《ctgmboss安全规范网络安全分册v》由会员分享,可在线阅读,更多相关《ctgmboss安全规范网络安全分册v(20页珍藏版)》请在金锄头文库上搜索。
1、CTG-MBOSS 信息信息安全安全技术技术规范规范 网络安全分册网络安全分册 V1.0 中国电信集团公司中国电信集团公司 2007 年年 3 月月 目目 录录 1文档说明文档说明.1 1.1编制说明.1 1.2适用范围.1 1.3规范文档.1 1.4起草单位.2 1.5解释权.2 1.6版权.2 2综述综述.3 2.1网络安全所面临的挑战.3 2.2目标.3 2.3规范定位.4 2.4内容说明.4 3网络安全规范技术架构网络安全规范技术架构.5 3.1网络安全范畴5 3.2安全域划分原则5 3.3安全域划分总体说明6 4网络安全规范技术要求网络安全规范技术要求.8 4.1边界整合及网络改造.
2、9 4.2MSS 区域定义及防护要点 .10 4.3BSS 区域定义及防护要点 10 4.4OSS 区域定义及防护要点11 4.5集中互联区域防护.11 4.6集中维护及管理区域.12 4.7MBOSS 各区域内部子域防护12 4.7.1接入区域.12 4.7.2互联区域.13 4.7.3服务区域.14 4.7.4支撑区域.14 4.8其它要求.14 5附录附录.15 5.1附录一 规范编制人员名单15 5.2附录二 术语15 5.3附录三 参考文献16 1文档说明文档说明.1 1.1编制说明.1 1.2适用范围.1 1.3规范文档.1 1.4起草单位.2 1.5解释权.2 1.6版权.2 2
3、综述综述.3 2.1网络安全所面临的挑战.3 2.2目标.3 2.3规范定位.4 2.4内容说明.4 3网络安全规范技术架构网络安全规范技术架构.5 3.1网络安全范畴5 3.2安全域划分原则6 3.3安全域划分总体说明7 4网络安全规范技术要求网络安全规范技术要求.9 4.1边界整合及网络改造.9 4.2MSS 区域定义及防护要点 .10 4.3BSS 区域定义及防护要点 11 4.4OSS 区域定义及防护要点11 4.5集中互联区域防护.11 4.6集中维护及管理区域.12 4.7MBOSS 各区域内部子域防护13 4.7.1接入区域.13 4.7.2互联区域.13 4.7.3服务区域.1
4、4 4.7.4支撑区域.14 4.8其它需要考虑的内容.15 5附录附录.15 5.1附录一 规范编制人员名单15 5.2附录二 术语16 5.3附录三 参考文献17 1文档说明文档说明 1.1 编制说明编制说明 本规范作为中国电信 CTG-MBOSS 安全规范的重要组成部分,为中国电信进行网络 安全建设提供依据。本规范的编制是在CTG-MBOSS 安全分总规范的总体框架体系指 导下,参考了已有系统的网络规划,继承和吸收了现有网络安全建设的经验成果,并充分 考虑了企业战略目标、3G 等的引入形成的。本规范是 CTG-MBOSS 各系统进行网络安全 改造和建设时遵循的技术规范,阐述了进行安全域划
5、分的各项技术要求,从区域划分、区 域防护要点以及区域内部防护等多方面介绍网络安全的具体内容,同时说明可采用的技术 手段。 1.2 适用范围适用范围 本规范的适用范围为 CTG-MBOSS 系统的承载网络,适用于对中国电信 CTG-MBOSS 系统 进行网络规划、网络整改和入网安全测试,它包括网络架构改造、边界整合两部分内容, 各省可依据实际情况比照本规范提供的安全域架构进行网络系统调整。 1.3 规范文档规范文档 本规范在 CTG-MBOSS 信息安全规范体系中的位置如下图所示: 1.4 起草单位起草单位 本规范起草单位为中国电信集团公司。 1.5 解释权解释权 本规范的解释权属于中国电信集团
6、公司。 1.6 版权版权 本规范的版权属于中国电信集团公司。 2综述综述 2.1 网络安全所面临的挑战网络安全所面临的挑战 CTG-MBOSS 是中国电信核心的业务支撑系统,对生产运营及国民经济都有着重大的意 义。网络安全是近几年新兴的领域和技术,由于以往建设的网络系统在安全建设和安全互 联方面考虑较少,随着信息技术、网络技术的快速发展,网络系统面临的安全威胁日益增 加。 根据调研,CTG-MBOSS 网络系统所面临的主要威胁除了物理攻击破坏外,还包括恶意 软件攻击、内部员工误用、黑客入侵破坏等几类。 因此,迫切需要开展网络安全研究,从整体安全防护、边界防护、系统内安全防护、 安全审计等不同角
