【正文】 測試是否其它的網(wǎng)絡(luò)聯(lián)機(jī)如期望的被拒絕(rejected)或丟棄(dropped)。防火墻上的控制防火墻的管理要求? 防火墻由企業(yè)信息化辦公室統(tǒng)一規(guī)劃。在這樣的情況下，在網(wǎng)絡(luò)中加以控制，應(yīng)考慮分隔用戶和信息系統(tǒng)。針對企業(yè)信息化系統(tǒng)的保護(hù)等級，確定的指標(biāo)列表如下：指標(biāo)類型 信息資產(chǎn)的價(jià)值 信息資產(chǎn)的安全需求指標(biāo) 影響程度 用戶重要程度 保密性 完整性 可用性賦值為 3 高 管理用戶 高 高 高賦值為 2 中 內(nèi)部連接用戶 中 中 中賦值為 1 低 外部連接用戶 低 低 低表 保護(hù)等級確定的指標(biāo)列表43 / 47根據(jù)上述各項(xiàng)賦值的要求，對企業(yè)信息化系統(tǒng)安全域進(jìn)行賦值：　指標(biāo)類型 信息資產(chǎn)的價(jià)值 信息資產(chǎn)的安全需求安全域名稱 影響程度 用戶重要程度 保密性 完整性 可用性 合計(jì)公共區(qū) 1 1 1 1 1 5半安全區(qū) 2 2 1 2 2 9安全區(qū) 3 2 2 3 3 13核心安全區(qū) 3 3 3 3 3 15表 企業(yè)信息化系統(tǒng)安全域的保護(hù)等級列表根據(jù)上面資產(chǎn)價(jià)值和安全需求的賦值可以得出，企業(yè)信息化系統(tǒng)各個(gè)安全域的安全保護(hù)等級從高到低依次為：核心安全區(qū)、安全區(qū)、半安全區(qū)、公共區(qū)。內(nèi)部威脅：主要來自內(nèi)部人員的惡意攻擊、無作為或操作失誤、越權(quán)或?yàn)E用、泄密、篡改等。（4） 日志服務(wù)器收集企業(yè)信息化系統(tǒng)內(nèi)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志告警信息。? 管理區(qū)域不允許來自非中國移動(dòng)的訪問。應(yīng)實(shí)施非常嚴(yán)格的安全機(jī)制來保護(hù)在高度安全域中的資產(chǎn)。此為網(wǎng)絡(luò)服務(wù)功能，提供給中國移動(dòng)的使用者使用。? 服務(wù)器區(qū)域采用單獨(dú)的 VLAN,和安全區(qū)域間通過 VLAN或防火墻限制非授權(quán)流量。? 服務(wù)器區(qū)集團(tuán)－省公司互聯(lián)區(qū)對端集團(tuán)/省公司信息化系統(tǒng)：雙方的OA、MIS、郵件等服務(wù)器互相通信，傳輸相關(guān)應(yīng)用的數(shù)據(jù)。核心安全區(qū)36 / 47核心安全區(qū)為安全層級最高的層級，保存最重要的數(shù)據(jù)，并具有管理所有系統(tǒng)的權(quán)限亦可依需求分為兩個(gè)區(qū)域：服務(wù)器區(qū)域和管理區(qū)域。? 安全區(qū)不允許來自非中國移動(dòng)的訪問。省－地市公司互聯(lián)區(qū)的業(yè)務(wù)數(shù)據(jù)流? ?。厥泄净ヂ?lián)區(qū)集團(tuán)－省公司互聯(lián)區(qū)對端集團(tuán)/省公司信息化系統(tǒng)：地市公司內(nèi)部員工通過集團(tuán)－省公司互聯(lián)區(qū)訪問對端的信息化系統(tǒng) Elearning 或公文網(wǎng)關(guān)等應(yīng)用。? 日常辦公區(qū)內(nèi)部系統(tǒng)互聯(lián)區(qū)網(wǎng)管系統(tǒng)：訪問話務(wù)網(wǎng)管、局?jǐn)?shù)據(jù)管理系統(tǒng)和 EOMS系統(tǒng)等網(wǎng)管應(yīng)用。集團(tuán)總部的安全區(qū)包括日常辦公區(qū)和內(nèi)部系統(tǒng)互聯(lián)區(qū)兩個(gè)安全子域，省公司的安全區(qū)包括日常辦公區(qū)、內(nèi)部系統(tǒng)互聯(lián)區(qū)和?。厥泄净ヂ?lián)區(qū)三個(gè)安全子域。32 / 47? 