企業(yè)網絡安全區(qū)域設計原則與劃分方法

企業(yè)網絡安全區(qū)域設計原則與劃分方法

網絡逐漸成為企業(yè)運營不可或缺的一部分，基于互聯(lián)網的應用、遠程培訓、在線訂購以及財務交易等，極大地提高企業(yè)的生產力和盈利能力，帶來很多的便利。

但在享受便利的同時，網絡系統(tǒng)同樣也成為安全威脅的首要目標，網絡安全面臨著前所未有的威脅。威脅不僅來自人為的破壞，也來自自然環(huán)境。各種人員、機構出于各種目的攻擊行為，系統(tǒng)自身的安全缺陷（脆弱性），以及自然災難，都可能構成對企業(yè)網絡系統(tǒng)的威脅。威脅的發(fā)起因素是威脅的主體，按威脅主體的性質分類，安全威脅可以分為人為的安全威脅和非人為的安全威脅。按人為攻擊的方式分類，可以分為被動攻擊、主動攻擊、鄰近攻擊和分發(fā)攻擊等。1、安全威脅非人為的安全威脅非人為的安全威脅主要分為兩類，一類是自然災難，另一類是技術局限性。信息系統(tǒng)都是在一定的物理環(huán)境下運行，自然災難對信息系統(tǒng)的威脅是非常嚴重的。典型的自然災難包括：地震、水災、火災、風災等。自然災難可能會對信息系統(tǒng)造成毀滅性的破壞。同所有技術一樣，信息技術本身也存在局限性，有很多缺陷和漏洞。典型的缺陷包括：系統(tǒng)、硬件、軟件的設計缺陷、實現(xiàn)缺陷和配置缺陷。信息系統(tǒng)的高度復雜性以及信息技術的高速發(fā)展和變化，使得信息系統(tǒng)的技術局限性成為嚴重威脅信息系統(tǒng)安全的重大隱患。人為安全威脅網絡系統(tǒng)面臨的人為安全威脅可分為外部威脅和內部威脅，人為安全威脅主要是人為攻擊，主要分為以下幾類：被動攻擊、主動攻擊、鄰近攻擊、分發(fā)攻擊。被動攻擊這類攻擊主要包括被動監(jiān)視通信信道上的信息傳送。被動攻擊主要是了解所傳送的信息，一般不易被發(fā)現(xiàn)。典型攻擊行為有：a)監(jiān)聽通信數據；b)解密加密不善的通信數據；c)口令截獲；d)通信流量分析。主動攻擊主動攻擊為攻擊者主動對信息系統(tǒng)實施攻擊，包括企圖避開安全保護，引入惡意代碼，以及破壞數據和系統(tǒng)的完整性。a)修改數據；b)重放所截獲的數據；c)插入數據；d)盜取合法建立的會話；e)偽裝；f)越權訪問；g)利用緩沖區(qū)溢出（BOF）漏洞執(zhí)行代碼；h)插入和利用惡意代碼（如：特洛依木馬、后門、病毒等）；i)利用協(xié)議、軟件、系統(tǒng)故障和后門；j)拒絕服務攻擊。鄰近攻擊此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網絡、系統(tǒng)和設備，目的是修改、收集信息，或者破壞系統(tǒng)。這種接近可以是公開的或秘密的，也可能是兩種都有，鄰近攻擊最容易發(fā)生在沒有良好保安措施的地方。典型的鄰近攻擊有：a)偷取磁盤后又還回；b)偷窺屏幕信息；c)收集作廢的打印紙；d)物理毀壞通信線路。分發(fā)攻擊分發(fā)攻擊是指在系統(tǒng)硬件和軟件的開發(fā)、生產、運輸、安裝和維護階段，攻擊者惡意修改設計、配置等行為。典型的分發(fā)攻擊方式有：a)利用制造商在設備上設置隱藏的攻擊途徑；b)在產品分發(fā)、安裝時修改軟硬件配置，設置隱藏的攻擊途徑；c)在設備和系統(tǒng)維護升級過程中修改軟硬件配置，設置隱藏的攻擊途徑。直接通過因特網進行遠程升級維護具有較大的安全風險。內部威脅內部威脅是由于內部管理不善，由內部合法人員造成，他們具有對系統(tǒng)的合法訪問權限。內部合法人員對系統(tǒng)的威脅，除了具有上述人為安全威脅的攻擊方式，還具有其特有的攻擊手段。內部威脅分為惡意和非惡意兩種，即惡意攻擊和非惡意威脅。惡意攻擊是指出于各種目的而對所使用的信息系統(tǒng)實施的攻擊。非惡意威脅則是由于合法用戶的無意行為造成了對政務信息系統(tǒng)的攻擊，他們并非故意要破壞信息和系統(tǒng)，但由于誤操作、經驗不足、培訓不足而導致一些特殊的行為，對系統(tǒng)造成了破壞。典型的內部威脅有：a)惡意修改數據和安全機制配置參數；b)惡意建立未授權的網絡連接，如：撥號連接；c)惡意的物理損壞和破壞；d)無意的數據損壞和破壞，如：誤刪除。2、傳統(tǒng)安全防范技術面對如此眾多的威脅威脅，傳統(tǒng)安全防范技術強調單個安全產品的重要性，如防火墻的性能和功能，IDS入侵檢測系統(tǒng)的高效性等，而對全網的安全威脅沒有一個仔細的研究，對網絡安全的設計沒有明確的層次和區(qū)域，如下圖所示：網絡中部署了相關的安全產品，防火墻，VPN，IDS，安全管理等，但由于組網方式很隨意，沒有統(tǒng)一規(guī)劃，不清楚網絡的威脅，層次，區(qū)域策略，安全防護手段部署原則不明確，當網絡某一局部出現(xiàn)安全隱患被侵入后，由于網絡之間邊界不清楚，無清楚的邊界控制，攻擊很容易擴散，從而局部侵入馬上成為全網侵入，造成對全網的威脅。當局部的蠕蟲泛濫，造成全網的快速泛濫，企業(yè)用戶缺乏足夠的緩沖處理時間，可能很快造成全網癱瘓，而部署的安全設備也不能充分的發(fā)揮作用，成為資源的浪費。3、縱深防御和安全區(qū)域劃分因此，在多種多樣的安全威脅前，企業(yè)需要建立縱深防御體系，防止因某個部分的侵入而導致整個系統(tǒng)的崩潰；基于網絡系統(tǒng)之間邏輯關聯(lián)性和物理位置，功能特性，劃分清楚的安全層次和安全區(qū)域，在部署安全產品和策略時，才可以定義清楚安全策略和部署模式。特別是對復雜的大系統(tǒng)，安全保障包括網絡基礎設施、業(yè)務網，辦公網，本地交換網，電子商務網，信息安全基礎設施等多個保護區(qū)域。這些區(qū)域是一個緊密聯(lián)系的整體，相互間既有縱向的縱深關系,又有橫向的協(xié)作關系，每個范圍都有各自的安全目標和安全保障職責。積極防御、綜合防范的方針為各個保護范圍提供安全保障，有效地協(xié)調縱向和橫向的關系，提高網絡整體防御能力。安全區(qū)域劃分對企業(yè)網絡的建設有著以下重要意義：縱深防御依賴于安全區(qū)域的清除定義安全區(qū)域間邊界清晰，明確邊界安全策略加強安全區(qū)域策略控制力，控制攻擊擴散，增加應對安全突發(fā)事件的緩沖處理時間依據安全策略，可以明確需要部署的安全設備使相應的安全設備充分運用，發(fā)揮應有的作用安全域隔離技術安全域隔離技術主要分為物理隔離技術和邏輯隔離技術兩類物理隔離

