【正文】 半安全區(qū) ............................................................................13. DMZ 區(qū)的業(yè)務(wù)數(shù)據(jù)流需求 ..........................................................14. DMZ 區(qū)的安全技術(shù)需求 ............................................................15. DMZ 區(qū)的安全設(shè)備需求 ............................................................15. 集團(tuán)－省公司互聯(lián)區(qū)的業(yè)務(wù)數(shù)據(jù)流 ..................................................16. 集團(tuán)－省公司互聯(lián)區(qū)的技術(shù)安全需求 ................................................17. 集團(tuán)－省公司互聯(lián)區(qū)的設(shè)備安全需求 ................................................17. 安全區(qū) ..............................................................................17. 日常辦公區(qū)的業(yè)務(wù)數(shù)據(jù)流 ..........................................................18. 內(nèi)部系統(tǒng)互聯(lián)區(qū)的業(yè)務(wù)數(shù)據(jù)流 ......................................................18. ?。厥泄净ヂ?lián)區(qū)的業(yè)務(wù)數(shù)據(jù)流 ..................................................19. 安全區(qū)的安全技術(shù)需求 ............................................................19. 安全區(qū)的安全設(shè)備需求 ............................................................20. 核心安全區(qū) ..........................................................................20. 服務(wù)器區(qū)的業(yè)務(wù)數(shù)據(jù)流 ............................................................217 / 47. 服務(wù)器區(qū)的安全技術(shù)要求 ..........................................................21. 服務(wù)器區(qū)的安全設(shè)備要求 ..........................................................22. 管理區(qū)的業(yè)務(wù)數(shù)據(jù)流 ..............................................................23. 管理區(qū)的安全技術(shù)需求 ............................................................23. 管理區(qū)的安全設(shè)備需求 ............................................................23. 企業(yè)信息化系統(tǒng)的保護(hù)分級(jí) ............................................................24. 企業(yè)信息化系統(tǒng)的威脅等級(jí) ........................................................24. 企業(yè)信息化系統(tǒng)的保護(hù)等級(jí) ........................................................254. 企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡(luò)保護(hù) .........................................27. 