IDC网络安全防护技术要求V10发布版.docx
《IDC网络安全防护技术要求V10发布版.docx》由会员分享,可在线阅读,更多相关《IDC网络安全防护技术要求V10发布版.docx(41页珍藏版)》请在冰豆网上搜索。
IDC网络安全防护技术要求V10发布版
IDC网络安全防护技术要求
TechnicalSpecificationofSecurityforIDC
版本号:
1.0.0
中国移动通信有限网络部
前言
IDC面临复杂的安全环境,为了向IDC用户提供高质量的服务,维护中国移动的企业形象和信誉,遵守国家法律法规要求,必须在规划、建设、运营各环节充分考虑IDC安全风险,采取对应的安全措施。
本规范针对IDC中存在的各种网络和系统层面的安全问题和IDC业务特点,提出了分类提供强制性安全基础服务能力和增值性、差异化安全服务能力的IDC安全防护技术要求,作为中国移动IDC网络安全防护部署的依据,以保证为IDC用户提供具有高性能、高带宽、高服务质量、高安全性的主机托管及其增值业务。
本规范不对不良、非法、低俗内容安全等方面的监测手段及网站备案部署模式进行论述,请各IDC运营单位按照集团公司下发的信息安全责任矩阵要求,予以高度重视,加强内容安全管理。
本标准由中国移动通信有限公司网络部提出并归口。
本标准起草单位:
中国移动通信有限公司网络部、中国移动通信集团设计院有限公司。
本标准主要起草人:
刘佳,杜雪涛,曹一生,周智,徐海东,袁捷,朱文涛,张高山。
感谢华为技术有限公司、绿盟科技、Macfee、中兴通讯股份有限公司、诺基亚西门子公司,亿阳安全技术有限公司的大力支持。
1适用范围
本规范作为中国移动通信有限公司、各省公司在IDC设计、建设、系统部署、运营维护等工作中开展安全防护的依据。
2引用标准与依据
2.1相关法规和政策
[1]《关于加强信息安全保障工作的意见》(中办、国办[2003]27号文)
[2]公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号文)
[3]四部门联合下发关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号文)
[4]《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
[5]国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报告》
[6]国家关于绿色上网等在内的其它要求
[7]原邮电部、信息产业部制定的IDC服务的相关要求
[8]最高人民法院、最高人民检察院,《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释
(二)》
2.2国家标准及行业标准
[1]《计算机信息系统安全保护等级划分准则》(GB17859)
[2]公安部等级保护基本要求系列标准,包括:
《信息系统安全等级保护测评准则》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护基本要求》等
[3]公安部等级保护技术要求系列标准(GA/T387-2002至GA/T391-2002),包括:
《计算机信息系统安全等级保护通用技术要求》、《计算机信息系统安全等级保护操作系统技术要求》、《计算机信息系统安全等级保护管理要求》、《计算机信息系统安全等级保护网络技术要求》、《计算机信息系统安全等级保护数据库管理系统技术要求》等
[4]工业和信息化部“电信网和互联网安全防护体系”系列标准(YD/T1728-2008至YD/T1759-2008)
[5]《电信网和互联网物理环境安全等级保护要求》
2.3中国移动企业标准及技术规范
[1]《中国移动IDC总体技术要求》
[2]《中国移动支撑系统集中帐号管理、认证、授权与审计(4A)技术要求》
