密 级: 文档编号: 项目代号:
中国移动企业信息化安全域规范
Version 1.0
中国移动通信有限公司 二零零四年十二月
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
拟 制: 审 核: 批 准: 会 签: 标准化:
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
版本控制
版本号
日期 参与人员 更新说明 分发控制
编号 1 2 3 4 5
读者 文档权限 创建、修改、读取 批准 标准化审核 读取 读取 与文档的主要关系 负责编制、修改、审核 负责本文档的批准程序 作为本项目的标准化负责人,负责对本文档进行标准化审核 最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
目 录
第1章 综述 .............................................................. 7
1.1 背景 ................................................................................. 7 1.2 编制依据 ............................................................................. 8 1.3 本文件的范围及主要内容 ............................................................... 8
第2章 企业信息化系统的现状 .............................................. 9
2.1 中国移动企业信息化的应用系统现状 ..................................................... 9 2.2 中国移动企业信息化系统的网络架构 .................................................... 10 2.3 中国移动企业信息化系统的应用架构 .................................................... 11 2.4 集团总部企业信息化系统的网络拓扑 .................................................... 12
2.4.1 集团总部企业信息化系统与Internet互联的业务需求 ................................ 13
2.5 省企业信息化系统的网络拓扑 .......................................................... 14
2.5.1 省企业信息化系统与Internet互联的业务需求 ...................................... 14
第3章 企业信息化系统安全域划分 ......................................... 15
3.1 企业信息化系统安全域划分原则 ........................................................ 15 3.2 企业信息化系统的安全域划分 .......................................................... 15 3.2.1 公共区简述 ..................................................................... 16 3.2.2 半安全区简述 ................................................................... 16 3.2.3 安全区简述 ..................................................................... 17 3.2.4 核心安全区简述 ................................................................. 17
3.3 安全域的安全措施 .................................................................... 17 3.4 二级安全域的划分 .................................................................... 18 3.5 公共区 .............................................................................. 22
3.5.1 公共区的业务数据流需求 ......................................................... 23 3.5.2 公共区的安全策略 ............................................................... 23
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
3.5.3 公共区的安全设备需求 ........................................................... 23
3.6 半安全区 ............................................................................ 24 3.6.1 DMZ区的业务数据流需求 .......................................................... 25 3.6.2 DMZ区的安全策略 ................................................................ 25 3.6.3 DMZ区的安全设备需求 ............................................................ 26 3.6.4 集团-省公司互联区的业务数据流 ................................................. 27 3.6.5 集团-省公司互联区的安全技术需求 ............................................... 27 3.6.6 集团-省公司互联区的设备安全需求 ............................................... 28
3.7 安全区 .............................................................................. 28
