目前网络安全域划分有哪些基本方法

目前网络安全域划分有以下三种基本方法：

• 按照业务系统来划分：这种方法依据业务系统的分类来区分支持不同业务系统的网络区域，从而把网络划分成不同的网络安全域。如承载办公系统的办公网、生产系统的生产网、管理系统的管理网等等。这种划分方法自然简单，对现有系统改动最小，最容易实施。但由于类似的业务系统都面对相同的安全威胁，需要采用同样的防护手段，防护复杂而且技术投人必然重复，增加了网络安全系统的建设成本。

• 按照防护等级来划分：这种方法依据网络中信息资产的价值划分不同的防护等级，相同等级构成相同的网络安全域。这种划分方法中每个等级的安全域的安全防护要求是一致的，防护手段是统一的，不同等级的安全域采用不同的安全手段，有效地减少了重复投资，同时也体现了安全纵深防御的思想。但是由于按安全等级形成的网络区域与按业务特性形成的网络区域有较大的差别，对已有系统重新调整整合的难度会很大，可能会影响业务系统的正常运营和性能。因此这种方法比较适合新建业务系统的网络安全区域规划和划分。

• 按照系统行为来划分：这种方法按照信息系统的不同行为和需求来划分相应网络安全域，并根据信息系统的等级和特点选择相应的防护手段。这种方法由于从业务系统现状出发，充分考虑了承载业务系统的信息系统的行大和外部威胁，能够设计出比按业务系统划分方法更为细致的网络安全域，同时又可以避免业务系统大规模调整，而且也兼顾到了防护等级，是国际上常见的安全域划分方法。但由于要对每一个承载业务的信息系统都要进行系统行为的分析，对于信息系统繁多的大型企业，划分工作量较大，安全区域太细也影响了安全投人的经济性。尽管如此，按照系统行为划分安全域的方法仍然是国际上常见的方法。例如美国国家安全局的IATF(信息保障技术框架)就建议采用按系统行为的方法来划分网络安全域。IATF据此将每个信息系统划分为4个安全域:边界接人域、计算环境域、网络基础设施域、支撑设施域。IATF的方法论是基于同构性简化的方法。同构性简化是将复杂的环境归结成一个或者几个简单单元的组合。其基本思路是认为一个复杂的网络应当由一些相通的网络结构单元拼接、递归所组成，而IATF是通过对网络系统所承载的信息系统的数据处理行为分析出这些单元的。