中国移动网管系统安全域划分技术要求.doc

technicaltechnical specificationspecification ofof securesecure domaindomain forfor networksnetworks managementmanagement systemssystems 中 国 移 动 通 信 企 业 标 准 qb-w-001-2007qb-w-001-2007 中国移动网管系统安全域划分中国移动网管系统安全域划分 技术要求技术要求 版 本 号 ：1 1. .0 0. .0 0 中国移动通信有限公司中国移动通信有限公司 发布发布 2 20 00 07 7- -0 07 7- -发发布布2 20 00 07 7- -x xx x- -实实施施 i 目 次 前前 言言1 1适用范围适用范围.2 2引用标准与依据引用标准与依据.2 3相关术语与缩略语相关术语与缩略语.2 4综述综述.3 4.1背景.4 4.2本要求的范围和主要内容.4 5支撑系统的现状支撑系统的现状.5 5.1网管系统现状.5 5.1.1网管系统组网总体架构5 5.1.2集团网管系统的网络架构6 5.1.3集团网管系统系统与 internet 互联的业务需求7 5.1.4省级网管系统的网络架构7 5.1.5省级网管系统与 internet 互联的业务需求7 5.2现状总结与终端问题.7 6安全域划分的必要性和原则安全域划分的必要性和原则.8 6.1安全域划分的必要性.8 6.2各安全域的威胁等级分析.9 6.3支撑系统的保护等级分析.10 6.3.1资产价值赋值11 6.3.2安全需求赋值11 6.3.3支撑系统的赋值12 6.4安全域划分的原则.12 6.4.1安全域划分的根本原则12 6.4.2安全域划分方法13 6.5网络调整.14 6.5.1广域网14 6.5.2局域网15 6.5.3终端17 6.6网管系统的安全域划分.18 7边界整合的原则边界整合的原则.19 7.1网管系统对外的边界整合.20 7.1.1与互联网的边界整合20 7.1.2与第三方的边界整合20 7.2网管系统与其他支撑系统之间的边界整合.20 7.3网管系统的边界整合.20 8安全域保护的原则安全域保护的原则.21 8.1安全域边界的保护原则.21 8.1.1安全域互访的风险分析22 8.1.2安全域互访的原则22 8.1.3安全域边界的保护方式23 8.1.4安全域边界的安全部署24 8.1.5安全域边界的安全管理24 ii 8.2网管系统安全域内部的保护.25 8.3对相关安全设备的部署要求.26 9分阶段实施的建议分阶段实施的建议.26 9.1安全域划分的深入.26 9.2组网方式的演进.26 9.3保护方式的演进.27 10编制历史编制历史.28 qb-w-001-2007 1 前前 言言 本要求主要是针对中国移动通信有限公司所建设的网管系统，根据建设网管监控平台系统建设的 需求，当前系统面临的风险、以及保护等级，分析网管系统安全域划分的必要性并提出划分原则，并 结合支撑网络的现状对网络结构进行调整，结合威胁等级和保护等级，确定了各安全域保护的原则。 安全域划分包括物理环境、人员组织、管理、技术各个层面，本要求重点针对安全域划分的技术 层面。 本要求作为省公司网管系统为接入总部统建的监控平台进行的网络改造的依据，同时可以作为后 续网管系统安全建设的依据。 本要求由中国移动通信有限公司网络部提出并归口管理。 本要求解释单位：中国移动通信有限公司网络部。 qb-w-001-2007 2 1适用范围适用范围 本要求对网管系统的安全域划分进行了规范，适用于中国移动各省公司在总部网管监控平台实施 前进行的网管系统的改造工作。 2引用标准与依据引用标准与依据 （1）关于近期网络与信息安全工作安排的通知，中国移动通信集团公司网络部，移网通 【2004】68 号。 （2）关于加强信息安全保障工作的意见，国家信息化领导小组，中办发200327 号。 （3）公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施 意见（公通字【2004】66 号文）。 （4）国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告。 （5）美国国家标准和技术研究所（nist，national institute of standards and technology）制订的 sp 800 系列文档：it 系统安全自评估指南、it 系统风险管理指南、联邦 it 系统安全认证和 认可指南、信息系统安全规划指南等。/publications/nistpubs/。 （6）美国国家安全局，信息保障技术框架 iatf（information assurance technical framework）， v3.1 版。网址：。 （7）公安部 ga/t 387-391-2002 系列标准，计算机信息系统安全等级保护操作系统技术要求、 管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求 （8）中国移动通信有限公司提供的相关资料。 （9）全国 31 个省的调查资料，以及北京、广东、四川、陕西 4 省现场调研的相关资料。 （10）国家质量技术监督局发布的计算机信息系统安全保护等级划分准则(gb 17859 号文)。 （11）中国移动支撑系统安全域划分与边界整合技术要求（发布稿）2005 年 5 月 3相关术语与缩略语相关术语与缩略语 aaaaaccount、authentication、authorizatin and audit 账号管理、认证、授权 与审计 aclaccess control list 访问控制列表 cmnetchina mobile net 中国移动互联网 dmzdemilitarized zone 非军事化区 qb-w-001-2007 3 eomselectronic operation and maintainence system 电子运行维护系统 iatfinformation assurance technical framework信息保障技术框架 idsintrusion detection system 入侵检测系统 ipsecinternet protocol security 互联网协议安全 ipinternet protocol 互联网协议 itinformation technology 信息技术 mismanagement information system 管理信息系统 mplsmulti-protocol label switching 多协议标记交换 nistnational institute of standards and technology国家标准和技术研究所 omcoperation management center操作维护中心 radiusremote authentication dial-in user service 接入用户远程认证服务 vpnvirtual private network 虚拟专用网 vlanvirtual local area network 虚拟局域网 4综述综述 为了建立中国移动 it 系统的网络及信息安全机制与进行网管监控平台系统的建设，首先需要定义 相关系统安全域的边界并且对现有网管系统实施安全域划分。所谓安全域(security zone)，是指网络中 具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域内可进一步被划分为安 全子域，安全子域也可继续依次细化为次级安全域、三级安全域等。安全域的划分，就是将系统从安 全角度划分成不同的区域，以便实行分门别类的处理。从我国 it 系统的发展轨迹来看，大多数企业都 是在连接到 internet 之后，才开始正式考虑网络安全域的。如今的商业模式要求企业与 internet 之间、 企业与业务合作伙伴、信息提供商及客户组成的网络之间实现连接，而企业内部的企业信息化系统、 业务支撑系统、网管系统等系统之间也存在着复杂的连接关系。由于网络中不同边界的应用方向不同， 所以对安全有着不同应用需求，例如与业务合作伙伴的相连和一般外联网的连接对安全性的要求就不 相同。 明确安全域划分的原则，结合等级保护的要求，确定各安全域的保护等级，并部署相应的安全手 段，安全域的边界隔离与防护是关注的重点。中国移动整体支撑网目前确实存在边界不清、连接混乱 的实际问题，对边界进行整合，从企业的视角有效地整合系统对外的接口数量，提高企业网络和信息 qb-w-001-2007 4 的安全性，也是做好安全工作的基础。 对于信息保密性，请参见其他相关技术规范。 本技术要求的研究主要有为：制定网管系统安全域划分的原则； 通过以上的分析和研究，确定相关的原则，以便将来在网管监控平台的推广实施阶段，各省可以 按要求进行接入。 4.1背景背景 2007 年下半年，总部网络部集中建设的网管监控平台（试点阶段）工作进入具体实施阶段，作为 接入监控平台的先决条件，目前监控平台试点阶段的总部，甘肃以及北京三地的网管网络改造暨安全 域划分已经完成实施，其目的是将现有存在风险的网络改造为结构合理，监控平台代理软件可以顺利 安装使用的架构。同时参考 2003 年年底，国家信息化领导小组下发了“关于加强信息安全保障工作的 意见” (中办发200327 号) ，文件把网络与信息安全工作提高为国家安全的重要组成部分，明确了 加强信息安全保障工作的总体要求，即：“坚持积极防御、综合防范的方针，全面提高信息安全防护 能力，重点保障基础信息网络和重要信息系统安全重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发 展，保护公众利益，维护国家安全” 。文件要求正确处理安全与发展的关系，统筹规划，突出重点，强统筹规划，突出重点，强 化基础性工作，通过实行信息安全等级保护实现这一目的化基础性工作，通过实行信息安全等级保护实现这一目的。因此，国家将建立信息安全等级保护制度， 制定信息安全等级保护的管理办法和技术指南。 在这样的背景下，作为接入网管监控平台的前提工作，提出中国移动网管系统的安全域划分原则 就显得十分重要。明确安全域划分的基本原则，界定网管系统的重要性和安全风险等级，然后根据不 同的保护等级，从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施（如防 火墙、防病毒、账号管理以及相应的控制端等）、安全集中管理系统或者它们的一部分构成的多层 立体防护体系，提高对网络攻击、病毒入侵、网络失窃密的防范能力，防止有害信息传播，保证网管 系统的安全运行。 