中国移动数据业务系统安全域划分边界整合及安全防护技术要求v3.0_第1页
中国移动数据业务系统安全域划分边界整合及安全防护技术要求v3.0_第2页
中国移动数据业务系统安全域划分边界整合及安全防护技术要求v3.0_第3页
中国移动数据业务系统安全域划分边界整合及安全防护技术要求v3.0_第4页
中国移动数据业务系统安全域划分边界整合及安全防护技术要求v3.0_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

TechnicalTechnical SpecificationSpecification ofof SecuritySecurity DomainDomain andand BoundaryBoundary ConvergenceConvergence forfor DataData ServiceService SystemsSystems 中 国 移 动 通 信 企 业 标 准 XX-X-XXXX-XXXXXX-X-XXXX-XXXX 中国移动数据业务系统中国移动数据业务系统 安全域划分边界整合及安全防护技术要求安全域划分边界整合及安全防护技术要求 版 本 号 :1 1. .0 0. .0 0 中国移动通信有限公司中国移动通信有限公司 发布发布 X XX XX XX X- -X XX X- -X XX X 发发布布X XX XX XX X- -X XX X- -X XX X 实实施施 目 录 前前 言言1 1适用范围适用范围 2 2引用标准与依据引用标准与依据 2 3相关术语与缩略语相关术语与缩略语 3 4综述综述 4 5数据业务系统安全域划分数据业务系统安全域划分 5 5.1安全域划分的原则.5 5.2数据业务系统的主要安全域.6 5.2.1数据业务系统组网的基本架构6 5.2.2安全域划分方法6 6数据业务系统边界整合数据业务系统边界整合 8 6.1边界整合的原则.9 6.2具备单一传输出口的边界整合.9 6.3具备多个传输出口的边界整合.9 6.4整合后相同安全域内的各安全子域之间的访问控制.10 7数据业务系统的安全防护数据业务系统的安全防护 10 7.1数据业务系统安全防护原则.10 7.2数据业务系统安全域边界互联防护要求.11 7.2.1数据业务系统之间互联安全要求11 7.2.2数据业务系统与支撑系统之间互联安全要求11 7.2.3数据业务系统与互联网之间互联安全要求11 7.2.4数据业务系统与第三方系统互联的安全要求12 7.2.5数据业务系统的维护互联安全要求12 7.2.6数据业务系统内部不同安全区域之间互联安全要求13 7.3数据业务系统的安全防护.13 7.3.1设备自身安全功能和配置13 7.3.2防火墙等基础安全技术防护手段的部署14 7.3.3数据业务系统应用安全防护16 7.3.4安全域边界的安全管理17 8数据业务系统安全域划分和边界整合分阶段实施建议数据业务系统安全域划分和边界整合分阶段实施建议 17 9编制历史编制历史 17 XX-X-XXX-XXXX 0 前前 言言 本要求针对目前数据业务系统日益复杂、安全防护要求不断提高的现状,按照等级保护 和集中化要求,明确对数据业务系统整体实施安全域划分和边界整合的基本原则,并以为此 基础,进一步提出了数据业务系统安全防护的基本要求,特别是防火墙等7类通用安全防护 技术手段的部署基本原则。 本要求所指的数据业务系统为采用IT设备完成主要业务功能,特别是与互联网存在接口 的业务系统,如WAP网关、彩信,短信网关,彩铃系统,MISC、通用下载平台等。 数据业务系统内部主要划分为核心生产区、互联网接口区、内部互联接口区和核心交换 区等安全子域。在针对独立系统划分安全域的基础上,按照传输节点(如同局址或具有同一 传输出口的不同局址),整合不同数据业务系统的同类安全域,减少防护边界,并进一步统 一规划整合数据业务系统和互联网的接口。 规范明确要求除超级终端外,各类终端必须通过网络安全管控平台由经内部互联接口区 接入维护数据业务系统。 规范进一步明确了在数据业务系统部署防火墙、入侵检测系统、防病毒系统、异常流量 检测和过滤系统、综合维护接入网关、账号口令管理和日志审计等安全手段的基本原则。其 中,综合维护接入网关、账号口令管理和日志审计为网络安全管控平台的功能模块。 本要求可作为在数据业务系统在规划、开发、建设以及维护各阶段组网和实施安全防护 工作的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。 本标准主要包括以下3个方面内容: 1、数据业务系统安全域划分; 2、数据业务系统边界整合 3、数据业务系统的安全防护。 