3.7.1 日常办公区的业务数据流 ......................................................... 28 3.7.2 内部系统互联区的业务数据流 ..................................................... 29 3.7.3 省-地市公司互联区的业务数据流 ................................................. 29 3.7.4 安全区的安全策略 ............................................................... 30 3.7.5 安全区的安全设备需求 ........................................................... 30
3.8 核心安全区 .......................................................................... 31
3.8.1 服务器区的业务数据流 ........................................................... 32 3.8.2 服务器区的安全策略 ............................................................. 32 3.8.3 服务器区的安全设备要求 ......................................................... 32 3.8.4 管理区的业务数据流 ............................................................. 33 3.8.5 管理区的安全策略 ............................................................... 34 3.8.6 管理区的安全设备需求 ........................................................... 34
第4章 企业信息化系统的保护分级 ......................................... 36
4.1 企业信息化系统的威胁等级 ............................................................ 36 4.2 企业信息化系统的保护等级 ............................................................ 37 第5章 企业信息化系统安全域的网络保护 ................................... 39
5.1 通用网络保护 ........................................................................ 39 5.2 交换机上的控制 ...................................................................... 39 最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
5.3 路由器上的控制 ...................................................................... 40 5.4 防火墙上的控制 ...................................................................... 40 5.4.1 防火墙的管理要求 ............................................................... 40 5.4.2 防火墙的配置要求 ............................................................... 41
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
综述
本规范文件是中国移动企业信息化系统安全域划分原则与技术要求,纵向包括企业信息化的全集团和各个业务单位(指集团总部和省公司)两个层次,横向覆盖整个企业信息化内部系统,包括其所属的网络设备、安全设备、服务器、终端等,同时也定义了相应的应用系统在安全域上的映射。
安全域的划分,是按照安全保护需求和相互信任的区域关系,将企业信息化系统划分成不同的区域,通过进一步定义出各个安全域的管理需求、技术需求和设备需求,部署相应的安全手段,并实施相应的安全处理。
安全域划分明确以后,根据等级保护的要求,确定各安全域的威胁等级和保护等级,在此基础上,就进行安全域的边界隔离与数据流的安全策略控制。
因此,本规范文件具有以下的目的:
➢ 制定信息化系统的全网安全域划分总体原则; ➢ 对信息化系统进行安全域划分;
➢ 确定信息化系统各个安全域的管理需求、技术需求和设备需求;
➢ 确定信息化系统各个安全域的威胁等级和保护等级;
➢ 针对以防火墙或交换机为核心的信息化系统网络结构,提供VLAN划分、ACL
和防火墙策略制定的参照标准
集团公司和各省企业信息化系统今后进一步建设或改造时,需参照本规范进行实施。特别是增加新应用系统、新的功能区域或新的连接接口时,需要分析和定义加入的应用、功能区域或接口,确保其设备连接的逻辑区域和设备放置的物理区域符合本规范。如有必要,同时也更新本规范。
背景
随着中国移动的业务飞速发展,整个业务网络和支撑系统越来越复杂,信息安全的管理难度越来越大。另一方面,国家信息化领导小组也对各行各业提出了信息系统安全等级保护的要求,而安全域的划分是信息安全管理和安全等级保护的基础。因此,中国移动急需制定出具体重要信息系统的安全域划分原则。网络部在其制定的关于中国移动支撑系统
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
安全域划分与边界整合技术要求里,确定了三大支撑系统(BOSS,网管、信息化系统)安全域划分的基本原则,界定了业务支撑系统的重要性和安全风险等级。本规范是在上述要求的基础上,对企业信息化系统内部的安全域、安全风险等级划分,以及对安全需求进行细化,指导集团和省公司企业信息化系统的建设维护工作。
编制依据
(1)中国移动通信集团公司信息化办公室关于本项目研究的委托; (2)《安全域划分的研究》:中讯邮电咨询设计院; (3)中国移动通信集团公司提供的相关资料。
本文件的范围及主要内容
本文件主要包含集团总部、省公司内部企业信息化系统。 本文件的主要内容有: ➢ 企业信息化系统的现状 ➢ 企业信息化系统的安全域划分 ➢ 安全域的管理、技术、设备需求定义 ➢ 安全域的威胁等级和保护等级 ➢ 企业信息化系统安全域的网络保护
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
企业信息化系统的现状
中国移动企业信息化的应用系统现状
目前中国移动企业信息化的应用系统主要有: ➢ 统一信息平台应用:
