本篇只涉及安全域划分,不涉及安全策略。
什么是安全域?
- 在逻辑上,将网络设备划入不同的区域。同一区域内,具有相同的安全等级和安全策略。
- 不同安全域之间,因为使用不同的安全策略,数据流跨域需要有访问控制(如防火墙策略)。尤其是当数据流从低安全等级到高安全等级。
- 设置不同安全域策略,在一定程度上增加黑客入侵的成本,也给入侵检测和应急响应争取到时间。
需要注意的三点
- 安全工作的终极目标是保护业务的发展
- 如果传统或通用方案会阻碍业务的发展,应理解安全需求的本质,根据业务需求,灵活变通安全方案。(个人认为这是企业内部设置安全岗位,与向第三方购买安全服务的最大区别)
- 相同的安全等级或相同安全需求划入同一安全域,可从以下几个角度去考虑
- 根据业务的敏感以及重要程度
- 业务的安全防御策略上,是否有较大差异
- 安全域内的用户群体对PC的依赖程度
- 划分安全域之后,也不能掉以轻心
- 不能忽视其他防御手段,特别各个安全域的边界和内部的安全策略、监控一定要重视起来,不然安全域也白划了
划分安全域
开发测试服务放到办公服务区内后,可化分为4个大类别
- 生产网
- 经营业务,部署在这个网络
- 办公服务区
- 对内办公的服务(如邮件、人力资源、财务系统等等)
- 开发测试区
- 安全基线最差的一个区域,常常也是容易出安全问题的重灾区。黑客常常由开发测试区打开入口,进一步入侵内网或生产网。
- 其他办公服务
- 办公区
- 员工办公网络
- 外网
再细分,或者说规模再大一些的企业的划分,可参考:
- 生产网
- 纵向上划分
- 数据中心(敏感业务,设置严格的安全策略)
- 业务服务(底层服务、中间件、前端服务、……),规模再大一些的企业,可以把各个业务服务也细分
- 横向上划分
- 根据不同的安全等级、业务需求进行横向划分。但是横向划分可能会给业务间的相互调用造成困难。这个需要达到业务需求与安全需求的平衡,安全需要根据业务的情况给出更多方案选择,如网关安全加固(在网络边界上做防御)
- 纵向上划分
- 办公服务区
- 可能会有内部信息泄漏风险的服务器(邮件、人力资源、财务系统)
- 涉及代码资产的服务器(代码托管、……)
- 开发测试区
- 其他办公服务……
- 办公区
- 事业部A
- 敏感岗位(根据策略差异可以适当调整)
- 高管
- HR、行政
- 财务
- 法务
- 重度PC用户
- 普通研发(这里是指不需要登录生产网服务器的研发)
- 需要生产网服务器操作的人员:DBA、运维、研发(根据策略差异也可以将这三类人员划入不同的安全域)
- 中度PC用户
- 重要业务系统管理员
- 普通运营
- 轻度PC用户
- 客服、线下销售、……
- 外包
- 敏感岗位(根据策略差异可以适当调整)
- 事业部B(参考“事业部A”)
- ……
- 事业部A
- 外网
