【文章內(nèi)容簡(jiǎn)介】 PIS60CA服 務(wù) 器HP LC2022網(wǎng) 管Cisco 3662上 網(wǎng) 路 由 器Cisco3662SunENTRPIS60SCWebmail ReverseProxyInterconnection ZoneInter Access Zone集 團(tuán) 網(wǎng) 絡(luò) 邏 輯 結(jié) 構(gòu) 圖 （ 新 ）SunENTRPIS60SC愛(ài) 立 信BD6816Firewall connection Zone GPRS樓 層用 戶User ZoneSunKANWU ServerSun V880SunOA2 Server Sun V880SunSC SCFireWall NETScreen204IntrusionDetectionSunENTRPIS60IBM 6000SunERPSunERP TrainingSunENTRPIS60WAPamp。SMS NETScreen25外 部 企 業(yè)SunENTRPIS60 SunERP撥 號(hào) 認(rèn) 證服 務(wù) 器路 由 器撥 號(hào) 備 份網(wǎng) 關(guān)服 務(wù) 器網(wǎng) 管上 網(wǎng) 路 由 器集 團(tuán) 網(wǎng) 絡(luò) 邏 輯 結(jié) 構(gòu) 圖 （ 新 ）愛(ài) 立 信 樓 層用 戶外 部 企 業(yè)圖 、 集團(tuán)企業(yè)信息化系統(tǒng)組網(wǎng)結(jié)構(gòu)示意圖集團(tuán)總部企業(yè)信息化系統(tǒng)與 Inter 互聯(lián)的業(yè)務(wù)需求1） 集團(tuán)總部的內(nèi)部用戶需要訪問(wèn) Inter，使用郵件收發(fā)、網(wǎng)頁(yè)瀏覽、軟件下載等服務(wù)。2） 采用 CMNet 之上的虛擬專用網(wǎng)（VPN），作為集團(tuán)總部與省公司信息化系統(tǒng)網(wǎng)絡(luò) E1 專線的備用，實(shí)現(xiàn)企業(yè)信息化應(yīng)用系統(tǒng)的冗余連接。3） 中國(guó)移動(dòng)員工通過(guò) Inter 遠(yuǎn)程使用集團(tuán)總部企業(yè)信息化系統(tǒng)：包括使用 VPN 客戶端軟件進(jìn)行 VPN 接入，和使用 PSTN 進(jìn)行 800 撥號(hào)接入。有時(shí)系統(tǒng)集成商、應(yīng)用開(kāi)發(fā)商或設(shè)備供應(yīng)商也會(huì)通過(guò)本方式接入，對(duì)其提供的應(yīng)用、設(shè)備進(jìn)行遠(yuǎn)程維護(hù)服務(wù)。4） 電子采購(gòu)系統(tǒng)，提供外部訪問(wèn)頁(yè)面，供應(yīng)商和內(nèi)部用戶均可通過(guò)inter 進(jìn)行信息瀏覽,并提交數(shù)據(jù)，如信息更新、投標(biāo)等。15 / 47省企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)拓?fù)涓鱾€(gè)省公司企業(yè)信息化系統(tǒng)的組網(wǎng)結(jié)構(gòu)差別很大，為簡(jiǎn)單清晰起見(jiàn)，用如下結(jié)構(gòu)示意圖表示：16 / 47圖 省公司企業(yè)信息化系統(tǒng)組網(wǎng)結(jié)構(gòu)示意圖省企業(yè)信息化系統(tǒng)與 Inter 互聯(lián)的業(yè)務(wù)需求1） 省公司的內(nèi)部用戶需要訪問(wèn) Inter，使用郵件收發(fā)、網(wǎng)頁(yè)瀏覽、軟件下載等服務(wù)。