中国移动管理信息系统安全域划分技术要求V1.0.0-09X019.doc

QB-中国移动通信企业标准QB-X-019-2009中国移动管理信息系统安全域划分技术要求Technical Requirements for Division of Security Domain of CMCC MIS 版本号：1.0.02010-1-15实施2010-1-15发布中国移动通信集团公司 发布QB-X-019-2009目录前 言II1.范围12.规范性引用文件13.术语、定义和缩略语14. 综述24.1背景24.2现状24.2.1应用系统架构24.2.2网络架构35.安全域45.1划分原则45.2安全域划分55.2.1一级安全域划分55.2.2二级安全域划分55.3集团总部安全域划分205.4省公司安全域划分216.边界整合216.1边界定义216.2 DMZ区边界整合236.3合作伙伴互联区边界整合236.4内部系统互联区边界整合246.5安全区外部边界整合256.6省公司与集团公司边界整合256.7安全区内部边界整合256.8核心安全区内部边界整合267.编制历史26前 言本标准对中国移动管理信息系统安全域划分提出了全面要求，是总部以及各省公司管理信息系统开展安全域划分工作时所需要遵从的指导性技术文件。本标准主要内容包括管理信息系统现状、安全域划分原则和划分方式、安全域边界整合要求。本标准是中国移动管理信息系统安全防护体系技术规范系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称1QB-X-017-2009中国移动管理信息系统安全防护体系总体技术要求2QB-X-018-2009中国移动管理信息系统安全域边界防护技术要求3QB-X-019-2009中国移动管理信息系统安全域划分技术要求4QB-X-020-2009中国移动管理信息系统安全基线规范5QB-X-021-2009中国移动管理信息系统安全加固规范6QB-X-022-2009中国移动管理信息系统安全风险评估规范7QB-X-023-2009中国移动管理信息系统集中灾备系统技术规范本标准由中移技201017号印发。本标准由中国移动通信集团公司管理信息系统部提出，集团公司技术部归口。本标准起草单位：中国移动通信集团公司管理信息系统部本标准主要起草人：陈江锋、冯运波、侯春森、康小强、陈豫蓉II1.范围本标准规定了中国移动管理信息系统的安全域划分原则和边界整合要求，供中国移动总部、省公司、设计院、研究院使用；适用于开展管理信息系统安全域划分工作。2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。序号标准编号标准名称发布单位1中国移动网络与信息安全总纲中国移动通信集团公司2中国移动支撑系统安全域划分及边界整合技术要求中国移动通信集团公司3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准：词语解释安全域具有相同或相近的安全需求、相互信任的区域或网络实体的集合。一个安全域内可进一步被划分为安全子域。非中国移动计算机系统不由中国移动建设和管理的计算机系统，包括银行、邮储、SP、合作伙伴等。IT支撑系统为支持公司运营、管理的IT系统的总称，包括网管系统、业务支撑系统和管理信息系统。AAAA账号管理、认证、授权与审计ACL访问控制列表CMNet中国移动互联网DMZ非军事化区DNS域名服务器IDS入侵检测系统IPSec互联网协议安全MDCN移动数据通信网MPLS多协议标记交换VPN虚拟专用网VLAN虚拟局域网4. 综述4.1背景中国移动已经基本建成了覆盖办公自动化、企业财务、人力资源、供应链、员工服务和信息共享的管理信息系统，为公司日常管理和决策提供了有效支撑，但随着应用种类逐渐丰富、用户数量急剧增加、接入方式多种多样、系统互联及整合要求增强，系统和网络面临的安全风险也愈加严峻。目前，总部和部分省公司已初步划分了不同的安全域，便于对网络及访问操作向进行安全管控，但仍存在着划分原则不明确、不易于兼容新应用、数量过多或过细等问题，因此迫切需要对全集团的管理信息系统制定统一的、合理的安全域划分原则。中国移动网络与信息安全办公室制定了中国移动支撑系统安全域划分与边界整合技术要求，确定了支撑系统安全域划分的基本原则，界定了各支撑系统的安全风险等级。本技术要求在此基础上，结合管理信息系统的现状和安全需求，制定了管理信息系统内部的安全域划分原则及边界整合和防护要求，指导集团和省公司管理信息系统的建设维护工作。4.2现状4.2.1应用系统架构中国移动管理信息系统总体上采取“集团-省”两级数据中心架构。一级中心为集团总部（南方基地）数据中心，其中集团总部部署的应用既有面向总部的ERP和统一信息平台等本地应用，也有面向全国的IT监控中心、网上教育、差旅系统、灾备和共享中心等全国性应用；南方基地正在建设中，将实现与总部数据中心的互备与负载均衡，形成南北双中心，另外南方基地将支撑西藏等省公司，万众、辛姆巴科等海外公司的应用系统的集中化。