安全域的划分

安全域概述
网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。
网络安全域从大的方面分一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置防火墙以进行安全保护。如下图(双击下图放大显示)所示:
本地网络域的安全内容有:桌面管理,应用程序管理,用户帐号管理,登录验证管理、文件、打印资源管理,通信通道管理以及灾难恢复管理等与安全相关的内容等。
远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。
公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。
伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以数据的真实性和机密性。
一个大的安全域还可根据内部不同部分的不同安全需求再划分为很多小的区域,下图是将本地安全域再进行划分后的情况。
安全域划分过程
一般在在划分安全域之前,还应先把所有的计算机进行分组。分好组中,再把各个组放到相应的区域中去,如边界DNS、和办界WEB都可放到边界区域中(即所谓的DMZ区域)去。如下图所示:
如上图所示,每一个分组,包括的计算机,提供的服务,运行的服务,属于什么区域,有什么功能击需求,使用什么技术等,都要通过一相文档的形式反映出来。
计算机分组并划分到不同的安全区域中后,每个区域再划根据分组划分为几个子网。以下 图所示。每个 S 是一个网段。 每个组的安全性要求和设置是不一样的。
 
区域划分后,就可设计不同区域间通信机制。如允许和拒绝的通信流量,通信安全要求以及技 术,端口开禁等。  如公网到 core 通信必须通信 VPN ,并且要通过双因子验证(需要智能卡、口令)进行身份验证, 身份合法后再采用 IPSEC 进行加密通信。下图显示区域间通讯配置和详细通信端口配置(部分)示例。
以上是一个安全域划分的过程,所有过程必须归档,以便网络实施和维护时指导和参考。
总结
安全域是基于网络和系统进行安全检查和评估的基础,安全域的划分割是企业网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点,同时安全域也是基于网络和系统进行安全建设的部署依据。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/29742.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

为什么不大愿意调用国内厂商提供的API

郑昀 20100819 我平时喜欢玩Mashup,所以对国外各种开放接口都有兴趣看两眼。像Twitter的,Yahoo!的(Yahoo! Pipe、YQL),Google(Buzz、Google Reader、Chart、WebFinger等)的,即使是很…

《51单片机应用开发范例大全(第3版)》——2.1 基本器件实现端口扩展实例

本节书摘来异步社区《51单片机应用开发范例大全(第3版)》一书中的第2章,第2.1节,作者:张杰 , 宋戈 , 黄鹤松 , 员玉良,更多章节内容可以访问云栖社区“异步社区”公众号查看 2.1 基本器件实现端口扩展实例 目前,比较常…

《51单片机应用开发范例大全(第3版)》——第2章 单片机接口的扩展 2.1 基本器件实现端口扩展实例...

本节书摘来自异步社区《51单片机应用开发范例大全(第3版)》一书中的第2章,第2.1节,作者 张杰,宋戈,黄鹤松,员玉良,更多章节内容可以访问云栖社区“异步社区”公众号查看。 第2章 单片机接口的扩展 单片机输…

超6.75万台!中国移动2018年第二批次服务器大单揭晓

超6.75万台!中国移动2018年PC服务器集中采购第二批次公告中不见联想,中兴、浪潮、华为、曙光等都到齐了,连名不见经传的烽火通信和中移全通都到了,这是为什么呢? 带着这个问题,我们慢慢往下看:…

ucos源码阅读1——任务1

ucos源码阅读1——任务 os_core.cOsInit()设置中断向量创建唯一的任务及OSStart()结语os_core.c 按照main函数的流程去阅读源码。 OsInit() 1、哦,怎么图片这么大,首先是定义了个钩子函数,在os_cpu_c.c由用户实现。 2、InitMisc杂七杂八的初始化,初始化变量是在uCOS_II…

罗永浩直播翻车频现,抖音选错了吗?

图片来源于网络 文|陈小江 来源 | 螳螂财经(ID:TanglangFin) 罗永浩如果能多花点时间,“花点时间”就不会悔不当初了。 5月15日,罗永浩直播为“花点时间”卖玫瑰,最终在520这天“炸了锅”。大量网友涌进微博吐槽&a…

设计模式(18)行为型模式 - 访问者模式

前言 温故而知新 还是先复习前面学到的知识: 行为型模式:描述多个类或对象之间怎么协助共同完成单个对象无法实现的任务,涉及算法与对象间的职责分配 模板方法模式:定义一个操作流程中的算法骨架,特定的步骤方法的具体…