2） 采用 CMNet 之上的虛擬專用網(wǎng)（VPN），作為集團(tuán)與省公司信息化系統(tǒng)網(wǎng)絡(luò) E1 專線的備用，實(shí)現(xiàn)企業(yè)信息化應(yīng)用系統(tǒng)的冗余連接。3） 中國(guó)移動(dòng)員工通過(guò) Inter 遠(yuǎn)程使用省公司企業(yè)信息化系統(tǒng)：包括使用 VPN 客戶端軟件進(jìn)行 VPN 接入，和使用 PSTN 進(jìn)行 800 撥號(hào)接入。有時(shí)系統(tǒng)集成商、應(yīng)用開(kāi)發(fā)商或設(shè)備供應(yīng)商也會(huì)通過(guò)本方式接入，對(duì)其提供的應(yīng)用、設(shè)備進(jìn)行遠(yuǎn)程維護(hù)服務(wù)。17 / 47企業(yè)信息化系統(tǒng)安全域劃分安全域是一個(gè)邏輯范圍或區(qū)域，同一安全域中的信息資產(chǎn)具有相同或相近的安全屬性，如安全級(jí)別、安全威脅、安全弱點(diǎn)、風(fēng)險(xiǎn)等，同一安全域內(nèi)的系統(tǒng)相互信任，如在業(yè)務(wù)層面存在密切的邏輯關(guān)系。通過(guò)在網(wǎng)絡(luò)和系統(tǒng)層面安全域的劃分，將業(yè)務(wù)系統(tǒng)、安全技術(shù)有機(jī)結(jié)合，形成完整的防護(hù)體系，這樣既可以對(duì)同一安全域內(nèi)的系統(tǒng)進(jìn)行統(tǒng)一規(guī)范的保護(hù)，又可以限制系統(tǒng)風(fēng)險(xiǎn)在網(wǎng)內(nèi)的任意擴(kuò)散，從而有效控制安全事件和安全風(fēng)險(xiǎn)的傳播。企業(yè)信息化系統(tǒng)安全域劃分原則中訊郵電咨詢?cè)O(shè)計(jì)院編寫的《安全域劃分的研究》從中國(guó)移動(dòng)整體的角度，詳細(xì)描述了 BOSS、網(wǎng)管和信息化系統(tǒng)的安全域劃分和安全邊界整合。本規(guī)范的重點(diǎn)在企業(yè)信息化系統(tǒng)內(nèi)部，在從集團(tuán)總部和省公司兩個(gè)層面角度劃分安全域。雖然各省的具體情況差別很大，但為了便于企業(yè)信息化系統(tǒng)全網(wǎng)的統(tǒng)一和規(guī)范，本規(guī)范采用一種統(tǒng)一的有高度的原則來(lái)進(jìn)行劃分。由于前期所有的相關(guān)工作，集團(tuán)總部和省公司信息化系統(tǒng)的安全分區(qū)都是基于業(yè)務(wù)功能區(qū)域, 采用交換機(jī)核心網(wǎng)絡(luò)系統(tǒng)架構(gòu)的通過(guò)劃分 VLAN：MIS VLAN、OA VLAN、安全VLAN、管理 VLAN 等，采用防火墻核心網(wǎng)絡(luò)系統(tǒng)架構(gòu)，將網(wǎng)絡(luò)的通過(guò)劃分防火墻為幾個(gè)功能區(qū)：管理區(qū)、內(nèi)部區(qū)、用戶區(qū)、省公司互聯(lián)區(qū)等。這樣做的優(yōu)點(diǎn)在于各個(gè)安全區(qū)域很方便定義，劃分也不容易混淆，但缺點(diǎn)是隨著信息化系統(tǒng)越來(lái)越復(fù)雜，功能區(qū)越來(lái)越多，安全區(qū)域數(shù)量增加非?？?，而安全域之間的關(guān)系將呈幾何級(jí)數(shù)增長(zhǎng)，最后很難進(jìn)行管理和控制。因此，從擴(kuò)展性角度考慮，本規(guī)范使用的兩級(jí)安全域的概念，先定義幾個(gè)一級(jí)安全域，再將各個(gè)業(yè)務(wù)功能區(qū)域?qū)?yīng)定義為二級(jí)安全域，即安全子域。各個(gè)一級(jí)安全域本身的威脅級(jí)別、保護(hù)級(jí)別和安全需求就相對(duì)固定，同時(shí)一級(jí)安全域之間的相互關(guān)系，如數(shù)據(jù)流向等，也不會(huì)太過(guò)復(fù)雜。