本标准由中移 号文件印发。 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准归口部门负责解释。 本标准起草单位: 本标准主要起草人: 1 1适用范围适用范围 本要求所指数据业务系统为采用 IT 设备完成主要业务功能且和互联网存在接口的业务系统,如 WAP 网关、彩信,短信网关,彩铃系统,MISC、通用下载平台等。 本要求主要从技术方面规范了数据业务系统的安全域划分、边界整合以及安全防护工作。 本要求作为中国移动通信有限公司、各省公司在数据业务系统规划、开发、建设以及维护各阶段组 网和实施安全防护工作的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行” 。 2引用标准与依据引用标准与依据 (1)计算机信息系统安全保护等级划分准则(GB 17859 号文)。 (2)电信网和互联网安全防护管理指南(YD/T 1728-2008) (3)电信网和互联网安全等级保护实施指南(YD/T 1729-2008) (4)互联网安全防护要求(YD/T 1736-2008) (5)互联网安全防护检测要求(YD/T 1737-2008) (6)增值业务网消息网安全防护要求(YD/T 1738-2008) (7)增值业务网消息网安全防护检测要求(YD/T 1739-2008) (8)中国移动设备通用安全功能和配置规范等设备安全功能和配置系列规范(网通 2007 762 号、网通 2007 782 号、网通 2007 783 号、网通 2008 39 号) (9)中国移动综合维护接入网关功能与技术规范() (10)中国移动账号集中管理系统功能与技术规范 (11)中国移动日志集中管理与审计系统功能与技术规范 (12)中国移动防火墙部署总体技术要求(QB-W-001-2008 中移有限网 2008 27 号) (13)中国移动支撑系统安全域划分与边界整合技术要求 (14)中国移动支撑系统与互联网集中出口安全防护体系技术规范 (15)中国移动网络互联安全管理办法(网通 2008 254 号) (16)中国移动安全域管理办法(网通 2008 272 号) (17)中国移动远程接入安全管理办法(网通 2008 255 号) (18)中国移动账号口令管理办法(网通 2008 165 号) (19)关于近期网络与信息安全工作安排的通知,中国移动通信有限公司网络部,移网通 【2004】68 号。 (20) 关于加强信息安全保障工作的意见,国家信息化领导小组,中办发200327 号。 (21)公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施意 见(公通字【2004】66 号文)。 2 (22)国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告。 (23)美国国家标准和技术研究所(NIST,National Institute of Standards and Technology)制订的 SP 800 系列文档:IT 系统安全自评估指南、IT 系统风险管理指南、联邦 IT 系统安全认证和 认可指南、信息系统安全规划指南等。/publications/nistpubs/。 (24)美国国家安全局,信息保障技术框架 IATF(Information Assurance Technical Framework), V3.1 版。网址:。 3相关术语与缩略语相关术语与缩略语 AAAAAccount、Authentication、Authorizatin and Audit账号管理、认证、授权与审计 网络安全管控平台(Network Security Management and Control Plateform) 对维护人员操作业务系统进行 全程控制、记录和审计的安全 技术手段,包括综合维护接入 控制、账号口令管理、日志集 中管理与审计等功能模块。 