IT安全保障体系规范技术分册网络安全域划分指南v10.docx
《IT安全保障体系规范技术分册网络安全域划分指南v10.docx》由会员分享,可在线阅读,更多相关《IT安全保障体系规范技术分册网络安全域划分指南v10.docx(77页珍藏版)》请在冰豆网上搜索。
IT安全保障体系规范技术分册网络安全域划分指南v10
中国电信
IT安全保障体系建设规范
技术分册
网络安全域划分指南
V1.0
2011年10月
中国电信集团公司
目录
第1章概述3
1.1概述3
1.2适用范围3
1.3文档说明3
1.4规范文档4
第2章网络安全现状分析5
2.1IT系统网络安全现状概述5
2.2IT系统组网的基本架构5
第3章IT系统网络安全域整体规划7
3.1网络安全域整体规划7
3.1.1以组织关系为基础进行划分7
3.1.2以业务系统为基础进行划分7
3.1.3IT系统网络安全域整体划分模型7
3.2整体安全区域与系统安全子域的关系10
第4章IT系统安全子区域划分11
4.1IT系统安全子域划分要求11
4.2IT系统安全等级定义11
4.3系统安全子域划分12
4.3.1计算服务子域13
4.3.2运维管理子域13
4.3.3办公终端子域14
4.3.4互联接入子域14
4.3.5内部核心交换子域15
第5章IT系统网络安全子域边界整合16
5.1IT系统网络安全边界划分16
5.2IT系统网络安全边界整合17
5.2.1计算服务子域内部安全边界17
5.2.2运维管理子域安全边界19
5.2.3办公终端子域安全边界20
5.2.4互联接入子域安全边界21
5.2.5核心交换子域安全边界22
5.3网络安全域边界访问控制策略23
第6章IT系统网络安全子域防护24
6.1网络安全子域防护原则24
6.2网络安全子域防护措施25
6.2.1网络安全子域边界防护策略25
6.2.2网络安全子域内部安全防护策略37
6.2.3边界防护技术实现策略60
6.2.4集中安全管控措施67
6.2.5网络安全域防护措施解析67
第7章MSS系统试点网络安全域示例68
7.1MSS系统安全定级68
7.2网络安全域划分69
7.3网络边界整合70
7.4边界安全防护措施71
7.5集中安全管控措施76
第8章网络安全域实施路线77
8.1第一阶段:
网络现状需求调研梳理77
8.2第二阶段:
整体安全区域规划77
8.3第三阶段:
网络安全域分阶段实施78
第9章附录79
附录1、系统安全等级矩阵表79
附录2、安全技术防护措施标准组件库80
附录4、文档编制人员名单82
附录4、参考文献82
第1章概述
1.1概述
本指南作为中国电信IT安全技术体系规范的主要组成部分,本指全面阐述了IT系统网络安全域设计思路、划分原则、边界整合、安全防护措施和演进计划等内容,为中国电信建立健全IT安全保障体系提供重要的依据和支撑。
1.2适用范围
本指南适用于指导中国电信集团公司及下属省(市)电信公司进行IT网络安全域规划建设和升级改造等,以实现中国电信网络安全工作“同步规划、同步建设、同步运行”。
1.3文档说明
本指南的编制是在《CTG-MBOSS总体规范V2.0》的总体框架体系指导下,参考了《CTG-MBOSS安全规范-网络安全分册V1.0》及近年来发布的其他安全政策和指导意见相关内容,继承和吸收了原有安全管理实践的经验成果,并充分考虑了电信各省公司的现状、行业最佳实践和安全新技术。
针对本指南进行以下特别说明:
1.本指南的安全域划分主要针对单独的IT系统(如MSS系统、BSS系统、OSS系统和EDA系统)网络安全子域的划分;整体网络安全域划分沿用《CTG-MBOSS安全规范-网络安全分册V1.0》安全域划分的方法和要求,本文档不做特别阐述;
