數(shù)據(jù)中心安全域的設計和劃分安全區(qū)域(以下簡稱為安全域) 是指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡。安全域劃分是保證網(wǎng)絡及基礎設施穩(wěn)定正常的基礎，

數(shù)據(jù)中心安全域的設計和劃分

安全區(qū)域(以下簡稱為安全域) 是指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡。安全域劃分是保證網(wǎng)絡及基礎設施穩(wěn)定正常的基礎，也是保障業(yè)務信息安全的基礎。

一、安全域設計方法

安全域模型設計采用" 同構性簡化" 方法，基本思路是認為一個復雜的網(wǎng)絡應當是由一些相通的網(wǎng)絡結構元所組成，這些網(wǎng)絡結構元以拼接、遞歸等方式構造出一個大的網(wǎng)絡。

一般來講，對信息系統(tǒng)安全域(保護對象) 的設計應主要考慮如下方面因素：

1. 業(yè)務和功能特性。

①業(yè)務系統(tǒng)邏輯和應用關聯(lián)性。

②業(yè)務系統(tǒng)對外連接。對外業(yè)務、支撐、內(nèi)部管理。

2. 安全特性的要求。

①安全要求相似性?？捎眯?、保密性和完整性的要求。

②威脅相似性。威脅來源、威脅方式和強度。

③資產(chǎn)價值相近性。重要與非重要資產(chǎn)分離。

3. 參照現(xiàn)有狀況。

①現(xiàn)有網(wǎng)絡結構的狀況。現(xiàn)有網(wǎng)絡結構、地域和機房等。 ②參照現(xiàn)有的管理部門職權劃分。

二、安全域設計步驟

一個數(shù)據(jù)中心內(nèi)部安全域的劃分主要有如下步驟：

1. 查看網(wǎng)絡上承載的業(yè)務系統(tǒng)的訪問終端與業(yè)務主機的訪問關系及業(yè)務主機之間的訪問關系，若業(yè)務主機之間沒有任何訪問關系，則單獨考慮各業(yè)務系統(tǒng)安全域的劃分，若業(yè)務主機之間有訪問關系，則幾個業(yè)務系統(tǒng)一起考慮安全域的劃分。

2. 劃分安全計算域。根據(jù)業(yè)務系統(tǒng)的業(yè)務功能實現(xiàn)機制、保護等級程度進行安全計算域的劃分，一般分為核心處理域和訪問域，其中數(shù)據(jù)庫服務器等后臺

處理設備歸人核心處理域，前臺直接面對用戶的應用服務器歸人訪問域；局域網(wǎng)訪問域可以有多種類型，包括開發(fā)區(qū)、測試區(qū)、數(shù)據(jù)共享區(qū)、數(shù)據(jù)交換區(qū)、第三方維護管理區(qū)、VPN 接人區(qū)等；局域網(wǎng)的內(nèi)部核心處理域包括數(shù)據(jù)庫、安全控制管理、后臺維護區(qū)(網(wǎng)管工作) 等，核心處理域應具有隔離設備對該區(qū)域進行安全隔離，如防火墻、路由器(使用ACL) 、交換機(使用VLAN) 等。

3. 劃分安全用戶域。根據(jù)業(yè)務系統(tǒng)的訪問用戶分類進行安全用戶域的劃分，訪問同類數(shù)據(jù)的用戶終端、需要進行相同級別保護劃為一類安全用戶域，一般分為管理用戶域、內(nèi)部用戶域、外部用戶域。

4. 劃分安全網(wǎng)絡域。安全網(wǎng)絡域是由連接具有相同安全等級的計算域和(或) 用戶域組成的網(wǎng)絡域。網(wǎng)絡域的安全等級的確定與網(wǎng)絡所連接的安全用戶域和(或) 安全計算域的安全等級有關。一般同一網(wǎng)絡內(nèi)化分三種安全域:外部域、接人域、內(nèi)部域。

三、安全域模型

該模型包含安全服務域、有線接人域、無線接入域、安全支撐域和安全互聯(lián)域等五個安全區(qū)域。同一安全區(qū)域內(nèi)的資產(chǎn)實施統(tǒng)一的保護，如進出信息保護機制、訪問控制、物理安全特性等。

1. 安全服務域。安全服務域是指由各信息系統(tǒng)的主機/服務器經(jīng)局域網(wǎng)連接組成的存儲和處理數(shù)據(jù)信息的區(qū)域。

2. 有線接人域。有線接人域是指由有線用戶終端及有線網(wǎng)絡接人基礎設施組成的區(qū)域。終端安全是信息安全防護的瓶頸和重點。

3. 無線接人域。無線接人域是指由無線用戶終端、無線集線器、無線訪問節(jié)點、無線網(wǎng)橋和無線網(wǎng)卡等無線接人基礎設施組成的區(qū)域。