二级中心为各省的数据中心，主要部署分省集中的ERP和统一信息平台等应用。下图为集团管理信息系统整体结构：图4-1 集团管理信息系统整体结构集团和省公司管理信息系统的应用种类不尽相同、用户数量也差异巨大，但其整体系统架构基本相同：系统外部的接入及访问，内部系统之间的互联，数量众多的用户终端，以服务器为核心单元。4.2.2网络架构集团（南方基地）与省公司两级数据中心之间通过由构建在IP承载网之上的管理信息系统广域网实现互联。为保证与Internet接入的安全，总部和各省管理信息系统数据中心应首先与中国移动统一Internet出口互联，进而实现与Internet的互联。5.安全域根据IT系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等，可以将IT系统局域网划分成不同的逻辑域，即安全域。同一安全域中的信息资产具有相同或相近的安全属性和需求，如安全级别、安全威胁、安全弱点、风险等，同一安全域内的系统相互信任，如在业务层面存在密切的逻辑关系。一个安全域内可进一步被划分为二级安全域、安全子域等等。5.1划分原则(一) 业务保障原则：安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。(二) 结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。(三) 等级保护原则：安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。(四) 生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。5.2安全域划分依照上述划分原则，结合应用系统和网络现状，中国移动管理信息系统采用两级安全域划分方式。5.2.1一级安全域划分首先定义一级安全域，其安全需求和保护级别较为固定，一级安全域之间的相互关系，如数据流向等，也较为简单。中国移动管理信息系统可划分为五个一级安全域： 公共区 半安全区 内部业务区 安全区 核心安全区 管理信息系统一级安全域划分5.2.2二级安全域划分在一级安全域内部，按照接入方式、业务类型、服务对象和安全风险的不同，可以再划分多个二级安全域，原则上具有相近安全等级和需求的系统都归入同一个二级安全域。如果一些特殊的安全子域有特殊的要求，可以进一步定义。 公共区：Internet区、VPN用户区、合作伙伴区； 半安全区：包括DMZ区、合作伙伴互联区、内部系统互联区等； 内部业务区：对于集团公司来说，内部业务区包括集团公司其它IT支撑系统区和省公司管理信息系统。对于省公司来说，内部业务区包括省公司其它IT支撑系统区和集团管理信息系统； 安全区：包括办公终端区、运维终端区和开发测试区等； 核心安全区：包括终端认证区、对内应用区、对外应用区以及管理区。如下图所示：管理信息系统二级安全域划分具体各二级安全域的定义、部署原则、相关业务数据流、安全策略及安全设备需求的描述如下：5.2.2.1公共区5.2.2.1.1公共区划分公共区是指不能直接应用中国移动安全策略的的区域，即所有不在中国移动直接控制范围的实体和区域，包括互联网、其他合作伙伴、第三方等。此区域被定义为非安全的，需要对从此区域来的数据流进行严格的控制。公共区包含不同种类的外部访问设备(通过互联网、拨号、专线和VPN 等方式连到中国移动管理信息系统的环境) 及外部用户资源(包括用户的网页浏览器、WAP浏览器、客户端程序及用户终端程序等)，这些都在中国移动控制环境之外。另外公共区也包含中国移动管理信息系统内部系统与外部系统的边界设备，如接入路由器、外部入侵检测。公共区通常可划分为:Internet区、VPN用户区和合作伙伴区。5.2.2.1.2公共区的业务数据流 Internet用户区DMZ区：双向访问。比如，员工或外部第三方通过互联网访问DMZ区的应用代理服务器；员工在内网通过DMZ区的代理服务器或网关访问互联网。或者内外部邮件系统的互联。 VPN用户区-DMZ区：单向访问。员工或远程维护人员通过互联网，利用VPN方式，连接到管理信息系统DMZ区的VPN网关。 合作伙伴区 合作伙伴互联区: 双向访问。与合作伙伴通过专线或Internet连接，通过合作伙伴互联区实现互访。5.2.2.1.3公共区的安全策略该区域具有以下安全策略： 该区域中的Internet用户和VPN用户只能访问到半安全区域中的DMZ区域。该区域中的合作伙伴只能访问到半安全区域中的合作伙伴互联区。 公共区域和半安全区域需采用接入路由器作为第一层过滤，防火墙作为第二层过滤，阻止或拒绝来自互联网的恶意访问进入内部网络。 防火墙上必须仅开放业务相关的应用层端口，如80端口。