目录安全域划分及防护规范 ............................................................................................... 错误!未定义书签。

一. 概述 (3)1.1适用范围 (3)1.2引用标准 (3)二. XX证券信息系统概述 (4)三.安全域划分规范 (6)3.1划分原则 (6)3.2安全域划分 (9)3.2.1网络外部域 (10)3.2.2网络接入域 (10)3.2.3网络核心域 (11)3.2.4计算域 (11)3.2.5管理用户域 (12)3.2.6安全支撑域 (12)3.2.7边界描述 (12)四.安全域保护定级 (15)五.安全域防护策略 (18)5.1 XX证券信息系统防护策略 (18)5.2网络核心域防护 (18)5.2.1边界防护策略 (18)5.2.2边界5的防护策略 (19)5.2.3边界6的防护策略 (19)5.2.4边界7、8的防护策略 (20)5.2.5边界9的防护策略 (21)5.2.6内部防护策略 (22)5.3网络接入域的防护 (24)5.3.1边界防护策略 (24)5.3.2 互联网接入域 (25)5.3.3外联网接入域1的防护策略 (27)5.3.4外联网接入域2的防护策略 (28)5.3.5内联网接入域的防护策略 (30)六. 总结 (31)一. 概述1.1 适用范围本文档是根据xx证券公司2008年网络安全评估项目的要求，结合xx证券网络的建设现状，制定了安全域划分框架，并在此基础上制定了安全域的保护等级以及对应的安全防护规范。

本文档为xx证券信息网络的安全规划和工程建设提供了依据，可用来指导构建详细的安全技术防护体系和安全产品部署方案。

本文档面向xx证券公司信息系统的管理者和信息系统安全的工程技术人员。

1.2 引用标准●《关于加强信息安全保障工作的意见》（中办、国办[2003]27号文）●公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文）●国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报告》●美国国家标准和技术研究所（NIST，National Institute of Standardsand Technology）制订的SP 800系列文档：《IT系统安全自评估指南》、《IT系统风险管理指南》、《联邦IT系统安全认证和认可指南》、《信息系统安全规划指南》等，/publications/nistpubs/●美国国家安全局，信息保障技术框架IATF（Information AssuranceTechnical Framework），V3.1版，●《计算机信息系统安全保护等级划分准则》（GB 17859）●公安部GA/T 387-391-2002系列标准，计算机信息系统安全等级保护操作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求二.xx证券信息系统概述xx证券信息网络整体逻辑如图。

从图中可以看出，xx证券网络采取星型的网络拓扑结构，由双核心交换机为核心连接银行、灾备中心、深沪交易所、营业部、互联网和业务系统，同时还连接相关网络系统。

该图仅说明系统之间的连接关系，对设备间的具体连接、与外部系统的连接、以及系统内部的组成情况都进行了简化。

xx证券网络由4大部分组成，具体如下：1）位于总公司机房的核心交换机，由两台CISCO4006热备，是网络的核心部分。

2）业务系统，包括网上行情、交易系统、银证转帐等，是xx证券网络的主要业务系统。

3）网管系统，对公司信息系统进行管理。

4）对外连接的相关系统，包括：银行系统、深沪交易所、灾备中心、营业部、互联网，核心交换作为xx证券网络的核心，连接了所有的相关系统。

xx证券核心交换和主要业务系统的物理实体集中在总公司机房，在机房中提供业务系统的接入，同时提供主要的对外连接接口以及网络管理的连接。

由上图我们可以看出，信息系统必须与其他系统实现网络互通和信息共享与交互。

在这种应用需求下，使得不同的外部网络、不同身份和目的的人都有机会连接到xx证券内部网络中，从而对信息系统的安全带来了威胁。

从xx证券网络环境的层面而言，信息系统的安全威胁主要来自以下几个方面。

1.来自内部误用和滥用的安全威胁，包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。

而这类误用和滥用，与公司内部不同IT系统或者与其他相关系统的互联互通、合作伙伴之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;2.来自互联网的安全威胁:目前网上交易系统、网上行情系统等系统是与互联网相连的，如果安全措施不力就很有可能被黑客利用，带来网络安全问题;3.来自缺省配置的安全威胁:在建设IT系统时，大量的UNIX/WINDOWS等系统很多都采用缺省配置，造成开放不必要的端口等安全隐患，如果对其IT局域网架构缺乏安全边界的划分，而又没有采取一个可集中控制访问请求的措施，则很容易被不法分子利用进行非法入侵。

三.安全域划分规范3.1 划分原则信息系统安全体系的最终目标就是在技术可行和管理可行的前提下，将安全风险和隐患降低到一个可以接收的水平。

要实现这一目标，需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备，更是需要综合考虑如何在现有网络架构上安装何种安全设备才能发挥最大的作用。

