针对网络安全域隔离问题的研究与思考

一、什么是网络安全域

网络安全域就是一组安全等级相同、业务类型/功能相似的计算机、服务器、数据库、业务系统等构成的系统**，具体表现在网络中可能是一个IP网段(一个C段、一个B段)或几个网段**，或者是一个VLAN或几个VLAN**，或者是连接一个防火墙接口下的整个网络区域，或者是机房里的一个机柜或几个机柜等。上面的解释其实还是比较抽象，举几个例子，比如存储****的数据库服务器与供客户访问的Web服务器显然就不是一个安全等级，测试环境的服务器与正式提供服务的生产服务器显然也不是一个安全等级，因此，要对他们进行安全域划分。总的来说，一个安全域其实就是一个信任域，在符合监管要求的情况下你可以把一些你认为可以相互信任的计算机、设备放置在一个安全信任域当中，在信任域内部实施较松的安全策略，而信任域边界实施较为严格监控、访问控制等。每个信任域内服务器的多寡取决于单位信息系统建设、信息安全意识等多方面因素的制约。

从网络攻击者的角度来说，有一种典型的攻击方式叫横向渗透攻击，其含义是攻击者拿下了内网的某一台主机，为了扩大战果，往往会对该主机所在的C类地址段进行扫描，因为在企业内部一般同一个C类地址段不会有进一步的网络隔离划分。此时，这是一个C类段处于风险之中，那么如果我们没有进行网络安全域隔离，那么，整个数据中心都有可能处于攻击者的直接打击范围。基于这后一点，我们明白了，网络安全域隔离其实就是将整个网络划分为一个一个比较小的安全信任域，要不然整个网络处于一张平面，攻击者拿下一个地址之后，可以对整个网络进行扫描探测发现。

二、网络安全域隔离有什么好处

据笔者看来有四点：一是可以将坏东西、坏人隔离在一个小区域，以减小破坏程度。二是可以将坏东西、坏人集中在隔离边界对其进行集中清除消灭。三是可以让好东西、好人隔离在一个相对安全的区域，免受其他坏东西、坏人的侵害。四是可以在隔离边界部署安全设施，以对好东西、好人加强保护，对坏东西、坏人进行阻断拦截。

三、网络安全域该怎么规划设计

从不同的站位视度、不同观察粒度来看，企业的网络安全域划分可以有不同分法。从企业外部看，安全域可以分为内网和外网，在此时，企业内部的所有办公计算机、服务器、路由器、交换机等都属于我们要保护的信息资产。因此，内、外网边界就是我们实施统一安全策略、部署防御设施的“主阵地”，比如部署边界防火墙、入侵检测、上网行为管理等。

下面我们移步进入企业内部，站在企业内部泛泛的看，一般会将企业划分为办公网PC终端安全域和数据中心安全域，在此时，企业内部的办公网区域、数据中心区域又是属于不同的安全等级。

如果我们再进一步稍微细致的审视一下，其实各安全域内部也是分为子安全域的，内部的安全域划分就是八仙过海、各显神通了。比如，在《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》中，将企业内部网络按照不同的等级保护级别进行安全域划分，不同级别安全域之间采用安全互联部件进行数据交互。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!