论文部分内容阅读
安危与共安全域
网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。
网络安全域从大的方面一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。传统的安全域之间需要设置防火墙以进行安全保护。本地网络域的安全内容有:桌面管理、应用程序管理、用户账号管理、登录验证管理、文件和打印资源管理、通信通道管理以及灾难恢复管理等与安全相关的内容。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以及数据的真实性和机密性。
一个大的安全域还可根据内部不同部分的不同安全需求,再划分为很多小的区域。一般在划分安全域之前,还应先把所有的计算机进行分组。分好组后,再把各个组放到相应的区域中去,如边界DNS和边界Web,都可放到边界防护区域(即所谓的DMZ区域)中去。为了更为细粒度地对网络进行访问控制,在划分安全域后,可以继续在安全域下划分若干子安全域,子安全域不能单独创建,必须属于某个安全域,子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后,每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后,就可设计不同区域间的通信机制,如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信,必须通过VPN,并且要通过双因子验证(需要智能卡、口令)进行身份验证,身份合法后再采用IP Sec进行加密通信。
传统安全域的访问管理
在基于传统安全域的访问控制体系模型中,有以下几个主要模块:
网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。
网络安全域从大的方面一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。传统的安全域之间需要设置防火墙以进行安全保护。本地网络域的安全内容有:桌面管理、应用程序管理、用户账号管理、登录验证管理、文件和打印资源管理、通信通道管理以及灾难恢复管理等与安全相关的内容。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以及数据的真实性和机密性。
一个大的安全域还可根据内部不同部分的不同安全需求,再划分为很多小的区域。一般在划分安全域之前,还应先把所有的计算机进行分组。分好组后,再把各个组放到相应的区域中去,如边界DNS和边界Web,都可放到边界防护区域(即所谓的DMZ区域)中去。为了更为细粒度地对网络进行访问控制,在划分安全域后,可以继续在安全域下划分若干子安全域,子安全域不能单独创建,必须属于某个安全域,子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后,每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后,就可设计不同区域间的通信机制,如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信,必须通过VPN,并且要通过双因子验证(需要智能卡、口令)进行身份验证,身份合法后再采用IP Sec进行加密通信。
传统安全域的访问管理
在基于传统安全域的访问控制体系模型中,有以下几个主要模块: