中国电信增值业务平台分等级安全基线与安全域划分指引（试行）.doc

中国电信增值业务平台中国电信增值业务平台 分等级与安全域划分分等级与安全域划分 工作指引工作指引 试行 试行 20112011 年年 1111 月月 中国电信集团网络运行维护事业部中国电信集团网络运行维护事业部 目录目录 一 业务平台分等级标准一 业务平台分等级标准 3 3 1 1 业务平台分级思路 3 1 2 业务平台分级标准 3 二 安全域划分实施建议二 安全域划分实施建议 8 8 2 1 现有机房及平台安全域划分实施建议 8 2 2 新建机房及平台安全域划分实施建议 9 2 3 云平台安全域划分建议 9 三 附录 三 附录 安全域划分案例安全域划分案例 1111 3 1 号码百事通业务系统 网络结构复杂 11 3 2 彩信业务平台 网络结构中等 12 3 3 WAP 网关业务系统 网络结构简单 14 一 业务平台分等级标准一 业务平台分等级标准 1 11 1 业务平台分级思路业务平台分级思路 业务平台分级根据以下两个方面来进行 分级参考因素 业务平台承载业务的生命周期 业务平台承载业务重要性 平台年收入 平台用户数量 故障影响程度 省公司用户基数 因为目前各省公司用户基数存在较大的差异 业务收入差别也很大 所 以在制订标准数值时需要根据省公司的用户基数加以调整 1 21 2 业务平台分级标准业务平台分级标准 一 省公司 一 省公司 C 网用户数在网用户数在 900 万以上 广东 江苏 浙江 万以上 广东 江苏 浙江 序号序号 分级参考因分级参考因 素素 A A 类类B B 类类C C 类类D D 类类说明说明 1 平台承载业 务生命周期 培育期 成 长期 成熟 期 培育期 成 长期 成熟 期 成熟期 衰退期衰退期 2 平台承载业 务属于基础 业务或者战 略性业务 重要性高 平台承载业 务属于基础 业务或者战 略性业务 重要性高 平台承载业 务重要性较 高 平台承载业务 重要性一般 平台承载业 务重要性低 3 平台用户数300 万以上 200 万 300 万 100 万 200 万 100 万以下 4 平台年收入2000 万以 上 500 万 2000 万 100 万 500 万 100 万以下 5 故障影响程 度 1 故障影 响范围全省 或全集团 2 会造成 重大通信事 故 1 故障影 响范围为全 省 2 会造成 较大通信故 障 1 故障影响范 围为全省或省 内部分地区 2 会造成一般 通信故障 3 涉及用户数 故障只影响 少量客户 1 原则上属于电信业务网 络横向目标架构上列出的 业务平台 如 C 网短信中 心 彩信中心 短信互通 网关 业务网关 行业网 关 彩铃平台 WAP 网关 WAP PORTAL ISMP ISAG VPD N 视频平台以及集团业务 平台等都列入 A B 类业务 平台 其它平台按分级标 准进行划分 2 分级时需对参考因素进 行综合考虑 结合平台实 际情况来进行划分 3 原则上确定 D 类的不再 进行新的投入 维持原状 逐步按计划归并 清退 所以在分级时需要进行明 确 3 涉及用 户数大 影 响面广 3 涉及用 户数较大 影响面较广 不大 影响面 较小 二 省公司 二 省公司 C 网用户数在网用户数在 400 万 万 900 万 四川 福建 安徽 湖北 上海 万 四川 福建 安徽 湖北 上海 河北 陕西 河北 陕西 业务平台分级标准 参考 业务平台分级标准 参考 序号序号 分级参考分级参考 因素因素 A A 类类B B 类类C C 类类D D 类类说明说明 1 平台承载 业务生命 周期 培育期 成长期 成熟期 培育期 成长期 成熟期 成熟期 衰退期衰退期 2 承载业务 重要性 平台承载业务 属于基础业务 或者战略性业 务 重要性高 平台承载业务 重要性较高 平台承载业务 重要性一般 平台承载业务 重要性低 3 平台用户 数 100 万以上50 万 100 万10 万 50 万10 万以下 4 平台年收 入 1000 万以上300 万 1000 万 50 万 300 万50 万以下 5 故障影响 程度 1 故障影响范 围全省或全集 团 2 会造成重大 通信事故 3 涉及用户数 大 影响面广 1 故障影响范 围为全省 2 会造成较大 通信故障 3 涉及用户数 