動態安全域助力大型企業

　　基于傳統安全域的訪問控制體系模型是企業網在發展過程中形成的通用模式，在中小型企業、業務專業性較強和地域分布不廣的大中型企業中都有很好的實現。但在業務高度復雜、地域高度分散且地域及業務均呈交叉狀、人員眾多的大型或超大型企業集團中，信息系統廣泛采用分布式或集中分布式部署，傳統的安全域模型結構也被大量復制，其總部結構和分支機構安全域模型交叉，隨著人員業務變化性的增強和企業重組或業務快速膨脹，承載網和業務網邊界日益模糊，訪問管理模型也隨之日益復雜，安全域或安全子域的變化頻繁，ACL控制或基礎安全策略日益膨脹，隨之帶來的管控復雜性使網絡管理員面臨巨大工作量和智力挑戰。某大型企業集團早在2005年就開始實施安全域，但隨著上述情況的出現，安全域邊界不斷變化，其安全域逐步變化成為30多個，子域多達上百個，其核心交換機上的ACL就達1000余條，矩陣分離表的邏輯性也逐漸完全不可讀，最終導致其安全域劃分的失敗。

　　安全域的核心就是通過一系列的規則控制，達到特定網絡群組按照指定規則訪問指定群組的關系，其組群需要具有相同的安全訪問控制和邊界控制策略的子網或網絡。傳統模型較為容易在集中部署的單一結構中實現，其組群成員的權責變化一般也需要對相應規則做調整。假定將組群成員動態的變化和子域調整與子網劃分動態結合，就可以實現基于傳統復雜安全域結構上的動態調整，從而實現基于傳統安全域基礎上的動態安全域的模型結構。

　　在基于動態安全域的訪問控制體系下，用戶接入網絡、訪問網絡資源的步驟如下：

　　•第0步：用戶接入網絡，直接訪問安全域失敗，因為強制器沒有通知接入交換機打開網絡端口，默認用戶訪問隔離域A，做身份申請;

　　•第1步：用戶身份認證成功，強制器打開接入端口，做安全合規性檢測，默認訪問隔離域B，做安全合規性完善;

　　•第2步：合規性檢查通過，用戶從隔離域B中劃出到公共訪問域;

　　•第3步：用戶身份信息傳送給安全域管理服務器，安全域管理服務器訪問服務域控制器，服務域控制器從人力資源數據庫權責矩陣同步列表中生成用戶安全域列表，并通知用戶;

　　•第4步：用戶選擇登錄其要訪問的服務，安全域控制器根據安全域列表，通知網管控制域服務器，網管控制器通知網絡交換域;

　　•第5步：網絡交換域生成控制列表，生成VLAN及VCL組合，通知交換設備，生成訪問域控制隔離通道;

　　•第6步：服務控制服務器通過交換域，通知相應安全域做對應權責匹配;

　　•第7步：用戶訪問所需安全域的服務;

　　•第8步：當用戶退出安全域后，安全域管理服務器將下發給交換用戶的VLAN及ACL撤銷。同時，如果在線探測模塊探測到用戶下線或者用戶進行危險性違規性操作或IP-MAC發生改變的時候，也會通知交換域撤銷其為此身份下發的IP、VLAN及ACL，進行隔離;如果在線探測模塊探測到用戶進行攻擊性或高危破壞性操作，通知交換域撤銷其為此身份下發的IP、VLAN及ACL，并同時關閉端口避免入侵破壞。

　　安全域是基于網絡和系統進行安全檢查和評估的基礎，安全域的劃分是企業網絡抗滲透的有效防護方式，安全域邊界是災難發生時的抑制點，同時安全域也是基于網絡和系統進行安全建設的部署依據。動態安全域在傳統安全域常規手段的基礎上，將網絡成員權責與安全子域和子網劃分動態結合，同時將網絡動態接入和用戶權責矩陣有機結合，成為大型或超大型企業網絡的有效管控手段。當然，上述安全域管理系統也有需要改進的部分，如網絡設備的動態管控。由于網絡設備廠商的多樣化導致命令處理十分復雜，此模型對網絡設備具有較高要求，并需要網絡設備一致性或大量針對性網絡控制的二次開發，同時面臨構架復雜、實施周期長、成本較高等難題，主要原因是現如今還沒有這方面的業界或企業標準。不過隨著網絡安全的進一步發展，這方面問題有望得到改善。