DMZ区的设备如需要通过互联网进行维护，必须采用VPN的方式接入后再对相关设备进行维护，不能直接在互联网上开放维护端口。 合作伙伴区访问合作伙伴互联区时，防火墙上应根据业务需要开放端口，并限制目的IP地址，目标端口号和目的IP地址不能为“any”。5.2.2.2半安全区5.2.2.2.1半安全区划分半安全区是不可控区域（公共区或内部业务区）和管理信息系统内部资源之间的“缓冲带”，避免不可控区域的人或系统直接访问安全区和核心安全区的资源。半安全区允许来自公共区或内部业务区的访问并提供相应服务，具体放置设备包括代理服务器、转发服务器、应用网关、接口机等。同时，由于易受攻击、安全风险较高，应避免放置重要设备和机密资源。按照访问对象及接入方式的不同，半安全区可分为三个二级安全域：DMZ区、合作伙伴互联区和内部系统互联区。如下图所示： 5.2.2.2.2 DMZ区DMZ区属于管理信息系统的控制范围内，但因为给互联网和外部用户提供服务而易受到安全威胁和侵害，属于不完全受信任的区域。DMZ区域提供对外的服务，让处于公司外部的员工、Internet用户能通过该区域访问内部的服务器。DMZ区放置的设备包括企业代理服务器、短信息转发服务器、邮件代理服务器和邮件防病毒服务器、外部DNS服务器等。可以根据业务及安全需求，将DMZ区进一步细分：如对外服务DMZ区和对内服务DMZ区。对外服务的DMZ区完全对公众开放，一般该区域不会访问内部的核心安全区服务器。对内服务的DMZ区专门负责内部用户或系统与互联网的交互，如邮件服务器、代理服务器、DNS服务器等。具体划分方式可以在多端口的外部防火墙上设置多个DMZ端口，并作相应连接和策略设置，从而实现多个DMZ区的划分。5.2.2.2.2.1 DMZ区的业务数据流 Internet区 DMZ区: 员工或外部第三方接入通过互联网访问DMZ区的应用代理服务器；员工在内网通过DMZ区的代理服务器或网关访问互联网；其他如内外部邮件系统的互联。可以双向互访。 VPN用户区DMZ区：员工或远程维护人员从互联网区通过VPN软件连接到管理信息系统的VPN网关，再访问管理信息系统DMZ区的应用。可以双向互访。 办公终端区-DMZ区：内部员工访问DMZ区的应用，或者通过DMZ区域的代理服务器访问互联网。仅办公终端区到DMZ区方向的访问。 运维终端区-DMZ区: 维护人员访问DMZ区的应用，或者通过DMZ区域的代理服务器访问互联网。仅运维终端区到DMZ区方向的访问。 内部应用区DMZ区：员工通过互联网访问DMZ区的应用代理服务器，进而代理访问核心应用；内部员工的邮件等服务通过DMZ区的代理转发，再通过公共区发送到互联网。可以双向互访。 对外应用区DMZ区：外部第三方通过互联网访问DMZ区的应用代理服务器，进而代理访问核心应用； 管理区DMZ区：DMZ区的应用认证需要访问管理区。DMZ区的设备直接发送日志信息到管理区的日志服务器；系统管理员、网络管理员、安全管理员从管理区直接连接到DMZ区设备上进行维护管理。可以双向互访。 开发测试区-DMZ区: 开发人员访问DMZ区的应用，或者通过DMZ区域的代理服务器访问互联网。仅开发测试区到DMZ区的方向访问。5.2.2.2.2.2 DMZ区的安全策略该区域具有以下安全策略： DMZ区域允许来自公共区域的访问。 DMZ区设备一般情况下使用中国移动地址规范中为该区域分配的内部IP地址，在外部防火墙上采用NAT或PAT作为外部可访问地址和内部地址间的转换。如果使用外部IP地址，需特殊申请并作严格的安全审查，在外部防火墙上实施相应的策略控制。 DMZ区域和公共区之间必须设置外部防火墙，在DMZ区与其他半安全区、安全区、核心安全区之间也需要设置防火墙，两级防火墙要求异构，防火墙策略必须严格并定期审查。 DMZ区域和公共区域之间保密信息的交换需要加密。 DMZ区域中建议部署上网代理服务器，对用户的上网安全进行一定的保护。 DMZ区域中的设备需位于管理信息系统部的机房或物理控制之下。 DMZ区域的主机应安装防病毒系统。 DMZ区域的主机需要定期进行安全评估；定期进行漏洞扫描。 DMZ区访问核心安全区和管理区的时候，需要在防火墙上做严格的访问控制，仅开放相应的业务端口及IP地址，源IP和目的IP均要限制在最小范围内。5.2.2.2.2.3 DMZ区系统或设备部署原则该区域的部署原则如下，满足其中一项原则的系统或设备即可部署在该区域： 需要对来自Internet的用户提供服务的，如Web网站和VPN网关等。 需要接收来自Internet的信息且为内部系统提供服务的，如邮件服务器等。 需要提供内部用户访问Internet服务的，如上网代理服务器。 需要向Internet发送信息且为内部系统提供服务的，如短信接口服务器。5.2.2.2.3内部系统互联区5.2.2.2.3.1 内部系统互联区的业务数据流 运维终端区-内部系统互联区：维护人员访问内部系统互联区的接口机。