中国移动网管系统安全域划分技术要求.doc

2007-XX-实施2007-07-发布中国移动通信有限公司 发布中 国 移 动 通 信 企 业 标 准QB-W-001-2007中国移动网管系统安全域划分技术要求Technical Specification of Secure Domain for Networks Management Systems版本号：1.0.0 目 次前 言11适用范围22引用标准与依据23相关术语与缩略语24综述34.1背景44.2本要求的范围和主要内容45支撑系统的现状55.1网管系统现状55.1.1网管系统组网总体架构55.1.2集团网管系统的网络架构65.1.3集团网管系统系统与Internet互联的业务需求75.1.4省级网管系统的网络架构75.1.5省级网管系统与Internet互联的业务需求75.2现状总结与终端问题76安全域划分的必要性和原则86.1安全域划分的必要性86.2各安全域的威胁等级分析96.3支撑系统的保护等级分析106.3.1资产价值赋值116.3.2安全需求赋值116.3.3支撑系统的赋值126.4安全域划分的原则126.4.1安全域划分的根本原则126.4.2安全域划分方法136.5网络调整146.5.1广域网146.5.2局域网156.5.3终端176.6网管系统的安全域划分187边界整合的原则197.1网管系统对外的边界整合207.1.1与互联网的边界整合207.1.2与第三方的边界整合207.2网管系统与其他支撑系统之间的边界整合207.3网管系统的边界整合208安全域保护的原则218.1安全域边界的保护原则218.1.1安全域互访的风险分析228.1.2安全域互访的原则228.1.3安全域边界的保护方式238.1.4安全域边界的安全部署248.1.5安全域边界的安全管理248.2网管系统安全域内部的保护258.3对相关安全设备的部署要求269分阶段实施的建议269.1安全域划分的深入269.2组网方式的演进269.3保护方式的演进2710编制历史28前 言本要求主要是针对中国移动通信有限公司所建设的网管系统，根据建设网管监控平台系统建设的需求，当前系统面临的风险、以及保护等级，分析网管系统安全域划分的必要性并提出划分原则，并结合支撑网络的现状对网络结构进行调整，结合威胁等级和保护等级，确定了各安全域保护的原则。安全域划分包括物理环境、人员组织、管理、技术各个层面，本要求重点针对安全域划分的技术层面。本要求作为省公司网管系统为接入总部统建的监控平台进行的网络改造的依据，同时可以作为后续网管系统安全建设的依据。本要求由中国移动通信有限公司网络部提出并归口管理。本要求解释单位：中国移动通信有限公司网络部。1 适用范围本要求对网管系统的安全域划分进行了规范，适用于中国移动各省公司在总部网管监控平台实施前进行的网管系统的改造工作。2 引用标准与依据（1） 关于近期网络与信息安全工作安排的通知，中国移动通信集团公司网络部，移网通【2004】68号。（2） 关于加强信息安全保障工作的意见，国家信息化领导小组，中办发200327号。（3） 公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施意见（公通字【2004】66号文）。（4） 国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告。（5） 美国国家标准和技术研究所（NIST，National Institute of Standards and Technology）制订的SP 800系列文档：IT系统安全自评估指南、IT系统风险管理指南、联邦IT系统安全认证和认可指南、信息系统安全规划指南等。http:/csrc.ncsl.nist.gov/publications/nistpubs/。（6） 美国国家安全局，信息保障技术框架IATF（Information Assurance Technical Framework），V3.1版。网址：。