某通信系统安全域划分与边界整合技术要求(共37页).doc

echechicalicale ei iicaicaionion ofof S Scurcur DomaDoman n andand BounBounaryary ononergencergencforfor SuSurtirti S Sstemsstems中 国移 动 通 信 企 业标 准Q Q-W-00-W-00-2-20 0中国移动支撑系统安全域划分中国移动支撑系统安全域划分与边界整合技术要求与边界整合技术要求版 本 号 ： 【网络与信息安全规范网络与信息安全规范】【】【第二层：技术规范第二层：技术规范安全域安全域】【】【第第503 号号】中国移动通信集团公司中国移动通信集团公司 发布发布2 20 00 07 7- -1 12 2- -1 14 4 发发布布 8 8- -0 01 1- -0 0 实实施施目 次前言前言 11 适用范围适用范围2 引用标准与依据引用标准与依据相关术语与缩略语相关术语与缩略语 2综述综述.1 背景 442 本要求的范围和主要内容 45 安全域划分的必要性和原则安全域划分的必要性和原则 55.1 安全域划分的必要性.各安全域的威胁等级分析 65.3 支撑系统的保护等级分析 7资产价值赋值安全需求赋值8支撑系统的赋值95.4 安全域划分的原则 9安全域划分的根本原则10安全域划分方法15.5 网络调整 1广域网11局域网1终端135.6 各支撑系统的安全域划分 14业务支撑系统的安全域划分1网管系统系统的安全域划分1企业信息化系统的安全域划分66 边界整合的原则边界整合的原则 176.1 各支撑系统对外的边界整合 1与互联网的边界整合18与合作伙伴的边界整合18与第三方的边界整合96.2 各支撑系统之间的边界整合 1.3 业务支撑系统的边界整合 196网管系统的边界整合 206.5 企业信息化系统的边界整合17 安全域保护的原则安全域保护的原则7.1 安全域边界的保护原则 22安全域互访的风险分析2安全域互访的原则23安全域边界的保护方式24.1.4安全域边界的安全部署26安全域边界的安全管理267.安全域内部的保护 26业务支撑系统2网管系统2企业信息化系统298 分阶段实施的建议分阶段实施的建议 298.1 安全域划分的深入 298.2 组网方式的演进 29.保护方式的演进 308.4 支撑系统到互联网接口的演进 30编制历史编制历史 32前言前言本要求主要是针对中国移动通信有限公司的业务运营支撑系统、网管系统和企业信息化系统等支撑系统，根据系统面临的风险、以及保护等级,分析支撑系统安全域划分的必要性并提出划分原则,并结合支撑网络的现状对网络结构进行调整，然后对各支撑系统的边界进行整合,结合威胁等级和保护等级，确定了各安全域保护的原则,包括边界部分和内部的保护。

安全域划分包括物理环境、人员组织、管理、技术各个层面,本要求重点针对安全域划分的技术层面本要求可作为后续支撑系统安全建设的依据本要求由中国移动通信有限公司网络部提出并归口管理本要求起草单位：中国移动通信有限公司网络部、计费中心、企业信息化、研发中心本要求主要起草人：周智、刘楠、田峰、王春平、陈豫蓉、刘斐、张焱、陈欣、陈敏时、徐海东、魏丽红本要求解释单位:中国移动通信有限公司网络部1适用范围适用范围本要求对业务支撑、网管、企业信息化等支撑系统的安全域划分、边界整合以及采用的保护方案进行了规范，适用于中国移动有限公司、各省公司后续支撑系统的安全建设2引用标准与依据引用标准与依据（1）关于近期网络与信息安全工作安排的通知,中国移动通信集团公司网络部，移网通【2004】号2）关于加强信息安全保障工作的意见，国家信息化领导小组,中办发20027 号3）公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施意见(公通字【200】66 号文）4）国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告5）美国国家标准和技术研究所（,atol Istitut of Sndas ad Thnoloy）制订的 SP 800 系列文档：T 系统安全自评估指南、T 系统风险管理指南、联邦 IT 系统安全认证和认可指南、信息系统安全规划指南等。

htt:/6）美国国家安全局，信息保障技术框架 IATF(InfoatonAssurne echnicl ramework）,3.1 版7）公安部 GA/T -91-2002 系列标准,计算机信息系统安全等级保护操作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求（8）中国移动通信有限公司提供的相关资料9）全国1 个省的调查资料，以及北京、广东、四川、陕西 4 省现场调研的相关资料10）国家质量技术监督局发布的计算机信息系统安全保护等级划分准则（GB 17859 号文)3相关术语与缩略语相关术语与缩略语AAAAccunt、Ahenticatin、Auhorizaian Audt账号管理、认证、授权与审计ACLAcs otrolLis访问控制列表BOSSBusie &Operatins uppor System业务运营支撑系统tChiMie et中国移动互联网DDDgia Data Networ数字数据网DMZeilitarized Zone非军事化区Dain Nameerer域名服务器DSMPDaarceManemtltfm数据业务管理平台OMSElectni ertn d ainainene Ste电子运行维护系统PRSGeneral Packetdio erice通用分组无线业务IATFIoation ssura TecnicaFramewok信息保障技术框架DSIntrsio etctioSyte入侵检测系统PScInnetPoto eurit互联网协议安全IPIntenet Protocol互联网协议Information Tnlogy信息技术MDCNMoil at commnicato ntwk移动数据通信网MISanagement Inormaton stem管理信息系统MPSlt-ProtoclLabl wicing多协议标记交换NISNatoalnstttof Stanars adTecholgy国家标准和技术研究所OCperaion maagme entr操作维护中心RADIRemote uthentication ial-IUser Service接入用户远程认证服务SPServic Pove业务提供者PNirtuaate Newo虚拟专用网VLANirual Local Aea etwr虚拟局域网4综述综述为了建立中国移动 I系统的网络及信息安全机制，首先需要定义相关系统安全域的边界。

