中国移动支撑系统安全域划分与边界整合技术要求.docx
《中国移动支撑系统安全域划分与边界整合技术要求.docx》由会员分享,可在线阅读,更多相关《中国移动支撑系统安全域划分与边界整合技术要求.docx(42页珍藏版)》请在冰豆网上搜索。
中国移动支撑系统安全域划分与边界整合技术要求
中国移动支撑系统安全域划分与边界整合技术要求
中国移动通信企业标准
QB-W-001-2005
中国移动支撑系统安全域划分
与边界整合技术要求
TechnicalSpecificationofSecureDomainandBoundaryConvergenceforSupportingSystems
版本号:
1.0.0
【网络与信息安全规范】·【第二层:
技术规范·安全域】·【第2503号】
目次
前言
本要求主要是针对中国移动通信有限公司的业务运营支撑系统、网管系统和企业信息化系统等支撑系统,根据系统面临的风险、以及保护等级,分析支撑系统安全域划分的必要性并提出划分原则,并结合支撑网络的现状对网络结构进行调整,然后对各支撑系统的边界进行整合,结合威胁等级和保护等级,确定了各安全域保护的原则,包括边界部分和内部的保护。
安全域划分包括物理环境、人员组织、管理、技术各个层面,本要求重点针对安全域划分的技术层面。
本要求可作为后续支撑系统安全建设的依据。
本要求由中国移动通信有限公司网络部提出并归口管理。
本要求起草单位:
中国移动通信有限公司网络部、计费中心、企业信息化、研发中心
本要求主要起草人:
周智、刘楠、田峰、王春平、陈豫蓉、刘斐、张焱、陈欣、陈敏时、徐海东、魏丽红。
本要求解释单位:
中国移动通信有限公司网络部。
1适用范围
本要求对业务支撑、网管、企业信息化等支撑系统的安全域划分、边界整合以及采用的保护方案进行了规范,适用于中国移动有限公司、各省公司后续支撑系统的安全建设。
2引用标准与依据
(1)《关于近期网络与信息安全工作安排的通知》,中国移动通信集团公司网络部,移网通【2004】68号。
(2)《关于加强信息安全保障工作的意见》,国家信息化领导小组,中办发[2003]27号。
(3)公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文)。
(4)国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报告》。
(5)美国国家标准和技术研究所(NIST,NationalInstituteofStandardsandTechnology)制订的SP800系列文档:
《IT系统安全自评估指南》、《IT系统风险管理指南》、《联邦IT系统安全认证和认可指南》、《信息系统安全规划指南》等。
http:
//csrc.ncsl.nist.gov/publications/nistpubs/。
(6)美国国家安全局,信息保障技术框架IATF(InformationAssuranceTechnicalFramework),V3.1版。
网址:
。
(7)公安部GA/T387-391-2002系列标准,计算机信息系统安全等级保护操作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求
(8)中国移动通信有限公司提供的相关资料。
(9)全国31个省的调查资料,以及北京、广东、四川、陕西4省现场调研的相关资料。
(10)国家质量技术监督局发布的《计算机信息系统安全保护等级划分准则》(GB17859号文)。
3相关术语与缩略语
AAAA
Account、Authentication、AuthorizatinandAudit
账号管理、认证、授权与审计
ACL
AccessControlList
访问控制列表
BOSS
Business&OperationsSupportSystem
业务运营支撑系统
CMNet
ChinaMobileNet
中国移动互联网
DDN
DigitalDataNetwork
数字数据网
DMZ
DeMilitarizedZone
非军事化区
DNS
DomainNameServer
域名服务器
DSMP
DataServiceManagementPlatform
数据业务管理平台
EOMS
ElectronicOperationandMaintainenceSystem
电子运行维护系统
GPRS
GeneralPacketRadioService
通用分组无线业务
IATF
InformationAssuranceTechnicalFramework
信息保障技术框架
IDS
IntrusionDetectionSystem