[3]《中国移动防火墙部署总体技术要求》
[4]《中国移动帐号口令集中管理系统功能及技术规范》
[5]《中国移动日志集中管理与审计系统功能及技术规范》
[6]《中国移动综合维护接入平台功能和技术规范》
[7]《中国移动通用设备安全配置系列规范—路由器部分》
[8]《中国移动通用设备安全配置系列规范—操作系统和数据库部分》
[9]《中国移动设备通用安全功能和配置规范》
[10]《中国移动支撑系统安全域划分与边界整合技术要求》
[11]《WEB系统安全防护技术要求》(网络部,2011年下发)
[12]《网站接入备案及监督管理系统设备规范》
[13]《不良信息监测系统设备规范》
[14]《中国移动网页篡改及网页信息安全防护系统技术规范》
[15]《中国移动互联网安全防护体系技术要求》
[16]《中国移动网页篡改及网页信息安全防护系统技术规范》
2.4其它
[1]美国国家标准和技术研究所(NIST,NationalInstituteofStandardsandTechnology)制订的SP800系列文档:
《IT系统安全自评估指南》、《IT系统风险管理指南》、《联邦IT系统安全认证和认可指南》、《信息系统安全规划指南》等,http:
//csrc.ncsl.nist.gov/publications/nistpubs/
[2]美国国家安全局,信息保障技术框架IATF(InformationAssuranceTechnicalFramework),V3.1版,
3相关术语与缩略语
3.1术语
⏹IDC:
即互联网数据中心(InternetDataCenter),是为满足互联网业务和政府、企事业信息服务需求而建设的应用基础设施,通过与互联网的高速连接,以丰富的计算、存储、网络和应用资源向服务提供商(SP)、内容提供商(CP)、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。
⏹威胁:
指那些可能对资产或组织造成损害的事故的潜在原因。
威胁由多种属性来刻画:
威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
⏹脆弱性:
指资产中能被威胁利用的弱点。
⏹风险:
指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
⏹安全需求:
指为保证单位的业务战略能够正常行使,在信息安全保障措施方面提出的要求。
⏹安全措施:
指对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
⏹IDC后台管理区:
包括IDC日常操作工作区和客户服务管理区。
3.2缩略语
缩略语
英文全称
中文含义
ACL
AccessControlList
访问控制列表
CDN
ContentDeliveryNetwork
内容分发网络
CMNet
ChinaMobileNet
中国移动互联网
CP
ContentProvider
内容提供商
DDN
DigitalDataNetwork
数字数据网
DMZ
DemilitarizedZone
停火区
DNS
DomainNameServer
域名服务器
ICP
InternetContentProvider
网络内容服务商
IDC
InternetDataCenter
互联网数据中心
IDS
IntrusionDetectionSystem
入侵检测系统
IP
InternetProtocol
互联网协议
IT
InformationTechnology
信息技术
MPLS
Multi-ProtocolLabelSwitching
多协议标记交换
QoS
QualityofService
服务质量
SP
ServiceProvider
服务提供商
VPN
VirtualPrivateNetwork
