全需求,将网络划分为不同的安全域,以便对不同的网络资源进行有效的隔离和管控。
安全域通常根据功能特点和安全等级的不同进行划分,比如内部局域网、外部网络、DMZ(Demilitarized Zone)等。
通过安全域划分,网络管理员可以对不同的网络资源实施不同的安全策略,提高网络安全防护能力。
安全域划分策略在制定安全域划分策略时,需要考虑以下几点:1. 网络拓扑结构:安全域划分应该与网络拓扑结构相匹配,以便对网络资源进行有效的管理和隔离。
常见的网络拓扑结构包括星型、总线型、环型等,不同的网络拓扑结构将对安全域划分产生影响。
2. 安全需求:不同的网络资源具有不同的安全需求,比如数据库服务器、邮件服务器等对安全性要求较高,需要划分独立的安全域进行隔离管理。
而对于一些普通的工作站和打印机等资源,则可以划分到通用的安全域中。
3. 安全策略:在进行安全域划分时,需要明确各个安全域之间的通信策略,以及对外部网络的访问控制策略。
合理的安全策略可以有效地防范网络攻击和数据泄露。
安全域划分的挑战在实际应用中,安全域划分也面临着一些挑战:1. 跨域通信:在不同安全域之间需要进行跨域通信时,需要考虑如何确保通信的安全性和可靠性。
常见的解决方案包括使用防火墙、VPN(Virtual Private Network)等技术进行安全通信。
2. 安全管理复杂:随着安全域的增加,网络管理员需要对不同的安全域进行管理和维护,这将增加管理的复杂性和成本。
因此,如何实现安全域划分的同时简化管理是一个重要的课题。
3. 安全域划分的动态性:随着网络环境的不断变化,安全域划分也需要不断调整和优化。
网络安全区域空间
网络安全区域空间网络安全区域空间是指在网络环境中进行安全防护和管理的一种划分方式,以实现对网络资源的保护和使用控制。
网络安全区域空间的划分可以根据不同的需求和安全级别进行灵活的调整,以满足网络安全管理的要求。
网络安全区域空间的划分依据包括网络拓扑结构、功能区域和安全策略等因素。
首先,根据网络拓扑结构的不同,可以将网络划分为外部网络、域间网络和内部网络。
外部网络是指与互联网相连接的部分,一般包括公司的外网接入以及可能涉及到的合作伙伴的网络。
域间网络是指不同机构或者不同地域之间互联的网络,可以通过虚拟专用网络(VPN)或者其他网络间连接技术实现。
内部网络是指企业或机构内部的网络,包括各个部门或者分支机构的网络。
其次,根据功能区域的不同,可以将网络划分为不同的区块。
例如,可以将网络划分为办公区、生产区、数据中心区、测试区等。
办公区是指办公人员工作和办公信息处理的区域,需要提供安全的网络访问和数据传输。
生产区是指生产工作和设备控制相关的区域,需要保护设备的安全以及防止恶意攻击。
数据中心区是指存储和处理重要数据的区域,需要提供高级别的安全保护措施。
测试区是指用于软件和系统测试的区域,需要提供安全隔离以及灵活的安全策略。
最后,根据安全策略的不同,可以将网络划分为信任区和非信任区。
信任区是指可信用户和网络设备所在的区域,可以实现数据传输和访问的安全控制。
非信任区是指不可信用户和网络设备所在的区域,需要加强安全措施以避免可能的攻击和恶意行为。
可以通过网络防火墙、入侵检测系统和访问控制等技术手段来实现对非信任区的保护。
在实际应用中,网络安全区域空间的划分可以根据具体的场景和需求进行灵活调整。
不同的组织和企业可以根据自身的情况来划分网络安全区域空间,以实现对网络资源、用户和数据的安全管理和控制,提高网络的安全性和可用性。
同时,网络安全区域空间的划分也可以提供更加精细化的权限控制和安全监控,为网络安全运维和事件响应提供更加有力的支持。
网络安全安全域划分策略(Ⅱ)
网络安全安全域划分策略随着互联网的快速发展,网络安全问题也日益突出。
在企业和个人用户中,网络安全已经成为一项重要的议题。
在网络安全领域,安全域划分策略是非常关键的一部分,它能够帮助用户有效地保护自己的网络安全。
本文将就网络安全安全域划分策略进行探讨。
一、安全域划分的概念安全域划分是指将网络划分成若干个不同的区域,每个区域有不同的安全级别和访问控制策略。
通俗地说,就是将网络划分成内部网络、外部网络和DMZ (Demilitarized Zone)等不同的区域,以便进行有效的安全管理和控制。
安全域划分的目的是为了提高网络的安全性,减少潜在的安全风险。
二、安全域划分的原则在进行安全域划分时,需要遵循一些基本原则。
首先,要根据业务需求和安全策略来划分安全域。
例如,将内部网络、外部网络和DMZ区域进行合理划分,根据业务需求设置相应的访问控制规则。
其次,安全域划分要尽量简单和清晰,避免出现过于复杂的网络结构和安全策略。
最后,要根据实际情况进行动态调整和优化,随着业务的发展和安全威胁的变化,需要不断地对安全域划分进行调整和优化。