入侵检测系统
IPSec
InternetProtocolSecurity
互联网协议安全
IP
InternetProtocol
互联网协议
IT
InformationTechnology
信息技术
MDCN
Mobiledatacommunicationnetwork
移动数据通信网
MIS
ManagementInformationSystem
管理信息系统
MPLS
Multi-ProtocolLabelSwitching
多协议标记交换
NIST
NationalInstituteofStandardsandTechnology
国家标准和技术研究所
OMC
Operationmanagementcenter
操作维护中心
RADIUS
RemoteAuthenticationDial-InUserService
接入用户远程认证服务
SP
ServiceProvider
业务提供者
VPN
VirtualPrivateNetwork
虚拟专用网
VLAN
VirtualLocalAreaNetwork
虚拟局域网
4综述
为了建立中国移动IT系统的网络及信息安全机制,首先需要定义相关系统安全域的边界。
所谓安全域(SecurityZone),是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。
一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化为次级安全域、三级安全域等。
安全域的划分,就是将系统从安全角度划分成不同的区域,以便实行分门别类的处理。
从我国IT系统的发展轨迹来看,大多数企业都是在连接到Internet之后,才开始正式考虑网络安全域的。
如今的商业模式要求企业与Internet之间、企业与业务合作伙伴、信息提供商及客户组成的网络之间实现连接,而企业内部的企业信息化系统、业务支撑系统、网管系统等系统之间也存在着复杂的连接关系。
由于网络中不同边界的应用方向不同,所以对安全有着不同应用需求,例如与业务合作伙伴的相连和一般外联网的连接对安全性的要求就不相同。
明确安全域划分的原则,结合等级保护的要求,确定各安全域的保护等级,并部署相应的安全手段,安全域的边界隔离与防护是关注的重点。
中国移动支撑网目前确实存在边界不清、连接混乱的实际问题,对边界进行整合,从企业的视角有效地整合系统对外的接口数量,提高企业网络和信息的安全性,也是做好安全工作的基础。
对于信息保密性,请参见其他相关技术规范。
本技术要求的研究主要有两个目的:
――制定支撑系统安全域划分的原则;
――支撑系统各种边界整合和安全域保护的原则。
通过以上的分析和研究,确定相关的原则,以便将来在中国移动的支撑系统,尤其是业务支撑系统、网管系统、企业信息化系统在建设或改造时,与Internet以及其它系统的互联方式有法可依。
4.1背景
2003年年底,国家信息化领导小组下发了“关于加强信息安全保障工作的意见”(中办发[2003]27号),文件把网络与信息安全工作提高为国家安全的重要组成部分,明确了加强信息安全保障工作的总体要求,即:
“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全”。
文件要求正确处理安全与发展的关系,统筹规划,突出重点,强化基础性工作,通过实行信息安全等级保护实现这一目的。
因此,国家将建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
在这样的背景下,作为实现信息系统安全等级保护的前提工作,提出中国移动具体重要信息系统的安全域划分原则就显得十分重要。
明确安全域划分的基本原则,界定业务支撑系统的重要性和安全风险等级,然后根据不同的保护等级,从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施(如防火墙、入侵检测、防病毒、账号管理以及相应的控制端等)、安全集中管理系统或者它们的一部分构成的多层立体防护体系,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播,保证业务网络和支撑系统的安全运行。
4.2本要求的范围和主要内容
本要求主要包含中国移动网管系统、业务支撑系统、企业信息化系统的安全域划分与边界整合的技术要求,其中网管系统包括集团公司、省公司网管系统和OMC,业务支撑系统包括集团公司、省公司业务支撑系统及其地市部分,企业信息化系统包括集团公司、省公司企业信息化系统和地市终端。
主要内容包括:
(1)各支撑系统的现状:
包括各支撑系统的现状,以及互联网的连接需求。
(2)安全域划分的必要性和原则:
本章节包含了安全域划分的必要性,以及各系统的威胁等级、保护等级,制定了安全域划分的原则,结合中国移动的实际情况,对网络结构进行调整,并就各个支撑系统的安全区域的划分进行细化。
(3)边界整合的原则:
首先整个支撑系统对外的边界进行整合(包括与CMNet、合作伙伴和第三方的边界整合原则),然后针对各支撑系统的各种边界进行整合。
(4)安全域保护的原则:
包括安全域边界部分的防护和安全域内部的防护两方面。
(5)分阶段安全防护的建议:
分别从网络调整方式、安全域划分的细化、以及保护方式的演进等方面,体现逐步实现的过程。
5安全域划分的必要性和原则
我国在商用IT系统信息安全方面的研究和积累不足,目前还缺乏规范化的、成熟的标准可遵循,本要求借鉴了IATF区域划分理论,以及业界对安全域划分的实践经验,并结合中国移动的实际情况,对支撑系统和互联系统带来的威胁等级、以及各支撑系统的保护等级进行了分析研究,然后根据这些分析研究确定了安全域划分的原则。
安全域是一个逻辑范围或区域,同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等,同一安全域内的系统相互信任,如在业务层面存在密切的逻辑关系。
通过在网络和系统层面安全域的划分,将业务系统、安全技术有机结合,形成完整的防护体系,这样既可以对同一安全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。
5.1安全域划分的必要性
网络的建设是由业务系统的驱动建设而成的,初始的网络建设大多没有统一规划,有些系统是独立的网络,有些系统又是共用一个网络。
而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。
当前中国移动的网络系统是一个庞大复杂的系统,在支持业务不断发展的前提下,如何保证系统的安全性是一个巨大的挑战,对系统进行区域划分,进行层次化、有重点的保护是保证系统和信息安全的有效手段。
目前中国移动的支撑系统还存在以下问题:
(1)随着中国移动的网络规模和各相关应用系统的不断扩大,支撑系统也随之不断发展,但各支撑系统的部署没有明确的指导原则,导致网络结构复杂、层次不清、系统管理维护困难,网络的有效性、稳定性较低。
(2)根据系统的调研现状,目前支撑系统的网络仍然存在边界不清的问题,主要是支撑系统之间的连接比较混乱,随之带来安全防护困难,投资较大,而且容易产生疏漏,单个系统中的安全问题极易扩散到其它系统。
只有通过明确安全域划分的原则,才能形成清晰、简洁、稳定的IT组网架构,实现系统之间严格访问控制的安全互连,更好的解决复杂系统的安全问题。
5.2各安全域的威胁等级分析
目前,与各支撑系统安全域互联的其它系统包括CMNet、合作伙伴、第三方等等;
由于不同系统的开放性、可控性等方面各不相同,它们的可信度也有明显的区别。
支撑系统与不同威胁等级、可信度的系统互联时,面对的威胁是不同的。
了解各系统可能带来的主要威胁,才能有针对性的选择不同的防护技术和防护强度。
在参考IATF七个威胁等级(攻击强度)、美国NISTSP800等标准对威胁的分析描述基础上,结合中国移动支撑系统的具体情况,根据各互联的系统出现不同强度攻击的可能性,确定它的可信度。
一个安全域当中出现高强度攻击的可能性越高,那么它的威胁等级越高,可信度越低。
威胁可能源于对系统直接或间接的攻击,例如信息泄漏、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。
按照威胁产生的来源,可以分为外部威胁和内部威胁:
(1)外部威胁:
来自不可控网络的外部攻击,主要指移动的CMNET、其它电信运营商的Internet互联网,以及第三方的攻击,其中互联网的威胁主要是黑客攻击、蠕虫病毒等,而第三方的威胁主要是越权或滥用、泄密、篡改、恶意代码或病毒等。
(2)内部威胁:
主要来自内部人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。
另外,由于管理不规范导致各支撑系统之间的终端混用,也带来病毒泛滥的潜在威胁。
需要说明的是,威胁分为应用层面的和网络层面的,应用层面的威胁主要是越权或滥用、篡改、泄密等,网络层面的威胁主要针对网络的弱点、漏洞产生的威胁。
由于应用层面的威胁涉及的因素较多,本技术要求主要针对网络层面的威胁进行分析。
具体来说:
(1)互联网由于其开放性,完全不可控,威胁包括黑客攻击、病毒扩散等等,其威胁等级最高。