2.本指南网络安全域边界从第5类开始,1-4类继续沿用《CTG-MBOSS安全规范-网络安全分册V1.0》文档的边界划分方法和要求。
1.4规范文档
《网络安全域划分指南》在中国电信集团公司IT安全保障体系规范中的位置如下图所示:
第2章网络安全现状分析
2.1IT系统网络安全现状概述
通过针对中国电信IT系统网络安全现状的分析,发现目前中国电信IT系统网络区域划分不严格,各系统网络边界的防护措施不足,存在不同系统互联互通的情况,无法实现针对非授权的互访行为进行控制和管理。
IT系统网络所面临的主要威胁除了物理攻击破坏外,还包括恶意软件攻击、内部员工误用、敏感信息泄露、黑客入侵破坏等几类。
因此,迫切需要开展网络安全研究,从整体安全防护、边界防护、系统内安全防护、安全审计等不同角度出发,制定安全防护原则和优化改造方案,使中国电信网络安全与系统网络“同步规划、同步建设、同步维护”。
2.2IT系统组网的基本架构
中国电信IT系统在组网方面按其功能可分为接口层、核心交换层、系统层和存储备份层4层。
接口层设备负责与外部的其它系统、用户终端交互;核心交换层设备负责连接IT系统内部其它各层的设备;系统层设备负责完成系统的主要业务功能;存储备份层设备负责存储业务系统数据。
如下图所示
图示2-1中国电信IT系统组网基本架构图
后续网络安全域划分方法基本依据了上述IT系统功能分层情况,为了叙述方便仅从安全域划分和边界整合的角度,将系统层和存储备份层进行了整合为核心生产层。
第3章IT系统网络安全域整体规划
IT系统网络安全域划分参考《CTG-MBOSS安全规范-网络安全分册V1.0》的划分要求,并且结合目前中国电信IT系统网络连接的实际情况,在核心生产区相对于MSS系统、BSS系统、OSS系统独立出EDA系统安全区域,并对其他安全区域进行适当的调整优化,实现各网络安全区域划分科学合理。
3.1网络安全域整体规划
3.1.1以组织关系为基础进行划分
以组织关系为基础进行划分。
按照行政关系、管辖范围不同,将安全域分为集团公司、省公司和地市分公司三个层次的安全域:
✧集团公司业务系统域;
✧省公司业务系统域;
✧地市分公司业务系统域。
域间通过DCN或传输电路连接,边界采用VLAN、防火墙或其他访问控制策略进行防护,如果有条件可以通过MPLSVPN来进行完全逻辑隔离。
3.1.2以业务系统为基础进行划分
以业务系统为基础进行划分。
按照业务功能不同,中国电信集团与省公司均划分四个不同的安全区域,即BSS域、OSS域、MSS域和EDA域。
四个系统区域之间相互隔离,原则上禁止直接进行相互访问,所有的访问连接必须经过核心交换机进行访问呢控制。
3.1.3IT系统网络安全域整体划分模型
结合中国电信以组织关系和以业务系统为基础的划分方法,规划IT系统网络的安全域的总体规划如下图所示:
图3-1IT系统网络安全域划分示意图
中国电信IT系统网络安全域整体划分为四类主要安全区域,包括核心交换区、核心生产区、支撑管理域和安全互联域。
依据《CTG-MBOSS安全规范-网络安全分册V1.0》安全域划分思路,核心生产区由BSS系统、OSS系统、MSS系统和EDA系统四大系统子域组成;安全互联域包括外部互联区、Internet互联区和内部互联网络;核心交换区为其他区域的相互访问提供网络数据交换服务,并与DCN核心网连接;支撑管理域实现对网络各区域提供统一的安全管理支撑。
各安全区域功能说明如下:
(1)核心交换区
负责连接支撑管理域、核心生产区、支撑管理域、第三方及合作伙伴互联区、Internet互联区等安全域,并与DCN核心网进行连接实现集团和省公司的互联服务。
核心交换区要求支持网络级的访问控制策略,对各子域之间互联可通过边界防火墙或者ACL访问控制列表方式实现访问控制。
(2)核心生产区
