运营商数据业务系统的安全域划分Word下载.docx
《运营商数据业务系统的安全域划分Word下载.docx》由会员分享,可在线阅读,更多相关《运营商数据业务系统的安全域划分Word下载.docx(15页珍藏版)》请在冰豆网上搜索。
1)该运营商目前拥有的数据业务系统种类众多,并具有网络互联网广、IT
技术杂、业
务流程众多的特点,且存在着相互依存和依赖。
另外,由于各地数据业务的发展状况与系
统建设情况存在着较大的差别,且同一类型的系统可能是由不同厂商提供的,造成各省之
间的差别存在较大差异,无法跨省进行经验借鉴,在进行安全域划分时,也需要各省公司
人员针对自身的实际情况和每个系统的特点,制定更为细致的规X或要求,这就要求各省
公司人员能够深刻理解安全域划分原理和指导思想。
2)在进行系统安全域划分或整合时,往往涉与系统的重构和网络结构的变化,可能会
涉与业务、管理、运维等各个不同的部门与厂家,这必然存在大量的协调问题,对项目人
员的管理能力都具有较高的要求。
3)安全域防护体系的设计需要懂业务、懂技术、懂管理并具有一定安全知识和技能的
高级人员,能够从业务持续安全的高度进行体系设计。
另外,在具体系统的安全域划分和割接时还存在资源、资金、业务连续性等各方面的
挑战,这里不再一一叙述,
针对这些挑战,本文对安全域方法进行了深入的探讨和阐述,并参考相关资料,阐述
了安全域划分、边界整合、安全防护体系设计和系统改造实施的一些经验和做法,并对系
统改扩建中安全域管理给出了建议。
三、安全域的划分和边界整合设计
安全域的科学、合理划分是对信息系统进行边界整合的前提,是选择和部署安全防护
措施,制定信息系统安全保护策略的基础。
安全域划分就是按照安全防护的角度对系统进行区域划分,把复杂巨大的系统分解为
简单而结构化的小的区域,以便于防护和管理。
边界整合就是在安全域划分的基础上,对保护等级、功能、通信方法相同或相似的区
域进行整合,减少或简化系统边界,以便于防护和监控。
1.安全域划分指导思想
安全域划分目标是通过对系统进行分区域划分和防护,构建起有效的纵深防护体系,
有效抵御潜在威胁,降低风险,保证系统的顺畅运行,保证业务服务的持续、有效提供。
为了达到“保证业务服务持续、有效提供”根本目标的实现,必须坚持“以业务为中心、
流程为驱动、风险为导向”的指导思想,围绕业务服务,紧紧抓住业务数据流程这根主线,
分析系统、业务处理活动所受到的各种潜在威胁与可能的影响,确定安全防护等级,构建
起满足等级保护要求的纵深的安全防护体系,并配合管理手段,使其持续保持有效。
Ø
·
业务为中心
安全域的划分、防护应围绕业务服务展开,并以是否有效保障了业务的安全、稳定、
顺畅运行为最终评判标准。
以业务为中心,要求全面了解系统支撑或提供的各种业务服务,
分析各种业务服务对XX性、完整性、可用性、可控性、真实性、抗否认、可稽核性、合
规性等等各方面的要求,确定系统的安全保护等级和保护要求。
流程为驱动
从
IT
的角度看,系统支撑或提供的业务服务表现为一系列相互关联的业务数据流程,
保障业务的安全就是要保障这一系列业务数据流的安全。
因此,要求全面、细致、深入了
解各种业务服务所对应的业务数据流程集合以与相关的管理、控制数据流程,并紧紧抓住
数据流程这根主线,识别贯穿整个数据流程的关键数据处理活动,全面、细致的刻画业务
服务的实现细节。
通过对数据流、数据处理活动的深入、系统分析,并综合考虑其
组成
要素的实际情况,分析来自业务、IT
风险、合规等方面的安全需求,将具有相同或近似安
全保护需求的
要素归并到一个安全域中,沿着数据流程构建起纵深的防护体系,同时,
对不相关的数据流进行有效的隔离。
风险为导向
系统保护的核心就是保护业务信息处理逻辑,即保护数据产生、获取、处理(识别、转
换、筛选、汇总、分析等等)、传输、存储和恢复、销毁的全过程、全生命周期的安全。
也
就是保护信息数据流与贯穿整个数据流数据处理活动的安全。
通过从系统、业务/管理/控制数据流、数据处理活动等几个层次深入系统分析,可以
明确系统受到的各种潜在威胁与可能的风险,并根据系统的安全保护等级和要求,可以确
定出各种
组成要素的安全保护需求,并综合各种情况和约束条件确定安全保护策略,确
定最佳的安全防护措施与其部署方式,将具有相同或近似安全策略的
要素归并到一个安
全域中,并简化安全域之间的边界通信。
简化和优化系统结构
