【IT168 信息化】

    近年来，很多烟草企业已然建成了一个规模庞大的信息系统，这样一个巨大、复杂的信息系统面临着各种安全威胁，如黑客、病毒、非法的合作伙伴等，如何确保信息系统的安全是烟草企业IT人员必须认真考虑的问题。

    为了对大型信息系统进行安全保护，笔者认为，可以针对系统内部的不同业务区域进行划分，然后根据需求采用切实的防护措施。基于这个思路，笔者提出“化整为零，化繁为简，形成多个网络安全区域”，目的是把一个大规模复杂系统的安全问题转化为多个小区域的安全保护问题，这是实现大规模复杂信息系统安全保护的有效方法。

    划分网络安全域

    网络安全域是指同一系统内有相同的安全保护需求、相互信任，并具有相同的安全访问控制和边界控制策略的网络，相同的网络安全域共享一样的安全策略。广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。

    划分好网络安全域是做好企业信息系统安全防卫工作的基础。通过安全域划分可以明确网络边界，形成清晰、简洁、稳定的组网架构，实现系统之间严格的访问控制的安全互联，解决复杂系统的安全问题，有效地实现网络之间和各支撑系统之间的有效隔离和访问控制，达到化繁为简、尽在掌控的目的。安全域的划分还增强了网络的可控性，可以有效地防止渗透式等攻击。

    安全域的划分有多种依据，比如可以根据组织的最明显特征进行划分，安全域还可以是分层次的，一般越大型、管理层次越多的网络，其安全域层次越多，而对于扁平化管理模式的机构，其层次应该少一些。另外，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主、辅以安全角度，并充分参照现有网络结构和管理现状，唯其如此，才能以较小的代价完成安全域划分和网络梳理，同时又能保障其安全性。

    在初步划分网络安全域后，还可以在网络安全域内划分更细、更小的安全域，如可以划分为核心处理域、访问域、内部用户域、外部用户域、接入域等。

    完成网络安全域划分后的下一个工作是进行区域内安全防卫系统的建设。这里有一些基本原则需要把握: 一个是对任何网络，绝对安全是难以达到的，也不一定必要，所以需要建立合理的实用安全性，以达到用户需求与成本之间的平衡; 另一个是要统筹规划、分步实施，安全防护不可能一步到位，应在一个比较全面的安全规划下，根据网络的实际需要，优先保证基本的、必须的安全性。

    有了这些措施并在划分好网络安全域的基础上，才能做好计算机病毒防范、防入侵这两个方面的工作。