IDC网络安全防护技术要求V1[1].0（发布版）.doc

TechnicalTechnical SpecificationSpecification ofof SecuritySecurity forfor IDCIDC IDCIDC 网络安全防护技术要求网络安全防护技术要求 版 本 号 1 1 0 0 0 0 中国移动通信有限网络部中国移动通信有限网络部 I 目 录 前前 言言 1 1适用范围适用范围 2 2引用标准与依据引用标准与依据 2 2 1相关法规和政策 2 2 2国家标准及行业标准 2 2 3中国移动企业标准及技术规范 3 2 4其它 3 3相关术语与缩略语相关术语与缩略语 4 3 1术语 4 3 2缩略语 4 4综述综述 5 4 1中国移动 IDC 的发展现状 5 4 2业务应用 6 4 3IDC 的特点 6 4 3 1IDC的重要性 6 4 3 2数据高度集中 6 4 3 3高带宽 大流量 6 4 3 4安全防护对象特点突出 6 4 3 5内部应用可控性较差 6 4 3 6面对复杂各异的远程维护需求 7 5IDC 的基本架构的基本架构 7 5 1逻辑架构 7 5 1 1物理层 8 5 1 2网络层 8 5 1 3资源层 8 5 1 4业务层 8 5 1 5运营管理层 9 5 2网络架构 9 5 2 1互联网接入层 10 5 2 2汇聚层 11 5 2 3业务接入层 11 5 2 4运营管理层 12 6安全风险分析安全风险分析 12 6 1IDC 主要安全风险 12 6 2威胁分析 13 6 2 1物理安全威胁 13 6 2 2设备安全威胁 13 6 2 3网络安全威胁 13 6 2 4应用层安全威胁 14 6 2 5数据安全威胁 14 6 3脆弱性分析 15 6 3 1物理安全方面的脆弱性 15 6 3 2网络与主机设备的脆弱性 15 6 3 3应用系统软件脆弱性 15 6 3 4数据安全方面存在的脆弱性 15 6 3 5其它 16 6 4IDC 安全防护需求 16 II 7安全防护要求安全防护要求 16 7 1物理安全要求 17 7 2IDC 安全域划分及防护部署 17 7 2 1互联网接入域 19 7 2 2停火区 20 7 2 3核心汇聚域 20 7 2 4业务域 21 7 2 5日常操作维护区 24 7 2 6第三方接入区 24 7 2 7管理服务区 25 7 3设备自身安全和安全配置要求 25 7 4内容合法性检查及域名备案等业务安全防护系统 25 7 4 1不良内容监测与封堵 25 7 4 2网站备案系统 26 7 5集中化安全管理技术要求 28 7 5 1综合安全管控 28 7 5 2安全扫描 28 7 6安全组织 标准要求 29 8IDC 安全防护体系建设思路安全防护体系建设思路 29 附录附录 I IDC 安全风险分析列表安全风险分析列表 31 附录附录 II 部分典型案例 部分典型案例 34 9编制历史编制历史 34 IDC 安全防护技术要求 1 前前 言言 IDC面临复杂的安全环境 为了向IDC用户提供高质量的服务 维护中国移动的企业形象 和信誉 遵守国家法律法规要求 必须在规划 建设 运营各环节充分考虑IDC安全风险 采取对应的安全措施 本规范针对IDC中存在的各种网络和系统层面的安全问题和IDC业务特 点 提出了分类提供强制性安全基础服务能力和增值性 差异化安全服务能力的IDC安全防 护技术要求 作为中国移动IDC网络安全防护部署的依据 以保证为IDC用户提供具有高性能 高带宽 高服务质量 高安全性的主机托管及其增值业务 本规范不对不良 非法 低俗内 容安全等方面的监测手段及网站备案部署模式进行论述 请各IDC运营单位按照集团公司下 发的信息安全责任矩阵要求 予以高度重视 加强内容安全管理 本标准由中国移动通信有限公司网络部提出并归口 本标准起草单位 中国移动通信有限公司网络部 中国移动通信集团设计院有限公司 本标准主要起草人 刘佳 杜雪涛 曹一生 周智 徐海东 袁捷 朱文涛 张高山 感谢华为技术有限公司 绿盟科技 Macfee 中兴通讯股份有限公司 诺基亚西门子公司 亿阳安全技术有限公司的大力支持 IDC 安全防护技术要求 2 1适用范围适用范围 本规范作为中国移动通信有限公司 各省公司在 IDC 设计 建设 系统部署 运营维 护等工作中开展安全防护的依据 2引用标准与依据引用标准与依据 2 1相关法规和政策相关法规和政策 1 关于加强信息安全保障工作的意见 中办 国办 2003 27 号文 2 公安部 保密局 机要局 国务院信息办联合下发的 关于信息安全等级保护工作的 实施意见 公通字 2004 66 号文 3 四部门联合下发关于印发 信息安全等级保护管理办法 的通知 公通字 2007 43 号 文 4 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861 号 5 国务院信息办信息安全风险评估课题组编制的 信息安全风险评估研究报告 6 国家关于绿色上网等在内的其它要求 7 原邮电部 信息产业部制定的 IDC 服务的相关要求 8 最高人民法院 最高人民检察院 关于办理利用互联网 移动通讯终端 声讯台制 作 复制 出版 贩卖 传播淫秽电子信息刑事案件具体应用法律若干问题的解释 二 2 2国家标准及行业标准国家标准及行业标准 