仅运维终端区到内部系统互联区的访问。 对内应用区内部系统互联区：核心安全区的内部应用通过内部系统互联区的接口机实现与其他IT支撑系统（如业务支撑系统和网管系统）的数据交互。可双向互访。 管理区内部系统互联区：内部系统互联区的应用认证需要访问管理区。内部系统互联区的设备直接发送日志信息到管理区的日志服务器；系统管理员、网络管理员、安全管理员从管理区直接连接到集团省公司互联区设备上进行维护管理。可双向互访。 其它IT支撑系统内部系统互联区：其它IT支撑系统（如网管和业务支撑系统）通过内部系统互联区的接口机实现与管理信息系统的数据交互。可双向互访。5.2.2.2.3.2 内部系统互联区的安全策略 集团总部内部系统互联区允许来自集团总部业务支撑系统和网管系统的访问，省公司内部系统互联区允许来自省公司业务支撑系统和网管系统的访问。 内部系统互联区域的设备需使用中国移动地址规范中为该区域分配的内部IP地址，而且只接收以中国移动内部IP地址为源地址的访问。 内部系统互联区和对端业务支撑系统或网管系统之间一般需设置防火墙。 内部系统互联区和管理信息系统其他安全区域之间数据流必须通过防火墙。 管理信息系统和业务支撑、网管之间交换数据的网关、接口机应放在内部系统互联区，并受到防火墙的保护。防火墙上应配置严格的安全策略，仅允许与所需业务相关的端口开放。对于维护端口的策略，应限制IP地址，仅允许维护和开发测试区的地址访问维护端口。 内部系统互联区中的设备需位于管理信息系统部的机房或物理控制之下。 需要安装主机防病毒系统，防止病毒入侵。5.2.2.2.3.3 内部系统互联区的系统或设备部署原则该区域的部署原则如下，满足其中一项的系统或设备即可部署在该区域： 需要处理（接收或转发）管理信息系统和其他IT支撑系统之间交互信息的系统或设备，如与BOSS系统的接口机等。5.2.2.2.4合作伙伴互联区5.2.2.2.4.1合作伙伴互联区的业务数据流 运维终端区-合作伙伴互联区：维护人员访问合作伙伴互联区的设备。仅运维终端区到合作伙伴互联区的访问。 对外应用区合作伙伴互联区：核心安全区的对外应用区的应用通过合作伙伴互联区的设备实现与合作伙伴的数据交互。可双向互访。 管理区合作伙伴互联区：合作伙伴互联区的应用认证需要访问管理区。合作伙伴互联区的设备直接发送日志信息到管理区的日志服务器；系统管理员、网络管理员、安全管理员从管理区直接连接到合作伙伴互联区设备上进行维护管理。可双向互访。 合作伙伴区 合作伙伴互联区:与合作伙伴通过专线连接，通过管理信息系统合作伙伴互联区实现互访。可以双向互访。5.2.2.2.4.2合作伙伴互联区的安全策略 合作伙伴互联区是供中国移动合作伙伴接入或访问的区域，可能存放中国移动的保密信息。如果需要访问此区域中的系统，需要进行认证。认证过程需能够保护访问系统或者用户的认证信息，避免信息泄漏或认证过程的重放。合作伙伴互联区和合作伙伴区之间涉密信息的交换需要加密。 合作伙伴互联区设备一般使用中国移动地址规范中分配的内部IP地址，在防火墙上采用NAT或PAT作为外部可访问地址和内部地址间的转换。如果使用外部IP地址，需特殊申请并作严格的安全审查，在外部防火墙上实施相应的策略控制。 合作伙伴互联区域和合作伙伴区之间必须设置防火墙，防火墙策略必须严格并定期审查。 合作伙伴互联区域和合作伙伴区域之间保密信息的交换需要加密。 合作伙伴互联区域中的设备需位于管理信息系统部的机房或物理控制之下。 合作伙伴互联区域的主机应安装防病毒系统。 合作伙伴互联区域的主机需要定期进行安全评估；定期进行漏洞扫描。 合作伙伴互联区访问核心安全区或管理区的时候，需要在防火墙上做严格的访问控制，仅开放相应的业务端口及IP地址，源IP和目的IP均要限制在最小范围内。5.2.2.2.4.3合作伙伴互联区的系统或设备部署原则该区域的部署原则如下，满足其中至少一项原则的即可部署在合作伙伴互联区： 需要对来自合作伙伴提供服务的系统或设备，具体如合作网站等。 需要与合作伙伴交互信息并对内部系统服务的系统或设备，如业务系统的前置机等。5.2.2.3内部业务区5.2.2.3.1内部业务划分内部业务区是指属于中国移动公司内部但不受管理信息系统自身安全策略直接控制的区域。一般情况下，其他IT支撑系统，如业务支撑系统和网管系统，都属于内部业务区；另外，由于管理信息系统的两级架构，对于集团和省公司来说，对端的管理信息系统也属于内部业务区。此区域可认为是安全的，其可信程度高于公共区，但由于不属于管理信息系统管控范围内，因此对从此区域来的数据流也要进行访问控制。5.2.2.3.2内部业务区的业务数据流 移动内部其它IT支撑系统区内部系统互联区：双向访问。移动内部其它IT支撑系统与管理信息系统均通过内部系统互联区中的接口机进行信息交互。 省公司管理信息系统集团核心安全区：双向访问，主要是省公司访问集团公司的全国性应用。