Question

网络安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享一样的安全策略。广义的安全域是指具有相同业务要求和安全要求的 IT 系统要素的集合。IT 系统要素包括网络区域、主机和系统、物理环境、人和组织、策略和流程，因此不能将安全域仅仅理解为网络安全域。

安全域的划分使整体网络有了清楚的规划，具有以下实际的目标：

·使整体网络结构清晰。

·使具有相同安全防护要求的网络和系统处于同一安全子域中。

·不同安全子域内可方便地部署不同等级的安全防护策略。

·同一安全域内可方便地部署相同等级的安全防护策略。

·各区域防护重点明确，将有效的安全资源投入到最需要保护的资产上。

·建立内部互连区和外部互连区的边界接口，统一规划网络层接口，便于新增系统的接入，有利于网络的有序扩展。

·使数据流简洁规范，有利于区分不同种类数据流，便于实施安全访问控制和 QoS 服务。

安全域的理论和方法所遵循的根本原则如下：

·业务保障原则。安全域方法的根本目标是能够更好地保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。

·结构简化原则。安全域方法的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。

·等级保护原则。安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。

·立体协防原则。安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括物理、网络、系统、应用、数据等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全方法实现协防。

·生命周期原则。对于安全域的划分和布防不仅要考虑静态环境，还要考虑不断发生的变化；另外，在安全域的建设和调整过程中要考虑工程化管理。

·资源整合原则。在保障安全的前提下安全域的划分要有利于实现 IT 资源整合，应充分实现 IT 资源的共享和复用。

安全域的划分是一个既非常基础又非常重要的工作，企业按自己的实际情况划分不同的安全域，同时还需要制定各安全域的安全策略并加以实现。表 13-1 将办公网和业务网进行了梳理，其他安全域也可以参照并建立类似的安全策略表。

表 13-1　办公网和业务网的安全策略表

对不同安全域间的访问，通过部署各类安全解决方案，实现阻断、检测和过滤等功能，为上层安全防护功能的实现提供保障。