1 计算机信息系统安全保护等级划分准则 GB 17859 2 公安部等级保护基本要求系列标准 包括 信息系统安全等级保护测评准则 信 息系统安全等级保护实施指南 信息系统安全等级保护基本要求 等 3 公安部等级保护技术要求系列标准 GA T 387 2002 至 GA T 391 2002 包括 计 算机信息系统安全等级保护通用技术要求 计算机信息系统安全等级保护操作系统 技术要求 计算机信息系统安全等级保护管理要求 计算机信息系统安全等级保 护网络技术要求 计算机信息系统安全等级保护数据库管理系统技术要求 等 IDC 安全防护技术要求 3 4 工业和信息化部 电信网和互联网安全防护体系 系列标准 YD T 1728 2008 至 YD T 1759 2008 5 电信网和互联网物理环境安全等级保护要求 2 3中国移动企业标准及技术规范中国移动企业标准及技术规范 1 中国移动 IDC 总体技术要求 2 中国移动支撑系统集中帐号管理 认证 授权与审计 4A 技术要求 3 中国移动防火墙部署总体技术要求 4 中国移动帐号口令集中管理系统功能及技术规范 5 中国移动日志集中管理与审计系统功能及技术规范 6 中国移动综合维护接入平台功能和技术规范 7 中国移动通用设备安全配置系列规范 路由器部分 8 中国移动通用设备安全配置系列规范 操作系统和数据库部分 9 中国移动设备通用安全功能和配置规范 10 中国移动支撑系统安全域划分与边界整合技术要求 11 WEB 系统安全防护技术要求 网络部 2011 年下发 12 网站接入备案及监督管理系统设备规范 13 不良信息监测系统设备规范 14 中国移动网页篡改及网页信息安全防护系统技术规范 15 中国移动互联网安全防护体系技术要求 16 中国移动网页篡改及网页信息安全防护系统技术规范 2 4其它其它 1 美国国家标准和技术研究所 NIST National Institute of Standards and Technology 制 订的 SP 800 系列文档 IT 系统安全自评估指南 IT 系统风险管理指南 联邦 IT 系统安全认证和认可指南 信息系统安全规划指南 等 http csrc ncsl nist gov publications nistpubs 2 美国国家安全局 信息保障技术框架 IATF Information Assurance Technical Framework V3 1 版 IDC 安全防护技术要求 4 3相关术语与缩略语相关术语与缩略语 3 1术语术语 IDC 即互联网数据中心 Internet Data Center 是为满足互联网业务和政府 企 事业信息服务需求而建设的应用基础设施 通过与互联网的高速连接 以丰富的 计算 存储 网络和应用资源向服务提供商 SP 内容提供商 CP 各类集团 客户等提供大规模 高质量 安全可靠的主机托管 主机租赁 网络带宽租用 内容分发等基础服务和企业邮箱 企业建站等增值服务 威胁 威胁 指那些可能对资产或组织造成损害的事故的潜在原因 威胁由多种属性来 刻画 威胁的主体 威胁源 能力 资源 动机 途径 可能性和后果 脆弱性 脆弱性 指资产中能被威胁利用的弱点 风险 风险 指由于系统存在的脆弱性 人为或自然的威胁导致安全事件发生的可能性 及其造成的影响 它由安全事件发生的可能性及其造成的影响这两种指标来衡量 安全需求 安全需求 指为保证单位的业务战略能够正常行使 在信息安全保障措施方面提 出的要求 安全措施 安全措施 指对付威胁 减少脆弱性 保护资产 限制意外事件的影响 检测 响应意外事件 促进灾难恢复和打击信息犯罪而实施的各种实践 规程和机制的 总称 IDC 后台管理区 后台管理区 包括 IDC 日常操作工作区和客户服务管理区 3 2缩略语缩略语 缩略语英文全称中文含义 ACLAccess Control List访问控制列表 CDNContent Delivery Network内容分发网络 CMNetChina Mobile Net中国移动互联网 CPContent Provider内容提供商 IDC 安全防护技术要求 5 DDNDigital Data Network数字数据网 DMZDemilitarized Zone停火区 DNSDomain Name Server域名服务器 ICPInternet Content Provider网络内容服务商 IDCInternet Data Center互联网数据中心 IDSIntrusion Detection System入侵检测系统 IPInternet Protocol互联网协议 ITInformation Technology信息技术 MPLSMulti Protocol Label Switching多协议标记交换 QoSQuality of Service服务质量 SPService Provider服务提供商 VPNVirtual Private Network虚拟专用网 VLANVirtual Local Area Network虚拟局域网 4综述综述 自 2002 年进入互联网数据中心 IDC 市场以来 中国移动一直在进行大规模的 IDC 建设 IDC 数据中心建设 也将成为中国移动集团客户市场的突破口 4 1中国移动中国移动 IDC 的发展现状的发展现状 