王歡+許暖+王守濤

【摘要】 隨著安徽移動信息化的快速發(fā)展，業(yè)務系統(tǒng)成倍增加，網絡復雜度也在不斷提高。目前網絡主要存在問題有：網絡邊界不夠清晰，對網絡各個部分缺乏統(tǒng)一規(guī)劃，導致不少項目都有自己的防火墻設備，防火墻部署隨意性較大，種類雜亂，性能高低不一，不便于統(tǒng)一管理；由于缺乏統(tǒng)一的規(guī)劃，導致訪問控制策略制作非常繁瑣、復雜，一個需求有時候需要在幾個防火墻上同時制作策略，對全網的穩(wěn)定性帶來極大的影響，同時在發(fā)生問題時，路由和策略排查也耽誤很長時間。安徽移動提出安全域劃分模型并在辦公網進行了實踐，實現(xiàn)不同系統(tǒng)之間安全域隔離，從縱深的角度，全盤考慮安全部署和應用，提高了網絡安全性。

【關鍵字】 網絡安全 信息安全 安全域 邊界整合 網絡優(yōu)化

一、概述

傳統(tǒng)IT系統(tǒng)整體網絡建設方案很少從宏觀的角度關注IT安全體系的建立，經常采用如物理隔離的方式來達到安全的目的，甚至建設兩套網絡，即所謂的內網、外網。這種以物理隔離為主的消極防御手段使得某一IT系統(tǒng)只能做到針對自身的操作應用，而無法實現(xiàn)與其他相關系統(tǒng)之間、與Internet之間的信息交互和共享，不但禁止了有用數據交換，造成信息化工作無法開展，還進一步增加了投資，這與積極防御的理念是背道而馳的。另外，物理隔離的消極影響還在于可能會導致內部網絡用戶出現(xiàn)通過電話線外連、移動計算設備一機多用、用移動存儲介質在網絡間交換未知數據等潛在威脅。其次，由于IT系統(tǒng)所在的內部網絡的建設方案缺乏宏觀的安全規(guī)劃，同時常規(guī)的安全系統(tǒng)經常是分別隨著各自網絡或者應用系統(tǒng)進行建設的，雖然在一定程度上能夠起到安全防護作用，但是由于各套IT系統(tǒng)的安全建設自成體系、分散單一，缺乏統(tǒng)籌考慮和宏觀把握，造成系統(tǒng)中安全防御的主動權沒有辦法集中起來。因而帶來IT系統(tǒng)的安全防護能力、隱患發(fā)現(xiàn)能力、應急反應能力、信息對抗能力的整體效能下降等一系列問題。同時也帶來運營商制訂的統(tǒng)一安全策略難以貫徹、重復建設，安全設備不能充分發(fā)揮作用等問題。

因此，克服和改造IT系統(tǒng)傳統(tǒng)局域網整體結構的不足是解決網絡安全的首要工作，而安全域劃分及對安全域細粒度保護的方法是解決這個問題的最佳方案。只有通過明確安全域劃分的原則，才能形成清晰、簡潔、穩(wěn)定的IT組網架構，實現(xiàn)系統(tǒng)之間嚴格訪問控制的安全互連，更好的解決復雜系統(tǒng)的安全問題。

二、研究意義

安全域[1]是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，是根據信息性質、使用主體、安全目標和策略等的不同來劃分的，是具有相近的安全屬性需求的網絡實體的集合。同一安全域的系統(tǒng)共享相同的安全策略，安全域劃分的目的是把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題，是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護的有效方法。安全域劃分是將網絡系統(tǒng)劃分為不同安全區(qū)域，分別進行安全保護的過程。通過安全域的劃分和保護，可以基于網絡和系統(tǒng)進行安全檢查和評估，進而有效建立安全管理控制點，指導系統(tǒng)安全規(guī)劃、設計、入網和驗收工作。同時實現(xiàn)安全域邊界為災難發(fā)生時的抑制點，防止影響的擴散，同時避免了安全方面的重復投資，實現(xiàn)對各類終端用戶的控制，特別是對不可信用戶的可信控制。

