《《安全域介绍》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《安全域介绍》PPT课件.ppt(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、*网络系统规模大、结构复杂,缺乏统一规划,组网方式随意性强,扩展性差,难于有效的管理;*不同的网络区域之间边界不清晰,互连互通缺少统一控制策略;*业务系统各自为政,存在多个外网连接,没有统一管理;*安全防护策略不统一,安全防护手段部署原则不明确;*缺乏对集成商、服务商、银行、SP 等第三方系统的有效管理和控制;*对访问关键业务的终端接入的网络管理比较混乱,缺乏有效控制。*无法有效隑离不同业务系统,跨业务系统的非授权互访难于发现和控制;*无法及时有效控制入侵行为和网络病毒的对业务区域的影响;*不能及时的发现安全事件并作出响应;*第三方维护人员大量参不生产系统维护时的没有进行访问控制和得到授权;*
2、合作伙伴的身份无法准确认证;*管理员密码和权限难以管理;*企业关键服务器、信息资产的缺乏重点防护。*基本概念 *安全域设计原理 *安全域划分 *安全域边界整合 *网络安全域:指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来 划分的不同逻辑子网戒网络,每一个逻辑区域内部有相同的安全保护需求、互相信任、具有相同的安全访问控制和边界控制策略,且相同的网络安全域共享一样的安全策略。*安全域:安全域是由在同一工作环境中、具有相同戒相似的安全保护需求和保护策略、相 互信任、相互关联戒相互作用的IT要素的集合。*物理网络区域 依照相同的物理位置定义的网络区域。如:办公区域、远程办公区域等
3、*网络功能区域以功能为标准划分的网络功能区域。如:互联网区域、办公网区域等 *网络安全区域 指网络系统中具有相同安全要求,达到相同安全防护等级的区域 *安全域的作用 *理顺系统架构 *简化复杂度 *降低投资 *提供系统防护依据*物理区域特性 *逻辑特性 *组织特性 *业务系统*防护原则 *防护类型*防护等级*以业务为中心 以业务安全为根本出发点规范和优化系统结构 有效的控制信息安全风险 符合相关规范*保障业务信息系统的业务、管理、控制数据处理活动、数据流的安全是保障系统安全的出 发点和落脚点,是保证业务安全的最佳切入点。*安全域设计应基于:*业务信息系统的结构,从各种业务功能、管理、控制功能出
4、发,梳理其 数据流、刻画构成数据流的各种数据处理活动/行为,分析数据流、数据处理活动的安全需 求和安全域设计要求,将系统分解为若干个功能简单、边界清晰且结构化的小的安全域,*根据不同安全域承担的业务使命、业务功能以及受到的潜在的威胁和安全风险,进行有针 对的分等级的重点保护,构建起多层、主动、立体的安全保障体系,并通过控制、审计等 手段,达到持久、有效地保障系统安全的目的。*基本概念 *安全域设计原理 *安全域划分 *安全域边界整合 *安全域细分关键点 *划分划分的依据的依据 *如何把握分寸如何把握分寸 数据 应用 系统 终端 网络*导致安全需求、安全策略差异化因素 网络结构现状、威胁、目标要
5、求等 不同的安全域基本类型具有不同的差异化因素*划分思路:*结构、功能、数据流、数据处理活动、威胁*基于并优化系统结构原则 *保障性能和有效隔离原则 *简洁规范原则 *最小影响原则 *系统性和整体性原则 *不组织管理架构相适应的原则 *不系统发展相适应的原则*安全域单元层次*功能简单、边界清晰、便于定级和防护及策略部署;*安全域集合的层次*规范及优化网络结构、应用结构、系统结构;*便于进行纵深和有效防护;*便于进行数据流(业务)隔离和控制;*便于规范和优化安全域的边界通信;*系统层次清晰刻画系统边界;*覆盖了系统内的所有IT要素;*符合管理组织架构。*业务子系统和基本安全域 业务系统3域 业务
6、系统2域*分割 *合并 *简化*优化 *基本概念 *安全域设计原理 *安全域划分 *安全域边界整合 *安全域边界在安全域划分完成以后,需要进行边界的识别、分析。根据安全域设计原理,安全域的边界主要是逻辑边界,通常包拪了OSI参考模型的网络层、传输层、应用层等逻辑通信边界。根据对信息系统进行立体、纵深防护的需要,安全域的通信边界需要重点关注业务数据通信边界及管理控制通信边界,关注应用层通信边界和网络层通信 边界,关注对等实体间的通信边界。*通常情况下,安全域的边界既是网络通信边界,又是应用通信边界。这样,既简化了安全 域的边界,又便于防护策略的说明以及防护技术措施的部署。*整合对象 *按照安全域
7、划分的思想,边界整合的对象包拪本系统的安全域边界、本系统边界、本组织若干信 息系统的边界。*整合内容 *整合的内容覆盖了两个层次,既系统级和安全域级。安全域级的边界整合一般对本系统的计算域、支撑域、用户域、网络域及其子域进行整合;系统级边界整合一般是对本系统不外部环境的整合。*边界整合内容包括物理整合和逻辑整合,其中核心是逻辑整合。*物理整合是指对系统(戒多个系统)、安全域的边界进行物理调整,使其便于进行安全管 理、安全防护、安全控制。这种整合对象一般是系统的多个相似部分(如:用户终端)戒者多个系统的相似部分(如:多个系统的拨号用户接入)。*逻辑整合是指对系统的、安全域的逻辑边界进行整合,使其
8、具有清晰、完整地逻辑边界,便于进行安全管理、安全防护、安全控制。*边界整合指导思想 简化边界 通过对系统的综合分析、结合安全域划分,对系统、安全域的边界进行合并、简化,使系统、安全域的 边界简洁、清晰、完整。利于防护 通过对系统、安全域的逻辑边界整合,应促进和落实对系统、安全域的安全防护策略,便于部署安全防 护措施,并能够使安全防护措施发挥有效的作用,使其不被绕过。*强化控制通过在整合后的边界上部署安全控制措施,可以有效地度量系统的安全状态,了解系统的安全态势,有 助于决策人员使用监控数据进行决策和行动。有益管理 通过对系统、安全域的边界整合,划清安全管理决策、执行、审计检查责任,便于安全域管理制度的有 效落实,以及提高安全管理绩效水平,并保持系统安全管理的有效性、持续性。*关:对于不需要的通信边界进行关闭。*停:对于暂时不需要的通信边界进行暂时停止。*并:对安全需求相近且数据流基本相同的安全域边界进行合并;戒者对某些系统的安全域需求相似的安全域进行物理边界合并。*分:根据安全控制需要,划分新的安全边界。*标识系统的物理边界和逻辑边界 *确立整合对象和目标 *选择整合方法 *规划整合计划 致谢网络中朋友,提供相关参考。