虚拟专用网
VLAN
VirtualLocalAreaNetwork
虚拟局域网
4综述
自2002年进入互联网数据中心(IDC)市场以来,中国移动一直在进行大规模的IDC建设。
IDC数据中心建设,也将成为中国移动集团客户市场的突破口。
4.1中国移动IDC的发展现状
中国移动互联网数据中心业务是指以集团和各省分公司IDC平台的各级节点机房设施、相关网络资源和技术支撑能力为依托,为政府、企业、互联网服务提供商(ISP)、互联网内容提供商(ICP)等客户提供的包括主机托管、带宽出租、主机租赁、CDN服务、域名服务、DNS解析以及虚拟服务等基础类业务以及移动业务应用、数据存储、安全服务、网络优化以及代维代管等增值类业务。
目前,28个省建设有独立的IDC或有独立IDC专区,在北京、上海、广东、江苏、四川、浙江、重庆建设一类IDC,满足全国性、规模性资源和应用支撑需求,并兼做本省IDC。
其它各省根据本省业务需求建设二类IDC,满足省内本地内容托管和集团客户应用等需求,同时作为一类IDC的补充,提供镜像、内容分发等。
4.2业务应用
IDC中业务应用可以包括传统的业务如主机托管、空间租赁、企业邮箱以及承载WEB、游戏、公司应用、在线存储等增值业务。
4.3IDC的特点
4.3.1IDC的重要性
在业务方面,话音业务需求日益趋于饱和,IDC的业务收入将成为电信行业收入增长的重要来源。
在用户方面,宽带接入市场远没有到达饱和的程度,宽带用户保持较快的增长速度,基于移动终端的上网用户将呈现爆发性的增长态势。
除以之外,IDC产业自身正处于发展的起步阶段,行业需求潜力巨大,因此IDC市场对于中国移动的未来发展具有重要影响,是中国移动业务扩展的重要方向之一。
4.3.2数据高度集中
IDC是Internet企业分工更加细化的产物。
它不仅是数据存储的中心,而且是数据流通的中心。
企业将与网站托管服务等相关的一切事务交给专门提供网络服务的IDC承担。
因此,IDC是Internet中数据交换最集中的地方。
4.3.3高带宽、大流量
IDC能够为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽等业务。
因此,IDC必须具备丰富的互联网带宽资源。
4.3.4安全防护对象特点突出
网络设备和应用系统不断增加和变化,网络安全呈现“动态性”;用户系统多样化,应用复杂,动态多变,面临多种安全威胁和安全攻击;大量集中的主机和服务器易产生安全连带效应;容易发生内部攻击,安全防范与安全管理并重;WEB应用为主,用户数量巨大。
4.3.5内部应用可控性较差
IDC应用复杂(IDC的应用种类详见5.1.4)存在着很多不可控的因素:
⏹服务器托管业务
对于服务器托管业务,IDC能够掌控的是托管服务器所在区域(机柜位置)、服务器类型以及硬件配置等,对于甲方在托管主机硬件系统以外的内容,如主机操作系统安全、应用层安全等等,IDC运营管理方是无法掌控的。
⏹服务器租用业务
对于服务器租用业务,IDC运营能够掌控的是被租用服务器资产、所在区域(机柜位置)、系统安全等。
而租用服务器之上的应用的安装、配置、发布与维护是由服务合同甲方负责的,是IDC无法掌控的。
4.3.6面对复杂各异的远程维护需求
IDC被托管系统应用来自不同行业的不同用户,对于系统的安全防护和日常维护管理有着不同的需求,因此各个托管用户的维护需求不同,具有复杂性。
5IDC的基本架构
5.1逻辑架构
图5-1IDC逻辑架构图
IDC涉及范围很广,包含土建、电气、消防、网络、运营等系统,从IDC的逻辑功能上来划分,IDC可分为物理层、网络层、资源层、业务层、和运营管理层5大逻辑功能模块。
5.1.1物理层
图5-2IDC物理层功能图
物理层主要包括供电系统、消防系统、安保系统、配线系统、照明系统、制冷系统等。
5.1.2网络层
