数据中心安全域的设计和划分
安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础,也是保障业务信息安全的基础。
一、安全域设计方法
安全域模型设计采用"同构性简化"方法,基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元以拼接、递归等方式构造出一个大的网络。
一般来讲,对信息系统安全域(保护对象)的设计应主要考虑如下方面因素:
1.业务和功能特性。
①业务系统逻辑和应用关联性。
②业务系统对外连接。对外业务、支撑、内部管理。
2.安全特性的要求。
①安全要求相似性。可用性、保密性和完整性的要求。
②威胁相似性。威胁来源、威胁方式和强度。
③资产价值相近性。重要与非重要资产分离。
3.参照现有状况。
①现有网络结构的状况。现有网络结构、地域和机房等。
②参照现有的管理部门职权划分。
二、安全域设计步骤
一个数据中心内部安全域的划分主要有如下步骤:
1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系,若业务主机之间没有任何访问关系,则单独考虑各业务系统安全域的划分,若业务主机之间有访问关系,则几个业务系统一起考虑安全域的划分。
2.划分安全计算域。根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分,一般分为核心处理域和访问域,其中数据库服务器等后台
处理设备归人核心处理域,前台直接面对用户的应用服务器归人访问域;局域网访问域可以有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等;局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等,核心处理域应具有隔离设备对该区域进行安全隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。
3.划分安全用户域。根据业务系统的访问用户分类进行安全用户域的划分,访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域,一般分为管理用户域、内部用户域、外部用户域。
4.划分安全网络域。安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内化分三种安全域:外部域、接人域、内部域。
三、安全域模型
该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、物理安全特性等。
1.安全服务域。安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。
2.有线接人域。有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。
3.无线接人域。无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。
4.安全支撑域。安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域,实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级,各类安全事件的收集、整理、关联分析,安全审计,人侵检测,漏洞扫描等。
5.安全互联域。安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。
安全服务域细分为关键业务、综合业务、公共服务和开发测试等4个子域;安全互联域细分为局域网互联、广域网互联、外部网互联、因特网互联4个子域。
(一)、安全服务域划分
①等保三级的业务系统服务器划入关键业务子域,例如,财务管理系统。
②SAN集中存储系统划入关键业务子域,并在SAN存储设备上单独划分出物理/逻辑存储区域,分别对应关键业务子域、综合业务子域、公共服务子域、开发测试子域中的存储的空间。
③等保末达到三级的业务系统服务器划入综合业务子域,例如,人力资源、网站系统、邮件系统等业务系统服务器。
④提供网络基础服务的非业务系统服务器划入公共服务子域,例如,DNS 服务器、Windows域服务器等。
⑤用于开发和测试的服务器划分入开发测试子域。
(二)、有线接入域划分
所有有线用户终端及有线网络接入基础设施划入有线接入域。
(三)、无线接入域划分
所有无线用户终端和无线集线器、无线访问节点、无线网桥、无线网卡等无线接入基础设施划入无线接入域。
(四)、安全支撑域划分
各类安全产品的管理平台、监控中心、维护终端和服务器划入安全支撑域。
(五)、.安全互联域划分。
①局域网核心层、汇聚层互联设备和链路划入局域网互联子域。
②自主管理的综合数字网接入链路和接入设备,包含网络设备、安全设备和前端服务器划入广域网互联子域。
③自主管理的第三方合作伙伴网络接入链路和接入设备,包含网络设备、安全设备和前端服务器划入外部网互联子域。
④自主管理的因特网接入链路和接人设备,包含网络设备、安全设备和前端服务器划入因特网互联子域。
四、安全域互访原则
1.安全服务域、安全支撑域、有线接入域、无线接入域之间的互访必须经过
安全互联域,不允许直接连接。
2.关键业务子域、综合业务子域、公共服务子域、开发测试子与之间的互访必须经过安全互联域,不允许百接连接。
3.广域网互联子域、外部网互联子域、因特网互联子域和其他安全域或子域之间的互访必须经过安全互联域,不允许直接连接。
4.广域网互联子域、外部网互联子域、因特网互联子域之间的互访必须经过安全互联域,不允许直接连接。
同一安全子域,如关键业务子域、综合业务子域、基础业务子域、公共服务子域、开发测试子域内部的不同系统之间应采用VLAN进行隔离,VLAN间的路由应设置在核心或汇聚层设备上,不允许通过接人层交换机进行路由。
五、安全域边界整合
安全域之间互联接口数量越多,安全性越难以控制,因此,必须在保证各种互联需求的前提下对安全域边界进行合理整合,通过对系统接口的有效整理和归并,减少接口数量,提高接口规范性。边界整合最终要实现不同类别边界链路层物理隔离,边界设备(如交换机、路由器或防火墙等)实现硬件独立,杜绝混用现象。同时边界设备要满足冗余要求。
安全域边界整合的原则如下:
1.安全支撑域与安全互联域之间所有的互访接口整合为一个边界。
2.有线接入域与安全互联域之间所有的互访接口整合为一个边界。
3.安全互联域与外部网络之间所有的互访接口整合为三个边界,分别是:
①广域网互连子域与广域网之间所有的互访接口整合为一个边界。
②因特网互联子域与因特网之间所有的互访接口整合为一个边界。
③外部网互联子域与第三方网络之间所有的互访接口整合为一个边界。
4.安全服务域与安全互联域之间所有的互访接口整合为四个边界:关键业务子域边界、综合业务子域边界、公共服务子域边界、开发测试子域边界。
①关键业务子域与局域网互联子域之间所有的互访接口整合为一个边界。
②综合业务子域与局域网互联子域之间所有的互访接口整合为一个边界。
③公共服务子域与局域网互联子域之间所有的互访接口整合为一个边界。
④开发测试子域与局域网互联子域之间所有的互访接口整合为一个边界。