通用網(wǎng)絡(luò)保護(hù) ........................................................................27. 交換機(jī)上的控制 ......................................................................27. 路由器上的控制 ......................................................................28. 防火墻上的控制 ......................................................................28. 防火墻的管理要求 ................................................................28. 防火墻的配置要求 ................................................................298 / 47綜述本規(guī)范文件是中國移動(dòng)企業(yè)信息化系統(tǒng)安全域劃分原則與技術(shù)要求，縱向包括了企業(yè)信息化的全集團(tuán)和各個(gè)業(yè)務(wù)單位（指集團(tuán)總部和省公司）兩個(gè)層次，橫向覆蓋整個(gè)企業(yè)信息化內(nèi)部系統(tǒng)，包括其所屬的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、終端等，同時(shí)也定義了相應(yīng)的應(yīng)用系統(tǒng)在安全域上的映射同時(shí)也包括了企業(yè)信息化系統(tǒng)與網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)的邊界安全。但本文的重點(diǎn)是企業(yè)信息化系統(tǒng)內(nèi)部，與其它系統(tǒng)的連接和整合須按照網(wǎng)絡(luò)部制定的《中國移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合的技術(shù)要求》執(zhí)行。安全域的劃分，是按照安全保護(hù)需求和相互信任的區(qū)域關(guān)系，將企業(yè)信息化系統(tǒng)劃分成不同的區(qū)域，通過進(jìn)一步定義出各個(gè)安全域的管理需求、技術(shù)需求和設(shè)備需求，部署相應(yīng)的安全手段，并實(shí)施相應(yīng)的安全處理。安全域劃分明確以后，根據(jù)等級(jí)保護(hù)的要求，確定各安全域的威脅等級(jí)和保護(hù)等級(jí)，并在此基礎(chǔ)上，就進(jìn)行安全域的邊界隔離與數(shù)據(jù)流的安全策略控制。因此，本規(guī)范文件具有以下的目的：? ――制定信息化系統(tǒng)的全網(wǎng)安全域劃分總體原則；? 對信息化系統(tǒng)進(jìn)行安全域劃分；? ――確定信息化系統(tǒng)各個(gè)安全域的管理需求、技術(shù)需求和設(shè)備需求；?――確定信息化系統(tǒng)各個(gè)安全域的威脅等級(jí)和保護(hù)等級(jí)；? ――針對以防火墻為核心或交換機(jī)為核心的信息化系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，提供 VLAN劃分、ACL 和防火墻策略制定的參照標(biāo)準(zhǔn)集團(tuán)公司和各省企業(yè)信息化系統(tǒng)今后進(jìn)一步建設(shè)或改造時(shí)，需參照本規(guī)范進(jìn)行實(shí)施。特別是增加新應(yīng)用系統(tǒng)、新的功能區(qū)域或新的連接接口時(shí)，需要分析和定義加入的應(yīng)用、功能區(qū)域或接口，確保其設(shè)備連接的邏輯區(qū)域和設(shè)備放置的物理區(qū)域符合本規(guī)范。如有必要，同時(shí)也更新本規(guī)范。背景隨著中國移動(dòng)的業(yè)務(wù)飛速發(fā)展，整個(gè)業(yè)務(wù)網(wǎng)絡(luò)和支撐系統(tǒng)越來越復(fù)雜，信息安全的9 / 47管理難度越來越大。另一方面，國家信息化領(lǐng)導(dǎo)小組也對各行各業(yè)提出了信息系統(tǒng)安全等級(jí)保護(hù)的要求，而安全域的劃分是信息安全管理和安全等級(jí)保護(hù)的基礎(chǔ)。因此，中國移動(dòng)急需制定出具體重要信息系統(tǒng)的安全域劃分原則。網(wǎng)絡(luò)部在其制定的關(guān)于中國移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求里，確定了三大支撐系統(tǒng)（BOSS,網(wǎng)管、信息化系統(tǒng)）安全域劃分的基本原則，界定了業(yè)務(wù)支撐系統(tǒng)的重要性和安全風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)部在其制定的關(guān)于中國移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求里，確定了三大支撐系統(tǒng)（BOSS,網(wǎng)管、信息化系統(tǒng)）安全域劃分的基本原則，界定了業(yè)務(wù)支撐系統(tǒng)的重要性和安全風(fēng)險(xiǎn)等級(jí)。