内网安全解决方案经验谈

  随着网络安全技术的不断发展，网络恶意攻击者的技术也在不断的改进和创新。以前简单的网络边界安全解决方案，已经不能从整体上解决企业网络安全隐患，企业管理者不再简单满足于架设防火墙和防病毒等安全产品，内网安全管理体系已经越来越得到企业安全管理者的重视。而内网安全管理与边界网络管理相比又更加复杂，本文就是从一个安全行业从业者的角度提出一些内网安全管理的经验和办法。
1.内网安全建设
    内网安全需要有自己的安全标准和策略作为建设的指引和目标，这样才能保证安全建设的体系化和规范化。但目前各种安全标准和规范很多，国内的包括GB_17859、GB/T18336、BS7799、信息系统安全等级保护评估、实施指南等，国外的包括ISO/IEC 15408、ISO17799、ISO13335、SSE-CMM模型、IATF模型等。各种各样的标准可能让管理者难以选择，而且全部符合各项标准也是不切合实际的事情。笔者认为内网安全建设应该满足以下建设准则：
    ①.易操作性原则
    目前各种标准规范都是从一个IT业务系统建立的完整生命周期去考虑问题，即分别在系统的设计、规划、实施、运维和废弃等几个阶段考虑了IT安全建设的问题。而目前国内企业中可能大多都是基于已建造好的IT业务系统来考虑安全问题，所以必须考虑到生产系统安全解决方案的可操作性问题；此外还需要考虑所采用的措施不能影响系统正常运行；同时应便于维护以及安全措施的操作简易性，因为措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。
    ②.安全建设措施、成本和需求的平衡性原则
    必须考虑到不同的信息资产的价值不同，则保护措施也不一样，企业不可能投入相同的资金保护价值不一样信息资产，比如普通PC机的安全管理成本和服务器是完全不同的。
    ③.整体性原则
    任何一处的安全薄弱点被恶意攻击者利用的话，都有可能导致整个安全体系的崩溃，这就是安全的 “木桶原理”，所以需要从整体考虑内网安全管理的各个方面。
    基于上述原则，我们提出内网安全建设的两个阶段的概念，即内网安全建设首先需要进行安全域的划分，再结合ISO7498的APDR模型结构进行各个安全域的建设。
    所谓安全域，就是根据不同类信息资产的价值不同、安全目标和使命不同、保护等级不同而提出的概念，即在内网中，把不同的信息资产进行有效的整合，从逻辑上划分为不同的区域。所谓APDR即指A(评估)、P（保护）、D(监测)、R（恢复），即根据不同安全域的特点，提供安全措施以满足上述4个安全需求。
2.安全域划分
    一般来说，安全域可以划分为三个大区域，分别是外部域、接入域和内部域，安全等级从低到高，内容如下：
    ①.外部域，主要是指企业外部接入部分和企业对外提供服务的逻辑边界部分，如企业对外提供访问的WEB服务器、EMAIL服务器等。
    ②.接入域，主要指企业内部局域网的办公、运维和生产用机，在接入域中又可以划分为内部用户域、外部用户域、管理员域。内部用户域主要是指企业办公人员所使用的主机、PC机等逻辑区域；外部用户域主要是针对第三方人员访问时候的网络接入区域；管理员域是指企业运维人员办公设备所在区域。

    ③.内部域，主要是指企业实行大集中的时候，各业务系统主机所放置的区域，内部域又可划分为核心处理域和开发测试域，其中核心处理域包含业务系统服务器和数据库，开发测试域主要包括了企业内部自开发软件所使用的环境，如测试服务器、开发服务器等。

    上图为典型的企业安全域划分拓扑图，从下图可以看出，企业划分了外部域、接入域和内部域，外部域主要是防火墙DMZ区域内对外提供服务的服务器区域；接入域主要包括内部局域网的办公客户端、管理员客户端和第三方访问用户的客户端，同时也包括各分支机构的办公客户端（由于采用了VPN技术，我们可以把分支机构网络认为是企业的内部网络）；内部域主要包括各业务系统的生产服务器和开发、测试服务器。
  进行安全域的划分，最重要的一点就是设置严格的不同安全域之间的访问控制策略，其可以在防火墙、核心交换机、VLAN上实现。域与域之间的访问控制策略如下：

 

各颜色条代表意义如下：

 

3.各安全域安全措施

    ①.外部域

 

    ②.接入域

 

    ③.内部域