网络层由路由器、交换机、防火墙,IDS(入侵检测系统)等数据通信设备和安全设备组成。
网络层在整个IDC中属于IT基础架构,是开展IDC业务运营的基础。
5.1.3资源层
资源层是IDC用来开展业务运营的基础,资源层包括计算资源、存储资源、IP资源、带宽资源、机房空间资源等资源。
5.1.4业务层
业务层是IDC的核心要素,也是IDC价值的具体表现形式。
业务层按照IDC提供的服务属性可以分为基础类业务和增值类业务两大类,这两大类业务又可以细分为众多子业务,如下图所示:
图5-3IDC业务分类
5.1.5运营管理层
运营管理层为IDC的稳定运行和业务运营提供必要的各种支撑服务,主要包括网络管理、资源管理、业务管理、运营管理4个功能模块。
5.2网络架构
IDC网络架构分成4层:
互联网接入层、汇聚层、业务接入层、运营管理层。
IDC整体网络系统架构如图5-4:
图5-4IDC网络逻辑架构图
5.2.1互联网接入层
互联网接入层拓扑结构如下图所示:
图5-5互联网接入层网络
互联网接入层对外完成与CMNET骨干网设备高速互联,对内负责与IDC的汇聚层交换机互联。
互联网接入层负责高速可靠的转发IDC业务数据,并且对IDC内部路由信息和外部路由信息的转发。
5.2.2汇聚层
图5-6汇聚层网络
汇聚层是业务接入层交换机的汇聚点,负责本地数据的汇聚并完成数据的高速交换。
5.2.3业务接入层
业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,业务接入层对业务区内的主机、存储系统及用户网络设备提供网络接入,并对业务区内不同用户系统进行隔离及实施QOS、VPN等业务接入层策略,详细描述参见《中国移动IDC总体技术要求》。
它的网络拓扑如下图所示:
图5-7业务接入层网络
5.2.4运营管理层
IDC运营管理层中包含各类网管系统、防病毒系统控制端、安全管控平台服务器等设备,页包括管理终端、防火墙等设备。
运营管理层主要为IDC提供网络管理、资源管理、业务管理、运营管理等功能,向运营维护人员和客户提供设备管理、系统维护、远程接入等服务。
运营管理层架构如图5-8所示。
图5-8IDC运营管理层
如图5-8所示,运营管理层接入交换机连接汇聚交换机、管理区域的服务器和终端设备。
维护人员通过运营管理层接入交换机管理IDC内部设备。
6安全风险分析
6.1IDC主要安全风险
⏹非法内容的发布,违反国家法律法规。
IDC中存在大量的WEB应用,易产生内容合法性问题,作为IDC运营单位,将承担极大的法律风险和政治风险,请各IDC运营单位按照集团公司制定下发的信息安全责任矩阵要求,予以高度重视,加强内容安全管理;
⏹DDoS攻击导致系统资源、带宽资源耗尽,甚至业务中断;
⏹僵尸网络,病毒扩散,导致IDC部署的系统无法正常服务,或者用于攻击其它系统产生法律纠纷;
⏹IDC客户系统处于同一物理网络,容易相互影响;
⏹由于存在IDC用户远程维护所属系统的需求,需要开放大量的逻辑维护通道,因此容易产生内部管理问题,影响到整个IDC安全。
IDC具体的安全风险分析参见附录I。
相关案例请参见附录II。
6.2威胁分析
6.2.1物理安全威胁
物理环境安全威胁主要来自于物理环境建设过程中考虑不当、不全面以及日常管理不到位引发的安全威胁。
详细的物理安全威胁请参照《中国移动安全威胁分析标准模板库v1.0》。
6.2.2设备安全威胁
IDC网络设备的安全威胁主要来自两个方面,一个是设备自身的安全威胁,另外一个是外界环境的安全威胁。
具体的设备安全威胁如下:
●设备自身的安全缺陷或未能够及时修复的安全缺陷,导致的针对该设备的缺陷利用,影响IDC业务的连续性、可靠性和完整性;
●承载业务系统硬件、网络环境等方面的威胁;
●业务系统自身安全威胁。
6.2.3网络安全威胁
网络安全威胁主要如下:
⏹来自内部和外部可能的网络攻击,如DDOS攻击、利用系统漏洞进行的各类攻击等等;
