刘 宇

1 网络安全域的定义和划分方法

1.1 安全域基本概念

安全域划分与边界整合是安全工作的基础。所谓安全域，是指网络中具有相同的安全保护需求、相互信任并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全管理策略。一个安全域可划分为若干安全子域，安全子域也可进一步划分。

合理划分安全域对大型网络的建设有着重要意义。首先，通过网络安全区域的清晰定义，梳理网络架构，明确区域边界，可以更系统地进行安全规划，建立纵深防御体系；其次，可加强安全区域管理，增加处置突发威胁事件的缓冲时间；再次，根据安全目标与需求，排列安全防护优先次序，可以经济有效地合理部署的安全设备；最后，使日常运维、应急处置在业务系统间的管理界面更加清晰，同时可有针对性地部署各类审计设备，提供检查审核依据。

1.2 网络安全域划分的基本方法

按照业务系统划分，依据业务系统的类别区分不同的网络安全域。这种划分方法对现有系统改动最小，但容易重复建设安全防护设备，增加投入成本。

按照防护等级来划分，根据网络中信息资产的价值或等级保护备案级别划分不同的防护等级，相同等级构成相同的网络安全域。这种划分有效减少重复投资，体现了安全纵深防御的思想。但由于网络区域的安全等级与业务特性存在较大差异，对已有系统重新调整整合的难度较大，可能会影响业务系统的正常运营和性能。因此这种方法比较适合新建业务系统。

按照系统行为来划分，按照信息系统的不同行为和需求来划分相应网络安全域，并根据信息系统的等级和特点选择相应的防护手段。这种方法充分分析承载业务系统的信息系统的情况和外部威胁，对业务系统精准调整，同时兼顾防护等级。但由于要对每一个承载业务的信息系统都进行系统行为分析，前期也需要部署流量分析、日志审计等设备以了解全网各系统的行为，对于信息系统繁多的大型网络，划分工作量较大，安全域太细也影响了安全投入的经济性。

在实际的大型网络安全域的划分中往往将以上方法结合起来使用。

2 中南空管局网络安全现状

图1 中南空管局网络安全架构示意图

当前中南空管局没有设置专门的安全区域，不明确各网络区域、业务系统的安全管理目标，缺少统筹分级规划，安全设备间也缺乏横向协作及纵向联动。整个网络系统规模大，业务网络很多，业务主管部门也较多，网络安全管理有较高的独立性，业务数据交互日趋增多，结构复杂。管理信息网核心、生产网核心、广域三套主要防火墙各自承担了部分系统间的网络交换功能，另有多套业务系统的边界防火墙，导致网络区域之间边界不清晰，互连互通没有统一控制规范，没有明确的层次和区域划分。业务系统各自为政，与外部网络存在多个出口，在地点A 存在互联网出口，在地点A 和地点B 存在与其他单位的外联出口，在地点C 存在与上级及分支机构的内联出口，无法统一管理。大多数生产业务使用业务1 的内部网络链路传输地点B 与C 间的数据，同时接入内联网的广域防火墙位于业务1 与内联网间的边界，导致其他生产网业务与内联网用户进行数据交互需要穿越无关的业务1 网络，存在安全隐患。各业务系统与等保测评的建议还存在差距。

3 基于安全域的网络架构设计方案

中南空管局在保障业务正常运行及效率的前提下，综合考虑系统信息资产价值、等级保护的要求，确定各安全域的防护等级，部署对应的安全防护体系。其中安全区域边界的整合与防护是中南空管局网络架构设计关注的重点。

3.1 安全区域划分

根据网络安全域的划分原则及基本方法，需要调整的关键点如下：

新的业务信息系统和网络建设将在初期依照网络安全域的规划进行。当前的网络安全域规划需在现有网络的基础上进行，受到现有业务和系统的制约。因此网络安全规划需在遵循基本原则的基础上结合业务和功能的特性，如业务系统内部模块间的关联性、与外部应用的交互的需求等。还需要考虑业务现状，如现有网络拓扑、组网方式、地理位置和机房环境等网络结构的状况，以及网络业务系统管理部门职权划分等。由于中南空管局不同管理部门的业务系统本身较为独立，与上级、分支、外部机构或存在各自独立的网络，同时业务系统的运行稳定性要求较高，因此安全子域主要以现有业务系统为基础来划分，在现状的基础上进行调整。