集團(tuán)－省公司互聯(lián)區(qū)域設(shè)備需采用中國移動(dòng)地址規(guī)范中為該區(qū)域設(shè)定的內(nèi)部 IP 地址范圍，而且只接收中國移動(dòng)內(nèi)部 IP 地址作為源地址的訪問。（7） 外部域名服務(wù)器負(fù)責(zé)中國移動(dòng)內(nèi)部員工上互聯(lián)網(wǎng)時(shí)的對外域名解析。；? DMZ區(qū)域的主機(jī)需要定期進(jìn)行安全評估；定期進(jìn)行漏洞掃描。? 和第三方公司連接的 DMZ區(qū)域可能存放中國移動(dòng)的保密信息。?? 服務(wù)器區(qū)DMZ 區(qū)公共區(qū)：內(nèi)部員工的郵件等服務(wù)通過 DMZ區(qū)的代理轉(zhuǎn)發(fā)，再通過公共區(qū)發(fā)送到互聯(lián)網(wǎng)；反之亦然。DMZ 是處在中國移動(dòng)企業(yè)信息化系統(tǒng)的控制范圍內(nèi)，但是它因?yàn)樘峁┙o互聯(lián)網(wǎng)服務(wù)而存在受到外來侵害的潛在可能，是不完全受信任的區(qū)域。由于此設(shè)備暴露在互聯(lián)網(wǎng)上，因此必須作安全加固。公共區(qū)的業(yè)務(wù)數(shù)據(jù)流需求互聯(lián)網(wǎng)（ CMNet）接入 非移動(dòng)用戶接入 區(qū)： ? 外網(wǎng)非移動(dòng)用戶接入?yún)^(qū)：供應(yīng)商通過本區(qū)訪問 DMZ 區(qū)的電子采購系統(tǒng)。?。厥泄净ヂ?lián)區(qū) （省公司級別才具有） ： 包括省公司與地市公司的互聯(lián)。25 / 47圖 4 省公司信息化系統(tǒng)安全域劃分描述如下：具體描述如下：公共區(qū)：提供訪問 Cm 互聯(lián)網(wǎng)的網(wǎng)絡(luò)連接訪問及各種撥號、VPN 接入、漫游筆記本接入等等。這類應(yīng)用的用戶終端位于公共區(qū)，因此其服務(wù)器只能放置在半安全區(qū)的 DMZ 區(qū)。圖 企業(yè)信息化系統(tǒng)安全域的安全措施二級安全域的劃分 節(jié)中描述的企業(yè)信息化系統(tǒng)的各類應(yīng)用，都有一個(gè)從用戶經(jīng)過接入訪問應(yīng)用的數(shù)據(jù)流過程。區(qū)域內(nèi)的對于設(shè)備訪問和修改的授權(quán)需要基于身份驗(yàn)證，如果需要的話，還可基于其他更多的明確的授權(quán)規(guī)則。此區(qū)域被分類為非安全的，需要對從此區(qū)域來的數(shù)據(jù)流進(jìn)行嚴(yán)格的控制。這樣做的優(yōu)點(diǎn)在于各個(gè)安全區(qū)域很方便定義，劃分也不容易混淆，但缺點(diǎn)是隨著信息化系統(tǒng)越來越復(fù)雜，功能區(qū)越來越多，安全區(qū)域數(shù)量增加非常快，而安全域之間的關(guān)系將呈幾何級數(shù)增長，最后很難進(jìn)行管理和控制。3） 中國移動(dòng)員工通過 Inter 遠(yuǎn)程使用省公司企業(yè)信息化系統(tǒng)：包括使用 VPN 客戶端軟件進(jìn)行 VPN 接入，和使用 PSTN 進(jìn)行 800 撥號接入。備 份Cisco3662SunENTRPIS60FAX SERVER HP LC2022SunSunENTRPIS60SMTP MTA DNS/DHCP SUN E250SunENTRPIS60OA網(wǎng) 關(guān)SUN E250SCSunENTRPIS60CA服 務(wù) 器HP LC2022網(wǎng) 管Cisco 3662上 網(wǎng) 路 由 器Cisco3662SunENTRPIS60SCWebmail ReverseProxyInterconnection ZoneInter Access Zone集 團(tuán) 網(wǎng) 絡(luò) 邏 輯 結(jié) 構(gòu) 圖 （ 新 ）SunENTRPIS60SC愛 立 信BD6816Firewall connection Zone GPRS樓 層用 戶User ZoneSunKANWU ServerSun V880SunOA2 Server Sun V880SunSC SCFireWall NETScreen204IntrusionDetectionSunENTRPIS60IBM 6000SunERPSunERP TrainingSunENTRPIS60WAPamp。