统一信息平台包括了OA系统,主要提供企业各种公文处理、电子邮件和信息发布等功能;同时还包括统计查询、电子报销、资源预定、办公用品申领、电子期刊、档案管理、知识管理、考核管理、研发项目管理、搜索引擎、远程办公应用等。 ➢ MIS应用:
MIS包括财务系统、人力资源系统、综合统计系统等应用系统;还包括电子采购系统、全面预算管理系统等。
其中已经建成使用的企业信息化应用包括:OA系统、财务、人力资源、综合统计系统和统一信息平台部分其它应用,正在建设或者即将建设的应用系统包括知识管理、电子采购、综合信息网、终端标准化、网上教育、全面预算管理等。
对外通过合作伙伴门户与外部的合作伙伴连接,对内与BOSS系统和网管系统存在接口。整体结构如下图2-1所示。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
合作伙伴门户决策支持 数据仓库 MIS等系统 BOSS系统 网管系统 专业和功能门户办公自动化员工门户 中国移动企业信息化系统的网络架构
企业信息化系统网络主要是分为三级结构:集团公司-省公司-地市公司,同时还延伸至县级公司。在本规范中,按照集中化的原则,各省应用要实现分省集中,因此安全域划分仅限于集团和省公司两个级别,地市和县级公司不再作进一步划分。
中国移动企业信息化系统目前的网络连接为:集团企业信息化系统和省企业信息化系统主用线路为E1专线,备用线路为CMNet之上的虚拟专用网(VPN),如图2-2。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
CMNet GPRS WLAN 拨号接入 图2-1 集团公司企业信息化系统整体结构
……………………………………………………………最新资料推荐…………………………………………………
图2.2 企业信息化系统广域网连接图
中国移动企业信息化系统的应用架构
中国移动企业信息化系统的应用架构主要分为全集团和业务单位(指集团总部和每个省公司)两级。如图2.3:
图2.3 企业信息化系统应用架构示意图
对应于2.1节的中国移动各种企业信息化应用系统,可以根据其应用的逻辑架构分为
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
以下三类:
1)紧密耦合结构的应用。例如终端标准化,有一个全集团的终端标准化系统,还有各个业务单位终端标准化子系统。各个业务单位的终端标准化服务器位于各个业务单位的服务器区域,而全集团的终端标准化服务器位于集团总部的集团-省公司互联区;
2)松散耦合结构的应用。例如OA系统,各个业务单位都有自身的OA系统,其服务器在各个业务单位的服务器区域,而OA互连主要通过公文网关,公文网关位于集团总部和省公司各自的集团-省公司互联区。类似架构的应用包括绝大多数统一信息平台应用(如统计查询、电子报销、资源预定、办公用品申领、电子期刊、档案管理、知识管理、考核管理、研发项目管理、搜索引擎、远程办公应用)、财务系统、人力资源系统、综合统计系统和全面预算管理系统等应用;
3)全部集中在集团总部的应用。例如电子采购系统,各个业务单位没有单独的电子采购系统,只有集中的系统。
集团总部企业信息化系统的网络拓扑
集团总部企业信息化系统的组网拓扑结构如图2.4:
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
图2.4 集团企业信息化系统组网结构示意图
集团总部企业信息化系统与Internet互联的业务需求
1)集团总部的内部用户需要访问Internet,使用邮件收发、网页浏览、软件下载等服务。
2)采用CMNet之上的虚拟专用网(VPN),作为集团总部与省公司信息化系统网络E1专线的备用,实现企业信息化应用系统的冗余连接。
3)中国移动员工通过Internet远程使用集团总部企业信息化系统:包括使用VPN客户端软件进行VPN接入,和使用PSTN进行800拨号接入。有时系统集成商、应用开发商或设备供应商也会通过本方式接入,对其提供的应用、设备进行远程维护服务。
4)电子采购系统,提供外部访问页面,供应商和内部用户均可通过internet进行信息浏览,并提交数据,如信息更新、投标等。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
省企业信息化系统的网络拓扑
各个省公司企业信息化系统的组网结构差别很大,为简单清晰起见,用如下结构示意图表示:
图2.5 省公司企业信息化系统组网结构示意图
省企业信息化系统与Internet互联的业务需求
1)省公司的内部用户需要访问Internet,使用邮件收发、网页浏览、软件下载等服务。
2)采用CMNet之上的虚拟专用网(VPN),作为集团与省公司信息化系统网络E1专线的备用,实现企业信息化应用系统的冗余连接。
3)中国移动员工通过Internet远程使用省公司企业信息化系统:包括使用VPN客户端软件进行VPN接入,和使用PSTN进行800拨号接入。有时系统集成商、应用开发商或设备供应商也会通过本方式接入,对其提供的应用、设备进行远程维护服务。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
企业信息化系统安全域划分
安全域是一个逻辑范围或区域,同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等,同一安全域内的系统相互信任,如在业务层面存在密切的逻辑关系。通过在网络和系统层面安全域的划分,将业务系统、安全技术有机结合,形成完整的防护体系,这样既可以对同一安全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。
企业信息化系统安全域划分原则
本规范的重点在企业信息化系统内部,从集团总部和省公司两个角度划分安全域。虽然各省的具体情况差别很大,但为了便于企业信息化系统全网的统一和规范,本规范采用一种统一的有高度的原则来进行划分。
由于前期所有的相关工作,集团总部和省公司信息化系统的安全分区都是基于业务功能区域, 采用交换机核心网络系统架构的通过划分VLAN:MIS VLAN、OA VLAN、安全VLAN、管理VLAN等,采用防火墙核心网络系统架构,将网络划分为几个功能区:管理区、内部区、用户区、省公司互联区等。这样做的优点在于各个安全区域很方便定义,划分也不容易混淆,但缺点是随着信息化系统越来越复杂,功能区越来越多,安全区域数量增加非常快,而安全域之间的关系将呈几何级数增长,最后很难进行管理和控制。因此,从扩展性角度考虑,本规范使用的两级安全域的概念,先定义几个一级安全域,再将各个业务功能区域对应定义为二级安全域,即安全子域。各个一级安全域本身的威胁级别、保护级别和安全需求就相对固定,同时一级安全域之间的相互关系,如数据流向等,也不会太过复杂。如果一些特殊的安全子域有特殊的要求,可以进一步深入定义。另外安全子域也可以和交换机的VLAN、防火墙的功能区做一定程度的对应,可以尽量减少对现有环境的变更,而且尽量利用现有的相关安全区域研究成果。
企业信息化系统的安全域划分
中国移动的企业信息化系统根据信任程度、受威胁的级别、需要保护的级别和安全需
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
求划分为四个不同的安全域,如图3.1:
➢ 公共区 ➢ 半安全区 ➢ 安全区 ➢ 核心安全区