所谓安全域(Secuit one）,是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合一个安全域内可进一步被划分为安全子域，安全子域也可继续依次细化为次级安全域、三级安全域等安全域的划分,就是将系统从安全角度划分成不同的区域,以便实行分门别类的处理从我国 IT 系统的发展轨迹来看，大多数企业都是在连接到 Intrnt 之后，才开始正式考虑网络安全域的如今的商业模式要求企业与 Intrnt 之间、企业与业务合作伙伴、信息提供商及客户组成的网络之间实现连接,而企业内部的企业信息化系统、业务支撑系统、网管系统等系统之间也存在着复杂的连接关系由于网络中不同边界的应用方向不同,所以对安全有着不同应用需求,例如与业务合作伙伴的相连和一般外联网的连接对安全性的要求就不相同明确安全域划分的原则，结合等级保护的要求,确定各安全域的保护等级，并部署相应的安全手段,安全域的边界隔离与防护是关注的重点中国移动支撑网目前确实存在边界不清、连接混乱的实际问题，对边界进行整合，从企业的视角有效地整合系统对外的接口数量，提高企业网络和信息的安全性，也是做好安全工作的基础对于信息保密性,请参见其他相关技术规范。

本技术要求的研究主要有两个目的：制定支撑系统安全域划分的原则;支撑系统各种边界整合和安全域保护的原则通过以上的分析和研究，确定相关的原则,以便将来在中国移动的支撑系统,尤其是业务支撑系统、网管系统、企业信息化系统在建设或改造时,与tre以及其它系统的互联方式有法可依4.1背景背景2003 年年底，国家信息化领导小组下发了“关于加强信息安全保障工作的意见” (中办发7 号) ,文件把网络与信息安全工作提高为国家安全的重要组成部分，明确了加强信息安全保障工作的总体要求,即:“坚持积极防御、综合防范的方针，全面提高信息安全防护能力,重点保障重点保障基础信息网络和重要信息系统安全基础信息网络和重要信息系统安全，创建安全健康的网络环境,保障和促进信息化发展，保护公众利益，维护国家安全” 文件要求正确处理安全与发展的关系，统筹规划统筹规划, ,突出重点突出重点, ,强化基础性工作强化基础性工作, ,通过实通过实行信息安全等级保护实现这一目的行信息安全等级保护实现这一目的因此，国家将建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南在这样的背景下，作为实现信息系统安全等级保护的前提工作，提出中国移动具体重要信息系统的安全域划分原则就显得十分重要。

明确安全域划分的基本原则,界定业务支撑系统的重要性和安全风险等级,然后根据不同的保护等级，从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施(如防火墙、入侵检测、防病毒、账号管理以及相应的控制端等）、安全集中管理系统或者它们的一部分构成的多层立体防护体系，提高对网络攻击、病毒入侵、网络失窃密的防范能力，防止有害信息传播，保证业务网络和支撑系统的安全运行4.2 本要求的范围和主要内容本要求的范围和主要内容本要求主要包含中国移动网管系统、业务支撑系统、企业信息化系统的安全域划分与边界整合的技术要求,其中网管系统包括集团公司、省公司网管系统和 OMC,业务支撑系统包括集团公司、省公司业务支撑系统及其地市部分,企业信息化系统包括集团公司、省公司企业信息化系统和地市终端主要内容包括:（1）各支撑系统的现状：包括各支撑系统的现状,以及互联网的连接需求2）安全域划分的必要性和原则：本章节包含了安全域划分的必要性,以及各系统的威胁等级、保护等级,制定了安全域划分的原则,结合中国移动的实际情况，对网络结构进行调整，并就各个支撑系统的安全区域的划分进行细化3）边界整合的原则：首先整个支撑系统对外的边界进行整合(包括与MNet、合作伙伴和第三方的边界整合原则),然后针对各支撑系统的各种边界进行整合。

4）安全域保护的原则：包括安全域边界部分的防护和安全域内部的防护两方面5）分阶段安全防护的建议:分别从网络调整方式、安全域划分的细化、以及保护方式的演进等方面,体现逐步实现的过程5安全域划分的必要性和原则安全域划分的必要性和原则我国在商用 IT 系统信息安全方面的研究和积累不足，目前还缺乏规范化的、成熟的标准可遵循,本要求借鉴了 IAT区域划分理论,以及业界对安全域划分的实践经验,并结合中国移动的实际情况,对支撑系统和互联系统带来的威胁等级、以及各支撑系统的保护等级进行了分析研究，然后根据这些分析研究确定了安全域划分的原则安全域是一个逻辑范围或区域,同一安全域中的信息资产具有相同或相近的安全属性，如安全级别、安全威胁、安全弱点、风险等,同一安全域内的系统相互信任,如在业务层面存在密切的逻辑关系通过在网络和系统层面安全域的划分，将业务系统、安全技术有机结合，形成完整的防护体系,这样既可以对同一安全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播5.1安全域划分的必要性安全域划分的必要性网络的建设是由业务系统的驱动建设而成的,初始的网络建设大多没有统一规划,有些系统是独立的网络，有些系统又是共用一个网络。

而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各。