（7） 公安部GA/T 387-391-2002系列标准，计算机信息系统安全等级保护操作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求（8） 中国移动通信有限公司提供的相关资料。（9） 全国31个省的调查资料，以及北京、广东、四川、陕西4省现场调研的相关资料。（10） 国家质量技术监督局发布的计算机信息系统安全保护等级划分准则(GB 17859号文)。（11） 中国移动支撑系统安全域划分与边界整合技术要求（发布稿）2005年5月3 相关术语与缩略语AAAAAccount、Authentication、Authorizatin and Audit账号管理、认证、授权与审计ACLAccess Control List访问控制列表CMNetChina Mobile Net中国移动互联网DMZDeMilitarized Zone非军事化区EOMSElectronic Operation and Maintainence System电子运行维护系统IATFInformation Assurance Technical Framework信息保障技术框架IDSIntrusion Detection System入侵检测系统IPSecInternet Protocol Security互联网协议安全IPInternet Protocol互联网协议ITInformation Technology信息技术MISManagement Information System管理信息系统MPLSMulti-Protocol Label Switching多协议标记交换NISTNational Institute of Standards and Technology国家标准和技术研究所OMCOperation management center操作维护中心RADIUSRemote Authentication Dial-In User Service接入用户远程认证服务VPNVirtual Private Network虚拟专用网VLANVirtual Local Area Network虚拟局域网4 综述为了建立中国移动IT系统的网络及信息安全机制与进行网管监控平台系统的建设，首先需要定义相关系统安全域的边界并且对现有网管系统实施安全域划分。所谓安全域(Security Zone)，是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域内可进一步被划分为安全子域，安全子域也可继续依次细化为次级安全域、三级安全域等。安全域的划分，就是将系统从安全角度划分成不同的区域，以便实行分门别类的处理。从我国IT系统的发展轨迹来看，大多数企业都是在连接到Internet之后，才开始正式考虑网络安全域的。如今的商业模式要求企业与Internet之间、企业与业务合作伙伴、信息提供商及客户组成的网络之间实现连接，而企业内部的企业信息化系统、业务支撑系统、网管系统等系统之间也存在着复杂的连接关系。由于网络中不同边界的应用方向不同，所以对安全有着不同应用需求，例如与业务合作伙伴的相连和一般外联网的连接对安全性的要求就不相同。明确安全域划分的原则，结合等级保护的要求，确定各安全域的保护等级，并部署相应的安全手段，安全域的边界隔离与防护是关注的重点。中国移动整体支撑网目前确实存在边界不清、连接混乱的实际问题，对边界进行整合，从企业的视角有效地整合系统对外的接口数量，提高企业网络和信息的安全性，也是做好安全工作的基础。对于信息保密性，请参见其他相关技术规范。本技术要求的研究主要有为：制定网管系统安全域划分的原则；通过以上的分析和研究，确定相关的原则，以便将来在网管监控平台的推广实施阶段，各省可以按要求进行接入。4.1 背景2007年下半年，总部网络部集中建设的网管监控平台（试点阶段）工作进入具体实施阶段，作为接入监控平台的先决条件，目前监控平台试点阶段的总部，甘肃以及北京三地的网管网络改造暨安全域划分已经完成实施，其目的是将现有存在风险的网络改造为结构合理，监控平台代理软件可以顺利安装使用的架构。