MIS等系統(tǒng)BOSS系統(tǒng) 網(wǎng)管系統(tǒng)數(shù)據(jù)倉庫決策支持合作伙伴門戶專業(yè)和功能門戶辦公自動(dòng)化員工門戶CMNet GPRS WLAN 撥號接入12 / 47圖 、企業(yè)信息化系統(tǒng)廣域網(wǎng)連接圖中國移動(dòng)企業(yè)信息化系統(tǒng)的應(yīng)用架構(gòu)中國移動(dòng)企業(yè)信息化系統(tǒng)的應(yīng)用架構(gòu)主要分為全集團(tuán)和業(yè)務(wù)單位（指集團(tuán)總部和每個(gè)省公司）兩級。對外通過合作伙伴門戶與外部的合作伙伴連接，對內(nèi)與 BOSS 系統(tǒng)和網(wǎng)管系統(tǒng)存在接口口。網(wǎng)絡(luò)部在其制定的關(guān)于中國移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求里，確定了三大支撐系統(tǒng)（BOSS,網(wǎng)管、信息化系統(tǒng)）安全域劃分的基本原則，界定了業(yè)務(wù)支撐系統(tǒng)的重要性和安全風(fēng)險(xiǎn)等級。安全域劃分明確以后，根據(jù)等級保護(hù)的要求，確定各安全域的威脅等級和保護(hù)等級，并在此基礎(chǔ)上，就進(jìn)行安全域的邊界隔離與數(shù)據(jù)流的安全策略控制。因此，本規(guī)范文件具有以下的目的：? ――制定信息化系統(tǒng)的全網(wǎng)安全域劃分總體原則；? 對信息化系統(tǒng)進(jìn)行安全域劃分；? ――確定信息化系統(tǒng)各個(gè)安全域的管理需求、技術(shù)需求和設(shè)備需求；?――確定信息化系統(tǒng)各個(gè)安全域的威脅等級和保護(hù)等級；? ――針對以防火墻為核心或交換機(jī)為核心的信息化系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，提供 VLAN劃分、ACL 和防火墻策略制定的參照標(biāo)準(zhǔn)集團(tuán)公司和各省企業(yè)信息化系統(tǒng)今后進(jìn)一步建設(shè)或改造時(shí)，需參照本規(guī)范進(jìn)行實(shí)施。本規(guī)范是在上述要求的基礎(chǔ)上，進(jìn)一步對企業(yè)信息化系統(tǒng)內(nèi)部的安全域、安全風(fēng)險(xiǎn)等級劃分，以及對安全需求進(jìn)行細(xì)化，指導(dǎo)集團(tuán)和省公司企業(yè)信息化系統(tǒng)的建設(shè)維護(hù)工作。整體結(jié)構(gòu)如下圖 21 所示。如圖 :圖 企業(yè)信息化系統(tǒng)應(yīng)用架構(gòu)示意圖對應(yīng)于 節(jié)的中國移動(dòng)各種企業(yè)信息化應(yīng)用系統(tǒng)，可以根據(jù)其應(yīng)用的邏輯架構(gòu)分13 / 47為以下三類：1） 緊密耦合結(jié)構(gòu)的應(yīng)用。SMS NETScreen25外 部 企 業(yè)SunENTRPIS60 SunERP撥 號 認(rèn) 證服 務(wù) 器路 由 器撥 號 備 份網(wǎng) 關(guān)服 務(wù) 器網(wǎng) 管上 網(wǎng) 路 由 器集 團(tuán) 網(wǎng) 絡(luò) 邏 輯 結(jié) 構(gòu) 圖 （ 新 ）愛 立 信 樓 層用 戶外 部 企 業(yè)圖 、 集團(tuán)企業(yè)信息化系統(tǒng)組網(wǎng)結(jié)構(gòu)示意圖集團(tuán)總部企業(yè)信息化系統(tǒng)與 Inter 互聯(lián)的業(yè)務(wù)需求1） 集團(tuán)總部的內(nèi)部用戶需要訪問 Inter，使用郵件收發(fā)、網(wǎng)頁瀏覽、軟件下載等服務(wù)。有時(shí)系統(tǒng)集成商、應(yīng)用開發(fā)商或設(shè)備供應(yīng)商也會通過本方式接入，對其提供的應(yīng)用、設(shè)備進(jìn)行遠(yuǎn)程維護(hù)服務(wù)。