【文章內(nèi)容簡介】 邏輯范圍或區(qū)域，同一安全域中的信息資產(chǎn)具有相同或相近的安全屬性，如安全級別、安全威脅、安全弱點、風(fēng)險等，同一安全域內(nèi)的系統(tǒng)相互信任，如在業(yè)務(wù)層面存在密切的邏輯關(guān)系。通過在網(wǎng)絡(luò)和系統(tǒng)層面安全域的劃分，將業(yè)務(wù)系統(tǒng)、安全技術(shù)有機(jī)結(jié)合，形成完整的防護(hù)體系，這樣既可以對同一安全域內(nèi)的系統(tǒng)進(jìn)行統(tǒng)一規(guī)范的保護(hù)，又可以限制系統(tǒng)風(fēng)險在網(wǎng)內(nèi)的任意擴(kuò)散，從而有效控制安全事件和安全風(fēng)險的傳播。 安全域劃分的必要性網(wǎng)絡(luò)的建設(shè)是由業(yè)務(wù)系統(tǒng)的驅(qū)動建設(shè)而成的，初始的網(wǎng)絡(luò)建設(shè)大多沒有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險各不相同。當(dāng)前中國移動的網(wǎng)絡(luò)系統(tǒng)是一個龐大復(fù)雜的系統(tǒng)，在支持業(yè)務(wù)不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個巨大的挑戰(zhàn)，對系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、有重點的保護(hù)是保證系統(tǒng)和信息安全的有效手段。目前中國移動的支撐系統(tǒng)還存在以下問題： （1）隨著中國移動的網(wǎng)絡(luò)規(guī)模和各相關(guān)應(yīng)用系統(tǒng)的不斷擴(kuò)大，支撐系統(tǒng)也隨之不斷發(fā)展，但各支撐系統(tǒng)的部署沒有明確的指導(dǎo)原則，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、層次不清、系統(tǒng)管理維護(hù)困難，網(wǎng)絡(luò)的有效性、穩(wěn)定性較低。6 / 37（2）根據(jù)系統(tǒng)的調(diào)研現(xiàn)狀，目前支撐系統(tǒng)的網(wǎng)絡(luò)仍然存在邊界不清的問題，主要是支撐系統(tǒng)之間的連接比較混亂，隨之帶來安全防護(hù)困難，投資較大，而且容易產(chǎn)生疏漏，單個系統(tǒng)中的安全問題極易擴(kuò)散到其它系統(tǒng)。只有通過明確安全域劃分的原則，才能形成清晰、簡潔、穩(wěn)定的 IT 組網(wǎng)架構(gòu)，實現(xiàn)系統(tǒng)之間嚴(yán)格訪問控制的安全互連，更好的解決復(fù)雜系統(tǒng)的安全問題。 各安全域的威脅等級分析目前，與各支撐系統(tǒng)安全域互聯(lián)的其它系統(tǒng)包括 CMNet、合作伙伴、第三方等等；由于不同系統(tǒng)的開放性、可控性等方面各不相同，它們的可信度也有明顯的區(qū)別。支撐系統(tǒng)與不同威脅等級、可信度的系統(tǒng)互聯(lián)時，面對的威脅是不同的。了解各系統(tǒng)可能帶來的主要威脅，才能有針對性的選擇不同的防護(hù)技術(shù)和防護(hù)強(qiáng)度。在參考 IATF 七個威脅等級（攻擊強(qiáng)度）、美國 NIST SP800 等標(biāo)準(zhǔn)對威脅的分析描述基礎(chǔ)上，結(jié)合中國移動支撐系統(tǒng)的具體情況，根據(jù)各互聯(lián)的系統(tǒng)出現(xiàn)不同強(qiáng)度攻擊的可能性，確定它的可信度。一個安全域當(dāng)中出現(xiàn)高強(qiáng)度攻擊的可能性越高，那么它的威脅等級越高，可信度越低。