如果一些特殊的安全子域有特殊的要求，可以進(jìn)一步深入定義。另外安全子域也可以和交換機(jī)的 VLAN、防火墻的功能區(qū)做一定程度的對(duì)應(yīng)，可以盡量減少對(duì)現(xiàn)有環(huán)境的變更，而且盡量利用現(xiàn)有的相關(guān)安全區(qū)域研究成果。18 / 47企業(yè)信息化系統(tǒng)的安全域劃分集團(tuán)公司中國(guó)移動(dòng)的企業(yè)信息化系統(tǒng)根據(jù)信任程度、受威脅的級(jí)別、需要保護(hù)的級(jí)別和安全需求劃分為四個(gè)不同的安全域，如圖 ：? 公共區(qū)、? 半安全區(qū)、? 安全區(qū)、? 核心安全區(qū)圖 企業(yè)信息化系統(tǒng)安全域劃分下面對(duì)各個(gè)安全域分別進(jìn)行簡(jiǎn)要描述：公共區(qū)簡(jiǎn)述公共區(qū)是一個(gè)中國(guó)移動(dòng)安全政策和控制不能被直接應(yīng)用或不能被應(yīng)用的區(qū)域。所有的不在中國(guó)移動(dòng)直接控制范圍的實(shí)體和區(qū)域，包括其他合作伙伴、第三方都被劃分為公共區(qū)。從互聯(lián)網(wǎng)對(duì)中國(guó)移動(dòng)信息化系統(tǒng)的訪問(wèn)也歸類為從公共區(qū)域而來(lái)。此區(qū)域被分類為非安全的，需要對(duì)從此區(qū)域來(lái)的數(shù)據(jù)流進(jìn)行嚴(yán)格的控制。公共區(qū)包含不同種類的外部訪問(wèn)設(shè)備(通過(guò)互聯(lián)網(wǎng)、撥號(hào)、專線和 VPN 等方式連到中國(guó)移動(dòng)信息化系統(tǒng)的環(huán)境) 及外部用戶資源(包括用戶的網(wǎng)頁(yè)瀏覽器、WAP 瀏覽器、客戶端程序及用戶終端程序等)，這些都在中國(guó)移動(dòng)控制環(huán)境之外。另外公共區(qū)也包含中國(guó)移動(dòng)信息化內(nèi)部系統(tǒng)與外部系統(tǒng)的邊界設(shè)備，如接入路由器、外部入侵檢測(cè)。19 / 47半安全區(qū)簡(jiǎn)述半安全區(qū)位于在公共區(qū)及安全區(qū)的中間地帶，用于分割兩者之間的直接聯(lián)系并隱藏安全區(qū)（以及核心安全區(qū)）內(nèi)的資源不讓外部了解，因此將不會(huì)有直接的網(wǎng)絡(luò)數(shù)據(jù)流通于這兩個(gè)分隔的區(qū)域之間(公共與安全/核心安全區(qū))。根據(jù)半安全區(qū)的功能用途，該區(qū)域位于中國(guó)移動(dòng)信息化系統(tǒng)范圍以內(nèi)，包含了所有能被非信任來(lái)源直接訪問(wèn)并提供服務(wù)的系統(tǒng)和設(shè)備，如代理服務(wù)器、轉(zhuǎn)發(fā)服務(wù)器、應(yīng)用網(wǎng)關(guān)、接口機(jī)，還有一些重要程度不高且直接對(duì)外界提供服務(wù)的服務(wù)器。半安全區(qū)被視為是易受攻擊的半信任區(qū)，因此機(jī)密資料應(yīng)盡量不放置于此，若有則應(yīng)采取適當(dāng)?shù)谋Ｗo(hù)措施。安全區(qū)簡(jiǎn)述安全區(qū)是移動(dòng)信息化系統(tǒng)內(nèi)部用戶所在的區(qū)域，被認(rèn)為是信任區(qū)域，接入核心交換機(jī)時(shí)原則上不需要通過(guò)防火墻過(guò)濾，但仍需要 VLAN、路由或訪問(wèn)列表進(jìn)行過(guò)濾，以保護(hù)該區(qū)域數(shù)據(jù)安全，同時(shí)也防止區(qū)域內(nèi)部安全故障擴(kuò)散到其它區(qū)。