-03-11 安全域講解案例-從3x3到31

啟明星辰平安域理論和應(yīng)用綜述

---從3x3到3+1啟明星辰2005年3月11日摘要平安域概述平安域的概念、平安域的要義3x3結(jié)構(gòu)性簡化方案3+1同構(gòu)性簡化方案平安域的應(yīng)用TSP要素與平安域的結(jié)合，產(chǎn)品、效勞、SOC等客戶具體業(yè)務(wù)和平安需求與平安域的結(jié)合點(diǎn)**平安域概述平安域的概念一般常常理解的平安域〔網(wǎng)絡(luò)平安域〕是指同一系統(tǒng)內(nèi)有相同的平安保護(hù)需求，相互信任，并具有相同的平安訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)平安域共享一樣的平安策略。如果理解廣義的平安域概念那么是，具有相同業(yè)務(wù)要求和平安要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務(wù)和使命等平安域的定義平安域從三觀平安論看平安域方法的位置SOC平安運(yùn)營管理中心IDSScanner流量監(jiān)控系統(tǒng)評估病毒檢測滲透測試全面風(fēng)險(xiǎn)管理全面可控平安域理論和應(yīng)用的相關(guān)內(nèi)容平安域概念平安域?qū)傩云桨灿虻牡燃壉Ｕ掀桨残枨蟮燃壔诘燃壍慕Y(jié)構(gòu)性簡化平安域的劃分平安域基線防護(hù)平安域持續(xù)防護(hù)典型平安域建設(shè)試點(diǎn)應(yīng)用推廣應(yīng)用平安域理論的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行平安檢查和評估的根底平安域的分割是抗?jié)B透的防護(hù)方式基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行平安建設(shè)的部署依據(jù)平安域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的擴(kuò)散平安域不能僅僅考慮網(wǎng)絡(luò)平安域的保障等級平安域的保障等級主要依據(jù)其敏感程度來考慮的域的所有者對于該域的信任程度描述該域?qū)τ谧陨矸雷o(hù)的程度〔要求〕表達(dá)了別人對該域防護(hù)能力的信任程度。平安域整合例如平安域5平安域5平安域7平安域5平安域8平安域9平安域8平安域8銀行廣域線路PSTNMDCNBOSSVPN廣域網(wǎng)256KDDN至南京創(chuàng)聯(lián)開發(fā)人員銀行應(yīng)用效勞器〔私有地址〕數(shù)據(jù)庫效勞器應(yīng)用效勞器等外網(wǎng)外網(wǎng)外網(wǎng)外網(wǎng)開發(fā)開發(fā)應(yīng)用應(yīng)用數(shù)據(jù)庫數(shù)據(jù)庫DMZDMZ內(nèi)網(wǎng)內(nèi)網(wǎng)7609760936403640261065096509新增設(shè)備平安域整合例如開發(fā)人員數(shù)據(jù)庫效勞器應(yīng)用效勞器等外網(wǎng)外網(wǎng)外網(wǎng)外網(wǎng)開發(fā)開發(fā)應(yīng)用應(yīng)用數(shù)據(jù)庫數(shù)據(jù)庫內(nèi)網(wǎng)65096509平安域整合例如開發(fā)人員數(shù)據(jù)庫效勞器應(yīng)用效勞器等外網(wǎng)外網(wǎng)外網(wǎng)外網(wǎng)開發(fā)開發(fā)應(yīng)用應(yīng)用數(shù)據(jù)庫數(shù)據(jù)庫內(nèi)網(wǎng)65096509平安域整合例如平安域整合其實(shí)就是一個(gè)圖形游戲平安域整合其實(shí)就是一個(gè)圖形游戲平安域不僅僅是圖形游戲僅僅有邏輯分析是不夠的過度理論化的平安域方法僅僅考慮邏輯分析的狀態(tài)從邏輯走向物理從狀態(tài)走向?qū)嵤┻^程從一次建設(shè)走向持續(xù)維護(hù)變化平安域的根本原那么基于分布式結(jié)構(gòu)劃分平安域基于業(yè)務(wù)流程優(yōu)化平安域基于層次結(jié)構(gòu)構(gòu)建立體防護(hù)體系基于生命周期展開持續(xù)的防護(hù)平安域要義的演變局部中心觀結(jié)構(gòu)性簡化同構(gòu)性簡化**平安域方案-3x3方案一個(gè)具體的/典型的平安域