(2)合作伙伴与中国移动是互为合作的关系,本身有一定的防护和管理措施,但又不受中国移动控制,仍然存在着病毒扩散、恶意代码的威胁,其威胁等级相对较高。
(3)第三方的接入由于移动公司对其操作很难控制,而且第三方很容易获取所管理维护的支撑系统的弱点及其分布,由于具有很高权限,其潜在威胁最大,但是通过一定的管理手段、合同要求、法律规定进行约束后,这样的威胁可以降低;网络接入方面的安全问题可以通过技术手段结合管理规定,进行控制。
因此,威胁等级相对较低。
(4)三个支撑系统都面临着相同的内部威胁,可控性较强,相对于互联系统,其威胁等级最低。
但是,在支撑系统内部,企业信息化系统面向办公人员上网的应用需求比较大,终端的移动特点比较突出,统一管理有一定的难度,因此其威胁等级相对其他支撑系统稍高。
主要的的威胁等级分析见下表:
其中等级分为1-5,其中5威胁最大,即可能造成的损失最大。
威胁等级分析表
表5.1
威胁等级
可能带来的威胁
可控性
系统
5
黑客攻击、恶意代码和病毒等
完全不可控
互联网
4
病毒扩散、恶意代码等
合作关系,但不可控
合作伙伴
3
物理攻击、恶意代码和病毒等
一定的可控性
第三方
2
内部人员的操作失误、恶意代码和病毒等
较大的可控性
企业信息化系统
1
内部人员的操作失误、恶意代码和病毒等
基本可控
网管系统、业务支撑系统
5.3支撑系统的保护等级分析
参考《关于信息安全等级保护工作的实施意见》,系统的保护等级规定了5级,根据中国移动的实际情况,各支撑系统总体上可以列为第3级,再根据具体情况进行部分调整。
系统的保护等级分为系统和信息2个层面,本技术要求主要是针对系统的保护等级,对于信息的保护等级,可以通过增加信息分级、信息加密、信息控制等实现信息的机密性。
下面主要从资产价值、安全需求方面对支撑系统的保护等级进行赋值判断,其中资产价值主要是指资产的重要性,指标列表如下:
保护等级确定的指标列表
表5.2
指标类型
资产价值
安全要求
指标
业务关联性
对业务网络的影响
对业务收益的影响
对公司经营管理的影响
客户重要程度
对可用性的要求
对完整性和准确性的要求
对保密性的要求
赋值为3
直接对外,面向服务
影响大
直接关系业务收益
直接影响或影响较大
公众用户
高
对完整性、准确性要求高
对保密性要求高
赋值为2
间接对外,面向网络管理
影响较小
关系相对较少
间接影响或影响较少
企业用户
中
对完整性、准确性要求较低
对保密性要求较低
赋值为1
内部企业管理
影响小
无关系或较少
无影响或影响少
内部用户
低
对完整性、准确性要求低
对保密性要求低
5.3.1资产价值赋值
针对支撑系统,资产价值主要体现在业务关联性、业务收益的影响、对公司经营管理的影响以及面向客户的重要程度等方面,赋值方法如下:
(1)业务关联性:
Ø直接对外,面向服务,赋值为3
Ø间接对外,面向网络管理,赋值为2
Ø面向内部企业管理,赋值为1
(2)对业务网络的影响:
Ø影响大,对业务的开展直接影响,赋值为3
Ø影响较小,赋值为2
Ø影响小,赋值为1
(3)业务收益的影响:
Ø直接影响业务的收益:
赋值为3
Ø间接影响或影响较少:
赋值为2
Ø无影响或影响较少,赋值为1
(4)对公司经营管理的影响:
Ø直接影响公司的经营管理:
赋值为3
Ø间接影响或影响较少:
赋值为2
Ø无影响或影响少,赋值为1
(5)面向客户的重要程度:
Ø面向大众用户:
赋值为3
Ø面向企业用户:
赋值为2
Ø面向内部人员,赋值为1
5.3.2安全需求赋值
安全需求则是根据支撑系统的重要性,确定其在可用性、完整性、机密性三个方面的需求等级。
(1)可用性指的是对系统实时可用的要求:
Ø可用性要求高,赋值为3
Ø可用性要求是中,赋值为2
Ø可用性要求是低,赋值为1
(2)完整性指的是对完整性和准确性的要求:
Ø对完整性和准确性要求高,赋值为3
Ø对完整性和准确性要求较低,赋值为2
Ø对完整性和准确性要求低,赋值为1
(3)机密性指的是对保密性的要求:
Ø对机密性要求很高,赋值为3
Ø对机密性要求较低,赋值为2
Ø对机密性要求低,赋值为1
5.3.3支撑系统的赋值
根据上述各项赋值的要求,对支撑系统的赋值进行取定:
支撑系统的保护等级列表
表5.3
系统名称
资产价值
安全需求
合计
业务关联性
对业务网络的影响
业务收益的关系
对公司经营管理的影响
客户重要程度
对可用性要求
完整和准确性要求
保密性要求
企业信息化系统
1
1
1
3
1
1
2
3
13
网管系统
2
3
2
2
3
2
3
2
19
业务支撑系统
3
3
3
2
3
3
3
3
23
根据上面资产价值和安全需求的赋值可以得出,业务支撑系统的保护等级设为最高,网管系统的保护等级次之,企业信息化系统的保护等级更次之。