⏹蠕虫病毒入侵,局域网内部病毒等恶意软件的传播,尤其是维护终端、磁盘介质使用等导致的病毒扩散;
⏹利用管理和技术漏洞,或者内部资源成为僵尸网络、木马的被控资源,IDC资源被用作攻击外部网络的工具
⏹WEB类应用被挂马,成为木马大范围传播的主要途径;
⏹由于对IDC网络进行维护不恰当,而导致的安全威胁。
详细的网络安全威胁请参照《中国移动安全威胁分析标准模板库v1.0》。
6.2.4应用层安全威胁
应用层的安全威胁主要来自以下两个方面:
●来自原互联网、内部恶意用户的安全威胁;
●IDC客户或者WEB用户发布反动、色情、违反版权要求、进行人身攻击的文字、视频、图片、音频、游戏等等。
详细的应用安全威胁请参照《中国移动安全威胁分析标准模板库v1.0》。
6.2.5数据安全威胁
(1)网管数据
网管数据,主要指IDC管理层面的数据,其安全威胁主要如下:
⏹数据传输过程中被窃取,篡改、破坏;
⏹越权访问;
⏹病毒入侵导致丢失;
⏹其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。
(2)内部业务数据
内部业务数据,主要指IDC各个业务区域数据,其安全威胁一方面来自于各个业务的不同要求,另外更主要的一方面是这些业务数据的存放,具体如下:
⏹病毒、木马、间谍软件的入侵;
⏹针对敏感数据的非法篡改、获取;
⏹数据的存储安全威胁,包括数据存储磁盘管理不善,数据访问管理不善带来的威胁等。
(3)帐号口令
⏹口令密码明文保存导致失窃;
⏹弱口令导致的暴力破解;
⏹网络监听明文传输的帐号口令。
6.3脆弱性分析
6.3.1物理安全方面的脆弱性
物理安全方面的脆弱性,主要体现在以下几方面:
⏹机房的门禁、监控设备不完善;
⏹机房的设备老化;
⏹机房人员进出管理不严格等。
6.3.2网络与主机设备的脆弱性
网络和主机设备,即操作系统存在的脆弱性,主要有以下几点:
⏹设备性能低、运行不稳定;
⏹口令不够复杂、合理或没有经常更新;
⏹设备自身存在安全缺陷;
⏹设备所使用的资源存在被威胁利用的风险。
6.3.3应用系统软件脆弱性
应用系统的脆弱性,主要有以下几点:
⏹相关服务器的应用代码存在漏洞、后门;
⏹相关服务器存在过多不必要的开放端口;
⏹相关服务器配置不合理,访问控制策略存在漏洞;
⏹相关服务器不能记录敏感操作,或者相关日志功能没有启用或不够详细;
⏹不能提供帐号权限管理功能,不能提供账号修改界面;
⏹不能支持密码复杂度检测,或者密码未采用hash函数保存,而采用明文保存;
⏹业务流程设计方面的漏洞导致业务信息泄露和被滥用等。
6.3.4数据安全方面存在的脆弱性
数据脆弱性,主要有以下几点:
⏹数据传输未加密,容易被窃取、篡改;
⏹数据明文保存或者访问控制不严,存储介质保护不力等。
6.3.5其它
IDC业务系统中管理层面还可能具有人员安全意识、无法阻止托管设备运行监听、攻击软件以及缺乏容灾备份的对应措施等脆弱性。
6.4IDC安全防护需求
结合以上IDC的威胁分析和脆弱性分析,IDC的安全防护需求具体包括以下几点:
⏹根据系统价值、功能、业务特性,实施分区防护及边界访问控制
⏹网络基础设施安全要求
⏹保证物理环境安全、设备安全以及媒体安全;
⏹保证网络层所涉及的网络链路、网络设备、网络服务的安全;
⏹保证系统层所涉及的操作系统、系统服务的安全;
⏹保证应用层高可用性、业务连续性要求;
⏹保证各类数据的完整性和保密性要求;
⏹保证IDC应用符合国家法律法规的相关安全措施。
7安全防护要求
充分考虑上述安全威胁和主要风险,从组网安全、设备自身安全以及部署专用安全防护设备、实现集中安全管理四个层面,提出符合“集中防护、纵深防御、灵活配置”原则的中国移动IDC安全防护技术体系。
针对国家对于IDC增值业务商的管控要求,以及IDC用户要求差异化特点,IDC安全防护技术体系服务能力区分为强制性部署的免费基础性安全服务和满足客户差异化需求的增值安全服务。
