运营商IT系统网络架构的安全域划分
网络安全域划分与隔离
网络安全域划分与隔离
网络安全是当今互联网时代最为关注的话题之一。对于企业和个人
而言,网络安全的问题不容忽视,因此网络安全域划分与隔离成为了
一个重要的解决方案。本文将探讨网络安全域划分与隔离的背景、方
法和优势。
一、背景
随着互联网的快速发展,企业和个人所使用的计算机网络规模日益
庞大,网络规模的扩张给网络安全带来了新的挑战。网络安全问题的
复杂性和严重性成为了一个急需解决的问题。因此,网络安全域划分
与隔离的需求应运而生。
二、方法
网络安全域划分与隔离是指将一个大的计算机网络划分为多个独立
的安全区域,并通过隔离手段进行安全保护。常用的网络安全域划分
与隔离方法包括以下几种:
1. 虚拟局域网(VLAN)
虚拟局域网是将一个物理局域网划分为多个逻辑上的独立子网。通
过VLAN的划分,可以实现不同用户之间的网络隔离,增强了网络的
安全性。同时,可以通过VLAN的配置实现对网络流量的控制和管理。
2. 子网划分
子网划分是将一个大的IP网络划分为多个子网,每个子网具有独
立的网络地址和掩码。通过子网划分,可以将网络流量进行隔离,提
高网络的安全性和性能。
3. 防火墙
防火墙是一种网络安全设备,用于限制对计算机网络的不良访问。
通过设置防火墙规则,可以对网络流量进行过滤和控制,实现对不同
网络安全域的隔离和保护。
4. 安全隔离设备
安全隔离设备是一种专门用于网络安全域划分与隔离的硬件设备,
如安全路由器、安全网关等。这些设备能够根据特定的规则和策略,
对网络流量进行过滤和隔离,确保网络的安全性。
三、优势
网络安全域划分与隔离具有以下几个优势:
网络安全域划分
网络安全域划分
网络安全是当前互联网时代的一个重要议题,而网络安全域的划分
是一种常见的安全措施,旨在确保网络系统的安全性和稳定性。本文
将对网络安全域划分的概念、目的、方法以及相关技术进行详细论述。
一、概念
网络安全域划分指的是将网络系统划分为不同的安全区域,每个安
全区域拥有独立的网络边界和安全策略。不同的安全区域之间通过安
全设备和安全策略进行严格的访问控制,以降低网络系统遭受安全攻
击的风险。
二、目的
1.隔离风险:通过划分网络安全域,可以根据系统的安全等级和敏
感性,将具有相似安全需求的资源和服务划分到同一安全区域内,从
而有效隔离网络攻击和风险。
2.限制传播:在网络安全域划分的基础上,可以在每个安全区域之
间设置严格的访问控制策略,以限制横向攻击的传播范围,提高网络
系统的安全性。
3.提高响应能力:通过将网络系统划分为不同的安全域,可以更好
地控制安全事件的范围,提高对安全事件的响应速度和准确性,降低
威胁对整个系统的影响。
三、方法
1.划分安全策略:根据网络系统的安全需求,制定相应的安全策略。依据业务需求和安全等级,确定不同安全域的划分方式,如按照功能、地理位置、用户权限等进行划分。
2.实施网络隔离:在网络安全域之间设置安全设备,如防火墙、入
侵检测系统等,确保不同安全域之间的通信符合安全策略,并且阻止
未经授权的访问和攻击。
3.加密通信传输:为了保证网络数据传输的安全性,可以在网络安
全域之间建立加密通信通道,如VPN(虚拟专用网络),以保障数据
的机密性和完整性。
4.访问控制策略:在每个安全域内部,设置细粒度的访问控制策略,包括访问权限、认证和授权等,确保只有经过身份验证和授权的用户
网络安全域划分
网络安全域划分
网络安全域划分是指将一个大的网络系统划分为多个相互隔离的安全子网络,以提高网络安全性。通过安全域划分,可以将网络系统按照不同的安全级别进行划分,从而对敏感数据和关键系统进行更细粒度的保护。
一般来说,网络安全域划分可以按照以下几个原则进行:
1. 分级划分:根据数据的重要性和敏感程度,将网络划分为多个不同层级的安全域。比如,可以将某些非关键数据和系统划分到一个低安全级别的域,而将关键数据和系统划分到高安全级别的域。
2. 隔离划分:通过网络隔离技术,将不同安全域之间实现物理或逻辑上的隔离。这样可以防止攻击者从一个域进入到另一个域,从而减少攻击面和风险。
3. 权限控制:在每个安全域中设置适当的访问控制策略,限制用户对资源的访问权限。这样可以确保只有经过授权的用户才能够访问到相应的资源,提高系统的安全性。
