【正文】 S 系統(tǒng)：訪問經(jīng)營分析、大客戶等 BOSS應用。安全區(qū)的安全技術需求安全策略該區(qū)域具有以下要求具有以下安全策略：? 安全區(qū)設備需采用中國移動地址規(guī)范中為該區(qū)域設定的移動內部 IP 地址范圍。? 安全區(qū)和半安全區(qū)域之間必須設置防火墻，把企業(yè)信息化系統(tǒng)的內部網(wǎng)絡和外部網(wǎng)絡隔離。? 安全區(qū)不允許從公共區(qū)域直接訪問，安全區(qū)不能直接訪問公共區(qū)域，原則上需要通過半安全區(qū)域才能訪問公共區(qū)域。? 安全區(qū)不允許來自非中國移動的訪問。例如，和第三方公司建立路由。? 從安全區(qū)可對半安全區(qū)域中的設備進行管理。安全區(qū)的安全設備需求35 / 47本區(qū)域的必須包含下列重要安全設備︰（1） 網(wǎng)絡入侵檢測在半安全區(qū)與安全區(qū)之間的網(wǎng)絡入侵檢測被使用來檢測所有來自半安全區(qū)，經(jīng)過防火墻系統(tǒng)通往安全區(qū)的網(wǎng)絡數(shù)據(jù)包，收集發(fā)生所有的交易及活動數(shù)據(jù)，以檢測所有攻擊企業(yè)信息化內部網(wǎng)絡系統(tǒng)的活動。（2） 企業(yè)版（網(wǎng)絡版）防病毒系統(tǒng)企業(yè)版防病毒服務器對客戶端進行統(tǒng)一的防病毒管理和監(jiān)控。（3） 用戶安全審計系統(tǒng)（3）（3） 流量監(jiān)控系統(tǒng)對安全區(qū)（主要是日常辦公區(qū)）的網(wǎng)絡流量進行監(jiān)控，記錄非正常辦公需要的網(wǎng)絡流量。（4） 權限管理系統(tǒng)（4）（4） 文件服務器 安全區(qū)（主要是日常辦公區(qū)）的文件服務器提供內部人員存放一般等級和內部等級的數(shù)據(jù)，作為數(shù)據(jù)的備份及交換工具。（5） 加密服務加密服務提供給內部使用者，當傳送需要保護的機密信息時使用，避免遭到竊聽而外泄。核心安全區(qū)36 / 47核心安全區(qū)為安全層級最高的層級，保存最重要的數(shù)據(jù)，并具有管理所有系統(tǒng)的權限亦可依需求分為兩個區(qū)域：服務器區(qū)域和管理區(qū)域。服務器區(qū)： 這是敏感數(shù)據(jù)、應用程序和服務存在的地方。屬于安全和受信任的區(qū)域。核心服務器存在于這個區(qū)域，為那些在中國移動和半安全區(qū)域的計算機提供服務。這個網(wǎng)絡段被用于存儲敏感數(shù)據(jù)和應用業(yè)務邏輯。因為在公共區(qū)域和半安全區(qū)域，員工辦公區(qū)域之間有防火墻，員工辦公區(qū)域和服務器區(qū)域之間又有訪問控制（通過 ACL）, 中國移動機密和重要數(shù)據(jù)可以被保存在服務器區(qū)域里的服務器上。OA、數(shù)據(jù)庫、MAIL、內部 DNS、IE 等服務器被放在服務器區(qū)域，可以減小數(shù)據(jù)丟失或進一步的攻擊帶來的風險，如果服務器區(qū)需要將某些應用系統(tǒng)與其它通用服務器服務器區(qū)分開來（例如 MIS 系統(tǒng)與 OA 系統(tǒng)），可以對服務器區(qū)進一步劃分二級安全子域，可以在內部防火墻的多個端口，設置安全控制策略，從而實現(xiàn)多個服務器區(qū)的劃分。服務器區(qū)的業(yè)務數(shù)據(jù)流? 服務器區(qū)DMZ 區(qū)公共區(qū)：內部員工的郵件等服務通過 DMZ 區(qū)的代理轉發(fā)，再通過公共區(qū)發(fā)送到互聯(lián)網(wǎng)；反之亦然。? 服務器區(qū)集團－省公司互聯(lián)區(qū)對端集團/省公司信息化系統(tǒng)：雙方的OA、MIS、郵件等服務器互相通信，傳輸相關應用的數(shù)據(jù)。? 日常辦公區(qū)服務器區(qū)：內部員工收發(fā)的內部郵件、OA 辦公、防病毒軟件特征庫更新等都需要訪問服務器區(qū)的相應服務器，這是所有數(shù)據(jù)流中流量最大的。? 日常辦公區(qū)服務器區(qū)DMZ 區(qū)公共區(qū)：內部員工的外部郵件等互聯(lián)網(wǎng)服務通過 DMZ 區(qū)的代理轉發(fā)，再通過公共區(qū)發(fā)送到互聯(lián)網(wǎng)；反之亦然。? ?。