《中国移动网管系统安全域划分技术要求》由会员分享,可在线阅读,更多相关《中国移动网管系统安全域划分技术要求(32页珍藏版)》请在金锄头文库上搜索。
1、2007-XX-实施2007-07-发布中国移动通信有限公司 发布中 国 移 动 通 信 企 业 标 准QB-W-001-2007中国移动网管系统安全域划分技术要求Technical Specification of Secure Domain for Networks Management Systems版本号:1.0.0 目 次前 言11适用范围22引用标准与依据23相关术语与缩略语24综述34.1背景44.2本要求的范围和主要内容45支撑系统的现状55.1网管系统现状55.1.1网管系统组网总体架构55.1.2集团网管系统的网络架构65.1.3集团网管系统系统与Internet互联的业务
2、需求75.1.4省级网管系统的网络架构75.1.5省级网管系统与Internet互联的业务需求75.2现状总结与终端问题76安全域划分的必要性和原则86.1安全域划分的必要性86.2各安全域的威胁等级分析96.3支撑系统的保护等级分析106.3.1资产价值赋值116.3.2安全需求赋值116.3.3支撑系统的赋值126.4安全域划分的原则126.4.1安全域划分的根本原则126.4.2安全域划分方法136.5网络调整146.5.1广域网146.5.2局域网156.5.3终端176.6网管系统的安全域划分187边界整合的原则197.1网管系统对外的边界整合207.1.1与互联网的边界整合207.
3、1.2与第三方的边界整合207.2网管系统与其他支撑系统之间的边界整合207.3网管系统的边界整合208安全域保护的原则218.1安全域边界的保护原则218.1.1安全域互访的风险分析228.1.2安全域互访的原则228.1.3安全域边界的保护方式238.1.4安全域边界的安全部署248.1.5安全域边界的安全管理248.2网管系统安全域内部的保护258.3对相关安全设备的部署要求269分阶段实施的建议269.1安全域划分的深入269.2组网方式的演进269.3保护方式的演进2710编制历史28IIQB-W-001-2007前 言本要求主要是针对中国移动通信有限公司所建设的网管系统,根据建设网
4、管监控平台系统建设的需求,当前系统面临的风险、以及保护等级,分析网管系统安全域划分的必要性并提出划分原则,并结合支撑网络的现状对网络结构进行调整,结合威胁等级和保护等级,确定了各安全域保护的原则。安全域划分包括物理环境、人员组织、管理、技术各个层面,本要求重点针对安全域划分的技术层面。本要求作为省公司网管系统为接入总部统建的监控平台进行的网络改造的依据,同时可以作为后续网管系统安全建设的依据。本要求由中国移动通信有限公司网络部提出并归口管理。本要求解释单位:中国移动通信有限公司网络部。11 适用范围本要求对网管系统的安全域划分进行了规范,适用于中国移动各省公司在总部网管监控平台实施前进行的网管
5、系统的改造工作。2 引用标准与依据(1) 关于近期网络与信息安全工作安排的通知,中国移动通信集团公司网络部,移网通【2004】68号。(2) 关于加强信息安全保障工作的意见,国家信息化领导小组,中办发200327号。(3) 公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施意见(公通字【2004】66号文)。(4) 国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告。(5) 美国国家标准和技术研究所(NIST,National Institute of Standards and Technology)制订的SP 800系列文档:IT系统安全自评估指南、
6、IT系统风险管理指南、联邦IT系统安全认证和认可指南、信息系统安全规划指南等。http:/csrc.ncsl.nist.gov/publications/nistpubs/。(6) 美国国家安全局,信息保障技术框架IATF(Information Assurance Technical Framework),V3.1版。网址:。(7) 公安部GA/T 387-391-2002系列标准,计算机信息系统安全等级保护操作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求(8) 中国移动通信有限公司提供的相关资料。(9) 全国31个省的调查资料,以及北京、广东、四川、陕西4省现
7、场调研的相关资料。(10) 国家质量技术监督局发布的计算机信息系统安全保护等级划分准则(GB 17859号文)。(11) 中国移动支撑系统安全域划分与边界整合技术要求(发布稿)2005年5月3 相关术语与缩略语AAAAAccount、Authentication、Authorizatin and Audit账号管理、认证、授权与审计ACLAccess Control List访问控制列表CMNetChina Mobile Net中国移动互联网DMZDeMilitarized Zone非军事化区EOMSElectronic Operation and Maintainence System电子运