4. 安全策略管理:在每个安全域中设置相应的安全策略,比如防火墙策略、入侵检测策略等。这些策略可以根据域内的具体需求进行定制,以提供更全面的安全保护。
5. 监控和日志管理:在每个安全域中设置相应的监控和日志管理机制,及时发现和记录异常事件。这样可以帮助及时发现潜
在的安全威胁,并进行相应的应对措施。
总之,网络安全域划分是一个重要的网络安全管理手段,可以提高网络系统的安全性和可管理性。通过合理的划分,可以有效降低网络被攻击的风险,并保护企业的敏感数据和关键系统。
网络安全域划分
网络安全域划分
网络安全域划分是指将整个网络划分为若干个互相隔离的安全区域,每个安全区域都有独立的访问控制策略和安全管理机制,以提高网络的安全性和可管理性。
网络安全域划分的目的主要是为了保护网络中的重要资源,避免潜在的攻击和威胁能够蔓延到整个网络,同时也为网络管理员提供了更方便的管理和维护手段。
在进行网络安全域划分时,常见的几种安全域划分方式包括:物理域划分、虚拟域划分和逻辑域划分。
一、物理域划分
物理域划分是指通过划分物理网络设备的方式来实现安全域的划分。这种划分方式主要依赖于物理设备之间的隔离和安全措施,例如网络交换机的VLAN划分、路由器和防火墙的配置等。物理域划分的优点是实现简单,易于管理,但缺点是对于网络拓扑和设备的依赖较强。
二、虚拟域划分
虚拟域划分是通过虚拟化技术来实现安全域的划分。常见的虚拟化技术包括虚拟局域网(VLAN)、虚拟专用网络(VPN)
和虚拟机(VM)等。虚拟域划分的优点是可以按照需求进行
灵活的划分和调整,减少对物理设备的依赖,但缺点是需求较高的硬件支持和复杂的配置。
三、逻辑域划分
逻辑域划分是通过网络设备上的逻辑隔离机制来实现安全域的划分。常见的逻辑隔离机制包括虚拟局域网(VLAN)、安全
域(Security Zone)和策略路由(Policy-Based Routing)等。
逻辑域划分的优点是实现相对简单,不依赖于特定的网络设备,且易于维护和管理,但缺点是对网络设备的性能和配置要求较高。
以上三种安全域划分方式可以单独使用,也可以结合使用。具体应该根据网络规模、业务需求和安全要求等因素进行选择和落地。
网络安全域划分与隔离
网络安全域划分与隔离
随着互联网的迅猛发展和普及,网络安全问题愈发凸显。为了保护用户的个人信息和保障网络系统安全,网络安全域划分与隔离成为了一种重要的解决方案。本文将介绍网络安全域划分与隔离的概念、原因和具体实施方式。
一、概念介绍
网络安全域划分与隔离是一种通过划分网络内部各个区域,并在其之间建立适当的安全隔离措施,以限制攻击者的行动范围和减少潜在攻击面的安全措施。
二、原因分析
1. 提高系统安全性:通过将网络划分为不同的安全域,并在其之间设置安全隔离,能够有效隔离潜在攻击者,减小攻击威胁。
2. 保护用户隐私:网络安全域划分与隔离可有效防止用户个人信息泄露,提升用户隐私安全。
3. 管理与维护便捷:通过划分网络安全域,可以更好地对各个域进行管理和维护,降低管理的复杂性。
三、具体实施方式
1. 虚拟专用网络(VPN)隔离:通过在网络中构建虚拟隧道,实现网络之间的安全隔离。这种方式常用于企业间或者分支机构与总部之间的通信,保护敏感数据的传输安全。
2. 子网划分:根据不同的功能和安全要求,将网络划分为多个子网,通过防火墙等设备对子网之间的通信进行隔离。
3. 虚拟局域网(VLAN)隔离:将同一个物理局域网划分为多个逻
辑局域网,通过虚拟机虚拟网桥等技术进行通信的维护与实现。
4. 孤立网络:对于安全要求极高的系统,可以构建一个完全隔离的
网络,与外部网络物理隔离,只允许特定的数据流入和流出。
四、安全域划分与隔离的效益
1. 改善网络性能:通过网络安全域划分与隔离,可以降低网络拥堵,提高网络的传输速度和及时性。
运营商的三大数据域——B域,O域,M域
运营商的三⼤数据域——B域,O域,M域
O域(运营域)、B域(业务域)、M域(管理域)特指电信⾏业⼤数据领域的三⼤数据域。
1. B域(业务域)= business support system的数据域,
2. O域(运营域)= operation support system的数据域,
3. M域(管理域)= management support system的数据域。