4. 安全支撐域。安全支撐域是指由各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護終端和服務器等組成的區(qū)域，實現(xiàn)的功能包括安全域內(nèi)的身份認證、權限控制、病毒防護、補丁升級，各類安全事件的收集、整理、關聯(lián)分析，安全審計，人侵檢測，漏洞掃描等。

5. 安全互聯(lián)域。安全互聯(lián)域是指由連接安全服務域、有線接人域、無線接入域、安全支撐域和外聯(lián)網(wǎng)(Extranet)的互聯(lián)基礎設施構成的區(qū)域。

安全服務域細分為關鍵業(yè)務、綜合業(yè)務、公共服務和開發(fā)測試等4個子域；安全互聯(lián)域細分為局域網(wǎng)互聯(lián)、廣域網(wǎng)互聯(lián)、外部網(wǎng)互聯(lián)、因特網(wǎng)互聯(lián)4個子域。

（一）、安全服務域劃分

①等保三級的業(yè)務系統(tǒng)服務器劃入關鍵業(yè)務子域，例如，財務管理系統(tǒng)。 ②SAN 集中存儲系統(tǒng)劃入關鍵業(yè)務子域，并在SAN 存儲設備上單獨劃分出物理/邏輯存儲區(qū)域，分別對應關鍵業(yè)務子域、綜合業(yè)務子域、公共服務子域、開發(fā)測試子域中的存儲的空間。

③等保末達到三級的業(yè)務系統(tǒng)服務器劃入綜合業(yè)務子域，例如，人力資源、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等業(yè)務系統(tǒng)服務器。

④提供網(wǎng)絡基礎服務的非業(yè)務系統(tǒng)服務器劃入公共服務子域，例如，DNS 服務器、Windows 域服務器等。

⑤用于開發(fā)和測試的服務器劃分入開發(fā)測試子域。

（二）、有線接入域劃分

所有有線用戶終端及有線網(wǎng)絡接入基礎設施劃入有線接入域。

（三）、無線接入域劃分

所有無線用戶終端和無線集線器、無線訪問節(jié)點、無線網(wǎng)橋、無線網(wǎng)卡等無線接入基礎設施劃入無線接入域。

（四）、安全支撐域劃分

各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護終端和服務器劃入安全支撐域。

（五）、. 安全互聯(lián)域劃分。

①局域網(wǎng)核心層、匯聚層互聯(lián)設備和鏈路劃入局域網(wǎng)互聯(lián)子域。

②自主管理的綜合數(shù)字網(wǎng)接入鏈路和接入設備，包含網(wǎng)絡設備、安全設備和前端服務器劃入廣域網(wǎng)互聯(lián)子域。

③自主管理的第三方合作伙伴網(wǎng)絡接入鏈路和接入設備，包含網(wǎng)絡設備、安全設備和前端服務器劃入外部網(wǎng)互聯(lián)子域。

④自主管理的因特網(wǎng)接入鏈路和接人設備，包含網(wǎng)絡設備、安全設備和前端服務器劃入因特網(wǎng)互聯(lián)子域。

四、安全域互訪原則

1. 安全服務域、安全支撐域、有線接入域、無線接入域之間的互訪必須經(jīng)過

安全互聯(lián)域，不允許直接連接。

2. 關鍵業(yè)務子域、綜合業(yè)務子域、公共服務子域、開發(fā)測試子與之間的互訪必須經(jīng)過安全互聯(lián)域，不允許百接連接。

3. 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他安全域或子域之間的互訪必須經(jīng)過安全互聯(lián)域，不允許直接連接。

4. 廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪必須經(jīng)過安全互聯(lián)域，不允許直接連接。

同一安全子域，如關鍵業(yè)務子域、綜合業(yè)務子域、基礎業(yè)務子域、公共服務子域、開發(fā)測試子域內(nèi)部的不同系統(tǒng)之間應采用VLAN 進行隔離，VLAN 間的路由應設置在核心或匯聚層設備上，不允許通過接人層交換機進行路由。

五、安全域邊界整合

安全域之間互聯(lián)接口數(shù)量越多，安全性越難以控制，因此，必須在保證各種互聯(lián)需求的前提下對安全域邊界進行合理整合，通過對系統(tǒng)接口的有效整理和歸并，減少接口數(shù)量，提高接口規(guī)范性。邊界整合最終要實現(xiàn)不同類別邊界鏈路層物理隔離，邊界設備(如交換機、路由器或防火墻等) 實現(xiàn)硬件獨立，杜絕混用現(xiàn)象。同時邊界設備要滿足冗余要求。

安全域邊界整合的原則如下：

1. 安全支撐域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界。

2. 有線接入域與安全互聯(lián)域之間所有的互訪接口整合為一個邊界。

3. 安全互聯(lián)域與外部網(wǎng)絡之間所有的互訪接口整合為三個邊界，分別是： ①廣域網(wǎng)互連子域與廣域網(wǎng)之間所有的互訪接口整合為一個邊界。 ②因特網(wǎng)互聯(lián)子域與因特網(wǎng)之間所有的互訪接口整合為一個邊界。