中国移动互联网数据中心业务是指以集团和各省分公司 IDC 平台的各级节点机房设施 相关网络资源和技术支撑能力为依托 为政府 企业 互联网服务提供商 ISP 互联网 内容提供商 ICP 等客户提供的包括主机托管 带宽出租 主机租赁 CDN 服务 域名 服务 DNS 解析以及虚拟服务等基础类业务以及移动业务应用 数据存储 安全服务 网 络优化以及代维代管等增值类业务 目前 28 个省建设有独立的 IDC 或有独立 IDC 专区 在北京 上海 广东 江苏 IDC 安全防护技术要求 6 四川 浙江 重庆建设一类 IDC 满足全国性 规模性资源和应用支撑需求 并兼做本省 IDC 其它各省根据本省业务需求建设二类 IDC 满足省内本地内容托管和集团客户应用 等需求 同时作为一类 IDC 的补充 提供镜像 内容分发等 4 2业务应用业务应用 IDC 中业务应用可以包括传统的业务如主机托管 空间租赁 企业邮箱以及承载 WEB 游戏 公司应用 在线存储等增值业务 4 3IDC 的特点的特点 4 3 1IDC 的重要性的重要性 在业务方面 话音业务需求日益趋于饱和 IDC 的业务收入将成为电信行业收入增长 的重要来源 在用户方面 宽带接入市场远没有到达饱和的程度 宽带用户保持较快的增 长速度 基于移动终端的上网用户将呈现爆发性的增长态势 除以之外 IDC 产业自身正 处于发展的起步阶段 行业需求潜力巨大 因此 IDC 市场对于中国移动的未来发展具有重 要影响 是中国移动业务扩展的重要方向之一 4 3 2数据高度集中数据高度集中 IDC 是 Internet 企业分工更加细化的产物 它不仅是数据存储的中心 而且是数据流 通的中心 企业将与网站托管服务等相关的一切事务交给专门提供网络服务的 IDC 承担 因此 IDC 是 Internet 中数据交换最集中的地方 4 3 3高带宽 大流量高带宽 大流量 IDC 能够为 ICP 企业 媒体和各类网站提供大规模 高质量 安全可靠的专业化服 务器托管 空间租用 网络批发带宽等业务 因此 IDC 必须具备丰富的互联网带宽资源 4 3 4安全防护对象特点突出安全防护对象特点突出 网络设备和应用系统不断增加和变化 网络安全呈现 动态性 用户系统多样化 应 IDC 安全防护技术要求 7 用复杂 动态多变 面临多种安全威胁和安全攻击 大量集中的主机和服务器易产生安全 连带效应 容易发生内部攻击 安全防范与安全管理并重 WEB 应用为主 用户数量巨大 4 3 5内部应用可控性较差内部应用可控性较差 IDC 应用复杂 IDC 的应用种类详见 5 1 4 存在着很多不可控的因素 服务器托管业务 对于服务器托管业务 IDC 能够掌控的是托管服务器所在区域 机柜位置 服务器类 型以及硬件配置等 对于甲方在托管主机硬件系统以外的内容 如主机操作系统安全 应 用层安全等等 IDC 运营管理方是无法掌控的 服务器租用业务 对于服务器租用业务 IDC 运营能够掌控的是被租用服务器资产 所在区域 机柜位 置 系统安全等 而租用服务器之上的应用的安装 配置 发布与维护是由服务合同甲方 负责的 是 IDC 无法掌控的 4 3 6面对复杂各异的面对复杂各异的远程维护需求远程维护需求 IDC 被托管系统应用来自不同行业的不同用户 对于系统的安全防护和日常维护管理 有着不同的需求 因此各个托管用户的维护需求不同 具有复杂性 IDC 安全防护技术要求 8 5IDC 的基本架构的基本架构 5 1逻辑架构逻辑架构 物物理理层层 电电力力 空空调调 综综合合布布线线等等 网网络络层层 路路由由器器 交交换换机机 防防火火墙墙等等 资资源源层层 计计算算 存存储储 带带宽宽等等 业业务务层层 主主机机托托管管 数数据据备备份份等等 运运营营管管理理层层 资资源源管管理理 网网络络管管理理 业业务务管管理理 运运营营管管理理 图 5 1 IDC 逻辑架构图 IDC 涉及范围很广 包含土建 电气 消防 网络 运营等系统 从 IDC 的逻辑功能 上来划分 IDC 可分为物理层 网络层 资源层 业务层 和运营管理层 5 大逻辑功能模 块 5 1 1物理层物理层 IDC 安全防护技术要求 9 图 5 2 IDC 物理层功能图 物理层主要包括供电系统 消防系统 安保系统 配线系统 照明系统 制冷系统等 5 1 2网络层网络层 网络层由路由器 交换机 防火墙 IDS 入侵检测系统 等数据通信设备和安全设备 组成 网络层在整个 IDC 中属于 IT 基础架构 是开展 IDC 业务运营的基础 5 1 3资源层资源层 资源层是 IDC 用来开展业务运营的基础 资源层包括计算资源 存储资源 IP 资源 带宽资源 机房空间资源等资源 5 1 4业务层业务层 业务层是 IDC 的核心要素 也是 IDC 价值的具体表现形式 业务层按照 IDC 提供的服 务属性可以分为基础类业务和增值类业务两大类 这两大类业务又可以细分为众多子业务 如下图所示 图 5 3 IDC 业务分类 IDC 安全防护技术要求 10 5 1 5运营管理层运营管理层 运营管理层为 IDC 的稳定运行和业务运营提供必要的各种支撑服务 主要包括网络管 理 资源管理 业务管理 运营管理 4 个功能模块 5 2网络架构网络架构 IDC 网络架构分成 4 层 互联网接入层 汇聚层 业务接入层 运营管理层 IDC 整体 