-03-11 安全域讲解案例-从3x3到31

启明星辰平安域理论和应用综述

---从3x3到3+1启明星辰2005年3月11日摘要平安域概述平安域的概念、平安域的要义3x3结构性简化方案3+1同构性简化方案平安域的应用TSP要素与平安域的结合，产品、效劳、SOC等客户具体业务和平安需求与平安域的结合点**平安域概述平安域的概念一般常常理解的平安域〔网络平安域〕是指同一系统内有相同的平安保护需求，相互信任，并具有相同的平安访问控制和边界控制策略的子网或网络，且相同的网络平安域共享一样的平安策略。如果理解广义的平安域概念那么是，具有相同业务要求和平安要求的IT系统要素的集合。这些IT系统要素包括：网络区域主机和系统人和组织物理环境策略和流程业务和使命等平安域的定义平安域从三观平安论看平安域方法的位置SOC平安运营管理中心IDSScanner流量监控系统评估病毒检测渗透测试全面风险管理全面可控平安域理论和应用的相关内容平安域概念平安域属性平安域的等级保障平安需求等级基于等级的结构性简化平安域的划分平安域基线防护平安域持续防护典型平安域建设试点应用推广应用平安域理论的意义基于网络和系统进行平安检查和评估的根底平安域的分割是抗渗透的防护方式基于网络和系统进行平安建设的部署依据平安域边界是灾难发生时的抑制点，防止影响的扩散平安域不能仅仅考虑网络平安域的保障等级平安域的保障等级主要依据其敏感程度来考虑的域的所有者对于该域的信任程度描述该域对于自身防护的程度〔要求〕表达了别人对该域防护能力的信任程度。平安域整合例如平安域5平安域5平安域7平安域5平安域8平安域9平安域8平安域8银行广域线路PSTNMDCNBOSSVPN广域网256KDDN至南京创联开发人员银行应用效劳器〔私有地址〕数据库效劳器应用效劳器等外网外网外网外网开发开发应用应用数据库数据库DMZDMZ内网内网7609760936403640261065096509新增设备平安域整合例如开发人员数据库效劳器应用效劳器等外网外网外网外网开发开发应用应用数据库数据库内网65096509平安域整合例如开发人员数据库效劳器应用效劳器等外网外网外网外网开发开发应用应用数据库数据库内网65096509平安域整合例如平安域整合其实就是一个图形游戏平安域整合其实就是一个图形游戏平安域不仅仅是图形游戏仅仅有逻辑分析是不够的过度理论化的平安域方法仅仅考虑逻辑分析的状态从逻辑走向物理从状态走向实施过程从一次建设走向持续维护变化平安域的根本原那么基于分布式结构划分平安域基于业务流程优化平安域基于层次结构构建立体防护体系基于生命周期展开持续的防护平安域要义的演变局部中心观结构性简化同构性简化**平安域方案-3x3方案一个具体的/典型的平安域