厥泄净ヂ?lián)區(qū)服務器區(qū)：地市公司內部員工收發(fā)的內部郵件、OA 辦公等都需要訪問服務器區(qū)的相應服務器。Comment [fyb6]: 日常內部辦公區(qū)應不能訪問到 BOSS或經(jīng)營分析系統(tǒng)37 / 47? ?。厥泄净ヂ?lián)區(qū)服務器區(qū)DMZ 區(qū)公共區(qū)：地市公司內部員工的外部郵件等互聯(lián)網(wǎng)服務通過 DMZ區(qū)的代理轉發(fā)，再通過公共區(qū)發(fā)送到互聯(lián)網(wǎng)；反之亦然。? 服務器區(qū)管理區(qū)：服務器區(qū)的設備直接發(fā)送日志信息到管理區(qū)的日志服務器；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員從管理區(qū)直接連接到服務器區(qū)設備上進行維護管理。? 服務器區(qū)內部系統(tǒng)互聯(lián)區(qū)BOSS 系統(tǒng)：訪問經(jīng)營分析、大客戶等 BOSS應用。服務器區(qū)的安全技術要求安全策略該區(qū)域具有以下要求具有以下安全策略：? 服務器區(qū)域設備需采用中國移動地址規(guī)范中為該區(qū)域設定的移動內部 IP地址范圍。? 服務器區(qū)域采用單獨的 VLAN,和安全區(qū)域間通過 VLAN或防火墻限制非授權流量。? 服務器區(qū)域不允許來自非中國移動的訪問。例如，和第三方公司建立路由。? 服務器區(qū)域中存儲中國移動經(jīng)分類的信息，可存放中國移動的內部信息和機密信息。服務器區(qū)的安全設備要求本區(qū)域的必須包含下列重要安全設備︰（1） 主機入侵檢測系統(tǒng)在服務器區(qū)的服務器安裝主機入侵檢測系統(tǒng)，可用來檢測所有對該區(qū)域服務器的聯(lián)機及訪問動作，以檢測到所有針對該區(qū)域服務器的入侵攻擊行動。（2） 網(wǎng)絡入侵檢測系統(tǒng)網(wǎng)絡入侵檢測被使用來檢測所有來自半安全區(qū)或安全區(qū)，經(jīng)過防火墻系統(tǒng)通往服務器區(qū)的網(wǎng)絡數(shù)據(jù)包，收集發(fā)生所有的交易及活動數(shù)據(jù)，以檢測所有攻擊企業(yè)信息化內部核心網(wǎng)絡系統(tǒng)的活動。（3） 漏洞掃描系統(tǒng)定期對服務器區(qū)的重要服務器作漏洞掃描，盡早主動發(fā)現(xiàn)問題并加以解決。38 / 47（4） 內部域名服務器內部域名服務器轉換中國移動各省公司網(wǎng)域中之服務器名與 IP 地址。此為網(wǎng)絡服務功能，提供給中國移動的使用者使用。集團總部和各省公司的信息化系統(tǒng)都在該內部域名服務器上解析 DNS。本服務器只需要一臺，位于集團總部的服務器區(qū)，只能做移動公司內部的域名解析，對 INTERNET 的域名不做解析。將來用戶量增加以后可以在各省公司服務器區(qū)內增設一臺二級域名服務器，作為主域名服務器的鏡像。管理區(qū)域：這是最敏感數(shù)據(jù)、管理數(shù)據(jù)、認證數(shù)據(jù)和核心安全服務存在的地方。屬于安全和受信任的區(qū)域。對于中國移動內部網(wǎng)絡的其余部分，這里風險最小。對該區(qū)域的訪問嚴格限制于被指定和授權的個人。應實施非常嚴格的安全機制來保護在高度安全域中的資產(chǎn)。例如安全管理服務器、網(wǎng)絡管理服務器、認證服務器、入侵檢測控制臺、日志服務器等與安全管理密切相關的設備。管理區(qū)的業(yè)務數(shù)據(jù)流? 管理區(qū)DMZ 區(qū)：DMZ 區(qū)的設備直接發(fā)送日志信息到管理區(qū)的日志服務器；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員從管理區(qū)直接連接到 DMZ 區(qū)設備上進行維護管理。? 管理區(qū)集團－省公司互聯(lián)區(qū)：集團－省公司互聯(lián)區(qū)的設備直接發(fā)送日志信息到管理區(qū)的日志服務器；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員從管理區(qū)直接連接到集團－省公司互聯(lián)區(qū)設備上進行維護管理。? 