7、度出发,制定安全防护原则和优化改造方案。使网络安全与网络系统 “同步规划、同步建设、同步维护”。 2.2 目标目标 本规范的目的在于在网络安全框架内,提供 CTG-MBOSS 系统的整体安全解决思路: 宏观上:宏观上: 分析现网安全瓶颈,并据此设计相应的安全防护体系。 加强系统边界防护和控制,制定 CTG-MBOSS 安全互联和防护原则,以及相应的网 络边界防护改造方案。 制定 CTG-MBOSS 单一网络、单一业务系统内(如 MSS、BSS、OSS 以及更细的层次 划分:BSS 内部的 CRM 子系统、计费子系统等)的安全防护原则。 微观上:微观上: 对现存的一些不合理的系统互联方式进行清理
8、,将其纳入到安全域划分和边界整 合的体系中来;并充分考虑实施成本、可行性、对现有业务的影响,做阶段性的 目标规划。 针对网络和系统进行安全域划分,并根据安全域内部防护重点不同,增加合理的 监视、测量、清理、审计等技术手段,实现安全域内安全事件的及时响应和清除。 对现存的一些不合理的终端使用策略、内部访问关系进行清理,制订统一的规范 将业务单元的不同部分拆分到不同的安全域中,制订统一的访问策略以规范不同 等级安全域间的访问,对终端的使用进行严格的区分和隔离。 具体到实施层面,即制定 CTG-MBOSS 全网络、全系统的安全域划分、网络优化和整合 方案,在安全域划分的基础上实施网络安全。 2.3
9、规范定位规范定位 本规范属于 CTG-MBOSS 整体技术规范的一部分,重点描述对于网络安全的总体要求, 本规范在整体技术规范中的定位如下图所示: 2.4 内容说明内容说明 具体章节说明如下: 第一章第一章 文档说明文档说明 对本文档的适用范围、相关文档和起草单位等进行说明。 第二章第二章 综述综述 对目前网络安全面临的挑战进行分析,并明确规范的目标、定位和范围。 第三章第三章 网络安全规范技术架构网络安全规范技术架构 介绍安全域划分所遵循的依据,并对总体划分进行说 明。 第四章第四章 网络安全规范技术要求网络安全规范技术要求 对不同安全区域的防护要点、技术要求进行说明。 附录一附录一 规范编
10、制人员名单规范编制人员名单 附录二附录二 术语术语 给出网络安全规范中出现的关键术语的定义。 附录三附录三 参考文献参考文献 3网络安全规范技术架构网络安全规范技术架构 3.1 网络安全范畴网络安全范畴 ISO74982 文献中对安全的定义是这样的,安全就是最大程度地减少数据和资源被攻 击的可能性。相应的,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服 务不中断。它涉及主机、终端和应用等多个层面的安全防护;网络安全采用的技术手段也 多种多样,既有网络层面的入侵检测、远程接入管理、内容过滤、流量检测,也有
11、其它层 面的文档安全、桌面管理、病毒防护、访问认证等。 单纯的采用一种或多种安全技术手段,不能从根本上弥补网络架构所造成的缺陷,必 须综合考虑网络性能、网络维护、网络优化改造、边界防护等多方面的因素,以网络的整 体安全为框架,融合安全技术、安全手段,并充分考虑系统生命周期内的安全要素,才能 到达节 2.2 中预期的网络安全目标。 安全域划分是网络安全工作的基础。所谓安全域(Security Domain),是指网络中具 有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域内也可根据实 际情况进一步细分安全区域、安全子域。 本规范以安全域划分为纲,以技术手段和生命周期管理为目,为