图3.1 企业信息化系统安全域划分
下面对各个安全域分别进行简要描述:
公共区简述
公共区是一个中国移动安全政策和控制不能被直接应用或不能被应用的区域。 所有的不在中国移动直接控制范围的实体和区域,包括其他合作伙伴、第三方都被划分为公共区。从互联网对中国移动信息化系统的访问也归类为从公共区域而来。此区域被分类为非安全的,需要对从此区域来的数据流进行严格的控制。
公共区包含不同种类的外部访问设备(通过互联网、拨号、专线和VPN 等方式连到中国移动信息化系统的环境) 及外部用户资源(包括用户的网页浏览器、WAP浏览器、客户端程序及用户终端程序等),这些都在中国移动控制环境之外。另外公共区也包含中国移动信息化内部系统与外部系统的边界设备,如接入路由器、外部入侵检测。
半安全区简述
半安全区位于在公共区及安全区的中间地带,用于分割两者之间的直接联系并隐藏安
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
全区(以及核心安全区)内的资源不让外部了解,因此将不会有直接的网络数据流通于这两个分隔的区域之间(公共与安全/核心安全区)。
根据半安全区的功能用途,该区域位于中国移动信息化系统范围以内,包含了所有能被非信任来源直接访问并提供服务的系统和设备,如代理服务器、转发服务器、应用网关、接口机,还有一些重要程度不高且直接对外界提供服务的服务器。
半安全区被视为是易受攻击的半信任区,因此机密资料应尽量不放置于此,若有则应采取适当的保护措施。
安全区简述
安全区是移动信息化系统内部用户所在的区域,被认为是信任区域,接入核心交换机时原则上不需要通过防火墙过滤,但仍需要VLAN、路由或访问列表进行过滤,以保护该区域数据安全,同时也防止区域内部安全故障扩散到其它区。在这个区域里也可存在一些重要程度不高且经常使用的服务器,提供服务给那些在相同区域里的计算机。区域内的对于设备访问和修改的授权需要基于身份验证,如果需要的话,还可基于其他更多的明确的授权规则。
核心安全区简述
核心安全区安全级别最高,包含了重要的应用服务器,提供关键的企业信息化应用;也包含核心的数据库服务器,保存有机密数据;还包含管理控制台和服务器,具有管理所有系统的权限和功能。因此核心安全区受到最全面的安全技术手段的保护,同时对其内部系统和设备的访问及操作都需要通过严格的安全管理流程。
安全域的安全措施
根据各个安全域的功能定义、所提供的服务,以及所包括的设备和系统,可以得出安全域受到的威胁等级和需要的保护等级,这将在第四章“企业信息化系统的保护分级”中详细讨论。同时也可以得出各个安全域需要采取的基本安全措施和安全设备(详细分析参见3.4-3.7节):
1) 公共区:外部设备和资源由于不在中国移动可控制范围内,无法直接采取安全措施;而
边界设备需要进行外部访问的接入和过滤,包括接入路由器和外部入侵检测。 2) 半安全区:与移动企业信息化系统外部的非安全区域直接相联,需要外部防火墙和防病
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
毒网关;提供的服务可能包括外部域名解析,可能需要外部域名服务器;公共区与安全区/核心安全区的数据交互不能直接进行,在半安全区需要提供代理或应用网关服务。 3) 安全区:包括了移动信息化系统内部用户,还有一些重要程度不高且经常使用的服务器,
因此需要针对日常办公的用户终端提供流量监控、防病毒服务器、文件服务和加密服务。 4) 核心安全区:包括中国移动信息化系统重要的应用服务器、数据库服务器、管理控制台
和服务器,需要作严格的安全控制,因此本区域会采取身份认证、访问控制、入侵检测、漏洞扫描、日志审计、系统管理等安全措施。
图3.2 企业信息化系统安全域的安全措施
二级安全域的划分
2.3节中描述的企业信息化系统的各类应用,都有一个从用户经过接入访问应用的数据流过程。为了更方便地将这些应用所涉及到的用户终端、网络设备、安全系统和服务器设备在安全域里进行映射对应,从而达到通过划分安全域保护信息化系统应用数据的目的,仅依靠一级安全域的粒度是不够的,需要进一步划分成为二级安全域。划分的依据是企业信息化系统不同的功能区域,以及各个功能区域的信任程度、受威胁的级别、需要保护的级别和安全需求。本章以后几节会详细讨论安全域的业务数据流需求、安全策略和安全设备需求,在这里先从数据流的角度将应用作一个分类,这样在应用架构描述时,比较容易对应用系统的网络、设备和系统与安全域进行映射对应:
1) 全国互访应用:如e-learning系统,从全集团的角度向所有中国移动员工提供服务。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
其用户是集团总部和各省公司信息化系统内部员工,从内部安全区或外部半安全区发起访问,因此其服务器放置在集团总部的内部半安全区,但该子区域的信任程度和保护级别要比DMZ区高,具体的安全策略和安全设备需求也有所不同,可以定义为集团-省公司互联区二级安全域。
2) 局部应用:如OA系统,主要是集团总部和各省公司信息化系统为各自的内部员工提供
服务,其用户访问来自各自安全区内的日常办公区,服务器放置在各自核心安全区内的服务器区。如果有互访要求,可以通过各自集团-省公司互联区内的公文网关进行数据传输。
3) 对外应用:如电子采购系统,用户是中国移动的供应商,信息化系统内部只有发布、
更新和维护工作。这类应用的用户终端位于公共区,因此其服务器只能放置在半安全区的DMZ区。如果该服务器的保护级别要求很高,也可以放置在核心安全区,通过DMZ区的应用代理服务器作应用数据转发。
集团总部企业信息化系统的安全域划分为8个安全子域(如图3.3):非移动用户接入区、员工接入区;DMZ区、集团-省公司互联区;日常办公区、内部系统互连区;服务器区、管理区。相对与集团总部信息化系统,省公司信息化系统属于外部半安全区域,集团总部BOSS和网管系统属于外部安全区域。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
图3.3 集团总部信息化系统安全域划分
各省企业信息化系统由各省自行建设,但与集团总部的安全域划分基本一致,只是在安全区里多了一个安全子域:省-地市公司互连区。相对与省公司信息化系统,集团总部信息化系统属于外部半安全区域,省公司BOSS和网管、地市公司属于外部安全区域。如
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
图3.4。
图3.4 省公司信息化系统安全域划分
描述如下:
1) 公共区:提供互联网访问及各种拨号、VPN接入等等。可依需求分为两个子区域:
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
非移动用户接入区:是企业信息化内部系统与外部非信任系统的连接,主要提供
中国移动供应商或第三方对企业信息化系统的访问,同时也提供企业信息化内部对互联网资源的访问。
移动用户接入区:是企业信息化内部系统与外部可信任系统通过非信任传输路径
的连接,提供中国移动员工从中国移动外部接入企业信息化系统的连接,以及集团总部与省公司通过CMNet 上VPN的备用连接。
2) 半安全区:提供跨区域之间的服务,可依需求分为两个子区域:
DMZ区:包括企业代理服务器、短信息转发服务器、邮件代理服务器和邮件防病
