IMS信息安全技术规范.doc
《IMS信息安全技术规范.doc》由会员分享,可在线阅读,更多相关《IMS信息安全技术规范.doc(10页珍藏版)》请在咨信网上搜索。
1、IMS信息安全技术规范类别1:中国移动防火墙部署总体技术要求:要求内容:一、集中防护原则以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位,统一考虑节点内所有网络系统的边界访问控制。节点内部,划分核心生产区、日常维护区、停火区(DMZ区)等等,通过VLAN划分实现不同区域系统间的隔离。从而彻底改变分系统防护的传统模式,实现集中化防护。二、等级保护原则不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。在国家等级保护标准当中,除考虑系统的实际等级以外,还考虑了相关部门的监管需求。此外,由于系统防护技术的等级差别有限,部分安全手
2、段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求,各受保护系统都需要。因此在实际实践中,我们并不需要进行过于理论化的计算,能够区分高中低三种不同的防护需求即可。根据系统划分的等级,高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。三、与业务特殊需求一致原则对防火墙功能有特殊需求的业务系统,如GPRS BG接口防火墙需要支持GTP协议,可以在边界集中防火墙内部署第二层防火墙、IDS系统,实现深度保护。四、与边界威胁一致原则由于不同系统的开放性、可控性等方面各不相同,它
3、们的可信度也有明显区别。与不同威胁等级、可信度的系统互联时,面对的威胁是不同的,因此,必须针对不同的威胁等级选择不同防护强度的防护技术。五、异构原则对于需要进行双层防火墙进行防护的系统,为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险,需要实现双重异构防火墙防护。在防火墙策略设置上,外层防火墙侧重实施粗粒度访问控制,内层防火墙侧重针对特定系统施细粒度访问控制。五、防火墙种类最小化原则为便于防火墙设备的日常维护和安全策略的管理,在满足双重异构前提下,应尽量减少防火墙的种类和品牌数量。检测步骤:分析系统网络拓扑、设备及IP地址列表等资料,检查以下内容:1、被查业务系统所有设备是
4、否均已纳入防护范围,并实现集中化防护;2、是否针对业务系统不同等级的防护需求部署不同强度的防护手段;3、若业务系统存在特殊需求,是否有针对性措施进行深度防护;4、对于已部署双层防火墙防护的系统,是否满足双重异构防火墙防护方式对防火墙品牌、种类、策略控制上的要求;类别2:中国移动网管系统安全域划分技术要求:要求内容:网管系统安全域划分方法:集团网管和省网管分别划分为不同的安全域,再根据安全域内部的不同安全需求,将各网管系统划分安全子域,具体描述如下:(1)核心生产区:放置话务网管、传输网管、信令监测等核心主机设备,包括核心应用服务器、数据库服务器、存储设备等。(2)互联接口区:省网与地市(集团与
5、省网)互联接口、与网元采集设备的互联。(3)内部系统互联区:与业务支撑系统、企业信息化系统的互联。(4)第三方接入区:网管开发厂商接入、现场支持、移动终端接入。(5)外联DMZ区:放置与公网进行数据交换的服务器,如数据网管采集机。(6)内联DMZ区:放置与内部系统互联区进行数据交换的服务器。(7)日常操作区:放置省公司网络部门的操作维护终端。(8)管理服务区:放置各种统一的管理服务设备(如网管监控平台、4A系统等,暂时无相关设备的,可以预留该区域)检测步骤:分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料,确认网络是否完成安全域划分工作,安全子域设置是否符合网管系统安全域划
6、分要求类别3:中国移动网管系统安全域划分技术要求:要求内容:以省公司为单位,将网管系统与互联网接口集中于省公司侧,并通过集团公司统一设置的北京、广州两个支撑系统与CMNet集中接口接入互联网检测步骤:分析系统网络拓扑等资料,检查网管系统与互联网接口是否集中于省公司侧类别4:中国移动网管系统安全域划分技术要求要求内容:边界访问控制要求:一、集团公司统一设置的支撑系统互联网出口防火墙与省公司网管系统侧的互联接口防火墙构成双层互联网接口防护;二、第三方接口(包括远程接入、网管开发区)与网管系统接口应基于申请按次接入,禁止物理上无限制长连接检测步骤:分析系统网络拓扑等资料,检查集团公司统一设置的支撑系
7、统互联网出口防火墙与省公司网管系统侧的互联接口防火墙构成双层互联网接口防护,检查第三方接口(包括远程接入、网管开发区)与网管系统接口是否存在物理上无限制长连接。类别5:中国移动支撑系统与互联网集中出口安全防护体系技术要求要求内容:集团公司统一设置的支撑系统互联网出口安全防护:各支撑系统通过集中出口连接到CMNet,会面临来自CMNet侧的多种外部威胁,集中出口侧防护主要包括以下四部分内容:1. 部署异常流量监管系统监测来自于CMNet和支撑系统内部的流量,包括但不限于P2P、蠕虫病毒爆发、拒绝服务攻击等流量;2. 部署异常流量监管系统抵御来自于CMNet拒绝服务攻击;3. 部署防火墙防护来自于