B域有⽤户数据和业务数据,⽐如⽤户的消费习惯、终端信息、ARPU的分组、业务内容,业务受众⼈群等。圈内叫BSS。顾名思义,主要是建设⼀些业务⽀撑系统,⽤来保障电信运营商能够正常⽀撑他的业务。主要的有CRM【客户关系管理】和计费系统。中国电信集团会按照⼀定周期下发系统建设规范,版本从1.0⽬前发展到3.0;期间还有各种⼩版本,每个⼩版本都有相关的建设侧重。作为⽀撑运营商的⼚家和业务⼯程师,很重要的⼀点就是要熟悉这些规范。
O域有⽹络数据,⽐如信令、告警、故障、⽹络资源等。圈内叫OSS。主要是对⽹络侧的信令、开通指令、⽹络资源设备的管理、资源使⽤情况等相关的业务⽀撑系统的建设。主要有故障管理系统。
M域有位置信息,⽐如⼈群流动轨迹、地图信息等。圈内叫MSS。主要是建设⼀些管理⽀撑系统,⽐如财务、划⼩、绩效、⼈⼒等系统建设;随着前段系统扩容带来的边际效应越来越⼩,内部管理系统的重要性不断提到,最近⼏年投资越来越多;
从三⼤域进⾏数据分析和挖掘,就是电信⾏业的⼤数据应⽤,⽐如地理化精准营销、成本精算等。
运营商的三⼤数据域——B域,O域,M域
网络安全域:如何划分网络安全域
随着互联网的发展,网络安全问题变得越来越重要。在大型企业和组织中,划分网络安全域是保护网络安全的重要手段之一。本文将介绍如何划分网络安全域并提供一些划分网络安全域的最佳实践。
一、什么是网络安全域
网络安全域是指由相同的安全策略和控制措施所保护的计算机网络或子网络。每个网络安全域都有其自己的边界,内部的计算机和设备可以互相通信,而与其他网络安全域的通信则需要经过安全控制点进行批准。
二、为什么需要划分网络安全域
划分网络安全域有以下几个原因:
1. 隔离网络流量:通过划分不同的网络安全域,可以将不同类型的流量隔离开来,以便更好地控制和监测网络流量。
2. 加强访问控制:不同的网络安全域可以有不同的访问控制策略和安全措施,以确保只有授权用户才能访问敏感数据和资源。
3. 提高网络可靠性:通过将网络划分成多个安全域,可以减少网络故障的影响范围,提高网络可靠性和稳定性。
4. 简化安全管理:划分网络安全域可以使安全管理更加简单和有效,便于管理员快速识别和解决问题。
三、如何划分网络安全域
1. 根据业务需求划分:根据企业或组织的各项业务需求,将网络划分为不同的安全域。例如,可以将财务、人力资源和研发等不同的业务划分为不同的网络安全域,并根据其涉及的数据和资源进行访问控制。
2. 根据安全级别划分:将网络按照安全级别进行划分,例如,将内部网络和外部网络分开,并在两者之间设置防火墙和其他安全措施。还可以将网络按照敏感程度进行划分,例如,将涉及国家安全的信息和数据单独放在一个安全域中。
3. 根据地理位置划分:如果企业或组织有多个地点,可以根据地理位置将网络安全域进行划分。例如,将总部和分支机构分别放在不同的网络安全域中,并根据需要进行访问控制。
中国移动云计算网络安全域划分技术要求
中国移动云计算
网络安全域划分技术要求
Technical Specification of Centralized Security Protection
for Cloud Computing
版本号: 1.0.0
中国移动通信集团公司网络部
2013年12月
目录
前言 (1)
1综述 (2)
2云计算网络安全域划分 (2)
2.1安全域划分的原则 (3)
2.2云计算平台的主要安全域 (4)
2.2.1云计算平台组网的基本架构 (4)
2.2.2云计算平台基础网络安全域划分方法 (5)
2.2.3云计算平台所承载业务系统组网安全域划分方法 (7)
3云计算网络的安全防护要求 (8)
3.1.1云计算平台与互联网之间互联安全要求 (8)
3.1.2云计算平台与支撑系统之间互联安全要求 (8)
3.1.3云计算平台上承载的业务系统之间互联安全要求 (8)
4云计算平台安全运维要求 (9)
4.1安全维护要求 (9)
4.2安全管理要求 (9)
5编制历史 (10)
附录A 引用标准与依据 (10)
附录B 相关术语与缩略语 (11)
前言
针对数据业务系统向云计算平台承载方式演进的需求,按照等级保护和集中化要求,本要求明确了在云计算网络环境下组网规划,实施安全域划分的基本原则,并进一步提出了云计算环境安全防护的基本要求。
本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。并在此基础上,以业务系统为单位,每个业务系统划分不同的VLAN,实现云计算网络环境下业务系统间的安全隔离。