三、安全域的創(chuàng)新研究

PPDRRF模型[2]是典型的、公認的安全處理模型。它是一種動態(tài)的、自適應的安全處理模型，可適應安全風險和安全需求的不斷變化，提供持續(xù)的安全保障。PPDRRF模型包括策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）和取證（Forensic）6個主要部分。防護、檢測、響應、恢復和取證構成一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導下共同實現(xiàn)安全保障。

安徽移動安全域劃分一期目標主要實現(xiàn)PPDRRF模型中的策略（Policy）和防護（Protection），并為檢測（Detection）、響應（Response）、恢復（Recovery）和取證（Forensic）提供基 礎。依據支撐系統(tǒng)的架構和IT組件提供的核心功能（業(yè)務功能、控制功能、管理功能）對支撐網系統(tǒng)進行計算域、用戶域、支撐域、網絡域的劃分，形成安全域劃分概要模型，如圖1所示。

在上一步劃分的基礎上，按照“先應用后網絡”的順序對系統(tǒng)進行安全域的細分。應用層面包括了計算域、用戶域、支撐域，網絡層面包括網絡域。通過明確系統(tǒng)提供的各種核心業(yè)務功能及控制、管理支撐服務，分析其相應的數據流，識別其相應的應用結構、用戶類型和分布、支撐服務及網絡邏輯結構，對系統(tǒng)計算域、網絡域在水平方向進行不同數據流的邏輯隔離，在垂直方向進行邏輯結構分層。計算域細分基于系統(tǒng)包括的各種應用結構，依據應用結構所承載數據流的不同進行水平方向分割；基于各個應用結構的內在業(yè)務處理邏輯功能的不同進行接入計算域、應用計算域、數據計算域的劃分。用戶域細分根據工作終端的業(yè)務類別進行業(yè)務用戶域、管理用戶域的劃分，再依據其網絡邏輯位置、用戶主體的不同進行本地、遠程及第三方的細分。支撐域細分根據IT要素所提供的支撐功能或服務的不同進行運維支撐域、網管支撐域、安全支撐域的劃分。網絡域細分依據應用結構將網絡域垂直分為網絡接入域、網絡核心域兩層；然后根據網絡的外部環(huán)境進行互聯(lián)網接入域、外聯(lián)網接入域、內聯(lián)網接入域的劃分，依據分支接入情況進行分支網接入域劃分，依據遠程用戶域的情況進行遠程接入域的劃分。對于廣域網，依據網絡的層級結構進行網絡接入域、網絡匯聚域、網絡核心域的劃分

根據對集團公司規(guī)范的研究[4]，結合我省實際情況，簡化部署策略，高效的進行部門網絡域的劃分，以“明晰網絡架構、保障訪問安全、精簡防護手段、提高維護效率”為原則，將部門的網絡劃分為管理信息化域（MSS，簡稱M域）、業(yè)務支撐域（BSS，簡稱B域）這2個業(yè)務域，業(yè)務域間部署防火墻進行域間隔離；各業(yè)務域內劃分：互聯(lián)網出口域、核心域、接口域和開發(fā)測試域這4個子域，同一子域內的設備互訪不受限制，跨子域的訪問需經過防火墻進行訪問策略控制。所有的業(yè)務系統(tǒng)必須歸屬于1個業(yè)務域，并且在核心域內基于VLAN進行網絡管理，不在通過防火墻進行訪問控制。所有的防火墻部署基于主備互用或負載均衡架構，確保網絡的動態(tài)冗余性[5] 。互聯(lián)網出口域因業(yè)務敏感性，采用雙層異構防火墻，同時部署相應的安全防護設備進行安全管控。業(yè)務域和子域間防火墻在業(yè)務等級高的業(yè)務區(qū)部署，具體來說：B域和M域間在B域側部署防火墻，互聯(lián)網出口域和核心域在互聯(lián)網出口域側進行隔離，核心域和接口域在核心域側進行隔離。云平臺內部劃分為：BSS、MSS、OSS、開發(fā)測試、綜合訪問區(qū)、互聯(lián)網訪問區(qū)這6個域，在開發(fā)測試、綜合訪問和互聯(lián)網訪問這3個域，分別劃分3個子與域對應BSS、MSS和OSS。各域間默認禁止互訪，各域內不同的業(yè)務系統(tǒng)使用不同的VLAN進行隔離。各域之間的互訪，則通過引入虛擬防火墻，進行訪問策略的控制。