系统的规模越来越大、结构越来越复杂,对这类信息系统的安全防护难度越来越大,
难于进行安全度量和评测。
根据信息系统的内在结构,将其划分为较小的安全域,并规X每个安全域提供的业务
功能、数据处理活动,规X安全域之间的互联互通方式,优化安全域之间的交互作用方式
和机制,从而规X、简化、优化系统结构,使系统更加易于防护和运维、管理。
符合相关标准规X要求
系统的安全防护应满足信息系统安全等级保护、SOX
法规和行业规X的要求。
2.安全域划分方法
(1)数据业务系统模型
安全域划分的对象是业务系统。
该运营商的数据业务系统通常是基于
技术进行构建
的,其信息系统模型一般如下:
图业务信息系统组成结构模型
一个大型的、复杂的数据业务系统是由一个基本的数据业务系统扩展而成的,因此数
据业务系统的模型可以概括为由终端、服务器、网络系统与支撑性设施构成的。
(2)基本安全域类型设计
工作终端、网络基础设施、服务主机和数据存储设施与支撑性设施承载的信息处理功
能不同,安全保护需求不同,应属于不同的安全域类型。
因此,可以首先将一个系统的
IT
要素划分为用户域、计算域、网络域、支撑域四类基本的安全域。
图
安全域的基本构成
用户域由进行同类业务处理、访问同类数据的用户终端组成,例如工作站、便携式电
脑等;
网络域由连接用户域、计算域与支撑域的用来传输数据的互联基础设施组成,例如网
络交换机、路由器、网络链路等;
计算域由在局域X围内进行处理、传输、存贮数据的服务
设备或系统组成,例如服务器设备、操作系统、数据库系统等;
支撑域由支撑业务运营的基
础组件与作为各个安全设备、软件或系统的管理控制组件构成,如安全管理组件、数字证
书组件等。
四类基本安全域也反映了系统的层次结构,例如网络域对计算域、用户域、支撑域起
着传输和承载服务关系。
对于具体系统来说,还需要在基本安全域的基础上进行进一步的细分。
细分时应依据
与业务服务的相关性依次展开,即按照计算域、用户域、支撑域、网络域的进行细分。
计算域的设计
对于计算域内
要素进行细分,主要基于信息系统的应用结构,从承载的业务功能、
数据流、数据处理活动与受到的威胁等导致安全需求差异化的因素进行考虑。
图常见应用系统结构
系统的常见应用结构如上图所示。
对于
Browser/WEB/APP/DB、Agent/Manager/Server、Peer/Proxy/Peer
结构,其每部分提供
的功能/服务都有所不同,访问策略和数据处理活动不同,可以把计算域的
要素大致分
为接入服务、应用服务和数据库服务三部分。
相应的,可以将计算域细分为接入计算区、
应用计算区、数据计算区,其防护级别逐渐递增。
图一个信息系统的应用层次结构
对于一个信息系统来说,一般是这些常见应用结构的集合体。
对于简单的数据业务系
统,可以将应用计算区、数据计算区合并称为核心计算区或核心生产区。
用户域设计
对于用户域细分设计,主要从用户终端承担的业务功能、所处的逻辑位置、用户主体、
受到的威胁等导致安全需求差异化的因素进行考虑。
从功能方面,可以将用户终端分为管理、业务两类;
从用户主体方面,可分为内部和第
三方;
从逻辑位置方面,可以分为本地和远程。
用户域
要素的综合分析:
本着简单、实用、实效的原则,用户域可以首先分为业务用户区、管理用户区两类,
再根据所处的逻辑位置的不同划分为本地、远程两部分,最后可以对本地管理用户区再依
据用户主体的不同进行细分为本地内部管理、本地第三方管理两部分。
另外,对于仍处在开发中的系统,可以设计单独的开发区,并与正常运营使用的系统
进行严格隔离。
支撑域设计
对于支撑域的安全域细分主要根据其内部
要素提供的支撑功能或服务,以与服务实
现要求、合规性要求等方面进行考虑。
对于数据业务系统的支撑性基础设施一般包括运行维护中心或安全服务中心两部分。
相应的可以划分为运维管理区、安全服务区。
网络域设计
对于数据业务系统来说,其系统是分布式的,例如:
省中心通过
MDCN
或
CMNet
与
其他节点相连,或者所有节点通过专线方式相连。
为了有效的防X来自外部网络环境的威胁,系统的核心部分一般会通过一个互联互通
的隔离带与外部环境网络相连。
系统与其外部网络环境结构一般如下:
图信息系统与其外部网络环境
在互联互通部分,一般会有三个逻辑网络部分(可能使用同一网络设备)负责
Internet(CMNet)、Extranet、Intranet(MDCN、IP