8、行维护系统IATFInformation Assurance Technical Framework信息保障技术框架IDSIntrusion Detection System入侵检测系统IPSecInternet Protocol Security互联网协议安全IPInternet Protocol互联网协议ITInformation Technology信息技术MISManagement Information System管理信息系统MPLSMulti-Protocol Label Switching多协议标记交换NISTNational Institute of Standards an
9、d Technology国家标准和技术研究所OMCOperation management center操作维护中心RADIUSRemote Authentication Dial-In User Service接入用户远程认证服务VPNVirtual Private Network虚拟专用网VLANVirtual Local Area Network虚拟局域网4 综述为了建立中国移动IT系统的网络及信息安全机制与进行网管监控平台系统的建设,首先需要定义相关系统安全域的边界并且对现有网管系统实施安全域划分。所谓安全域(Security Zone),是指网络中具有相同的安全保护需求、并相互信任的
10、区域或网络实体的集合。一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化为次级安全域、三级安全域等。安全域的划分,就是将系统从安全角度划分成不同的区域,以便实行分门别类的处理。从我国IT系统的发展轨迹来看,大多数企业都是在连接到Internet之后,才开始正式考虑网络安全域的。如今的商业模式要求企业与Internet之间、企业与业务合作伙伴、信息提供商及客户组成的网络之间实现连接,而企业内部的企业信息化系统、业务支撑系统、网管系统等系统之间也存在着复杂的连接关系。由于网络中不同边界的应用方向不同,所以对安全有着不同应用需求,例如与业务合作伙伴的相连和一般外联网的连接对安全性的要求就
11、不相同。明确安全域划分的原则,结合等级保护的要求,确定各安全域的保护等级,并部署相应的安全手段,安全域的边界隔离与防护是关注的重点。中国移动整体支撑网目前确实存在边界不清、连接混乱的实际问题,对边界进行整合,从企业的视角有效地整合系统对外的接口数量,提高企业网络和信息的安全性,也是做好安全工作的基础。对于信息保密性,请参见其他相关技术规范。本技术要求的研究主要有为:制定网管系统安全域划分的原则;通过以上的分析和研究,确定相关的原则,以便将来在网管监控平台的推广实施阶段,各省可以按要求进行接入。4.1 背景2007年下半年,总部网络部集中建设的网管监控平台(试点阶段)工作进入具体实施阶段,作为接
12、入监控平台的先决条件,目前监控平台试点阶段的总部,甘肃以及北京三地的网管网络改造暨安全域划分已经完成实施,其目的是将现有存在风险的网络改造为结构合理,监控平台代理软件可以顺利安装使用的架构。同时参考2003年年底,国家信息化领导小组下发了“关于加强信息安全保障工作的意见” (中办发200327号) ,文件把网络与信息安全工作提高为国家安全的重要组成部分,明确了加强信息安全保障工作的总体要求,即:“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全”。文件要求正确处理安全与发展的
13、关系,统筹规划,突出重点,强化基础性工作,通过实行信息安全等级保护实现这一目的。因此,国家将建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。在这样的背景下,作为接入网管监控平台的前提工作,提出中国移动网管系统的安全域划分原则就显得十分重要。明确安全域划分的基本原则,界定网管系统的重要性和安全风险等级,然后根据不同的保护等级,从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施(如防火墙、防病毒、账号管理以及相应的控制端等)、安全集中管理系统或者它们的一部分构成的多层立体防护体系,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播,保证网管系统的
14、安全运行。4.2 本要求的范围和主要内容本要求主要针对中国移动网管系统安全域划分的技术要求,具体主要指省公司网管系统和OMC,及其地市部分。主要内容包括:(1) 网管系统的现状:包括内网和公网的论述。(2) 安全域划分的必要性和原则:本章节包含了安全域划分的必要性,以及各系统的威胁等级、保护等级,制定了安全域划分的原则,结合网管网络的实际情况,对网络结构进行调整,网管系统的安全区域的划分进行细化。(3) 边界整合的原则:首先对网管系统对外的边界进行整合(包括与CMNet、和第三方的边界整合原则),然后针对各支撑系统的各种边界进行整合。(4) 安全域保护的原则:包括安全域边界部分的防护和安全域内部的防护两方面。(5) 分阶段安全防护的建议:分别从网络调整方式、安全域划分的细化、以及保护方式的演进等方面,体现逐步实现的过程。5 支撑系统的现状中国移动网管系统在网络的纵向连接上均是三级结构:集团公司省公司地市分公司。根据前期总部安全处对各省的调研情况,网管系统在三级结构的承载层面上都考虑了相互隔离,比如网管系统共同承载在IP承载网上,分别采用了VPN技术、路由策略等相关技术对其进行隔离等。5.1 网管系统现状中国移动网管系统包括话务网网管、汇接网网管、信令网管、智能网管、同步网管、IP专网网管、数据网管、信令检