?物理級（電磁輻射）--屏蔽、干擾

?終端級（雙網機）--雙盤型、雙區(qū)型

?傳輸信道級--非加密信道、加密信道

?網絡級（網閘）

--信息交換型

--信息共享型

--系統(tǒng)互操作型邏輯隔離

?防火墻控制

?VLAN虛擬網技術

?FR,ATM技術

?L2TPV3,ATOM

?IPsecVPN,MPLSVPN,SSLVPN,GRE技術

?病毒網關過濾技術

?應用層安全控制技術4、一般企業(yè)網絡安全區(qū)域設計模型企業(yè)網絡情況和業(yè)務系統(tǒng)千差萬別，所以不同企業(yè)對安全區(qū)域的劃分，可以有完全不同的表述方法和模式。但一般而言，大多數企業(yè)均有相同的網絡部分和安全分區(qū)。安全區(qū)域相關定義在劃分安全區(qū)域時，需要明確幾個安全區(qū)域相關的定義，以免模糊他們之間的概念，造成區(qū)域劃分完之后，依然邏輯不清晰，安全策略無法明確，立體的縱深防御體系也無法建立。一般在安全區(qū)域劃分時，需要明確如下常用的定義：?

物理網絡區(qū)域物理網絡區(qū)域是指數據網中，依照在相同的物理位置定義的網絡區(qū)域，通常如辦公區(qū)域，遠程辦公室區(qū)域，樓層交換區(qū)域等?

網絡功能區(qū)域功能區(qū)域是指以功能為標準，劃分的邏輯網絡功能區(qū)域，如互聯(lián)網區(qū)域，生產網區(qū)域，辦公網區(qū)域等?

網絡安全區(qū)域網絡安全區(qū)域是指網絡系統(tǒng)內具有相同安全要求、達到相同安全防護等級的區(qū)域。同一安全區(qū)域一般要求有統(tǒng)一的安全管理組織和安全防護體系及策略，不同的安全區(qū)域的互訪需要有相應的邊界安全策略。?