毒服务器、外部DNS服务器等。
集团-省公司互联区:提供集团总部与省公司企业信息化系统的互联,公文网关
MIS接口机等服务器放置在该区域。
3) 安全区:企业信息化系统内部区域,可依需求分为二或三个子区域:
日常办公区:包括楼层的办公终端,以及重要性不高的服务器。比如在办公终端
或低端服务器上,安装了一些经常使用的非重要设备的监控或管理软件,为方便管理和使用,这些设备也归属于日常办公区。
内部系统互连区:包括对BOSS系统、网管系统的互连。
省-地市公司互联区(省公司才具有):包括省公司与地市公司的互联。
4) 核心安全区:安全级别最高,保存最重要的数据,亦可依需求分为两个子区域:
服务器区域:放置数据库服务器、MIS应用服务器、MAIL服务器、OA服务器、IE
服务器和FAX服务器等核心应用主机设备。
管理区域:包括安全管理服务器、网络管理服务器、认证服务器、入侵检测控制
台、日志服务器等与安全管理密切相关的设备。
公共区
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
可分为两个子区域:非移动用户接入区和移动用户接入区。
公共区的业务数据流需求
非移动用户接入区:
➢ 外网->非移动用户接入区:供应商通过本区访问DMZ区的电子采购系统。
➢ 非移动用户接入区-> CMNet: 移动的员工在移动办公地点内部,通过CMNet对互联网
进行访问;
移动用户接入区:
➢ 移动用户接入区<->CMNet:通过CMNet上的VPN,作为集团与省公司E1专线的备用连
接,实现两级架构间的信息化系统连接。
➢ 外网 ->移动用户接入区: 移动的员工在移动办公地点以外,通过拨号(PSTN)、
GPRS、WLAN等方式连接,再使用VPN连接到企业信息化系统的VPN网关,访问信息化系统内部。
公共区的安全策略
该区域具有以下安全策略:
➢ 只有被中国移动和中国移动信息化办公室批准可以公开的信息可以存放在该区域的
I/T设备中。
➢ 从该区域只能访问到半安全区域中的DMZ区域。
➢ 公共区域和半安全区域需采用接入路由器作为第一层过滤,防火墙作为第二层过滤,
阻止或拒绝来自互联网的恶意访问进入内部网络。
公共区的安全设备需求
本区域包含下列重要安全设备︰
(1) 接入 路由器
此设备直接与互联网连接,负责第一层安全过滤,并引导到外部防火墙(第一层防火墙)。由于此设备暴露在互联网上,因此必须作安全加固。而且接入路由器不能发送日志记录到日志服务器,因此需要在本机上定义较大的日志空间,以便内部网络管理员作分析
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
和管理。
(2) 外部 网络入侵检测
在公共区的网络入侵检测可以被使用来检测所有来自外部网络、企图经过防火墙系统通往中国移动信息化系统半安全区、安全区的网络数据包,收集发生所有的交易及活动数据,以检测所有攻击中国移动信息化系统网络的活动。入侵检测系统置于外部防火墙之外,检测所有中国移动入内到共同网关的所有网络数据包,如此才可以得到所有未经修改的通到中国移动防火墙的信息,检测并分析被防火墙隔阻的攻击。
半安全区
提供跨区域之间的服务,可依需求分为两个子区域:DMZ区和集团-省公司互联区。
DMZ区:
DMZ区包括企业代理服务器、短信息转发服务器、邮件代理服务器和邮件防病毒服务器、外部DNS服务器等。DMZ区的服务器上仅提供与公共区相关的服务及保存供公共区使用的信息。
DMZ处在中国移动企业信息化系统的控制范围内,但是它因为提供给互联网服务而存在受到外来侵害的潜在可能,是不完全受信任的区域。
DMZ区域提供一些服务,让处于公司外部的中国移动员工、供应商能直接访问DMZ区的服务器,并能和服务器区内部服务器间接通信。例如以下这些服务:
• 电子采购系统
• 通过SMTP网关的电子邮件 • 邮件代理服务器 • VPN 网关 • 短消息转发
如果DMZ区需要将某些外部专用应用系统(如电子采购系统)与其它通用DMZ服务器区分开来,可以对DMZ区进一步划分二级安全子域,使其成为DMZ1、DMZ2…区,可以在多端口的外部防火墙上设置多个DMZ端口,并作相应连接和策略设置,从而实现多个DMZ区
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
的划分。
DMZ区的业务数据流需求
➢ 非移动用户接入区->DMZ区:供应商通过非移动用户接入区访问DMZ区的电子采购系
统。
➢ VPN接入区->DMZ区:移动的员工在中国移动外部,通过VPN接入对DMZ区的各种代
理服务器进行访问。
➢ 日常办公区->DMZ区:内部专职员工在电子采购系统上发布招投标信息。
➢ 日常办公区->DMZ区->公共区:内部员工通过DMZ区域的代理服务器,再通过公共区
访问互联网。
➢ 服务器区<->DMZ区<->公共区:内部员工的邮件等服务通过DMZ区的代理转发,再通
过公共区发送到互联网;反之亦然。
➢ DMZ区<->管理区:DMZ区的设备直接发送日志信息到管理区的日志服务器;系统管理
员、网络管理员、安全管理员从管理区直接连接到DMZ区设备上进行维护管理。
DMZ区的安全策略
该区域具有以下安全策略:
➢ DMZ区域允许来自公共区域的访问。
➢ DMZ区域设备通常需采用中国移动地址规范中为该区域设定的内部IP地址范围,在外
部防火墙上采用NAT或PAT作为外部可访问地址和内部地址间的转换。如若使用外部IP地址,需特殊申请并作严格的安全审查,外部防火墙上实施相应的策略控制。 ➢ 需要在DMZ区域安装主机IDS和网络IDS来检测各种入侵行为。
➢ DMZ区域和公共区之间必须设置外部防火墙,防火墙策略必须严格并定期检查。 ➢ 和第三方公司连接的DMZ区域可能存放中国移动的保密信息。如果需要访问此类DMZ
区域中的系统,需要进行认证。认证过程需能够保护访问系统或者用户的认证信息,避免认证信息泄漏和认证过程的重放。
➢ DMZ区域和公共区域之间保密信息的交换需要加密。
➢ DMZ区域中的设备需处在中国移动信息化办公室的物理控制之下。设备需处在中国移
动公司信息化办公室的场所内。 ➢ DMZ 区域的主机应安装防病毒系统。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
➢ DMZ区域的主机需要定期进行安全评估;定期进行漏洞扫描。
DMZ区的安全设备需求
本区域的重要安全设备包含了︰
(1) 主机入侵检测系统
在DMZ区的服务器安装主机入侵检测系统,可用来检测所有对该区域服务器的联机及访问动作,以检测到所有针对该区域服务器的入侵攻击行动。
(2) 外部防火墙
外部防火墙是互联网与企业信息化网络系统之间的控制网关,此防火墙负责管理网络流向,确保只有获得授权的网络连接可以连到到DMZ区,并负责隐藏移动信息化系统的网络内部情况,避免外界人员窥视。
(3) 漏洞扫描系统
定期对DMZ区的服务器作漏洞扫描,尽早主动发现问题并加以解决。
(4) 邮件代理服务器
邮件代理服务器转发所有进入及外出的邮件,接收所有进入内部网络的邮件并转送到内部邮件服务器上,这样的设计可以让邮件交换记录指到邮件代理服务器而非实际邮件服务器,可以使外界无法看到实际内部邮件服务器而进行攻击。
(5) 网关防毒系统