强制部署的防护手段,如物理安全、公共防火墙、不良信息检测与封堵系统、网站备案系统,为IDC用户提供基础性安全服务,不向IDC客户单独收取费用。
增值性安全服务部分,如流量监控(抗DDOS攻击)、防火墙、具备虚拟功能的入侵检测系统、网页篡改及网页信息安全防护系统、综合安全管控系统、各类漏洞扫描系统、网络版防病毒系统以及安全加固服务等等,为有需求客户提供有偿的差异化服务。
为提高中国移动IDC相对于其它对手的竞争优势,可以根据业务发展策略、IDC经营需要,适时地将增值性安全服务中的部分内容转化为免费的基础性安全服务。
7.1物理安全要求
物理的安全防护部署包含以下几点:
●供电系统:
部署双路电源、关键设备前部署UPS,有条件的IDC部署应急发电系统;
●消防系统:
按照消防要求部署防火装置,并定期检查其有效性;
●安保系统:
安装门禁系统,采用IC卡或者指纹识别方法鉴别进出入人员,另外对临时出入管理也需要指定相应的登记、审批制度,并定期分析出入人员情况;
●配线系统:
按照综合布线规范配线,保证质量和连通性;
●照明系统:
按照监控管理业务要求部署照明系统;
●制冷系统:
按照机房环境要求进行空调、除湿系统部署;
●监控系统:
按照IDC安防要求部署监控系统,实施通过摄像头等系统对关键区监控,监控录像按照管理要求留存一定时间。
7.2IDC安全域划分及防护部署
根据业务保障原则、结构简化原则、等级保护原则和生命周期原则,IDC内部可划分为以下主要的安全域:
互联网接入域、停火区、核心汇聚域、业务域、日常操作维护区、第三方接入区和管理服务区。
对于基础区和增值区(扩展区)通过不同的汇聚交换机上连到互联网接入域的情形,单独在增值区和扩展区的汇聚交换机上部署支持虚拟功能的防火墙、IDS等设备(图7-1):
7-1IDC安全域划分逻辑图
对于基础区和增值区、扩展区通过物理上相同的一组汇聚交换机上连到互联网接入域的情形,在汇聚交换机上部署支持虚拟功能的防火墙、IDS等设备,并对虚拟出的增值区、扩展区汇聚交换机部署防火墙、入侵监测策略,具体安全域划分如图7-2所示:
7-2IDC安全域划分逻辑图
7.2.1互联网接入域
互联网接入域是IDC与互联网连接的出口,提供高速可靠的连接,包括足够的带宽、高可靠的网络、网络设备冗余备份等。
对外与外部网络以及其它系统互联,实现高速连接以及路由选择和分发功能,是IDC的集中入口,过滤一些来自Internet的不安全因素。
针对常见的DDOS攻击,需要在IDC出口或者连入的CMNet省网或者骨干网上部署异常流量监测及过滤设备。
1)分级部署异常流量监测及过滤设备
⏹按照《中国移动互联网安全防护体系技术要求》总体规划,CMNet国际出入口、骨干网层面运营商之间互联网出入口以及骨干网汇聚节点均会部署异常流量监测及过滤系统,僵木蠕恶意代码监测系统,监测来自国际、国内其它运营商以及其它CMNet省网的攻击流量,对全网重要系统、IDC进行防护。
为此,各省公司需要向总部提供相关IDC分配的IP地址等基础信息。
⏹为防范来自省网内部、省内直联的DDoS攻击,在各IDC上连的省网出入口位置集中部署抗拒绝服务攻击设备,为省内所有IDC以及重要互联网接入客户集中提供抗拒绝攻击服务。
为此,各IDC需要向省公司提供相关IDC分配的IP地址等基础信息。
⏹对于抗拒绝服务攻击业务需求较强、有大型或者重要客户的IDC,在省网集中部署的抗拒绝服务攻击设备无法满足响应速度、不能准确提供自动阻断、不能配置客户业务特征进行准确监测的情况,经省公司相关部门进行综合评判,可以进一步在IDC出口部署抗拒绝服务攻击设备。
监测到异常流量攻击后,抗拒绝服务攻击设备进行异常流量过滤,将过滤后的正常业务流量重新注入网络中。
为预防IDC内部SP/CP利用移动的IP等资源对外发起恶意攻击,同时监测来
升级会员 