返回
安徽移动安全域改造创新实践

安徽移动安全域改造创新实践

ID:23421432

大小:78.47 KB

页数:9页

时间:2018-11-07

安徽移动安全域改造创新实践_第1页
安徽移动安全域改造创新实践_第2页
安徽移动安全域改造创新实践_第3页
安徽移动安全域改造创新实践_第4页
安徽移动安全域改造创新实践_第5页
资源描述:

《安徽移动安全域改造创新实践》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、安徽移动安全域改造创新实践【摘要】随着安徽移动信息化的快速发展,业务系统成倍增加,网络复杂度也在不断提高。目前网络主要存在问题有:网络边界不够清晰,对网络各个部分缺乏统一规划,导致不少项目都有自己的防火墙设备,防火墙部署随意性较大,种类杂乱,性能高低不一,不便于统一管理;由于缺乏统一的规划,导致访问控制策略制作非常繁琐、复杂,一个需求有时候需要在几个防火墙上同时制作策略,对全网的稳定性带来极大的影响,同时在发生问题时,路由和策略排查也耽误很长时间。安徽移动提出安全域划分模型并在办公网进行了实践,实现不同系统之间安全域隔离,从纵深的角度,全盘考虑安全部署和应用,提高了

2、网络安全性。【关键字】网络安全信息安全安全域边界整合网络优化一、概述传统IT系统整体网络建设方案很少从宏观的角度关注IT安全体系的建立,经常采用如物理隔离的方式来达到安全的目的,甚至建设两套网络,即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用,而无法实现与其他相关系统之间、与Internet之间的信息交互和共享,不但禁止了有用数据交换,造成信息化工作无法开展,还进一步增加了投资,这与积极防御的理念是背道而驰的。另外,物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在

3、网络间交换未知数据等潜在威胁。其次,由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划,同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的,虽然在一定程度上能够起到安全防护作用,但是由于各套IT系统的安全建设自成体系、分散单一,缺乏统筹考虑和宏观把握,造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来运营商制订的统一安全策略难以贯彻、重复建设,安全设备不能充分发挥作用等问题。因此,克服和改造IT系统传统局域网整体结构的不足是解决网络安全的首要工作,

4、而安全域划分及对安全域细粒度保护的方法是解决这个问题的最佳方案。只有通过明确安全域划分的原则,才能形成清晰、简洁、稳定的IT组网架构,实现系统之间严格访问控制的安全互连,更好的解决复杂系统的安全问题。二、研宄意义安全域[1]是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域,是根据信息性质、使用主体、安全目标和策略等的不同来划分的,是具有相近的安全属性需求的网络实体的集合。同一安全域的系统共享相同的安全策略,安全域划分的目的是把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全等级保护的有效方法。安全域划分是将网络系统

5、划分为不同安全区域,分别进行安全保护的过程。通过安全域的划分和保护,可以基于网络和系统进行安全检查和评估,进而有效建立安全管理控制点,指导系统安全规划、设计、入网和验收工作。同时实现安全域边界为灾难发生时的抑制点,防止影响的扩散,同时避免了安全方面的重复投资,实现对各类终端用户的控制,特别是对不可信用户的可信控制。三、安全域的创新研究PPDRRF模型[2]是典型的、公认的安全处理模型。它是一种动态的、自适应的安全处理模型,可适应安全风险和安全需求的不断变化,提供持续的安全保障。PPDRRF模型包括策略(Policy)、防护(Protection)、检测(Detect

6、ion)、响应(Response)、恢复(Recovery)和取证(Forensic)6个主要部分。防护、检测、响应、恢复和取证构成一个完整的、动态的安全循环,在安全策略的指导下共同实现安全保障。安徽移动安全域划分一期目标主要实现PPDRRF模型中的策略(Policy)和防护(Protection),并为检测(Detection)、响应(Response)、恢复(Recovery)和取证(Forensic)提供基础。依据支撑系统的架构和IT组件提供的核心功能(业务功能、控制功能、管理功能)对支撑网系统进行计算域、用户域、支撑域、网络域的划分,形成安全域划分概要模型,

7、如图1所zKo在上一步划分的基础上,按照“先应用后网络”的顺序对系统进行安全域的细分。应用层面包括了计算域、用户域、支撑域,网络层面包括网络域。通过明确系统提供的各种核心业务功能及控制、管理支撑服务,分析其相应的数据流,识别其相应的应用结构、用户类型和分布、支撑服务及网络逻辑结构,对系统计算域、网络域在水平方向进行不同数据流的逻辑隔离,在垂直方向进行逻辑结构分层。计算域细分基于系统包括的各种应用结构,依据应用结构所承载数据流的不同进行水平方向分割;基于各个应用结构的内在业务处理逻辑功能的不同进行接入计算域、应用计算域、数据计算域的划分。用户域细分根据工作终端的业

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。