网关防毒系统节点用来扫描进入中国移动网络的特定协议数据包(如SMTP、HTTP、HTTPS、FTP),以检测病毒并阻挡。对于经过加密的数据包,则必须由内部接收信息的服务器负责扫描。
(6) WEB代理服务器
WEB代理服务器控制所有来自互联网的WEB浏览动作,所有到Web服务器浏览的动作应经过WEB代理服务器,并进行控制。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
(7) 外部域名服务器
负责中国移动内部员工上互联网时的对外域名解析。
(8) 加密服务
加密服务提供给互联网使用者,在传送需要保护的机密信息时使用,避免遭到窃听而泄露。
集团-省公司互联区: 集团-省公司互联区的业务数据流
➢ 对端集团/省公司信息化系统->集团-省公司互联区:对端的信息化系统访问
E-learning、公文网关或MIS接口机等应用。
➢ 日常办公区->集团-省公司互联区->对端集团/省公司信息化系统:内部员工通过集
团-省公司互联区访问对端的信息化系统E-learning或公文网关等应用。
➢ 服务器区<->集团-省公司互联区<->对端集团/省公司信息化系统:双方的OA、MIS、
邮件等服务器互相通信,传输相关应用的数据。
➢ 集团-省公司互联区<->管理区:集团-省公司互联区的设备直接发送日志信息到管
理区的日志服务器;系统管理员、网络管理员、安全管理员从管理区直接连接到集团-省公司互联区设备上进行维护管理。
集团-省公司互联区的安全技术需求
➢ 集团-省公司互联区域允许来自VPN接入区域的访问。
➢ 集团-省公司互联区域设备需采用中国移动地址规范中为该区域设定的内部IP地址
范围,而且只接收中国移动内部IP地址作为源地址的访问。 ➢ 集团-省公司互联区域和核心区域之间必须设置防火墙。
➢ 省公司和集团公司之间交换数据的公文网关、MIS接口机等应放在集团-省公司互联
区域,并受到防火墙的保护。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
集团-省公司互联区的设备安全需求
本区域的必须包含下列重要安全设备︰ (1) 路由器
此设备负责与集团或省公司连接,进行第一层安全过滤,并引导到本区域防火墙。
(2) 防火墙
防火墙是集团与省公司信息化网络系统之间的控制网关,此防火墙负责管理网络流向,确保只有获得授权的网络连接可以连到到集团-省公司互联区。
安全区
集团总部的安全区包括日常办公区和内部系统互联区两个安全子域,省公司的安全区包括日常办公区、内部系统互联区和省-地市公司互联区三个安全子域。
日常办公区:包括楼层的办公终端,以及重要性不高的服务器。比如在办公终端
或低端服务器上,安装了一些经常使用的非重要设备的监控或管理软件,为方便管理和使用,这些设备也归属于日常办公区。
日常办公区的业务数据流
➢ 日常办公区->集团-省公司互联区->对端集团/省公司信息化系统:内部员工通过集
团-省公司互联区访问对端的信息化系统E-learning或公文网关等应用。 ➢ 日常办公区->DMZ区:内部专职员工在电子采购系统上发布招投标信息。
➢ 日常办公区<->服务器区:内部员工收发的内部邮件、OA办公、防病毒软件特征库更
新等都需要访问服务器区的相应服务器,这是所有数据流中流量最大的。
➢ 日常办公区<->服务器区<->DMZ区<->公共区:内部员工的外部邮件等互联网服务通过
DMZ区的代理转发,再通过公共区发送到互联网;反之亦然。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
➢ 日常办公区<-> DMZ区<->公共区:内部员工的HTTP访问的通过DMZ区的HTTP代理转
发,再通过公共区发送到互联网;反之亦然。
➢ 日常办公区->内部系统互联区->网管系统:访问话务网管、局数据管理系统和EOMS
系统等网管应用。
➢ 日常办公区<->管理区:日常办公区的设备直接发送日志信息到管理区的日志服务器;
系统管理员、网络管理员、安全管理员从管理区直接连接到日常办公区设备上进行维护管理。
内部系统互连区:包括对业务支撑系统、网管系统的互连。
内部系统互联区的业务数据流
➢ 服务器区->内部系统互联区->网管系统:访问话务网管、局数据管理系统和EOMS系
统等网管应用。
➢ 服务器区->内部系统互联区->BOSS系统:访问经营分析、大客户等BOSS应用。
省-地市公司互联区(省公司级别才具有):包括省公司与地市公司的互联。日
常办公区是企业信息化系统内部用户的局域网连接区域,而省-地市公司互联区是企业信息化系统内部用户的广域网连接区域,因此除了要经过MDCN跨接以外,没有其它区别。
省-地市公司互联区的业务数据流
➢ 省-地市公司互联区->集团-省公司互联区->对端集团/省公司信息化系统:地市公
司内部员工通过集团-省公司互联区访问对端的信息化系统E-learning或公文网关等应用。
➢ 省-地市公司互联区<->服务器区:地市公司内部员工收发的内部邮件、OA办公等都
需要访问服务器区的相应服务器。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
➢ 省-地市公司互联区<->服务器区<->DMZ区<->公共区:地市公司内部员工的外部邮件
等互联网服务通过DMZ区的代理转发,再通过公共区发送到互联网;反之亦然。 ➢ 省-地市公司互联区->内部系统互联区->网管系统:访问话务网管、局数据管理系统
和EOMS系统等网管应用。
➢ 省-地市公司互联区->内部系统互联区->BOSS系统:访问经营分析、大客户等BOSS
应用。
安全区的安全策略
该区域具有以下安全策略:
➢ 安全区设备需采用中国移动地址规范中为该区域设定的移动内部IP地址范围。 ➢ 安全区和半安全区域之间必须设置防火墙,把企业信息化系统的内部网络和外部网络
隔离。
➢ 安全区不允许从公共区域直接访问,安全区不能直接访问公共区域,原则上需要通过
半安全区域才能访问公共区域。
➢ 安全区不允许来自非中国移动的访问。例如,和第三方公司建立路由。 ➢ 从安全区可对半安全区域中的设备进行管理。
安全区的安全设备需求
本区域的必须包含下列重要安全设备︰ (1) 网络入侵检测
在半安全区与安全区之间的网络入侵检测被使用来检测所有来自半安全区,经过防火墙系统通往安全区的网络数据包,收集发生所有的交易及活动数据,以检测所有攻击企业信息化内部网络系统的活动。
(2) 企业版(网络版)防病毒系统
企业版防病毒服务器对客户端进行统一的防病毒管理和监控。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
(3) 流量监控系统
对安全区(主要是日常办公区)的网络流量进行监控,记录非正常办公需要的网络流量。
(4) 文件服务器
安全区(主要是日常办公区)的文件服务器提供内部人员存放一般等级和内部等级的数据,作为数据的备份及交换工具。
(5) 加密服务
加密服务提供给内部使用者,当传送需要保护的机密信息时使用,避免遭到窃听而外泄。
核心安全区
可依需求分为两个区域:服务器区和管理区。
服务器区: 这是敏感数据、应用程序和服务存在的地方。属于安全和受信任的区域。
核心服务器存在于这个区域,为那些在中国移动和半安全区域的计算机提供服务。这个网络段被用于存储敏感数据和应用业务逻辑。