同时参考2003年年底，国家信息化领导小组下发了“关于加强信息安全保障工作的意见” (中办发200327号) ，文件把网络与信息安全工作提高为国家安全的重要组成部分，明确了加强信息安全保障工作的总体要求，即：“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全”。文件要求正确处理安全与发展的关系，统筹规划，突出重点，强化基础性工作，通过实行信息安全等级保护实现这一目的。因此，国家将建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。在这样的背景下，作为接入网管监控平台的前提工作，提出中国移动网管系统的安全域划分原则就显得十分重要。明确安全域划分的基本原则，界定网管系统的重要性和安全风险等级，然后根据不同的保护等级，从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施（如防火墙、防病毒、账号管理以及相应的控制端等）、安全集中管理系统或者它们的一部分构成的多层立体防护体系，提高对网络攻击、病毒入侵、网络失窃密的防范能力，防止有害信息传播，保证网管系统的安全运行。4.2 本要求的范围和主要内容本要求主要针对中国移动网管系统安全域划分的技术要求，具体主要指省公司网管系统和OMC，及其地市部分。主要内容包括：（1） 网管系统的现状：包括内网和公网的论述。（2） 安全域划分的必要性和原则：本章节包含了安全域划分的必要性，以及各系统的威胁等级、保护等级，制定了安全域划分的原则，结合网管网络的实际情况，对网络结构进行调整，网管系统的安全区域的划分进行细化。（3） 边界整合的原则：首先对网管系统对外的边界进行整合（包括与CMNet、和第三方的边界整合原则），然后针对各支撑系统的各种边界进行整合。（4） 安全域保护的原则：包括安全域边界部分的防护和安全域内部的防护两方面。（5） 分阶段安全防护的建议：分别从网络调整方式、安全域划分的细化、以及保护方式的演进等方面，体现逐步实现的过程。5 支撑系统的现状中国移动网管系统在网络的纵向连接上均是三级结构：集团公司省公司地市分公司。根据前期总部安全处对各省的调研情况，网管系统在三级结构的承载层面上都考虑了相互隔离，比如网管系统共同承载在IP承载网上，分别采用了VPN技术、路由策略等相关技术对其进行隔离等。5.1 网管系统现状中国移动网管系统包括话务网网管、汇接网网管、信令网管、智能网管、同步网管、IP专网网管、数据网管、信令检测、传输网管等。各网管系统(除数据网管外)通过核心交换机与被管网元以及省网管相连。数据网管只与CMNet互连，实现数据业务的综合网管。5.1.1 网管系统组网总体架构集团公司网管系统包括十多套专业网管系统，除数据网管系统之外的所有系统和省网管系统采用IP承载网承载，集团与省之间有防火墙，采用私有地址，由集团公司统一分配。数据网管系统通过防火墙与CMNet骨干网连接，实现对CMNet全网的网络管理。网管系统组网结构见下图：图5.3、网管系统总体架构示意图5.1.2 集团网管系统的网络架构集团公司的网管系统拓扑结构如下：图5.4、集团网管系统结构示意图（1）与省公司的连接Ø 通过IP承载网与省公司网管系统实现互连Ø 通过带内传输方式与各被管网元互连。（2）与企业信息化/计费等系统的连接为实现从企业信息化系统访问话务网管系统、局数据管理系统和EOMS系统的需求，集团网管系统与企业信息化系统相连接，中间有防火墙进行隔离。（3）与CMNET的连接数据网管系统与CMNET之间有防火墙进行隔离。电子运行维护系统（EOMS）系统连接一个短信转发服务器，该服务器设置在数据网管系统与CMNET之间防火墙的DMZ区中，EOMS系统通过短信转发服务器经由CMNET连接到北京的短信网关，实现工单的短信通知。5.1.3 集团网管系统系统与Internet互联的业务需求网管系统与Internet互联的业务需求主要有两类：（1）为实现对CMNET网络的管理，集团和省公司网管系统中的数据网管系统需要与CMNet实现互联，采集CMNet网络设备、数据业务系统关键服务器的网管数据。