管理區(qū)日常辦公區(qū)：日常辦公區(qū)的設備直接發(fā)送日志信息到管理區(qū)的日志服務器；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員從管理區(qū)直接連接到日常辦公區(qū)設備上進行維護管理。? 管理區(qū)服務器區(qū)：服務器區(qū)的設備直接發(fā)送日志信息到管理區(qū)的日志服務器；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員從管理區(qū)直接連接到服務器區(qū)設備上進行維護管理。管理區(qū)的安全技術需求安全策略39 / 47? 管理區(qū)域設備需采用中國移動地址規(guī)范中為該區(qū)域設定的移動內部 IP 地址范圍。? 管理區(qū)域采用單獨的 VLAN,和安全區(qū)域間通過 VLAN 限制非授權流量。? 管理區(qū)域不允許來自非中國移動的訪問。例如，和第三方公司建立路由。? 對該區(qū)域的訪問嚴格限制于被指定和授權的個人。? 管理區(qū)域中可存儲中國移動的機密信息。管理區(qū)的安全設備需求（1） 防火墻管理此防火墻管理提供防火墻控制臺服務，包含策略變更和檢測服務。（2） 入侵檢測管理入侵檢測設備集中于控制臺來管理。 （3） 系統(tǒng)管理此節(jié)點提供效能、可用性及容量管理。包括事件檢測器，并集中在進行控制臺分析、響應及報告。（4） 日志服務器收集企業(yè)信息化系統(tǒng)內網(wǎng)絡設備和安全設備的日志告警信息。（5） 時間同步服務時間同步服務允許同步所管理設備的時間、日期，確保其一致性。時間同步服務并非信息安全架構一部份，但有其重要作用。（6） 用戶訪問控制及授權策略管理集中提供用戶的訪問控制和授權系統(tǒng)。本系統(tǒng)定義了移動企業(yè)信息化的所有用戶，同時還定義了該用戶在中國移動內所具有的工作角色和群組信息。40 / 4741 / 47企業(yè)信息化系統(tǒng)的保護分級企業(yè)信息化系統(tǒng)的威脅等級威脅是指會造成信息資產(chǎn)破壞、篡改、損失或泄露的任何行為，也包括了阻礙正常訪問或阻止資產(chǎn)維護的行為。威脅可大可小，并會造成或大或小的后果。按照產(chǎn)生的來源，威脅可以分為外部威脅和內部威脅：外部威脅：來自不可控網(wǎng)絡的外部攻擊，主要指移動的 CMNET、其它電信運營商的 Inter 互聯(lián)網(wǎng)，以及第三方的攻擊，其中互聯(lián)網(wǎng)的威脅主要是黑客攻擊、蠕蟲病毒等，而第三方的威脅主要是物理攻擊、越權或濫用、泄密、篡改、惡意代碼或病毒等。內部威脅：主要來自內部人員的惡意攻擊、無作為或操作失誤、越權或濫用、泄密、篡改等。另外，由于管理不規(guī)范導致各支撐系統(tǒng)之間的終端混用，也帶來病毒泛濫的潛在威脅。對于企業(yè)信息化系統(tǒng)，各個安全區(qū)域的威脅等級各有不同：公共區(qū)：與互聯(lián)網(wǎng)直接相聯(lián)，威脅主要是來自外部威脅，包括黑客攻擊、病毒擴散等，因此屬于非信任區(qū)，其受到的威脅等級最高。半安全區(qū)：與非信任區(qū)直接相聯(lián)并接受其訪問，也會受到一定的外部威脅和內部威脅，因此屬于半信任區(qū)，其受到的威脅等級較高。安全區(qū)：非信任區(qū)不能直接訪問，主要是內部威脅存在，但是有一定的安全控制機制，因此屬于信任區(qū)，其受到的威脅等級較低。核心安全區(qū)：類似安全區(qū)，但是有更加嚴格的安全控制機制進行管理，屬于高度信任區(qū)，其受到的威脅等級最低。各系統(tǒng)的威脅等級見下表：其中等級分為 1－4，其中 4 威脅最大，即可能造成的損失最大。系統(tǒng)名稱 威脅等級 可能帶來的威脅公共區(qū) 4 嚴重的黑客攻擊、惡意代碼和病毒、篡改、泄密半安全區(qū) 3 黑客攻擊、惡意代碼和病毒、越權或濫用安全區(qū) 2 惡意代碼或病毒、越權或濫用核心安全區(qū) 1 內部人員的操作失誤、惡意代碼和病毒、篡改等42 / 47表 威脅等級分析表企業(yè)信息化系統(tǒng)的保護等級企業(yè)信息化系統(tǒng)的保護等級主要從資產(chǎn)價值、安全需求方面進行賦值判斷。