【正文】 ............................1. 背景 .................................................................................1. 編制依據(jù) .............................................................................2. 本文件的范圍及主要內(nèi)容 ...............................................................22. 企業(yè)信息化 系統(tǒng)的現(xiàn)狀 ....................................................3. 企業(yè)信息化應用系統(tǒng)現(xiàn)狀 ...............................................................3. 企業(yè)信息化系統(tǒng)網(wǎng)絡現(xiàn)狀 ...............................................................3. 集團企業(yè)信息化系統(tǒng)的網(wǎng)絡拓撲 .........................................................4. 集團企業(yè)信息化系統(tǒng)與 Inter 互聯(lián)的業(yè)務需求 ......................................5. 省企業(yè)信息化系統(tǒng)的網(wǎng)絡拓撲 ...........................................................5. 省企業(yè)信息化系統(tǒng)與 Inter 互聯(lián)的業(yè)務需求 ........................................63. 企業(yè)信息化系統(tǒng)安全域劃分 ................................................7. 企業(yè)信息化系統(tǒng)安全域劃分原則 .........................................................7. 企業(yè)信息化系統(tǒng)的安全域劃分 ...........................................................8. 公共區(qū) ..............................................................................12. 公共區(qū)的業(yè)務數(shù)據(jù)流需求 ..........................................................12. 公共區(qū)的安全技術需求 ............................................................12. 公共區(qū)的安全設備需求 ............................................................13. 半安全區(qū) ............................................................................13. DMZ 區(qū)的業(yè)務數(shù)據(jù)流需求 ..........................................................14. DMZ 區(qū)的安全技術需求 ............................................................15. DMZ 區(qū)的安全設備需求 ............................................................15. 集團－省公司互聯(lián)區(qū)的業(yè)務數(shù)據(jù)流 ..................................................16. 集團－省公司互聯(lián)區(qū)的技術安全需求 ................................................17. 集團－省公司互聯(lián)區(qū)的設備安全需求 ................................................17. 安全區(qū) ..............................................................................17. 日常辦公區(qū)的業(yè)務數(shù)據(jù)流 ..........................................................18. 內(nèi)部系統(tǒng)互聯(lián)區(qū)的業(yè)務數(shù)據(jù)流 ......................................................18. ?。厥泄净ヂ?lián)區(qū)的業(yè)務數(shù)據(jù)流 ..................................................19. 安全區(qū)的安全技術需求 ............................................................19. 安全區(qū)的安全設備需求 ............................................................20. 核心安全區(qū) ..........................................................................20. 服務器區(qū)的業(yè)務數(shù)據(jù)流 ............................................................217 / 47. 服務器區(qū)的安全技術要求 ..........................................................21. 服務器區(qū)的安全設備要求 ..........................................................22. 管理區(qū)的業(yè)務數(shù)據(jù)流 ..............................................................23. 管理區(qū)的安全技術需求 ............................................................23. 管理區(qū)的安全設備需求 ............................................................23. 企業(yè)信息化系統(tǒng)的保護分級 ............................................................24. 企業(yè)信息化系統(tǒng)的威脅等級 ........................................................24. 企業(yè)信息化系統(tǒng)的保護等級 ........................................................254. 企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡保護 .........................................27. 通用網(wǎng)絡保護 ........................................................................27. 