ACLAccess Control List 访问控制列表 BOSS Business & Operations Support System 业务运营业务系统 CMNetChina Mobile Net 中国移动互联网 DDNDigital Data Network 数字数据网 DMZDeMilitarized Zone 非军事化区 DNSDomain Name Server 域名服务器 DSMPData Service Management Platform 数据业务管理平台 EOMSElectronic Operation and Maintainence System 电子运行维护系统 GPRSGeneral Packet Radio Service 通用分组无线业务 IATFInformation Assurance Technical Framework信息保障技术框架 IDSIntrusion Detection System 入侵检测系统 IPSecInternet Protocol Security 互联网协议安全 IPInternet Protocol 互联网协议 ITInformation Technology 信息技术 3 MDCNMobile data communication network 移动数据通信网 MISManagement Information System 管理信息系统 MPLSMulti-Protocol Label Switching 多协议标记交换 NISTNational Institute of Standards and Technology国家标准和技术研究所 OMCOperation management center操作维护中心 RADIUSRemote Authentication Dial-In User Service 接入用户远程认证服务 SPService Provider 业务提供者 VPNVirtual Private Network 虚拟专用网 VLANVirtual Local Area Network 虚拟局域网 4综述综述 一方面,中国移动数据业务快速发展,数据业务系统数量不断增加,规模不断扩大,网络互联日益 复杂,迫切需要在网络层面,规范业务系统互联,使组网结构更加清晰,便于防护。另一方面,随着国 家安全等级保护要求的深入落实,对各业务系统的安全防护要求不断细化提高,需要我们从整体入手解 决在数量众多的数据业务系统中落实等级防护要求的问题。 为了满足上述需求,需要一定程度上改变各数据业务系统独立规划,建设和维护的现状,从以各个 数据业务系统为整体,明确组网和安全防护的共性要求,促进数据业务系统防护水平和安全维护专业化 水平的整体提高。 本要求从规范数据业务系统整体组网入手,以集中化的思想为指导,明确了数据业务系统安全域划 分和边界整合的基本原则,以及数据业务系统间、数据业务系统和支撑系统间,以及数据业务系统内部 各安全域之间互联的主要安全要求,在此基础上进一步提出了各类安全基础防护手段的部署要求。 为了适应中国移动网络和业务安全防护的需要,有限公司从整体上建立了由安全域划分和边界整合、 设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。安全域 划分和边界整合作为防护体系架构的基础,在此方面,有限公司已经明确下发了中国移动业务支撑系 统安全域划分与边界防护技术要求、中国移动支撑系统与互联网集中出口安全防护体系技术规范, 确立了以集中化和等级保护为基础的 IT 系统组网和安全防护的思路。本要求继续遵循上述思路,规范数 据业务系统的整体组网与安全防护。 数据业务系统安全域划分和边界整合,首先根据统一的安全域划分原则,在各数据业务系统的内部 划分核心生产区、互联网接口区、内部互联接口区和核心交换区等 4 类安全域。在此基础上,根据传输 出口的设置情况,对每个出口的数据业务系统(通常位于相同的物理位置)进行边界整合,即对不同业 务系统的同类安全域进行合并,形成共同的防护边界,建设安全防护的“大院”。对具备传输条件的省 公司,还可以进一步将数据业务系统和互联网的接口进行整合,进一步减少防护边界。 4 在此基础上,依据域间互联安全要求以及安全防护的需求,还需要在“大院”的边界和内部部署防 火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系 统的客户端等通用的基础安全技术防护手段,在大院内的各数据业务系统共享上述技术手段。 在具体实施数据业务系统边界整合工作,特别是整合数据业务系统外部接口时,要同步整体考虑各 节点带宽需求、冗余备份需求,形成数据业务系统整体的组网方案,避免一方面安全防护整体规划,而 另一方面冗余备份等还各业务系统分散规划。 本要求的主要内容包括: (1)第 5 章:数据业务系统的安全域划分:明确了根据各数据业务系统之间的威胁等级、保护等级, 划分安全域的基本原则域间互联的基本要求。 (2) 第 6 章:数据业务系统的边界整合:明确了数据业务系统边界整合的基本原则,分别阐述了具 备多个传输出口和单一传输出口情况下边界整合的具体要求。 (3) 第 7 章:数据业务系统安全域的安全保护:在安全域划分和边界整合的基础上,进一步明确了 域间互联的安全要求以及各类基础安全技术防护手段的部署原则。 (4) 第 8 章:数据业务系统安全域划分和边界整合分阶段实施建议:针对现有数据业务系统的实际 情况,提出了分阶段实施数据业务系统安全域划分和边界整合的建议。 通过本要求确定的原则,中国移动各数据业务系统在建设或改造时,在系统内部、外部组网以及安 全手段部署方面有法可依。 5数据业务系统安全域数据业务系统安全域划分划分 安全域(网络安全域)是一个逻辑范围或区域,指有相同或者相近的安全保护需求,相互信任,并 具有相同或者相近的安全访问控制和边界控制策略的子网或网络。同一安全域内的系统在各业务层面存 在密切的业务逻辑关系,且由于管理模式、维护主体相近彼此间存在较高的互信关系。通过安全域的划 分,针对安全域边界和内部系统,系统部署各类安全技术,形成完整的防护体系,这样既可以对同一安 全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和 安全风险的传播。 5.1安全域划分的原则安全域划分的原则 (1)业务保障原则:安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的 同时,还要保障业务的正常运行和运行效率。 (2)结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结 构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的 管理过于复杂和困难。 (3)等级保护原则:安全域划分和边界整合遵循业务系统等级防护要求,使具有相同等级保护要 求的数据业务系统共享防护手段。 5 (4)生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另 外,在安全域的建设和调整过程中要考虑工程化的管理。 5.2数据业务系统的主要安全域数据业务系统的主要安全域 5.2.1数据业务系统组网的基本架构数据业务系统组网的基本架构 数据业务系统在组网方面按其功能可分为接口层,核心交换层、系统层和存储备份层 4 层。接口层 设备负责与外部的其它系统、用户终端交互。核心交换层设备负责连接数据业务系统内部其它各层的设 备。系统层设备负责完成系统的主要业务功能。存储备份层设备负责存储业务系统数据。 后续的安全域划分方法基本依据了上述数据业务系统功能分层情况,仅从安全域划分分和边界整合 的角度为了叙述方便,将系统层和存储备份层进行了整合为核心生产层。 5.2.2安全域划分方法安全域划分方法 根据上述原则,数据业务系统可划分以下为四类主要的安全子域:核心生产区、内部互联接口区、 互联网接口区和核心交换区。 (1)核心生产区:本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。 该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外 6 部不能通过互联网直接访问该区域内设备。 (2)内部互联接口区:本区域放置的设备和公司内部网络,如 IP 专网等连接,具体包括与支撑 系统、其它业务系统或可信任的第三方互联的设备,如网管采集设备。 (3)互联网接口区:本区域和互联网直接连接,主要放置互联网直接访问的设备。如业务系统门 户(Portal)。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。 (4)核心交换区:负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。 每类安全子域内部,根据实际需要,可进一步划分下级安全子域,如在内部互联接口区为和网管、计 费互联分别设单独的子域,又如在核心生产区内部为不同数据业务系统划分安全子域,实现不同数据业 务系统核心生产区之间的隔离。为了满足日志采集设备、防病毒系统二级控管服务器等安全设备部署的 需要,可在内部互联接口区内开辟单独的安全子域部署安全防护设备。 对于具体数据业务系统而言,其自身业务逻辑与实现的特点不一定严格存在上述四类安全区域。在此 种情况下,在不违反安全域防护原则的前提下,可简化安全域的划分。 如果数据业务系统中某个设备存在多个逻辑接口时,如一个既和内部网也和互联网存在接口的设备, 应通过分离功能,通过物理独立的设备分别实现不同的接口功能,从而满足安全域划分的要求。属于核心 生产区的设备,应避免存在与互联网直接相连的接口。 对于分布在多个物理位置的数据业务系统,先以每个物理位置为单位,实施安全域划分,再参照第六 章边界整合的原则,整合安全域,统一防护边界。 数据业务系统安全域划分不设置单独用来放置终端的安全域。