4.2 本要求的范围和主要内容本要求的范围和主要内容 本要求主要针对中国移动网管系统安全域划分的技术要求，具体主要指省公司网管系统和 omc， 及其地市部分。 主要内容包括： （1）网管系统的现状：包括内网和公网的论述。 （2）安全域划分的必要性和原则：本章节包含了安全域划分的必要性，以及各系统的威胁等级、 保护等级，制定了安全域划分的原则，结合网管网络的实际情况，对网络结构进行调整，网管系统的 安全区域的划分进行细化。 qb-w-001-2007 5 （3）边界整合的原则：首先对网管系统对外的边界进行整合（包括与 cmnet、和第三方的边界 整合原则），然后针对各支撑系统的各种边界进行整合。 （4）安全域保护的原则：包括安全域边界部分的防护和安全域内部的防护两方面。 （5）分阶段安全防护的建议：分别从网络调整方式、安全域划分的细化、以及保护方式的演进 等方面，体现逐步实现的过程。 5支撑系统的现状支撑系统的现状 中国移动网管系统在网络的纵向连接上均是三级结构：集团公司省公司地市分公司。根据前 期总部安全处对各省的调研情况，网管系统在三级结构的承载层面上都考虑了相互隔离，比如网管系 统共同承载在 ip 承载网上，分别采用了 vpn 技术、路由策略等相关技术对其进行隔离等。 5.1网管系统现状网管系统现状 中国移动网管系统包括话务网网管、汇接网网管、信令网管、智能网管、同步网管、ip 专网网管、 数据网管、信令检测、传输网管等。各网管系统(除数据网管外)通过核心交换机与被管网元以及省网管 相连。数据网管只与 cmnet 互连，实现数据业务的综合网管。 5.1.1网管系统组网总体架构网管系统组网总体架构 集团公司网管系统包括十多套专业网管系统，除数据网管系统之外的所有系统和省网管系统采用 ip 承载网承载，集团与省之间有防火墙，采用私有地址，由集团公司统一分配。数据网管系统通过防 火墙与 cmnet 骨干网连接，实现对 cmnet 全网的网络管理。网管系统组网结构见下图： 云图 云图 集团网管 云图 云图 省网管1云图 云图 省网管n云图 云图 省网管m 云图 ip承载网 vpn 集团 省 vpn vpn 图 5.3、网管系统总体架构示意图 qb-w-001-2007 6 5.1.2集团网管系统的网络架构集团网管系统的网络架构 集团公司的网管系统拓扑结构如下： 图 5.4、集团网管系统结构示意图 （1）与省公司的连接 通过 ip 承载网与省公司网管系统实现互连 通过带内传输方式与各被管网元互连。 （2）与企业信息化/计费等系统的连接 为实现从企业信息化系统访问话务网管系统、局数据管理系统和 eoms 系统的需求，集团网管系 统与企业信息化系统相连接，中间有防火墙进行隔离。 （3）与 cmnet 的连接 数据网管系统与 cmnet 之间有防火墙进行隔离。 电子运行维护系统（eoms）系统连接一个短信转发服务器，该服务器设置在数据网管系统与 cmnet 之间防火墙的 dmz 区中，eoms 系统通过短信转发服务器经由 cmnet 连接到北京的短信网 关，实现工单的短信通知。 qb-w-001-2007 7 5.1.3集团网管系统系统与集团网管系统系统与 internet 互联的业务需求互联的业务需求 网管系统与 internet 互联的业务需求主要有两类： （1）为实现对 cmnet 网络的管理，集团和省公司网管系统中的数据网管系统需要与 cmnet 实 现互联，采集 cmnet 网络设备、数据业务系统关键服务器的网管数据。 （2）eoms 需要与短信网关互联，实现告警信息、工单的及时通知。 5.1.4省级网管系统的网络架构省级网管系统的网络架构 省级网管系统的网络连接如下： （1）与集团公司的连接 通过 ip 承载网与集团公司实现互连，部分省公司在省侧设置了防火墙。 （2）与地市的连接 与地市连接的需求主要是被管网元的采集和地市维护人员的访问。主要包括专线或 dcn 网络连接 两种方式。 （3）与企业信息化/计费等系统的连接 为实现从企业信息化系统访问话务网管系统、局数据管理系统和 eoms 系统的需求，省级网管系 统与企业信息化系统相连接，中间有防火墙进行隔离。 （4）eoms 系统 eoms 系统与省级话务网管系统通过防火墙连接，地市访问此系统有两种方式： 通过网管系统网上省级话务网管系统，统一出口访问 eoms 通过企业信息化系统访问 eoms。 大部分省是通过第二种方式。 （5）与 cmnet 的连接 数据网管系统与 cmnet 之间有防火墙进行隔离。 eoms 系统通过防火墙连接到短信网关，实现工单的短信通知。 5.1.5省级网管系统与省级网管系统与 internet 互联的业务需求互联的业务需求 网管系统与 internet 互联的业务需求主要有两类： （1）为实现对 cmnet 网络的管理，省公司网管系统中的 ip 网网管系统需要与 cmnet 实现互联， 采集 cmnet 网络设备、数据业务系统关键服务器的网管数据。 （2）电子运行维护系统（eoms）需要与短信网关互联，实现告警信息、工单的及时通知。 5.2现状总结与终端问题现状总结与终端问题 目前中国移动的网管系统广域网承载层面主要包括集团公司和省公司、省公司和地市的连接，其 qb-w-001-2007 8 中在集团公司与省公司的连接方式相对简单，网管系统采用 ip 承载网网络连接。