交換機上的控制 ......................................................................27. 路由器上的控制 ......................................................................28. 防火墻上的控制 ......................................................................28. 防火墻的管理要求 ................................................................28. 防火墻的配置要求 ................................................................298 / 47綜述本規(guī)范文件是中國移動企業(yè)信息化系統(tǒng)安全域劃分原則與技術要求，縱向包括了企業(yè)信息化的全集團和各個業(yè)務單位（指集團總部和省公司）兩個層次，橫向覆蓋整個企業(yè)信息化內(nèi)部系統(tǒng)，包括其所屬的網(wǎng)絡設備、安全設備、服務器、終端等，同時也定義了相應的應用系統(tǒng)在安全域上的映射同時也包括了企業(yè)信息化系統(tǒng)與網(wǎng)管系統(tǒng)、業(yè)務支撐系統(tǒng)的邊界安全。本文件的主要內(nèi)容有：? 企業(yè)信息化系統(tǒng)的現(xiàn)狀? 安全域劃分的原則? 企業(yè)信息化系統(tǒng)的安全域劃分? 安全域的管理、技術、設備需求定義? 安全域的威脅等級和保護等級? 企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡保護10 / 47企業(yè)信息化系統(tǒng)的現(xiàn)狀中國移動企業(yè)信息化應用系統(tǒng)的應用系統(tǒng)現(xiàn)狀目前中國移動已經(jīng)建成企業(yè)的信息化的應用系統(tǒng)主要包括有：? 統(tǒng)一信息平臺應用：統(tǒng)一信息平臺包括了 OA 系統(tǒng)，主要提供企業(yè)各種公文處理、電子郵件和信息發(fā)布等功能；同時還包括統(tǒng)計查詢、電子報銷、資源預定、辦公用品申領、電子期刊、檔案管理、知識管理、考核管理、研發(fā)項目管理、搜索引擎、遠程辦公應用等。類似架構的應用包括絕大多數(shù)統(tǒng)一信息平臺應用(如統(tǒng)計查詢、電子報銷、資源預定、辦公用品申領、電子期刊、檔案管理、知識管理、考核管理、研發(fā)項目管理、搜索引擎、遠程辦公應用)、財務系統(tǒng)、人力資源系統(tǒng)、綜合統(tǒng)計系統(tǒng)和全面預算管理系統(tǒng)等應用；3） 全部集中在集團總部的應用。本規(guī)范的重點在企業(yè)信息化系統(tǒng)內(nèi)部，在從集團總部和省公司兩個層面角度劃分安全域。半安全區(qū)被視為是易受攻擊的半信任區(qū)，因此機密資料應盡量不放置于此，若有則應采取適當?shù)谋Ｗo措施。2） 局部應用：如 OA 系統(tǒng)，主要是集團總部和各省公司信息化系統(tǒng)為各自的內(nèi)部員工提供服務，其用戶訪問來自各自安全區(qū)內(nèi)的日常辦公區(qū)，服務器放置在各自核心安全區(qū)內(nèi)的服務器區(qū)。3） 安全區(qū)：企業(yè)信息化系統(tǒng)內(nèi)部區(qū)域，可依需求分為二或三個子區(qū)域：日常辦公區(qū) ：包括樓層的辦公終端，以及重要性不高的服務器。? 從該區(qū)域只能訪問到半安全區(qū)域中的 DMZ 區(qū)域。? VPN接入?yún)^(qū)DMZ 區(qū)：移動的員工在中國移動外部，通過 VPN接入對 DMZ區(qū)的各種代理服務器進行訪問。30 / 47? DMZ區(qū)域中的設備需處在中國移動信息化辦公室的物理控制之下。? 服務器區(qū)集團－省公司互聯(lián)區(qū)對端集團/省公司信息化系統(tǒng)：雙方的OA、MIS、郵件等服務器互相通信，傳輸相關應用的數(shù)據(jù)。? 日常辦公區(qū)服務器區(qū)：內(nèi)部員工收發(fā)的內(nèi)部郵件、OA 辦公、防病毒軟件特征庫更新等都需要訪問服務器區(qū)的相應服務器，這是所有數(shù)據(jù)流中流量最大的。安全區(qū)的安全技術需求安全策略該區(qū)域具有以下要求具有以下安全策略：? 安全區(qū)設備需采用中國移動地址規(guī)范中為該區(qū)域設定的移動內(nèi)部 IP 地址范圍。因為在公共區(qū)域和半安全區(qū)域，員工辦公區(qū)域之間有防火墻，員工辦公區(qū)域和服務器區(qū)域之間又有訪問控制（通過 ACL）, 中國移動機密和重要數(shù)據(jù)可以被保存在服務器區(qū)域里的服務器上。（2） 網(wǎng)絡入侵檢測系統(tǒng)網(wǎng)絡入侵檢測被使用來檢測所有來自半安全區(qū)或安全區(qū)，經(jīng)過防火墻系統(tǒng)通往服務器區(qū)的網(wǎng)絡數(shù)據(jù)包，收集發(fā)生所有的交易及活動數(shù)據(jù)，以檢測所有攻擊企業(yè)信息化內(nèi)部核心網(wǎng)絡系統(tǒng)的活動。? 管理區(qū)服務器區(qū)：服務器區(qū)的設備直接發(fā)送日志信息到管理區(qū)的日志服務器；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員從管理區(qū)直接連接到服務器區(qū)設備上進行維護管理。40 / 4741 / 47企業(yè)信息化系統(tǒng)的保護分級企業(yè)信息化系統(tǒng)的威脅等級威脅是指會造成信息資產(chǎn)破壞、篡改、損失或泄露的任何行為，也包括了阻礙正常訪問或阻止資產(chǎn)維護的行為。? 網(wǎng)絡架構任何人都不能隨意變動，任何變更都需要經(jīng)過批準? 已安裝的網(wǎng)絡資產(chǎn)的文檔清單應被維護并保持最新。? 在對防火墻進行變更之后，必須經(jīng)過健康檢查。未經(jīng)批準，任何人員都不得私自關閉、拆除、更換、修改防火墻。? 部門之間網(wǎng)絡的連接應由安全管理部門批準。（6） 用戶訪問控制及授權策略管理集中提供用戶的訪問控制和授權系統(tǒng)。? 管理區(qū)集團－省公司互聯(lián)區(qū)：集團－省公司互聯(lián)區(qū)的設備直接發(fā)送日志信息到管理區(qū)的日志服務器；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員從管理區(qū)直接連接到集團－省公司互聯(lián)區(qū)設備上進行維護管理。? 服務器區(qū)域中存儲中國移動經(jīng)分類的信息，可存放中國移動的內(nèi)部信息和機密信息。核心服務器存在于這個區(qū)域，為那些在中國移動和半安全區(qū)域的計算機提供服務。? 省－地市公司互聯(lián)區(qū)內(nèi)部系統(tǒng)互聯(lián)區(qū)網(wǎng)管系統(tǒng)：訪問話務網(wǎng)管、局數(shù)據(jù)管理系統(tǒng)和 EOMS 系統(tǒng)等網(wǎng)管應用。Comment [fyb4]: 日常內(nèi)部辦公區(qū)應不能訪問到 BOSS或經(jīng)營分析系統(tǒng)Comment [fyb5]: 辦公區(qū)訪問不了網(wǎng)管系統(tǒng)和 BOSS系統(tǒng)33 / 47日常辦公區(qū)的業(yè)務數(shù)據(jù)流? 日常辦公區(qū)集團－省公司互聯(lián)區(qū)對端集團/省公司信息化系統(tǒng)：內(nèi)部員工通過集團－省公司互聯(lián)區(qū)訪問對端的信息化系統(tǒng) Elearning或公文網(wǎng)關等應用。集團 省公司互聯(lián)區(qū)：集團－省公司互聯(lián)區(qū)的業(yè)務數(shù)據(jù)流? 對端集團/省公司信息化系統(tǒng)集團－省公司互聯(lián)區(qū)：對端的信息化系統(tǒng)訪問 Elearni