较大 影响面 较广 1 故障影响范 围为全省或省 内部分地区 2 会造成一般 通信故障 3 涉及用户数 不大 影响面 较小 故障只影响少 量客户 1 原则上属于电 信业务网络横向 目标架构上列出 的业务平台 如 C 网短信中心 彩信中心 短信 互通网关 业务 网关 行业网关 彩铃平台 WAP 网关 WAP PORTAL ISMP I SAG VPDN 视频 平台以及集团业 务平台等都列入 A B 类业务平台 其它平台按分级 标准进行划分 2 分级时需对参 考因素进行综合 考虑 结合平台 实际情况来进行 划分 3 原则上确定 D 类的不再进行新 的投入 维持原 状 逐步按计 划 归并 清退 所 以在分级时需要 进行明确 三 三 省公司省公司 C 网用户数在网用户数在 200 万 万 400 万 山东 湖南 辽宁 云南 广西 万 山东 湖南 辽宁 云南 广西 贵州 新建 北京 甘肃 江西 河南 内蒙 贵州 新建 北京 甘肃 江西 河南 内蒙 业务平台分级标准 参考 业务平台分级标准 参考 序号序号 分级参考分级参考 因素因素 A A 类类B B 类类C C 类类D D 类类说明说明 1 平台承载 业务生命 周期 培育期 成长期 成熟期 培育期 成长期 成熟期 成熟期 衰退期衰退期 2 承载业务 重要性 平台承载业务 属于基础业务 或者战略性业 务 重要性高 平台承载业务 重要性较高 平台承载业务 重要性一般 平台承载业务 重要性低 3 平台用户 数 50 万以上10 万 50 万1 万 10 万1 万以下 4 平台年收 入 500 万以上100 万 500 万 10 万 100 万10 万以下 5 故障影响 程度 1 故障影响范 围全省或全集 团 2 会造成重大 通信事故 3 涉及用户数 大 影响面广 1 故障影响范 围为全省 2 会造成较大 通信故障 3 涉及用户数 较大 影响面 较广 1 故障影响范 围为全省或省 内部分地区 2 会造成一般 通信故障 3 涉及用户数 不大 影响面 较小 故障只影响少 量客户 1 原则上属于电 信业务网络横向 目标架构上列出 的业务平台 如 C 网短信中心 彩信中心 短信 互通网关 业务 网关 行业网关 彩铃平台 WAP 网关 WAP PORTAL ISMP I SAG VPDN 视频 平台以及集团业 务平台等都列入 A B 类业务平台 其它平台按分级 标准进行划分 2 分级时需对参 考因素进行综合 考虑 结合平台 实际情况来进行 划分 3 原则上确定 D 类的不再进行新 的投入 维持原 状 逐步按计 划 归并 清退 所 以在分级时需要 进行明确 四 省公司 四 省公司 C 网用户数在网用户数在 200 万以下 重庆 黑龙江 山西 吉林 天津 万以下 重庆 黑龙江 山西 吉林 天津 海南 青海 宁夏 西藏 海南 青海 宁夏 西藏 业务平台分级标准 参考 业务平台分级标准 参考 序号序号 分级参考分级参考 因素因素 A A 类类B B 类类C C 类类D D 类类说明说明 1 平台承载 业务生命 周期 培育期 成长期 成熟期 培育期 成长期 成熟期 成熟期 衰退期衰退期 2 承载业务 重要性 平台承载业务 属于基础业务 或者战略性业 务 重要性高 平台承载业务 重要性较高 平台承载业务 重要性一般 平台承载业务 重要性低 3 平台用户 数 20 万以上5 万 20 万0 5 万 5 万0 5 万以下 4 平台年收 入 200 万以上50 万 200 万5 万 50 万5 万以下 5 故障影响 程度 1 故障影响范 围全省或全集 团 2 会造成重大 通信事故 3 涉及用户数 大 影响面广 1 故障影响范 围为全省 2 会造成较大 通信故障 3 涉及用户数 较大 影响面 较广 1 故障影响范 围为全省或省 内部分地区 2 会造成一般 通信故障 3 涉及用户数 不大 影响面 较小 故障只影响少 量客户 1 原则上属于电 信业务网络横向 目标架构上列出 的业务平台 如 C 网短信中心 彩信中心 短信 互通网关 业务 网关 行业网关 彩铃平台 WAP 网关 WAP PORTAL ISMP I SAG VPDN 视频 平台以及集团业 务平台 特殊平 台 战略性平台 政企专用平台 涉及国家或企业 安全等 都列入 A B 类业务平台 