從SOX內(nèi)控審計談企業(yè)安全域解決方案
劃分安全域的原則
安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。啟明星辰公司采用“同構(gòu)性簡化”的安全域劃分方法,將復(fù)雜的大網(wǎng)絡(luò)進行簡化后設(shè)計防護體系,以便進行有效的安全管理。
啟明星辰公司安全域劃分遵循以下原則:
1、業(yè)務(wù)保障原則:在保證安全的同時,更要保障網(wǎng)絡(luò)承載業(yè)務(wù)的正常、高效運行;
2、結(jié)構(gòu)簡化原則:安全域劃分的直接目標是將整個網(wǎng)絡(luò)變得更加簡單,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。因此,安全域劃分并不是粒度越細越好,安全域數(shù)量過多、過雜反而可能導(dǎo)致安全域的管理過于復(fù)雜,實際操作過于困難;
3、立體協(xié)防原則:安全域劃分的主要對象是網(wǎng)絡(luò),但是圍繞安全域的防護需要考慮在各個層次上立體防守,包括在物理鏈路、網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用等層次;同時,在部署安全域防護體系的時候,要綜合運用身份鑒別、訪問控制、檢測審計、鏈路冗余、內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防。
以某運營商的MBOSS系統(tǒng)為例,我們通過對該系統(tǒng)進行數(shù)據(jù)流分析、網(wǎng)絡(luò)結(jié)構(gòu)分析,結(jié)合考慮現(xiàn)有的安全隱患,從資產(chǎn)價值、脆弱性、安全隱患三者間的關(guān)系出發(fā),得到了整體的安全防護體系和各個業(yè)務(wù)系統(tǒng)自身的安全防護體系,為進一步管理整合后的安全域做好了準備。
事例圖
基于安全域劃分的最佳實踐,該運營商的業(yè)務(wù)支撐系統(tǒng)(BSS)、企業(yè)信息系統(tǒng)(MSS)和網(wǎng)管系統(tǒng)(OSS)被分別劃入不同的安全域,再根據(jù)每個安全域內(nèi)部的特定安全需求進一步劃分安全子域,包括:核心交換區(qū)、核心生產(chǎn)區(qū)、日常辦公區(qū)、管理服務(wù)區(qū)、接口區(qū)、內(nèi)部系統(tǒng)互聯(lián)網(wǎng)區(qū)、外部系統(tǒng)互聯(lián)區(qū)。
安全加固
仍以上圖為例,在劃分完安全域之后,我們對不同安全域內(nèi)的關(guān)鍵設(shè)備進行了安全加固,依據(jù)是:各安全域內(nèi)部的設(shè)備由于不同的互聯(lián)需求,面臨的威脅也不同,因此其安全需求也存在很大差異。
1、生產(chǎn)服務(wù)器:一般都是UNIX平臺,資產(chǎn)價值最高,不直接連接外部網(wǎng)絡(luò),主要的安全需求是訪問控制、賬號口令、權(quán)限管理和補丁管理;
2、維護終端:一般都是WINDOWS平臺,維護管理人員可以直接操作,其用戶接入的方式也不盡相同(本地維護終端、遠程維護終端),面臨著病毒擴散、漏洞補丁、誤操作、越權(quán)和濫用等威脅,其安全需求是安全策略的集中管理、病毒檢測(固定終端)、漏洞補丁等;
3、第三方:對業(yè)務(wù)系統(tǒng)的軟、硬件進行遠程維護或現(xiàn)場維護,其操作很難控制,面臨著病毒、漏洞、攻擊、越權(quán)或濫用、泄密等威脅,安全需求主要是接入控制,包括IP/MAC地址綁定、帳號口令、訪問控制,以及在線殺毒、防毒墻、應(yīng)用層的帳號口令管理、補丁管理等;
4、合作伙伴:涉及到與其他系統(tǒng)的連接,面臨著病毒、漏洞、入侵等威脅,安全需求是病毒防護、入侵檢測、漏洞補丁等。
5、互聯(lián)網(wǎng):面臨著黑客入侵、病毒擴散等威脅,主要的安全需求是入侵檢測、病毒防護、數(shù)據(jù)過濾等。
安全域與安全策略的結(jié)合
在劃分安全域、進行安全加固的基礎(chǔ)上,還需要對網(wǎng)絡(luò)邊界和重點區(qū)域采取特定的安全措施。
邊界安全
對于任何安全域的保護,邊界安全是最低的保護措施,通過對邊界的控制能夠保護安全域不受到來自其它區(qū)域的安全威脅。在上面的圖例中,我們采用了以下技術(shù):邊界隔離、認證、監(jiān)視、審計。具體的產(chǎn)品實現(xiàn)包括:MPLS VPN、VPN Lite、防火墻、接口主機、交換機VLAN、PVLAN、ACL等。
區(qū)域安全
區(qū)域安全是通過在安全域內(nèi)部設(shè)置監(jiān)視、測量、清理、審計等技術(shù)手段,實現(xiàn)安全域內(nèi)安全事件的及時響應(yīng)和清除。安全域的區(qū)域安全以安全狀況的監(jiān)控為主,對于本安全域內(nèi)部的安全事件及時響應(yīng)和清除,是安全域的核心安全處置手段。具體采用的技術(shù)和產(chǎn)品包括:入侵檢測、安全審計、漏洞掃描、病毒防護、訪問控制、帳號管理、補丁管理、流量監(jiān)控等。
實現(xiàn)效益
通過劃分安全域?qū)崿F(xiàn)等級保護,啟明星辰公司把電信運營商復(fù)雜的安全問題化解成小區(qū)域的安全保護問題,從而在全網(wǎng)范圍內(nèi)實現(xiàn)大規(guī)模的等級保護。
啟明星辰公司提出的解決方案不僅僅是從網(wǎng)絡(luò)系統(tǒng)、技術(shù)層面和單一安全設(shè)備來看待問題,更是從網(wǎng)絡(luò)建設(shè)的整體規(guī)劃出發(fā),全盤考慮,幫助電信運營商從根本上解決安全問題。
在通訊產(chǎn)業(yè)與信息產(chǎn)業(yè)迅猛結(jié)合的今天,采用啟明星辰公司安全域解決方案無疑將大大簡化電信運營商復(fù)雜的安全問題及安全管理工作,化無序為有序,提高安全工作效率。
從SOX內(nèi)控審計的角度,安全域解決方案勢必將發(fā)揮其潛在的巨大優(yōu)勢,幫助電信運營商在SOX內(nèi)控審計的過程中化繁為簡,快速達到安全指標要求,與國際接軌,為企業(yè)帶來更大的市場和經(jīng)濟效益。

-
電動車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀錄 實現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(附五大案例與經(jīng)濟效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點問題
-
安徽電力直接交易執(zhí)行、出清細則和電力市場電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預(yù)計南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望