安全域划分和访问控制策略

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制策略和边界控制策略的子网或网络。相同的网络安全域共享一样的安全策略。

在进行IDC基础建设时，必须先进行安全域划分，如果没有做好区域分离，一旦某个脆弱区域被攻破，很有可能波及其他网络区域。如图1所示，黑客攻击并入侵安全性较弱的测试区域如果测试环境和生产环境没有做好安全隔离和访问控制，黑客就可以以测试环境为跳板，攻击生产环境。

图1

安全域在划分时要遵循以下安全原则。

等级保护原则：安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。

生命周期原则:安全域的划分不仅要考虑静态设计，还要考虑未来的变化，要预留出一定的扩展空间。

结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。

业务保障原则:划分安全域的根本目标是更好地保障网络上承载的业务能够正常进行。在保证安全的同时，还要保障业务的正常运行和运行效率。

(1)本地计算环境。

图3-3 为本地计算环境示意图，本地计算环境通常包含服务器、客户机和安装在它们上面的应用程序(包括但不限于提供调度或时间管理、打印、字处理或目录等服务的应用程序)。

计算环境的安全性主要关注服务器和客户机，包括安装的应用程序、操作系统和基于主机的监视功能，包括网络管理、证书服务、漏洞扫描、入侵检测和病毒防护等。

(2)区域边界。

图3-4 为区域边界示意图。区域可以定义为本地计算环境的集合，这些集合的安全策略是相同的，不管物理环境如何，都可以成为一个区域。所以一个物理环境里可能有多个区域，一个区域也可能跨越多个物理环境，通过各种通信方式连接起来

区域边界就是信息离开区域的连接点。区域间有各种各样的网络连接，包括Internet、拨号网络专线、本地局域网互联等。

每种连接方式都要确保信息进入区域时不影响业务的运行，信息离开区域时需要经过授权。

(3)网络和基础设施

图3-5为网络和基础设施示意图，包括局域网和广域网，通过路由器交换机连接起来。网络基础设施的其他重要组件包括网络管理系统、域名服务器和目录服务等。网络边界需要进行安全保护，如网络入侵检测系统(NetworkIDS)

(4)支撑性设施。

支撑性设施为网络、区域边界和本地计算环境提供基础服务，主要包括公钥基础设施 (PKI)、安全检测和响应基础设施。

密钥管理基础设施:KMI为公证书和传统对称密钥的安全创建、分发和管理提供了一个通用过程，这些证书和密钥为网络、区域边界和计算环境提供了安全服务。这些服务能够可靠地验证发送方和接收方的身份，并保证信息在未经授权的情况下不会被披露和修改。

检测和响应:检测和响应基础设施能够快速检测和处置入侵行为。它还具备了一种“融合”能力，可以查看一个事件和另一个事件的关联关系，用于发现潜在的安全威胁。在部署检测和响应基础设施时，一般使用分布式部署，本地中心负责管理本地事件，并上报到区域或国家中心为确保正常运行，该基础设施需要有一系列技术支撑方案，如人侵检测系统和监控软件;还需

要有一批熟练的技术专家，这些技术专家通常被称为计算机应急响应小组(CERT)。

2、典型企业安全域划分方案

参考ITAF安全域划分的思路，典型企业安全域划分方案如图 3-6 所示。

将大的区域划分为办公网、生产网和灾备区，各大区域内可以进一步进行子区域划分，各区域和子区域划分说明如下。

(1)办公网。

• 办公终端区:主要是办公计算机区域。
• 网络和安全管理区:主要包括防病毒、DHCP、DNS、补丁管理、准入系统、数据防泄露系统等

(2)生产网。

• 计算环境:主要包括开发测试区、预发布区、生产服务区，比较常见的应用发布流程是先进行开发、测试，然后进行预发布验证，最后进行生产上线，在进行区域划分时，一般将开发和测试放在同一个安全域中，预发布和生产都为独立安全区。此外把OA服务区(主要是办公应用系统如OA、ERP、人力、财务等) 也放在生产网机房中，这样做的好处是IDC的机房保障能力较强，基本上可以做到 7*24 小时不间断服务，当然也有不少企业会将办公自动化服务器放在办公网区。
• 网络边界接人:主要包括互联网接人区、VPN接入区、专线接人区、第三方接人区。互联网接人区一般提供互联网访问服务或通过服务器访问互联网，VPN接入区主要用于进行SSLVPN或IPSec VPN接人，专线接人区用于某些高安全网络互联或办公网和生产网互联，第三方接人区主要用于合作伙伴接人。
• 网络和安全管理区:这个区域主要部署网络管理系统、运维自动化系统、持续集成和构建系统安全基础设施和系统等

