安危与共安全域

    网络安全域是指同一系统内有相同的安全保护需求、相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。

    网络安全域从大的方面一般可划分为四个部分：本地网络、远程网络、公共网络、伙伴访问。传统的安全域之间需要设置防火墙以进行安全保护。本地网络域的安全内容有：桌面管理、应用程序管理、用户账号管理、登录验证管理、文件和打印资源管理、通信通道管理以及灾难恢复管理等与安全相关的内容。远程网络域的安全内容为：安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为：安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为：保证企业合作伙伴对网络的访问安全，保证传输的可靠性以及数据的真实性和机密性。

    一个大的安全域还可根据内部不同部分的不同安全需求，再划分为很多小的区域。一般在划分安全域之前，还应先把所有的计算机进行分组。分好组后，再把各个组放到相应的区域中去，如边界DNS和边界Web，都可放到边界防护区域（即所谓的DMZ区域）中去。为了更为细粒度地对网络进行访问控制，在划分安全域后，可以继续在安全域下划分若干子安全域，子安全域不能单独创建，必须属于某个安全域，子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后，每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后，就可设计不同区域间的通信机制，如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信，必须通过VPN，并且要通过双因子验证（需要智能卡、口令）进行身份验证，身份合法后再采用IP Sec进行加密通信。

    传统安全域的访问管理

    在基于传统安全域的访问控制体系模型中，有以下几个主要模块：

    • ID管理模块：用户信息管理模块，提供用户信息的添加、删除和修改等功能，集中管理企业网络中的用户，同时，可以将用户按权限进行分组、分角色，进而利用组和角色对特定用户集合进行管理；

    •安全域管理模块：管理用户划分的安全域和子安全域信息，用户可以添加、删除和修改安全域以及子安全域，可以配置安全域之间的访问控制关系，比如在访问安全域A的时候，不能同时访问安全域B等；

    •访问策略管理模块：管理用户与安全域、子安全域之间的访问控制关系，定义用户在什么时间、什么地点可以访问哪些安全域等；

    •Web服务管理：为用户提供Web服务，用户通过Web服务进行身份认证以及安全域的访问和退出等；

    •通信平台：主要是通过SSH、Telnet对防火墙进行配置，为用户打开指定的ACL访问；

    •探测模块：探测用户PC是否在线，探测方式可以采用ARP、ICMP、SAMBA等协议。

    在基于传统安全域的访问控制体系下，用户接入网络、访问网络资源的步骤如下：

    •第0步：用户接入网络，直接访问安全域失败，因为防火墙ACL默认禁止用户访问此安全域；

    •第1步：用户通过Web浏览器访问安全域管理服务器IP或URL；

    •第2步：用户在身份认证页面输入身份信息，安全域管理服务器对用户进行认证，认证成功则继续，认证失败需重新认证；

    •第3步：用户认证成功后，安全域管理服务器利用管理员配置的访问策略将用户可访问域显示给用户；

    •第4、5步：用户选择登录其要访问的安全域，安全域管理服务器通过网络连接开启用户PC对安全域（或子安全域）的ACL；

    •第6步：用户成功访问其登录的安全域；

    •第7步：当用户退出安全域后，安全域管理服务器将下发给防火墙的ACL撤销。同时，如果在线探测模块探测到用户下线或者用户IP-MAC发生改变的时候，也会撤销其为此IP下发的ACL。

    动态安全域助力大型企业

    基于传统安全域的访问控制体系模型是企业网在发展过程中形成的通用模式，在中小型企业、业务专业性较强和地域分布不广的大中型企业中都有很好的实现。但在业务高度复杂、地域高度分散且地域及业务均呈交叉状、人员众多的大型或超大型企业集团中，信息系统广泛采用分布式或集中分布式部署，传统的安全域模型结构也被大量复制，其总部结构和分支机构安全域模型交叉，随着人员业务变化性的增强和企业重组或业务快速膨胀，承载网和业务网边界日益模糊，访问管理模型也随之日益复杂，安全域或安全子域的变化频繁，ACL控制或基础安全策略日益膨胀，随之带来的管控复杂性使网络管理员面临巨大工作量和智力挑战。某大型企业集团早在2005年就开始实施安全域，但随着上述情况的出现，安全域边界不断变化，其安全域逐步变化成为30多个，子域多达上百个，其核心交换机上的ACL就达1000余条，矩阵分离表的逻辑性也逐渐完全不可读，最终导致其安全域划分的失败。

    安全域的核心就是通过一系列的规则控制，达到特定网络群组按照指定规则访问指定群组的关系，其组群需要具有相同的安全访问控制和边界控制策略的子网或网络。传统模型较为容易在集中部署的单一结构中实现，其组群成员的权责变化一般也需要对相应规则做调整。假定将组群成员动态的变化和子域调整与子网划分动态结合，就可以实现基于传统复杂安全域结构上的动态调整，从而实现基于传统安全域基础上的动态安全域的模型结构。

    在基于动态安全域的访问控制体系下，用户接入网络、访问网络资源的步骤如下：

    •第0步：用户接入网络，直接访问安全域失败，因为强制器没有通知接入交换机打开网络端口，默认用户访问隔离域A，做身份申请；

    •第1步：用户身份认证成功，强制器打开接入端口，做安全合规性检测，默认访问隔离域B，做安全合规性完善；

    •第2步：合规性检查通过，用户从隔离域B中划出到公共访问域；

    •第3步：用户身份信息传送给安全域管理服务器，安全域管理服务器访问服务域控制器，服务域控制器从人力资源数据库权责矩阵同步列表中生成用户安全域列表，并通知用户；

    •第4步：用户选择登录其要访问的服务，安全域控制器根据安全域列表，通知网管控制域服务器，网管控制器通知网络交换域；

    •第5步：网络交换域生成控制列表，生成VLAN及VCL组合，通知交换设备，生成访问域控制隔离通道；

    •第6步：服务控制服务器通过交换域，通知相应安全域做对应权责匹配；

    •第7步：用户访问所需安全域的服务；

    •第8步：当用户退出安全域后，安全域管理服务器将下发给交换用户的VLAN及ACL撤销。同时，如果在线探测模块探测到用户下线或者用户进行危险性违规性操作或IP-MAC发生改变的时候，也会通知交换域撤销其为此身份下发的IP、VLAN及ACL，进行隔离；如果在线探测模块探测到用户进行攻击性或高危破坏性操作，通知交换域撤销其为此身份下发的IP、VLAN及ACL，并同时关闭端口避免入侵破坏。

    安全域是基于网络和系统进行安全检查和评估的基础，安全域的划分是企业网络抗渗透的有效防护方式，安全域边界是灾难发生时的抑制点，同时安全域也是基于网络和系统进行安全建设的部署依据。动态安全域在传统安全域常规手段的基础上，将网络成员权责与安全子域和子网划分动态结合，同时将网络动态接入和用户权责矩阵有机结合，成为大型或超大型企业网络的有效管控手段。当然，上述安全域管理系统也有需要改进的部分，如网络设备的动态管控。由于网络设备厂商的多样化导致命令处理十分复杂，此模型对网络设备具有较高要求，并需要网络设备一致性或大量针对性网络控制的二次开发，同时面临构架复杂、实施周期长、成本较高等难题，主要原因是现如今还没有这方面的业界或企业标准。不过随着网络安全的进一步发展，这方面问题有望得到改善。

(责任编辑：)