（2）EOMS需要与短信网关互联，实现告警信息、工单的及时通知。5.1.4 省级网管系统的网络架构省级网管系统的网络连接如下：（1）与集团公司的连接通过IP承载网与集团公司实现互连，部分省公司在省侧设置了防火墙。（2）与地市的连接 与地市连接的需求主要是被管网元的采集和地市维护人员的访问。主要包括专线或DCN网络连接两种方式。（3）与企业信息化/计费等系统的连接为实现从企业信息化系统访问话务网管系统、局数据管理系统和EOMS系统的需求，省级网管系统与企业信息化系统相连接，中间有防火墙进行隔离。（4）EOMS系统EOMS系统与省级话务网管系统通过防火墙连接，地市访问此系统有两种方式：Ø 通过网管系统网上省级话务网管系统，统一出口访问EOMSØ 通过企业信息化系统访问EOMS。大部分省是通过第二种方式。（5）与CMNET的连接Ø 数据网管系统与CMNET之间有防火墙进行隔离。Ø EOMS系统通过防火墙连接到短信网关，实现工单的短信通知。5.1.5 省级网管系统与Internet互联的业务需求网管系统与Internet互联的业务需求主要有两类：（1）为实现对CMNET网络的管理，省公司网管系统中的IP网网管系统需要与CMNet实现互联，采集CMNet网络设备、数据业务系统关键服务器的网管数据。（2）电子运行维护系统（EOMS）需要与短信网关互联，实现告警信息、工单的及时通知。5.2 现状总结与终端问题目前中国移动的网管系统广域网承载层面主要包括集团公司和省公司、省公司和地市的连接，其中在集团公司与省公司的连接方式相对简单，网管系统采用IP承载网网络连接。而在省公司与地市的连接比较多样化，存在DCN，IP承载网以及其他连接方式。目前终端的使用存在以下问题：企业内部的终端：目前生产终端的使用缺乏严格统一的管理要求，同时县市公司存在支撑系统间的不规范连接，而且由于终端投资的问题，一部分生产终端是通过配置双网卡或者拔网线的方式，既可以访问企业信息化系统，也可以访问网管网。即使各支撑网实现了隔离,在部分办公终端访问生产系统时，也存在一定的威胁和风险。第三方或合作伙伴终端：主要是指集成商、设备商等第三方的终端，由于缺乏对该部分终端的有效管理和控制，比如，厂家人员的笔记本电脑存在安全漏洞或扩散性很强的病毒，因此该部分终端对网管系统存在一定的潜在威胁。6 安全域划分的必要性和原则我国在商用IT系统信息安全方面的研究和积累不足，目前还缺乏规范化的、成熟的标准可遵循，本要求借鉴了IATF区域划分理论，以及业界对安全域划分的实践经验，并结合中国移动的实际情况，对支撑系统和互联系统带来的威胁等级、以及各支撑系统的保护等级进行了分析研究，然后根据这些分析研究确定了安全域划分的原则。安全域是一个逻辑范围或区域，同一安全域中的信息资产具有相同或相近的安全属性，如安全级别、安全威胁、安全弱点、风险等，同一安全域内的系统相互信任，如在业务层面存在密切的逻辑关系。通过在网络和系统层面安全域的划分，将业务系统、安全技术有机结合，形成完整的防护体系，这样既可以对同一安全域内的系统进行统一规范的保护，又可以限制系统风险在网内的任意扩散，从而有效控制安全事件和安全风险的传播。6.1 安全域划分的必要性网络的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前中国移动的网络系统是一个庞大复杂的系统，在支持业务不断发展的前提下，如何保证系统的安全性是一个巨大的挑战，对系统进行区域划分，进行层次化、有重点的保护是保证系统和信息安全的有效手段。目前中国移动未实施安全域划分的网管系统还存在以下问题： （1）随着中国移动的网络规模和各相关应用系统的不断扩大，网管系统也随之不断发展，但各个系统的部署没有明确的指导原则，导致网络结构复杂、层次不清、系统管理维护困难，网络的有效性、稳定性较低。（2）根据系统的现状，目前网管系统的网络仍然存在边界不清的问题，主要是网管系统之间以及网管系统和信息化等其他支撑系统的连接比较混乱，随之带来安全防护困难，投资较大，而且容易产生疏漏，单个系统中的安全问题极易扩散到其它系统。