而在省公司与地市的 连接比较多样化，存在 dcn，ip 承载网以及其他连接方式。 目前终端的使用存在以下问题： 企业内部的终端：目前生产终端的使用缺乏严格统一的管理要求，同时县市公司存在支撑系统间 的不规范连接，而且由于终端投资的问题，一部分生产终端是通过配置双网卡或者拔网线的方式，既 可以访问企业信息化系统，也可以访问网管网。即使各支撑网实现了隔离,在部分办公终端访问生产系 统时，也存在一定的威胁和风险。 第三方或合作伙伴终端：主要是指集成商、设备商等第三方的终端，由于缺乏对该部分终端的有 效管理和控制，比如，厂家人员的笔记本电脑存在安全漏洞或扩散性很强的病毒，因此该部分终端对 网管系统存在一定的潜在威胁。 6安全域划分的必要性和原则安全域划分的必要性和原则 我国在商用 it 系统信息安全方面的研究和积累不足，目前还缺乏规范化的、成熟的标准可遵循， 本要求借鉴了 iatf 区域划分理论，以及业界对安全域划分的实践经验，并结合中国移动的实际情况， 对支撑系统和互联系统带来的威胁等级、以及各支撑系统的保护等级进行了分析研究，然后根据这些 分析研究确定了安全域划分的原则。 安全域是一个逻辑范围或区域，同一安全域中的信息资产具有相同或相近的安全属性，如安全级 别、安全威胁、安全弱点、风险等，同一安全域内的系统相互信任，如在业务层面存在密切的逻辑关 系。通过在网络和系统层面安全域的划分，将业务系统、安全技术有机结合，形成完整的防护体系， 这样既可以对同一安全域内的系统进行统一规范的保护，又可以限制系统风险在网内的任意扩散，从 而有效控制安全事件和安全风险的传播。 6.1安全域划分的必要性安全域划分的必要性 网络的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一规划，有些系统是独 立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面 对的威胁和风险各不相同。 当前中国移动的网络系统是一个庞大复杂的系统，在支持业务不断发展的前提下，如何保证系统 的安全性是一个巨大的挑战，对系统进行区域划分，进行层次化、有重点的保护是保证系统和信息安 全的有效手段。 目前中国移动未实施安全域划分的网管系统还存在以下问题： （1）随着中国移动的网络规模和各相关应用系统的不断扩大，网管系统也随之不断发展，但各个 系统的部署没有明确的指导原则，导致网络结构复杂、层次不清、系统管理维护困难，网络的有效性、 稳定性较低。 qb-w-001-2007 9 （2）根据系统的现状，目前网管系统的网络仍然存在边界不清的问题，主要是网管系统之间以及 网管系统和信息化等其他支撑系统的连接比较混乱，随之带来安全防护困难，投资较大，而且容易产 生疏漏，单个系统中的安全问题极易扩散到其它系统。 只有通过明确安全域划分的原则，才能形成清晰、简洁、稳定的 it 组网架构，实现系统之间严格 访问控制的安全互连，更好的解决复杂系统的安全问题。 6.2各安全域的威胁等级分析各安全域的威胁等级分析 目前，与网管系统安全域互联的其它系统包括 cmnet、企业信息化，计费等等； 由于不同系统的开放性、可控性等方面各不相同，它们的可信度也有明显的区别。支撑系统与不 同威胁等级、可信度的系统互联时，面对的威胁是不同的。了解各系统可能带来的主要威胁，才能有 针对性的选择不同的防护技术和防护强度。 在参考 iatf 七个威胁等级（攻击强度）、美国 nist sp800 等标准对威胁的分析描述基础上，结 合中国移动支撑系统的具体情况，根据各互联的系统出现不同强度攻击的可能性，确定它的可信度。 一个安全域当中出现高强度攻击的可能性越高，那么它的威胁等级越高，可信度越低。 威胁可能源于对系统直接或间接的攻击，例如信息泄漏、篡改、删除等，在机密性、完整性或可 用性等方面造成损害；威胁也可能源于偶发的、或蓄意的事件。按照威胁产生的来源，可以分为外部 威胁和内部威胁： （1）外部威胁：来自不可控网络的外部攻击，主要指移动的 cmnet、其它电信运营商的 internet 互联网，以及第三方的攻击，其中互联网的威胁主要是黑客攻击、蠕虫病毒等，而第三方的威胁主要 是越权或滥用、泄密、篡改、恶意代码或病毒等。 （2）内部威胁：主要来自内部人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。 另外，由于管理不规范导致各支撑系统之间的终端混用，也带来病毒泛滥的潜在威胁。 需要说明的是，威胁分为应用层面的和网络层面的，应用层面的威胁主要是越权或滥用、篡改、 泄密等，网络层面的威胁主要针对网络的弱点、漏洞产生的威胁。由于应用层面的威胁涉及的因素较 多，本技术要求主要针对网络层面的威胁进行分析。 具体来说： （1）互联网由于其开放性，完全不可控，威胁包括黑客攻击、病毒扩散等等，其威胁等级最高。 （2）第三方的接入由于移动公司对其操作较难控制，而且第三方很容易获取所管理维护的支撑系 统的弱点及其分布，由于具有很高权限，其潜在威胁最大，但是通过一定的管理手段、合同要求、法 律规定进行约束后，这样的威胁可以降低；网络接入方面的安全问题可以通过技术手段结合管理规定， 进行控制。因此，威胁等级相对较低。 主要的的威胁等级分析见下表：其中等级分为 15，其中 5 威胁最大，即可能造成的损失最大。 