《某通信系统安全域划分与边界整合技术要求》由会员分享,可在线阅读,更多相关《某通信系统安全域划分与边界整合技术要求(36页珍藏版)》请在金锄头文库上搜索。
1、TechnicalTechnical SpecificationSpecification ofof SecureSecure DomainDomain andand BoundaryBoundary ConvergenceConvergence forfor SupportingSupporting SystemsSystems 中 国 移 动 通 信 企 业 标 准 QB-W-001-2005QB-W-001-2005 中国移动支撑系统安全域划分中国移动支撑系统安全域划分 与边界整合技术要求与边界整合技术要求 版 本 号 :1 1. .0 0. .0 0 【网络与信息安全规范网络与信息安全
2、规范】【】【第二层:技术规范第二层:技术规范安全域安全域】【】【第第 2503 号号】 中国移动通信集团公司中国移动通信集团公司 发布发布 2 20 00 07 7- -1 12 2- -1 14 4 发发布布2 20 00 08 8- -0 01 1- -0 01 1 实实施施 I 目 次 前前 言言1 1适用范围适用范围.2 2引用标准与依据引用标准与依据.2 3相关术语与缩略语相关术语与缩略语.2 4综述综述.3 4.1背景.4 4.2本要求的范围和主要内容.4 5安全域划分的必要性和原则安全域划分的必要性和原则.5 5.1安全域划分的必要性.5 5.2各安全域的威胁等级分析.6 5.3
3、支撑系统的保护等级分析.7 5.3.1资产价值赋值8 5.3.2安全需求赋值8 5.3.3支撑系统的赋值9 5.4安全域划分的原则.9 5.4.1安全域划分的根本原则10 5.4.2安全域划分方法10 5.5网络调整.11 5.5.1广域网11 5.5.2局域网12 5.5.3终端13 5.6各支撑系统的安全域划分.14 5.6.1业务支撑系统的安全域划分14 5.6.2网管系统系统的安全域划分15 5.6.3企业信息化系统的安全域划分16 6边界整合的原则边界整合的原则.17 6.1各支撑系统对外的边界整合.18 6.1.1与互联网的边界整合18 6.1.2与合作伙伴的边界整合18 6.1.
4、3与第三方的边界整合19 6.2各支撑系统之间的边界整合.19 6.3业务支撑系统的边界整合.19 6.4网管系统的边界整合.20 6.5企业信息化系统的边界整合.21 7安全域保护的原则安全域保护的原则.22 7.1安全域边界的保护原则.22 7.1.1安全域互访的风险分析23 7.1.2安全域互访的原则23 7.1.3安全域边界的保护方式24 7.1.4安全域边界的安全部署26 7.1.5安全域边界的安全管理26 7.2安全域内部的保护.26 7.2.1业务支撑系统28 7.2.2网管系统28 II 7.2.3企业信息化系统29 8分阶段实施的建议分阶段实施的建议.29 8.1安全域划分的
5、深入.29 8.2组网方式的演进.29 8.3保护方式的演进.30 8.4支撑系统到互联网接口的演进.30 9编制历史编制历史.32 QB-W-001-2005 1 前前 言言 本要求主要是针对中国移动通信有限公司的业务运营支撑系统、网管系统和企业信息化系统等支 撑系统,根据系统面临的风险、以及保护等级,分析支撑系统安全域划分的必要性并提出划分原则, 并结合支撑网络的现状对网络结构进行调整,然后对各支撑系统的边界进行整合,结合威胁等级和保 护等级,确定了各安全域保护的原则,包括边界部分和内部的保护。 安全域划分包括物理环境、人员组织、管理、技术各个层面,本要求重点针对安全域划分的技术 层面。
6、本要求可作为后续支撑系统安全建设的依据。 本要求由中国移动通信有限公司网络部提出并归口管理。 本要求起草单位:中国移动通信有限公司网络部、计费中心、企业信息化、研发中心 本要求主要起草人:周智、刘楠、田峰、王春平、陈豫蓉、刘斐、张焱、陈欣、陈敏时、徐海东、 魏丽红。 本要求解释单位:中国移动通信有限公司网络部。 QB-W-001-2005 2 1适用范围适用范围 本要求对业务支撑、网管、企业信息化等支撑系统的安全域划分、边界整合以及采用的保护方案 进行了规范,适用于中国移动有限公司、各省公司后续支撑系统的安全建设。 2引用标准与依据引用标准与依据 (1)关于近期网络与信息安全工作安排的通知,中
7、国移动通信集团公司网络部,移网通 【2004】68 号。 (2)关于加强信息安全保障工作的意见,国家信息化领导小组,中办发200327 号。 (3)公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施 意见(公通字【2004】66 号文)。 (4)国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告。 (5)美国国家标准和技术研究所(NIST,National Institute of Standards and Technology)制订的 SP 800 系列文档:IT 系统安全自评估指南、IT 系统风险管理指南、联邦 IT 系统安全认证和 认可指南、信息
8、系统安全规划指南等。http:/csrc.ncsl.nist.gov/publications/nistpubs/。 (6)美国国家安全局,信息保障技术框架 IATF(Information Assurance Technical Framework), V3.1 版。网址:。 (7)公安部 GA/T 387-391-2002 系列标准,计算机信息系统安全等级保护操作系统技术要求、 管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求 (8)中国移动通信有限公司提供的相关资料。 (9)全国 31 个省的调查资料,以及北京、广东、四川、陕西 4 省现场调研的相关资料。 (10)国家质量技