一般仅限于省公司的办公终端用户、核心应用服务器。省公司的运维终端、开发测试终端原则上不允许访问集团公司的核心应用区。 集团管理信息系统省公司核心安全区：双向访问，主要是集团公司下发的公文等信息。一般仅限于集团公司的核心安全区与省公司的核心应用服务器之间的访问。集团公司的终端区原则上不允许访问省公司的核心应用区。5.2.2.3.3内部业务区的安全策略该区域具有以下安全策略： 移动其它IT支撑系统只能访问到半安全区域中的内部系统互联区域。 对于集团公司，省公司管理信息系统作为内部业务区的一个子域，其核心安全区、办公终端可访问集团公司的核心安全区。 对于省公司，集团公司管理信息系统作为内部业务区的一个子域，其核心安全区能访问省公司的核心安全区。 该区域中，需要部署防火墙隔离其它IT支撑系统与半安全区中的内部系统互联区。防火墙上必须仅开放业务相关的应用层端口。如需要被维护，必须在开放管理端口的同时限制源IP地址。5.2.2.4安全区5.2.2.4.1安全区划分安全区是移动管理信息系统内部用户所在的区域，包括办公人员、开发人员、维护人员等，属于可信区域，接入核心交换机时原则上不需要通过防火墙过滤，但仍需要VLAN、路由或访问列表进行过滤，以保护该区域数据安全，同时也防止区域内部安全故障扩散到其它区。该区域中也可放置一些重要程度不高且经常使用的服务器，为本区域内的终端提供服务，如防病毒服务器等。对于该区域内设备的访问和修改需要基于身份验证的授权。集团总部的安全区包括办公终端区、运维终端区和开发测试区三个二级安全域，省公司的安全区包括办公终端区、运维终端区、地市公司办公区和开发测试区四个二级安全域。如下图所示：集团总部安全区划分省公司安全区划分5.2.2.4.2办公终端区5.2.2.4.2.1 办公终端区的业务数据流 办公终端区-DMZ区：单向访问。内部员工访问DMZ区的应用，或者通过DMZ区域的代理服务器访问互联网。 办公终端区-对内应用区：单向访问。内部员工收发内部邮件、OA办公、防病毒软件特征库更新等都需要访问应用区的相应服务器。 办公终端区管理区：双向访问。办公终端区的设备直接发送日志信息到管理区的日志服务器；管理区的安全管理设备访问办公终端区的终端设备；系统管理员、网络管理员、安全管理员从管理区直接连接到办公终端区设备上进行维护管理。 办公终端区开发测试区：单向访问。主要是办公终端对开发测试区的应用进行测试时进行的数据交互。 办公终端区-终端认证区：单向访问。员工终端在接入网络前，需符合终端接入的相关要求。需要访问终端认证区确认后方能访问网络内其它安全区。5.2.2.4.2.2 办公终端区的安全策略该区域具有以下安全策略： 办公终端区设备需使用中国移动地址规范中划分的内部IP地址。 办公终端区和半安全区之间必须设置防火墙，把管理信息系统的内部网络和外部网络隔离。 不允许从公共区域直接访问办公终端区，办公终端区不能直接访问公共区域，必须通过半安全区域才能访问公共区域。 不允许来外部或第三方的访问。例如，不允许和外部第三方公司建立路由。防火墙上应配置安全策略禁止安全区访问第三方公司。 建议安装网络IDS来检测各种入侵行为，建议定期进行安全评估，建议定期进行漏洞扫描。 办公终端需要符合终端接入的相关要求，如安装防病毒软件、操作系统无漏洞等。 办公终端必须经过4A平台统一认证、授权才能接入网络，并有相关的审计策略对运维终端的行为进行审计。5.2.2.4.2.3 办公终端区部署原则 办公终端区仅允许部署办公用户的台式机、笔记本、打印机等设备。5.2.2.4.3运维终端区5.2.2.4.3.1 运维终端区的业务数据流运维终端区和办公终端区比较类似，根据具体应用的需要不同，有可能会包括办公终端区的一条或多条业务数据流。通常都会访问服务器区和公共区。 运维终端区-DMZ区:单向访问。维护人员访问DMZ区的应用，或者通过DMZ区域的代理服务器访问互联网。 运维终端区-内部系统互联区：单向访问。维护人员访问内部系统互联区的接口机。 运维终端区-对内应用区：单向访问。维护人员访问对内应用区的应用或对对内应用区设备进行维护操作。 运维终端区-对外应用区：单向访问。维护人员对对外应用区设备进行维护操作。 运维终端区管理区：双向访问。运维终端区的设备直接发送日志信息到管理区的日志服务器；管理区的安全管理设备访问运维终端区设备；系统管理员、网络管理员、安全管理员从管理区直接连接到运维终端区设备上进行维护管理；授权的系统管理员、网络管理员、安全管理员从运维终端区直接连接到管理区设备上进行维护管理。 运维终端区开发测试区：单向访问。维护人员对开发测试区进行维护、管理操作。 运维终端区-终端认证区：单向访问。运维人员终端在接入网络前，需符合终端接入的相关要求。需要访问终端认证区确认后方能访问网络内其它安全区。5.2.2.4.3.2 运维终端区的安全策略该区域具有以下安全策略： 运维终端区设备使用中国移动地址规范中分配的内部IP地址。 