安全域劃分及網(wǎng)絡(luò)改造是系統(tǒng)化安全建設(shè)的基礎(chǔ)性工作，也是層次化立體化防御以及落實(shí)安全管理政策，制定合理安全管理制度的基礎(chǔ)。此過(guò)程保證在網(wǎng)絡(luò)基礎(chǔ)層面實(shí)現(xiàn)系統(tǒng)的安全防御。
目標(biāo)規(guī)劃的理論依據(jù)
安全域簡(jiǎn)介
安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。
相對(duì)以上安全域的定義，廣義的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括但不僅限于：物理環(huán)境、策略和流程、業(yè)務(wù)和使命、人和組織、網(wǎng)絡(luò)區(qū)域、主機(jī)和系統(tǒng)……

創(chuàng)新互聯(lián)公司執(zhí)著的堅(jiān)持網(wǎng)站建設(shè)，小程序開發(fā)；我們不會(huì)轉(zhuǎn)行，已經(jīng)持續(xù)穩(wěn)定運(yùn)營(yíng)十年。專業(yè)的技術(shù)，豐富的成功經(jīng)驗(yàn)和創(chuàng)作思維，提供一站式互聯(lián)網(wǎng)解決方案，以客戶的口碑塑造品牌，攜手廣大客戶，共同發(fā)展進(jìn)步。

總體架構(gòu)
如下圖所示：安全域的劃分如下：

建議的劃分方法是立體的，即：各個(gè)域之間不是簡(jiǎn)單的相交或隔離關(guān)系，而是在網(wǎng)絡(luò)和管理上有不同的層次。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施域是所有域的基礎(chǔ)，包括所有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通訊支撐設(shè)施域。
網(wǎng)絡(luò)基礎(chǔ)設(shè)施域分為骨干區(qū)、匯集區(qū)和接入?yún)^(qū)。

支撐設(shè)施域是其他上層域需要公共使用的部分，主要包括：安全系統(tǒng)、網(wǎng)管系統(tǒng)和其他支撐系統(tǒng)等。

計(jì)算域主要是各類的服務(wù)器、數(shù)據(jù)庫(kù)等，主要分為一般服務(wù)區(qū)、重要服務(wù)區(qū)和核心區(qū)。

邊界接入域是各類接入的設(shè)備和終端以及業(yè)務(wù)系統(tǒng)邊界，按照接入類型分為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。

建設(shè)規(guī)劃內(nèi)容
一、邊界接入域

邊界接入域的劃分
邊界接入域的劃分，根據(jù)公司的實(shí)際情況，相對(duì)于ISO 13335定義的接入類型，分別有如下對(duì)應(yīng)關(guān)系：
ISO 13335
實(shí)際情況
組織單獨(dú)控制的連接
內(nèi)部網(wǎng)接入（終端接入，如辦公網(wǎng)）；業(yè)務(wù)邊界（如核心服務(wù)邊界）
公共網(wǎng)絡(luò)的連接
互聯(lián)網(wǎng)接入（如Web和郵件服務(wù)器的外部接入，辦公網(wǎng)的Internet接入等）
不同組織間的連接
外聯(lián)網(wǎng)接入（如各個(gè)部門間的接入等）
組織內(nèi)的異地連接
內(nèi)聯(lián)網(wǎng)接入（單位接入等其他部門等通過(guò)專網(wǎng)接入）
組織內(nèi)人員從外部接入
遠(yuǎn)程接入（如移動(dòng)辦公和遠(yuǎn)程維護(hù)）

邊界接入域威脅分析
由于邊界接入域是公司信息系統(tǒng)中與外部相連的邊界，因此主要威脅有：
××××××（外部***）
惡意代碼（病毒蠕蟲）
越權(quán)（非授權(quán)接入）
終端違規(guī)操作
……

針對(duì)邊界接入域的主要威脅，相應(yīng)的防護(hù)手段有：
訪問控制（如防火墻）用于應(yīng)對(duì)外部×××
遠(yuǎn)程接入管理（如×××）用于應(yīng)對(duì)非授權(quán)接入
病毒檢測(cè)與防御（IDS&IPS）用于應(yīng)對(duì)外部×××和蠕蟲病毒
惡意代碼防護(hù)（防病毒）用于應(yīng)對(duì)蠕蟲病毒
終端管理（注入控制、補(bǔ)丁管理、資產(chǎn)管理等）對(duì)終端進(jìn)行合規(guī)管理