因为在公共区域和半安全区域,员工办公区域之间有防火墙,员工办公区域和服务器区域之间又有访问控制(通过ACL), 中国移动机密和重要数据可以被保存在服务器区域里的服务器上。OA、数据库、MAIL、内部DNS、IE等服务器被放在服务器区域,可以减小数据丢失或进一步的攻击带来的风险,
如果服务器区需要将某些应用系统与其它通用服务器服务器区分开来(例如MIS系统与OA系统),可以对服务器区进一步划分二级安全子域,可以在内部防火墙的多个端口,设置安全控制策略,从而实现多个服务器区的划分。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
服务器区的业务数据流
➢ 服务器区<->DMZ区<->公共区:内部员工的邮件等服务通过DMZ区的代理转发,再通
过公共区发送到互联网;反之亦然。
➢ 服务器区<->集团-省公司互联区<->对端集团/省公司信息化系统:双方的OA、MIS、
邮件等服务器互相通信,传输相关应用的数据。
➢ 日常办公区<->服务器区:内部员工收发的内部邮件、OA办公、防病毒软件特征库更
新等都需要访问服务器区的相应服务器,这是所有数据流中流量最大的。
➢ 日常办公区<->服务器区<->DMZ区<->公共区:内部员工的外部邮件等互联网服务通过
DMZ区的代理转发,再通过公共区发送到互联网;反之亦然。
➢ 省-地市公司互联区<->服务器区:地市公司内部员工收发的内部邮件、OA办公等都
需要访问服务器区的相应服务器。
➢ 省-地市公司互联区<->服务器区<->DMZ区<->公共区:地市公司内部员工的外部邮件
等互联网服务通过DMZ区的代理转发,再通过公共区发送到互联网;反之亦然。 ➢ 服务器区<->管理区:服务器区的设备直接发送日志信息到管理区的日志服务器;系
统管理员、网络管理员、安全管理员从管理区直接连接到服务器区设备上进行维护管理。
➢ 服务器区->内部系统互联区->BOSS系统:访问经营分析、大客户等BOSS应用。
服务器区的安全策略
该区域具有以下安全策略:
➢ 服务器区域设备需采用中国移动地址规范中为该区域设定的移动内部IP地址范围。 ➢ 服务器区域采用单独的VLAN,和安全区域间通过VLAN或防火墙限制非授权流量。 ➢ 服务器区域不允许来自非中国移动的访问。例如,和第三方公司建立路由。 ➢ 服务器区域中存储中国移动经分类的信息,可存放中国移动的内部信息和机密信息。
服务器区的安全设备要求
本区域的必须包含下列重要安全设备︰
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
(1) 主机入侵检测系统
在服务器区的服务器安装主机入侵检测系统,可用来检测所有对该区域服务器的联机及访问动作,以检测到所有针对该区域服务器的入侵攻击行动。
(2) 网络入侵检测系统
网络入侵检测被使用来检测所有来自半安全区或安全区,经过防火墙系统通往服务器区的网络数据包,收集发生所有的交易及活动数据,以检测所有攻击企业信息化内部核心网络系统的活动。
(3) 漏洞扫描系统
定期对服务器区的重要服务器作漏洞扫描,尽早主动发现问题并加以解决。
(4) 内部域名服务器
内部域名服务器转换中国移动各省公司网域中之服务器名与IP 地址。此为网络服务功能,提供给中国移动的使用者使用。集团总部和各省公司的信息化系统都在该内部域名服务器上解析DNS。本服务器只需要一台,位于集团总部的服务器区,只能做移动公司内部的域名解析,对INTERNET的域名不做解析。将来用户量增加以后可以在各省公司服务器区内增设一台二级域名服务器,作为主域名服务器的镜像。
管理区域:
这是最敏感数据、管理数据、认证数据和核心安全服务存在的地方。属于安全和受信任的区域。
对于中国移动内部网络的其余部分,这里风险最小。对该区域的访问严格限制于被指定和授权的个人。应实施非常严格的安全机制来保护在高度安全域中的资产。例如安全管理服务器、网络管理服务器、认证服务器、入侵检测控制台、日志服务器等与安全管理密切相关的设备。
管理区的业务数据流
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
➢ 管理区<->DMZ区:DMZ区的设备直接发送日志信息到管理区的日志服务器;系统管理
员、网络管理员、安全管理员从管理区直接连接到DMZ区设备上进行维护管理。 ➢ 管理区<->集团-省公司互联区:集团-省公司互联区的设备直接发送日志信息到管
理区的日志服务器;系统管理员、网络管理员、安全管理员从管理区直接连接到集团-省公司互联区设备上进行维护管理。
➢ 管理区<->日常办公区:日常办公区的设备直接发送日志信息到管理区的日志服务器;
系统管理员、网络管理员、安全管理员从管理区直接连接到日常办公区设备上进行维护管理。
➢ 管理区<->服务器区:服务器区的设备直接发送日志信息到管理区的日志服务器;系
统管理员、网络管理员、安全管理员从管理区直接连接到服务器区设备上进行维护管理。
管理区的安全策略
➢ 管理区域设备需采用中国移动地址规范中为该区域设定的移动内部IP地址范围。 ➢ 管理区域采用单独的VLAN,和安全区域间通过VLAN限制非授权流量。 ➢ 管理区域不允许来自非中国移动的访问。例如,和第三方公司建立路由。 ➢ 对该区域的访问严格限制于被指定和授权的个人。 ➢ 管理区域中可存储中国移动的机密信息。
管理区的安全设备需求
(1) 防火墙管理
此防火墙管理提供防火墙控制台服务,包含策略变更和检测服务。
(2) 入侵检测管理
入侵检测设备集中于控制台来管理。
(3) 系统管理
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
此节点提供效能、可用性及容量管理。包括事件检测器,并集中在进行控制台分析、响应及报告。
(4) 日志服务器
收集企业信息化系统内网络设备和安全设备的日志告警信息。
(5) 时间同步服务
时间同步服务允许同步所管理设备的时间、日期,确保其一致性。时间同步服务并非信息安全架构一部份,但有其重要作用。
(6) 用户访问控制及授权策略管理
集中提供用户的访问控制和授权系统。本系统定义了移动企业信息化的所有用户,同时还定义了该用户在中国移动内所具有的工作角色和群组信息。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
企业信息化系统的保护分级
企业信息化系统的威胁等级
威胁是指会造成信息资产破坏、篡改、损失或泄露的任何行为,也包括了阻碍正常访问或阻止资产维护的行为。威胁可大可小,并会造成或大或小的后果。
按照产生的来源,威胁可以分为外部威胁和内部威胁:
外部威胁:来自不可控网络的外部攻击,主要指移动的CMNET、其它电信运营商的Internet互联网,以及第三方的攻击,其中互联网的威胁主要是黑客攻击、蠕虫病毒等,而第三方的威胁主要是物理攻击、越权或滥用、泄密、篡改、恶意代码或病毒等。
内部威胁:主要来自内部人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。另外,由于管理不规范导致各支撑系统之间的终端混用,也带来病毒泛滥的潜在威胁。
对于企业信息化系统,各个安全区域的威胁等级各有不同:
公共区:与互联网直接相联,威胁主要是来自外部威胁,包括黑客攻击、病毒扩散等,因此属于非信任区,其受到的威胁等级最高。
半安全区:与非信任区直接相联并接受其访问,也会受到一定的外部威胁和内部威胁,因此属于半信任区,其受到的威胁等级较高。