运维终端区和半安全区域之间必须设置防火墙，把管理信息系统的内部网络和外部网络隔离。 不允许从公共区域直接访问运维终端区，运维终端区不能直接访问公共区域，需要通过半安全区域才能访问公共区域。 不允许来自外部或第三方的访问。例如，不允许和外部第三方公司建立路由。防火墙上应配置安全策略禁止安全区访问第三方公司。 从运维终端区可对半安全区域中的设备进行管理。运维终端区和半安全区之间的防火墙上应配置安全策略，仅允许运维终端区的IP地址对半安全区进行管理，禁止开放办公用户区到半安全区的管理端口。 运维终端区包括日常维护和代维人员，需要采取严格的安全策略控制，但需要根据实际情况而定。例如：在接入交换机上单独划分一个VLAN或在核心路由器进行路由、ACL过滤，使该区域只能访问服务器区某些特定的服务器；或是在该区域采用更多的流量监控和内容过滤措施，开启粒度更高的日志审计功能。更严格的策略控制有： 需要安装网络IDS来检测各种入侵行为，需要定期进行安全评估；定期进行漏洞扫描。 运维终端需要符合终端接入的相关要求，如安装防病毒软件、操作系统无漏洞等。 运维终端必须经过4A平台统一认证、授权才能接入网络，并有相关的审计策略对运维终端的行为进行审计。5.2.2.4.3.3 运维终端区部署原则 运维终端区仅允许部署运维人员的台式机、笔记本等设备。5.2.2.4.4开发测试区5.2.2.4.4.1开发测试区的业务数据流由于开发测试区一般由厂商操作，且开放权限较大，因此开发测试区与其它安全区的数据流应尽量采用单向方式。 管理区开发测试区：单向访问。管理区的安全管理设备访问运维终端区设备；系统管理员、网络管理员、安全管理员从管理区直接连接到开发测试区设备上进行维护管理； 开发测试区DMZ区：单向访问。开发测试区访问Internet时，经DMZ区的代理服务器转发后实现。 办公终端区开发测试区：单向访问。主要是办公终端对开发测试区的应用进行测试时进行的数据交互。 运维终端区开发测试区：单向访问。维护人员对开发测试区进行维护、管理操作。 对内应用区开发测试区：在某些新的应用进行测试时，需要对内应用区对开发测试区进行访问，但必须限制严格的管控策略。 对外应用区开发测试区：在某些新的应用进行测试时，需要对外应用区对开发测试区进行访问，但必须限制严格的管控策略。5.2.2.4.4.2开发测试区的安全策略该区域具有以下安全策略： 开发测试区域必须设置防火墙进行保护，与其它区域隔离。开发测试区除能够接受运维终端区的访问外，原则上不允许与其它区通信。如需要对开发测试区进行维护管理，必须在防火墙上开放端口，但要将源IP地址限制在运维终端区范围内。 终端需要安装企业版（网络版）防病毒系统，防止感染病毒。5.2.2.4.4.3开发测试区部署原则 开发测试区仅允许部署开发测试用的终端、服务器及开发测试的应用系统。5.2.2.5核心安全区5.2.2.5.1核心安全区划分核心安全区安全级别最高，放置管理信息系统最重要的设备和资源，包括提供关键应用的应用服务器、保存机密信息的数据库服务器，以及具有管理权限的管理控制台和服务。因此核心安全区应受到最全面的安全技术手段的保护，同时对其内部系统和设备的访问及操作都需要通过严格的安全管理流程。一般情况下，核心安全区可划分为应用区和管理区，也可根据实际情况细分为对内应用区、对外应用区和管理区。另外，由于终端认证系统是在终端未通过之前，接受非信任设备的访问，可以考虑单独划分出来。如下图所示：集团核心安全区划分省公司核心安全区划分5.2.2.5.2终端认证区属于安全和受信任的区域，但由于其设备要接受非信任设备的访问，因此其安全性较核心安全区的其它子区低。该区主要部署终端认证服务器、目录服务器等设备。5.2.2.5.2.1 终端认证区的业务数据流终端认证区主要接受来自未经认证的终端的认证请求。这些终端来自办公终端区和运维终端区。 办公终端区-终端认证区：单向访问。员工终端在接入网络前，需符合终端接入的相关要求。需要访问终端认证区确认后方能访问网络内其它安全区。 运维终端区-终端认证区：单向访问。运维人员终端在接入网络前，需符合终端接入的相关要求。需要访问终端认证区确认后方能访问网络内其它安全区。5.2.2.5.2.2 终端认证区的安全策略 终端认证区域设备使用中国移动地址规范中分配的内部IP地址，并且只接受来自办公终端区和运维终端区的终端在接入网络前的访问。 终端认证区域设备需位于管理信息系统部的机房或物理控制之下。 终端认证区域和其他区域之间数据流必须通过防火墙。防火墙上应配置安全策略仅开放所需要的业务端口，对于维护端口，如telnet，远程桌面连接等端口，需要对源IP地址进行限制，只允许运维终端区IP地址进行访问。5.2.2.5.2.3 终端认证区部署原则该区域的部署原则如下： 与终端接入认证相关的系统服务器可部署在此区域。