本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。
运营商IT支撑安全域咨询规划方案
➢内部接口流量:如图所示,内部接口流量主要为省网管接口服务器与集团公司 进行通信的流量,包括实时上传数据流量和日报上传数据等。
➢内部对接接口流量:如图所示,网管域的内部对接流量主要包括: OA,网优区通过MDCN绕行,访问常青和金银湖网管生产服务器的流量; 地市维护人员通过MDCN网访问省网管生产系统的流量; 省网管生产系统(主要为采集服务器)通过MDCN网访问各地市网元设备的流量; 三大支撑域之间的交互流量(网管的话务网管、局数据管理系统、EOMS系统等与 企业信息化的连接,网管系统与业支的计费等系统的连接)。 其中,内部对接接口的流量主要为湖北移动省内部流量,因此,本方案不将此类 流量考虑为移动支撑域的对外接口流量
9
安全域出口现状—网管域
10
安全域出口现状Hale Waihona Puke Baidu网管域
网管域出口流量
➢互联网流量:如图所示,网管域的互联网(CMNet)流量主要包括: 常青和金银湖的IP数据网管与CMNet网元设备的交互流量以及EOMS系统的短信服 务器和CMNet中短信网关间的交互流量; 常青CMNet接口中的VPN接入域的远程接入VPN流量; 网优生产区的CMNet出口主要用于网优生产区中的网优PC服务器的各种无线网优 系统与相关的网元设备间的交互流量。
运营商业务系统安全域划分思路浅析
体 使 用工 作终 端 按 照相 应 的策略 通 过 网络支 撑 平 台
访 问 主机 服务 器 并对 数据 进 行操 作 或处理 ,同时 借
助 支撑 性 设施 完 成相 应 的工 作 ,这 阐述 了信 息 系统
的基 本 的数据 处 理活 动 ,完 成 了基 本 的信 息 系统 服
务。
工作 终 端 、 网络 基 础设 施 、 服务 主 机和 数 据 存 储 设 施及 支撑 性 设施 承载 的信息 处理 功 能不 同 ,安
《 》
I 囊 耄
S戢《
运营商 冒 业务系统交全域 划分思路浅新
赵 立 刚 ,姚 兴 ,秦 良斌
( 中国 电信 内蒙古 分公 司 ,内蒙古 呼 和浩特 004 ) 10 0
摘 要 :对运 营商业务系统 的安 全域 划分与边界整合进行 了研 究,并 阐述 了在设计、实施方 面面临的挑 战。同时,基于作者 多
杂 和 困难 。
全等 级保 护基 本 要 求 信 息 系统 安全 等级 保 护 测 、《 评准 则 和 《 息 系统 安全 等级 保 护实 施指 南 》 等 信
指导 性 文件 ,和 中国 电信 集 团 中国 电信 互联 网及
相关 网 络安 全 策略 总纲 、 中国 电信互 联 网及 相关 网络 安全 管理平 台功 能及 技术 规范 , 到 同等同策 。 做 生 命 周期 原 则 是对 安 全域 划 分 提 出 了时 间 管理 的要 求 。随 着需 求 、环 境不 断 变化 ,安全域 的 划分 策略 也 要随 之 改变 。安 全域 的划 分 还需 要考 虑 在 网
网络安全域划分
网络安全域划分
网络安全域划分是指将计算机网络划分为不同的区域,每个区域有不同的安全级别和访问限制,从而提高网络安全性。下面将详细介绍网络安全域划分。
首先,网络安全域划分可以根据不同的业务需求将网络划分为不同的区域。例如,可以将内部网络、外部网络和DMZ(隔
离区)划分为三个不同的安全域。内部网络主要用于内部办公和工作流程,外部网络用于连接互联网进行对外服务,而
DMZ则用于提供对外服务但同时与内部网络隔离,以提供更
高的安全性。
其次,网络安全域划分可以根据不同的安全级别将网络划分为不同的区域。不同的区域可以有不同的安全策略和访问控制规则。例如,可以将核心业务系统划分到一个高安全级别的区域,只允许授权用户访问;而将一些非核心业务系统划分到低安全级别的区域,允许更多用户访问,但需要严格控制权限和访问策略。
另外,网络安全域划分还可以根据不同的用户角色将网络划分为不同的区域。不同的用户角色可能需要不同的网络资源访问权限。例如,可以将管理人员、技术支持人员和普通员工划分为不同的安全域,以便给予不同角色用户不同的访问权限和资源管控。