威脅可能源于對系統(tǒng)直接或間接的攻擊，例如信息泄漏、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。按照威脅產(chǎn)生的來源，可以分為外部威脅和內(nèi)部威脅：（1）外部威脅：來自不可控網(wǎng)絡(luò)的外部攻擊，主要指移動的 CMNET、其它電信運營商的 Inter互聯(lián)網(wǎng)，以及第三方的攻擊，其中互聯(lián)網(wǎng)的威脅主要是黑客攻擊、蠕蟲病毒等，而第三方的威脅主要是越權(quán)或濫用、泄密、篡改、惡意代碼或病毒等。（2）內(nèi)部威脅：主要來自內(nèi)部人員的惡意攻擊、無作為或操作失誤、越權(quán)或濫用、泄密、篡改等。另外，由于管理不規(guī)范導(dǎo)致各支撐系統(tǒng)之間的終端混用，也帶來病毒泛濫的潛在威脅。需要說明的是，威脅分為應(yīng)用層面的和網(wǎng)絡(luò)層面的，應(yīng)用層面的威脅主要是越權(quán)或濫用、篡改、泄密等，網(wǎng)絡(luò)層面的威脅主要針對網(wǎng)絡(luò)的弱點、漏洞產(chǎn)生的威脅。由于應(yīng)用層面的威脅涉及的因素較多，本技術(shù)要求主要針對網(wǎng)絡(luò)層面的威脅進(jìn)行分析。具體來說：（1）互聯(lián)網(wǎng)由于其開放性，完全不可控，威脅包括黑客攻擊、病毒擴(kuò)散等等，其威脅等級最高。（2）合作伙伴與中國移動是互為合作的關(guān)系，本身有一定的防護(hù)和管理措施，但又不受中國移動控制，仍然存在著病毒擴(kuò)散、惡意代碼的威脅，其威脅等級相對較高。（3）第三方的接入由于移動公司對其操作很難控制，而且第三方很容易獲取所管理維護(hù)的支撐系統(tǒng)的弱點及其分布，由于具有很高權(quán)限，其潛在威脅最大，但是通過一定的管理手段、合同要求、法律規(guī)定進(jìn)行約束后，這樣的威脅可以降低；網(wǎng)絡(luò)接入方面的安全問題可以通過技術(shù)手段結(jié)合管理規(guī)定，進(jìn)行控制。因此，威脅等級相對較低。（4）三個支撐系統(tǒng)都面臨著相同的內(nèi)部威脅，可控性較強(qiáng)，相對于互聯(lián)系統(tǒng)，其威脅等級最低。7 / 37但是，在支撐系統(tǒng)內(nèi)部，企業(yè)信息化系統(tǒng)面向辦公人員上網(wǎng)的應(yīng)用需求比較大，終端的移動特點比較突出，統(tǒng)一管理有一定的難度，因此其威脅等級相對其他支撐系統(tǒng)稍高。主要的的威脅等級分析見下表：其中等級分為 1－5，其中 5 威脅最大，即可能造成的損失最大。威脅等級分析表表 威脅等級 可能帶來的威脅 可控性 系統(tǒng)5 黑客攻擊、惡意代碼和病毒等 完全不可控 互聯(lián)網(wǎng)4 病毒擴(kuò)散、惡意代碼等 合作關(guān)系，但不可控 合作伙伴3 物理攻擊、惡意代碼和病毒等 一定的可控性 第三方2內(nèi)部人員的操作失誤、惡意代碼和病毒等較大的可控性 企業(yè)信息化系統(tǒng)1內(nèi)部人員的操作失誤、惡意代碼和病毒等基本可控網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng) 支撐系統(tǒng)的保護(hù)等級分析參考《關(guān)于信息安全等級保護(hù)工作的實施意見》，系統(tǒng)的保護(hù)等級規(guī)定了 5 級，根據(jù)中國移動的實際情況，各支撐系統(tǒng)總體上可以列為第 3 級，再根據(jù)具體情況進(jìn)行部分調(diào)整。系統(tǒng)的保護(hù)等級分為系統(tǒng)和信息 2 個層面，本技術(shù)要求主要是針對系統(tǒng)的保護(hù)等級，對于信息的保護(hù)等級，可以通過增加信息分級、信息加密、信息控制等實現(xiàn)信息的機(jī)密性。