  二、計(jì)算域

計(jì)算域的劃分
計(jì)算域是各類應(yīng)用服務(wù)、中間件、大機(jī)、數(shù)據(jù)庫(kù)等局域計(jì)算設(shè)備的集合，根據(jù)計(jì)算環(huán)境的行為不同和所受威脅不同，分為以下三個(gè)區(qū)：
一般服務(wù)區(qū)
用于存放防護(hù)級(jí)別較低（資產(chǎn)級(jí)別小于等于3），需直接對(duì)外提供服務(wù)的信息資產(chǎn)，如辦公服務(wù)器等，一般服務(wù)區(qū)與外界有直接連接，同時(shí)不能夠訪問核心區(qū)（避免被作為×××核心區(qū)的跳板）；

重要服務(wù)區(qū)
重要服務(wù)區(qū)用于存放級(jí)別較高（資產(chǎn)級(jí)別大于3），不需要直接對(duì)外提供服務(wù)的信息資產(chǎn)，如前置機(jī)等，重要服務(wù)區(qū)一般通過(guò)一般服務(wù)區(qū)與外界連接，并可以直接訪問核心區(qū)；

核心區(qū)
核心區(qū)用于存放級(jí)別非常高（資產(chǎn)級(jí)別大于等于4）的信息資產(chǎn)，如核心數(shù)據(jù)庫(kù)等，外部對(duì)核心區(qū)的訪問需要通過(guò)重要服務(wù)區(qū)跳轉(zhuǎn)。
計(jì)算域的劃分參見下圖：

計(jì)算域威脅分析
由于計(jì)算域處于信息系統(tǒng)的內(nèi)部，因此主要威脅有：
內(nèi)部人員越權(quán)和濫用
內(nèi)部人員操作失誤
軟硬件故障
內(nèi)部人員篡改數(shù)據(jù)
內(nèi)部人員抵賴行為
對(duì)外服務(wù)系統(tǒng)遭受×××及非法***

針對(duì)計(jì)算域主要是內(nèi)部威脅的特點(diǎn)，主要采取以下防護(hù)手段：
應(yīng)用和業(yè)務(wù)開發(fā)維護(hù)安全
基于應(yīng)用的審計(jì)
身份認(rèn)證與行為審計(jì)
同時(shí)也輔助以其他的防護(hù)手段：
對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)
對(duì)信息資產(chǎn)的訪問控制
三、支撐設(shè)施域
支撐設(shè)施域的劃分

將網(wǎng)絡(luò)管理、安全管理和業(yè)務(wù)運(yùn)維（業(yè)務(wù)操作監(jiān)控）放置在獨(dú)立的安全域中，不僅能夠有效的保護(hù)上述三個(gè)高級(jí)別信息系統(tǒng)，同時(shí)在突發(fā)事件中也有利于保障后備通訊能力。

其中，安全設(shè)備、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)操作監(jiān)控的管理端口都應(yīng)該處于獨(dú)立的管理VLAN中，如果條件允許，還應(yīng)該分別劃分安全VLAN、網(wǎng)管VLAN和業(yè)務(wù)管理VLAN。

支撐設(shè)施域的威脅分析
支撐設(shè)施域是跨越多個(gè)業(yè)務(wù)系統(tǒng)和地域的，它的保密級(jí)別和完整性要求較高，對(duì)可用性的要求略低，主要的威脅有：
網(wǎng)絡(luò)傳輸泄密（如網(wǎng)絡(luò)管理人員在網(wǎng)絡(luò)設(shè)備上竊聽業(yè)務(wù)數(shù)據(jù)）
非授權(quán)訪問和濫用（如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng)）
內(nèi)部人員抵賴（如對(duì)誤操作進(jìn)行抵賴等）

針對(duì)支撐設(shè)施域的威脅特點(diǎn)和級(jí)別，應(yīng)采取以下防護(hù)措施：
帶外管理和網(wǎng)絡(luò)加密
身份認(rèn)證和訪問控制
審計(jì)和檢測(cè)
四、網(wǎng)絡(luò)基礎(chǔ)設(shè)施域

網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的劃分

網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的威脅分析
主要威脅有：
網(wǎng)絡(luò)設(shè)備故障
網(wǎng)絡(luò)泄密
物理環(huán)境威脅

相應(yīng)的防護(hù)措施為：
通過(guò)備份、冗余確?；A(chǔ)網(wǎng)絡(luò)的可用性
通過(guò)網(wǎng)絡(luò)傳輸加密確?；A(chǔ)網(wǎng)絡(luò)的保密性
通過(guò)基于網(wǎng)絡(luò)的認(rèn)證確保基礎(chǔ)網(wǎng)絡(luò)的完整性