网络安全域划分可以使用不同的安全措施实现。例如,可以使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)对
不同的网络安全域进行隔离和保护。防火墙可以设置不同的访问规则和安全策略,限制不同安全域之间的通信;IDS和IPS 可以监控网络流量,及时发现并阻止网络攻击。
同时,网络安全域划分也要考虑到灵活性和可扩展性。网络安全域的划分应当根据实际需求灵活调整和扩展,以适应不断变化的业务环境和安全威胁。例如,可以根据业务扩张和用户增长需要对网络安全域进行调整和扩展,以确保网络安全的持续和可靠性。
网络安全域划分
网络安全域划分
网络安全域划分是指将一个网络划分成多个安全区域,每个安全区域之间设置不同的安全策略和访问控制规则,以提高网络的安全性。网络安全域划分主要可以分为以下几个方面:
1. 物理隔离
物理隔离是通过网络设备将不同的网络划分成独立的安全区域。例如,可以通过交换机将整个网络划分成多个虚拟局域网(VLAN),每个VLAN只能在自己的范围内通信,无法与
其他VLAN直接通信,从而实现物理隔离。
2. 逻辑隔离
逻辑隔离是通过网络设备和防火墙等安全设备将网络划分成多个虚拟安全区域。此时,每个虚拟安全区域可以有不同的IP
段和子网掩码,通过访问控制策略限制不同区域之间的通信。
3. 安全策略
对于网络安全域划分,每个安全区域都需要制定相应的安全策略和访问控制规则。例如,可以通过防火墙限制不同安全区域之间的通信,只允许特定的服务和端口进行通信,削弱攻击者对网络的横向移动能力。同时,还可以通过入侵检测和阻断系统(IDS/IPS)等安全设备监控和防范网络威胁。
4. 安全审计
对于网络安全域划分,还需要进行定期的安全审计和漏洞扫描,及时发现和修复网络中存在的安全漏洞和风险。此外,还需要配置和管理安全设备的日志记录功能,确保网络中的所有安全
事件都能够被记录下来,从而提供后续的安全审计和调查。
5. 单点登录
单点登录是指通过身份认证和授权管理,实现在一个安全域内,用户只需要登录一次,就可以访问多个应用系统。单点登录可以提高用户的使用便利性和工作效率,同时也可以减少用户账号和密码的管理复杂度,提高账号的安全性。
综上所述,网络安全域划分对于提高网络安全性至关重要。通过将网络划分成多个独立的安全区域,通过安全策略和访问控制规则来限制不同区域之间的通信,可以有效防止网络攻击者的横向移动和数据泄露。同时,通过安全审计和漏洞扫描等手段,及时发现和修复网络中存在的安全风险。此外,还可以通过单点登录等技术手段,提高用户的使用便利性和账号的安全性。
安全域划分规范
安全域划分规范
随着计算机网络的普及,人们对网络安全的关注也越来越高。为了确保网络安全,必须采取各种措施,其中安全域划分是一种有效的方法。本文将介绍安全域划分规范,包括安全域划分的概念、原则和具体步骤。
一、安全域划分的概念
安全域划分是将网络分割成不同的安全域,每个安全域内的设备可以自由通信,不同安全域之间的通信需要经过安全设备进行控制。这种方法可以将网络划分成多个独立、安全的部分,满足不同的安全策略。
二、安全域划分的原则
安全域划分应该遵循以下原则:
1. 依据不同安全级别和安全需求进行划分。
2. 安全域划分应保证网络性能和用户的可用性。
3. 安全设备应该具有可靠的安全策略和验证机制。
4. 安全域划分应该考虑到未来的扩展和变化。
三、安全域划分的步骤
安全域划分的步骤如下:
1. 理解业务需求:了解业务类型和业务需求,包括对保密性、完整性和可用性的要求。
2. 划分安全域:根据业务需求,将网络划分成不同的安全域,每个安全域内应该具备相同的安全要求。
3. 部署安全设备:在安全域之间部署安全设备,例如防火墙、入侵检测系统和反病毒软件等。
4. 制定安全策略:为每个安全域制定相应的安全策略,包括访问控制、身份验证和流量限制等。
5. 管理和维护:对安全设备和安全策略进行管理和维护,包括设备升级、日志分析和安全漏洞扫描等。
四、总结
安全域划分是一种有效的网络安全保障方法。通过划分安全域、部署安全设备和制定安全策略等步骤,可以实现网络的安全可控和可管理性。对于企业和组织而言,安全域划分是网络安全管理的基础,在实际应用中应该充分考虑业务需求和安全要求,不断完善和优化安全策略和配置。
划分安全域的解决方案
划分安全域的解决方案
划分安全域的原则