网络系统架构如图 5 4 图 5 4 IDC 网络逻辑架构图 5 2 1互联网接入层互联网接入层 互联网接入层拓扑结构如下图所示 IDC 安全防护技术要求 11 图 5 5 互联网接入层网络 互联网接入层对外完成与 CMNET 骨干网设备高速互联 对内负责与 IDC 的汇聚层交换 机互联 互联网接入层负责高速可靠的转发 IDC 业务数据 并且对 IDC 内部路由信息和外 部路由信息的转发 5 2 2汇聚层汇聚层 图 5 6 汇聚层网络 汇聚层是业务接入层交换机的汇聚点 负责本地数据的汇聚并完成数据的高速交换 5 2 3业务接入层业务接入层 业务接入层由接入交换机和各业务系统的服务器 存储等设备组成 业务接入层对业 务区内的主机 存储系统及用户网络设备提供网络接入 并对业务区内不同用户系统进行 隔离及实施 QOS VPN 等业务接入层策略 详细描述参见 中国移动 IDC 总体技术要求 IDC 安全防护技术要求 12 它的网络拓扑如下图所示 图 5 7 业务接入层网络 5 2 4运营管理层运营管理层 IDC 运营管理层中包含各类网管系统 防病毒系统控制端 安全管控平台服务器等设 备 页包括管理终端 防火墙等设备 运营管理层主要为 IDC 提供网络管理 资源管理 业务管理 运营管理等功能 向运营维护人员和客户提供设备管理 系统维护 远程接入 等服务 运营管理层架构如图 5 8 所示 IDC 安全防护技术要求 13 图 5 8 IDC 运营管理层 如图 5 8 所示 运营管理层接入交换机连接汇聚交换机 管理区域的服务器和终端设 备 维护人员通过运营管理层接入交换机管理 IDC 内部设备 6安全风险分析安全风险分析 6 1IDC 主要安全风险主要安全风险 非法内容的发布 违反国家法律法规 IDC 中存在大量的 WEB 应用 易产生内 容合法性问题 作为 IDC 运营单位 将承担极大的法律风险和政治风险 请各 IDC 运营单位按照集团公司制定下发的信息安全责任矩阵要求 予以高度重视 加强内容安全管理 DDoS 攻击导致系统资源 带宽资源耗尽 甚至业务中断 僵尸网络 病毒扩散 导致 IDC 部署的系统无法正常服务 或者用于攻击其它系 统产生法律纠纷 IDC 客户系统处于同一物理网络 容易相互影响 由于存在 IDC 用户远程维护所属系统的需求 需要开放大量的逻辑维护通道 因 此容易产生内部管理问题 影响到整个 IDC 安全 IDC 具体的安全风险分析参见附录 I 相关案例请参见附录 II 6 2威胁分析威胁分析 6 2 1物理安全威胁物理安全威胁 物理环境安全威胁主要来自于物理环境建设过程中考虑不当 不全面以及日常管理不 到位引发的安全威胁 详细的物理安全威胁请参照 中国移动安全威胁分析标准模板库 v1 0 6 2 2设备安全威胁设备安全威胁 IDC 网络设备的安全威胁主要来自两个方面 一个是设备自身的安全威胁 另外一个 是外界环境的安全威胁 具体的设备安全威胁如下 IDC 安全防护技术要求 14 设备自身的安全缺陷或未能够及时修复的安全缺陷 导致的针对该设备的缺陷利 用 影响 IDC 业务的连续性 可靠性和完整性 承载业务系统硬件 网络环境等方面的威胁 业务系统自身安全威胁 6 2 3网络安全威胁网络安全威胁 网络安全威胁主要如下 来自内部和外部可能的网络攻击 如 DDOS 攻击 利用系统漏洞进行的各类攻击 等等 蠕虫病毒入侵 局域网内部病毒等恶意软件的传播 尤其是维护终端 磁盘介质 使用等导致的病毒扩散 利用管理和技术漏洞 或者内部资源成为僵尸网络 木马的被控资源 IDC 资源 被用作攻击外部网络的工具 WEB 类应用被挂马 成为木马大范围传播的主要途径 由于对 IDC 网络进行维护不恰当 而导致的安全威胁 详细的网络安全威胁请参照 中国移动安全威胁分析标准模板库 v1 0 6 2 4应用层安全威胁应用层安全威胁 应用层的安全威胁主要来自以下两个方面 来自原互联网 内部恶意用户的安全威胁 IDC 客户或者 WEB 用户发布反动 色情 违反版权要求 进行人身攻击的文字 视频 图片 音频 游戏等等 详细的应用安全威胁请参照 中国移动安全威胁分析标准模板库 v1 0 6 2 5数据安全威胁数据安全威胁 1 网管数据 网管数据 主要指 IDC 管理层面的数据 其安全威胁主要如下 数据传输过程中被窃取 篡改 破坏 越权访问 病毒入侵导致丢失 IDC 安全防护技术要求 15 其它误操作 系统故障 介质问题等原因导致的数据丢失 泄漏 2 内部业务数据 内部业务数据 主要指 IDC 各个业务区域数据 其安全威胁一方面来自于各个业务的 不同要求 另外更主要的一方面是这些业务数据的存放 具体如下 病毒 木马 间谍软件的入侵 针对敏感数据的非法篡改 获取 数据的存储安全威胁 包括数据存储磁盘管理不善 数据访问管理不善带来的威 胁等 3 帐号口令 口令密码明文保存导致失窃 弱口令导致的暴力破解 网络监听明文传输的帐号口令 6 3脆弱性分析脆弱性分析 6 3 1物理安全方面的脆弱性物理安全方面的脆弱性 物理安全方面的脆弱性 主要体现在以下几方面 机房的门禁 监控设备不完善 机房的设备老化 机房人员进出管理不严格等 6 3 2网络网络与主机设备的脆弱性与主机设备的脆弱性 网络和主机设备 即操作系统存在的脆弱性 主要有以下几点 设备性能低 运行不稳定 口令不够复杂 合理或没有经常更新 