IMS信息安全技术规范
- 格式:doc
- 大小:119.50 KB
- 文档页数:10
IMS信息安全技术规范类别1:
中国移动防火墙部署总体技术要求:
要求内容:
一、集中防护原则
以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位,统一考虑节点内所有网络系统的边界访问控制。节点内部,划分核心生产区、日常维护区、停火区(DMZ区)等等,通过VLAN划分实现不同区域系统间的隔离。从而彻底改变分系统防护的传统模式,实现集中化防护。
二、等级保护原则
不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。在国家等级保护标准当中,除考虑系统的实际等级以外,还考虑了相关部门的监管需求。此外,由于系统防护技术的等级差别有限,部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求,各受保护系统都需要。因此在实际实践中,我们并不需要进行过于理论化的计算,能够区分高中低三种不同的防护需求即可。
根据系统划分的等级,高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。
三、与业务特殊需求一致原则
对防火墙功能有特殊需求的业务系统,如GPRS BG接口防火墙需要支持GTP协议,可以在边界集中防火墙内部署第二层防火墙、IDS系统,实现深度保护。
四、与边界威胁一致原则
由于不同系统的开放性、可控性等方面各不相同,它们的可信度也有明显区别。与不同威胁等级、可信度的系统互联时,面对的威胁是不同的,因此,必须针对不同的威胁等级选择不同防护强度的防护技术。
五、异构原则
对于需要进行双层防火墙进行防护的系统,为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险,需要实现双重异构防火墙防护。在防火墙策略设置上,外层防火墙侧重实施粗粒度访问控制,内层防火墙侧重针对特定系统施细粒度访问控制。
五、防火墙种类最小化原则
为便于防火墙设备的日常维护和安全策略的管理,在满足双重异构前提下,应尽量减少防火墙的种类和品牌数量。
检测步骤:
分析系统网络拓扑、设备及IP地址列表等资料,检查以下内容:
1、被查业务系统所有设备是否均已纳入防护范围,并实现集中化防护;
2、是否针对业务系统不同等级的防护需求部署不同强度的防护手段;
3、若业务系统存在特殊需求,是否有针对性措施进行深度防护; 4、对于已部署双层防火墙防护的系统,是否满足双重异构防火墙防护方式对防火墙品牌、种类、策略控制上的要求;
类别2:
中国移动网管系统安全域划分技术要求:
要求内容:
网管系统安全域划分方法:
集团网管和省网管分别划分为不同的安全域,再根据安全域内部的不同安全需求,将各网管系统划分安全子域,具体描述如下:
(1)核心生产区:放置话务网管、传输网管、信令监测等核心主机设备,包括核心应用服务器、数据库服务器、存储设备等。
(2)互联接口区:省网与地市(集团与省网)互联接口、与网元采集设备的互联。
(3)内部系统互联区:与业务支撑系统、企业信息化系统的互联。
(4)第三方接入区:网管开发厂商接入、现场支持、移动终端接入。
(5)外联DMZ区:放置与公网进行数据交换的服务器,如数据网管采集机。
(6)内联DMZ区:放置与内部系统互联区进行数据交换的服务器。
(7)日常操作区:放置省公司网络部门的操作维护终端。
(8)管理服务区:放置各种统一的管理服务设备(如网管监控平台、4A系统等,暂时无相关设备的,可以预留该区域)
检测步骤:
分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料,确认网络是否完成安全域划分工作,安全子域设置是否符合网管系统安全域划分要求
类别3:
中国移动网管系统安全域划分技术要求:
要求内容:
以省公司为单位,将网管系统与互联网接口集中于省公司侧,并通过集团公司统一设置的北京、广州两个支撑系统与CMNet集中接口接入互联网
检测步骤:
分析系统网络拓扑等资料,检查网管系统与互联网接口是否集中于省公司侧
类别4:
中国移动网管系统安全域划分技术要求
要求内容:
边界访问控制要求:
一、集团公司统一设置的支撑系统互联网出口防火墙与省公司网管系统侧的互联接口防火墙构成双层互联网接口防护; 二、第三方接口(包括远程接入、网管开发区)与网管系统接口应基于申请按次接入,禁止物理上无限制长连接
检测步骤:
分析系统网络拓扑等资料,检查集团公司统一设置的支撑系统互联网出口防火墙与省公司网管系统侧的互联接口防火墙构成双层互联网接口防护,检查第三方接口(包括远程接入、网管开发区)与网管系统接口是否存在物理上无限制长连接。
类别5:
中国移动支撑系统与互联网集中出口安全防护体系技术要求
要求内容:
集团公司统一设置的支撑系统互联网出口安全防护:
各支撑系统通过集中出口连接到CMNet,会面临来自CMNet侧的多种外部威胁,集中出口侧防护主要包括以下四部分内容:
1. 部署异常流量监管系统监测来自于CMNet和支撑系统内部的流量,包括但不限于P2P、蠕虫病毒爆发、拒绝服务攻击等流量;
2. 部署异常流量监管系统抵御来自于CMNet拒绝服务攻击;
3. 部署防火墙防护来自于CMNet对各支撑系统的安全威胁;
4. 部署防火墙防护来自于CMNet对IP承载网中PE设备的安全威胁。
检测步骤:
分析网络拓扑等资料,检查各支撑系统与CMNET系统的连接是否集中出口,集中出口是否部署《中国移动支撑系统与互联网集中出口安全防护体系技术要求》所要求的防护措施。
类别6:
中国移动支撑系统与互联网集中出口安全防护体系技术要求