本区域包含CTG-MBOSS各个重要的业务系统,业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。
本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。
核心生产区的各个业务子系统之间采用VLAN、防火墙等方式进行隔离,VLAN间应通过ACL进行访问控制。
(3)支撑管理域
支撑管理域由集团和省公司进行集中管理。
通过在该区域部署统一的管控平台,实现各类安全产品的管理,其实现的功能包括安全域内的身份认证、权限控制、病毒防护和补丁升级,各类安全事件信息的收集、整理、关联分析,安全审计、入侵检测和漏洞扫描等。
本区域可根据支撑系统的功能划分不同的子域,如4A子域、SOC平台子域等。
(4)安全互联区
本区域部署第三方厂商及合作伙伴、互联网的接入设备,以及内部系统的互联设备。
本区域与核心交换区间应部署防火墙设备,并设置严格的访问控制策略,以控制互联网用户、外部用户和其他业务系统用户的访问。
本区域和互联网直接连接,主要部署互联网直接访问的设备,该区域的设备具备实现互联网与内部核心生产区数据的转接作用,集团和各省公司所有的互联网访问需求均应通过独立唯一的Internet互联区进行,不允许存在其他互联网出口。
内部互联区负责通过DCN网络与电信内部其他区域系统的交互。
3.2整体安全区域与系统安全子域的关系
本指南文件涉及的中国电信网络安全域整体划分依据并参考CTG-MBOSS安全规范的网络安全域划分方法,实现电信公司网络重要四个区域的划分和调整优化;核心生产区业务系统众多,网络连接复杂,本指南IT系统安全子域的划分仅针对重要的核心生产区(即CTG-MBOSS四个业务系统)进行安全子域的划分,并且实现与其他外部区域的互联防护。
在安全防护措施部署方面,特别针对互联网出口安全防护,如果外部安全互联区的Internet出口部署了入侵防御系统、拒绝服务攻击防护设备、防病毒网关和网络流量管控设备,则在核心生产区的出口可以不再重复部署;如果未及时部署,需在核心生产区的边界出口部署相应的安全防护设备,提高网络边界安全性。
第4章IT系统安全子区域划分
4.1IT系统安全子域划分要求
根据中国电信实际网络安全需要,每个安全区域可进一步划分下级安全子域,在核心生产区内部为不同安全等级划分安全子域,实现不同业务系统之间的隔离。
例如为了满足日志采集设备、防病毒系统和二级控管服务器等安全设备部署的需要,可在内部系统区内开辟单独的安全子域部署二级安全管控平台设备。
IT系统网络安全子域的划分要求如下:
1.对于具体业务系统而言,其自身业务逻辑与实现的特点不一定严格存在四类安全区域。
在此种情况下,在不违反安全域防护原则的前提下,可简化安全域的划分;
2.如果业务系统中某个设备存在多个逻辑接口时,如一个既和内部网也和互联网存在接口的设备,应进行功能分离,通过物理独立的设备分别实现不同的接口功能,从而满足安全域划分的要求。
属于核心生产区的设备,应避免存在与互联网直接相连的接口;
3.业务系统安全域划分不设置单独用来放置终端的安全域。
由于终端的风险较高,除超级终端和本地控制台外,其它各类终端应通过以省为单位部署的集中接入控制设备(系统)接入业务系统进行维护。
4.2IT系统安全等级定义
依据中国电信《IT系统安全保护基本要求》文件要求,IT系统共划分为4个安全等级,第2.1、2.2、3.1、3.2等级。
目前CTG-MBOSS各系统安全等级划分情况如下:
表格3-1中国电信IT系统安全等级定义结果
第2.1级
第2.2级
第3.1级
第3.2级
MSS系统
MSS系统
OSS系统
OSS系统
BSS系统
BSS系统
BSS系统
EDA系统
EDA系统
在CTG-MBOSS各系统区域内针对计算服务域细划分次级安全子域,主要
升级会员 