9、术监督局发布的计算机信息系统安全保护等级划分准则(GB 17859 号文)。 3相关术语与缩略语相关术语与缩略语 AAAAAccount、Authentication、Authorizatin and Audit 账号管理、认证、授权 与审计 ACLAccess Control List 访问控制列表 BOSS Business & Operations Support System 业务运营支撑系统 CMNetChina Mobile Net 中国移动互联网 DDNDigital Data Network 数字数据网 QB-W-001-2005 3 DeMilitarized Zone 非军
10、事化区 DNSDomain Name Server 域名服务器 DSMPData Service Management Platform 数据业务管理平台 EOMSElectronic Operation and Maintainence System 电子运行维护系统 GPRSGeneral Packet Radio Service 通用分组无线业务 IATFInformation Assurance Technical Framework信息保障技术框架 IDSIntrusion Detection System 入侵检测系统 IPSecInternet Protocol Security
11、 互联网协议安全 IPInternet Protocol 互联网协议 ITInformation Technology 信息技术 MDCNMobile data communication network 移动数据通信网 MISManagement Information System 管理信息系统 MPLSMulti-Protocol Label Switching 多协议标记交换 NISTNational Institute of Standards and Technology国家标准和技术研究所 OMCOperation management center操作维护中心 RADIUSRe
12、mote Authentication Dial-In User Service 接入用户远程认证服务 SPService Provider 业务提供者 VPNVirtual Private Network 虚拟专用网 VLANVirtual Local Area Network 虚拟局域网 4综述综述 为了建立中国移动 IT 系统的网络及信息安全机制,首先需要定义相关系统安全域的边界。所谓安 全域(Security Zone),是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一 个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化为次级安全域、三级安全域等。 安全
13、域的划分,就是将系统从安全角度划分成不同的区域,以便实行分门别类的处理。从我国 IT 系统 的发展轨迹来看,大多数企业都是在连接到 Internet 之后,才开始正式考虑网络安全域的。如今的商业 模式要求企业与 Internet 之间、企业与业务合作伙伴、信息提供商及客户组成的网络之间实现连接,而 企业内部的企业信息化系统、业务支撑系统、网管系统等系统之间也存在着复杂的连接关系。由于网 QB-W-001-2005 4 络中不同边界的应用方向不同,所以对安全有着不同应用需求,例如与业务合作伙伴的相连和一般外 联网的连接对安全性的要求就不相同。 明确安全域划分的原则,结合等级保护的要求,确定各安全
14、域的保护等级,并部署相应的安全手 段,安全域的边界隔离与防护是关注的重点。中国移动支撑网目前确实存在边界不清、连接混乱的实 际问题,对边界进行整合,从企业的视角有效地整合系统对外的接口数量,提高企业网络和信息的安 全性,也是做好安全工作的基础。 对于信息保密性,请参见其他相关技术规范。 本技术要求的研究主要有两个目的: 制定支撑系统安全域划分的原则; 支撑系统各种边界整合和安全域保护的原则。 通过以上的分析和研究,确定相关的原则,以便将来在中国移动的支撑系统,尤其是业务支撑系 统、网管系统、企业信息化系统在建设或改造时,与 Internet 以及其它系统的互联方式有法可依。 4.1背景背景 2
15、003 年年底,国家信息化领导小组下发了“关于加强信息安全保障工作的意见” (中办发2003 27 号) ,文件把网络与信息安全工作提高为国家安全的重要组成部分,明确了加强信息安全保障工作 的总体要求,即:“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信重点保障基础信 息网络和重要信息系统安全息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维 护国家安全” 。文件要求正确处理安全与发展的关系,统筹规划,突出重点,强化基础性工作,通过实统筹规划,突出重点,强化基础性工作,通过实 行信息安全等级保护实现这一目的行信息安全等级保护实现这一
16、目的。因此,国家将建立信息安全等级保护制度,制定信息安全等级保 护的管理办法和技术指南。 在这样的背景下,作为实现信息系统安全等级保护的前提工作,提出中国移动具体重要信息系统 的安全域划分原则就显得十分重要。明确安全域划分的基本原则,界定业务支撑系统的重要性和安全 风险等级,然后根据不同的保护等级,从网络、主机、应用系统不同层面相应的逐步建设由网络与信 息安全基础设施(如防火墙、入侵检测、防病毒、账号管理以及相应的控制端等)、安全集中管理系 统或者它们的一部分构成的多层立体防护体系,提高对网络攻击、病毒入侵、网络失窃密的防范能力, 防止有害信息传播,保证业务网络和支撑系统的安全运行。 4.2 本要求的范围和主要内容本要求的范围和主要内容 本要求主要包含中国移动网管系统、业务支撑系统、企业信息化系统的安全域划分与边界整合的 技术要求,其中网管系统包括集团公司、省公司网管系统和 OMC,业务支撑系统包括集团公司、省公 司业务支撑系统及其地市部分,企业信息化系统包括集团公司、省公司
