企业网络安全区域设计原则与划分方法

企业网络安全区域设计原则与划分方法网络逐渐成为企业运营不可或缺的一部分，基于互联网的应用、远程培训、在线订购以及财务交易等，极大地提高企业的生产力和盈利能力，带来很多的便利。但在享受便利的同时，网络系统同样也成为安全威胁的首要目标，网络安全面临着前所未有的威胁。威胁不仅来自人为的破坏，也来自自然环境。各种人员、机构出于各种目的攻击行为，系统自身的安全缺陷（脆弱性），以及自然灾难，都可能构成对企业网络系统的威胁。威胁的发起因素是威胁的主体， 按威胁主体的性质分类， 安全威胁可以分为人为的安全威胁和非人为的安全威胁。按人为攻击的方式分类，可以分为被动攻击、主动攻击、邻近攻击和分发攻击等。1、安全威胁非人为的安全威胁非人为的安全威胁主要分为两类，一类是自然灾难，另一类是技术局限性。信息系统都是在一定的物理环境下运行， 自然灾难对信息系统的威胁是非常严重的。典型的自然灾难包括：地震、水灾、火灾、风灾等。自然灾难可能会对信息系统造成毁灭性的破坏。同所有技术一样，信息技术本身也存在局限性，有很多缺陷和漏洞。典型的缺陷包括：系统、硬件、软件的设计缺陷、实现缺陷和配置缺陷。信息系统的高度复杂性以及信息技术的高速发展和变化，使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。人为安全威胁网络系统面临的人为安全威胁可分为外部威胁和内部威胁，人为安全威胁主要是人为攻击，主要分为以下几类：被动攻击、主动攻击、邻近攻击、分发攻击。§ 被动攻击这类攻击主要包括被动监视通信信道上的信息传送。被动攻击主要是了解所传送的信息，一般不易被发现。典型攻击行为有：a) 监听通信数据；b) 解密加密不善的通信数据；c) 口令截获；d) 通信流量分析。§ 主动攻击主动攻击为攻击者主动对信息系统实施攻击，包括企图避开安全保护，引入恶意代码，以及破坏数据和系统的完整性。a) 修改数据；b) 重放所截获的数据；c) 插入数据；d) 盗取合法建立的会话；e) 伪装；f) 越权访问；g) 利用缓冲区溢出（BOF）漏洞执行代码；h) 插入和利用恶意代码（如：特洛依木马、后门、病毒等）；i) 利用协议、软件、系统故障和后门；j) 拒绝服务攻击。§ 邻近攻击此类攻击的攻击者试图在地理上尽可能接近被攻击的网络、系统和设备，目的是修改、收集信息，或者破坏系统。这种接近可以是公开的或秘密的，也可能是两种都有，邻近攻击最容易发生在没有良好保安措施的地方。典型的邻近攻击有：a) 偷取磁盘后又还回；b) 偷窥屏幕信息；c) 收集作废的打印纸；d) 物理毁坏通信线路。§ 分发攻击分发攻击是指在系统硬件和软件的开发、生产、运输、安装和维护阶段，攻击者恶意修改设计、配置等行为。典型的分发攻击方式有：a) 利用制造商在设备上设置隐藏的攻击途径；b) 在产品分发、安装时修改软硬件配置，设置隐藏的攻击途径；c) 在设备和系统维护升级过程中修改软硬件配置，设置隐藏的攻击途径。直接通过因特网进行远程升级维护具有较大的安全风险。§ 内部威胁内部威胁是由于内部管理不善， 由内部合法人员造成， 他们具有对系统的合法访问权限。内部合法人员对系统的威胁， 除了具有上述人为安全威胁的攻击方式， 还具有其特有的攻击手段。内部威胁分为恶意和非恶意两种，即恶意攻击和非恶意威胁。恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。非恶意威胁则是由于合法用户的无意行为造成了对政务信息系统的攻击，他们并非故意要破坏信息和系统，但由于误操作、经验不足、培训不足而导致一些特殊的行为，对系统造成了破坏。典型的内部威胁有：a) 恶意修改数据和安全机制配置参数；b) 恶意建立未授权的网络连接，如：拨号连接；c) 恶意的物理损坏和破坏；d) 无意的数据损坏和破坏，如：误删除。