qb-w-001-2007 10 威胁等级分析表 表 6.1 威胁等级可能带来的威胁可控性系统 5 黑客攻击、恶意代码和病毒等完全不可控互联网 4 病毒扩散、恶意代码等合作关系，但不可控第三方 3 物理攻击、恶意代码和病毒等一定的可控性第三方 2 内部人员的操作失误、恶意代码和病 毒等 较大的可控性网管系统 1 内部人员的操作失误、恶意代码和病 毒等 基本可控网管系统 6.3支撑系统的保护等级分析支撑系统的保护等级分析 参考关于信息安全等级保护工作的实施意见，系统的保护等级规定了 5 级，根据中国移动的 实际情况，网管系统总体上可以列为第 3 级，再根据具体情况进行部分调整。 系统的保护等级分为系统和信息 2 个层面，本技术要求主要是针对系统的保护等级，对于信息的 保护等级，可以通过增加信息分级、信息加密、信息控制等实现信息的机密性。 下面主要从资产价值、安全需求方面对支撑系统的保护等级进行赋值判断，其中资产价值主要是 指资产的重要性，指标列表如下： 保护等级确定的指标列表 表 6.2 指标类型资产价值安全要求 指标 业务关联 性 对业务网 络的影响 对业务收 益的影响 对公司经 营管理的 影响 客户重要 程度 对可用性 的要求 对完整性和准 确性的要求 对保密性 的要求 赋值为 3 直接对外， 面向服务 影响大 直接关系 业务收益 直接影响 或影响较 大 公众用户高 对完整性、准 确性要求高 对保密性 要求高 赋值为 2 间接对外， 面向网络 管理 影响较小 关系相对 较少 间接影响 或影响较 少 企业用户中 对完整性、准 确性要求较低 对保密性 要求较低 赋值为 1 内部企业 管理 影响小 无关系或 较少 无影响或 影响少 内部用户低 对完整性、准 确性要求低 对保密性 要求低 qb-w-001-2007 11 6.3.1资产价值赋值资产价值赋值 针对支撑系统，资产价值主要体现在业务关联性、业务收益的影响、对公司经营管理的影响以及 面向客户的重要程度等方面，赋值方法如下： （1）业务关联性： 直接对外，面向服务，赋值为 3 间接对外，面向网络管理，赋值为 2 面向内部企业管理，赋值为 1 （2）对业务网络的影响： 影响大，对业务的开展直接影响，赋值为 3 影响较小，赋值为 2 影响小，赋值为 1 （3）业务收益的影响： 直接影响业务的收益：赋值为 3 间接影响或影响较少：赋值为 2 无影响或影响较少，赋值为 1 （4）对公司经营管理的影响： 直接影响公司的经营管理：赋值为 3 间接影响或影响较少：赋值为 2 无影响或影响少，赋值为 1 （5）面向客户的重要程度： 面向大众用户：赋值为 3 面向企业用户：赋值为 2 面向内部人员，赋值为 1 6.3.2安全需求赋值安全需求赋值 安全需求则是根据支撑系统的重要性，确定其在可用性、完整性、机密性三个方面的需求等级。 （1）可用性指的是对系统实时可用的要求： 可用性要求高，赋值为 3 可用性要求是中，赋值为 2 可用性要求是低，赋值为 1 （2）完整性指的是对完整性和准确性的要求： 对完整性和准确性要求高，赋值为 3 对完整性和准确性要求较低，赋值为 2 qb-w-001-2007 12 对完整性和准确性要求低，赋值为 1 （3）机密性指的是对保密性的要求： 对机密性要求很高，赋值为 3 对机密性要求较低，赋值为 2 对机密性要求低，赋值为 1 6.3.3支撑系统的赋值支撑系统的赋值 根据上述各项赋值的要求，对网管系统的赋值进行取定： 支撑系统的保护等级列表 表 6.3 资产价值安全需求 系统名称 业务 关联 性 对业务 网络的 影响 业务收 益的关 系 对公司经 营管理的 影响 客户 重要 程度 对可 用性 要求 完整和 准确性 要求 保密 性要 求 合计 网管系统 2322323219 根据上面资产价值和安全需求的赋值可以得出，网管系统的保护等级为中等（相对于其他支撑系 统） 在系统内部，可以根据信息的机密性对个别系统的保护等级进行细化调整。 6.4安全域划分的原则安全域划分的原则 安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访 问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。 6.4.1安全域划分的根本原则安全域划分的根本原则 （1）业务保障原则：安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全 的同时，还要保障业务的正常运行和运行效率。 （2）结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络 结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全 域的管理过于复杂和困难。 （3）等级保护原则：安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的 安全等级、安全环境、安全策略等。 （4）生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化； qb-w-001-2007 13 另外，在安全域的建设和调整过程中要考虑工程化的管理。 6.4.2安全域划分方法安全域划分方法 安全域的划分除了遵循上述根本原则外，还根据业务逻辑、地域与管理模式、业务特点（网管系 统中的移动自用生产终端的控制较好，可以简化对服务器访问的控制措施）划分安全域、安全子域、 安全区域。 