本規(guī)范是在上述要求的基礎(chǔ)上，進(jìn)一步對企業(yè)信息化系統(tǒng)內(nèi)部的安全域、安全風(fēng)險(xiǎn)等級(jí)劃分，以及對安全需求進(jìn)行細(xì)化，指導(dǎo)集團(tuán)和省公司企業(yè)信息化系統(tǒng)的建設(shè)維護(hù)工作。編制依據(jù)（1）中國移動(dòng)通信集團(tuán)公司信息化辦公室關(guān)于本項(xiàng)目研究的委托；。（2）《安全域劃分的研究》：中訊郵電咨詢設(shè)計(jì)院；（3）中國移動(dòng)通信集團(tuán)公司提供的相關(guān)資料。本文件的范圍及主要內(nèi)容本文件主要包含企業(yè)信息化系統(tǒng)內(nèi)部的集團(tuán)公司集團(tuán)總部、省公司內(nèi)部企業(yè)信息化系統(tǒng)和地市終端。本文件的主要內(nèi)容有：? 企業(yè)信息化系統(tǒng)的現(xiàn)狀? 安全域劃分的原則? 企業(yè)信息化系統(tǒng)的安全域劃分? 安全域的管理、技術(shù)、設(shè)備需求定義? 安全域的威脅等級(jí)和保護(hù)等級(jí)? 企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡(luò)保護(hù)10 / 47企業(yè)信息化系統(tǒng)的現(xiàn)狀中國移動(dòng)企業(yè)信息化應(yīng)用系統(tǒng)的應(yīng)用系統(tǒng)現(xiàn)狀目前中國移動(dòng)已經(jīng)建成企業(yè)的信息化的應(yīng)用系統(tǒng)主要包括有：? 統(tǒng)一信息平臺(tái)應(yīng)用：統(tǒng)一信息平臺(tái)包括了 OA 系統(tǒng)，主要提供企業(yè)各種公文處理、電子郵件和信息發(fā)布等功能；同時(shí)還包括統(tǒng)計(jì)查詢、電子報(bào)銷、資源預(yù)定、辦公用品申領(lǐng)、電子期刊、檔案管理、知識(shí)管理、考核管理、研發(fā)項(xiàng)目管理、搜索引擎、遠(yuǎn)程辦公應(yīng)用等。? MIS 應(yīng)用：MIS 包括財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)、綜合統(tǒng)計(jì)系統(tǒng)等應(yīng)用系統(tǒng)；還包括電子采購系統(tǒng)、全面預(yù)算管理系統(tǒng)等。其中已經(jīng)建成使用的企業(yè)信息化應(yīng)用包括：OA 系統(tǒng)、統(tǒng)一信息平臺(tái)、電子郵件系統(tǒng)、MIS 系統(tǒng)（財(cái)務(wù)、人力資源、綜合統(tǒng)計(jì)系統(tǒng)和統(tǒng)一信息平臺(tái)部分其它應(yīng)用），正在建設(shè)或者即將建設(shè)的信息系統(tǒng)應(yīng)用系統(tǒng)包括知識(shí)管理、電子采購、綜合信息網(wǎng)、終端標(biāo)準(zhǔn)化、網(wǎng)上教育、全面預(yù)算管理等。對外通過合作伙伴門戶與外部的合作伙伴連接，對內(nèi)與 BOSS 系統(tǒng)和網(wǎng)管系統(tǒng)存在接口口。整體結(jié)構(gòu)如下圖 21 所示。Comment [fyb1]: 現(xiàn)在的信息化系統(tǒng)的承載網(wǎng)絡(luò)是信息專網(wǎng)11 / 47圖 21 集團(tuán)公司企業(yè)信息化系統(tǒng)整體結(jié)構(gòu)企業(yè) 中國移動(dòng)企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)架構(gòu)現(xiàn)狀企業(yè)信息化系統(tǒng)網(wǎng)絡(luò)主要是分為三級(jí)結(jié)構(gòu)：集團(tuán)公司－省公司－地市公司，同時(shí)還延伸至縣級(jí)公司。在本規(guī)范中，按照集中化的原則，各省應(yīng)用要實(shí)現(xiàn)分省集中，因此安全域劃分僅限于集團(tuán)和省公司兩個(gè)級(jí)別，地市和縣級(jí)公司不再作進(jìn)一步劃分。中國移動(dòng)企業(yè)信息化系統(tǒng)目前的網(wǎng)絡(luò)連接為：以 CMNet為承載網(wǎng)與各省的信息化系統(tǒng)連接，網(wǎng)絡(luò)結(jié)構(gòu)采用星形結(jié)構(gòu)，以集團(tuán)公司為中心。