12、CTG-MBOSS 系统提供 网络安全的整体规划。 3.2 安全域划分安全域划分原则原则 对中国电信 CTG-MBOSS 系统承载网络的安全域划分,须以业务为导向,充分考虑 CTG-MBOSS 系统生命周期内从网络系统规划设计、部署、维护管理到运营全过程中的所有 因素。 安全域划分原则可参考信产部等级保护的指导意见TC260-N0015 信息系统安全技术 要求进行。 安全域划分原则可借荐美国国家安全局编纂的信息保障技术框架 Information Assurance Technical Framework (IATF)中提出的网络安全“深度防御策略”的建议。 CTG-MBOSS 安全域划分的基
13、本原则包括: 1 1、业务保障原则:、业务保障原则:进行安全域划分的根本目标是为了能够更好的保障网络上承载的 业务。在保证安全的同时,还要保障业务的正常运行和运行效率。 2 2、结构简化原则:、结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简 单的网络结构便于设计防护体系。因此,安全域划分并不是粒度越细越好,安全域数量过 多过杂反而可能导致安全域的管理过于复杂,实际操作过于困难。 3 3、立体协防原则:、立体协防原则:安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各 个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次;同时,在部署安全 域防护体系的时候,
14、要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等 各种安全功能实现协防。 4 4、生命周期原则:、生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断 的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。 依照上述原则,CTG-MBOSS 中每一个系统(MSS/BSS/OSS)都可以分为服务域、接入 域、互联域以及支撑域四个安全区域。在此基础上结合等级保护思想,根据系统、承载信 息确定不同区域所需要达到的安全保护等级,即可对不同区域进行有重点、有针对性的防 护,同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性 等。 3.3 安全域
15、划分总体说明安全域划分总体说明 经过调研,目前 CTG-MBOSS 系统的承载网络主要包括三类: 1. DCN 网络:主要承载 OSS 2. 97 网络(含新 97):支撑 BSS 3. 管理网络:支撑 OA(MIS)、财务等管理系统 由于业务间需要数据交换,因此这三个网络之间存在比较复杂的互访关系。缺乏一个 统一的网络平台以支撑整个 CTGMBOSS,以全面满足集团省本地网纵向和横向的信 息共享。 目前 CTG-MBOSS 系统的承载网络从组织及层次上包括: 1. 本地网 2. 省网 3. 集团 三个层次以省网为核心,本地网和省网、省网和集团间也存在比较复杂的互访关系。 现在仍缺乏一个统一的
16、网络平台以支撑整个 CTGMBOSS,无法全面满足集团省 本地网纵向和横向的信息共享。 综合上述情况,CTG-MBOSS 系统网络的安全域的总体规划如下: 划分说明: 以业务系统为基础进行划分:首先按照业务功能不同,划分三个不同的安全域, 即 BSS、OSS、MSS;域系统间可采用防火墙或网络设备的访问控制策略进行隔离。 以组织关系为基础进行划分:其次按照行政关系、管辖范围不同,将上述各安全 域分为集团公司、省公司和地市分公司三个层次的安全子域,如集团公司业务系 统子域、省公司业务系统子域、地市分公司业务系统子域;域间通过 DCN 或传输 电路连接,边界上可采用防火墙、MPLS VPN 或访问控制策略进行防护。 以网络架构系统为基础进行划分:最后对每一个业务安全子域,按照 IATF 的架 构可以进一步细分不同的安全区域,即从网络构造的角度出发,将不同设备按照 端到端构造、终端服务器构造、客户服务器代理构造、服务器服务器构 造、支撑性基础设施关系、互联基础设施关系以及对安全需求的不同划分在不同 的安全区域中,如可分为互联域、支撑域、接入