三、安全域划分的策略在进行安全域划分时,需要制定相应的策略。
首先,要根据业务需求和安全风险来确定安全域划分的范围和级别。
例如,对于一些核心业务系统和重要数据,可以划分为高安全级别的内部网络,对外部网络进行访问控制;对于一些公共服务和非核心业务系统,可以划分为低安全级别的DMZ区域,提供一定程度的对外访问权限。
其次,要根据网络拓扑和设备配置来制定安全策略。
例如,可以通过防火墙、路由器和交换机等网络设备,对不同安全级别的网络进行访问控制和流量过滤。
最后,要进行安全域划分的监控和管理。
例如,可以通过安全管理平台和日志审计系统,对安全域划分的实施情况和安全事件进行监控和管理。
四、安全域划分的实施在进行安全域划分的实施过程中,需要注意一些关键问题。
首先,要进行网络安全风险评估和安全域划分设计。
例如,可以通过安全风险评估工具和专业的网络安全团队,对网络进行全面的风险评估和安全域划分设计。
网络安全域划分:划分网络安全域的重要性
网络安全域划分:划分网络安全域的重要性随着互联网的快速发展和普及,网络安全问题日益突出。
为了保护信息系统和网络免受各种攻击和威胁,划分网络安全域成为一种重要的安全管理措施。
本文将探讨网络安全域划分的重要性,并介绍其优势和实施方法。
网络安全域划分的定义网络安全域划分是将整个网络划分为多个逻辑上相互独立的区域,每个区域内的设备、主机和资源具有相似的安全需求和访问控制策略。
通过划分安全域,可以将网络划分为多个较小的子网,以降低潜在攻击者的影响范围,提高网络的安全性。
网络安全域划分的重要性1. 防止攻击蔓延和扩散网络安全域划分可以将网络划分为多个相对独立的区域,当一个区域受到攻击时,其他区域不会受到波及。
这样可以有效防止攻击蔓延和扩散,减少安全事件对整个网络的影响。
2. 提供精确的访问控制通过划分网络安全域,可以为每个域设置独立的访问控制策略,根据不同的安全需求和权限级别,为用户和设备提供精确的访问控制。
这样可以确保只有经过授权的用户和设备能够访问特定的网络资源,提高网络的安全性。
3. 简化安全管理和监控网络安全域划分可以将网络划分为多个较小的子网,每个子网内的设备和资源相对较少,使得安全管理和监控更加简化和集中。
管理员可以更加专注地管理每个子网的安全性,并及时检测和响应安全事件,提高安全管理效率。
4. 降低风险和提高安全性通过网络安全域划分,可以将整个网络划分为多个相对独立的区域,限制了攻击者的行动范围,有效降低了网络系统受到攻击的风险。
同时,针对不同的安全需求和威胁,可以采取相应的安全措施,提高网络的安全性。
5. 支持合规性和法规要求对于一些特定行业,如金融、医疗等,存在着严格的合规性和法规要求。
网络安全域划分可以帮助组织满足这些要求,并提供合规性证明。
例如,根据PCI DSS(支付卡行业数据安全标准),要求将信用卡数据隔离在一个安全域中,以确保其保密性和完整性。
网络安全域划分的实施方法1. 子网划分通过划分子网,将网络划分为多个较小的逻辑区域,每个区域内的设备和资源具有相似的安全需求和访问控制策略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
运营商IT系统网络架构的安全域划分 京移通信设计院有限公司 李玮 众所周知,网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略,它是安全工作的标准和依据;安全技术框架的核心是积极防御,安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。对拥有众多IT系统的电信运营商而言,以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署,更应该是一个全面、立体、构架化的安全体系。安全体系的健康与否,关系到认证与授权是否能够做到对访问的主动控制,关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失,关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题。
IT系统安全体系具体是由解决方案和安全设备部署构成的,二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言,按照网络安全框架的要求,IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的,才能够最终保证所部署的安全设备充分发挥作用,才能够保证安全技术框架的顺利实施,进而保证安全策略的有效贯彻。