下面主要從資產(chǎn)價值、安全需求方面對支撐系統(tǒng)的保護(hù)等級進(jìn)行賦值判斷，其中資產(chǎn)價值主要是指資產(chǎn)的重要性，指標(biāo)列表如下：保護(hù)等級確定的指標(biāo)列表表 指標(biāo)類型 資產(chǎn)價值 安全要求指標(biāo)業(yè)務(wù)關(guān)聯(lián)性對業(yè)務(wù)網(wǎng)絡(luò)的影響對業(yè)務(wù)收益的影響對公司經(jīng)營管理的影響客戶重要程度對可用性的要求對完整性和準(zhǔn)確性的要求對保密性的要求賦值為 3直接對外，面向服務(wù)影響大直接關(guān)系業(yè)務(wù)收益直接影響或影響較大公眾用戶高對完整性、準(zhǔn)確性要求高對保密性要求高賦值為 2間接對外，面影響較小關(guān)系相對較少間接影響或影響較企業(yè)用戶中對完整性、準(zhǔn)確性要求對保密性要求8 / 37向網(wǎng)絡(luò)管理少 較低 較低賦值為 1內(nèi)部企業(yè)管理影響小無關(guān)系或較少無影響或影響少內(nèi)部用戶低對完整性、準(zhǔn)確性要求低對保密性要求低 資產(chǎn)價值賦值針對支撐系統(tǒng)，資產(chǎn)價值主要體現(xiàn)在業(yè)務(wù)關(guān)聯(lián)性、業(yè)務(wù)收益的影響、對公司經(jīng)營管理的影響以及面向客戶的重要程度等方面，賦值方法如下：（1）業(yè)務(wù)關(guān)聯(lián)性：? 直接對外，面向服務(wù)，賦值為 3? 間接對外，面向網(wǎng)絡(luò)管理，賦值為 2? 面向內(nèi)部企業(yè)管理，賦值為 1（2）對業(yè)務(wù)網(wǎng)絡(luò)的影響：? 影響大，對業(yè)務(wù)的開展直接影響，賦值為 3? 影響較小，賦值為 2? 影響小，賦值為 1（3）業(yè)務(wù)收益的影響：? 直接影響業(yè)務(wù)的收益：賦值為 3? 間接影響或影響較少：賦值為 2? 無影響或影響較少，賦值為 1（4）對公司經(jīng)營管理的影響：? 直接影響公司的經(jīng)營管理：賦值為 3? 間接影響或影響較少：賦值為 2? 無影響或影響少，賦值為 1（5）面向客戶的重要程度：? 面向大眾用戶：賦值為 3? 面向企業(yè)用戶：賦值為 2? 面向內(nèi)部人員，賦值為 1 安全需求賦值安全需求則是根據(jù)支撐系統(tǒng)的重要性，確定其在可用性、完整性、機(jī)密性三個方面的需求等級。（1）可用性指的是對系統(tǒng)實時可用的要求：9 / 37? 可用性要求高，賦值為 3? 可用性要求是中，賦值為 2? 可用性要求是低，賦值為 1（2）完整性指的是對完整性和準(zhǔn)確性的要求：? 對完整性和準(zhǔn)確性要求高，賦值為 3? 對完整性和準(zhǔn)確性要求較低，賦值為 2? 對完整性和準(zhǔn)確性要求低，賦值為 1（3）機(jī)密性指的是對保密性的要求：? 對機(jī)密性要求很高，賦值為 3? 對機(jī)密性要求較低，賦值為 2? 對機(jī)密性要求低，賦值為 1 支撐系統(tǒng)的賦值根據(jù)上述各項賦值的要求，對支撐系統(tǒng)的賦值進(jìn)行取定：支撐系統(tǒng)的保護(hù)等級列表表 資產(chǎn)價值 安全需求　系統(tǒng)名稱業(yè)務(wù)關(guān)聯(lián)性對業(yè)務(wù)網(wǎng)絡(luò)的影響業(yè)務(wù)收益的關(guān)系對公司經(jīng)營管理的影響客戶重要程度對可用性要求完整和準(zhǔn)確性要求保密性要求合計企業(yè)信息化系統(tǒng) 1 1 1 3 1 1 2 3 13網(wǎng)管系統(tǒng) 2 3 2 2 3 2 3 2 19業(yè)務(wù)支撐系統(tǒng) 3 3 3 2 3 3 3 3 23根據(jù)上面資產(chǎn)價值和安全需求的賦值可以得出，業(yè)務(wù)支撐系統(tǒng)的保護(hù)等級設(shè)為最高，網(wǎng)管系統(tǒng)的保護(hù)等級次之，企業(yè)信息化系統(tǒng)的保護(hù)等級更次之。