全国服务热线 :0755-26406096

产品推荐
  • TRITON APX Enterprise Core
  • 深信服(sangfor)上网行为管理AC
  • 深信服(sangfor)下一代防火墙NGAF
  • 深信服(sangfor)SSL VPN
  • 深信服(sangfor)广域网优化WOC
  • 深信服(sangfor)应用交付AD
  • Polycom(宝利通)ReaIPresence Group550高清视频会议终端
  • polycom(宝利通) HDX7000 宝利通高清视频终端
联系我们
深圳市望升信息技术有限公司
售前电话:0755-26406096
售后电话:0755-86549081
地址:深圳市南山区科技园中钢大厦M-6栋4楼
Email:hel@wangshenginfo.com
邮编:518057
电话:0755-26406096
传真:0755-26649834
您现在的位置: 首页   新闻资讯   知识宝典 知识宝典

边界防护技术的应用

文章来源:多媒体会议室 发布日期:2016年09月20日    浏览次数:478

    面对一个庞大、复杂的企业内网及相关的信息系统,单独对每项信息资产确定保护方法是非常复杂的工作,常由于疏忽或错误导致安全漏洞。但是将整个内网系统当成一个安全等级来防护,也难免造成没有防范层次和防范重点,对风险尤其是内部风险的控制能力不足。
    较好的处理方式是进行安全域的划分,制订资产划分的规则,将信息资产归入不同安全域中,每个安全域内部都有着基本相同的安全特性,如安全级别、安全威胁、安全弱点及风险等。在此安全域的基础上确定该区域的信息系统安全保护等级和防护手段,同一安全域内的资产实施统一的保护。


1.安全域的定义
    安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。同一安全域的系统共享相同的安全策略,安全域划分的目的是把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全等级保护的有效方法。


2.安全域的分类
    以电信运营企业内部网络为例,安全域可以分为安全计算域、安全用户域、安全网络域和安全服务域。其中,安全计算域的安全等级是确定一个内部网络安全保护和等级划分的基础。
    安全网络域:支撑安全域的网络设备和网络拓扑,是安全域的承载子域,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。
    业务计算域:安全域的核心业务服务器、数据库,是安全域的核心子域,防护重点是防病毒攻击、防黑客篡改和防误操作导致数据丢失。
    公共服务域:为安全域提供统一的安全服务,是安全域的公共子域,包括统一的外部网络接口、安全认证、事件管理、策略管理、补丁管理等服务。
    业务终端域:需要访问安全计算域的各类客户端和维护终端,是安全域的风险子域,防护重点是加强认证和审计、限制权限,严格遵守配置标准。


3.边界整合和防护设计
    划分安全域后,同一安全域拥有相同的安全等级,可以认为在统一安全域之内是相互信任的,而安全风险主要是不同的安全域之间相互访问所带来的,因此对于安全域的防护主要是对安全域边界的安全防护。边界的种类主要分为三种:同级别安全域之间的边界;不同级别安全域之间的边界,实际设计实施时又分为高等级安全域和低等级安全域的边界和防护;远程连接的用户,通常会通过公共网络,除了边界的防护,数据传送过程中也必须保障保密性和完整性。


4.同级别安全域之间的边界
    同级别安全域之间的安全防护主要是安全隔离和可信互访。因为同级别安全域之间的安全等级相同,主要从业务需要出发划分不同的安全域,如在运营商支撑网络中将OA系统、计费系统、网管系统划分为不同的安全域。为了防止单点的安全事件扩散到整个网络,影响其他的业务系统,需要保证同级别安全域之间的安全隔离。
    根据以上的需求,通过MPLS-VPN解决方案可以很好地满足同级别安全域之间安全隔离的需求。
    通过MPLS-VPN解决方案,可以实现各个节点和业务之间的互访和隔离需求,能够做到在增加新的节点或业务时,对其他节点的配置进行很小的改动,而且对网络上承载的业务没有影响,这可以使各个业务使用同一个核心网络,而在地市节点再按照业务与不同的网络设备相连。通过MPLS-VPN解决方案,可以使整个网络结构简化,减轻维护压力。


5.不同级别安全域之间的边界
    不同级别安全域之间的相互访问带来较大的安全风险,是网络安全防护的重点。在划分的安全域中,安全用户域是风险子域,用户域对于计算域的访问是网络中面临的主要风险。
    采用安全接入认证网关和防火墙对不同级别安全域之间的边界进行防护如图3所示。
    安全接入认证网关通常部署在用户域接入网络的边缘,用于不同安全等级的安全域间的数据交换。通过认证授权和安全策略的检查,对终端的网络访问权限进行控制,只有通过认证和安全策略检测的终端才拥有访问网络的权限,没有通过的终端无法访问网络,从而将安全风险阻挡在网络接入的边缘,最大限度的保护了计算域中核心业务系统的安全。
    防火墙通常部署在计算域的前端,用于提供多层次的纵深安全防护。


6.远程接入的实现
    随着业务的发展,远程接入的需求越来越多,远程用户通常通过Internet远程接入到企业的数据网络之中,如图4所示,其安全风险很大。
    对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护。用户通过在远端和总部之间建立VPN隧道的方式,并采用数据加密的方法,保证通信的安全。同时结合双因素认证的方式,对接入用户采用高强度的认证、授权和审计,控制远程接入的风险。

【推荐阅读】

望升官方微信

关注微信,了解“更多精彩”

电话:400-807-5518

地址:深圳市南山区高新园中区中钢大厦M-6栋4楼