安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法,将复杂的大网络进行简化后设计防护体系,以便进行有效的安全管理。
启明星辰公司安全域划分遵循以下原则:
1、业务保障原则;
2、结构简化原则;
3、立体协防原则。
以某运营商系统为例,我们通过对该系统进行数据流分析、网络结构分析,结合考虑现有的安全隐患,从资产价值、脆弱性、安全隐患三者间的关系出发,得到了整体的安全防护体系和各个业务系统自身的安全防护体系,为进一步管理整合后的安全域做好了准备。
基于安全域划分的最佳实践,该运营商的各个系统被分别划入不同的安全域,再根据每个安全域内部的特定安全需求进一步划分安全子域,包括:核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示:
安全加固
在划分安全域之后,我们对不同安全域内的关键设备进行安全加固,依据是:各安全域内部的设备由于不同的互联需求,面临的威胁也不同,因此其安全需求也存在很大差异。
1、生产服务器:一般都是UNIX平台,资产价值最高,不直接连接外部网络,主要的安全需求是访问控制、账号口令、权限管理和补丁管理;
2、维护终端:一般都是WINDOWS平台,维护管理人员可以直接操作,其用户接入的方式也不尽相同(本地维护终端、远程维护终端),面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁,其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;
网络安全域概念及划分
网络安全域概念及划分
一、网络安全域的概念
网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。
网络安全域从大的方面分一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置防火墙以进行安全保护。
二、为什么要对网络安全域划分
随着业务的不断发展,计算机网络变得越来越复杂,将网络划分为不同的区域,对每个区域进行层次化地有重点的保护,是建立纵深防御安全系统的自然而有效的手段。
网络安全域的定义和划分原则网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义的安全域是具有相同业务要求和安全要求的系统要素集合,这些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等诸多因素。
通过网络安全域的划分,可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题,从而更好地控制网络安全风险,降低系统风险;利用网络安全域的划分,理顺网络架构,可以更好地指导
系统的安全规划和设计、人网和验收工作;通过网络安全域的划分,各区域防护重点明确,可以将有限的安全设备投人到最需要保护的资产,提高安全设备利用率;有了网络安全域的划分,相对简化了网络安全的运维工作,并可有的放矢地部署网络审计设备,提供检查审核依据。
运营商IT支撑系统安全域划分的研究与应用
交换 、 G P RS 、 智能网、 HL R、 直放站系统和各厂家 OMC等) 的 连接 , 与公司 内部其他系统直接访 问的设备 ( 如报表 服务器 、
接 口机 等 ) 主要放置在该区域。 ( 3 ) 互 联 网接 口区 : 该 区 域 主 要 和 互 联 网直 接 连 接 , 与 互 联 网直接访 问的设 备 ( 如 WE B服 务器等 )主要放置 在该 区
系 统各 应 用 的 终 端 ) , 业 务 操 作 终端 ( 包括营业厅终端 、 客服 终
( 3 ) 进行安全改造的 I T支撑系统与运 营商 自己内部 网络 其他系统 ( 如软交换、 短信系统、 彩铃系统等) 之间通过 内部互 联接 口区进行互联并通过防火墙防护。I T支撑系统与公司 内 部系统之 间的应用访 问需通过部署在 内部互联接 口区的设备 进行处理或转发 。 内部系统不能直接访问 I T支撑 系统 的核心 生产 区, 不同业务系统核心生产 域不能直接互访 。 ( 4 ) 来 自互联 网或第三方系统( 指公司业务合 作伙伴 的系 统) 对 I T支撑系统 的访 问请求需通过部署在 互联 网接 口区进