在系統(tǒng)內(nèi)部，可以根據(jù)信息的機(jī)密性對個別系統(tǒng)的保護(hù)等級進(jìn)行細(xì)化調(diào)整。 安全域劃分的原則安全域（網(wǎng)絡(luò)安全域）是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。10 / 37 安全域劃分的根本原則（1） 業(yè)務(wù)保障原則：安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，還要保障業(yè)務(wù)的正常運行和運行效率。（2） 結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護(hù)體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難。（3） 等級保護(hù)原則：安全域的劃分要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。（4） 生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。 安全域劃分方法安全域的劃分除了遵循上述根本原則外，還根據(jù)業(yè)務(wù)邏輯、地域與管理模式、業(yè)務(wù)特點（如由于OA 網(wǎng)絡(luò)辦公終端安全方面可控性較差的特點，要求關(guān)注與 OA 服務(wù)器之間的接口，而網(wǎng)管系統(tǒng)中的生產(chǎn)終端的控制較好，可以簡化對服務(wù)器訪問的控制措施）劃分安全域、安全子域、安全區(qū)域。在安全域內(nèi)部進(jìn)一步劃分安全區(qū)域時，如核心生產(chǎn)區(qū)、日常工作區(qū)、漫游區(qū)、DMZ 區(qū)、第三方互聯(lián)區(qū)等等，重點參考了 IATF 計算區(qū)域劃分的理論，并考慮了不同區(qū)域和不同的威脅。中國移動的支撐系統(tǒng)相對于業(yè)務(wù)系統(tǒng)、INTERNET、合作伙伴來講，是不同的安全域；即移動支撐系統(tǒng)整體上作為一個安全域，而與之相連接的業(yè)務(wù)系統(tǒng)、INTERNET 、合作伙伴等是另一個安全域。在支撐系統(tǒng)內(nèi)部，從不同的角度安全域的劃分也不盡相同：（1）橫向：按照業(yè)務(wù)將支撐系統(tǒng)劃分各個不同的安全域，如業(yè)務(wù)支撐系統(tǒng)安全域、網(wǎng)管系統(tǒng)安全域、企業(yè)信息化系統(tǒng)安全域等；（2）縱向：各安全域又可以按照地域和管理分為集團(tuán)公司、省公司和地市分公司三個層面的安全子域，如集團(tuán)網(wǎng)管系統(tǒng)安全子域、省公司網(wǎng)管系統(tǒng)安全子域、地市分公司的網(wǎng)管系統(tǒng)安全子域。（3）對于每一個安全子域，如集團(tuán)公司網(wǎng)管系統(tǒng)安全子域，可以進(jìn)一步劃分為安全區(qū)域，即從安全的角度將處于安全子域中的設(shè)備，考慮到其所處的位置或連接的不同，將他們劃分在不同的安全區(qū)域中。例如可分為互聯(lián)接口區(qū)、核心生產(chǎn)區(qū)、日常維護(hù)管理區(qū)（維護(hù)終端）、第三方接入?yún)^(qū)（漫游區(qū)）、DMZ 區(qū)等。