3.2.3  設計網絡安全體系

1.劃分網絡安全域

劃分網絡安全域是指按照不同區域的不同功能目的和安全要求，將網絡劃分為不同的安全域，以便實施不同的安全策略。其中，安全域是由一組具有相同安全保護需求并相互信任的系統組成的邏輯區域。每一邏輯區域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，遵循同樣的安全策略。

一種簡單而通用的網絡安全域劃分方法是將網絡劃分為內部網絡安全域、互聯網安全域和外部網絡安全域三部分。在實踐中，為更好地進行網絡的安全防護，應根據用戶實際網絡的具體情況來劃分。例如，對于一個大型企業，其網絡可能會劃分為核心業務安全域、數據存儲安全域、分支機構網絡安全域、異地災備中心安全域，互聯網門戶網站安全域和通信線路運營商廣域網安全域等。

網絡安全域的劃分，應遵循如下原則。

1)網絡整體的拓撲結構需要進行嚴格的規劃、設計和管理，一經確定，不能輕易更改。如因業務需要，確實需對網絡的整體拓撲結構進行調整和改變，需按照相應的運維管理流程上報。

2)按照網絡分層設計的原則進行規劃，層次劃分和設計合理清晰，保證網絡系統骨干穩定可靠，接入安全，便于擴充和管理，易于故障隔離和排除。

3)網絡按訪問控制策略劃分成不同的安全域，將有相同安全需求的網絡設備劃分到一 個安全域中，采取相同或類似的安全策略，對重要網段進行重點保護。

4)使用防火墻等安全設備、VLAN或其他訪問控制方式與技術，將重要網段與其他網段隔離開，在不同安全域之間設置訪問控制措施。