1.安全域划分

安全域是由安全保护对象中安全计算环境和安全区域边界的综合组成，根据安全域的描述可以把保护对象进行进一步的划分，同时使整个网络逻辑结构清晰。

安全域可以根据其更细粒度的防护策略，进一步划分成安全子域，其关键是能够区分防护重点，形成重要资源重点保护的策略。

安全域的理论和方法所遵循的根本原则：

• 业务保障原则：

安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。

• 适度安全原则：

在安全域划分时会面临有些业务紧密相连，但是根据安全要求（信息密级要求，访问应用要求等）又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够），从而给出合适的安全域划分。

• 结构简化原则：

安全域方法的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。

• 等级保护原则：

安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级安全环境安全策略等。

• 立体协防原则：

安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路网络主机系统应用等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防。

• 生命周期原则：

对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。

内外网整体的安全域划分如下：

 

• 内网安全域划分

 

（1）专网接入及核心交换区

包含核心交换机和安全设备，对网络信息系统起数据通讯支撑作用，向上连接后宰门专网，负责内部网络与后宰门的数据交互；向内连接各个业务服务区（数据中心）、安全管理区、终端接入区、分支接入区等，主要负责这各区域间的通信。这样部署提高了网络通讯新能，增加网络可靠性和安全性，为今后网络信息系统扩展提供了一个基础网络平台。

（2）数据中心服务器区及容灾备份区

包含防火墙和应用服务器，向外与专网其他单位有通信，直接连接专网接入区的边界设备，向内与安全管理区有通信。这样调整增加了服务器区网络的稳定性同时具备更好的扩容能力。

（3）安全管理区

包含堡垒机、态势感知分析系统、日志收集与分析系统等设备，与内网所有的区域都有通信，连接核心网络区。

（4）终端接入区

包含楼层接入交换机、准入系统，与安全管理区、分支接入区、数据中心服务区有通信，连接专网接入核心交换区。

（5）流量镜像区

负责接收交换机镜像的网络流量进行还原和检测，并发给安全管理区进行分析。

（6）分支接入区

向外连接医保、新农合、第三方外联，与专网核心区进行数据共享交换，可供用户直接访问，通过两套网闸与内部应用逻辑隔离和防火墙，分由外向内导入和由内向外导出，连接核心交换区。

（7）内、外网安全隔离区

内、外网进行数据共享交换，可供内、外王用户访问，通过两套网闸与内部应用逻辑隔离和数据安全交换平台组成，分由外向内导入和由内向外导出，连接核心交换区。

• 外网安全域划分

 

（1）安全管理区

包含服务器安全管理系统、终端安全管理系统、日志收集与分析系统等，与外网所有的区域都有通信，连接核心网络区。

（2）终端接入区

包含楼层接入交换机、准入系统，与安全管理区、外网核心区、外网服务器区，连接外网核心交换区。

（3）外网服务器区

包含WEB应用防护和对外Internet提供业务的应用服务器，负责网络信息系统对Internet移动用户的接入。

（4）外网接入及核心交换区

包含核心交换机和安全设备，对网络信息系统起数据通讯支撑作用，向上连接Internet，向内连接各个外网服务区、安全管理区、终端接入区等，主负责这各区域间的通信。这样部署提高了网络通讯新能，增加网络可靠性和安全性，为今后网络信息系统扩展提供了一个基础网络平台。

（5）内、外网安全隔离区

内、外网进行数据共享交换，可供内、外王用户访问，通过两套网闸与内部应用逻辑隔离和数据安全交换平台组成，分由外向内导入和由内向外导出，连接核心交换区。