作为运营商重要的基础设施，数据网络日益成为一个庞大而复杂的系统。运营商的业务遍布全省的各个县市，因此数据网络也延伸到全省的各个县市，同时数据网络上承载了众多重要的业务。运营商如何在支持业务不断发展的前提下，保证数据网络的安全性是一项巨大的挑战。

        1. 安全域划分的目的

 

        面对一个庞大、复杂的信息系统，单独对每项信息资产确定保护方法，是非常复杂的工作，常由于疏忽或错误导致安全漏洞。但是将整个系统当成一个安全等级来防护，也难免造成没有防范层次和防范重点，对风险尤其是内部风险的控制能力不足。

 

        较好的处理方式是进行安全域的划分，制订资产划分的规则，将信息资产归入不同安全域中，每个安全域内部都有着基本相同的安全特性，如安全级别，安全威胁，安全弱点，风险等。在此安全域的基础上确定该区域的信息系统安全保护等级和防护手段，同一安全域内的资产实施统一的保护。

 

        安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。同一安全域的系统共享相同的安全策略，安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。

 

        2. 安全域的分类

 

        对于运营商的数据网络，根据对承载的业务和面临风险的分析，可以分为安全计算域、安全用户域、安全网络域和安全服务域。其中，安全计算域的安全等级是划定确定一个信息系统安全保护和等级划分的基础。（图1）

 

图1 安全域划分

        • 安全网络域：

 

        支撑安全域的网络设备和网络拓扑，是安全域的承载子域。防护重点是保障网络性能和进行各子域的安全隔离与边界防护。

        • 业务计算域：

 

        安全域的核心业务服务器、数据库，是安全域的核心子域。防护重点是防病毒攻击、防黑客篡改和防误操作导致数据丢失。

        • 公共服务域：

 

        为安全域提供统一的安全服务，是安全域的公共子域。包括统一的外部网络接口、安全认证、事件管理、策略管理、补丁管理等服务。

        • 业务终端域：

 

        需要访问安全计算域的各类客户端和维护终端，是安全域的风险子域。防护重点是加强认证和审计、限制权限，严格遵守配置标准。

 

        3. 边界整合和防护设计

 

        划分安全域后，同一安全域拥有相同的安全等级，可以认为在统一安全域之内是相互信任的，而安全风险主要是不同的安全域之间相互访问所带来的，因此对于安全域的防护主要是对安全域边界的安全防护。

        我们边界的种类主要分为三种：

        • 同级别安全域之间的边界

  
        • 不同级别安全域之间的边界－实际设计实施时又分为高等级安全域和低等级安全域的边界和防护。

        • 远程连接的用户－通常会通过公共运营网络，除了边界的防护，数据传送过程中也必须保障保密性和完整性。

 

        4. 同级别安全域之间的边界

 

        同级别安全域之间的安全防护主要是安全隔离和可信互访。因为同级别安全域之间的安全等级相同，主要从业务需要出发划分不同的安全域，如在运营商支撑网络中将OA系统，计费系统，网管系统划分为不同的安全域。为了防止单点的安全事件扩散到整个网络，影响其他的业务系统，需要保证同级别安全域之间的安全隔离。（图2）

 

        根据以上的需求，我们可以提供MPLS-VPN解决方案，通过MPLS-VPN解决方案可以很好的?足同级别安全域之间安全隔离的需求。

 

 

图2 不同安全域边界隔离

        通过MPLS-VPN解决方案，可以轻松的实现各个节点和业务之间的互访和隔离需求，而且能够做到在增加新的节点或业务时，对其他节点的配置进行很小的改动，对网络上承载的业务没有影响；可以使各个业务使用同一个核心网络，而在地市节点再按照业务与不同的网络设备相连。

 

        通过MPLS-VPN解决方案，可以使整个网络结构简化，减轻维护压力。

        5. 不同级别安全域之间的边界

 

        不同级别安全域之间的相互访问带来较大的安全风险，是网络安全防护的重点。在划分的安全域中，安全用户域是风险子域，用户域对于计算域的访问是网络中面临的主要风险。

 

        采用安全接入认证网关和防火墙对不同级别安全域之间的边界进行防护。（图3）

 

        安全接入认证网关通常部署在用户域接入网络的边缘，用于不同安全等级的安全域间的数据交换；通过认证授权和安全策略的检查，对终端的网络访问权限进行控制，只有通过认证和安全策略检测的终端才拥有访问网络的权限，没有通过的终端无法访问网络，从而将安全风险阻挡在网络接入的边缘，最大限度的保护了计算域中核心业务系统的安全。

 

        防火墙通常部署在计算域的前端，用于提供多层次的纵深安全防护。

 

图3 不同安全级别业务域隔离

 

 

        随着业务的发展，远程接入的需求越来越多，远程用户通常通过INTERNET远程接入到企业的数据网络之中，安全风险很大。

 

        对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护。用户通过在远端和总部之间建立VPN隧道的方式，并采用数据加密的方法，保证通信的安全。同时结合双因素认证的方式，对接入用户采用高强度的认证，授权，和审计，控制远程接入的风险。

 

 

图4 远程接入实现

        基于以上的安全域划分方案，保证安全防护的层次和深度，突出安全防护的重点，能够很好的解决在运营商支撑网这类庞大复杂的数据网络中安全防护的问题。