2、传统安全防范技术面对如此众多的威胁威胁， 传统安全防范技术强调单个安全产品的重要性， 如防火墙的性能和功能，IDS 入侵检测系统的高效性等，而对全网的安全威胁没有一个仔细的研究，对网络安全的设计没有明确的层次和区域，如下图所示：网络中部署了相关的安全产品，防火墙，VPN，IDS，安全管理等，但由于组网方式很随意，没有统一规划，不清楚网络的威胁，层次，区域策略，安全防护手段部署原则不明确，当网络某一局部出现安全隐患被侵入后，由于网络之间边界不清楚，无清楚的边界控制，攻击很容易扩散，从而局部侵入马上成为全网侵入，造成对全网的威胁。当局部的蠕虫泛滥，造成全网的快速泛滥，企业用户缺乏足够的缓冲处理时间，可能很快造成全网瘫痪，而部署的安全设备也不能充分的发挥作用，成为资源的浪费。3、纵深防御和安全区域划分因此，在多种多样的安全威胁前，企业需要建立纵深防御体系，防止因某个部分的侵入而导致整个系统的崩溃；基于网络系统之间逻辑关联性和物理位置，功能特性，划分清楚的安全层次和安全区域，在部署安全产品和策略时，才可以定义清楚安全策略和部署模式。特别是对复杂的大系统，安全保障包括网络基础设施、业务网，办公网，本地交换网，电子商务网，信息安全基础设施等多个保护区域。这些区域是一个紧密联系的整体，相互间既有纵向的纵深关系,又有横向的协作关系，每个范围都有各自的安全目标和安全保障职责。积极防御、综合防范的方针为各个保护范围提供安全保障，有效地协调纵向和横向的关系，提高网络整体防御能力。安全区域划分对企业网络的建设有着以下重要意义：· 纵深防御依赖于安全区域的清除定义· 安全区域间边界清晰，明确边界安全策略· 加强安全区域策略控制力，控制攻击扩散，增加应对安全突发事件的缓冲处理时间· 依据安全策略，可以明确需要部署的安全设备· 使相应的安全设备充分运用，发挥应有的作用安全域隔离技术安全域隔离技术主要分为物理隔离技术和逻辑隔离技术两类§ 物理隔离      物理级（电磁辐射）- 屏蔽、干扰      终端级（双网机）- 双盘型、双区型      传输信道级 - 非加密信道、加密信道      网络级（网闸）           -信息交换型           -信息共享型           -系统互操作型§ 逻辑隔离       防火墙控制       VLAN虚拟网技术       FR, ATM技术       L2TP V3,ATOM       IPsec VPN, MPLS VPN, SSL VPN, GRE技术       病毒网关过滤技术       应用层安全控制技术4、一般企业网络安全区域设计模型企业网络情况和业务系统千差万别， 所以不同企业对安全区域的划分， 可以有完全不同的表述方法和模式。但一般而言，大多数企业均有相同的网络部分和安全分区。安全区域相关定义在划分安全区域时，需要明确几个安全区域相关的定义，以免模糊他们之间的概念，造成区域划分完之后， 依然逻辑不清晰， 安全策略无法明确， 立体的纵深防御体系也无法建立。一般在安全区域划分时，需要明确如下常用的定义：  物理网络区域物理网络区域是指数据网中，依照在相同的物理位置定义的网络区域，通常如办公区域，远程办公室区域，楼层交换区域等  网络功能区域功能区域是指以功能为标准，划分的逻辑网络功能区域，如互联网区域，生产网区域，办公网区域等  网络安全区域网络安全区域是指网络系统内具有相同安全要求、达到相同安全防护等级的区域。同一安全区域一般要求有统一的安全管理组织和安全防护体系及策略，不同的安全区域的互访需要有相应的边界安全策略。  网络安全层次根据层次分析方法，将网络安全区域划分成几个不同安全等级的层次，同一层次包含若干个安全等级相同的区域，同层安全区域之间相互逻辑或物理隔离。  