由于终端的风险较高,除超级终端和本 地控制台外,其它各类终端应通过以省为单位部署的集中接入控制设备(系统)接入业务系统进行维护, 终端和数据业务系统的互联方式参见“7.2.5 数据业务系统的维护互联安全要求数据业务系统的维护互联安全要求”。 7 图 5.1 数据业务系统安全域划分示意图 6数据业务系统边界整合数据业务系统边界整合 目前,各省数量不等地建设了一个或者多个数据业务机房。在集中防护的大原则下,数据业务系统 边界整合范围的基本原则是:针对中国移动各省公司分别规划一个或者多个位于不同物理位置的数据业 务机房的情况,原则上以以各机房间是否存在传输条件作为进一步整合的基础。在不同物理位置的机房 之间具备传输条件以及不影响业务质量的情况下,可以进一步合并为更大的安全域,实施跨局址的集中 防护。在不具备条件的情况下,应至少以单个数据机房为基本单位对位于在同机房的数据业务系统进行 整体安全域划分和边界整合,进而进行安全防护。 对范围内数据业务系统实施边界整合的基本原则是范围内各数据业务系统的相同类型安全域整合形 成大的安全域。 目前,安全域之间互联接口数量越多,安全性越难以控制,防护效果难以保证。在集中防护思路下, 在保证域间安全要求的前提下,对各安全域的边界进行合理的整合,减少接口数量, 实现“重点防护、 重兵把守”。 8 6.1边界整合的原则边界整合的原则 数据业务系统安全域整合重要依据分等级保护的原则和同类安全域合并的原则。 6.2具备单一传输出口的边界整合具备单一传输出口的边界整合 本节内容适用于如下情况:具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接 口整合至单一或几个互备接口。在此种情况下,存在多个物理位置(如局址)的系统共享一个传输出口 的情况。这时,不同物理位置(如局址)通过核心路由器来进行路由连接,并将与互联网间的流量路由 到整合后的接口。各物理位置可以保留互联网接口区,也可以将互联网接口区进一步整合,集中到整合 后的接口位置(如下图所示)。 图 6.1 整合互联网传输接口数据业务系统边界整合示意图 6.3具备多个传输出口的边界整合具备多个传输出口的边界整合 本节内容适用于如下情况:数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备 传输条件整合各接口。 在上述情况下,可对位于相同物理位置的数据业务系统进行边界整合。对相同物理位置上(同局址) 的数据业务系统,通过部署核心交换设备,将不同系统的相同类型安全域整合形成大的安全域,整合后 的各安全域、安全子域以及外部接口之间满足域间互联安全要求,通过共享防火墙、入侵检测等安全防 护手段,实现集中防护。 9 图 6.2 多传输出口相同物理位置数据业务系统边界整合示意图 6.4整合后相同安全域内的各安全子域之间的访问控制整合后相同安全域内的各安全子域之间的访问控制 整合后同一安全域内会包含多个不同数据业务系统的安全子域。这些安全子域子间也必 须根据域间互联要求和最小化策略,严格实施访问控制,避免随意安全子域之间随意互联。 具体访问控制手段的选择,参见 7.3.2 节。 7数据业务系统的安全防护数据业务系统的安全防护 参考中办发200327 号文中信息安全等级保护的指导意见、NIST SP80053(IT 系统安全控制)、 IATF 关于域边界/外部连接的保护,结合中国移动数据业务系统的安全需求以及系统已采用的安全措施, 综合平衡安全成本和风险,“重点防护、重兵把守”,综合部署安全域边界和内部的保护措施。 7.1数据业务系统安全防护原则数据业务系统安全防护原则 安全域边界的保护原则是: 1、集中防护:防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段以安全域划分和边 界整合为基础,进行集中部署,多个安全域或子域共享手段提供的防护; 2、分等级防护:根据通信行业“电信网和互联网安全防护体系”系列标准中安全等级防护的要求, 10 对系统所在的边界部署符合其防护等级的安全技术手段,在对各系统共享的防护边界应遵循就高的原则。 3、纵深防护:通过安全域划分,从外部网络到核心生产区之间存在多层安全防护边界,纵深防护就 是在每层防护边界上部署侧重点不同的安全技术手段和安全策略来实现对关键设备或系统的高等级防护。 7.2数据业务系统安全域边界互联防护要求数据业务系统安全域边界互联防护要求 本部分主要明确数据业务系统之间、数据业务系统与支撑系统(如网管系统,计费系统)之间、数 据业务系统内部不同安全域之间互联的安全要求。 域间互联的基本要求是“最小化原则”,即在满足业务和维护的需求的前提下,最大限度的减少的 互联地址和端口数量。 