以业务为中心的安全域划分

以业务为中心的安全域划分
业界存在着大量的安全域相关定义，什么是安全域？从很多安全域概念总结来看，一般可以分为两种，一种是狭义的安全域概念，即网络安全域，是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域内部有相同的安全保护需求、互相信任、具有相同的安全访问控制和边界控制策略，并且相同的网络安全域共享一样的安全策略；另一种广义的安全域概念，即是指由在同一工作环境中，具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。

我们从这两个概念对比也可以看出，广义的安全域概念才能贴合如今运营商高速发展的业务。

怎样才能做好安全域的划分？我们知道，安全域划分目标是通过对系统进行分区域划分和防护，构建起有效的纵深防护体系，有效抵御潜在威胁，降低风险，保证系统的顺畅运行，保证业务服务的持续、有效提供。

那么为了达到“保证业务服务持续、有效提供”根本目标的实现，依据广义的安全域概念，可以得出：安全域的划分指导思想必须坚持“以业务为中心、流程为驱动、风险为导向”。

一、指导思想：“以业务为中心、流程为驱动、风险为导向”
1、业务为中心
安全域的划分、防护应围绕业务服务展开，并以是否有效保障了业务的安全、稳定、顺畅运行为最终评判标准。

以业务为中心，要求
全面了解系统支撑或提供的各种业务服务，分析各种业务服务对机密性、完整性、可用性、可控性、真实性、抗否认、可稽核性、合规性等等各方面的要求，确定系统的安全保护等级和保护要求。

2、流程为驱动
从IT的角度看，系统支撑或提供的业务服务表现为一系列相互关联的业务数据流程，保障业务的安全就是要保障这一系列业务数据流的安全。

因此，要求全面、细致、深入了解各种业务服务所对应的业务数据流程集合以及相关的管理、控制数据流程，并紧紧抓住数据流程这根主线，识别贯穿整个数据流程的关键数据处理活动，全面、细致的刻画业务服务的实现细节。

通过对数据流、数据处理活动的深入、系统分析，并综合考虑其IT组成要素的实际情况，分析来自业务、IT风险、合规等方面的安全需求，将具有相同或近似安全保护需求的IT要素归并到一个安全域中，沿着数据流程构建起纵深的防护体系，同时，对不相关的数据流进行有效的隔离。

3、风险为导向
系统保护的核心就是保护业务信息处理逻辑，即保护数据产生、获取、处理（识别、转换、筛选、汇总、分析等等）、传输、存储和恢复、销毁的全过程、全生命周期的安全。

也就是保护信息数据流及贯穿整个数据流数据处理活动的安全。

通过从系统、业务/管理/控制数据流、数据处理活动等几个层次深入系统分析，可以明确系统受到的各种潜在威胁及可能的风险，并根据系统的安全保护等级和要求，可以确定出各种IT组成要素的安
全保护需求，并综合各种情况和约束条件确定安全保护策略，确定最佳的安全防护措施及其部署方式，将具有相同或近似安全策略的IT 要素归并到一个安全域中，并简化安全域之间的边界通信。

二、以业务为中心的安全域划分方法和思路
1、建立数据业务系统模型
首先，确定业务系统元素构成。

一个业务信息系统一般由若干服务器、客户端、网络设备和支撑设施等硬件设备，以及操作系统、软件平台、应用服务、PKI、系统管理和安全管理等软件系统，承载数据及使用人员组成。

系统的基本组成模型涵盖了系统的人员、工作终端、网络设备、服务主机、系统及应用软件、数据及存储设备的IT 要素。

通过这些IT要素可以表达或描述有用户角色、策略、过程、数据等组成的信息处理模型。

2、业务系统相关分析
对系统元素相关属性进行分析。

从业务分析的角度上看，系统提供的业务功能和服务表现为业务/应用层面的业务数据处理活动、业务数据流；系统提供的控制和交换功能表现为控制层面的控制数据处理活动、控制数据流；系统提供管理功能和服务表现为管理层面的数据处理活动、管理数据流。

业务信息系统的基本功能类型直接表征三类信息处理活动和数据流，即：业务数据处理活动和业务数据流，以及控制活动和控制数据流，管理活动和管理数据流。

对应于这三类信息处理活动有业务数据、控制数据、管理数据等类型。

业务信息系统的基本功能属性分析如下图示：
业务信息系统的功能层面及信息处理活动
再对安全需求分析。

信息安全需求来源于三个方面：
⏹业务属性：运营业务的属性要求，包括业务的连续性要求、
可控性要求、可核查性要求、保密性要求等等。

⏹控制风险：将风险控制在可接受的范围内的各种要求，包括
抵御威胁、减少脆弱性、降低及控制影响等等。

⏹规范标准：来自国家、行业、组织等等的政策、法律法规及
标准规范等要求
通过对信息系统所包含的各种信息处理活动、数据流和构成模型的信息服务设施的分析，可以识别和分析各种信息处理活动所受到的威胁、存在的脆弱性、受到的潜在危害，导出为保护信息处理活动所需的来自业务属性、控制风险和规范标准三方面的安全需求。

