以下文字来源于 这篇文章
----------摘抄开始
首先来看定义:
定义1:安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。
定义2:安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。
定义3:安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制盒边界控制策略的网络或系统。
以上定义均为从网络摘抄。定义的主体分别为逻辑区域、IT要素的集合、网络或系统,但其表达的意思基本都是一样的。可能是由于中文博大精深,虽然字不一样,但所想表达的思想都是一样的。
----------摘抄结束
看看维基百科的安全域(security domain)
而安全域这个概念又会被分为:
1. 传统安全域
2. 动态安全域
3. 虚拟安全域 (类似阿里云的安全组)
4. IBM的安全域 (Secure domain)
等级保护的安全域概念
《信息安全技术--信息系统安全通用技术要求》GB/T 20271—2006
《信息安全技术--信息系统等级保护安全设计--技术要求》
美国国安局《信息保障技术框架》里面提到的“纵深防御”(Defense in Depth)
《信息保障技术框架》的全册链接
常见的划分方法:
1. 按照防护的层次:外部接口层、核心交换层、计算服务层、资源层,根据安全要求和策略的不同,划分区域
2. 网络安全域划分:本地网络、远程网络、公共网络、伙伴访问
划分注意:
1. 子网与安全域要分开,因为安全域是一组对象集合,与子网没有必然联系,如果非要将子网与安全域联系在一起,那么安全域将会被细分为非常多的层次,导致出现三级子安全域,甚至四级子安全域,将会让安全域设计的工作严重复杂化。
子网与安全域的关系:
一个安全域可以容纳多个子网
一个子网只能归属一个安全域(子网A 归属 安全域A,子网A就不可能归属其他域)
下图,就是不合理的设计,应该将子网与安全域分开规划
参考链接:
安全域划分
安全域的划分
没有评论:
发表评论