在這個(gè)區(qū)域里也可存在一些重要程度不高且經(jīng)常使用的服務(wù)器，提供服務(wù)給那些在相同區(qū)域里的計(jì)算機(jī)。區(qū)域內(nèi)的對(duì)于設(shè)備訪問(wèn)和修改的授權(quán)需要基于身份驗(yàn)證，如果需要的話，還可基于其他更多的明確的授權(quán)規(guī)則。核心安全區(qū)簡(jiǎn)述核心安全區(qū)安全級(jí)別最高，包含了重要的應(yīng)用服務(wù)器，提供關(guān)鍵的企業(yè)信息化應(yīng)用；也包含核心的數(shù)據(jù)庫(kù)服務(wù)器，保存有機(jī)密數(shù)據(jù)；還包含管理控制臺(tái)和服務(wù)器，具有管理所有系統(tǒng)的權(quán)限和功能。因此核心安全區(qū)受到最全面的安全技術(shù)手段的保護(hù)，同時(shí)對(duì)其內(nèi)部系統(tǒng)和設(shè)備的訪問(wèn)及操作都需要通過(guò)嚴(yán)格的安全管理流程。安全域的安全措施根據(jù)各個(gè)安全域的功能定義、所提供的服務(wù)，以及所包括的設(shè)備和系統(tǒng)，可以得出安全域受到的威脅等級(jí)和需要的保護(hù)等級(jí)，這將在第四章“企業(yè)信息化系統(tǒng)的保護(hù)分級(jí)”中詳細(xì)討論。同時(shí)也可以得出各個(gè)安全域需要采取的基本安全措施和安全設(shè)備（詳細(xì)分析參見(jiàn) 節(jié)）：1） 公共區(qū)：外部設(shè)備和資源由于不在中國(guó)移動(dòng)可控制范圍內(nèi)，無(wú)法直接采取安全措施；而邊界設(shè)備需20 / 47要進(jìn)行外部訪問(wèn)的接入和過(guò)濾，包括接入路由器和外部入侵檢測(cè)。2） 半安全區(qū)：與移動(dòng)企業(yè)信息化系統(tǒng)外部的非安全區(qū)域直接相聯(lián)，需要外部防火墻和防病毒網(wǎng)關(guān)；提供的服務(wù)可能包括外部域名解析，可能需要外部域名服務(wù)器；公共區(qū)與安全區(qū)/核心安全區(qū)的數(shù)據(jù)交互不能直接進(jìn)行，在半安全區(qū)需要提供代理或應(yīng)用網(wǎng)關(guān)服務(wù)。3） 安全區(qū)：包括了移動(dòng)信息化系統(tǒng)內(nèi)部用戶，還有一些重要程度不高且經(jīng)常使用的服務(wù)器，因此需要針對(duì)日常辦公的用戶終端提供流量監(jiān)控、防病毒服務(wù)器、文件服務(wù)和加密服務(wù)。4） 核心安全區(qū)：包括中國(guó)移動(dòng)信息化系統(tǒng)重要的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、管理控制臺(tái)和服務(wù)器，需要作嚴(yán)格的安全控制，因此本區(qū)域會(huì)采取身份認(rèn)證、訪問(wèn)控制、入侵檢測(cè)、漏洞掃描、日志審計(jì)、系統(tǒng)管理等安全措施。圖 企業(yè)信息化系統(tǒng)安全域的安全措施二級(jí)安全域的劃分 節(jié)中描述的企業(yè)信息化系統(tǒng)的各類應(yīng)用，都有一個(gè)從用戶經(jīng)過(guò)接入訪問(wèn)應(yīng)用的數(shù)據(jù)流過(guò)程。為了更方便地將這些應(yīng)用所涉及到的用戶終端、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和服務(wù)器設(shè)備在安全域里進(jìn)行映射對(duì)應(yīng)，從而達(dá)到通過(guò)劃分安全域保護(hù)信息化系統(tǒng)應(yīng)用數(shù)據(jù)的目的，僅依靠一級(jí)安全域的粒度是不夠的，需要進(jìn)一步劃分成為二級(jí)安全域。