导图社区 数据中心安全域的设计和划分
安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求,相互信 任, 并具有相同的安全访问控制和边界控制策略的子网或网络。
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
数据中心安全域的设计和划分
一、 设计方法
1. "同构性简化"方法
2. 设计考虑的因素
(1) 业务和功能特性
1||| 业务系统逻辑和应用关联性
2||| 业务系统对外连接
(2) 安全特性的要求
1||| 安全要求相似性
2||| 威胁相似性
3||| 资产价值相近性
(3) 参照现有状况
1||| 现有网络结构状况(网络结构、地域和机房)
2||| 参照现有的管理部门职权划分
二、 设计步骤
1. 查看业务系统访问关系
(1) 访问关系:终端与业务主机;业务主机之间
(2) 主机之间无访问,各业务系统分别单独划分安全域
(3) 业务主机之间有访问关系,多个业务系统可一起考虑安全域划分
2. 划分安全计算域
(1) 划分依据:业务功能实现机制、保护等级程度(核心处理域和访问域)
(2) 核心处理域
1||| 数据库
2||| 安全控制管理
3||| 后台维护区
4||| 隔离设备区域隔离,如防火墙、路由器(使用ACL)和交换机(使用VLAN)
(3) 访问域
1||| 开发区
2||| 测试区
3||| 数据共享区
4||| 数据交换区
5||| 第三方维护管理区
6||| VPN接人区
3. 划分安全用户域
(1) 管理用户域
(2) 内部用户域
(3) 外部用户域
4. 划分安全网络域
(1) 定义:由连接具有相同安全等级的计算域和(或)用户域组成的网络域
(2) 分类
1||| 外部域
2||| 接入域
3||| 内部域
三、 模型
1. 安全服务域
(1) 定义:由各信息系统的主机经局域网连接组成的存储和处理数据信息的区域
(2) 服务域细分
1||| 关键业务域
2||| 综合业务域
3||| 公共服务域
4||| 开发测试域
(3) 划分原则
1||| 等保三级以上业务系统划入关键业务域(如财务管理系统)
2||| SAN集中存储系统划入关键业务域,并分别划出关键业务域、综合业务域、公共服务域和开发测试域的物理/逻辑存储区
3||| 等保末达到三级的业务系统(人力资源、网站系统、邮件系统等业务系统服务器)划入综合业务域
4||| 提供网络基础服务的非业务系统服务器(DNS服务器、Windows域服务器等)划入公共服务域
5||| 开发测试的服务器划入开发测试域
2. 有线接人域
(1) 定义:有线用户终端及有线网络接人基础设施组成的区域
(2) 划分原则:所有有线用户终端及有线网络接入基础设施划入有线接入域
3. 无线接人域
(1) 定义:无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域
(2) 划分原则:所有无线用户终端和无线集线器、无线访问节点、无线网桥、无线网卡等无线接入基础设施划入无线接入域
4. 安全支撑域
(1) 定义:由安全产品的管理平台、监控中心、维护终端和服务器等组成的区域
(2) 功能:身份认证、权限控制、病毒防护、补丁升级,安全事件收集、整理、关联分析,安全审计,人侵检测,漏洞扫描
(3) 划分原则:安全产品的管理平台、监控中心、维护终端和服务器划入安全支撑域
5. 安全互联域
(1) 定义:由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域
(2) 互联细分
1||| 局域网互联
2||| 广域网互联
3||| 外部网互联
4||| 因特网互联
1||| 局域网核心层、汇聚层互联设备和链路划入局域网互联子域
2||| 自主管理的综合数字网接入链路和接入设备划入广域网互联子域
3||| 自主管理的第三方合作伙伴网络接入链路和接入设备划入外部网互联子域
4||| 自主管理的因特网接入链路和接人设备划入因特网互联子域
四、 互访原则
1. 安全服务域、安全支撑域、有线接入域、无线接入域之间的互访必须经过安全互联域,不允许直接连接
2. 关键业务子域、综合业务子域、公共服务子域、开发测试子域之间的互访必须经过安全互联域,不允许直接连接
3. 广域网互联子域、外部网互联子域、因特网互联子域和其他安全域或子域之间的互访必须经过安全互联域,不允许直接连接
4. 广域网互联子域、外部网互联子域、因特网互联子域之间的互访必须经过安全互联域,不允许直接连接
5. 同一安全子域之间的互访
(1) 不同系统之间应采用VLAN进行隔离
(2) VLAN间的路由应设置在核心或汇聚层设备上,不允许通过接人层交换机进行路由
五、 边界整合及整合原则
1. 安全支撑域与安全互联域之间整合一个边界
2. 有线接入域与安全互联域之间整合一个边界
3. 安全互联域与外部网络之间整合为三个边界
(1) 广域网互连子域与广域网之间整合一个边界
(2) 因特网互联子域与因特网之间整合一个边界
(3) 外部网互联子域与第三方网络之间整合一个边界
4. 安全服务域与安全互联域之间整合四个边界
(1) 关键业务子域与局域网互联子域之间整合一个边界
(2) 综合业务子域与局域网互联子域之间整合一个边界
(3) 公共服务子域与局域网互联子域之间整合一个边界
(4) 开发测试子域与局域网互联子域之间整合一个边界
六、 边界防护技术
1. 防火墙
2. 接口服务器
3. 病毒过滤
4. 入侵防护
5. 单向物理隔离
6. 拒绝服务防护
7. 认证和授权