要求内容:
支撑系统侧安全域划分及防护要求:
一、支撑系统侧安全域划分与边界整合
安全域是一个逻辑范围或区域,同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等,同一安全域内的系统相互信任。每个支撑系统都是一个安全域,支撑系统内部还可以根据不同的安全需求划分成安全子域。支撑系统内部大概可以划分为:核心生产区、内部系统互联网区、第三方接入区、DMZ区等。
边界整合是在保障业务的同时将不同安全域之间的接口进行归并,减少接口数量,对接口处进行重点防护。
通过将支撑系统划分安全区域和整合边界,形成清晰、简洁、稳定的IT组网架构,实现系统之间严格访问控制的安全互连,从而更好的解决复杂系统的安全问题。
通过支撑系统安全域划分和边界整合需实现以下功能:
1. 对支撑系统按照要求实现安全域划分和边界整合; 2. 将支撑系统所有对互联网提供服务的应用集中到DMZ区;
3. 集中设置支撑系统远程接入设备,并放置到DMZ区;
4. 在DMZ区通过VLAN划分等方式将不同应用和远程接入相互隔离;
5. 对DMZ区与其它安全子域边界采用访问控制手段,防范安全风险扩散;
6. 实时检测DMZ区与其它安全子域的数据流,监控异常网络行为。
二、支撑系统侧安全域内的防护
安全域划分和边界整合是实现支撑系统内部安全防护的基础,除此之外,对于安全域内部的安全风险,如病毒传播、资源滥用、非法外联等,必须通过加强安全域内的防护,建立并实施相应的安全管理的制度和流程,才能提升支撑系统的整体安全防护能力。
支撑系统侧安全域内的防护主要需要满足安全需求如下:
1. 实施主机、网络设备、数据库、web等通用IT产品安全加固;
2. 部署终端集中化管理手段,禁止终端安装非法软件,防范BT资源滥用和非法窃听;
3. 部署集中防病毒手段,防范恶意代码在支撑系统内部的传播;
4. 部署检测技术对非法外联行为进行监控。
检测步骤:
通过分析网络拓扑、防火墙及网络设备配置等资料,以及采用现场检查的方式,检查以下内容:
1、是否按要求对支撑系统实施了安全域划分和边界整合;
2、是否将支撑系统所有对互联网提供服务的应用集中到DMZ区;
3、支撑系统远程接入设备是否集中设置,并放置到DMZ区;
4、是否在DMZ区通过VLAN划分等方式将不同应用和远程接入相互隔离;
5、对DMZ区与其它安全子域边界是否采用了访问控制手段,并设置了合理的访问控制策略;
6、是否对主机、网络设备、数据库、web等通用IT产品实施了安全加固;
7、是否对安全域内的终端接入部署了集中化管理技术手段或制定并落实了相应终端接入管理办法;
8、是否部署了集中防病毒手段;
类别7:
中国移动数据业务系统安全域划分边界整合及安全防护技术要求:
要求内容:
数据业务系统安全域划分方法:
一、数据业务系统可划分以下为四类主要的安全子域:核心生产区、内部互联接口区、互联网接口区和核心交换区。
(1) 核心生产区:本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。
(2) 内部互联接口区:本区域放置的设备和公司内部网络,如IP专网等连接,具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备,如网管采集设备。 (3) 互联网接口区:本区域和互联网直接连接,主要放置互联网直接访问的设备。如业务系统门户(Portal)。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。
(4) 核心交换区:负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。
二、每类安全子域内部,根据实际需要,可进一步划分下级安全子域,如在内部互联接口区为和网管、计费互联分别设单独的子域。
三、某个具体数据业务系统,根据其业务逻辑与实现,不一定严格存在上述四类安全区域。在不违反安全域互联防护要求的前提下,该系统可简化安全域划分。
四、如果数据业务系统中某个设备存在多个逻辑接口,如既和内部网也和互联网存在接口,应采用分离功能的方式,由物理独立的设备分别实现不同的接口功能,从而满足安全域划分的要求。
五、数据业务系统安全域划分不设置单独用来放置终端的安全域。由于终端的风险较高,除超级终端外,其它各类终端应通过以省为单位部署的网络安全管控平台接入业务系统进行维护,终端和数据业务系统的互联方式参见“7.2.5 数据业务系统的维护互联安全要求”。
检测步骤:
分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料,检查数据业务系统是否完成安全域划分工作,安全子域设置是否符合数据业务系统安全域划分要求
类别8:
中国移动数据业务系统安全域划分边界整合及安全防护技术要求:
要求内容:
数据业务系统边界整合要求:
一、通常由于传输资源的因素,将位于相同物理位置的数据业务系统纳入同一个集中防护节点。在集中防护节点内部,部署核心交换设备,将不同系统的相同类型安全域整合形成大的安全域,集中设置互联网出口和内部互联出口。整合后的各安全域、安全子域以及外部接口之间满足域间互联安全要求,通过共享防火墙、入侵检测等安全防护手段,实现集中防护。
二、在具备传输条件的前提下,将现有集中防护节点的互联网出口整合至互备的一个或几个接口。在此种情况下,存在多个集中防护节点共享一个互联网传输出口的情况。这时,不同集中防护节点通过核心路由器来进行路由连接,并将与互联网间的流量路由到整合后的接口。各节点可以保留互联网接口区,也可以将互联网接口区进一步整合,集中到整合后的接口位置