机器人|什么是网络安全等级保护( 三 ) 赛格威

3.3.4 安全域划分的隔离措施
安全域进行划分后主要采用边界隔离、边界访问控制等技术手段，将不同安全域的网络依据不同安全策略，实施必要的安全技术措施。
VLAN逻辑隔离是在同一台交换机内，建立不同的VLAN ，承载不同的安全域。此方法对于现有网络支持较好，易于实施，但网络安全风险较大。
IP逻辑隔离是在VLAN逻辑隔离的基础上，不同安全域使用不同IP子网地址，实现数据链路层隔离和网络层隔离。此方式对现有网络改动较大，网络安全风险一般。
物理隔离是不同安全域完全使用单独网络基础设施，包括网线、交换机、路由器等设备，并且相互间没有任何逻辑或物理连接。此方式投资相对较大，对现有网络改动很大，但网络安全风险最小。
3.3.5 安全域划分后的安全技术措施
安全域划分最主要的目的是落实安全策略，由于安全域边界通常是基于网络划分，所以通常的方式是，在管理层面根据安全策略制定制度和要求，技术层面通过部署安全设备，使用相应的安全技术，实现安全域划分后的安全要求。

3.3.6 安全域划分示例
某运营者根据安全域划分的原则和一般划分方式，将本单位的安全域做出如下表的等级划分：

3.4 确定各安全域的保护强度根据等级保护对象的定级情况和安全域划分情况，分别确定各安全域的防护强度。例如：

——某运营者划分了“核心域”用来统一部署核心的业务系统，核心的业务系统的保护等级被定为三级，则“核心域”确定按照第三级保护等级要求设计防护强度。

3.5 设计安全技术体系运营者在实现安全域合理划分、确定各安全域的保护强度的基础上，进行等级保护安全技术体系设计。
3.5.1 安全技术体系架构设计
由于不同运营者的具体目标不同、使用技术不同、应用场景不同等因素，等级保护对象会以不同的形态出现，表现形式可能称之为基础信息网络、信息系统（包括采用移动互联等技术的系统），云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。
由于形态不同的等级保护对象面临的威胁有所不同，安全保护需求也有所差异，为了便于描述实现对不同网络安全保护级别和不同形态的等级保护对象的共性化和个性化保护，基于通用和特定应用场景说明等级保护安全技术体系设计。其中：
（1）通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保护需求提出。等级保护对象无论以何种形式出现，都应根据安全保护等级，实现相应级别的安全技术要求。
（2）特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出，针对特定应用场景，实现相应网络安全保护级别的安全技术要求。
安全技术体系架构由从外到内的纵深防御体系构成。纵深防御体系根据等级保护的体系框架设计。

其中：
（1）“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏；
（2）“通信网络安全防护”保护暴露于外部的通信线路和通信设备；
（3）“网络边界安全防护”对等级保护对象实施边界安全防护，内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域，低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则；
（4）“计算环境安全防护”即内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护” 。