只有通过明确安全域划分的原则，才能形成清晰、简洁、稳定的IT组网架构，实现系统之间严格访问控制的安全互连，更好的解决复杂系统的安全问题。6.2 各安全域的威胁等级分析目前，与网管系统安全域互联的其它系统包括CMNet、企业信息化，计费等等；由于不同系统的开放性、可控性等方面各不相同，它们的可信度也有明显的区别。支撑系统与不同威胁等级、可信度的系统互联时，面对的威胁是不同的。了解各系统可能带来的主要威胁，才能有针对性的选择不同的防护技术和防护强度。在参考IATF七个威胁等级（攻击强度）、美国NIST SP800等标准对威胁的分析描述基础上，结合中国移动支撑系统的具体情况，根据各互联的系统出现不同强度攻击的可能性，确定它的可信度。一个安全域当中出现高强度攻击的可能性越高，那么它的威胁等级越高，可信度越低。威胁可能源于对系统直接或间接的攻击，例如信息泄漏、篡改、删除等，在机密性、完整性或可用性等方面造成损害；威胁也可能源于偶发的、或蓄意的事件。按照威胁产生的来源，可以分为外部威胁和内部威胁：（1）外部威胁：来自不可控网络的外部攻击，主要指移动的CMNET、其它电信运营商的Internet互联网，以及第三方的攻击，其中互联网的威胁主要是黑客攻击、蠕虫病毒等，而第三方的威胁主要是越权或滥用、泄密、篡改、恶意代码或病毒等。（2）内部威胁：主要来自内部人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。另外，由于管理不规范导致各支撑系统之间的终端混用，也带来病毒泛滥的潜在威胁。需要说明的是，威胁分为应用层面的和网络层面的，应用层面的威胁主要是越权或滥用、篡改、泄密等，网络层面的威胁主要针对网络的弱点、漏洞产生的威胁。由于应用层面的威胁涉及的因素较多，本技术要求主要针对网络层面的威胁进行分析。具体来说：（1）互联网由于其开放性，完全不可控，威胁包括黑客攻击、病毒扩散等等，其威胁等级最高。（2）第三方的接入由于移动公司对其操作较难控制，而且第三方很容易获取所管理维护的支撑系统的弱点及其分布，由于具有很高权限，其潜在威胁最大，但是通过一定的管理手段、合同要求、法律规定进行约束后，这样的威胁可以降低；网络接入方面的安全问题可以通过技术手段结合管理规定，进行控制。因此，威胁等级相对较低。主要的的威胁等级分析见下表：其中等级分为15，其中5威胁最大，即可能造成的损失最大。威胁等级分析表表6.1威胁等级可能带来的威胁可控性系统5黑客攻击、恶意代码和病毒等完全不可控互联网4病毒扩散、恶意代码等合作关系，但不可控第三方3物理攻击、恶意代码和病毒等一定的可控性第三方2内部人员的操作失误、恶意代码和病毒等较大的可控性网管系统1内部人员的操作失误、恶意代码和病毒等基本可控网管系统6.3 支撑系统的保护等级分析参考关于信息安全等级保护工作的实施意见，系统的保护等级规定了5级，根据中国移动的实际情况，网管系统总体上可以列为第3级，再根据具体情况进行部分调整。系统的保护等级分为系统和信息2个层面，本技术要求主要是针对系统的保护等级，对于信息的保护等级，可以通过增加信息分级、信息加密、信息控制等实现信息的机密性。下面主要从资产价值、安全需求方面对支撑系统的保护等级进行赋值判断，其中资产价值主要是指资产的重要性，指标列表如下：保护等级确定的指标列表表6.2指标类型资产价值安全要求指标业务关联性对业务网络的影响对业务收益的影响对公司经营管理的影响客户重要程度对可用性的要求对完整性和准确性的要求对保密性的要求赋值为3直接对外，面向服务影响大直接关系业务收益直接影响或影响较大公众用户高对完整性、准确性要求高对保密性要求高赋值为2间接对外，面向网络管理影响较小关系相对较少间接影响或影响较少企业用户中对完整性、准确性要求较低对保密性要求较低赋值为1内部企业管理影响小无关系或较少无影响或影响少内部用户低对完整性、准确性要求低对保密性要求低6.3.1 资产价值赋值针对支撑系统，资产价值主要体现在业务关联性、业务收益的影响、对公司经营管理的影响以及面向客户的重要程度等方面，赋值方法如下：（1）业务关联性：Ø 