结构性简化方法案例：某省级运营商工程内容—网络现状分析网络等级和层次对外提供效劳的网络网络等级：一移动的CMNET，GPRS和其他电信运营商的Internet互联网络等。对内提供公开效劳的网络网络等级：二SMS,WIN,CALL-CENTER等网络。内部保密网络网络等级：三核心业务网，提供某种业务支持，并相对对立，如BOSS、OSS等。网络平安域等级广域网汇接层和边界接入层局域网可以由各个功能子区组成:1:开放区域一般是公共互联区，与外部网络进行交互的区域。2:平安隔离区域一般是提供和其他区域进行互联或共享信息的区域。3:内部核心区域内部平安等级最高的区域。321等级划分不同平安域互连风险不同平安域使用的访问关系平安域的合并网管系统平安域设计网管系统平安域逻辑设计省网管中心平安域逻辑设计连接图3x3方案--改造方案平安域边界整合广域网的边界接入整合在边界接入路由器上对平安要求相同连接的网络等级相同禁止链路之间彼此访问局域网的边界接入整合不同平安域划分到同一组交换机的不同的VLAN并通过交换机的TRUNK机制，统一接入到防火墙的外部接口。这种可以减少边界防火墙和边界交换机的数量不同等级的网络平安域不进行合并，单独使用防火墙隔离设备，或采用多端口的防火墙进行整合。接入边界的扩展性平安等级(域)间的控制手段防护基线监测网络层：网络IDS系统系统层：主机IDS系统应用层：漏洞扫描系统〔活动〕防护网络层：防火墙系统、网络设备的ACL系统层：一次性口令认证系统、隔离机系统应用层：防病毒系统**平安域方案-3+1方案3+1方案---来源和依据美国总统关键根底设施保护委员会关于加强SCADA网络的21条建议美国国家平安局IATFDMTF的分布式管理方法和模型软件行为学…同构性简化同构性简化不同于结构性简化的区别在于，由于系统的规模非常大、结构异常复杂的情况下，如果试图设计一体的结构性简化方法可能会过于僵化，难于适应变化。同构性简化是将复杂的环境归结成一个或者几个简单“构造〞的组合。IATF的同构性提案4个域局域计算环境飞地边界网络和根底设施支撑性根底设施IATF支撑性根底设施两种同构方式的共同点之一：支撑性根底设施KMI，密钥管理根底设施响应和检测应急和恢复〔灾难备份〕3+1方案—同构性简化方案主要变化明确提出3+1的同构性简化修正和改进3x3方案中有关效劳和接入方面的细节3+1平安域同构性简化方案示意图网络和系统可以分解成4个域局域计算接入域AccessZone互联基础设施域Inter-networkingZone支撑性基础设施域SupportingZone局域计算服务域ServiceZone3+1方案中各个域侧重接入域---针对相应人员和客户端的可信度内部敏感人员、内部管理员、内部其他、第三方、客户效劳域---针对业务特点和价值，进行保护BOSS、业务和网管、OA互联域---针对连接要求可用性、性能-负载、保密性支撑域---针对支撑对象的范围和重要程度检测和响应虚拟域---围绕业务形成跨上面3+1的虚拟平安域3x3方案的改造方案3+1方案的改造方案3+1方案---主要的改造点互联域方案1：省网管网核心交换系统升级，具有三层交换功能；互联区到CMNet边界的功能简化方案2：保存现有核心交换的现状3+1方案---主要的改造点效劳域方案1：将现有的网管业务系统都划归到一个区，并且针对每个网管业务划分VLAN；运用互联区的ACL控制功能进行边界防护方案2：对于效劳区增加统一的防火墙边界防护3+1方案---主要的改造点接入域方案1：将网管的本地客户端划入效劳区相应的VLAN；将对于这些客户端的平安控制并入效劳区方案2：将其他客户端都划归接入区，包括本地客户端、本地第三方访问、远程访问等。在接入区和互联区之间，以防火墙和IDS作为平安网关进行隔离。对于接入区的客户端进行可信工作站管控。方案3：在方案2的划分根底之上，用宽带接入访问控制设备作为平安网关，对于接入客户端进行细化的鉴别和认证。对于接入区的客户端结合平安网关进行管控。方案4：在方案3的根底之上，对于接入区和效劳区的不同网管业务系统，进行虚拟平安域(VSD)管控。3+1方案---主要的改造点支撑域方案1：建立平安管理中心(SOC)，实现集中的检测和响应、辖区范围内所有平安相关设备的平安功能的集中管理；方案2：在方案1的根底之上，将辖区范围的平安策略管理和配置管理包容在SOC中。方案3：建立集中的认证效劳中心。建议采用RSA的认证效劳系统方案4：建立支撑域中病毒库升级、IDS/Scanner特征库升级、SOC规那么升级的可信在线升级链路。目前升级链路借用接入域的互联网通路。3+1方案---改造方案3+1方案---主要效果每个域内的工作形态相对单一〔简化〕利于对于域内的平安问题进行分类解决解决接入区的认证和控制，解决效劳区的效劳质量，解决互联区的可用性，解决支撑区的监控能力利于与BU对应域的边界比较清晰和规整利于进行边界防护的设置、改造加强域之间连接的线路上，业务行为相对单一利于对于线路进行检测和审计，进而实现行为监控**平安域的应用

**围绕平安域构建防护体系平安域整合—建立域结构要义的演化局部中心观结构性简化同构性简化根本思路围绕业务进行域整合域边界整合域之间线路整合局域计算接入域AccessZone互联基础设施域Inter-networkingZone支撑性基础设施域SupportingZone局域计算服务域ServiceZone基于3+1平安域的平安功能部署局域计算接入域AccessZone互联基础设施域Inter-networkingZone支撑性基础设施域SupportingZone局域计算服务域ServiceZone终端平安接入域的平安接入网关效劳域边界防护效劳器平安互联域可用性和完整性保障支撑域自身平安支撑域平安功能输出基于3+1平安域的平安功能部署局域计算接入域AccessZone互联基础设施域Inter-networkingZone支撑性基础设施域SupportingZone局域计算服务域ServiceZone局域计算接入域AccessZone互联基础设施域Inter-networkingZone支撑性基础设施域SupportingZone局域计算服务域ServiceZone互联域的分割和连接分布式计算域的平安域备份远程接入、虚拟接入平安支撑域的协同**平安域如何结合风险评估效劳局域计算接入域AccessZone互联基础设施域Inter-networkingZone支撑性基础设施域SupportingZone局域计算服务域ServiceZone国信办报告-风险10要素关系图将评估的要点和平安域结合资产和资产价值威胁威胁的作用域脆弱性脆弱性的附着点和附着域防护措施保护对象和作用域部署点**平安域如何结合SOC局域计算接入域AccessZone互联基础设施域Inter-networkingZone支撑性基础设施域SupportingZone局域计算服务域ServiceZone资源和策略配置管理监控体系共通的DaR体系结构检测Detect分析

analyze响应Response检测知识库分析知识库响应规那么库显示visualize报告report启明星辰的平安管理平台功能体系结构漏洞评估中心事件/流量/运行监控中心风险分析决策支持与预警系统响应管理系统显示报告安全运行管理中心SOC体系结构示意图ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理