承载网)网络的接入,其安全需求因为外
部网络环境的不同而不同,这三个逻辑部分可分别称之为互联网接入部分、外联网接入部
分、内联网接入部分。
因此,数据业务系统网络一般可以首先将网络划分为网络核心区、网络接入区两个部
分。
网络核心区内部一般有应用计算区、数据计算区与运维管理区、安全服务区,网络核
心区负责这些上层区域的隔离和通信控制与提供其所需的网络层安全服务。
网络接入区可
以根据实际情况细分为互联网接入区、外联网接入区、内联网接入区、远程接入区等。
(3)安全域划分模型
按照这种安全域划分方法,业务系统的安全域划分模型见下图示。
图安全域划分模型
(4)安全域划分示例
例如,有一数据业务系统,其允许
SP
通过
访问,对其开发的增值业务进行定
制和管理。
同时内部用户或服务人员也可以通过网络对其增值业务进行定制和管理。
同时,
本系统还与银行合作伙伴通过前置机互联,完成相应的充值、缴费等作业;
BOSS
系统互联,与时进行话单的传递。
另外,为了便于对系统进行监控和管理,部署在
其内部的网管前置机可以将采集到的管理信息与时发送到网管中心。
其系统结构图与主要数据流如下图示:
图系统结构与数据流分布图
此系统的安全域划分结构如下示:
图系统安全域划分示例
3.边界整合
边界整合的目的是简化系统、安全域的防护边界,使其便于防护、便于管理、强化控
制、节省投资。
安全域划分完毕后,可以系统的识别出安全域的边界。
安全域边界通常是逻辑通信边
界,逻辑通信边界通常覆盖了
OSI
通信模型的网络层、传输层和应用层。
(1)整合原则
边界的整合,必须在保障业务安全、顺畅运行且性能满足要求的情况下,按照下述原
则对安全域的边界进行整合:
安全域的跨边界通信方式相似,业务功能相似;
安全域具有相同安全保护等级、相似的安全保护策略;
安全域的类型相同。
对于原则的第一条,需要特定注意。
因为在数据业务系统中,常常存在业务数据流和
管理控制数据流共用设备的情形,但其保护需求和保护策略与对性能的要求存在一定的差
异,通常对其进行逻辑上的隔离,不能进行合并。
(2)整合内容
整合的内容覆盖了两个层次和两个方面。
两个层次是指系统级和安全域级。
安全域级的边界整合一般对本系统各节点间或本节
点内部的计算域、支撑域、用户域、网络域与其子域进行整合;
系统级边界整合一般是对本
系统与其他数据业务系统进行整合。
两个方面是指逻辑整合和物理整合,其中核心是逻辑整合。
物理整合是指对系统的多
个节点(或多个系统)、安全域的边界进行物理调整,使其共用相同的设备,使用相同的通
信端口。
这种整合对象一般是系统的多个相似部分(如:
用户终端)或者多个系统的相似部
分(如:
多个系统的拨号用户接入)。
逻辑整合是指对系统的、安全域的逻辑边界进行整合,
使其具有清晰、完整地逻辑边界,便于进行安全管理、安全防护和安全控制。
三、安全防护体系设计
在安全域划分和边界整合完毕后,就需要进行安全域防护策略与规X的设计。
安全域
防护策略与规X的设计一般按照如下思路进行。
1.识别和分析目标环境
通过对各安全域提供的信息服务的识别,全面、深入分析各种信息服务所对应的数据
流与数据处理活动情况;
同时,识别本安全域所包含的网络设备、服务器、应用与互联现状,
分析信息服务在网络、系统、应用层的信息承载情况,其中重点是跨边界的通信情况。
2.识别和分析安全威胁
以信息服务所对应的各种数据流、数据处理活动、数据为对象,全面识别其在网络、
系统、应用、内容等层次受到的威胁与存在的脆弱性,并评估信息服务可能受到的侵害和
影响。
3.确定安全需求
首先,以安全域承载的信息服务为根本出发点,分析各种信息服务的性能要求、业务
持续性要求、业务安全要求;
其次,从系统的威胁、脆弱性现状与趋势走向,分析系统的
风险控制要求;
再次,可以从等级保护、SOX
等要求出发,分析系统的合规性安全需求;
最
后,汇总这几个方面的安全需求,进行系统归纳、整理,明确最终的安全需求。
4.规划安全保护策略
安全域防护策略指明了满足安全需求而需要的一系列安全防护要求。
这通常需要对系
统的总体安全需求进行整理,然后,按照总体系统(本系统+内部其他系统)、本系统、安全
域的层次逐步细化,明确各个安全域的边界和内部安全防护策略。
例如,单位已经在系统外部部署了防病毒系统,本系统就可以通过部署二级防病毒服
务器或直接使用外部系统的防病毒服务。
在本系统层面上,可以建立一个安全服务区,进