下述要求是域间互联的基本要求,在具体实现域间互联时,防护水平不能低于以下要求。 7.2.1数据业务系统之间互联安全要求数据业务系统之间互联安全要求 原则上,业务系统之间需通过内部互联接口区进行互联并通过防火墙防护。数据业务系统之间的应 用访问需通过部署在内部互联接口区的设备进行处理或转发。原则上,不同数据业务系统的核心生产区 设备之间不能直接访问。 如果业务系统之间通过互联网互联时,具体安全要求参见 7.2.3。 7.2.2数据业务系统与支撑系统之间互联安全要求数据业务系统与支撑系统之间互联安全要求 原则上,数据业务系统与支撑系统之间需通过内部互联接口区进行互联并通过防火墙防护。数据业 务系统与支撑系统之间的应用访问需通过部署在内部互联接口区的设备进行处理或转发。支撑系统不能 直接访问数据业务系统的核心生产区。 当支撑系统通过互联网接入数据业务系统时,如带内网管的情况,应通过在互联网接口区设置单独 的安全子域方式实现互联。其它安全要求参见 7.2.3。 数据业务系统与支撑系统之间互联,在数据业务系统侧部署防火墙进行防护。 7.2.3数据业务系统与互联网之间互联安全要求数据业务系统与互联网之间互联安全要求 原则上,部署在同一安全域的数据业务系统与互联网需通过互联网接口区进行互联。具体原则如下 其中: 来自互联网的访问请求需通过部署在互联网接口区的设备进行处理或转发。互联网设备不能直 接访问数据业务系统的核心生产区。 互联网接口区与互联网之间需要通过防火墙防护。 重要系统核心生产区与互联网接口区之间需要通过防火墙防护,实现双重异构防火墙防护。 11 7.2.4数据业务系统与第三方系统互联的安全要求数据业务系统与第三方系统互联的安全要求 此处的第三方系统是指公司业务合作伙伴的系统。 原则上,当数据业务系统与第三方系统需通过互联网接口区进行互联时,应通过防火墙防护。来自 第三方系统的访问请求需通过互联网接口区的设备进行处理或转发。第三方系统不能直接访问数据业务 系统的核心生产区。 对于可信任的第三方系统,如银行、保险等通过专线接入时,可在内部互联接口区内设置单独的安 全子域与其互联并通过防火墙防护。 7.2.5数据业务系统的维护互联安全要求数据业务系统的维护互联安全要求 数据业务系统的维护终端可分为四类: 1、超级终端:特指位于各个机房,与业务服务器部署在同一网段或者串口连接的专用超级终端,主 要供紧急维护使用。如果此类终端如果并非仅在紧急维护时使用,特别是通过 KVM 等方式拉远后,当划 入第 2 类。 2、专用固定终端:此类维护终端是维护机房中各个业务系统的固定的、专用的维护终端,该类终端 专属于某个业务系统专用。 3、多用固定终端:即用于维护多个业务系统、位于维护机房的固定终端。 4、漫游终端:网络接入点频繁变化的终端,如笔记本终端,包括外部人员接入、本单位人员远程接 入使用的各类终端等等。 超级终端和其所维护设备位于相同安全域。 原则上,数据业务系统的 24 类维护终端不属于数据业务系统安全域范围内,其应先通过部署在网 管网的网络安全管控平台,接入数据业务系统的内部互联接口区后进行维护。终端不能直接访问数据业 务系统的生产设备。网络安全管控平台对终端接入进行统一控制,实现集中帐号口令管理,日志集中管 理和审计以及集中接入控制三个功能。(相关规范参见中国移动综合维护接入网关功能与技术规范、 中国移动帐号口令集中管理系统功能与技术规范、中国移动日志集中管理与审计系统功能与技术 规范)。 12 图 7.1 数据业务系统和终端互联示意图 图 7.1 说明了除了超级终端外,和数据业务系统同机房的固定终端、位于网管网中用于维护数据业务 系统的固定终端、笔记本等漫游终端都首先接入网络安全管控平台,在通过平台接入其需要维护的数据 业务系统。特别是和数据业务系统同机房的固定终端应在网络上部署隔离措施,保证其绕开管控平台直 接接入数据业务系统。 7.2.6数据业务系统内部不同安全区域之间互联安全要求数据业务系统内部不同安全区域之间互联安全要求 原则上,同一数据业务系统内部各安全区域之间都应采用相应的安全手段进行隔离。 对于重要的数 据业务系统核心生产区和互联网接口区以及内部互联接口区要求通过防火墙进行隔离。对于低保护等级 的数据业务系统内部各安全域之间可以通过在交换机、路由器等网络设备上部署访问控制策略进行隔离。 7.3数据业务系统的安全防护数据业务系统的安全防护 安全域的防护在安全域划分和边界整合的基础上,由设备自身安全功能和配置、防火墙等基础安全 技术防护手段以及应用层安全防护三个层次组成。 7.3.1设备自身安全功能和配置设备自身安全功能和配置 数据业务系统的设备,应按照其功能以及网络互联的需求,部署至相应的安全域。 