物理网络区域和安全区域的关系一个物理网络区域可以对应多个安全区域，一个安全区域只能对应一个物理网络区域  网络功能区域和物理网络区域的关系一个网络功能区域可以对应多个物理网络区域，一个物理网络区域只能对应一个网络功能区域，如办公网功能区域，可以包含总部办公网物理区域，远程办公室办公网物理区域，移动办公物理区域等。  网络功能区域和安全区域的关系一个网络功能区域可以对应多个网络安全区域，一个网络安全区域只能对应一个网络功能区域。安全区域设计一般原则尽管不同企业对安全区域的设计可能理解不尽相同， 但还是有一般的安全区域设计原则可供参考如下：  一 体化设计原则综合考虑整体网络系统的需求，一个整体的网络安全区域设计规范以规范我  多重保护原则不能把整个系统的安全寄托在单一的安全措施或安全产品上，要建立一套多重保护系统，各重保护相互补充，当一层保护被攻破时，其它层的保护仍可确保信息系统的安全  定义清楚的安全区域边界设定清楚的安全区域边界，可以明确安全区域策略，从而确定需要部署何种安全技术和设备  在安全域之间执行完整的策略在安全域之间执行完整的安全策略，帮助建立完整的纵深防御体系，方便安全技术实施部署  通常安全域越多越好  较多的安全区域划分可以提供更精确的访问控制策略，提高网络的可控性  太多的安全区域，会增加管理复杂性  需要在较多的安全区域划分和管理的复杂性之间做出平衡选择  风险、代价平衡分析的原则通过分析网络系统面临的各种安全问题挑战， 确保实施网络系统安全策略的成本与被保护资源的价值相匹配；确保安全防护的效果与网络系统的高效、健壮相匹配。  适应性、灵活性原则在进行网络安全区域设计时，不能只强调安全方面的要求，要避免对网络、应用系统的发展造成太多的阻碍；另外，在网络安全区域模型保持相对稳定的前提下，要求整体安全区域架构可以根据实际安全需求变化进行微调，使具体网络安全部署的策略易于修改，随时做出调整。网络安全区域划分方法§ 传统的划分方法传统安全区域划分方法基本是以安全功能区域和物理区域相结合，做出安全区域的划分。在一般规模较小的企业网络环境中，这种方式简明，方便，逻辑清楚 便于实施。但在先对比较复杂的企业网络系统中，应用系统相对复杂， 传统方式主要考虑不同应用系统之间安全防护等级的不同，较少考虑同一应用系统对外提供服务时内部不同层次之间存在的安全等级差异，一般而言，存在以下4个方面缺点：     在应用系统较为复杂的网络系统中，不同应用系统的用户层、表示层功能相互整合，各应用系统不同层次间的联系日趋复杂，从而很难设定明确的界限对应用系统进行归类，造成安全区域边界模糊。     设置在安全区域边界的防火墙实施的安全策略级别不清， 存在着应用划分层次(用户、表示、应用、数据) 4 层功能两两之间各种级差的访问控制策略，防火墙安全等级定位不清，不利于安全管理和维护。     所有区域定义的安全级别过于复杂，多达 10+级安全等级，等级高低没有严格的划分标准，造成实施边界防护时难以进行对应操作。     逻辑网络安全区域和物理网络区域的概念不清，相互混用，无法明确指出两者之间的相互关系。§ 改进的安全区域划分方法- 层次型安全区域划分方法借鉴 B/S 结构应用系统对外提供服务的层次关系，采用层次分析的方法，将数据网络划分成核心数据层、应用表述层、网络控制层、用户接入层 4 个不同的安全等级，从核心数据层到用户接入层安全等级递减。不同安全层次等级之间由于存在较大安全级差，需要通过防火墙实施物理隔离和高级别防护；同一安全等级层次内的资源，根据对企业的重要性不同，以及面临的外来攻击威胁、内在运维风险不同， 进一步划分成多个安全区域， 每个区域之间利用防火墙、 IOS ACL