直接对外，面向服务，赋值为3Ø 间接对外，面向网络管理，赋值为2Ø 面向内部企业管理，赋值为1（2）对业务网络的影响：Ø 影响大，对业务的开展直接影响，赋值为3Ø 影响较小，赋值为2Ø 影响小，赋值为1（3）业务收益的影响：Ø 直接影响业务的收益：赋值为3Ø 间接影响或影响较少：赋值为2Ø 无影响或影响较少，赋值为1（4）对公司经营管理的影响：Ø 直接影响公司的经营管理：赋值为3Ø 间接影响或影响较少：赋值为2Ø 无影响或影响少，赋值为1（5）面向客户的重要程度：Ø 面向大众用户：赋值为3Ø 面向企业用户：赋值为2Ø 面向内部人员，赋值为16.3.2 安全需求赋值安全需求则是根据支撑系统的重要性，确定其在可用性、完整性、机密性三个方面的需求等级。（1）可用性指的是对系统实时可用的要求：Ø 可用性要求高，赋值为3Ø 可用性要求是中，赋值为2Ø 可用性要求是低，赋值为1（2）完整性指的是对完整性和准确性的要求：Ø 对完整性和准确性要求高，赋值为3Ø 对完整性和准确性要求较低，赋值为2Ø 对完整性和准确性要求低，赋值为1（3）机密性指的是对保密性的要求：Ø 对机密性要求很高，赋值为3Ø 对机密性要求较低，赋值为2Ø 对机密性要求低，赋值为16.3.3 支撑系统的赋值根据上述各项赋值的要求，对网管系统的赋值进行取定：支撑系统的保护等级列表表6.3系统名称资产价值安全需求合计业务关联性对业务网络的影响业务收益的关系对公司经营管理的影响客户重要程度对可用性要求完整和准确性要求保密性要求网管系统2322323219根据上面资产价值和安全需求的赋值可以得出，网管系统的保护等级为中等（相对于其他支撑系统）在系统内部，可以根据信息的机密性对个别系统的保护等级进行细化调整。6.4 安全域划分的原则安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。6.4.1 安全域划分的根本原则（1） 业务保障原则：安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。（2） 结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。（3） 等级保护原则：安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。（4） 生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。6.4.2 安全域划分方法安全域的划分除了遵循上述根本原则外，还根据业务逻辑、地域与管理模式、业务特点（网管系统中的移动自用生产终端的控制较好，可以简化对服务器访问的控制措施）划分安全域、安全子域、安全区域。在安全域内部进一步划分安全区域时，如核心生产区、日常工作区、DMZ区、第三方互联区等等，重点参考了IATF计算区域划分的理论，并考虑了不同区域和不同的威胁。中国移动的网管系统相对于业务系统、INTERNET、第三方伙伴来讲，是不同的安全域；即移动支撑系统整体上作为一个安全域，而与之相连接的业务系统、INTERNET、合作伙伴等是另一个安全域。在网管系统内部，从不同的角度安全域的划分也不尽相同：（1）横向：按照业务将支撑系统划分各个不同的安全域，如业务支撑系统安全域、网管系统安全域、企业信息化系统安全域等；（2）纵向：各安全域又可以按照地域和管理分为集团公司、省公司和地市分公司三个层面的安全子域，如集团网管系统安全子域、省公司网管系统安全子域、地市分公司的网管系统安全子域。（3）对于每一个安全子域，如集团公司网管系统安全子域，可以进一步划分为安全区域，即从安全的角度将处于安全子域中的设备，考虑到其所处的位置或连接的不同，将他们划分在不同的安全区域中。例如可分为互联接口区、核心生产区、日常维护管理区（维护终端）、第三方接入区（漫游区）、DMZ区等。图6.1 安全域划分的示意图（注：从风险控制、技术实现和节省投资的角度考虑，本要求中暂不在集团或者省公司各支撑系统内部、针对不同应用子系统进一步划分安全子域。