行安全设施的部署,为各个安全域提供其所需的安全服务。
5.规划安全防护规X
根据系统与各个安全域的安全保护策略,明确相应的安全防护措施与其部署方式,明
确关键的技术规格参数的要求,明确各个设备应部署的安全防护策略,并检查安全防护是
否满足安全服务所需的性能、安全需求。
四、安全域改造实施
按照安全域划分结果,对系统进行改造实施工作具有非常高的要求,尤其是对于在线
运行的数据业务系统。
为了保证实施工作的顺利,应注意以下要点:
详细的系统调研
通过全面、深入、细致的调研,客观、准确地了解现网状况,系统的掌握其业务承载
情况与提供的业务功能和服务。
数据流梳理
根据系统提供的业务服务与功能,对其业务数据流、管理和控制数据流进行分析和梳
理,并深入分析贯穿整个数据流的关键数据处理活动。
安全需求
基于系统提供的业务服务,明确可接受的安全基线;
基于数据流与贯穿数据流的关键数
据处理活动分析系统受到的潜在安全威胁与可能的影响,归纳出系统的安全需求。
安全域划分
按照安全域划分的指导思想,沿数据流进行垂直分层,形成纵深的防护体系;
并对不同
的数据通信流进行水平隔离,防止互相干扰和侵害,同时按照
模型进行立体分层。
安全防护体系设计
根据安全需求,明确所需的安全防护措施与其部署位置和策略,覆盖预警、防护、检
测、响应、恢复等安全防护的各个环节。
系统割接
根据安全域划分和防护方案,制定科学、合理的安全域改造方案,并针对系统的客观
情况,拟定缜密的实施计划,做好实施工作中的风险控制,并在割接完毕后进行各种业务
服务的测试。
其中,关键要保证所测试业务服务的完备性,这可以通过在调研阶段所做的
业务数据流程分析,归纳出各种业务服务与具有不同业务数据流程的同一业务服务的详细
列表,明确测试内容和方法。
策略落实
安全策略不可能一步到位,应按由松入严的方式,对安全策略逐步细化落实。
而且,
安全策略的设计可能存在遗漏和差错,因此应通过监听、监控手段对安全策略进行预先检
查和验证。
五、系统安全域管理和审计
安全保障要“管理与技术并重”。
通过安全域划分和边界整合改造可以基本上建立起一
个有效的安全技术防护体系。
但为了使安全技术防护发挥最大的效能,同时使安全技术防
护持续有效,必须采用管理手段加以制度化管理。
1.安全域管理
安全域管理目的是保证信息系统的运营期和改扩建过程中,有效贯彻和落实安全域的
相关规X。
安全域管理内容包括:
(1)设立相应的管理岗位,明确其管理职责、任务和权利;
(2)制定安全域的相关管理办法和规X,并将其融入已有的安全管理体系。
一般制定的
管理制度包括:
《安全域管理员规定》
《安全域工程设计规X》
《安全域工程建设验收规X》
《安全域运维管理规X》
2.安全域审计
审计的目的是客观的获取数据业务系统安全域划分和安全防护信息,并与既定的安全
域防护规X或要求进行对比,分析存在的差距与不足,提出相应的整改建议,以将业务信
息系统维持在正确的安全保护等级或者组织能够接受的安全风险程度内。
对安全域进行审计,主要包括三个方面的内容:
(1)评估安全域划分和边界整合、安全域的防护策略与既定标准规X的符合程度,以与
安全防护效果;
(2)评估安全域管理、控制过程与既定规章制度的符合程度以与管理绩效;
(3)对发现的偏离或不足之处给出纠正或改进建议。
一般制定的审计制度或文件包括:
⏹·
《审计指标体系》,建立科学的审计指标体系与评分办法。
《审计检查列表》,检查系统的安全域划分情况与记录是否,各个安全域的防护
是否满足相关要求。
六、展望
安全域划分和改造是一项艰巨的工作,内容涉与安全域划分服务、设备采购和部署、
系统改造、安全策略调整等等内容。
且随着该运营商数据业务的蓬勃展开与安全形势的日
益严峻,安全建设任务已迫在眉睫。
对于数据业务系统的直接管理方来说,抓紧做好自身数据业务系统的普查工作,选择
一家有实力、有能力、有经验、易沟通、信得过的安全服务商提供相应的咨询服务,明确
工作的先后顺序,制定明确的行动方案,将是一个十分可行的工作方法。
通过对数据业务系统进行安全域划分和改造,可以推动安全防护技术体系的建设,提
升安全技术防护效果。
但安全保障需要依赖“管理和技术”两种手段,在进行数据业务系
统安全域划分和改造工作的同时,尽快开展信息安全管理制度、流程建设工作,建立强有
力的安全管理组织结构,明确安全责任,理顺管理流程,强化落实执行,加强协同配合,
定能起到事半功倍的效果。