数据中心安全域细分模型及互访原则

　　安全服务域细分为关键业务、综合业务、公共服务和开发测试等4个子域;安全互联域细分为局域网互联、广域网互联、外部网互联、因特网互联4个子域。

　　一、安全服务域划分

　　①等保三级的业务系统服务器划入关键业务子域，例如，财务管理系统。

　　②SAN集中存储系统划入关键业务子域，并在SAN存储设备上单独划分出物理/逻辑存储区域，分别对应关键业务子域、综合业务子域、公共服务子域、开发测试子域中的存储的空间。

　　③等保末达到三级的业务系统服务器划入综合业务子域，例如，人力资源、网站系统、邮件系统等业务系统服务器。

　　④提供网络基础服务的非业务系统服务器划入公共服务子域，例如，DNS服务器、Windows域服务器等。

　　⑤用于开发和测试的服务器划分入开发测试子域。

　　2.有线接入域划分。所有有线用户终端及有线网络接入基础设施划入有线接入域。

　　3.无线接入域划分。所有无线用户终端和无线集线器、无线访问节点、无线网桥、无线网卡等无线接入基础设施划入无线接入域。

　　4.安全支撑域划分。各类安全产品的管理平台、监控中心、维护终端和服务器划入安全支撑域。

　　5.安全互联域划分。

　　①局域网核心层、汇聚层互联设备和链路划入局域网互联子域。

　　②自主管理的综合数字网接入链路和接入设备，包含网络设备、安全设备和前端服务器划入广域网互联子域。

　　③自主管理的第三方合作伙伴网络接入链路和接入设备，包含网络设备、安全设备和前端服务器划入外部网互联子域。

　　④自主管理的因特网接入链路和接人设备，包含网络设备、安全设备和前端服务器划入因特网互联子域。

　　二、安全域互访原则

　　1.安全服务域、安全支撑域、有线接入域、无线接入域之间的互访必须经过安全互联域，不允许直接连接。

　　2.关键业务子域、综合业务子域、公共服务子域、开发测试子与之间的互访必须经过安全互联域，不允许百接连接。

　　3.广域网互联子域、外部网互联子域、因特网互联子域和其他安全域或子域之间的互访必须经过安全互联域，不允许直接连接。

　　4.广域网互联子域、外部网互联子域、因特网互联子域之间的互访必须经过安全互联域，不允许直接连接。

　　同一安全子域，如关键业务子域、综合业务子域、基础业务子域、公共服务子域、开发测试子域内部的不同系统之间应采用VI-AN进行隔离，VLAN间的路由应设置在核心或汇聚层设备上，不允许通过接人层交换机进行路由。

声明：本文转载自IT专家网