随着对网络安全要求的提高和技术进步，将来再逐步加强各支撑系统内部子系统之间的访问控制。）6.5 网络调整根据上述安全域的划分原则，结合目前网管系统的现状，需要从广域网、局域网、终端三个方面进行网络调整，实现支撑系统之间的有效隔离。6.5.1 广域网根据实际情况，目前网管系统的广域网主要采用了IP承载网的传输，不同网管系统之间通过VPN基本做到了隔离。因此，广域网目前集团与省相连部分基本符合安全域划分的要求，下一步建议考虑将不同的VPN进行整合。6.5.2 局域网各支撑系统在集团省地市三级节点的局域网组织基本采用了网络分层的架构体系，即接入层、核心层。但是接入层比较混乱，基本没有经过整合，不利于管理和维护。在确定安全域划分的原则后，需要对支撑的网络架构进行规划，分为接口汇聚层、核心交换层、子系统层：（1）接口汇聚层：主要对系统的各种出口进行汇聚，主要包括路由器设备、局域网交换设备以及某些特定的接口使用的一些安全设备等。例如集团公司的网管系统，包括与省公司的通信路由器和采集路由器等，数量达到26个左右，给统一配置带来一定的管理难度，可以通过两或三台高端路由器进行汇聚，当然，对汇聚路由器的端口、性能和处理能力有很高的要求。（2）核心交换层：主要包括核心交换机设备，实现外部接口与各子系统之间的数据交互，以及子系统之间的数据交互。（3）子系统层：实现各功能应用的子系统，包括服务器和终端等。各子系统接入核心交换区，可以通过不同的VLAN实现各子系统的数据流的相对隔离。在支撑系统的后续建设时，按照三层网络架构进行部署，根据后面边界整合的原则确定接口的互联方式，终端、服务器应该按照6.6节安全区域划分的原则进行部署。图6.2 支撑系统各局域网目标网络架构示意图按照集中安全管理及防护的原则，网络改造可以根据局址的实际情况，采用不同的方案：一、同一局址增加核心交换设备，构建清晰的网络架构，将各套网管系统统一纳入安全集中管理，按照大院模式进行集中防护。图6.4 单一局址的集中防护二、 不同局址1) 方案1不同局址建设一个共同的大院、有共同的核心交换网络，有共同的边界，但不同局址可以分别设置自己的日常工作区、核心服务区。实现集中边界访问控制、入侵检测、账号口令管理、终端管理。图6.5不同居址共同防护2) 方案2不同局址可以根据需要分别建设大院、有不同的核心交换网络和安全分区，或者只在有重要系统的局址建设大院，其它局址分单系统进行防护。不同局址、没有互联的系统，在防火墙、入侵检测、账号口令管理、终端管理的控制方面实现集中；图6.6 不同居址，分别防护6.5.3 终端终端层面的调整目标是实现终端的隔离，即生产终端与办公终端的物理分离。解决终端的隔离问题，主要依赖于管理手段，原则上应该通过设置生产终端与办公终端的完全分离，即设置专用的终端来实现不同支撑系统之间在终端层面的隔离，例如办公系统设置办公终端，网管系统设置网管系统的专用终端。此方式安全性高，但是，对用户的使用会带来较多的不便，因此在具体实施时可以采用统一代理、统一认证或只对具备权限的终端设置VPN客户端的方式，使某一支撑系统的终端（如办公终端）通过规范的统一端口访问其余的支撑系统，例如，在办公终端中，只对网管维护管理人员安装网管VPN的客户端，这样只有安装网管VPN客户端的办公终端才能通过权限认证等方式访问网管系统，既保证了安全性也保证了业务需求。目前有些省采用终端混用方式，即通过插拔网线或终端上配置双网卡方式，使同一终端能够通过简单的配置，没有任何控制措施直接访问不同的系统（主要在于办公系统与生产系统之间），混用方式严格禁止。对于系统间的互访，应根据系统的保护等级、互访对象的风险大小，按照第5章提出的互联原则，设置互联接口。这种情况下，终端访问另一个系统时，通过统一设置的严格访问控制的互联接口，是允许的。如某一支撑系统内部的终端访问另一支撑系统时，属于系统之间的互访，则需要通过支撑系统之间统一设置的访问控制的互联接口进行访问。图6.7 终端对支撑系统的访问的两种情况6.6 网管系统的安全域划分对于中国移动，网管系统本身相当于一个安全域，而对于某一网管系统，又可划分为集团公司层面、省公司层面、地市层面的安全子域。