11 / 37圖 安全域劃分的示意圖（注：從風(fēng)險控制、技術(shù)實現(xiàn)和節(jié)省投資的角度考慮，本要求中暫不在集團(tuán)或者省公司各支撐系統(tǒng)內(nèi)部、針對不同應(yīng)用子系統(tǒng)進(jìn)一步劃分安全子域。隨著對網(wǎng)絡(luò)安全要求的提高和技術(shù)進(jìn)步，將來再逐步加強(qiáng)各支撐系統(tǒng)內(nèi)部子系統(tǒng)之間的訪問控制。） 網(wǎng)絡(luò)調(diào)整根據(jù)上述安全域的劃分原則，結(jié)合目前支撐系統(tǒng)的現(xiàn)狀，需要從廣域網(wǎng)、局域網(wǎng)、終端三個方面進(jìn)行網(wǎng)絡(luò)調(diào)整，實現(xiàn)支撐系統(tǒng)之間的有效隔離。 廣域網(wǎng)根據(jù)實際情況，三個支撐系統(tǒng)的廣域網(wǎng)主要采用了專線、MDCN、MPLS VPN 等不同的傳輸手段，支撐系統(tǒng)之間基本做到了隔離，但是某些省份是在同一承載網(wǎng)上通過設(shè)置不同的路由策略實現(xiàn)的邏輯隔離，比如北京的三個支撐網(wǎng)共用 MDCN。因此，隨著安全要求的提高、技術(shù)的演進(jìn)，廣域網(wǎng)應(yīng)逐步實現(xiàn)物理隔離（支撐系統(tǒng)的廣域網(wǎng)傳輸要求三層設(shè)備的隔離），或者通過采用相當(dāng)于物理隔離的技術(shù)（如采用 MPLS VPN 的方式進(jìn)行路由的隔離）實現(xiàn)隔離。12 / 37 局域網(wǎng)各支撐系統(tǒng)在集團(tuán)－省－地市三級節(jié)點的局域網(wǎng)組織基本采用了網(wǎng)絡(luò)分層的架構(gòu)體系，即接入層、核心層。但是接入層比較混亂，基本沒有經(jīng)過整合，不利于管理和維護(hù)。在確定安全域劃分的原則后，需要對支撐的網(wǎng)絡(luò)架構(gòu)進(jìn)行規(guī)劃，分為接口匯聚層、核心交換層、子系統(tǒng)層：（1）接口匯聚層：主要對系統(tǒng)的各種出口進(jìn)行匯聚，主要包括路由器設(shè)備、局域網(wǎng)交換設(shè)備以及某些特定的接口使用的一些安全設(shè)備等。例如集團(tuán)公司的網(wǎng)管系統(tǒng)，包括與省公司的通信路由器和采集路由器等，數(shù)量達(dá)到 26 個左右，給統(tǒng)一配置帶來一定的管理難度，可以通過兩或三臺高端路由器進(jìn)行匯聚，當(dāng)然，對匯聚路由器的端口、性能和處理能力有很高的要求。（2）核心交換層：主要包括核心交換機(jī)設(shè)備，實現(xiàn)外部接口與各子系統(tǒng)之間的數(shù)據(jù)交互，以及子系統(tǒng)之間的數(shù)據(jù)交互。（3）子系統(tǒng)層：實現(xiàn)各功能應(yīng)用的子系統(tǒng)，包括服務(wù)器和終端等。各子系統(tǒng)接入核心交換區(qū)，可以通過不同的 VLAN 實現(xiàn)各子系統(tǒng)的數(shù)據(jù)流的相對隔離。在支撐系統(tǒng)的后續(xù)建設(shè)時，按照三層網(wǎng)絡(luò)架構(gòu)進(jìn)行部署，根據(jù)后面邊界整合的原則確定接口的互聯(lián)方式，終端、服務(wù)器應(yīng)該按照 節(jié)安全區(qū)域劃分的原則進(jìn)行部署。圖 支撐系統(tǒng)各局域網(wǎng)目標(biāo)網(wǎng)絡(luò)架構(gòu)示意圖13 / 37 終端終端層面的調(diào)整目標(biāo)是實現(xiàn)終端的隔離，即生產(chǎn)終端與辦公終端的物理分離。解決終端的隔離問題，主要依賴于管