根據集團公司《中國移動支撐系統(tǒng)安全域劃分與邊界整合技術要求》，威脅等級分為1-5，其中5威脅最大，即可能造成的損失最大[3]。通過單層防火墻實現(xiàn)兩個安全域邊界的訪問控制，適用于威脅等級相差較小的安全域之間的連接，具體包括支撐系統(tǒng)之間的互訪，支撐系統(tǒng)內部互訪、集團-省公司-地市的連接，第三方、漫游終端對支撐系統(tǒng)的訪問。通過雙重異構防火墻實現(xiàn)邊界的訪問控制，適用于威脅等級為4、5的系統(tǒng)與等級為1、2的支撐系統(tǒng)的連接，具體包括銀行和SP等合作伙伴的連接，VPN 專網應用的合作伙伴的連接，業(yè)務支撐系統(tǒng)的網上營業(yè)廳、網上聯(lián)辦營業(yè)廳，網管系統(tǒng)的綜合IP數據網管的采集，企業(yè)信息化系統(tǒng)與互聯(lián)網的連接，包括辦公上網、企業(yè)代理商的接入等。通過接口服務器（如PORTAL）實現(xiàn)系統(tǒng)之間的互訪，適用于威脅等級為3、5的系統(tǒng)與1、2的支撐系統(tǒng)的連接，具體包括網上營業(yè)廳的WEB服務器，銀行的前置機，IP數據網管的采集服務器，企業(yè)信息化系統(tǒng)的郵件轉發(fā)服務器和短消息轉發(fā)服務器等。通過接口服務器結合物理隔離實現(xiàn)內/外網的訪問，適用于互聯(lián)網與支撐系統(tǒng)之間的互聯(lián)邊界，不適用于有大量實時性數據交互的系統(tǒng)之間的連接，具體包括業(yè)務支撐系統(tǒng)與網上營業(yè)廳的WEB服務器、SP對帳系統(tǒng)之間的連接等。

為便于描述，針對上述采用單層防火墻的訪問控制手段，我們稱其為NSG（Normal Secure Gateway）；針對上述采用雙重異構防火墻的訪問控制手段，我們稱其為ESG（Enhanced Secure Gateway）。CMnet到核心域使用ESG進行網絡隔離，終端域到業(yè)務系統(tǒng)使用NSG進行隔離，接口域到其他業(yè)務域使用了接口服務器隔離，最終形成了適用于安徽移動的安全域劃分模型，如圖2所示。

四、應用情況

整改后BOSS分公司終端用戶，設計院BOSS終端用戶和鐵通省公司終端用戶訪問BOSS應用，直接從緯五路新建兩臺NE40E路由器經BOSS核心交換機，對BOSS應用進行訪問；訪問OA應用，從緯五路新建兩臺S9300交換機經OA核心PE路由器，對OA應用進行訪問。OA分公司終端用戶，設計院OA終端用戶和鐵通省公司終端用戶訪問BOSS應用，從緯五路新建兩臺NE40E路由器經BOSS核心交換機，對BOSS應用進行訪問；訪問OA應用直接經OA核心PE路由器訪問OA業(yè)務應用。根據監(jiān)測數據報告，核心設備CPU利用率同比降低了20%。最終不僅實現(xiàn)了同安全域內訪問使用NSG隔離，不同安全域間訪問使用ESG隔離的安徽移動安全域劃分模型，提高了網絡安全性，而且減少了路由跳數，還減小了核心設備的壓力。

參 考 文 獻

[1]于慧龍；李萍；大型信息系統(tǒng)安全域劃分和等級保護[J]；計算機安全；2006年07期

[2]孟學軍，石崗；基于P～2DR的網絡安全體系結構[J]；計算機工程；2004年04期

[3]《中國移動業(yè)務支撐網安全域劃分和邊界整合技術要求》（QB-J-003-2005）

[4]《中國移動支撐系統(tǒng)安全域劃分與邊界整合技術要求》

[5]張智杰. 安全域劃分關鍵理論與應用實現(xiàn)[D]. 昆明：昆明理工大學，2008.