8、CMNet对各支撑系统的安全威胁;4. 部署防火墙防护来自于CMNet对IP承载网中PE设备的安全威胁。检测步骤:分析网络拓扑等资料,检查各支撑系统与CMNET系统的连接是否集中出口,集中出口是否部署中国移动支撑系统与互联网集中出口安全防护体系技术要求所要求的防护措施。类别6:中国移动支撑系统与互联网集中出口安全防护体系技术要求要求内容:支撑系统侧安全域划分及防护要求:一、支撑系统侧安全域划分与边界整合安全域是一个逻辑范围或区域,同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等,同一安全域内的系统相互信任。每个支撑系统都是一个安全域,支撑系统内部还可以根据
9、不同的安全需求划分成安全子域。支撑系统内部大概可以划分为:核心生产区、内部系统互联网区、第三方接入区、DMZ区等。边界整合是在保障业务的同时将不同安全域之间的接口进行归并,减少接口数量,对接口处进行重点防护。通过将支撑系统划分安全区域和整合边界,形成清晰、简洁、稳定的IT组网架构,实现系统之间严格访问控制的安全互连,从而更好的解决复杂系统的安全问题。 通过支撑系统安全域划分和边界整合需实现以下功能:1. 对支撑系统按照要求实现安全域划分和边界整合;2. 将支撑系统所有对互联网提供服务的应用集中到DMZ区;3. 集中设置支撑系统远程接入设备,并放置到DMZ区;4. 在DMZ区通过VLAN划分等方
10、式将不同应用和远程接入相互隔离;5. 对DMZ区与其它安全子域边界采用访问控制手段,防范安全风险扩散;6. 实时检测DMZ区与其它安全子域的数据流,监控异常网络行为。二、支撑系统侧安全域内的防护安全域划分和边界整合是实现支撑系统内部安全防护的基础,除此之外,对于安全域内部的安全风险,如病毒传播、资源滥用、非法外联等,必须通过加强安全域内的防护,建立并实施相应的安全管理的制度和流程,才能提升支撑系统的整体安全防护能力。支撑系统侧安全域内的防护主要需要满足安全需求如下:1. 实施主机、网络设备、数据库、web等通用IT产品安全加固;2. 部署终端集中化管理手段,禁止终端安装非法软件,防范BT资源滥
11、用和非法窃听;3. 部署集中防病毒手段,防范恶意代码在支撑系统内部的传播;4. 部署检测技术对非法外联行为进行监控。检测步骤:通过分析网络拓扑、防火墙及网络设备配置等资料,以及采用现场检查的方式,检查以下内容:1、是否按要求对支撑系统实施了安全域划分和边界整合;2、是否将支撑系统所有对互联网提供服务的应用集中到DMZ区;3、支撑系统远程接入设备是否集中设置,并放置到DMZ区;4、是否在DMZ区通过VLAN划分等方式将不同应用和远程接入相互隔离;5、对DMZ区与其它安全子域边界是否采用了访问控制手段,并设置了合理的访问控制策略;6、是否对主机、网络设备、数据库、web等通用IT产品实施了安全加固
12、;7、是否对安全域内的终端接入部署了集中化管理技术手段或制定并落实了相应终端接入管理办法;8、是否部署了集中防病毒手段;类别7:中国移动数据业务系统安全域划分边界整合及安全防护技术要求:要求内容:数据业务系统安全域划分方法:一、数据业务系统可划分以下为四类主要的安全子域:核心生产区、内部互联接口区、互联网接口区和核心交换区。(1) 核心生产区:本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。(2) 内部互联接口区:本区域放置的设备和公司内部网络,如IP专网等
13、连接,具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备,如网管采集设备。(3) 互联网接口区:本区域和互联网直接连接,主要放置互联网直接访问的设备。如业务系统门户(Portal)。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。(4) 核心交换区:负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。二、每类安全子域内部,根据实际需要,可进一步划分下级安全子域,如在内部互联接口区为和网管、计费互联分别设单独的子域。 三、某个具体数据业务系统,根据其业务逻辑与实现,不一定严格存在上述四类安全区域。在不违反安全域互联防护要求的前提下,该系统可简化安全域划分。四、如果数据业
14、务系统中某个设备存在多个逻辑接口,如既和内部网也和互联网存在接口,应采用分离功能的方式,由物理独立的设备分别实现不同的接口功能,从而满足安全域划分的要求。五、数据业务系统安全域划分不设置单独用来放置终端的安全域。由于终端的风险较高,除超级终端外,其它各类终端应通过以省为单位部署的网络安全管控平台接入业务系统进行维护,终端和数据业务系统的互联方式参见“7.2.5 数据业务系统的维护互联安全要求”。检测步骤:分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料,检查数据业务系统是否完成安全域划分工作,安全子域设置是否符合数据业务系统安全域划分要求类别8:中国移动数据业务系统安全域划
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IMS 信息 安全技术 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。