③外部網(wǎng)互聯(lián)子域與第三方網(wǎng)絡之間所有的互訪接口整合為一個邊界。

4. 安全服務域與安全互聯(lián)域之間所有的互訪接口整合為四個邊界：關鍵業(yè)務子域邊界、綜合業(yè)務子域邊界、公共服務子域邊界、開發(fā)測試子域邊界。

①關鍵業(yè)務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。 ②綜合業(yè)務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。 ③公共服務子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。 ④開發(fā)測試子域與局域網(wǎng)互聯(lián)子域之間所有的互訪接口整合為一個邊界。

六、邊界防護技術

目前常用的邊界保護技術主要包括防火墻、接口服務器、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護等。

1. 防火墻。防火墻可以根據(jù)互聯(lián)系統(tǒng)的安全策略對進出網(wǎng)絡的信息流進行控制(允許、拒絕、監(jiān)測) 。防火墻作為不同網(wǎng)絡或網(wǎng)絡安全區(qū)域之間信息的出入口，能根據(jù)系統(tǒng)的安全策略控制出入網(wǎng)絡的信息流，且具有較強的抗攻擊能力，它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的活動，保證內(nèi)部網(wǎng)絡的安全。

通過防火墻可以防止非系統(tǒng)內(nèi)用戶的非法入侵、過濾不安全服務及規(guī)劃網(wǎng)絡信息的流向。防火墻的重要作用是網(wǎng)絡隔離和對用戶進行訪問控制，目的是防止對網(wǎng)絡信息資源的非授權訪問和操作，包括各個子網(wǎng)對上級網(wǎng)絡，各個同級子網(wǎng)之間的非法訪問和操作。這些訪問控制，在物理鏈路一級的加密設備中很難實現(xiàn)，而防火墻則具有很強的安全網(wǎng)絡訪問控制能力，主要體現(xiàn)在它完善的訪問控制策略上。

2. 接口服務器。接口服務器的目的在于實現(xiàn)威脅等級高的系統(tǒng)訪問威脅等級低的系統(tǒng)時，Server-Server 間的通信。通過接口服務器，使防護等級高的系統(tǒng)中后臺的核心服務器對威脅等級高的系統(tǒng)屏蔽，在向威脅等級高的系統(tǒng)訪問時，看到的僅僅是應用接口服務器，這樣對系統(tǒng)的防護更加有效，而且也更容易實現(xiàn)二者之間的訪問控制，因此適用于威脅等級高的系統(tǒng)訪問防護等級高的系統(tǒng)。這種保護方式需要與單層或雙重異構防火墻結合進行部署。

類似設備，如堡壘主機、數(shù)據(jù)交換服務器等。

3. 病毒過濾。病毒過濾一般采用全面的協(xié)議保護和內(nèi)嵌的內(nèi)容過濾功能，能夠?qū)MTP 、PUP3、IMAP 、HTTP 、FTP 等應用協(xié)議進行病毒過濾以及采用關鍵字、URL 過濾等方式來阻止非法數(shù)據(jù)的進入。由于數(shù)據(jù)流經(jīng)歷了完全的過濾檢查，必然會使得其效率有所降低。

4. 入侵防護。入侵防護是一種主動式的安全防御技術，它不僅能實時監(jiān)控到各種惡意與非法的網(wǎng)絡流量，同時還可以直接將有害的流量阻擋于所保護的網(wǎng)絡之外，從而對其網(wǎng)絡性能進行最佳的優(yōu)化。入侵防護主要用來防護三種類

型的攻擊：異常流量類防護、攻擊特征類防護、漏洞攻擊類防護。

5. 單向物理隔離。物理隔離技術通常采用高速電子開關隔離硬件和專有協(xié)議，確保網(wǎng)絡間在任意時刻物理鏈路完全斷開。同時可以在兩個相互物理隔離的網(wǎng)絡間安全、高速、可靠地進行數(shù)據(jù)交換。

6. 拒絕服務防護。拒絕服務防護一般包含兩個方面：一是針對不斷發(fā)展的攻擊形式，能夠有效地進行檢測；二是降低對業(yè)務系統(tǒng)或者是網(wǎng)絡的影響，保證業(yè)務系統(tǒng)的連續(xù)性和可用性。通常拒絕服務防護應能夠從背景流量申精確的區(qū)分攻擊流量、降低攻擊對服務的影響、具備很強的擴展性和良好的可靠性。

7. 認證和授權。基于數(shù)字證書，實現(xiàn)網(wǎng)絡訪問身份的高強度認證，保障網(wǎng)絡邊界的安全；只有通過數(shù)字證書校驗的合法的、被授權的用戶才可以接人網(wǎng)絡，才可以訪問后臺的業(yè)務系統(tǒng)。