3.2.3  設(shè)計(jì)網(wǎng)絡(luò)安全體系

1.劃分網(wǎng)絡(luò)安全域

劃分網(wǎng)絡(luò)安全域是指按照不同區(qū)域的不同功能目的和安全要求，將網(wǎng)絡(luò)劃分為不同的安全域，以便實(shí)施不同的安全策略。其中，安全域是由一組具有相同安全保護(hù)需求并相互信任的系統(tǒng)組成的邏輯區(qū)域。每一邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問(wèn)控制和邊界控制策略，遵循同樣的安全策略。

一種簡(jiǎn)單而通用的網(wǎng)絡(luò)安全域劃分方法是將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)安全域、互聯(lián)網(wǎng)安全域和外部網(wǎng)絡(luò)安全域三部分。在實(shí)踐中，為更好地進(jìn)行網(wǎng)絡(luò)的安全防護(hù)，應(yīng)根據(jù)用戶實(shí)際網(wǎng)絡(luò)的具體情況來(lái)劃分。例如，對(duì)于一個(gè)大型企業(yè)，其網(wǎng)絡(luò)可能會(huì)劃分為核心業(yè)務(wù)安全域、數(shù)據(jù)存儲(chǔ)安全域、分支機(jī)構(gòu)網(wǎng)絡(luò)安全域、異地災(zāi)備中心安全域，互聯(lián)網(wǎng)門戶網(wǎng)站安全域和通信線路運(yùn)營(yíng)商廣域網(wǎng)安全域等。

網(wǎng)絡(luò)安全域的劃分，應(yīng)遵循如下原則。

1)網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)需要進(jìn)行嚴(yán)格的規(guī)劃、設(shè)計(jì)和管理，一經(jīng)確定，不能輕易更改。如因業(yè)務(wù)需要，確實(shí)需對(duì)網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)進(jìn)行調(diào)整和改變，需按照相應(yīng)的運(yùn)維管理流程上報(bào)。

2)按照網(wǎng)絡(luò)分層設(shè)計(jì)的原則進(jìn)行規(guī)劃，層次劃分和設(shè)計(jì)合理清晰，保證網(wǎng)絡(luò)系統(tǒng)骨干穩(wěn)定可靠，接入安全，便于擴(kuò)充和管理，易于故障隔離和排除。

3)網(wǎng)絡(luò)按訪問(wèn)控制策略劃分成不同的安全域，將有相同安全需求的網(wǎng)絡(luò)設(shè)備劃分到一 個(gè)安全域中，采取相同或類似的安全策略，對(duì)重要網(wǎng)段進(jìn)行重點(diǎn)保護(hù)。

4)使用防火墻等安全設(shè)備、VLAN或其他訪問(wèn)控制方式與技術(shù)，將重要網(wǎng)段與其他網(wǎng)段隔離開(kāi)，在不同安全域之間設(shè)置訪問(wèn)控制措施。