一、传统IT系统局域网架构的不足和安全威胁 传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立,经常采用如物理隔离的方式来达到安全的目的,甚至建设两套网络,即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用,而无法实现与其他相关系统之间、与Internet之间的信息交互和共享,不但禁止了有用数据交换,造成信息化工作无法开展,还进一步增加了投资,这与积极防御的理念是背道而驰的。另外,物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次,由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划,同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的,虽然在一定程度上能够起到安全防护作用,但是由于各套IT系统的安全建设自成体系、分散单一,缺乏统筹考虑和宏观把握,造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来运营商制订的统一安全策略难以贯彻、重复建设,安全设备不能充分发挥作用等问题。另外,由于IT系统局域网结构和层次不清晰,不同IT系统所分配私有IP地址很有可能相同。虽然IT系统之间暂时没有发生联系,但是随着运营商维护管理水平的进一步提高,IT系统的管理平台建设也是迫在眉睫,而IT系统内部网络整体结构的天生不足会给今后的管理带来非常大的不便。从管理层面来看,很多运营商由于长期以来把安全项目作为承载网或者其他业务系统、IT等支持系统的附加工程或者从属项目,加之一些网络安全厂商或者电信运营部门的技术人员,往往认为采用先进的网络技术、名牌产品即可实现网络系统、业务系统和IT系统的安全,没有考虑安全产品并未形成体系,容易造成许多薄弱环节没有覆盖到,安全隐患也随之增加。
一般说来,电信运营商IT系统由以下一些系统组成。 1.网络支撑系统,主要有各种网管系统,包括承载网网管、支撑系统网管、业务网管等; 2.业务支撑系统,主要有BOSS、经营分析系统、大客户关系管理系统等; 3.企业管理信息系统,办公自动化系统、电子工单系统、资产管理系统等。 上述IT系统在今天很少是孤立存在的,也就是说,它们必须与其他系统实现网络互通和信息共享与交互。在这种应用需求下,使得不同的外部网络、不同身份和目的的人都有机会连接到运营商内部网络中,从而对IT系统的安全带来了威胁。从电信运营商IT网络环境的层面而言,IT系统的安全威胁主要来自以下几个方面。
1.来自内部误用和滥用的安全威胁,包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。而这类误用和滥用,与运营商内部不同IT系统或者与其他相关系统的互联互通、运营商之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;
2.来自互联网的安全威胁:目前有些运营商的IT系统是与互联网相连的,例如很多办公自动化系统都与互联网相连,如果安全措施不力就很有可能被黑客利用,带来网络安全问题;
3.来自缺省配置的安全威胁:电信行业在建设IT系统时,大量的UNIX/WINDOWS/NOTES等系统很多都采用缺省配置,造成开放不必要的端口等安全隐患,如果运营商对其IT局域网架构缺乏安全边界的划分,而又没有采取一个可集中控制访问请求的措施,则很容易被不法分子利用进行非法入侵。 二、运营商IT系统局域网架构的安全域划分 IT系统安全体系的最终目标就是在技术可行和管理可行的前提下,将安全风险和隐患降低到一个可以接收的水平。要实现这一目标,需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备,更是需要综合考虑如何在现有IT网络架构上安装何种安全设备才能发挥最大的作用。通过前面的分析可知,如果没有一个结构清晰、可靠实用、扩展灵活的IT网络,依然沿袭各套IT系统的安全建设自成体系、分散单一的常规做法,即使选用最先进的安全设备,那么也只能是搭建了一个空中楼阁,无法从根本上减弱IT系统所受到的安全威胁和隐患。因此,克服和改造IT系统传统局域网整体结构的不足才是电信运营商解决网络安全的首要工作。为规划和建设一个完善的IT系统局域网,本文引入一个安全域的新概念。安全域的定义是,在安全策略的统一指导下,根据各套IT系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等,将运营商的IT系统局域网划分成不同的域,将不同IT系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化。