其它平台按分级 标准进行划分 2 分级时需对参 考因素进行综合 考虑 结合平台 实际情况来进行 划分 3 原则上确定 D 类的不再进行新 的投入 维持原 状 逐步按计 划 归并 清退 所 以在分级时需要 进行明确 说明 上述业务平台分级标准仅为参考标准 各省需要根据本省实际情况调整 说明 上述业务平台分级标准仅为参考标准 各省需要根据本省实际情况调整 二二 安安全全域域划划分分 实实施施建建议议 安全域划分是一个复杂的工程 应该按照分系统 分阶段的方式 并将责任落实至相 关具体部门进行实施 对于复杂的大网络应先进行简化 后设计防护体系 以便安全管理 的有效进行 现有机房和新建机房的安全域划分的分阶段实施也应分别进行 现现有有机机房房 网网络络保保护护子子域域 网网络络设设备备子子域域 核核心心网网络络子子域域 核核心心计计算算子子域域 业业务务平平台台1 1业业务务平平台台N N 新新建建机机房房 新新建建业业务务平平台台 网网络络保保护护子子域域 网网络络设设备备子子域域 网网络络保保护护子子域域 核核心心网网络络子子域域 核核心心计计算算子子域域 运运营营支支撑撑域域 汇汇聚聚路路由由器器 核核心心路路由由器器 防防火火墙墙 交交换换机机 I IP PS S I ID DS S 堡堡 垒垒机机 审审计计 G Gu ua ar rd d等等 网网管管 报报表表 分分 析析 维维护护 操操作作 信信令令跟跟踪踪等等运运营营支支 撑撑设设备备 汇汇聚聚路路由由器器 防防火火墙墙 交交换换机机 核核心心保保护护域域核核心心保保护护域域 网网络络接接入入域域 网网络络外外部部域域 D DC CN N I In nt te er rn ne et t C CN N2 2 图 2 1 机房安全域划分示意图 2 1 现有机房及平台安全域划分实施建议 对现有机房和业务平台进行安全域划分 主要以网络架构为依据按阶段对业务平台各 系统进行统计分析 归类整合 并逐步进行安全加固 规则部署及核查调优等工作 主要 可分为以下五个阶段来实施 第一阶段 分析机房内现有业务平台的部署情况 统计机房内现有业务平台的数量 以业务流为主线 盘点每个业务平台下的信息资产 明确业务平台间的物理 逻辑边界 根据业务平台承载业务的重要程度 用户规模 经济效益和设备数量等实际情况 确定该 业务平台的安全等级 为安全集中管理做好准备 第二阶段 划分安全域 依据安全域划分的原则和方法 把业务平台下的信息资产进 行整合归类后分别划入不同的安全域 包括网络外部域 网络接入域 核心保护域和运营 支撑域 再根据安全域内部的特定安全需求进一步划分安全子域 包括 网络设备子域 网络保护子域 核心网络子域 核心计算子域 第三阶段 明确防护策略 根据机房的布置 选择合理位置 配备集中式管理平台 根据各业务平台实际安全等级 可以统一安全接入集中管理平台 例如配置集中的网络防 御和入侵检测设备或配备集中的审计登录跳板 堡垒机 等 亦可以分安全等级分别接入 业务平台安全等级的高低决定安全接入的具体选择和策略控制 统一管理安全接入设备 对各业务平台的接入提供支持 第四阶段 实施改造及测试 根据安全域划分和防护方案 制定科学 合理的安全域 改造方案 拟定实施计划 做好实施工作中的风险控制 并在割接完毕后进行各种业务服 务的测试 第五阶段 评估效果 完善策略 通过验收检查和定期核查对业务平台安全域的划分 进行评估 评估安全策略的落实效果 安全策略不可能一步到位 应按由松入严的方式 对安全策略逐步细化落实 而且 安全策略的设计可能存在遗漏和差错 因此应通过监听 监控手段对安全策略进行预先检查和验证 2 2 新建机房及平台安全域划分实施建议 对新建机房和业务平台进行的安全域划分 前期仍以网络架构为依据 依照 2 1 中现 有机房及平台安全域划分的五个阶段进行 新建机房的建设可参考图 2 1 机房安全域划分 示意图 具体实施需注意如下内容 1 新建机房必须包括网络设备子域 网络保护子域 核心设备域和核心计算子域 2 新建机房网络设备子域必须具备汇聚路由器 可复用原有机房的核心路由器 若 原机房没有核心路由器建议新增 3 新建机房的网络保护子域必须具备防火墙 其中对全网进行保护的 IPS IDS 堡 垒机 审计系统等设备可复用原有机房相关设备 