結(jié)構(gòu)性簡化方法案例：某省級運(yùn)營商工程內(nèi)容—網(wǎng)絡(luò)現(xiàn)狀分析網(wǎng)絡(luò)等級和層次對外提供效勞的網(wǎng)絡(luò)網(wǎng)絡(luò)等級：一移動(dòng)的CMNET，GPRS和其他電信運(yùn)營商的Internet互聯(lián)網(wǎng)絡(luò)等。對內(nèi)提供公開效勞的網(wǎng)絡(luò)網(wǎng)絡(luò)等級：二SMS,WIN,CALL-CENTER等網(wǎng)絡(luò)。內(nèi)部保密網(wǎng)絡(luò)網(wǎng)絡(luò)等級：三核心業(yè)務(wù)網(wǎng)，提供某種業(yè)務(wù)支持，并相對對立，如BOSS、OSS等。網(wǎng)絡(luò)平安域等級廣域網(wǎng)匯接層和邊界接入層局域網(wǎng)可以由各個(gè)功能子區(qū)組成:1:開放區(qū)域一般是公共互聯(lián)區(qū)，與外部網(wǎng)絡(luò)進(jìn)行交互的區(qū)域。2:平安隔離區(qū)域一般是提供和其他區(qū)域進(jìn)行互聯(lián)或共享信息的區(qū)域。3:內(nèi)部核心區(qū)域內(nèi)部平安等級最高的區(qū)域。321等級劃分不同平安域互連風(fēng)險(xiǎn)不同平安域使用的訪問關(guān)系平安域的合并網(wǎng)管系統(tǒng)平安域設(shè)計(jì)網(wǎng)管系統(tǒng)平安域邏輯設(shè)計(jì)省網(wǎng)管中心平安域邏輯設(shè)計(jì)連接圖3x3方案--改造方案平安域邊界整合廣域網(wǎng)的邊界接入整合在邊界接入路由器上對平安要求相同連接的網(wǎng)絡(luò)等級相同禁止鏈路之間彼此訪問局域網(wǎng)的邊界接入整合不同平安域劃分到同一組交換機(jī)的不同的VLAN并通過交換機(jī)的TRUNK機(jī)制，統(tǒng)一接入到防火墻的外部接口。這種可以減少邊界防火墻和邊界交換機(jī)的數(shù)量不同等級的網(wǎng)絡(luò)平安域不進(jìn)行合并，單獨(dú)使用防火墻隔離設(shè)備，或采用多端口的防火墻進(jìn)行整合。接入邊界的擴(kuò)展性平安等級(域)間的控制手段防護(hù)基線監(jiān)測網(wǎng)絡(luò)層：網(wǎng)絡(luò)IDS系統(tǒng)系統(tǒng)層：主機(jī)IDS系統(tǒng)應(yīng)用層：漏洞掃描系統(tǒng)〔活動(dòng)〕防護(hù)網(wǎng)絡(luò)層：防火墻系統(tǒng)、網(wǎng)絡(luò)設(shè)備的ACL系統(tǒng)層：一次性口令認(rèn)證系統(tǒng)、隔離機(jī)系統(tǒng)應(yīng)用層：防病毒系統(tǒng)**平安域方案-3+1方案3+1方案---來源和依據(jù)美國總統(tǒng)關(guān)鍵根底設(shè)施保護(hù)委員會關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)的21條建議美國國家平安局IATFDMTF的分布式管理方法和模型軟件行為學(xué)…同構(gòu)性簡化同構(gòu)性簡化不同于結(jié)構(gòu)性簡化的區(qū)別在于，由于系統(tǒng)的規(guī)模非常大、結(jié)構(gòu)異常復(fù)雜的情況下，如果試圖設(shè)計(jì)一體的結(jié)構(gòu)性簡化方法可能會過于僵化，難于適應(yīng)變化。同構(gòu)性簡化是將復(fù)雜的環(huán)境歸結(jié)成一個(gè)或者幾個(gè)簡單“構(gòu)造〞的組合。