设备自身存在安全缺陷 设备所使用的资源存在被威胁利用的风险 6 3 3应用系统软件脆弱性应用系统软件脆弱性 应用系统的脆弱性 主要有以下几点 IDC 安全防护技术要求 16 相关服务器的应用代码存在漏洞 后门 相关服务器存在过多不必要的开放端口 相关服务器配置不合理 访问控制策略存在漏洞 相关服务器不能记录敏感操作 或者相关日志功能没有启用或不够详细 不能提供帐号权限管理功能 不能提供账号修改界面 不能支持密码复杂度检测 或者密码未采用 hash 函数保存 而采用明文保存 业务流程设计方面的漏洞导致业务信息泄露和被滥用等 6 3 4数据安全方面存在的脆弱性数据安全方面存在的脆弱性 数据脆弱性 主要有以下几点 数据传输未加密 容易被窃取 篡改 数据明文保存或者访问控制不严 存储介质保护不力等 6 3 5其它其它 IDC 业务系统中管理层面还可能具有人员安全意识 无法阻止托管设备运行监听 攻 击软件以及缺乏容灾备份的对应措施等脆弱性 6 4IDC 安全防护需求安全防护需求 结合以上 IDC 的威胁分析和脆弱性分析 IDC 的安全防护需求具体包括以下几点 根据系统价值 功能 业务特性 实施分区防护及边界访问控制 网络基础设施安全要求 保证物理环境安全 设备安全以及媒体安全 保证网络层所涉及的网络链路 网络设备 网络服务的安全 保证系统层所涉及的操作系统 系统服务的安全 保证应用层高可用性 业务连续性要求 保证各类数据的完整性和保密性要求 保证 IDC 应用符合国家法律法规的相关安全措施 IDC 安全防护技术要求 17 7安全防护要求安全防护要求 充分考虑上述安全威胁和主要风险 从组网安全 设备自身安全以及部署专用安全防 护设备 实现集中安全管理四个层面 提出符合 集中防护 纵深防御 灵活配置 原则 的中国移动 IDC 安全防护技术体系 针对国家对于 IDC 增值业务商的管控要求 以及 IDC 用户要求差异化特点 IDC 安全 防护技术体系服务能力区分为强制性部署的免费基础性安全服务和满足客户差异化需求的 增值安全服务 强制部署的防护手段 如物理安全 公共防火墙 不良信息检测与封堵系统 网站备 案系统 为 IDC 用户提供基础性安全服务 不向 IDC 客户单独收取费用 增值性安全服务部分 如流量监控 抗 DDOS 攻击 防火墙 具备虚拟功能的入侵 检测系统 网页篡改及网页信息安全防护系统 综合安全管控系统 各类漏洞扫描系统 网络版防病毒系统以及安全加固服务等等 为有需求客户提供有偿的差异化服务 为提高中国移动 IDC 相对于其它对手的竞争优势 可以根据业务发展策略 IDC 经营 需要 适时地将增值性安全服务中的部分内容转化为免费的基础性安全服务 7 1物理安全要求物理安全要求 物理的安全防护部署包含以下几点 供电系统 部署双路电源 关键设备前部署UPS 有条件的IDC部署应急发电系统 消防系统 按照消防要求部署防火装置 并定期检查其有效性 安保系统 安装门禁系统 采用IC卡或者指纹识别方法鉴别进出入人员 另外对 临时出入管理也需要指定相应的登记 审批制度 并定期分析出入人员情况 配线系统 按照综合布线规范配线 保证质量和连通性 照明系统 按照监控管理业务要求部署照明系统 制冷系统 按照机房环境要求进行空调 除湿系统部署 监控系统 按照IDC安防要求部署监控系统 实施通过摄像头等系统对关键区监控 监控录像按照管理要求留存一定时间 IDC 安全防护技术要求 18 7 2IDC 安全域划分及防护部署安全域划分及防护部署 根据业务保障原则 结构简化原则 等级保护原则和生命周期原则 IDC 内部可划分 为以下主要的安全域 互联网接入域 停火区 核心汇聚域 业务域 日常操作维护区 第三方接入区和管理服务区 对于基础区和增值区 扩展区 通过不同的汇聚交换机上连到互联网接入域的情形 单独在增值区和扩展区的汇聚交换机上部署支持虚拟功能的防火墙 IDS 等设备 图 7 1 7 1 IDC 安全域划分逻辑图 对于基础区和增值区 扩展区通过物理上相同的一组汇聚交换机上连到互联网接入域 的情形 在汇聚交换机上部署支持虚拟功能的防火墙 IDS 等设备 并对虚拟出的增值区 扩展区汇聚交换机部署防火墙 入侵监测策略 具体安全域划分如图 7 2 所示 IDC 安全防护技术要求 19 7 2 IDC 安全域划分逻辑图 7 2 1互联网接入域互联网接入域 互联网接入域是 IDC 与互联网连接的出口 提供高速可靠的连接 包括足够的带宽 高可靠的网络 网络设备冗余备份等 对外与外部网络以及其它系统互联 实现高速连接 以及路由选择和分发功能 是 IDC 的集中入口 过滤一些来自 Internet 的不安全因素 针对常见的 DDOS 攻击 需要在 IDC 出口或者连入的 CMNet 省网或者骨干网上部署 异常流量监测及过滤设备 1 分级部署异常流量监测及过滤设备分级部署异常流量监测及过滤设备 按照 中国移动互联网安全防护体系技术要求 总体规划 CMNet 国际出入 口 骨干网层面运营商之间互联网出入口以及骨干网汇聚节点均会部署异常 流量监测及过滤系统 僵木蠕恶意代码监测系统 监测来自国际 国内其它 运营商以及其它 CMNet 省网的攻击流量 对全网重要系统 IDC 进行防护 为此 各省公司需要向总部提供相关 IDC 分配的 IP 地址等基础信息 为防范来自省网内部 省内直联的 