已有多个业务系统经过了等保备案及测评，通过整体评估，存在大量具有共性的安全风险和隐患，类似的需要补强的安全设备和配置规范。因此根据等保差距测评的建议将相同等级或保护需求的业务系统进行归并整合，规范安全子域的边界。同时建立安全管理中心，为全网的安全策略及各安全域的安全机制实施统一管理，并与各安全子域中的安全设备形成分级联动机制。持续性地对于业务系统的流量、访问关系、系统行为、威胁情况进行评估，将业务系统中的功能区域进行转化拆分，按照业务特性进行安全设备的部署以及安全策略的应用。

大流量持续性数据流尽量限制在本子域内完成。安全域之间的存在大量的、间歇性数据交换。所以，需要把核心防火墙换为核心交换机。同时考虑到一些安全子域由于历史原因安全防御手段较弱未知风险较高，因此有必要在核心交换机边界增加核心防火墙。逻辑上一个子域可能需要跨不同的物理地区。管理上，不同的安全域可能存在不同的安全管理部门，故关键安全子域部署独立防火墙，以便更清晰地落实“谁使用谁负责，谁主管谁负责”的要求。

根据主管部门、管理职能、业务关联性、安全保护需求、网络安全互访信任度、网络数据流、访问频率等因素划分安全区域，现有的中南空管局网络安全架构分为核心生产区、核心管理、安全核心区、安全接入、生产交互区、管理交互区、外部区域等七级安全区域。据此，制定纵深防御体系如图2：

图2 中南空管局纵深防御体系示意图

通过该方案可有效梳理业务网络的边界，根据业务区域特性有针对性地部署边界安全设备，强化功能区域之间的网络交换，保持业务网络内部管理及应用的独立性，且具有良好的拓展性。

3.2 网络结构

1）安全核心区。本方案安全核心区的核心交换机和防火墙均采用了冗余节点设计，采用集群虚拟化技术，在整个虚拟架构内实现控制和数据信息的冗余备份和无间断的三层转发，增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断，保证业务系统整体架构的可靠性。业务系统首先接入到核心防火墙，通过核心防火墙实现业务系统的安全域隔离，并依赖防火墙进行IPS、防病毒以及状态包过滤等安全防护。

表1

2）安全接入区。为不同业务网络设立的安全域可能存在不同的安全管理部门，故各安全区域边界增加下一代防火墙，以便更清晰地落实“谁使用谁负责，谁主管谁负责”的要求。通过访问策略控制区域内外数据交互，限制非法访问。也可根据区域功能及流量流向等特性增加IPS，WAF，网页防篡改，网闸，数据库审计等安全设备。考虑到现状，设备可以立旧，区域边界可以共用防火墙。

3）各安全子区域内部网络。各安全子域内部跨地区间的互联主要通过传输主干网延伸网络。传输主干网只作为地点ABC 三地之间的传输网络，延伸单个网络系统于异地，本身不具有网络交换。因此多个安全级别不相同的子区域系统同时走在同一套传输主干网上并没有数据连通交换的风险。子区域间数据交换依然要回到该子区域边界安全设备，通过核心网络交换机进行。通过将内联网出口放置在外部互联区，其连接的生产网DMZ 区放置在生产接入区，将业务1 网络作为核心生产区的单个子区域与安全核心区的核心交换机连接，重新界定各子区域的边界。业务1 内部网络只承载业务1 的业务，从而禁止其他子区域间的信息交互需要横穿业务1 网络。

4）各生产网新建交互区。新建各生产网交互区，以业1 为例，将与生产并不直接相关的业务移至新建的子区域。该区域可承载其他生产网辅助类、管理类的应用向终端提供服务。虽然该区域目前主要与业务1 子区域进行信息交互，考虑到日后拓展，该子区域应接入核心安全区的核心交换机，与其他子区域进行网络交换。

3.3 安全等级及主管部门

如表1 所示，横向为具有大致相同安全等级的安全区域。纵向则为不同的业务系统构成的安全子域。

4 结束语

网络安全域技术在中南空管局网络安全架构设计中的应用，将使中南空管局整网中的各业务系统符合等级保护相关标准的要求，完善网络安全建设的整体水平，提升全网安全防御能力，降低信息系统受攻击的风险。安全状态是一个动态的过程，需要不断完善，基于安全域技术的网络安全架构也需要在保持相对稳定的基础上，根据实际安全状况及需求的变化进行持续地调优和改进。最后，网络安全需要在技术、管理、使用等方面多管齐下。网络信息安全建设注重“三分技术，七分管理”，严格完善的管理制度是实现网络安全的前提，系统有效的安全防护技术是保证，认真管理落实才是关键。