肖立昕从思想到实践安全域边界防护 (nxpowerlite)

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,15,从思想到实践-安全域边界防护,肖立昕,从思想到实践-安全域边界防护,肖立昕,回顾IATF提出的安全域,注：IATF是美国国家安全局制定的信息保障技术框架,边界接入域,网络基础设施域,支撑性设施域（网络管理和安全管理）,计算环境域,安全域的概念,一般常常理解的安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。,如果理解广义的安全域概念则是，,具有相同业务要求和安全要求的IT系统要素的集合。,这些IT系统要素包括：,网络区域,主机和系统,人和组织,物理环境,策略和流程,业务和使命等,一般安全域划分,域,9,核,心,数,据,库,域,域,8,服,务,器,和,工,作,站,域,域,7,现,场,第,三,方,接,入,域,域,1,、,5,第,三,方,远,程,介,入,跳,转,域,域,7,地,市,广,域,网,接,入,域,CE CISCO 3662,网络,东兴,楼,终端,：,10,.,1,.,98,.,130,/,27,市公司,BITS,OSS SERVER,SUN E,4500,Solaris,8,sybase,12,OSS,工作站,SUN U,10,西门子,OMC,-,S,反拉工作站,FUJITU PC,WIN NT,西门子,OMC,-,S,反拉工作站,SUN U,10,Solaris,2,.,6,SDH,市公司,OMC,NE,APG,40,WIN NT,防病毒,：,eTRUST,华为,S,3026,华为,EUDEMON,200,华为,NE,08,3,com,Centrecom,3726,XL,Netscreen,5,GT,INTERNET,ERICSSON,VPN,155,Mchannel,155,Mchannel,西门子,OMC,-,B,珠海,反拉工作站,SUN blade,150,solaris,8,oracle,数据库,西门子,OMC,-,B,珠海,反拉工作站,SUN blade,150,solaris,8,oracle,数据库,一次性口令认,证管理服务器,防火墙管,理服务器,IDS,管理,服务器,Centrecom,3726,XL,同一组交,换机,维护工作站,用于第三方现场维护,漏洞扫描管,理服务器,病毒库升级,服务器,病毒升级,管理服务器,S,3026,的,Vlan,Netscreen,208,补丁管理,服务器,安全管理中心,核心数据服务防火墙,跳转隔离工作站,用于第三方现场维护,接入服务,IDS,跳转隔离工作站,用于第三方远程,维护,从理论到实践,安全域仅仅是理论方法吗？,安全域划分完毕后应该怎样管理？,安全域边界应该怎样控制？,安全域边界管理与业务系统互访需求,网络建设与业务要求相适应,业务自身关系,安全域边界管理与业务系统访问关系密切相关,业务数据依赖性分析,各业务主机或业务单元之间的数据依赖关系决定安全域边界的控制需求,业务数据流分析,业务系统不必然需要的数据流应受到限制,边界业务关系分析,按照从逻辑层到网络层的数据流映射设定控制策略,安全域管理,统一的安全域运维平台,边界控制策略统一管理,安全域数据流和网络监视,