DDoS 攻击 在各 IDC 上连的省网出入口 位置集中部署抗拒绝服务攻击设备 为省内所有 IDC 以及重要互联网接入客 户集中提供抗拒绝攻击服务 为此 各 IDC 需要向省公司提供相关 IDC 分配 IDC 安全防护技术要求 20 的 IP 地址等基础信息 对于抗拒绝服务攻击业务需求较强 有大型或者重要客户的 IDC 在省网集 中部署的抗拒绝服务攻击设备无法满足响应速度 不能准确提供自动阻断 不能配置客户业务特征进行准确监测的情况 经省公司相关部门进行综合评 判 可以进一步在 IDC 出口部署抗拒绝服务攻击设备 监测到异常流量攻击 后 抗拒绝服务攻击设备进行异常流量过滤 将过滤后的正常业务流量重新 注入网络中 为预防 IDC 内部 SP CP 利用移动的 IP 等资源对外发起恶意攻 击 同时监测来自 IDC 的上行流量 将 IDC 内部发起的异常流量过滤后再发 布到公网上 7 2 2停火区停火区 逻辑上 停火区连接互联网与 IDC 内部网络 该区域内一般放置对外发布数据的 Web 服务器 外部用户可以通过互联网接入域 直接访问停火区内的服务器 但不能直接访问 内部网络的数据库 起到安全缓冲区作用 为满足一些特殊用户需求 特别是一些单独拥有业务域 VLAN 和自有设备的大客户 可以由用户自己组网 允许此类用户将对外发布数据的服务器放在业务区域内 但应通过 边界防火墙限制这类用户访问其它业务区域内的设备 停火区需要部署如下安全设备 支持虚拟功能的入侵检测设备 含支持虚拟功能的入侵检测设备 含 IDS IPS 为需要该类防护服务的业务提供 定制化的监测防护能力 监测 防止来自互联网的恶意攻击 鉴于 IDC 第三方应 用的复杂性 多边性 建议采用 IDS 部署部署 Web 篡改防护设备篡改防护设备 防止网页篡改和信息泄露 其中 针对自有 WEB 类业 务系统所有 WEB 服务器 优先部署软件型网页篡改及网页信息安全防护产品 以实现更强的防护能力 针对用户设备不能安装软件型网页篡改及网页信息安全 防护设备客户端的情况 优先部署独立 外置的硬件型网页篡改及网页信息安全 防护设备 即业界所称的网页防火墙 实现基于会话的网页篡改及网页信息安全 防护和防信息泄漏部分监测防护能力 针对其中的 Windows 类平台部署网络版防病毒系统部署网络版防病毒系统 并通过集团公司统一建设的 IDC 安全防护技术要求 21 防病毒系统集中升级出口进行自动 集中升级 同时 在停火区内部也要部署综合安全管控平台的互联网专用部署综合安全管控平台的互联网专用 Portal VPN 网关 网关 堡垒主机等设备堡垒主机等设备 满足维护人员以及 IDC 客户远程管理所属系统的需求 7 2 3核心汇聚域核心汇聚域 核心汇聚域主要负责 IDC 业务域对外连接和内部数据流的汇聚 核心汇聚域由汇聚层 交换机和核心路由器构成 是多台业务接入交换机的汇聚点 并提供到互联网接入域的上 行链路 它作为各个业务模块的汇聚层 针对各个业务系统的需求 按照业务系统划分区 域 对相关的业务区域提供基础的安全保障 需要部署的安全设备有 2 支持虚拟功能的双重异构防火墙支持虚拟功能的双重异构防火墙 部署支持虚拟功能的双重异构双重异构 不同品牌 确保不会因为某一品牌防火墙操 作系统漏洞导致同时失效 防火墙 隔离互联网与停火区和内部网络 在防 火墙策略设置上 外层防火墙侧重实施粗粒度访问控制 内层防火墙侧重针 对特定系统实施细粒度的访问控制 针对业务区域不同需求提供定制化的访 问控制能力 如果 IDC 汇聚层对业务层基础区 增值区 扩展区部署不同的汇聚交换机 则仅仅在增值区 扩展区的汇聚交换机上部署防火墙 如果汇聚层针对业务层基础区 增值区 扩展区合设汇聚交换机 那么只针 对为增值区 扩展区虚拟出的逻辑汇聚交换机部署防火墙策略 3 支持虚拟功能的入侵监测系统支持虚拟功能的入侵监测系统 在各核心汇聚域交换机镜像端口 部署支持虚拟功能的入侵检测设备 针对 IDC 内部系统之间的相互攻击以及部分来自互联网的入侵攻击行为进行监测 如果 IDC 汇聚层对业务层基础区 增值区 扩展区部署不同的汇聚交换机 则仅仅在增值区 扩展区的汇聚交换机上部署支持虚拟功能的入侵监测系统 如果汇聚层针对业务层基础区 增值区 扩展区合设汇聚交换机 那么只针 对为增值区 扩展区虚拟出的逻辑汇聚交换机部署支持虚拟功能的入侵监测 IDC 安全防护技术要求 22 系统 为增值区 扩展区和自有业务虚拟出专用入侵监测系统 原则上 IDC 优先建设停火区的入侵监测系统 IDS 或入侵防护系统 IPS 核心汇聚域可通过物理隔离的方式 实现各个业务区域之间的隔离 也可通过在防火 墙上设定安全访问控制策略实现各个业务域的隔离 7 2 4业务域业务域 业务域由接入交换机和各业务系统的服务器 存储设备等组成 根据安全管理的可控 性不同 业务域可以划分为移动自有业务域和第三方业务域 移动自有业务域为中国移动提供 IDC 业务 例如门户网站的核心设备 自有业务系统 核心设备等 此区域的主机及超级终端可管控性强 第三方业务域指对外提供 IDC 业务的区域 根据安全需求的不同 可分为基础区 增 值区和扩展区三个区域 基础区通过普通接入 不需要经过防火墙 连接到 CMNET 网络 在该区域的服 务器设备通过业务接入层交换机上联到汇聚层交换机 经过 IDC 核心路由器和 