應用安全域解決方案

 銳捷網絡推出的應用安全域解決方案，基于可信網絡思想，確保接入網絡的用戶、終端安全可控；同時，可基于部門、業務類型、系統安全級別等多維度靈活地劃分安全域并落實差異化的安全策略，限制用戶在同一時刻的訪問被限定在同一個安全域中，很好地提升了網絡的安全性。

該方案很好地融合了國家信息安全等級保護的安全要求，為用戶構建整體的安全保障體系，目前已經在部委和各級政府單位得到了廣泛應用。

·業務挑戰

落實信息安全等級保護，已經成為我國政府強化信息安全的最重要手段。安全域的劃分，則為等保各項安全措施要求的落地提供了載體。

傳統的安全域依照IT資源的屬性構建，例如服務器區、終端區、管理區等，然后在區域的邊界部署安全防御設備。這在一定程度上保護了系統的安全，但也會帶來以下的一些問題：

1. 目前對用戶身份的識別和授權主要依靠PKI（Public Key Infrastructure，公鑰基礎設施）體系來完成，用戶通過CA證書識別身份后，再配合以應用系統的授權。由于網絡可達，如果網絡中的終端惡意對目標服務器發起暴力攻擊，則會很大程度影響服務器的安全性；

2. 存在著信息交叉的安全風險，如內部終端可以同時訪問多臺服務器或多個安全域，一旦被植入木馬，就會成為攻擊內部信息系統的理想跳板；

3. 以服務器區舉例，在一個安全域內，沒有考慮不同服務器之間的安全性差異，不同服務器之間的互通缺乏安全控制手段；

4. 對于劃分的多個安全區域，均需要部署相應的安全設備，沒有辦法整合，帶來極大的投資浪費。

·解決方案特點

應用安全域解決方案，可以基于應用的屬性（如部門、業務類型、安全級別）在網絡的邏輯邊界靈活地劃分安全域，并將應用授權和網絡授權融合，將網絡與安全策略融合，將靜態的安全策略和用戶動態的訪問需求融合，很好地提升了各類信息系統整體的安全性。

在完成安全域劃分之后，該方案的“三個融合”設計思路如下：

應用授權和網絡授權融合：

用戶身份需進行網絡層的認證。可以與CA系統聯動做統一認證，使用更方便。 

終端必須被認為是安全的（可依據終端上安裝運行的程序、注冊表、軟件進程等來判定），才允許接入網絡。
將用戶和終端進行綁定。對其可訪問的網絡資源，進行全局范圍的定義，禁止用戶對沒有權限的目標服務器網絡可達。

網絡和安全策略融合：

應用安全域的邊界劃分在網絡的邏輯邊界，通過集成的防火墻模塊和訪問控制列表，在網絡的邊界（可以延伸到每臺服務器所連接的網絡端口）部署安全策略。

實現任何不同屬性的服務器之間的互通，都能夠安全可控。

網絡和安全策略的融合，在保障安全的同時，可以極大程度減少安全設備的數量，節約設備投資和能耗。

靜態的安全策略和用戶動態的訪問需求融合：

可依據用戶動態的訪問需求匹配和調整用戶所具備的靜態安全策略，從而限定用戶終端在同一時間段只能訪問某一個安全域。例如，用戶在訪問互聯網時，不能訪問其他的安全域資源；若訪問其他的安全域，則從邏輯上斷開和互聯網的連接。

通過這種融合，即使用戶終端被植入木馬，在訪問服務器資源時也不會被外界控制，從而降低網絡中的敏感信息泄漏概率。

·客戶收益

銳捷網絡推出的應用安全域解決方案，剖析了傳統安全域邊界隔離方案中存在的問題，并對這些問題進行了解決或改進，使得信息系統更安全更穩固；同時也為信息系統等級保護網絡安全方面如何具體的實施，提出了切實、可靠、符合標準的建議。