如果没有一个结构清晰、可靠实用、扩展灵活的信息系统，依然沿袭各套系统的安全建设自成体系、分散单一的常规做法，即使选用最先进的安全设备，那么也只能是搭建了一个空中楼阁，无法从根本上减弱信息系统所受到的安全威胁和隐患。

因此，克服和改造信息系统传统局域网整体结构的不足是xx证券解决网络安全的首要工作。

为规划和建设一个完善的信息系统局域网，需要引入安全域。

安全域的定义是，在安全策略的统一指导下，根据各套系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等，将xx证券的信息系统划分成不同的域，将不同系统中具有相近安全属性的组成部分归纳在同级或者同一域中。

一个安全域内可进一步被划分为安全子域，安全子域也可继续依次细化。

需要明确的是，信息系统的安全域划分并不是传统意义上的物理隔离，物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享;而安全域划分是在认真分析各套系统的安全需求和面临的安全威胁的前提下，既重视各类安全威胁，也允许系统之间以及与其他系统之间正常传输和交换的合法数据。

在安全域划分时应该遵循以下的一些基本原则。

1.根据系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。

从网络构架层面来讲，系统整体结构安全域的划分是与安全产品的部署密不可分的，一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境;另一方面，将安全域划分为域内划分和域外划分两种，域和域之间主要采用通过交换设备划分VLAN和防火墙来彼此策略隔离;在域内主要根据不同被保护对象的安全需求采用部署AAA、IDS和防病毒系统等来完成，因此，安全域的划分不能脱离安全产品的部署。

2.安全域的个数不应过多，否则在策略设置上过于复杂，会给今后管理带来很大不便;在划分的保证各个安全域之间路由或者交换跳数不应该过多;3.安全域划分的目的是发挥安全产品的整体效能，并不是对原有系统整体结构的彻底颠覆。

因此在对网络结构改造的同时需要考虑保护已有投资，避免重复投入与建设。

根据上述原则，为了建立xx证券网络的整体安全防护体系，并作为现有网络系统安全改造的依据和新建网络边界安全防护需遵循的原则，将采用划分安全域、分类分级确定安全防护策略的总体技术思路。

首先，根据所处的运行环境划分信息系统。

具有相同的或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一策略的安全保护。

根据xx证券的实际情况，划分为网络外部域、网络接入域、网络核心域这三类安全域。

其次，在网络外部域、网络接入域、网络核心域这三类安全域内，根据系统结构、业务逻辑、安全威胁、风险大小、安全需求、控制成本等因素，在安全域内部继续划分网络域、计算域和用户域。

网络域是在系统内部从网络架构上进行的划分，为网络层防护策略的具体落实提供基础。

网络域划分完毕后，可根据网络系统内部所包含对象的实际情况，确定是否进行计算域和用户域的划分。

计算域落在网络域内，是数据处理和数据存储的区域，为主机系统层、应用层、数据层防护策略的具体落实提供基础。

用户域落在网络域内，是访问业务应用系统的终端用户所在的区域，为终端系统层、应用层、数据层防护策略的具体落实提供基础。

最后，网络域、计算域和用户域的划分不是内部划分安全域的最佳粒度，还可以进一步细化。

网络域可继续划分为：网络核心域、主网络接入域、备份网络接入域和网络外部域等子域；主网络接入域根据接入系统的情况可分：互联网接入域、外联网接入域、内联网接入域；网络核心域可继续划分为：核心计算域、备份核心计算域、安全支撑域；用户域继续划分为：管理用户域。

3.2 安全域划分对于xx证券核心网来说，首先从网络架构上对其进行安全域的划分，包括网络核心域、主网络接入域、备份网络接入域和网络外部域等子域；其次，网络核心域中包含核心计算域、备份核心计算域、安全支撑域，网络接入域中包含互联网接入域、内联网接入域、外联网接入域和备份网络接入域，网络外部域包含Internet、Extranet、分支网络用户域，如图所示。

3.2.1 网络外部域是指与xx证券公司有连接的其它IT系统所在的区域，包括互联网的接入、银行网络、沪深交易所、各营业部。

3.2.2 网络接入域是指xx证券总部网络之外的网络系统与xx证券总部进行通信的接入区域。

依据对端网络可信度的不同，网络接入域进一步分为：互联网接入域、外联网接入域1、外联网接入域2、管理用户域、备份网络接入域。

1）互联网接入域，连接互联网，经由边界防火墙及radware负载均衡器接入。

其中，使用了1G电信、100M电信、100M网通、10M联通接入。

2）外联网接入域1，连接银行系统，经由3825路由器、交换机接入，实现与银行业务系统的外联。

3）外联网接入域2，连接沪深交易所，经由2M SDH 专线和卫星系统、交换机接入，实现与沪深交易所行情的接收。

4）内联网接入域，连接xx证券各分支机构营业部，经由VPN、ISDN、帧中继等多条线路，由cisco7204、cisco3662、fortigate200A防火墙接入。

实现对分支机构的网络互联功能。