应用安全域解决方案

 锐捷网络推出的应用安全域解决方案，基于可信网络思想，确保接入网络的用户、终端安全可控；同时，可基于部门、业务类型、系统安全级别等多维度灵活地划分安全域并落实差异化的安全策略，限制用户在同一时刻的访问被限定在同一个安全域中，很好地提升了网络的安全性。

该方案很好地融合了国家信息安全等级保护的安全要求，为用户构建整体的安全保障体系，目前已经在部委和各级政府单位得到了广泛应用。

·业务挑战

落实信息安全等级保护，已经成为我国政府强化信息安全的最重要手段。安全域的划分，则为等保各项安全措施要求的落地提供了载体。

传统的安全域依照IT资源的属性构建，例如服务器区、终端区、管理区等，然后在区域的边界部署安全防御设备。这在一定程度上保护了系统的安全，但也会带来以下的一些问题：

1. 目前对用户身份的识别和授权主要依靠PKI（Public Key Infrastructure，公钥基础设施）体系来完成，用户通过CA证书识别身份后，再配合以应用系统的授权。由于网络可达，如果网络中的终端恶意对目标服务器发起暴力攻击，则会很大程度影响服务器的安全性；

2. 存在着信息交叉的安全风险，如内部终端可以同时访问多台服务器或多个安全域，一旦被植入木马，就会成为攻击内部信息系统的理想跳板；

3. 以服务器区举例，在一个安全域内，没有考虑不同服务器之间的安全性差异，不同服务器之间的互通缺乏安全控制手段；

4. 对于划分的多个安全区域，均需要部署相应的安全设备，没有办法整合，带来极大的投资浪费。

·解决方案特点

应用安全域解决方案，可以基于应用的属性（如部门、业务类型、安全级别）在网络的逻辑边界灵活地划分安全域，并将应用授权和网络授权融合，将网络与安全策略融合，将静态的安全策略和用户动态的访问需求融合，很好地提升了各类信息系统整体的安全性。

在完成安全域划分之后，该方案的“三个融合”设计思路如下：

应用授权和网络授权融合：

用户身份需进行网络层的认证。可以与CA系统联动做统一认证，使用更方便。 

终端必须被认为是安全的（可依据终端上安装运行的程序、注册表、软件进程等来判定），才允许接入网络。
将用户和终端进行绑定。对其可访问的网络资源，进行全局范围的定义，禁止用户对没有权限的目标服务器网络可达。

网络和安全策略融合：

应用安全域的边界划分在网络的逻辑边界，通过集成的防火墙模块和访问控制列表，在网络的边界（可以延伸到每台服务器所连接的网络端口）部署安全策略。

实现任何不同属性的服务器之间的互通，都能够安全可控。

网络和安全策略的融合，在保障安全的同时，可以极大程度减少安全设备的数量，节约设备投资和能耗。

静态的安全策略和用户动态的访问需求融合：

可依据用户动态的访问需求匹配和调整用户所具备的静态安全策略，从而限定用户终端在同一时间段只能访问某一个安全域。例如，用户在访问互联网时，不能访问其他的安全域资源；若访问其他的安全域，则从逻辑上断开和互联网的连接。

通过这种融合，即使用户终端被植入木马，在访问服务器资源时也不会被外界控制，从而降低网络中的敏感信息泄漏概率。

·客户收益

锐捷网络推出的应用安全域解决方案，剖析了传统安全域边界隔离方案中存在的问题，并对这些问题进行了解决或改进，使得信息系统更安全更稳固；同时也为信息系统等级保护网络安全方面如何具体的实施，提出了切实、可靠、符合标准的建议。