因此，從擴(kuò)展性角度考慮，本規(guī)范使用的兩級安全域的概念，先定義幾個(gè)一級安全域，再將各個(gè)業(yè)務(wù)功能區(qū)域?qū)?yīng)定義為二級安全域，即安全子域。公共區(qū)包含不同種類的外部訪問設(shè)備(通過互聯(lián)網(wǎng)、撥號、專線和 VPN 等方式連到中國移動(dòng)信息化系統(tǒng)的環(huán)境) 及外部用戶資源(包括用戶的網(wǎng)頁瀏覽器、WAP 瀏覽器、客戶端程序及用戶終端程序等)，這些都在中國移動(dòng)控制環(huán)境之外。核心安全區(qū)簡述核心安全區(qū)安全級別最高，包含了重要的應(yīng)用服務(wù)器，提供關(guān)鍵的企業(yè)信息化應(yīng)用；也包含核心的數(shù)據(jù)庫服務(wù)器，保存有機(jī)密數(shù)據(jù)；還包含管理控制臺和服務(wù)器，具有管理所有系統(tǒng)的權(quán)限和功能。為了更方便地將這些應(yīng)用所涉及到的用戶終端、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和服務(wù)器設(shè)備在安全域里進(jìn)行映射對應(yīng)，從而達(dá)到通過劃分安全域保護(hù)信息化系統(tǒng)應(yīng)用數(shù)據(jù)的目的，僅依靠一級安全域的粒度是不夠的，需要進(jìn)一步劃分成為二級安全域。如果該服務(wù)器的保護(hù)級別要求很高，也可以放置在核心安全區(qū)，通過 DMZ 區(qū)?？梢佬枨蠓譃閮蓚€(gè)子區(qū)域：互聯(lián)網(wǎng)（ CMNet） 非移動(dòng)用戶 接入?yún)^(qū)： 是提供企業(yè)信息化內(nèi)部系統(tǒng)與外部非信任系統(tǒng)的連接，互聯(lián)網(wǎng)的直接連接主要提供中國移動(dòng)供應(yīng)商或第三方對企業(yè)信息化系統(tǒng)的訪問，同時(shí)也提供企業(yè)信息化內(nèi)部對互聯(lián)網(wǎng)資源的訪問。4）4） 核心安全區(qū)：為安全層級級別最高的層級，保存最重要的數(shù)據(jù)，亦可依需求分為兩個(gè)子區(qū)域：服務(wù)器區(qū)域： 放置數(shù)據(jù)庫服務(wù)器、MIS 應(yīng)用服務(wù)器、綜合統(tǒng)計(jì)服務(wù)器、MAIL 服務(wù)器、OA 網(wǎng)關(guān)服務(wù)器、IE 服務(wù)器和 FAX 服務(wù)器等核心應(yīng)用主機(jī)設(shè)備。? 互聯(lián)網(wǎng)非移動(dòng)用戶接入?yún)^(qū)CMNet CMNet: 移動(dòng)的員工在移動(dòng)辦公地點(diǎn)內(nèi)部，通過CMNet 對互聯(lián)網(wǎng)進(jìn)行訪問；CMNet互聯(lián)網(wǎng)接入?yún)^(qū)：供應(yīng)商通過本區(qū)訪問 DMZ 區(qū)的電子采購系統(tǒng)。而且接入路由器不能發(fā)送日志記錄到日志服務(wù)器，因此需要在本機(jī)上定義較大的日志空間，以便內(nèi)部網(wǎng)絡(luò)管理員作分析和管理。DMZ 區(qū)域提供一些服務(wù)，讓處于公司外部的中國移動(dòng)員工、供應(yīng)商能直接訪問 DMZ 區(qū)的服務(wù)器，并能和服務(wù)器區(qū)內(nèi)部服務(wù)器間接通信。? DMZ區(qū)管理區(qū)：DMZ 區(qū)的設(shè)備直接發(fā)送日志信息到管理區(qū)的日志服務(wù)器；系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員從管理區(qū)直接連接到 DMZ區(qū)設(shè)備上進(jìn)行維護(hù)管理。如果需要訪問此類 DMZ區(qū)域中的系統(tǒng)，需要進(jìn)行認(rèn)證。