IATF的同構(gòu)性提案4個(gè)域局域計(jì)算環(huán)境飛地邊界網(wǎng)絡(luò)和根底設(shè)施支撐性根底設(shè)施IATF支撐性根底設(shè)施兩種同構(gòu)方式的共同點(diǎn)之一：支撐性根底設(shè)施KMI，密鑰管理根底設(shè)施響應(yīng)和檢測應(yīng)急和恢復(fù)〔災(zāi)難備份〕3+1方案—同構(gòu)性簡化方案主要變化明確提出3+1的同構(gòu)性簡化修正和改進(jìn)3x3方案中有關(guān)效勞和接入方面的細(xì)節(jié)3+1平安域同構(gòu)性簡化方案示意圖網(wǎng)絡(luò)和系統(tǒng)可以分解成4個(gè)域局域計(jì)算接入域AccessZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone局域計(jì)算服務(wù)域ServiceZone3+1方案中各個(gè)域側(cè)重接入域---針對相應(yīng)人員和客戶端的可信度內(nèi)部敏感人員、內(nèi)部管理員、內(nèi)部其他、第三方、客戶效勞域---針對業(yè)務(wù)特點(diǎn)和價(jià)值，進(jìn)行保護(hù)BOSS、業(yè)務(wù)和網(wǎng)管、OA互聯(lián)域---針對連接要求可用性、性能-負(fù)載、保密性支撐域---針對支撐對象的范圍和重要程度檢測和響應(yīng)虛擬域---圍繞業(yè)務(wù)形成跨上面3+1的虛擬平安域3x3方案的改造方案3+1方案的改造方案3+1方案---主要的改造點(diǎn)互聯(lián)域方案1：省網(wǎng)管網(wǎng)核心交換系統(tǒng)升級，具有三層交換功能；互聯(lián)區(qū)到CMNet邊界的功能簡化方案2：保存現(xiàn)有核心交換的現(xiàn)狀3+1方案---主要的改造點(diǎn)效勞域方案1：將現(xiàn)有的網(wǎng)管業(yè)務(wù)系統(tǒng)都劃歸到一個(gè)區(qū)，并且針對每個(gè)網(wǎng)管業(yè)務(wù)劃分VLAN；運(yùn)用互聯(lián)區(qū)的ACL控制功能進(jìn)行邊界防護(hù)方案2：對于效勞區(qū)增加統(tǒng)一的防火墻邊界防護(hù)3+1方案---主要的改造點(diǎn)接入域方案1：將網(wǎng)管的本地客戶端劃入效勞區(qū)相應(yīng)的VLAN；將對于這些客戶端的平安控制并入效勞區(qū)方案2：將其他客戶端都劃歸接入?yún)^(qū)，包括本地客戶端、本地第三方訪問、遠(yuǎn)程訪問等。在接入?yún)^(qū)和互聯(lián)區(qū)之間，以防火墻和IDS作為平安網(wǎng)關(guān)進(jìn)行隔離。對于接入?yún)^(qū)的客戶端進(jìn)行可信工作站管控。方案3：在方案2的劃分根底之上，用寬帶接入訪問控制設(shè)備作為平安網(wǎng)關(guān)，對于接入客戶端進(jìn)行細(xì)化的鑒別和認(rèn)證。對于接入?yún)^(qū)的客戶端結(jié)合平安網(wǎng)關(guān)進(jìn)行管控。方案4：在方案3的根底之上，對于接入?yún)^(qū)和效勞區(qū)的不同網(wǎng)管業(yè)務(wù)系統(tǒng)，進(jìn)行虛擬平安域(VSD)管控。3+1方案---主要的改造點(diǎn)支撐域方案1：建立平安管理中心(SOC)，實(shí)現(xiàn)集中的檢測和響應(yīng)、轄區(qū)范圍內(nèi)所有平安相關(guān)設(shè)備的平安功能的集中管理；方案2：在方案1的根底之上，將轄區(qū)范圍的平安策略管理和配置管理包容在SOC中。方案3：建立集中的認(rèn)證效勞中心。建議采用RSA的認(rèn)證效勞系統(tǒng)方案4：建立支撐域中病毒庫升級、IDS/Scanner特征庫升級、SOC規(guī)那么升級的可信在線升級鏈路。目前升級鏈路借用接入域的互聯(lián)網(wǎng)通路。