信息系统的安全需求一般包括安全策略，认证、授权、访问控制和审计，时间戳与时间源，资源可用性，系统完整性，操作、管理、维护和配置安全，身份和安全注册，通信和数据安全，隐私保证，密
钥管理，NAT/防火墙互连，安全保证，安全机制增强等等。

3、最后结合安全域划分的原则，进行业务系统的安全域划分。

安全域划分原则包括：
●业务保障原则
安全域划分应以不影响或损害业务信息系统的业务功能、性能为首要原则，在保证业务的性能的基础上对系统进行安全域划分、进行有效地隔离和安全防护。

●结构简化原则
全域划分的简洁主要包括三个方面：一个安全域功能和边界通信的简洁，二是安全域之间关系（相连互通或隔离）的简洁，三是系统安全域整体结构的简洁。

只要利于使用、利于防护、利于管理即可，不可过繁或过简。

●等级保护原则
属于同一安全域内的系统应互相信任，即保护需求相同。

建立评估与监控机制，设计防护机制的强度和保护等级。

要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。

●生命周期原则
安全域的划分应考虑到业务未来发展需要，在保持系统安全域模型相对稳定的前提下，能够顺利地进行调整、扩展和提升。

结合原则，用以下步骤和方法进行划分：
首先，划系统拆结构。

通过前面业务系统的了解和分析，对系统
进行节点子系统划分、业务子系统的划分；针对各个子系统进行业务、控制、管理功能分析，以及系统架构、应用、网络结构的分析和拆解，把（子）系统拆分成基本的安全域类型。

然后，垂直分水平隔。

按照‘先应用后网络’的顺序对系统进行安全域的细分。

应用层面包括了计算域、服务域、维护域，网络层面包括网络域。

主要通过明确系统提供的各种核心业务功能及控制、管理支撑服务，分析其相应的数据流，识别其相应的应用结构、用户类型和分布、支撑服务及网络逻辑结构，对系统计算域、服务域、网络域在水平方向进行不同数据流的逻辑隔离，在垂直方向进行逻辑结构分层。

最后细整合精优化。

根据系统的实际情况，进行安全域的深入划分和合并调整，并进行相应的优化处理。

三、安全域改造具体实施步骤
按照安全域划分结果，对系统进行改造实施工作具有非常高的要求，尤其是对于在线运行的业务系统。

为了保证实施工作的顺利，应注意以下要点：
●详细的系统调研
通过全面、深入、细致的调研，客观、准确地了解现网状况，系统的掌握其业务承载情况及提供的业务功能和服务。

●数据流梳理
根据系统提供的业务服务及功能，对其业务数据流、管理和控制数据流进行分析和梳理，并深入分析贯穿整个数据流的关键数据处理活动。

●安全需求
基于系统提供的业务服务，明确可接受的安全基线；基于数据流及贯穿数据流的关键数据处理活动分析系统受到的潜在安全威胁及
可能的影响，归纳出系统的安全需求。

●安全域划分
按照安全域划分的指导思想，沿数据流进行垂直分层，形成纵深的防护体系；并对不同的数据通信流进行水平隔离，防止互相干扰和侵害，同时按照OSI模型进行立体分层。

●安全防护体系设计
根据安全需求，明确所需的安全防护措施及其部署位置和策略，覆盖预警、防护、检测、响应、恢复等安全防护的各个环节。

●系统割接
根据安全域划分和防护方案，制定科学、合理的安全域改造方案，并针对系统的客观情况，拟定缜密的实施计划，做好实施工作中的风险控制，并在割接完毕后进行各种业务服务的测试。

其中，关键要保证所测试业务服务的完备性，这可以通过在调研阶段所做的业务数据流程分析，归纳出各种业务服务及具有不同业务数据流程的同一业务服务的详细列表，明确测试内容和方法。

策略落实
安全策略不可能一步到位，应按由松入严的方式，对安全策略逐步细化落实。

而且，安全策略的设计可能存在遗漏和差错，因此应通过监听、监控手段对安全策略进行预先检查和验证。

安全域划分和改造是一项艰巨的工作，内容涉及安全域划分服务、设备采购和部署、系统改造、安全策略调整等等内容。

且随着运营商业务的蓬勃展开及安全形势的日益严峻，安全域建设任务已迫在眉睫。

对于业务系统的管理者来说，要做好安全域划分和整改工作，需要选择一家有实力、有能力、有经验、易沟通、信得过的安全服务商提供相应的服务，来明确工作的先后顺序，制定有效的行动方案，最后完成安全域划分和整改工作。