如原有机房无相关设备可根据 实际情况酌情新增 4 从集中监控 统一维护的角度出发建设运营支撑域 如旧有机房已建设运营支撑 域 新机房可通过维护网络实现与原有机房运营支撑域设备的连接复用 2 3 云平台安全域划分建议 随着硬件配置越来越高 互联网上数据量的飞速增长 云计算的雏形正在逐步形成 它为供应商提供了全新的机遇并催生了传统 IT 产品的转变 同时也带来了新的安全挑战 如何在云计算下实现安全域的划分 根据云平台软硬件和所属功能不同 我们将云平台安全域划分为云应用平台保护域 云基础设备域 云运维支撑域和云网络保护 如图 2 2 1 云基础设备域包括了云服务器 云交换机和云存储等物理网元以及云虚拟软件 它提供安全可靠 易管理的基础设施环境 它向客户提供处理 存储 网络以及 其他基础计算资源 2 云应用平台保护域提供应用程序 如短信 彩信 WAP 等业务平台 运行的虚拟 设备和开发环境 数据库 中间件和操作系统等 这些应用程序可以被各种各样 的客户端设备所访问 依据部署的业务系统不同 可再详细划分为多个业务平台 应用子域 原则上一个平台 应用 独立划分为一个应用子域 客户使用平台内 的开发环境和工具 开发出应用程序 发布到云基础设施上 客户不管理或者控 制底层的云基础设施 但是能控制发布应用程序和可能的应用程序运行环境配置 3 云运维支撑域是对云提供运营维护 管理支撑的专用区域 该域包括维护操作管 理 资源管理 集中网络管理等功能 主要提供给业务平台维护人员操作管理使 用 4 云网络保护域是由为云提供安全防护的设备组成 主要承担从外部网络访问业务 平台的数据流过滤 防御外部网络病毒 黑客攻击以及保障云平台内部系统 网 元安全的作用 主要部署防火墙 抗 DDOS 设备 入侵检测设备 网络操作审计 和病毒 补丁统一管理系统等设备 该域可与整体机房的网络保护子域重合 云云运运维维支支撑撑域域 业业务务平平台台应应 用用子子域域 开开发发环环境境数数据据库库中中间间件件操操作作系系统统 X X8 86 6服服务务器器小小型型机机存存储储设设备备交交换换机机 云云基基础础设设备备域域 FW IPS IDS 堡堡垒垒机机 审审计计产产 品品 Guard等等 云云网网络络保保护护域域 云云应应用用平平台台保保护护域域 虚虚机机软软件件资资源源管管理理 其其他他 业业务务平平台台2 2应应 用用子子域域 其其他他应应用用子子 域域 业业务务平平台台3 3应应 用用子子域域 图 2 2 图云计算安全域划分初步设想图 注 本技术要求还待进一步实践完善 各省分公司可以根据以上安全域划分原则 结 合省分公司的实际情况进行试点 对网络和平台进行逐步物理和逻辑调整 对于新建业务 网络和平台应参照中国电信业务平台分等分级安全基线规范的具体指标参考进行分等分级 同时依据该规范进行建设和产品配套 三 附录 三 附录 安全域划分案例安全域划分案例 3 13 1 号码百事通业务系统 网络结构复杂 号码百事通业务系统 网络结构复杂 号码百事通业务系统平台特点是设备众多 网络结构复杂 业务系统复杂 如图 3 1 所示 图 3 1 图号百广域网原图 交交换换机机 1交交换换机机 2 交交换换机机 3交交换换机机 4 交换机 5交换机 6 安安全全过过滤滤网网关关 外外系系统统 DCNInternet 地地市市坐坐席席2 地地市市坐坐 席席1 网网管管系系统统 地地市市路路由由器器 1 地地市市路路由由器器 3 路路由由器器 1路路由由器器 2 应应用用服服务务器器群群 核核心心数数据据库库 网网络络外外部部域域 网网络络保保护护子子域域 网网络络设设备备子子域域 核核心心网网络络子子域域 核核心心计计算算子子域域 运运营营支支撑撑域域 应应用用服服务务器器群群 防防火火墙墙 1防防火火墙墙 2 图 3 2 号百广域网安全域划分示意图 依据安全域划分方法进行划分 号百业务平台分别有网络外部域 网络接入域 网络 设备子域和网络保护子域 核心保护域 核心网络子域和核心计算子域 和运营支撑域组 成 各域内设备如图 3 2 所示 3 23 2 彩信业务平台 网络结构中等 彩信业务平台 网络结构中等 彩信业务系统平台特点是设备数量属于中等 网络结构属于中等复杂 如图 3 3 所示 图 3 3