3+1方案---改造方案3+1方案---主要效果每個(gè)域內(nèi)的工作形態(tài)相對單一〔簡化〕利于對于域內(nèi)的平安問題進(jìn)行分類解決解決接入?yún)^(qū)的認(rèn)證和控制，解決效勞區(qū)的效勞質(zhì)量，解決互聯(lián)區(qū)的可用性，解決支撐區(qū)的監(jiān)控能力利于與BU對應(yīng)域的邊界比較清晰和規(guī)整利于進(jìn)行邊界防護(hù)的設(shè)置、改造加強(qiáng)域之間連接的線路上，業(yè)務(wù)行為相對單一利于對于線路進(jìn)行檢測和審計(jì)，進(jìn)而實(shí)現(xiàn)行為監(jiān)控**平安域的應(yīng)用

**圍繞平安域構(gòu)建防護(hù)體系平安域整合—建立域結(jié)構(gòu)要義的演化局部中心觀結(jié)構(gòu)性簡化同構(gòu)性簡化根本思路圍繞業(yè)務(wù)進(jìn)行域整合域邊界整合域之間線路整合局域計(jì)算接入域AccessZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone局域計(jì)算服務(wù)域ServiceZone基于3+1平安域的平安功能部署局域計(jì)算接入域AccessZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone局域計(jì)算服務(wù)域ServiceZone終端平安接入域的平安接入網(wǎng)關(guān)效勞域邊界防護(hù)效勞器平安互聯(lián)域可用性和完整性保障支撐域自身平安支撐域平安功能輸出基于3+1平安域的平安功能部署局域計(jì)算接入域AccessZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone局域計(jì)算服務(wù)域ServiceZone局域計(jì)算接入域AccessZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone局域計(jì)算服務(wù)域ServiceZone互聯(lián)域的分割和連接分布式計(jì)算域的平安域備份遠(yuǎn)程接入、虛擬接入平安支撐域的協(xié)同**平安域如何結(jié)合風(fēng)險(xiǎn)評估效勞局域計(jì)算接入域AccessZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone局域計(jì)算服務(wù)域ServiceZone國信辦報(bào)告-風(fēng)險(xiǎn)10要素關(guān)系圖將評估的要點(diǎn)和平安域結(jié)合資產(chǎn)和資產(chǎn)價(jià)值威脅威脅的作用域脆弱性脆弱性的附著點(diǎn)和附著域防護(hù)措施保護(hù)對象和作用域部署點(diǎn)**平安域如何結(jié)合SOC局域計(jì)算接入域AccessZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone局域計(jì)算服務(wù)域ServiceZone資源和策略配置管理監(jiān)控體系共通的DaR體系結(jié)構(gòu)檢測Detect分析

analyze響應(yīng)Response檢測知識庫分析知識庫響應(yīng)規(guī)那么庫顯示visualize報(bào)告report啟明星辰的平安管理平臺功能體系結(jié)構(gòu)漏洞評估中心事件/流量/運(yùn)行監(jiān)控中心風(fēng)險(xiǎn)分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報(bào)告安全運(yùn)行管理中心SOC體系結(jié)構(gòu)示意圖ScannerIDSFWAV主機(jī)與網(wǎng)絡(luò)設(shè)備人工審計(jì)外部響應(yīng)系統(tǒng)（安全設(shè)備管理系統(tǒng)與網(wǎng)管）策略管理