網絡安全層次根據層次分析方法，將網絡安全區(qū)域劃分成幾個不同安全等級的層次，同一層次包含若干個安全等級相同的區(qū)域，同層安全區(qū)域之間相互邏輯或物理隔離。?

物理網絡區(qū)域和安全區(qū)域的關系一個物理網絡區(qū)域可以對應多個安全區(qū)域，一個安全區(qū)域只能對應一個物理網絡區(qū)域?

網絡功能區(qū)域和物理網絡區(qū)域的關系一個網絡功能區(qū)域可以對應多個物理網絡區(qū)域，一個物理網絡區(qū)域只能對應一個網絡功能區(qū)域，如辦公網功能區(qū)域，可以包含總部辦公網物理區(qū)域，遠程辦公室辦公網物理區(qū)域，移動辦公物理區(qū)域等。?

網絡功能區(qū)域和安全區(qū)域的關系一個網絡功能區(qū)域可以對應多個網絡安全區(qū)域，一個網絡安全區(qū)域只能對應一個網絡功能區(qū)域。安全區(qū)域設計一般原則盡管不同企業(yè)對安全區(qū)域的設計可能理解不盡相同，但還是有一般的安全區(qū)域設計原則可供參考如下：?

一體化設計原則綜合考慮整體網絡系統(tǒng)的需求，一個整體的網絡安全區(qū)域設計規(guī)范以規(guī)范我?

多重保護原則不能把整個系統(tǒng)的安全寄托在單一的安全措施或安全產品上，要建立一套多重保護系統(tǒng)，各重保護相互補充，當一層保護被攻破時，其它層的保護仍可確保信息系統(tǒng)的安全?

定義清楚的安全區(qū)域邊界設定清楚的安全區(qū)域邊界，可以明確安全區(qū)域策略，從而確定需要部署何種安全技術和設備?

在安全域之間執(zhí)行完整的策略在安全域之間執(zhí)行完整的安全策略，幫助建立完整的縱深防御體系，方便安全技術實施部署?

通常安全域越多越好?

較多的安全區(qū)域劃分可以提供更精確的訪問控制策略，提高網絡的可控性?

太多的安全區(qū)域，會增加管理復雜性?

需要在較多的安全區(qū)域劃分和管理的復雜性之間做出平衡選擇?

風險、代價平衡分析的原則通過分析網絡系統(tǒng)面臨的各種安全問題挑戰(zhàn)，確保實施網絡系統(tǒng)安全策略的成本與被保護資源的價值相匹配；確保安全防護的效果與網絡系統(tǒng)的高效、健壯相匹配。?

適應性、靈活性原則在進行網絡安全區(qū)域設計時，不能只強調安全方面的要求，要避免對網絡、應用系統(tǒng)的發(fā)展造成太多的阻礙；另外，在網絡安全區(qū)域模型保持相對穩(wěn)定的前提下，要求整體安全區(qū)域架構可以根據實際安全需求變化進行微調，使具體網絡安全部署的策略易于修改，隨時做出調整。網絡安全區(qū)域劃分方法傳統(tǒng)的劃分方法傳統(tǒng)安全區(qū)域劃分方法基本是以安全功能區(qū)域和物理區(qū)域相結合，做出安全區(qū)域的劃分。在一般規(guī)模較小的企業(yè)網絡環(huán)境中，這種方式簡明，方便，邏輯清楚

便于實施。但在先對比較復雜的企業(yè)網絡系統(tǒng)中，應用系統(tǒng)相對復雜，傳統(tǒng)方式主要考慮不同應用系統(tǒng)之間安全防護等級的不同，較少考慮同一應用系統(tǒng)對外提供服務時內部不同層次之間存在的安全等級差異，一般而言，存在以下4個方面缺點：

?

在應用系統(tǒng)較為復雜的網絡系統(tǒng)中，不同應用系統(tǒng)的用戶層、表示層功能相互整合，各應用系統(tǒng)不同層次間的聯(lián)系日趨復雜，從而很難設定明確的界限對應用系統(tǒng)進行歸類，造成安全區(qū)域邊界模糊。

?

設置在安全區(qū)域邊界的防火墻實施的安全策略級別不清，存在著應用劃分層次(用戶、表示、應用、數據)4層功能兩兩之間各種級差的訪問控制策略，防火墻安全等級定位不清，不利于安全管理和維護。

?

所有區(qū)域定義的安全級別過于復雜，多達10+級安全等級，等級高低沒有嚴格的劃分標準，造成實施邊界防護時難以進行對應操作。

?

邏輯網絡安全區(qū)域和物理網絡區(qū)域的概念不清，相互混用，無法明確指出兩者之間的相互關系。改進的安全區(qū)域劃分方法-層次型安全區(qū)域劃分方法借鑒B/S結構應用系統(tǒng)對外提供服務的層次關系，