隨著薩班斯（SOX）法案內(nèi)控審計(jì)要求的出臺，提升了IT控制在企業(yè)內(nèi)部控制中的重要性，對電信運(yùn)營商IT設(shè)施的安全性提出了更高的要求，如何改進(jìn)IT控制和完善IT治理，電信運(yùn)營商的CIO們，面臨著更大的挑戰(zhàn)。潛心關(guān)注電信行業(yè)安全并不斷創(chuàng)新的北京啟明星辰信息技術(shù)有限公司結(jié)合多年在安全領(lǐng)域的豐富經(jīng)驗(yàn)與最佳實(shí)踐，推出了針對電信運(yùn)營商SOX內(nèi)控的安全域劃分及邊界整合解決方案，即：按照安全等級和網(wǎng)絡(luò)風(fēng)險(xiǎn)的級別重新規(guī)劃運(yùn)營商的網(wǎng)絡(luò)，進(jìn)一步明確網(wǎng)絡(luò)邊界和風(fēng)險(xiǎn)，同時針對不同設(shè)備采取適宜的安全策略，從而實(shí)現(xiàn)全程全網(wǎng)的安全防范和管理，達(dá)到事半功倍的效果。

劃分安全域的原則

安全域是指同一環(huán)境內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。啟明星辰公司采用“同構(gòu)性簡化”的安全域劃分方法，將復(fù)雜的大網(wǎng)絡(luò)進(jìn)行簡化后設(shè)計(jì)防護(hù)體系，以便進(jìn)行有效的安全管理。

啟明星辰公司安全域劃分遵循以下原則：

1、業(yè)務(wù)保障原則：在保證安全的同時，更要保障網(wǎng)絡(luò)承載業(yè)務(wù)的正常、高效運(yùn)行；

2、結(jié)構(gòu)簡化原則：安全域劃分的直接目標(biāo)是將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。因此，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多、過雜反而可能導(dǎo)致安全域的管理過于復(fù)雜，實(shí)際操作過于困難；

3、立體協(xié)防原則：安全域劃分的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等層次；同時，在部署安全域防護(hù)體系的時候，要綜合運(yùn)用身份鑒別、訪問控制、檢測審計(jì)、鏈路冗余、內(nèi)容檢測等各種安全功能實(shí)現(xiàn)協(xié)防。

以某運(yùn)營商的MBOSS系統(tǒng)為例，我們通過對該系統(tǒng)進(jìn)行數(shù)據(jù)流分析、網(wǎng)絡(luò)結(jié)構(gòu)分析，結(jié)合考慮現(xiàn)有的安全隱患，從資產(chǎn)價值、脆弱性、安全隱患三者間的關(guān)系出發(fā)，得到了整體的安全防護(hù)體系和各個業(yè)務(wù)系統(tǒng)自身的安全防護(hù)體系，為進(jìn)一步管理整合后的安全域做好了準(zhǔn)備。

事例圖

基于安全域劃分的最佳實(shí)踐，該運(yùn)營商的業(yè)務(wù)支撐系統(tǒng)（BSS）、企業(yè)信息系統(tǒng)（MSS）和網(wǎng)管系統(tǒng)（OSS）被分別劃入不同的安全域，再根據(jù)每個安全域內(nèi)部的特定安全需求進(jìn)一步劃分安全子域，包括：核心交換區(qū)、核心生產(chǎn)區(qū)、日常辦公區(qū)、管理服務(wù)區(qū)、接口區(qū)、內(nèi)部系統(tǒng)互聯(lián)網(wǎng)區(qū)、外部系統(tǒng)互聯(lián)區(qū)。