在安全域内部进一步划分安全区域时，如核心生产区、日常工作区、dmz 区、第三方互联区等等， 重点参考了 iatf 计算区域划分的理论，并考虑了不同区域和不同的威胁。 中国移动的网管系统相对于业务系统、internet、第三方伙伴来讲，是不同的安全域；即移动支 撑系统整体上作为一个安全域，而与之相连接的业务系统、internet、合作伙伴等是另一个安全域。 在网管系统内部，从不同的角度安全域的划分也不尽相同： （1）横向：按照业务将支撑系统划分各个不同的安全域，如业务支撑系统安全域、网管系统安全 域、企业信息化系统安全域等； （2）纵向：各安全域又可以按照地域和管理分为集团公司、省公司和地市分公司三个层面的安全 子域，如集团网管系统安全子域、省公司网管系统安全子域、地市分公司的网管系统安全子域。 （3）对于每一个安全子域，如集团公司网管系统安全子域，可以进一步划分为安全区域，即从安 全的角度将处于安全子域中的设备，考虑到其所处的位置或连接的不同，将他们划分在不同的安全区 域中。例如可分为互联接口区、核心生产区、日常维护管理区（维护终端）、第三方接入区（漫游区） 、dmz 区等。 qb-w-001-2007 14 图 6.1 安全域划分的示意图 （注：从风险控制、技术实现和节省投资的角度考虑，本要求中暂不在集团或者省公司各支撑系 统内部、针对不同应用子系统进一步划分安全子域。随着对网络安全要求的提高和技术进步，将来再 逐步加强各支撑系统内部子系统之间的访问控制。） 6.5网络调整网络调整 根据上述安全域的划分原则，结合目前网管系统的现状，需要从广域网、局域网、终端三个方面 进行网络调整，实现支撑系统之间的有效隔离。 6.5.1广域网广域网 根据实际情况，目前网管系统的广域网主要采用了 ip 承载网的传输，不同网管系统之间通过 vpn 基本做到了隔离。因此，广域网目前集团与省相连部分基本符合安全域划分的要求，下一步建议考虑 将不同的 vpn 进行整合。 qb-w-001-2007 15 6.5.2局域网局域网 各支撑系统在集团省地市三级节点的局域网组织基本采用了网络分层的架构体系，即接入层、 核心层。但是接入层比较混乱，基本没有经过整合，不利于管理和维护。在确定安全域划分的原则后， 需要对支撑的网络架构进行规划，分为接口汇聚层、核心交换层、子系统层： （1）接口汇聚层：主要对系统的各种出口进行汇聚，主要包括路由器设备、局域网交换设备以及 某些特定的接口使用的一些安全设备等。例如集团公司的网管系统，包括与省公司的通信路由器和采 集路由器等，数量达到 26 个左右，给统一配置带来一定的管理难度，可以通过两或三台高端路由器进 行汇聚，当然，对汇聚路由器的端口、性能和处理能力有很高的要求。 （2）核心交换层：主要包括核心交换机设备，实现外部接口与各子系统之间的数据交互，以及子 系统之间的数据交互。 （3）子系统层：实现各功能应用的子系统，包括服务器和终端等。各子系统接入核心交换区，可 以通过不同的 vlan 实现各子系统的数据流的相对隔离。 在支撑系统的后续建设时，按照三层网络架构进行部署，根据后面边界整合的原则确定接口的互 联方式，终端、服务器应该按照 6.6 节安全区域划分的原则进行部署。 图 6.2 支撑系统各局域网目标网络架构示意图 按照集中安全管理及防护的原则，网络改造可以根据局址的实际情况，采用不同的方案： 一、同一局址 增加核心交换设备，构建清晰的网络架构，将各套网管系统统一纳入安全集中管理， qb-w-001-2007 16 按照大院模式进行集中防护。 图 6.4 单一局址的集中防护 二、不同局址 1)方案 1 不同局址建设一个共同的大院、有共同的核心交换网络，有共同的边界，但不同局址 可以分别设置自己的日常工作区、核心服务区。实现集中边界访问控制、入侵检测、账号 口令管理、终端管理。 图 6.5 不同居址共同防护 qb-w-001-2007 17 2)方案 2 不同局址可以根据需要分别建设大院、有不同的核心交换网络和安全分区，或者只在 有重要系统的局址建设大院，其它局址分单系统进行防护。 不同局址、没有互联的系统，在防火墙、入侵检测、账号口令管理、终端管理的控制 方面实现集中； 图 6.6 不同居址，分别防护 6.5.3终端终端 终端层面的调整目标是实现终端的隔离，即生产终端与办公终端的物理分离。解决终端的隔离问 题，主要依赖于管理手段，原则上应该通过设置生产终端与办公终端的完全分离，即设置专用的终端 来实现不同支撑系统之间在终端层面的隔离，例如办公系统设置办公终端，网管系统设置网管系统的 专用终端。此方式安全性高，但是，对用户的使用会带来较多的不便，因此在具体实施时可以采用统 一代理、统一认证或只对具备权限的终端设置 vpn 客户端的方式，使某一支撑系统的终端（如办公终 端）通过规范的统一端口访问其余的支撑系统，例如，在办公终端中，只对网管维护管理人员安装网 管 vpn 的客户端，这样只有安装网管 vpn 客户端的办公终端才能通过权限认证等方式访问网管系统， 既保证了安全性也保证了业务需求。 目前有些省采用终端混用方式，即通过插拔网线或终端上配置双网卡方式，使同一终端能够通过 简单的配置，没有任何控制措施直接访问不同的系统（主要在于办公系统与生产系统之间），混用方 式严格禁止。 