运用动态安全域保护企业网的方法

面临巨大工作量和智力挑战。某大型企业集团早在2005年就开始实施安全域，但随着上述情况的出现，安全域边界不断变化，其安全域逐步变化成为30多个，子域多达上百个，其核心交换机上的ACL就达1000余条，矩阵分离表的逻辑性也逐渐完全不可读，最终导致其安全域划分的失败。

安全域的核心就是通过一系列的规则控制，达到特定网络群组按照指定规则访问指定群组的关系，其组群需要具有相同的安全访问控制和边界控制策略的子网或网络。传统模型较为容易在集中部署的单一结构中实现，其组群成员的权责变化一般也需要对相应规则做调整。假定将组群成员动态的变化和子域调整与子网划分动态结合，就可以实现基于传统复杂安全域结构上的动态调整，从而实现基于传统安全域基础上的动态安全域的模型结构。

在基于动态安全域的访问控制体系下，用户接入网络、访问网络资源的步骤如下：

•第0步：用户接入网络，直接访问安全域失败，因为强制器没有通知接入交换机打开网络端口，默认用户访问隔离域A，做身份申请;

•第1步：用户身份认证成功，强制器打开接入端口，做安全合规性检测，默认访问隔离域B，做安全合规性完善;

•第2步：合规性检查通过，用户从隔离域B中划出到公共访问域;

•第3步：用户身份信息传送给安全域管理服务器，安全域管理服务器访问服务域控制器，服务域控制器从人力资源数据库权责矩阵同步列表中生成用户安全域列表，并通知用户;

•第4步：用户选择登录其要访问的服务，安全域控制器根据安全域列表，通知网管控制域服务器，网管控制器通知网络交换域;

•第5步：网络交换域生成控制列表，生成VLAN及VCL组合，通知交换设备，生成访问域控制隔离通道;

•第6步：服务控制服务器通过交换域，通知相应安全域做对应权责匹配;

•第7步：用户访问所需安全域的服务;

•第8步：当用户退出安全域后，安全域管理服务器将下发给交换用户的VLAN及ACL撤销。同时，如果在线探测模块探测到用户下线或者用户进行危险性违规性操作或IP-MAC发生改变的时候，也会通知交换域撤销其为此身份下发的IP、VLAN及ACL，进行隔离;如果在线探测模块探测到用户进行攻击性或高危破坏性操作，通知交换域撤销其为此身份下发的IP、VLAN及ACL，并同时关闭端口避免入侵破坏。

安全域是基于网络和系统进行安全检查和评估的基础，安全域的划分是企业网络抗渗透的有效防护方式，安全域边界是灾难发生时的抑制点，同时安全域也是基于网络和系统进行安全建设的部署依据。动态安全域在传统安全域常规手段的基础上，将网络成员权责与安全子域和子网划分动态结合，同时将网络动态接入和用户权责矩阵有机结合，成为大型或超大型企业网络的有效管控手段。当然，上述安全域管理系统也有需要改进的部分，如网络设备的动态管控。由于网络设备厂商的多样化导致命令处理十分复杂，此模型对网络设备具有较高要求，并需要网络设备一致性或大量针对性网络控制的二次开发，同时面临构架复杂、实施周期长、成本较高等难题，主要原因是现如今还没有这方面的业界或企业标准。不过随着网络安全的进一步发展，这方面问题有望得到改善。