王松柏等: 运营商 I T支撑系统安全域划 分的研究与应用
根据安全域等级划分和边界保护原则,不 同等级 间必须
采 取相应 的安全 防护策略 。对于可控子域之间的互访 ,安全 设施的部署尽量在高安全等级侧 。对于与不可控子域 问的互 访,不同等 级侧均需部署安全 防护措施 。在进行 等级保护 的 同时,要定期对各子域进行风险评估并及时更新安全 防护措
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
运营商IT系统网络架构的安全域划分
京移通信设计院有限公司李玮
众所周知,网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略,它是安全工作的标准和依据;安全技术框架的核心是积极防御,安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。对拥有众多IT系统的电信运营商而言,以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署,更应该是一个全面、立体、构架化的安全体系。安全体系的健康与否,关系到认证与授权是否能够做到对访问的主动控制,关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失,关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题。
IT系统安全体系具体是由解决方案和安全设备部署构成的,二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言,按照网络安全框架的要求,IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的,才能够最终保证所部署的安全设备充分发挥作用,才能够保证安全技术框架的顺利实施,进而保证安全策略的有效贯彻。
一、传统IT系统局域网架构的不足和安全威胁
传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立,经常采用如物理隔离的方式来达到安全的目的,甚至建设两套网络,即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用,而无法实现与其他相关系统之间、与Internet之间的信息交互和共享,不但禁止了有用数据交换,造成信息化工作无法开展,还进一步增加了投资,这与积极防御的理念是背道而驰的。另外,物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次,由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划,同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的,虽然在一定程度上能够起到安全防护作用,但是由于各套IT系统的安全建设自成体系、分散单一,缺乏统筹考虑和宏观把握,造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来
运营商制订的统一安全策略难以贯彻、重复建设,安全设备不能充分发挥作用等问题。另外,由于IT系统局域网结构和层次不清晰,不同IT系统所分配私有IP地址很有可能相同。虽然IT系统之间暂时没有发生联系,但是随着运营商维护管理水平的进一步提高,IT系统的管理平台建设也是迫在眉睫,而IT系统内部网络整体结构的天生不足会给今后的管理带来非常大的不便。从管理层面来看,很多运营商由于长期以来把安全项目作为承载网或者其他业务系统、IT等支持系统的附加工程或者从属项目,加之一些网络安全厂商或者电信运营部门的技术人员,往往认为采用先进的网络技术、名牌产品即可实现网络系统、业务系统和IT系统的安全,没有考虑安全产品并未形成体系,容易造成许多薄弱环节没有覆盖到,安全隐患也随
之增加。
一般说来,电信运营商IT系统由以下一些系统组成。
1.网络支撑系统,主要有各种网管系统,包括承载网网管、支撑系统网管、业务网管等;
2.业务支撑系统,主要有BOSS、经营分析系统、大客户关系管理系统等;