对于系统间的互访，应根据系统的保护等级、互访对象的风险大小，按照第 5 章提出的互联原则， 设置互联接口。这种情况下，终端访问另一个系统时，通过统一设置的严格访问控制的互联接口，是 允许的。如某一支撑系统内部的终端访问另一支撑系统时，属于系统之间的互访，则需要通过支撑系 qb-w-001-2007 18 统之间统一设置的访问控制的互联接口进行访问。 图 6.7 终端对支撑系统的访问的两种情况 6.6网管系统的安全域划分网管系统的安全域划分 对于中国移动，网管系统本身相当于一个安全域，而对于某一网管系统，又可划分为集团公司层 面、省公司层面、地市层面的安全子域。下面针对各安全子域，进行安全区域的划分。 目前，各支撑系统的组网和边界没有统一的规划，支撑系统内部的各部分设备由于不同的互联需 求，面临的威胁也不同，其安全需求也存在很大差异。 （1）生产服务器：一般都是 unix 平台，资产价值最高，不直接连接外部网络，主要的安全需求 是访问控制、帐号口令、权限管理和补丁的管理。 （2）维护终端：一般都是 windows 平台，维护管理人员可以直接操作，其用户接入的方式也不 尽相同（本地维护终端、远程维护终端），面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁， 其安全需求是安全策略的集中管理、病毒检测（固定终端）、漏洞补丁等。 （3）集成商、设备商：对支撑系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临 着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括 ipmac 地址绑定、 帐号口令、访问控制，以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等。 （4）互联网的应用随着业务的发展也越来越多，面临着黑客入侵、病毒扩散等威胁，主要的安全 需求是入侵检测、病毒防护、数据过滤等。 因此，下面将结合实际的管理需求，对网管系统的安全域进一步进行划分。 集团网管和省网管分别划分为不同的安全域，再根据安全域内部的不同安全需求，将各网管系统 qb-w-001-2007 19 划分安全子域（图 6.5）：核心生产区、日常办公区、接口区、内部系统互联网区、第三方接入区、 dmz 区，具体描述如下： （1）核心生产区：放置话务网管、传输网管、信令监测等核心主机设备，包括核心应用服务器、 数据库服务器、存储设备等。 （2）日常办公区区：用于日常维护的终端。 （3）接口区：省网与地市（集团与省网）互联接口、与网元采集设备的互联。 （4）内部系统互联区：与业务支撑系统、企业信息化系统的互联。 （5）第三方接入区：网管开发厂商接入、现场支持、移动终端接入。 （6）dmz 区：放置数据网管与网元进行数据交换的服务器，如数据采集机。 （7）日常操作区：放置省公司网络部门的维护终端。 （8）管理服务区：放置各种统一的管理服务设备（如未来的 4a 系统等，暂时无相关设备的，可 以预留该区域） 图 6.8 网管系统安全域划分 7边界整合的原则边界整合的原则 安全域划分的原则明确以后，安全域的边界访问控制将是关注的重点。 目前安全域之间互联接口数量越多，安全性越难以控制，为达到一定的安全标准，就要投入巨大 的人力财力，但由于接口混杂，安全效果往往不佳；中国移动支撑网目前确实存在边界不清、连接混 qb-w-001-2007 20 乱的实际问题，在此情况下只有在保证支撑系统的各种互联需求的有效提供的前提下对安全域的边界 进行合理的整合，对系统接口的进行有效的整理和归并，减少接口数量，提高系统接口的规范性，才 能做到“重点防护、重兵把守”，达到事半功倍的效果。 本章节主要是对接入点进行整合，减少接入数量。保护方式的整合将在下一章节保护原则中进行 描述。 7.1网管系统对外的边界整合网管系统对外的边界整合 7.1.1与互联网的边界整合与互联网的边界整合 目前总部，重庆与浙江各个支撑系统与互联网的边界整合已经纳入“支撑系统互联网出口整合” 项目落实，并已经完成，其余各省公司的网管系统的互联网边界整合也纳入“支撑系统互联网出口整 合”项目。 7.1.2与第三方的边界整合与第三方的边界整合 支撑系统与第三方的边界主要包括现场支持、远程接入。 由于网管系统的第三方是不同的集成商或者漫游终端，因此针对网管系统，设置统一出口；原则 上地市不允许第三方直接连接。 7.2网管系统与其他支撑系统之间的边界整合网管系统与其他支撑系统之间的边界整合 为了更有利于各支撑系统之间的互联控制，减少连接的风险和投资，网管系统与其他支撑系统之 间的互联接口设在集团公司和省公司层面，地市级不允许直接互联，如果有互访要求，则必须迂回到 省公司的互联接口。如果业务连接需求发生变化，需要重新调整安全策略并省公司/总部一级网络安全 部门重新申请。 目前各支撑系统之间还存在着终端混用的问题，则可以通过下述方式解决：通过增加相应的终端， 实现不同的支撑系统之间完全隔离，如果某支撑系统的终端对其他支撑系统有访问需求时，则须迂回 到省公司的互联接口。 7.3网管系统的边界整合网管系统的边界整合 网管系统的边界整合，主要是在保障业务的同时对接口进行归并，减少接口数量。具体的保护方 式见下面安全域边界的防护原则等章节。 