DMZ區(qū)的安全設(shè)備需求本區(qū)域的重要安全設(shè)備包含了︰（1） 主機(jī)入侵檢測系統(tǒng)在 DMZ區(qū)的服務(wù)器安裝主機(jī)入侵檢測系統(tǒng)，可用來檢測所有對該區(qū)域服務(wù)器的聯(lián)機(jī)及訪問動(dòng)作，以檢測到所有針對該區(qū)域服務(wù)器的入侵攻擊行動(dòng)。WEB 代理服務(wù)器控制所有來自互聯(lián)網(wǎng)的 WEB 瀏覽動(dòng)作，所有到 Web 服務(wù)器瀏覽的動(dòng)作應(yīng)經(jīng)過 WEB 代理服務(wù)器，并進(jìn)行控制。? 集團(tuán)－省公司互聯(lián)區(qū)域和核心區(qū)域之間必須設(shè)置防火墻。日常辦公區(qū) ：包括樓層的辦公終端，以及重要性不高的服務(wù)器。? 日常辦公區(qū)內(nèi)部系統(tǒng)互聯(lián)區(qū)BOSS 系統(tǒng)：訪問經(jīng)營分析、大客戶等 BOSS應(yīng)用。? ?。厥泄净ヂ?lián)區(qū)服務(wù)器區(qū)：地市公司內(nèi)部員工收發(fā)的內(nèi)部郵件、OA 辦公等都需要訪問服務(wù)器區(qū)的相應(yīng)服務(wù)器。例如，和第三方公司建立路由。服務(wù)器區(qū)： 這是敏感數(shù)據(jù)、應(yīng)用程序和服務(wù)存在的地方。? 日常辦公區(qū)服務(wù)器區(qū)：內(nèi)部員工收發(fā)的內(nèi)部郵件、OA 辦公、防病毒軟件特征庫更新等都需要訪問服務(wù)器區(qū)的相應(yīng)服務(wù)器，這是所有數(shù)據(jù)流中流量最大的。? 服務(wù)器區(qū)域不允許來自非中國移動(dòng)的訪問。集團(tuán)總部和各省公司的信息化系統(tǒng)都在該內(nèi)部域名服務(wù)器上解析 DNS。例如安全管理服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、認(rèn)證服務(wù)器、入侵檢測控制臺、日志服務(wù)器等與安全管理密切相關(guān)的設(shè)備。例如，和第三方公司建立路由。（5） 時(shí)間同步服務(wù)時(shí)間同步服務(wù)允許同步所管理設(shè)備的時(shí)間、日期，確保其一致性。另外，由于管理不規(guī)范導(dǎo)致各支撐系統(tǒng)之間的終端混用，也帶來病毒泛濫的潛在威脅。44 / 47企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡(luò)保護(hù)通用網(wǎng)絡(luò)保護(hù)? 在沒有得到預(yù)先批準(zhǔn)的情況下，不能公開發(fā)布內(nèi)部網(wǎng)絡(luò)地址，設(shè)置和有關(guān)系統(tǒng)和網(wǎng)絡(luò)信息。一種控制大型網(wǎng)絡(luò)的方法是把他們分隔成各個(gè)邏輯的域，以控制在這兩個(gè)于之間的信息流。任何防火墻的建立都需要企業(yè)信息化辦公室安全組織的批準(zhǔn)。檢查對于所有的變更，記錄及告警功能是否可以正常運(yùn)作。測試是否你所希望允許的網(wǎng)絡(luò)聯(lián)機(jī)真的被允許通過。? 網(wǎng)絡(luò)地址的轉(zhuǎn)換對分隔網(wǎng)絡(luò)和防止路由從一個(gè)組織網(wǎng)絡(luò)傳播到另一個(gè)組織的網(wǎng)絡(luò)是非常有用的。交換機(jī)上的控制網(wǎng)絡(luò)中的一些信息系統(tǒng)可能由于含有敏感和重要的數(shù)據(jù)，需要特別的保護(hù)，防止其他網(wǎng)絡(luò)用戶的訪問。系統(tǒng)名稱 威脅等級 可能帶來的威脅公共區(qū) 4 嚴(yán)重的黑客攻擊、惡意代碼和病毒、篡改、泄密半安全區(qū) 3 黑客攻擊、惡意代碼和病毒、越權(quán)或?yàn)E用安全區(qū) 2 惡意代碼或病毒、越權(quán)或?yàn)E用核心安全區(qū) 1 內(nèi)部人員的操作失誤、惡意代碼和病毒、篡改等42 / 47表 威脅等級分析表企業(yè)信息化系統(tǒng)的保護(hù)等級企業(yè)信息化系統(tǒng)的保護(hù)等級主要從資產(chǎn)價(jià)值、安全需求方面進(jìn)行賦值判斷。按照產(chǎn)生的來源，威脅可以分為外部威脅和內(nèi)部威脅：