3.企业管理信息系统,办公自动化系统、电子工单系统、资产管理系统等。
上述IT系统在今天很少是孤立存在的,也就是说,它们必须与其他系统实现网络互通和信息共享与交互。在这种应用需求下,使得不同的外部网络、不同身份和目的的人都有机会连接到运营商内部网络中,从而对IT系统的安全带来了威胁。从电信运营商IT网络环境的层面而言,IT系统的安全威胁主要来自以
下几个方面。
1.来自内部误用和滥用的安全威胁,包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。而这类误用和滥用,与运营商内部不同IT系统或者与其他相关系统的互联互通、运营商之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;
2.来自互联网的安全威胁:目前有些运营商的IT系统是与互联网相连的,例如很多办公自动化系统都
与互联网相连,如果安全措施不力就很有可能被黑客利用,带来网络安全问题;
3.来自缺省配置的安全威胁:电信行业在建设IT系统时,大量的UNIX/WINDOWS/NOTES等系统很多都采用缺省配置,造成开放不必要的端口等安全隐患,如果运营商对其IT局域网架构缺乏安全边界的划分,而又没有采取一个可集中控制访问请求的措施,则很容易被不法分子利用进行非法入侵。
二、运营商IT系统局域网架构的安全域划分
IT系统安全体系的最终目标就是在技术可行和管理可行的前提下,将安全风险和隐患降低到一个可以接收的水平。要实现这一目标,需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备,更是需要综合考虑如何在现有IT网络架构上安装何种安全设备才能发挥最大的作用。通过前面的分析可知,如果没有一个结构清晰、可靠实用、扩展灵活的IT网络,依然沿袭各套IT系统的安全建设自成体系、分散单一的常规做法,即使选用最先进的安全设备,那么也只能是搭建了一个空中楼阁,无法从根本上减弱IT系统所受到的安全威胁和隐患。因此,克服和改造IT系统传统局域网整体结构的不足才是电信运营商解决网络安全的首要工作。为规划和建设一个完善的IT系统局域网,本文引入一个安全域的新概念。安全域的定义是,在安全策略的统一指导下,根据各套IT系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等,将运营商的IT系统局域网划分成不同的域,将不同IT系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为安全子域,安全子
域也可继续依次细化。
这里需要明确的是,IT系统局域网结构的安全域划分并不是传统意义上的物理隔离,物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程,隔断网络使信息不能共享;而安全域划分是在认真分析各套IT系统的安全需求和面临的安全威胁的前提下,既重视各类安全威胁,也允许IT系统之间以及
与其他系统之间正常传输和交换的合法数据。
从设备组成上看,如果不考虑这些IT系统中自带的安全设备,可以将其分为三大部分:核心处理系统,包括多主机架构组成的服务器、数据库、应用软件等,负责该IT系统的信息采集、处理和应用;接入交换系统,包括路由器和交换机,负责该IT系统的内部以及与其他相关系统之间的信息交互;操作维护部分,包括各类操作维护终端,负责向维护管理人员提供接入手段。一般情况下,电信运营商的IT系统虽然是独立建设的,但各套设备的物理位置都是比较集中的,而且不同IT系统的核心处理系统、接入交换系统和操作维护部分所面临的安全威胁、安全需求都是比较类似和接近的(例如IT系统的操作维护终端多是基于MS windows平台,遭受病毒攻击的风险比较接近),因此可以利用这两个特点并借鉴常规物理隔离中的有益思想,完成电信运营商IT系统局域网结构的安全域划分。在安全域划分时应该遵循以下的一些基本原则。
1.根据电信运营商IT系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。前面已经提到,从网络构架层面来讲,电信运营商IT系统局域网整体结构安全域的划分是与安全产品的部署密不可分的,一方面安全域的划分为安全产品的部署提供了一个