这里需要明确的是,IT系统局域网结构的安全域划分并不是传统意义上的物理隔离,物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程,隔断网络使信息不能共享;而安全域划分是在认真分析各套IT系统的安全需求和面临的安全威胁的前提下,既重视各类安全威胁,也允许IT系统之间以及与其他系统之间正常传输和交换的合法数据。
从设备组成上看,如果不考虑这些IT系统中自带的安全设备,可以将其分为三大部分:核心处理系统,包括多主机架构组成的服务器、数据库、应用软件等,负责该IT系统的信息采集、处理和应用;接入交换系统,包括路由器和交换机,负责该IT系统的内部以及与其他相关系统之间的信息交互;操作维护部分,包括各类操作维护终端,负责向维护管理人员提供接入手段。一般情况下,电信运营商的IT系统虽然是独立建设的,但各套设备的物理位置都是比较集中的,而且不同IT系统的核心处理系统、接入交换系统和操作维护部分所面临的安全威胁、安全需求都是比较类似和接近的(例如IT系统的操作维护终端多是基于MS windows平台,遭受病毒攻击的风险比较接近),因此可以利用这两个特点并借鉴常规物理隔离中的有益思想,完成电信运营商IT系统局域网结构的安全域划分。 在安全域划分时应该遵循以下的一些基本原则。
1.根据电信运营商IT系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。前面已经提到,从网络构架层面来讲,电信运营商IT系统局域网整体结构安全域的划分是与安全产品的部署密不可分的,一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境;另一方面,将安全域划分为域内划分和域外划分两种,域和域之间主要采用通过交换设备划分VLAN和防火墙来彼此策略隔离;在域内主要根据不同被保护对象的安全需求采用部署AAA、IDS和防病毒系统等来完成,因此,安全域的划分不能脱离安全产品的部署。
2.安全域的个数不应过多,否则在策略设置上过于复杂,会给今后管理带来很大不便;在划分的保证各个安全域之间路由或者交换跳数不应该过多;
3.安全域划分的目的是发挥安全产品的整体效能,并不是对运营商IT系统原有局域网整体结构的彻底颠覆。因此在对运营商IT系统局域网结构改造的同时需要考虑保护已有投资,避免重复投入与建设。
根据上述原则,建议电信运营商可将其IT系统局域网划分为核心交换区、生产区、日常维护区、互联区、DMZ区这五个安全域,每个安全域的具体功能如下。
1.核心交换区:主要放置一套核心交换设备,用于实现生产区、日常维护区、互联区、DMZ区的划分、隔离和不同系统之间有条件的信息交互;
2.生产区:主要放置运营商IT系统中的核心生产设备和交换设备; 3.日常维护区:主要放置各套IT系统维护终端及其汇聚交换设备; 4.互联区:主要放置各套IT系统的接入互联设备,用于实现IT系统与专网或者互联网的连接和互通; 5.DMZ区:主要放置一些可供内、外部用户宽松访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器等。
图1 电信运营商IT系统局域网架构安全域划分示意图 从图1可以看出,采用这种方式来划分IT系统局域网的安全域,不仅网络结构清晰,交换和路由跳数适中,而且还存在着以下优点。
1.便于安全产品的部署。从图1可以看出,核心交换区是IT系统网络的神经中枢,内部和外部的信息传输和交互都要通过它来完成。因此可以在核心交换区部署一套IDS,用于对进入核心交换设备的信息,尤其是来自互联区的信息进行监控。日常维护区是运维人员操作维护相关IT系统的区域,因此可以在该区域增加一套AAA系统用于实现对相关交换机、终端主机等设备的认证、授权、审计;也可以统一部署防病毒系统,用于对维护终端的病毒监测和清除。互联区中出入信息量很大,信息源也较为复杂,因此可以在核心交换区与互联区之间增加一套防火墙,起到基本的边界防护作用,抵御运营商内部IT网络不受威胁。总之,采用这种方式来划分IT系统局域网的安全域,只需要在不同安全域之间,在安全域内部有针对性的集中部署一些安全设备,不但节约投资,而且可以明显提高运营商各套IT系统的整体防护效能,较好地贯彻了积极防御、综合防范的方针。
2.扩展性和灵活性好。采用这种方式来划分IT系统局域网的安全域不仅能较好地满足当前IT系统的需求,而且在今后引入其他IT支撑系统时,无需再按照传统方式附加一个安全工程,甚至可以完全不考虑安全问题,只需将其核心处理系统、交换系统、操作维护系统接入不同的安全域,就能够满足一般安全需求。如果某一IT系统的连接端口需求比较少,还可以直接就近接入与其安全需求接近的IT系统所配备的交换设备,不但节省投资,还加快了运营商IT系统的建设速度。