5.2.2.5.3对内应用区属于安全和受信任的区域，放置核心服务器等设备，存放敏感数据和应用业务逻辑，为公司内部系统和半安全区的设备提供相应服务。机密、重要的数据和系统可以保存在该区域，例如OA、MAIL、ERP等服务器，可以减小数据丢失或进一步的攻击带来的风险。在对内应用区内部，如果某些应用系统存在特殊安全需求，可以进一步划分安全子域。具体划分方式可以通过在内部防火墙的多个端口上设置安全控制策略来实现；如果防火墙接口数量有限，也可考虑在对内应用区的核心交换机上部署ACL，隔离安全子域之间的通信。5.2.2.5.3.1对内应用区的业务数据流 DMZ区对内应用区：双向访问。员工或外部第三方通过互联网访问DMZ区的应用代理服务器，进而代理访问核心应用。内部员工的邮件等服务通过DMZ区的代理转发，再通过公共区发送到互联网；反之亦然。另外，移动的员工在通过VPN网关接入内网后，可对对内应用区的应用进行受限制的访问。 办公终端区-对内应用区：单向访问。内部员工收发的内部邮件、OA办公、防病毒软件特征库更新等都需要访问对内应用区的相应服务器。 运维终端区-对内应用区：单向访问。维护人员访问对内应用区的应用。 地市公司办公区-对内应用区：单向访问。内部员工收发内部邮件、OA办公、防病毒软件特征库更新等都需要访问对内应用区的相应服务器。 对内应用区内部系统互联区：双向访问。对内应用区的应用通过内部系统互联区的接口机实现与业务支撑系统和网管系统的数据交互。 管理区对内应用区：双向访问。对内应用区的应用认证需要访问管理区。对内应用区的设备直接发送日志信息到管理区的日志服务器；管理区的安全管理设备访问对内应用区设备；系统管理员、网络管理员、安全管理员从管理区直接连接到对内应用区设备上进行维护管理。 对内应用区开发测试区：在某些新的应用进行测试时，需要对内应用区对开发测试区进行访问，但必须限制严格的管控策略。5.2.2.5.3.2对内应用区的安全策略该区域具有以下安全策略： 对内应用区域设备使用中国移动地址规范中分配的内部IP地址，并且只接受以管理信息内部IP地址为源地址的访问。 对内应用区域中的设备需位于管理信息系统部的机房或物理控制之下。 对内应用区域和其他区域之间数据流必须通过防火墙。防火墙上应配置安全策略仅开放所需要的业务端口，对于维护端口，如telnet，远程桌面连接等端口，需要对源IP地址进行限制，只允许运维终端区IP地址进行访问。 对内应用区域不允许来外部或第三方的直接访问。例如，和第三方公司建立路由。 对内应用区域中可存放中国移动的内部信息和机密信息。 需要安装主机IDS和网络IDS来检测各种入侵行为，需要定期进行安全评估；定期进行漏洞扫描。 需要安装主机防病毒系统，防止病毒感染。5.2.2.5.3.3对内应用区部署原则该区域的部署原则如下，满足其中至少一项原则的即可部署在对内应用区： 需要对办公终端区的用户提供服务且不能被公共区直接访问的应用系统或设备，如ERP系统等。 对于集团来说，需要为省公司用户提供服务的应用系统或设备，如全国应用服务器、综合信息网系统等。 对于省公司来说，需要与集团管理信息系统交互信息的应用系统或设备，如综合信息网系统，灾备系统等。 需要对移动其它IT支撑系统提供服务但不能被直接访问的应用系统或设备，如OA系统等。5.2.2.5.4对外应用区属于安全和受信任的区域，存储的也是敏感数据和应用业务逻辑，为公司外部用户或合作伙伴提供相应服务，放置相关的服务器等核心设备。比如，面向合作伙伴的B2B核心服务器即放在该区域，为合作伙伴互联区的设备提供相关服务。合作伙伴首先访问半安全区域中的合作伙伴互联区，再由合作伙伴互联区访问对外应用区。5.2.2.5.4.1对外应用区的业务数据流 合作伙伴互联区对外应用区：双向访问。合作伙伴通过互联网或专线访问合作伙伴互联区的应用代理服务器，进而代理访问对外应用区中的合作伙伴核心应用。 DMZ区对外应用区：双向访问。外部用户通过互联网访问DMZ区的B2B应用代理服务器，进而代理访问对外应用区中的B2B核心应用。 运维终端区-对外应用区：单向访问。维护人员访问对外应用区的应用。 管理区对外应用区：双向访问。对外应用区的应用认证需要访问管理区。对外应用区的设备直接发送日志信息到管理区的日志服务器；管理区的安全管理设备访问对外应用区设备；系统管理员、网络管理员、安全管理员从管理区直接连接到对外应用区设备上进行维护管理。 对外应用区开发测试区：在某些新的应用进行测试时，需要对外应用区对开发测试区进行访问，但必须限制严格的管控策略。5.2.2.5.4.2对外应用区的安全策略该区域具有以下安全策略： 对内应用区域设备使用中国移动地址规范中分配的内部IP地址，并且只接受以管理信息系统内部IP地址为源地址的访问。 对外应用区域中的设备需位于管理信息系统部的机房或物理控制之下。 对外应用区域和其他区域之间数据流必须通过防火墙。