下面针对各安全子域，进行安全区域的划分。目前，各支撑系统的组网和边界没有统一的规划，支撑系统内部的各部分设备由于不同的互联需求，面临的威胁也不同，其安全需求也存在很大差异。（1）生产服务器：一般都是UNIX平台，资产价值最高，不直接连接外部网络，主要的安全需求是访问控制、帐号口令、权限管理和补丁的管理。（2）维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同（本地维护终端、远程维护终端），面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测（固定终端）、漏洞补丁等。（3）集成商、设备商：对支撑系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IPMAC地址绑定、帐号口令、访问控制，以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等。（4）互联网的应用随着业务的发展也越来越多，面临着黑客入侵、病毒扩散等威胁，主要的安全需求是入侵检测、病毒防护、数据过滤等。因此，下面将结合实际的管理需求，对网管系统的安全域进一步进行划分。集团网管和省网管分别划分为不同的安全域，再根据安全域内部的不同安全需求，将各网管系统划分安全子域（图6.5）：核心生产区、日常办公区、接口区、内部系统互联网区、第三方接入区、DMZ区，具体描述如下：（1）核心生产区：放置话务网管、传输网管、信令监测等核心主机设备，包括核心应用服务器、数据库服务器、存储设备等。（2）日常办公区区：用于日常维护的终端。（3）接口区：省网与地市（集团与省网）互联接口、与网元采集设备的互联。（4）内部系统互联区：与业务支撑系统、企业信息化系统的互联。（5）第三方接入区：网管开发厂商接入、现场支持、移动终端接入。（6）DMZ区：放置数据网管与网元进行数据交换的服务器，如数据采集机。（7）日常操作区：放置省公司网络部门的维护终端。（8）管理服务区：放置各种统一的管理服务设备（如未来的4A系统等，暂时无相关设备的，可以预留该区域）图6.8 网管系统安全域划分7 边界整合的原则安全域划分的原则明确以后，安全域的边界访问控制将是关注的重点。目前安全域之间互联接口数量越多，安全性越难以控制，为达到一定的安全标准，就要投入巨大的人力财力，但由于接口混杂，安全效果往往不佳；中国移动支撑网目前确实存在边界不清、连接混乱的实际问题，在此情况下只有在保证支撑系统的各种互联需求的有效提供的前提下对安全域的边界进行合理的整合，对系统接口的进行有效的整理和归并，减少接口数量，提高系统接口的规范性，才能做到“重点防护、重兵把守”，达到事半功倍的效果。本章节主要是对接入点进行整合，减少接入数量。保护方式的整合将在下一章节保护原则中进行描述。7.1 网管系统对外的边界整合7.1.1 与互联网的边界整合目前总部，重庆与浙江各个支撑系统与互联网的边界整合已经纳入“支撑系统互联网出口整合”项目落实，并已经完成，其余各省公司的网管系统的互联网边界整合也纳入“支撑系统互联网出口整合”项目。7.1.2 与第三方的边界整合支撑系统与第三方的边界主要包括现场支持、远程接入。由于网管系统的第三方是不同的集成商或者漫游终端，因此针对网管系统，设置统一出口；原则上地市不允许第三方直接连接。7.2 网管系统与其他支撑系统之间的边界整合为了更有利于各支撑系统之间的互联控制，减少连接的风险和投资，网管系统与其他支撑系统之间的互联接口设在集团公司和省公司层面，地市级不允许直接互联，如果有互访要求，则必须迂回到省公司的互联接口。如果业务连接需求发生变化，需要重新调整安全策略并省公司/总部一级网络安全部门重新申请。目前各支撑系统之间还存在着终端混用的问题，则可以通过下述方式解决：通过增加相应的终端，实现不同的支撑系统之间完全隔离，如果某支撑系统的终端对其他支撑系统有访问需求时，则须迂回到省公司的互联接口。7.3 网管系统的边界整合网管系统的边界整合，主要是在保障业务的同时对