CMNET 实现互联 用户拥有自己的业务设备 例如 带宽管理设备 防火墙 负载均衡设备 4 层 7 层智能服务设备等 用户仅需要从 IDC 租用固定带宽和机 位机架的服务 该区域一用于开展 IDC 主机托管 带宽租赁 主机租赁等基础业 务 增值区是围绕 IDC 数据中心业务开展的其它增值类附属业务的区域 该区域通过 防火墙 IDS 等安全设备连接到 CMNET 网络 用户需要使用 IDC 提供的增值服 务设备 例如 防火墙 负载均衡设备 4 层 7 层智能服务设备等 该区域除了 提供基础区的业务外 还可以提供防火墙出租 服务器监控 存储出租 入侵监 测 流量监控与过滤 网页篡改防护 远程接入管控等增值业务 根据 中国移动 IDC 总体技术要求 扩展区是为了 IDC 的业务扩展性而设计的 通过防火墙 IDS 等安全设备连接到 CMNET 网络 并提供专线接入服务 实现 与集团客户内部网络的互连 设置扩展区有两点考虑 一是建设方可以将一些不 适合放在基础区或者增值区的业务系统放入扩展区 如大型集团客户 另外一方 面根据 IDC 业务发展的需求 在 IDC 里面不断涌现各种对网络架构或者安全管理 有特殊需求的新业务 这类新业务放入基础区或者增值区不适合的时候 可以建 IDC 安全防护技术要求 23 立扩展区域 如果暂时没有建设扩展区的需求 只需在互联网接入层的出口路由 器上预留带宽 接口即可 业务域的具体安全防护部署如下 业务域的具体安全防护部署如下 移动自有业务域 需要保证网络本身的高可靠性及与第三方区域的严格隔离 根 据自有业务的安全需求 需要部署物理安全设施 采用 IDC 统一部署 支持虚拟 功能的双层异构防火墙 集中化的不良信息检测与封堵系统 网站备案系统 流 量监控和过滤系统 支持虚拟功能的入侵检测系统 通用或者 WEB 漏洞扫描 网络版防病毒系统 软件型网页篡改及网页信息安全防护系统以及综合安全管控 平台进行防护 第三方业务域根据客户不同的安全需求 需要部署不同的防护 防护措施如下 基础区基础区 针对基础业务区 主要保证网络本身的高可靠及与其它业务区域的隔离 基础区提供传统的 IDC 业务 具有基础的网络架构 只为客户提供基础的网络连接和 基本的物理机房资源 针对国家以及中国移动对于 IDC 业务的安全要求 一般要强制 部署的安全防护包括 物理安全设施 不良信息检测与封堵系统 网站备案系统等 这些防护是 IDC 按照国家要求 行业标准为用户提供的基础性安全服务 同时 提供 基于客户的流量监控服务 以便及时发现流量异常 通知客户处理 用户拥有自己的 业务设备 例如 带宽管理设备 防火墙 负载均衡设备 4 层 7 层智能服务设备等 用户仅需要从 IDC 租用固定带宽和机位机架的服务 增值区增值区 该区域通过防火墙 IDS 等安全设备连接到 CMNET 网络 根据不同客 户业务需求 在部署物理安全设施 不良信息检测 封堵等基础性安全防护之上 提 供增值性安全性服务 如流量监控 流量过滤 抗 DDoS 攻击 支持虚拟功能的双层 异构防火墙 具备虚拟功能的入侵检测系统 负载均衡设备 综合安全管控系统 各 类漏洞扫描系统 网络版防病毒系统 硬件型网页篡改及网页信息安全防护系统 也 可以根据部分用户需求 部署软件型网页篡改及网页信息安全防护系统 提高防篡改 能力 同时 可以基于用户需求提供安全加固服务等等 除了提供上述服务外 还需 要开展服务器监控 存储出租等增值业务 扩展区扩展区 该区域通过防火墙 IDS 等安全设备连接到 CMNET 网络 并提供专线 接入服务 实现与集团客户内部网络的互连 扩展区的安全需求 原则上可根据业务 类型灵活定制 建议扩展区的安全防护参照增值区的防护方式来部署 功能区域除了 提供功能增值区业务外 还用于开展集团专线接入业务 IDC 安全防护技术要求 24 需要特别指出的 用户如需要特定的防护策略来控制自己业务的访问权限 可以对 IDC 提出需求 IDC 维护人员可在异构防火墙的内侧防火墙设置满足用户需求的相应策略 用户也可以自己在所属业务系统 VLAN 边界部署防火墙设定所需的访问策略 业务域的具体防护部署如表 7 1 所示 表 7 1 基础和可选的防护部署 自 有 业 务 区 自有业务区基础 物理安全设施 具有高速 可用的网络连接 提供公共防火墙防护 提供不良信息的检测和封堵防护 提供网站备案功能 提供流量监控系统 抗DDoS系统 提供具备虚拟功能的入侵检测系统 提供网页篡改及网页信息安全防护系统 提供综合安全管控系统 提供漏洞扫描系统 提供网络版防病毒系统 安全虚拟机 提供安全评估和加固服务 基础区基础 网络连接高可用 高速 网络设备端口 物理安全设施 提供不良信息的检测和封堵防护 提供网站备案功能 基础 物理安全设施 具有高速 可用的网络连接 提供公共防火墙防护 提供不良信息的检测和封堵防护 提供网站备案功能 增值区 可选 提供流量监控服务 抗DDoS系统 提供具备虚拟功能的入侵检测服务 提供网页篡改及网页信息安全防护改服务 提供综合安全管控服务 提供漏洞扫描服务 提供网络版防病毒系统服务 安全虚拟机 提供安全评估和加固服务 基础 同增值区基础防护 第 三 方 业 务 区 扩展区 可选 同增值区可选防护 7 2 5日常操作维护区日常操作维护区 日常操作维护区是移动员工对 IDC 各类系统进行管理的工作区域 