关于安全域的划分与风险管理

       安全域实质是若干个具有相同安全级别的资产或信息系统的集合，传统的防火墙是按照安全域进行安全策略的配置，接口对应的安全域就是我们此次讨论的话题。

       为什么要划分安全域，本质还是为了实现风险管理和资产管理，类似集合一样，我们把Z当作整数的集合，N+表示正整数的集合。安全域和集合类似，安全域的划分根据多年的实践经验，可以做一下分类。

       基于网络地址分类，这种安全域可以理解成为按照不同的网段或VLAN进行分类，这个分类是最典型、最传统的安全域划分方法，早期的防火墙安全策略使用的就是这种方式。

        基于业务类型进行安全域的划分，这种划分适用中小型企事业单位，这种一般会划分未内网安全域、外网安全域、DMZ安全域。这种场景的业务重要性往往远远大于安全性，主要还是基于合法合规的要求来做。这种安全域划分的方式由于基于网段的方式，但是划分粒度依然较粗，安全域范围划分过大，对安全事件的管理也更加复杂。

       基于业务系统重要性程度进行安全域划分，这种颗粒型的划分，主要应用于大型企业或者是对安全要求极为苛刻的企事业单位，例如金融、电力等企业。

      基于业务系统重要性程度进行安全域划分实质就是风险管理，对不同的安全域基于资产或者业务系统重要性程度制定严格的MAC访问控制策略，可以最大限度地降低风险，我们知道企业有敏感的数据库信息，我们可以将数据库或者是重要信息系统的备份信息划入单独的安全域，而不是