设备应具备基本的安全防护功能,并进行必要的安全配置。设备自身安全功能和配置是数据业务系 统安全防护的基础。在此方面,设备应满足中国移动设备通用安全功能和配置规范等中国移动设备 13 安全功能和配置系列规范的要求,并根据数据业务系统的实际情况,有针对性的补充安全功能要求和安 全配置要求。 7.3.2防火墙等基础安全技术防护手段的部署防火墙等基础安全技术防护手段的部署 本部分以数据业务系统安全域划分和边界整合为基础,进行防火墙、入侵检测、防病毒、异常流量 检测和过滤、网络安全管控平台(包含综合维护接入、账号口令管理和日志审计模块)等 5 类通用的基 础安全技术防护手段的部署。 在通用手段的基础,还可根据业务系统面临风险的特点部署的专用的基础安全技术防护手段,如网 页防篡改、垃圾邮件过滤手段等。 防火墙部署防火墙部署 安全域内访问控制依据“最小化”原则和域间互联具体要求实施。 在互联网接口区和互联网的边界必须部署防火墙。在核心交换区部署防火墙防护互联网接口区、内 部互联接口区和核心生产区的边界。核心交换区防火墙和互联网边界防火墙构成对重要系统的核心生产 区构成双重异构防火墙防护。在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风 险较互联网低,内部互联接口区防火墙复用核心交换区部署的防火墙,降低防火墙部署的数量,提高集 中防护程度。参见下图。 图 7.2 数据业务系统防火墙部署示意图 同一安全域内的不同安全子域,根据访问控制策略的实际复杂程度,选择不同方式实施访问控制。 14 对于相对简单情况,通过路由或交换设备实施访问控制策略,对于相对复杂的情况,通过核心交换区、 互联网接口区或内部互联接口区的防火墙设备实施访问控制策略。 同一安全子域内部各设备之间也要通过设备自带的访问控制功能,实施必要的访问控制。域内设备 间的访问控制是纵深访问的后一道屏障。 入侵检测设备的部署入侵检测设备的部署 在互联网接口区、内部互联区必须部署入侵检测探头,统一接受网管网集中部署的入侵检测中央服 务器的控制,及时发现安全事件(参见图 7.2)。在经济条件许可或者国家及公司有明确安全要求情况下, 可以在核心交换区部署入侵检测探头,实现对系统间互访的监控。 防病毒系统的部署防病毒系统的部署 对安全域内各运行 Windows 操作系统的设备必须安装防病毒客户端。客户端由网管网集中部署的防 病毒中央控制服务器的统一管理。为了简化网络连接,可在数据业务系统安全域内部互联接口子域部署 二级防病毒控制服务器,负责管理该节点内部的防病毒客户端,同时,二级服务器接受网管网中央服务 器的管理。 异常流量的检测和过滤异常流量的检测和过滤 根据数据业务系统防护的实际需要,可在数据业务系统安全域互联网接口子域的互联网边界防火墙 外侧部署异常流量检测和过滤设备,防范来自互联网的各类异常流量,如拒绝服务攻击。 更为有效的方式是以互联网骨干网为整体规划部署异常流量检测和过滤手段,形成立体的流量防护 体系,对接入骨干网的各重要业务系统实施防护。 网络安全管控平台网络安全管控平台 网络安全管控平台包括综合维护接入控制、账号口令管理和日志审计三个主要的功能模块,下面分 别阐述各功能模块的安全部署 .1综合维护接入控制综合维护接入控制 一般情况,维护终端需通过在网管网部署的综合维护接入网关(参见中国移动综合维护接入网关 功能与技术规范,作为网络安全管控平台的一个功能模块)接入所需维护的业务系统。综合维护接入 网关以省为单位集中控制维护终端接入业务系统。 在数据业务系统的本地只部署超级终端,用于紧急故障处理。超级终端和其所对应维护的设备位于 15 同一局域网内。具体参见 7.3.2。 .2帐号口令管理帐号口令管理 帐号口令管理是数据业务系统安全防护的重要基础。通过建设帐号口令集中管理系统(参见中国 移动帐号口令集中管理系统功能与技术规范),实现以省为单位的帐号口令集中管理。数据业务系统 中包含的网络设备、主机操作系统、数据库以及业务应用程序的维护管理帐号要逐步纳入该系统进行集 中管理。 为了实现帐号口令集中管理的功能,简化数据业务系统和帐号口令集中管理系统的网络连接,可以 在内部互联接口区部署采集设备实现帐号同步等功能。 .3日志审计日志审计 日志审计是加强数据业务系统安全防护的重要手段之一。日志审计要求业务系统能够产生较完备的 安全日志记录并支持标准的远程日志传送接口(参见中国移动设备通用安全功能与配置规范)。 根据中国移动日志集中管理与审计系统功能及技术规范,将以省为

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论