诚之和:滴滴禁闭百日司机、用户与暗战

撰文 吴先之 编辑 | 王 潘 西非的黑猩猩既聪明又残忍。 每当旧王年老体衰时,其他猩猩会将它围殴致死然后分而食之,这么做的目的不仅仅是发泄积压已久的愤怒,还希望继承一部分“王者之气”。 7月2日监管部门开始对滴滴进行审查,暂停新用户注册、下架APP等接踵而至。巨头…

LiteOS学习---开发环境初识

背景介绍 记得电影《一代宗师中》,有这样一句话 也是时势使然,某为厂成了面子,欺负它就等于打了国人的脸,至于它担不担得起,另说。 早在2015年,华为就推出了这个LiteOS。如果问它和鸿蒙系统有什么关系 华…

第 6 篇、Linux C基础 | 数据类型和标识符

1.C语言的数据类型 001基本类型 字符类型: char 1 byte 8 bit 1111 1111 1-----------最高位符号位,1 负 0 正 unsigned char 无符号的字符类型 signed char 有符号的char类型 整型: 短整型:short 2 byt…

暗影精灵3等游戏本设置风扇静音

很多游戏本的风扇声音很大,即使仅使用word进行码字有时风扇的速度也限制不住,财力不够又必须在公共场合(例如图书馆)进行使用的时候,就会非常尴尬(当然有社交牛逼症的请退出这篇文章)&#xff0…

Linux普通用户su root权限的开启和禁止

Linux 普通用户su root 权限的开启和禁止 linux系统为了限制权限,有时候需要禁止普通用户su到root用户, 首先先说明一下: su #只是切换到root用户, 不改变当前目录; su - #切换到root和改变目录到/rootwheel组的介绍 在L…

论文笔记--Improving Language Understanding by Generative Pre-Training

论文笔记GPT1--Improving Language Understanding by Generative Pre-Training 1. 文章简介2. 文章导读2.1 概括2.2 文章重点技术2.2.1 无监督预训练2.2.2 有监督微调2.2.3 不同微调任务的输入 3. Bert&GPT4. 文章亮点5. 原文传送门6. References 1. 文章简介 标题&#x…

增强语言模型导读

以ChatGPT为主的大语言模型出现已有半年时间,研究逐渐从针对模型本身的进化和功能,延展到如何更为有效地利用大模型,将它与其它工具结合,落地,以解决实际领域中的问题。 这里的增强主要指让大语言模型(LM&…

GPT 系列论文泛读

目录 1. GPT-1 1.1 无监督预训练 1.2 有监督的微调 2. GPT-2 3. GPT-3 4. InstructGPT 1. Supervised Fine-Tuning (SFT) 2. Reward Modeling (RM) 3. Reinforcement Learning (RL) 这篇写给自己的总结会相对比较简短,因为 GPT 系列的每篇论文都很长&#…

chatGPT-4论文导读:百年未有之大变局-(2)(转载)

声明:本文已征得原作者:荔枝海豹,同意后转载。 原文链接:chatGPT-4论文导读:百年未有之大变局-(2) - 知乎 在开始讲解之前,我们先说个梗, open AI,从这个名…

吴恩达联手OpenAI上线免费课程:一个半小时学会ChatGPT Prompt工程

点击上方“Python与机器智能”,选择“星标”公众号 第一时间获取价值内容 编辑:张倩 吴恩达亲自授课。 ChatGPT 来了,一切变化都快了起来,一些科技公司开始招募「prompt 工程师」。与写代码的传统计算机工程师不同,Pro…

0基础转行网络安全,选择pwn还是web?

随着5G、工业互联网、人工智能等新兴领域技术的兴起,从而快速推动了各国从人人互联迈向万物互联的时代。 奇安信董事长齐向东曾说过:“如果说5G带来了物联网和人工智能的风口,那么网络安全行业就是风口的平方——风口的风口。" 因此&…

网络安全从业人员2023年后真的会被AI取代吗?

随着ChatGPT的火爆,很多人开始担心网络安全从业人员会被AI取代。如果说网络安全挖洞的话,AI可能真的能取代。但是网络安全不仅仅只是挖洞,所以AI只是能缓解网络安全人员不足的情况,但是是不会取代人类的作用的。 就拿最近很火的C…

Proxy Authentication Required解决

症状 <script type"text/javascript">loadTOCNode(1, symptoms);</script> 如果 Internet Security and Acceleration (ISA) Server 2000 是链接到上游 Web 代理服务器, Web 浏览器中可能会收到完整 HTML 页和随机身份验证提示。 如果下游 ISAServer 计算…