设计网络安全体系之划分网络安全域

3.2.3  设计网络安全体系

1.划分网络安全域

划分网络安全域是指按照不同区域的不同功能目的和安全要求，将网络划分为不同的安全域，以便实施不同的安全策略。其中，安全域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域。每一逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，遵循同样的安全策略。

一种简单而通用的网络安全域划分方法是将网络划分为内部网络安全域、互联网安全域和外部网络安全域三部分。在实践中，为更好地进行网络的安全防护，应根据用户实际网络的具体情况来划分。例如，对于一个大型企业，其网络可能会划分为核心业务安全域、数据存储安全域、分支机构网络安全域、异地灾备中心安全域，互联网门户网站安全域和通信线路运营商广域网安全域等。

网络安全域的划分，应遵循如下原则。

1)网络整体的拓扑结构需要进行严格的规划、设计和管理，一经确定，不能轻易更改。如因业务需要，确实需对网络的整体拓扑结构进行调整和改变，需按照相应的运维管理流程上报。

2)按照网络分层设计的原则进行规划，层次划分和设计合理清晰，保证网络系统骨干稳定可靠，接入安全，便于扩充和管理，易于故障隔离和排除。

3)网络按访问控制策略划分成不同的安全域，将有相同安全需求的网络设备划分到一 个安全域中，采取相同或类似的安全策略，对重要网段进行重点保护。

4)使用防火墙等安全设备、VLAN或其他访问控制方式与技术，将重要网段与其他网段隔离开，在不同安全域之间设置访问控制措施。