針對企業(yè)信息化系統(tǒng)的保護等級，確定的指標列表如下：指標類型 信息資產(chǎn)的價值 信息資產(chǎn)的安全需求指標 影響程度 用戶重要程度 保密性 完整性 可用性賦值為 3 高 管理用戶 高 高 高賦值為 2 中 內部連接用戶 中 中 中賦值為 1 低 外部連接用戶 低 低 低表 保護等級確定的指標列表43 / 47根據(jù)上述各項賦值的要求，對企業(yè)信息化系統(tǒng)安全域進行賦值：　指標類型 信息資產(chǎn)的價值 信息資產(chǎn)的安全需求安全域名稱 影響程度 用戶重要程度 保密性 完整性 可用性 合計公共區(qū) 1 1 1 1 1 5半安全區(qū) 2 2 1 2 2 9安全區(qū) 3 2 2 3 3 13核心安全區(qū) 3 3 3 3 3 15表 企業(yè)信息化系統(tǒng)安全域的保護等級列表根據(jù)上面資產(chǎn)價值和安全需求的賦值可以得出，企業(yè)信息化系統(tǒng)各個安全域的安全保護等級從高到低依次為：核心安全區(qū)、安全區(qū)、半安全區(qū)、公共區(qū)。44 / 47企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡保護通用網(wǎng)絡保護? 在沒有得到預先批準的情況下，不能公開發(fā)布內部網(wǎng)絡地址，設置和有關系統(tǒng)和網(wǎng)絡信息。? 所有連接到第三方網(wǎng)絡或者連接公共網(wǎng)絡的內部網(wǎng)絡應被保護。? 部門之間網(wǎng)絡的連接應由安全管理部門批準。? 到其他網(wǎng)絡的連接不應危及在另一個網(wǎng)絡里處理的信息的安全，反之亦然。? 網(wǎng)絡架構任何人都不能隨意變動，任何變更都需要經(jīng)過批準? 已安裝的網(wǎng)絡資產(chǎn)的文檔清單應被維護并保持最新。一些網(wǎng)絡拓撲的細節(jié)的描述如，協(xié)議，結構，加密等等也應被文檔化和保持最新。交換機上的控制網(wǎng)絡中的一些信息系統(tǒng)可能由于含有敏感和重要的數(shù)據(jù)，需要特別的保護，防止其他網(wǎng)絡用戶的訪問。在這樣的情況下，在網(wǎng)絡中加以控制，應考慮分隔用戶和信息系統(tǒng)。一種控制大型網(wǎng)絡的方法是把他們分隔成各個邏輯的域，以控制在這兩個于之間的信息流。這個交換設備應能過濾兩個域之間的數(shù)據(jù)流，并阻止違背訪問控制原則的非授權訪問，例如可通過訪問控制列表來實現(xiàn).把網(wǎng)絡分隔成域的標準應基于業(yè)務的訪問要求，并考慮相應的成本和性能影響，采用合適的網(wǎng)絡路由。為了加強安全保護，VLAN 建設中建議采用以下功能：? 核心交換機和分布式交換機實施包過濾技術；? 只有授權的用戶才能訪問服務器，用有效的IP地址進行授權。45 / 47? 限制和控制訪問關鍵服務器應用的流量，例如，只允許Ftp、Tel等從某個授權地點到某個關鍵服務器應用的流量。路由器上的控制? 共享的網(wǎng)絡，特別是那些跨過組織邊界的網(wǎng)絡，需要實施路由控制來確保計算機連接和信息流只能基于業(yè)務的需要，這種控制對于和第三方的網(wǎng)絡共享非常重要。? 路由器上應給予確實的源地址和目的地址的檢查機制。? 網(wǎng)絡地址的轉換對分隔網(wǎng)絡和防止路由從一個組織網(wǎng)絡傳播到另一個組織的網(wǎng)絡是非常有用的。防火墻上的控制防火墻的管理要求? 防火墻由企業(yè)信息化辦公室統(tǒng)一規(guī)劃。任何防火墻的建立都需要企業(yè)信息化辦公室安全組織的批準。? 防火墻的任何變更都必須由安全組織正式批準。未經(jīng)批準，任何人員都不得私自關閉、拆除、更換、修改防火墻。? 所有與防火墻相連接的網(wǎng)絡部分的更改，設備的變更，都需經(jīng)過安全組織正式批準。? 在對防火墻進行變更之后，必須經(jīng)過健康檢查。建議透過一些可靠的工具，對防火墻進行完整測試。測試是否你所希望允許的網(wǎng)絡聯(lián)機真的被允許通過。測試是否其它的網(wǎng)絡聯(lián)機如期望的被拒絕(rejected)或丟棄(dropped)。檢查對于所有的變更，記錄及告警功能是否可以正常運作。例如：業(yè)界的工具有ISS, Nessus等。? 只有操作系統(tǒng)安全管理員和防火墻的管理員才可訪問防火墻。其