在系统内部,可以根据信息的机密性对个别系统的保护等级进行细化调整。
5.4安全域划分的原则
安全域(网络安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
5.4.1安全域划分的根本原则
(1)业务保障原则:
安全域方法的根本目标是能够更好的保障网络上承载的业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
(2)结构简化原则:
安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。
比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。
(3)等级保护原则:
安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。
(4)生命周期原则:
对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
5.4.2安全域划分方法
安全域的划分除了遵循上述根本原则外,还根据业务逻辑、地域与管理模式、业务特点(如由于OA网络办公终端安全方面可控性较差的特点,要求关注与OA服务器之间的接口,而网管系统中的生产终端的控制较好,可以简化对服务器访问的控制措施)划分安全域、安全子域、安全区域。
在安全域内部进一步划分安全区域时,如核心生产区、日常工作区、漫游区、DMZ区、第三方互联区等等,重点参考了IATF计算区域划分的理论,并考虑了不同区域和不同的威胁。
中国移动的支撑系统相对于业务系统、INTERNET、合作伙伴来讲,是不同的安全域;即移动支撑系统整体上作为一个安全域,而与之相连接的业务系统、INTERNET、合作伙伴等是另一个安全域。
在支撑系统内部,从不同的角度安全域的划分也不尽相同:
(1)横向:
按照业务将支撑系统划分各个不同的安全域,如业务支撑系统安全域、网管系统安全域、企业信息化系统安全域等;
(2)纵向:
各安全域又可以按照地域和管理分为集团公司、省公司和地市分公司三个层面的安全子域,如集团网管系统安全子域、省公司网管系统安全子域、地市分公司的网管系统安全子域。
(3)对于每一个安全子域,如集团公司网管系统安全子域,可以进一步划分为安全区域,即从安全的角度将处于安全子域中的设备,考虑到其所处的位置或连接的不同,将他们划分在不同的安全区域中。
例如可分为互联接口区、核心生产区、日常维护管理区(维护终端)、第三方接入区(漫游区)、DMZ区等。
图5.1安全域划分的示意图
(注:
从风险控制、技术实现和节省投资的角度考虑,本要求中暂不在集团或者省公司各支撑系统内部、针对不同应用子系统进一步划分安全子域。
随着对网络安全要求的提高和技术进步,将来再逐步加强各支撑系统内部子系统之间的访问控制。
)
5.5网络调整
根据上述安全域的划分原则,结合目前支撑系统的现状,需要从广域网、局域网、终端三个方面进行网络调整,实现支撑系统之间的有效隔离。
5.5.1广域网
根据实际情况,三个支撑系统的广域网主要采用了专线、MDCN、MPLSVPN等不同的传输手段,支撑系统之间基本做到了隔离,但是某些省份是在同一承载网上通过设置不同的路由策略实现的逻辑隔离,比如北京的三个支撑网共用MDCN。
因此,随着安全要求的提高、技术的演进,广域网应逐步实现物理隔离(支撑系统的广域网传输要求三层设备的隔离),或者通过采用相当于物理隔离的技术(如采用MPLSVPN的方式进行路由的隔离)实现隔离。
5.5.2局域网
各支撑系统在集团-省-地市三级节点的局域网组织基本采用了网络分层的架构体系,即接入层、核心层。
但是接入层比较混乱,基本没有经过整合,不利于管理和维护。
在确定安全域划分的原则后,需要对支撑的网络架构进行规划,分为接口汇聚层、核心交换层、子系统层:
(1)接口汇聚层:
主要对系统的各种出口进行汇聚,主要包括路由器设备、局域网交换设备以及某些特定的接口使用的一些安全设备等。
例如集团公司的网管系统,包括与省公司的通信路由器和采集路由器等,数量达到26个左右,给统一配置带来一定的管理难度,可以通过两或三台高端路由器进行汇聚,当然,对汇聚路由器的端口、性能和处理能力有很高的要求。
(2)核心交换层:
主要包括核心交换机设备,实现外部接口与各子系统之间的数据交互,以及子系统之间的数据交互。
(3)子系统层:
实现各功能应用的子系统,包括服务器和终端等。
各子系统接入核心交换区,可以通过不同的VLAN实现各子系统的数据流的相对隔离。
升级会员 