(3)灾备区。

一般企业为了保障业务的连续性，需要有灾备机房，当生产网发生严重故障或灾难时，可以将业务切换到灾备机房。灾备机房比生产机房简单很多，可以简单划分为网络接入区、应用服务区网络和安全管理区。

(4)生产服务区进一步划分。

对于承载核心业务和数据的最重要的生产服务区，建议进一步进行划分，便于进行更精细的访问控制，如图3-7所示。

从大的子域划分出普通业务区、公共服务区、高安全业务区，公共服务区为账号系统、认证系统等;高安全业务区是安全性要求高的区域，如金融业务区。

每个子域进一步划分，可以分为网关/代理区、应用服务区、数据服务区。

• 网关/代理区:提供应用代理和互联服务，如Nginx网关、API网关、Squid代理等。
• 应用服务区:主要提供应用后台服务，一般以RESTflAPI方式提供，或以TCP 服务提供。
• 数据服务区:提供数据存储服务，如Redis缓存、Elasticsearch、MySOL数据库等

部分企业还有大数据平台和服务，建议将大数据应用和服务单独划分为一个区域。

有了安全域划分方案后，就可以进行安全域间的访问控制策略的实施，从实施方案上看，要先考虑大区域间的安全策略，再进行子域间的访问控制策略实施。

1、办公网和生产网(含灾备区)间访问控制策略

(1)办公网仅允许访问生产网的如下类型端口或服务

• 办公类应用，如邮箱、OA等。
• 代码和持续集成相关服务，如GIT、SVN、发布系统、配置管理系统等。
• 堡垒机对应的服务，如22端口、3389 端口。
• 生产HTTP或HTTPS服务，默认为80端口，443端口。

(2)生产网不允许主动访问办公网

(3)如有例外，需经过特殊申请和审批

2、生产网内部区域间访问控制策略

(1)网络安全管理区可访问所有生产网的计算环境区，如运维工具、持续集成系统、安全管理系统等;生产网服务区按需访问安全管理区的应用，如允许访问日志服务端口、监控系统服务端口等。

(2)开发测试区、预发布区应该和生产服务区进行隔离，需要特殊访问时再开通防火墙策略(3)OA服务区应该与承载生产应用的开发测试区、预发布区、生产服务区隔离(4)生产服务区按需开放服务到公网，不建议将开发测试区、预发布区的应用发布到公网

3、生产网区域边界访问控制策略

(1)互联网接入区。

• 严格管控对外开放的端口或服务，如严禁对互联网开放FTP、SSH、Telnet、MSSQL、Oracle.MySQL、Mstsc、Redis、Elasticsearch、Memcached、MongoDB等高危服务(对应默认端口分别为 21、22、23、1433、1521、3306、3389、6379、9200、11211、27017)。
• 生产服务区不允许直接访问互联网，建议通过代理层访问(如Squid、Nginx等)。
• 管理后台类Web应用禁止开放到外网。

(2)VPN接入区。

需要对VPN接入区进行严格的权限控制，按需开放服务IP和端口，原则上权限不应大于办公网访问生产网的权限。

(3)第三方接入区/专线接入区。

第三方应用需要调用生产网应用或服务时，建议进行访问源IP白名单限制

4、生产服务区安全子域间访问控制

(1)应用服务区的调用。

普通业务区和高安全业务区可以调用公共服务区的应用服务，普通业务区不允许调用高安全服务区的应用服务。

(2)应用服务区服务器访问生产区域边界时，需要通过网关和代理层访问。例如，要访问互联网，需要通过Squid代理转发访问请求。

(3)应用服务区对数据服务区的访问需要进行源IP限制，避免出现未授权访问的风险。

安全域划分应该根据公司的实际情况进行，并提前做好规划，否则后期改动成本很高。需要有配套的安全基础设施保障安全域划分和访问控制策略的实施，如防火墙、VLAN，在云环境中通过VPC策略和安全组策略实施。

需要验证安全访问控制策略的有效性，在实际应用中，常常会发现违反安全策略原则或未正确配置安全策略的问题，导致策略失效。定期扫描外网开放端口，定期扫描办公网到生产网的开放端口，可以验证策略的有效性，发现问题并及时整改。

文章来源：选自《企业信息安全建设与运维指南》

原文始发于微信公众号（天唯信息安全）：安全域划分和访问控制策略