该区域应重点加强 IDC 安全防护技术要求 25 中国移动 IDC 维护人员访问 IDC 设备 资源时的集中化的安全认证 访问控制 日志审计 能力 并防范病毒扩散 具体的防护措施如下 在该区域和IDC业务域及其它区域之间的唯一接口位置 即该区域内交换机与IDC 汇聚交换机之间 部署防火墙 综合安全管控平台堡垒主机 进行访问控制 结 合综合安全管控平台内部Portal 实现用户帐号管理 权限管理 密码管理 一 次登录 资源发布和安全审计等功能 具体实践中 可以将该区域放在 IDC 内部 通过核心汇聚层管理 IDC 各区域的基础设 施以及部分用户的设备 也可以单独部署在独立于 IDC 的区域 通过互联网接入域或者专 线接入到 IDC 并接受防火墙 综合安全管控平台的管理 7 2 6第三方接入区第三方接入区 第三方接入区是 IDC 客户和 IDC 技术支撑厂家人员专线方式远程接入及在 IDC 本地 的工作区域 该区域的具体防护措施如下 客户人员可以本地维护 也可部署远程专线接入进行维护 其操作均需要通过部 署在该区域与其它区域之间的唯一接口之间 即该区域内交换机与IDC汇聚交换机 之间链路上的综合安全管控平台堡垒主机设备进行严格的访问控制 日志审计 才能访问其所属系统 该区域与日常操作维护区隔离 注 第三方人员通过互联网远程维护时 独立于第三方接入区 由互联网接入域 和停火区的防火墙 VPN和安全管控平台堡垒主机进行控制 对于业务域基础区的 客户 可以直接通过互联网访问 具体实践中 可以将该区域放在 IDC 内部 通过核心汇聚层管理 IDC 各区域的基础设 施以及部分用户的设备 也可以单独部署在独立于 IDC 的区域 通过互联网接入域或者专 线接入到 IDC 并接受防火墙 综合安全管控平台的管理 7 2 7管理服务区管理服务区 在在管理服务区边界 主要是与核心汇聚域之间链路 部署防火墙 并在停火区内部 署综合安全管控平台堡垒主机 Portal 等设备 内外部维护人员均需要通过该区域的 Portal 设备才能访问所属业务系统以及管理服务域中的设备 管理服务区的 Portal 为日常操作 IDC 安全防护技术要求 26 维护区和第三方接入区人员接入管控平台所使用 可以分开部署也可统一部署 7 3设备自身安全和安全配置要求设备自身安全和安全配置要求 结合 IDC 数据中心业务复杂性以及业务多样性 设备安全 软件系统的安全配置参考 IDC 建设方和托管方的安全需求进行 IDC 中心基础设施 管理类软件系统等参考 中国移动设备通用安全功能和配置规范 系列标准以及国家相关安全标准进行安全配置 被托管设备安全配置除了参考国家相关安 全标准外 还需考虑被托管单位安全建设要求进行 7 4集中化安全管理技术要求集中化安全管理技术要求 7 4 1综合安全管控综合安全管控 逐步建立可以支撑 IDC 日常安全管理工作的综合安全管控平台 可以独立建设 也可 以与各省公司业已规划建设的综合安全管控平台合设 实现综合维护接入 帐号口令管理 日志审计 安全合规 安全事件关联分析及监控等功能 初期重点实现综合维护接入 帐 号口令管理 日志审计三大功能 即综合安全管控平台一阶段 安全管控平台的基本功 能 为了避免用户非授权的访问以及对网络的滥用 应重点在互联网接入域和停火区 以 及日常操作维护区 第三方接入区与核心汇聚域之间部署综合安全管控平台的安全网关类 设备 实现如下功能 可实现基于用户名 用户组 访问时间 访问对象等策略的权限精确管理 实现网络层用户访问日志记录 支持包括短信认证 静态强口令认证等 IDC 运营部门应独立开展 7 24 小时的安全监控 或者将 IDC 安全监控纳入省公司集 中建设的综合安全管控平台 利用管控平台安全事件关联分析功能 及时发现重要安全事 件 结合集中告警平台开展实时监控 监控的主要内容包括 网站中尤其是BBS 社区等的不良内容发布 用户访问不良信息的情况 DDOS攻击监测 僵尸木马监测 病毒情况监测 IDC 安全防护技术要求 27 入侵监测 利用系统或者管理漏洞开展的其它攻击类型监测 7 4 2安全扫描安全扫描 开展制度化的安全扫描 及时发现安全漏洞隐患 根据系统维护归属 敦促整改 安全扫描主要包括主机系统漏洞扫描 WEB 应用漏洞扫描 挂马事件扫描等 优选采 用集团公司或者省公司统一购置的各类扫描器进行日常扫描工作 如属于独立运营 必要 时可以单独采购相关设备 7 5安全组织 标准要求安全组织 标准要求 IDC 运营团队应建立责任分工明确 流程顺畅 动作规范的组织队伍 开展规范化安 全运行管理 组织组织 安全管理组织架构设计应对安全管理机构的组织结构 岗位及职责 人员配备数量 人员素质及技能保证等方面提出具体的说明 标准标准 建立 IDC 管理的规章制度包括但不限于管理制度 岗位职责 以及一些质量管理体系 的要求 制定规章制度 还需要有详细的工作流程规范 以明确规定一些日常工作的工作流程 将经常出现错误或者容易忽视的问题总结出来 重点建立执行网站备案 内容审核 日常监控 事件应急响应等流程 严格执行 IDC 基础信息资源管理 如对 IP 地址 端口 机架 安全域 客户基础信 息等的管理 可实施的监督考核体系可实施的监督考核体系 在建立规章制度后 更应强调的是加强监督考核机制 定期检查 明确责任 8IDC 安全防护体系建设思路