劃分的依據(jù)是企業(yè)信息化系統(tǒng)不同的功能區(qū)域，以及各個(gè)功能區(qū)域的信任程度、受威脅的級(jí)別、需要保護(hù)的級(jí)別和安全需求。本章以后幾節(jié)會(huì)詳細(xì)討論安全域的業(yè)務(wù)數(shù)據(jù)流需求、安全策略和安全設(shè)備需求，在這里先從數(shù)據(jù)流的角度將應(yīng)用作一個(gè)分類，這樣在應(yīng)用架構(gòu)描述時(shí)，比較容易對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)、設(shè)備和系統(tǒng)與安全域進(jìn)行映射對(duì)應(yīng)：1） 全國(guó)互訪應(yīng)用：如 elearning 系統(tǒng)，從全集團(tuán)的角度向所有中國(guó)移動(dòng)員工提供服務(wù)。其用戶是集21 / 47團(tuán)總部和各省公司信息化系統(tǒng)內(nèi)部員工，從內(nèi)部安全區(qū)或外部半安全區(qū)發(fā)起訪問(wèn)，因此其服務(wù)器放置在集團(tuán)總部的內(nèi)部半安全區(qū)，但該子區(qū)域的信任程度和保護(hù)級(jí)別要比 DMZ 區(qū)高，具體的安全策略和安全設(shè)備需求也有所不同，可以定義為集團(tuán)－省公司互聯(lián)區(qū)二級(jí)安全域。2） 局部應(yīng)用：如 OA 系統(tǒng)，主要是集團(tuán)總部和各省公司信息化系統(tǒng)為各自的內(nèi)部員工提供服務(wù)，其用戶訪問(wèn)來(lái)自各自安全區(qū)內(nèi)的日常辦公區(qū)，服務(wù)器放置在各自核心安全區(qū)內(nèi)的服務(wù)器區(qū)。如果有互訪要求，可以通過(guò)各自集團(tuán)－省公司互聯(lián)區(qū)內(nèi)的公文網(wǎng)關(guān)進(jìn)行數(shù)據(jù)傳輸。3） 對(duì)外應(yīng)用：如電子采購(gòu)系統(tǒng)，用戶是中國(guó)移動(dòng)的供應(yīng)商，信息化系統(tǒng)內(nèi)部只有發(fā)布、更新和維護(hù)工作。這類應(yīng)用的用戶終端位于公共區(qū)，因此其服務(wù)器只能放置在半安全區(qū)的 DMZ 區(qū)。如果該服務(wù)器的保護(hù)級(jí)別要求很高，也可以放置在核心安全區(qū)，通過(guò) DMZ 區(qū)。再根據(jù)信息化系統(tǒng)不同功能區(qū)域，將的應(yīng)用代理服務(wù)器作應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)。集團(tuán)總部各企業(yè)信息化系統(tǒng)的安全域劃分為 8 個(gè)安全子域（如圖 ）：互聯(lián)網(wǎng)（CMNet）非移動(dòng)用戶接入?yún)^(qū)、外部 VPN 員工接入?yún)^(qū)；DMZ 區(qū)、集團(tuán)－省公司互聯(lián)區(qū)；日常辦公區(qū)、內(nèi)部系統(tǒng)互連區(qū)；內(nèi)部服務(wù)器區(qū)、管理區(qū)。相對(duì)與集團(tuán)總部信息化系統(tǒng)，省公司信息化系統(tǒng)屬于外部半安全區(qū)域，集團(tuán)總部 BOSS 和網(wǎng)管系統(tǒng)屬于外部安全區(qū)域。22 / 4723 / 47圖 3 集團(tuán)總部信息化系統(tǒng)安全域劃分各省企業(yè)信息化系統(tǒng)由各省自行建設(shè)，但與集團(tuán)總部的安全域劃分基本一致，只是在安全區(qū)里多了一個(gè)安全子域：?。