防火墙上应配置安全策略仅开放所需要的业务端口，对于维护端口，如telnet，远程桌面连接等端口，需要对源IP地址进行限制，只允许运维终端区IP地址进行访问。 对外应用区域不允许来自外部或第三方的直接访问。例如，和第三方公司建立路由。 需要安装主机IDS和网络IDS来检测各种入侵行为，需要定期进行安全评估；定期进行漏洞扫描。 需要安装主机防病毒系统，防止病毒入侵。5.2.2.5.4.3对外应用区部署原则该区域的部署原则如下： 需要对合作伙伴或外部用户提供服务但不能被合作伙伴直接访问的应用系统或设备，如B2B应用服务器、数据库服务器。5.2.2.5.5管理区属于安全和受信任的区域。存放管理数据、认证数据和核心安全服务。相对于中国移动内部网络的其余部分，这里风险最小。对该区域的访问严格限制于被指定和授权的个人和终端。应实施非常严格的安全机制来保护在高度安全域中的资产。例如安全管理服务器、网络管理服务器、认证服务器、入侵检测控制台、日志服务器等与安全管理密切相关的设备。5.2.2.5.5.1管理区的业务数据流 管理区其它各区：双向访问。其它各区的应用认证需要访问管理区。其它各区的设备直接发送日志信息到管理区的日志服务器；管理区的安全管理设备访问其它各区设备；系统管理员、网络管理员、安全管理员从管理区直接连接到其它各区设备上进行维护管理。授权的系统管理员、网络管理员、安全管理员从运维终端区直接连接到管理区设备上进行维护管理。5.2.2.5.5.2管理区的安全策略 管理区设备使用中国移动地址规范中分配的内部IP地址，并且只接受以管理信息系统内部IP地址为源地址的访问。 管理区域中的设备需位于管理信息系统部的机房或物理控制之下。 管理区域和其他区域之间数据流必须通过防火墙。防火墙上仅能开通管理区相关业务的端口，如需要开通运维所需的管理端口如telnet，ssh等端口，需将源IP地址限制在开发测试区和代维区范围内。 核心应用区域不允许来自外部或第三方的直接访问。例如，和第三方公司建立路由。 核心应用区域中可存放中国移动的内部信息和机密信息。 对该区域的访问严格限制于被指定和授权的个人和终端。 需要安装主机IDS和网络IDS来检测各种入侵行为，需要定期进行安全评估；定期进行漏洞扫描。 需要安装主机防病毒系统，防止病毒入侵。5.2.2.5.5.3管理区部署原则该区域的部署原则如下，满足其中至少一项原则的即可部署在管理区： 需要对某一应用系统或全公司系统进行管理的应用系统或设备，如网管系统。 需要对安全区终端进行认证或管理的系统或设备，如终端管理平台。 需要对接入用户进行认证的系统或设备，如短信认证平台、radius服务器等。 需要对安全事件进行收集并分析的应用系统或设备，如SOC系统等。 需要对设备进行安全管理操作的系统或设备，如漏洞扫描系统等。 安全管理设备，包括：防火墙管理控制台、入侵检测管理控制台、系统管理、日志服务器、时间同步服务器、访问控制及授权管理服务器；5.3集团总部安全域划分根据上述安全域划分技术要求，集团总部管理信息系统的安全域将规划为15个二级安全域：Internet用户区、VPN用户区、合作伙伴区；DMZ区、合作伙伴互联区、内部系统互联区；集团公司其它IT支撑系统区、省公司管理信息系统区；办公终端办公区、运维终端区、开发测试区；对内应用区、对外应用区、管理区。集团总部管理信息系统安全域划分5.4省公司安全域划分各省管理信息系统由各省自行建设，但与集团总部的安全域划分基本一致，只是在安全区里多了一个二级安全域：地市公司终端办公区。省公司管理信息系统的安全域划分将规划为16个二级安全域：Internet用户区、VPN用户区、合作伙伴区；DMZ区、合作伙伴互联区、内部系统互联区；省公司其它IT支撑系统区、集团公司管理信息系统区；办公终端办公区、运维终端区、开发测试区；对内应用区、对外应用区、管理区。这里，将地市公司办公区作为一个二级安全域是基于省公司能够进行统一管理控制。如果难以做到这一点，则建议将地市公司办公区作为半安全区的二级安全域。另外，由于部分省公司没有与外部企业的合作关系，因此这些省公司可不需要设置合作伙伴互联区。省公司管理信息系统系统安全域划分某些省公司，管理信息系统和业务支撑系统由一个部门管理。在这种情况下，管理信息系统的安全域划分还需要参考业务支撑系统的安全域划分技术要求。另外，应当尽量将管理信息系统的办公终端和业务支撑系统的生产终端分开。如果无法实现，则办公终端访问生产网时，必须经过访问控制设备，进行严格的鉴权、授权和审计。6.边界整合6.1边界定义管理信息系统的边界整合，主要是在保障业务的同时对接口进行归并，减少接口数量。按照本技术要求的安全域划分，分析计算区域之间的业务关系，存在以下六类边界，如下图所示，分别是外部系统构成的公共区到半安全区、内部业务区到半安全区、半安全区到安全区、半安全区到核心安全区、内部业务区到核心安全区、安全区到核心安全区、安全区内部和核心安全区内部。以下分别阐述六类边界的划分和整合。