1. 什么是安全域

安全域是指在IT系统中，将那些具有相似安全需求、相互信任、相互依赖或相互影响的组件归为一组。这些组件在安全域内遵循统一的访问控制和边界保护措施。安全域主要可以分为四种基本的逻辑区域：用户域、计算域、支撑域和网络域。简而言之，安全域是一种将IT系统中的元素根据安全需求进行分类管理的方法，以确保每个区域内的元素都受到相同级别的保护。

2. 安全域实施参考标准

《网上银行系统信息安全通用规范》

《金融行业信息系统信息安全等级保护实施指引》

《信息科技非现场监管报表模板》

《商业银行信息科技风险管理指引》·

《商业银行数据中心监管指引》

《TC260-N0015信息系统安全技术要求》

《信息保障技术框架（Information Assurance Technical Framework，IATF）》

3. 设计方法

一系统、二架构、三整合

3.1. 按照粗颗粒度业务系统维度划分

按照业务系统的不同，首先将不同的业务系统进行拆分。

3.2. 按照细颗粒度应用架构维度划分

按照应用系统的技术架构分为计算域、用户域、支撑域和网络域。

3.2.1. 计算域

应用结构中每部分提供的功能/服务、访问策略和数据处理活动不同，所以可将计算域细分为接入计算域、应用计算域和数据计算域。

应用系统的架构一般可分为Browser（浏览器）》WEB（前端应用）》DB（后端数据库）

3.2.1.1. 接入计算域

大型企业的接入域的方式有多种方式，同时也是边界防御的重点。一般包括如下分类：

（1）互联网接入区：只要有互联网则都归属到此区域，包括生产互联网接入、第三方互联网接入、办公互联网接入，基本没有做用户的访问控制，大量用户都可以访问到，主要依靠异常使用模型进行访问，不可控。

（2）VPN接入区：通过MPLS或者专业VPN的方式都归属此区域，主要是远程办公和运维使用，使用环境较为复杂，不可控，以权限划分为主要控制手段。

（3）广域网接入区：分支和总部之间的网络接入，大多时候是点对点的网络，使用环境相对安全，主要采取防火墙区域隔离即可；

（4）第三方专线接入区：采取单独的网络专线接入，大多数时候和广域网接入比较相近，安全性相对较高，一般采取防火墙区域隔离即可；

（5）开发测试互联网接入区：采取固定终端/IP地址接入，安全性高，主要是人员实名制，对人员、设备等进行监控，目的是让数据无法被带出；

3.2.1.2. 应用计算域

WEB前端应用所处的位置，访问控制的较重点，对下DB数据库的访问需要重点监控；

3.2.1.3. 数据计算域

DB数据库所处的位置，访问控制的重点，其访问控制策略需要严格控制；

3.2.2. 用户域