集團(tuán)企業(yè)信息化系統(tǒng)和省企業(yè)信息化系統(tǒng)主用線路為 E1專線，備用線路為 CMNet之上的虛擬專用網(wǎng)（VPN）在集團(tuán)公司配置一臺(tái) Cisco 7204VXR路由器，通過 2條 2M傳輸電路和 1條 100M FE電路接入CMNet北京節(jié)點(diǎn)，各省公司通過配置的路由器 Cisco 3662接入所在省中心的 CMNet節(jié)點(diǎn)，實(shí)現(xiàn)與集團(tuán)公司的互聯(lián)，如圖 22。同時(shí)提供 WLAN、GPRS、撥號(hào)等接入方式。CMNet 之上的虛擬專用網(wǎng)（VPN）作為備用實(shí)現(xiàn)互通，集團(tuán)與省之間有防火墻，采用私有地址，由集團(tuán)公司統(tǒng)一分配。MIS等系統(tǒng)BOSS系統(tǒng) 網(wǎng)管系統(tǒng)數(shù)據(jù)倉庫決策支持合作伙伴門戶專業(yè)和功能門戶辦公自動(dòng)化員工門戶CMNet GPRS WLAN 撥號(hào)接入12 / 47圖 、企業(yè)信息化系統(tǒng)廣域網(wǎng)連接圖中國移動(dòng)企業(yè)信息化系統(tǒng)的應(yīng)用架構(gòu)中國移動(dòng)企業(yè)信息化系統(tǒng)的應(yīng)用架構(gòu)主要分為全集團(tuán)和業(yè)務(wù)單位（指集團(tuán)總部和每個(gè)省公司）兩級(jí)。如圖 :圖 企業(yè)信息化系統(tǒng)應(yīng)用架構(gòu)示意圖對應(yīng)于 節(jié)的中國移動(dòng)各種企業(yè)信息化應(yīng)用系統(tǒng)，可以根據(jù)其應(yīng)用的邏輯架構(gòu)分13 / 47為以下三類：1） 緊密耦合結(jié)構(gòu)的應(yīng)用。例如終端標(biāo)準(zhǔn)化，有一個(gè)全集團(tuán)的終端標(biāo)準(zhǔn)化系統(tǒng)，還有各個(gè)業(yè)務(wù)單位終端標(biāo)準(zhǔn)化子系統(tǒng)。各個(gè)業(yè)務(wù)單位的終端標(biāo)準(zhǔn)化服務(wù)器位于各個(gè)業(yè)務(wù)單位的服務(wù)器區(qū)域，而全集團(tuán)的終端標(biāo)準(zhǔn)化服務(wù)器位于集團(tuán)總部的集團(tuán)－省公司互聯(lián)區(qū)；2） 松散耦合結(jié)構(gòu)的應(yīng)用。例如 OA 系統(tǒng)，各個(gè)業(yè)務(wù)單位都有自身的 OA 系統(tǒng)，其服務(wù)器在各個(gè)業(yè)務(wù)單位的服務(wù)器區(qū)域，而 OA 互連主要通過公文網(wǎng)關(guān)，公文網(wǎng)關(guān)位于集團(tuán)總部和省公司各自的集團(tuán)－省公司互聯(lián)區(qū)。類似架構(gòu)的應(yīng)用包括絕大多數(shù)統(tǒng)一信息平臺(tái)應(yīng)用(如統(tǒng)計(jì)查詢、電子報(bào)銷、資源預(yù)定、辦公用品申領(lǐng)、電子期刊、檔案管理、知識(shí)管理、考核管理、研發(fā)項(xiàng)目管理、搜索引擎、遠(yuǎn)程辦公應(yīng)用)、財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)、綜合統(tǒng)計(jì)系統(tǒng)和全面預(yù)算管理系統(tǒng)等應(yīng)用；3） 全部集中在集團(tuán)總部的應(yīng)用。例如電子采購系統(tǒng)，各個(gè)業(yè)務(wù)單位沒有單獨(dú)的電子采購系統(tǒng)，只有集中的系統(tǒng)。集團(tuán)總部企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)拓?fù)浼瘓F(tuán)總部企業(yè)信息化系統(tǒng)的組網(wǎng)拓?fù)浣Y(jié)構(gòu)如下圖 ：14 / 47CMNetMailRelay/Proxy Server/antivirusSun E450Sun撥 號(hào) 認(rèn) 證服 務(wù) 器SunISSConsoleInter ScannerSunSunOA ServerSun E4500IE ServerSun E4500FireWallIntrusionDetectionDMZ ZoneAdmin ZoneSunDB Server Sun E4500Internal ZoneIntrusionDetectionIntrusionDetectionSunMail Server Sun E4500 SunSunVPN路 由 器Cisco 7204SC SCSC SCPSTN撥 號(hào) amp。備 份Cisco3662SunENTRPIS60FAX SERVER HP LC2022SunSunENTRPIS60SMTP MTA DNS/DHCP SUN E250SunENTRPIS60OA網(wǎng) 關(guān)SUN E250SCSunENTR