厥泄净ミB區(qū)。相對(duì)與省公司信息化系統(tǒng)，集團(tuán)24 / 47總部信息化系統(tǒng)屬于外部半安全區(qū)域，省公司 BOSS 和網(wǎng)管、地市公司屬于外部安全區(qū)域。如圖 。25 / 47圖 4 省公司信息化系統(tǒng)安全域劃分描述如下：具體描述如下：公共區(qū)：提供訪問(wèn) Cm 互聯(lián)網(wǎng)的網(wǎng)絡(luò)連接訪問(wèn)及各種撥號(hào)、VPN 接入、漫游筆記本接入等等。可依需求分為兩個(gè)子區(qū)域：互聯(lián)網(wǎng)（ CMNet） 非移動(dòng)用戶 接入?yún)^(qū)： 是提供企業(yè)信息化內(nèi)部系統(tǒng)與外部非信任系統(tǒng)的連接，互聯(lián)網(wǎng)的直接連接主要提供中國(guó)移動(dòng)供應(yīng)商或第三方對(duì)企業(yè)信息化系統(tǒng)的訪問(wèn)，同時(shí)也提供企業(yè)信息化內(nèi)部對(duì)互聯(lián)網(wǎng)資源的訪問(wèn)。外部 VPN 移動(dòng)用戶 接入?yún)^(qū)： 提供是企業(yè)信息化內(nèi)部系統(tǒng)與外部可信任系統(tǒng)通過(guò)非信任傳輸路徑的連接，提供中國(guó)移動(dòng)員工從中國(guó)移動(dòng)外部接入企業(yè)信息化系統(tǒng)與互聯(lián)網(wǎng)通過(guò) VPN 的連接的連接，以及集團(tuán)總部與省公司通過(guò) CMNet 上 VPN 的備用連接。2） 半安全區(qū)：提供跨網(wǎng)區(qū)域之間的服務(wù)，可依需求分為兩個(gè)子區(qū)域：DMZ 區(qū)： 包括企業(yè)代理服務(wù)器、短信息轉(zhuǎn)發(fā)服務(wù)器、郵件代理服務(wù)器和郵件防病毒服務(wù)器、外部 DNS 服務(wù)器等。集團(tuán) 省公司互聯(lián)區(qū)： 包括提供集團(tuán)總部公司與省公司企業(yè)信息化系統(tǒng)的互聯(lián)，公文網(wǎng)關(guān) MIS 接口機(jī)等服務(wù)器放置在該區(qū)域。3） 安全區(qū)：企業(yè)信息化系統(tǒng)內(nèi)部區(qū)域，可依需求分為二或三個(gè)子區(qū)域：日常辦公區(qū) ：包括樓層的辦公終端，以及重要性不高的服務(wù)器。比如在辦公終端或低端服務(wù)器上，安裝了一些經(jīng)常使用的非重要設(shè)備的監(jiān)控或管理軟件，為方便管理26 / 47和使用，這些設(shè)備也歸屬于日常辦公區(qū)。內(nèi)部系統(tǒng)互連區(qū)： 包括對(duì)業(yè)務(wù)支撐 BOSS 系統(tǒng)、網(wǎng)管系統(tǒng)的互連。?。厥泄净ヂ?lián)區(qū) （省公司級(jí)別才具有） ： 包括省公司與地市公司的互聯(lián)。4）4） 核心安全區(qū)：為安全層級(jí)級(jí)別最高的層級(jí)，保存最重要的數(shù)據(jù)，亦可依需求分為兩個(gè)子區(qū)域：服務(wù)器區(qū)域： 放置數(shù)據(jù)庫(kù)服務(wù)器、MIS 應(yīng)用服務(wù)器、綜合統(tǒng)計(jì)服務(wù)器、MAIL 服務(wù)器、OA 網(wǎng)關(guān)服務(wù)器、IE 服務(wù)器和 FAX 服務(wù)器等核心應(yīng)用主機(jī)設(shè)備。管理區(qū)域： 包括安全管理服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、認(rèn)證服務(wù)器、入侵檢測(cè)控制臺(tái)、日志服務(wù)器等與安全管理密切相關(guān)