安全区:非信任区不能直接访问,主要是内部威胁存在,但是有一定的安全控制机制,因此属于信任区,其受到的威胁等级较低。
核心安全区:类似安全区,但是有更加严格的安全控制机制进行管理,属于高度信任区,其受到的威胁等级最低。
各系统的威胁等级见下表:其中等级分为1-4,其中4威胁最大,即可能造成的损失最大。
系统名称 公共区
威胁等级 可能带来的威胁
4 严重的黑客攻击、恶意代码和病毒、篡改、泄密
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
半安全区 安全区 核心安全区 3 2 1 黑客攻击、恶意代码和病毒、越权或滥用 恶意代码或病毒、越权或滥用 内部人员的操作失误、恶意代码和病毒、篡改等 表3.1 威胁等级分析表
企业信息化系统的保护等级
企业信息化系统的保护等级主要从资产价值、安全需求方面进行赋值判断。针对企业信息化系统的保护等级,确定的指标列表如下:
指标类型 指标 信息资产的价值 影响程度 用户重要程度 信息资产的安全需求 保密性 完整性 可用性 赋值为3 高 管理用户 高 高 高 赋值为2 赋值为1 中 低 内部连接用户 外部连接用户 中 低 中 低 中 低 表3.2 保护等级确定的指标列表
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
根据上述各项赋值的要求,对企业信息化系统安全域进行赋值:
指标类型 安全域名称 公共区 半安全区 安全区 核心安全区 信息资产的价值 影响程度 1 2 3 3 用户重要程度 1 2 2 3 信息资产的安全需求 保密性 1 1 2 3 完整性 1 2 3 3 可用性 1 2 3 3 合计 5 9 13 15 表3.3 企业信息化系统安全域的保护等级列表
根据上面资产价值和安全需求的赋值可以得出,企业信息化系统各个安全域的安全保护等级从高到低依次为:核心安全区、安全区、半安全区、公共区。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
企业信息化系统安全域的网络保护
通用网络保护
➢ 在没有得到预先批准的情况下,不能公开发布内部网络地址,设置和有关系统和
网络信息。
➢ 所有连接到第三方网络或者连接公共网络的内部网络应被保护。 ➢ 部门之间网络的连接应由安全管理部门批准。
➢ 到其他网络的连接不应危及在另一个网络里处理的信息的安全,反之亦然。 ➢ 网络架构任何人都不能随意变动,任何变更都需要经过批准
➢ 已安装的网络资产的文档清单应被维护并保持最新。一些网络拓扑的细节的描述
如,协议,结构,加密等等也应被文档化和保持最新。
交换机上的控制
网络中的一些信息系统可能由于含有敏感和重要的数据,需要特别的保护,防止其他网络用户的访问。在这样的情况下,在网络中加以控制,应考虑分隔用户和信息系统。
一种控制大型网络的方法是把他们分隔成各个逻辑的域,以控制在这两个于之间的信息流。这个交换设备应能过滤两个域之间的数据流,并阻止违背访问控制原则的非授权访问,例如可通过访问控制列表来实现.
把网络分隔成域的标准应基于业务的访问要求,并考虑相应的成本和性能影响,采用合适的网络路由。
为了加强安全保护,VLAN建设中建议采用以下功能: ➢ 核心交换机和分布式交换机实施包过滤技术;
➢ 只有授权的用户才能访问服务器,用有效的IP地址进行授权。
➢ 限制和控制访问关键服务器应用的流量,例如,只允许Ftp、Telnet等从某个授权
地点到某个关键服务器应用的流量。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
路由器上的控制
➢ 共享的网络,特别是那些跨过组织边界的网络,需要实施路由控制来确保计算机
连接和信息流只能基于业务的需要,这种控制对于和第三方的网络共享非常重要。 ➢ 路由器上应给予确实的源地址和目的地址的检查机制。
➢ 网络地址的转换对分隔网络和防止路由从一个组织网络传播到另一个组织的网络
是非常有用的。
防火墙上的控制
防火墙的管理要求
➢ 防火墙由企业信息化办公室统一规划。任何防火墙的建立都需要企业信息化办公
室安全组织的批准。
➢ 防火墙的任何变更都必须由安全组织正式批准。未经批准,任何人员都不得私自
关闭、拆除、更换、修改防火墙。
➢ 所有与防火墙相连接的网络部分的更改,设备的变更,都需经过安全组织正式批
准。
➢ 在对防火墙进行变更之后,必须经过健康检查。建议透过一些可靠的工具,对防
火墙进行完整测试。测试是否你所希望允许的网络联机真的被允许通过。测试是否其它的网络联机如期望的被拒绝(rejected)或丢弃(dropped)。检查对于所有的变更,记录及告警功能是否可以正常运作。例如:业界的工具有ISS, Nessus等。 ➢ 只有安全管理员和防火墙的管理员才可访问防火墙。其他人员访问防火墙需经过
安全管理员的批准,且访问时防火墙的管理员需在场。
➢ 防火墙管理者账号不得与其它使用者共享,针对每一个特定的使用者建立一个单
独的管理者账号。每个管理者以各自的账号登录。 ➢ 防火墙必须位于IT控制区域。且需上锁。
➢ 防火墙架构应属于机密-敏感信息。其信息只有基于业务的需要才可透露。 ➢ 所有的在防火墙空间里的组件,包括硬件、软件、防火墙策略、文档必须被明确地
贴上标签,上面有它们的使用目的和防火墙管理员的名字以及具体联系方式。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
防火墙的配置要求
在可能的情况下,防火墙需采取以下配置: ➢ 系统必须安装最新的安全相关补丁程序 ➢ 采取支持对认证信息加密的机制。
➢ 防火墙必须隐藏内部主机及域名。防火墙必须隐藏内部IP结构。 ➢ 采用NAT, 转换DMZ区IP地址和公共网络的地址。
➢ 除了防火墙必须提供的服务之外,避免所有其它网络服务。
以下功能是禁止的:
服务 DNS SOCKS Proxy Server Mail Relay
以下Windows系统的服务是禁止的:
服务 Computer Browser Directory Replicator Messenger Network DDE Network DDE DSM RPC Locator Spooler Browser Lists 建议值 Disabled Disabled Disabled Disabled Disabled Disabled Disabled Do not participate 建议值 Not allowed Not allowed Not allowed Not allowed ➢ 只开放SNMP存取防火墙读的权限,并且只针CPIC特定管理系统。 ➢ 除了所选择的ICMP信息外,防火墙必须阻挡所有其它ICMP信息。 ➢ 开启防火墙带有的防止DOS攻击的功能。例如IP地址欺骗,SYN攻击等。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
……………………………………………………………最新资料推荐…………………………………………………
➢ 关闭Telnet/ftp。
最新精品资料整理推荐,更新于二〇二一年一月一日2021年1月1日星期五20:25:06
因篇幅问题不能全部显示,请点此查看更多更全内容