等保需要的安全设备和部署
技术要点–等保2级
技术要点–等保3级
安全产品/服务全景图
选型产品说明
安全区域边界配置
资产探测及漏洞检测配置
网络安全域划分原则
网络安全域
定义
网络安全域是一种网络划分方式,将具有相同安全需求、访问控制、相同信任级别、相同安全策略的业务放在一起,实现隔离、安全边界。有利于构建纵向分层、横向分区多层防御体系。在这中防御体系下及时某个安全域被攻破,也很难发生横向移动其他安全域。划分网络安全域目的是细化安全控制和隔离策略,减少潜在的攻击面,增强整体网络的安全性。
划分原则
功能或用途
根据不同系统或服务的功能和用途进行划分。内部网可以划分为研发域、测试域、生产域、预发布域
数据敏感性
根据数据的敏感性和重要性,将网络划分为不同的安全域。处理客户敏感信息的系统和处理一般业务数据的系统应该放在不同的安全域。
用户群体
根据访问者或用户群体不同进行划分。管理人员、普通员工、外部合作人员,分配到不同的安全域。
信任级别
不同的系统和用户具有不同的信任级别。内部员工的设备和外部来访者的设备,放到不同的安全域。
网络拓扑
根据企业的物理或逻辑拓扑结构进行划分,将不同地理位置或分支机构放在不同的安全域,以管理和控制跨地域的网络通信
安全策略
根据不同的安全策略要求进行划分,经必须遵守严格合规要求的系统和其他系统分开管理,以便集中实施安全控制和审计。
业务优先级和关键性
根据业务的重要性和优先级划分安全域。关键业务和辅助系统应分离,以确保在关键系统受到保护
合规和法律要求
根据法律法规和合规性要求,特别是在涉及到个人数据保护或行业规范时。
以上这些划分原则,平时使用时,会混合使用,也可以使用其他的划分原则。主要是为了制定出合理的网络安全域划分策略,增强网络安全性。
常见的等级保护网络安全域
- 互联网域,直接与互联网通信,是网络攻击最为活跃的区域。通常采用防火墙进行防护。
- 对外服务域,用于托管面向公众的服务。比如门户网站、APP平台、其他业务系统。
- 其他业务域,主要部署内部使用的业务系统,比如:邮件系统、OA等其他系统
- 核心交换域,主要承载整个网络的核心数据交换功能。
- 核心业务域,主要部署企业的核心业务、核心数据。
- 运维管理域,主要部署运维需要的产品以及旁路安全类产品。比如:日审、漏扫、堡垒机、网络防病毒
- 终端接入域,主要管理企业办公区有线、无线设备接入。
子网、域、业务系统关系
- 一个业务系统可以包含在多个域中
- 一个域中可以含有多个子网
- 一个域中也可以有多个业务
- 一个 域中也可以划分多个子域
备注
带外管理域:通过独立的流量通道对业务系统进行网络管理的一种方式,与业务本身的流量隔离,采用独立的管理口。