针对网管系统目前对外的互联接口，其互联边界整合为： 网管系统内部的互联边界：集团公司省公司地市连接的互联； 与移动内部其他系统，如业务支撑系统、企业信息化系统等的互联； qb-w-001-2007 21 与第三方（集成商、设备商）的互联； 与 cmnet 的互联（放到“支撑系统互联网出口整合”项目进行落实）； 图 7.2 网管系统的互联边界分布图 8安全域保护的原则安全域保护的原则 参考中办发200327 号文中信息安全等级保护的指导意见、nist sp80053（it 系统安全控制） 、iatf 关于域边界/外部连接的保护，结合中国移动支撑系统的安全需求以及系统已采用的安全措施， 综合平衡安全成本和风险，“重点防护、重兵把守”，综合部署安全域边界和内部的保护。 8.1安全域边界的保护原则安全域边界的保护原则 安全域边界的保护原则是：应以通为主，以隔为辅，即在保证业务系统连通需求的前提下，根据 各安全域的威胁等级、保护等级，部署支撑系统的保护方式。 对于网管系统与其他支撑系统之间的互访，安全设施部署在保护等级高的一侧。如在业务支撑系 统与网管系统互联时，防火墙设置在业务支撑系统一侧，网管系统与信息化系统互联时，防火墙放在 网管系统一侧。 对于同一安全域的集团公司省公司地市分公司三级安全子域之间的相互连接，可以考虑采用 单一防火墙的设置，即集团与省公司之间的连接，仅在集团侧设置单一防火墙；省公司与地市之间的 连接，仅在省公司侧设置单一防火墙。如果承载网络设备除用于连接上下两级子域之外，还连接了其 qb-w-001-2007 22 它子域，如省公司网管系统一侧与集团公司互联的路由器可能还负责与地市 omc 或者地市公司互联， 连接的两端依然需要分别设置防火墙。 8.1.1安全域互访的风险分析安全域互访的风险分析 根据前面安全域的划分原则，各个安全域之间的互联关系比较多，下面根据前面 6.2 章节各安全域 的威胁等级分析，对各安全域互访的风险进行分析，分为安全、较低风险、中度风险、较高风险、高 度风险等，示意图如下： 表 8.1 安全域互联风险示意图 等级 1234 网络网管系统其他支撑系统第三方互联网 1 网管系统 11 1=2 1=3 1=4 2 其他支撑系统 2=1 22 2=3 2=4 3 第三方 3=1 3=2 4 互联网 4=1 4=2 说明： 表示安全表示低度风险表示中度风险表示较高风险表示高度风险 8.1.2安全域互访的原则安全域互访的原则 安全域之间的互访一般是双向的，对数据流向没有严格的管理和控制，也就无法保证阻止信息的 攻击，当然也无法确保系统的安全。 因此，根据各安全域的保护等级，以及安全域互访的风险分析，设置安全域互访的原则：高保护 等级访问低保护等级的安全域时只允许写，低保护等级访问高保护等级的安全域时只允许读。即访问 的操作权是由高保护等级的系统进行控制的，这样就能保证高保护等级的系统不受低保护等级系统的 攻击、病毒扩散等影响。 随着安全需求的变化和技术的成熟，安全域的互访原则将逐步实现。 qb-w-001-2007 23 8.1.3安全域边界的保护方式安全域边界的保护方式 在边界整合基础上，结合安全域的威胁等级和保护等级，采用“重点防护、重兵把守”的原则， 进行安全域互联边界的防护。 目前的互联与保护方式主要有：单层防火墙控制下的直接互联、双重异构防火墙控制下的直接互 联、接口服务器（如 portal）方式实现的服务器服务器的互联、接口服务器结合物理隔离的互联 等。当然，在系统的安全部署时，还要按照中国移动技术发展路标（2006 版）关于安全技术体系 的要求，结合不同系统互联的风险，适当选择入侵检测、访问控制等其它的安全手段。 下面分别从技术、安全性、实施难度、投资角度进行分析，并结合安全域的保护等级、威胁等级， 确定上述防护方式所适用的应用环境： （1）通过单层防火墙实现两个安全域边界的访问控制 单层防火墙可以根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，但是单层防 火墙只能在一定程度上对系统进行隔离防护，因此适用于威胁等级相差较小的安全域之间的连接，123 之间的互访，即： 网管系统与其他支撑系统之间的互访 支撑系统内部：集团省公司地市的连接 第三方、漫游终端对支撑系统的访问，也可采用单层防火墙。 但是考虑到保护等级的不同，在设置支撑系统之间的互访时，单层防火墙设置在保护等级高的一 侧。 （2）通过双重异构防火墙实现边界的访问控制 双重异构防火墙对单层防火墙进行了加强，通过在双重异构防火墙上设置不同的安全策略，并结 合了部分应用改造设置停火区。此种方式对外屏蔽了核心系统，因此，对系统的防护更加有效。 适用于威胁等级为“高度风险”的系统与等级为 1、2 的支撑系统的连接，即 41、42 的连接。 通过实施支撑系统互联网出口整合项目，目前总部的数据网管对 cmnet 的连接，采用的是双层 异构防火墙的方式。 （3）通过接口服务器（如 portal）实现系统之间的互访 在两个互访系统之间设置接口服务器，实现 serverserver 的通信。在该系统访问其它系 统时，均通过接口服务器实现，而其他系统访问该系统时，也只能访问该系统的接口服务器。 通过接口服务器实现边界的访问控制，对后台的核心系统进行屏蔽，展现的只是 1 台应用接口服 务器，对系统的防护更加有效，适用于威胁等级为 3、4 的系统与 1、2 的支撑系统的连接，