CTGMBOSS安全规范网络安全分册v100315.docx
《CTGMBOSS安全规范网络安全分册v100315.docx》由会员分享,可在线阅读,更多相关《CTGMBOSS安全规范网络安全分册v100315.docx(17页珍藏版)》请在冰点文库上搜索。
CTGMBOSS安全规范网络安全分册v100315
CTG-MBOSS安全规范
网络安全分册
V1.0
中国电信集团公司
2007年3月
目录
1文档说明1
1.1编制说明1
1.2适用范围1
1.3规范文档1
1.4起草单位2
1.5解释权2
1.6版权2
2综述3
2.1网络安全所面临的挑战3
2.2目标3
2.3规范定位4
2.4内容说明4
3网络安全规范技术架构5
3.1网络安全范畴5
3.2安全域划分原则6
3.3安全域划分总体说明7
4网络安全规范技术要求9
4.1边界整合及网络改造9
4.2MSS区域定义及防护要点10
4.3BSS区域定义及防护要点11
4.4OSS区域定义及防护要点11
4.5集中互联区域防护11
4.6集中维护及管理区域12
4.7MBOSS各区域内部子域防护13
4.7.1接入区域13
4.7.2互联区域13
4.7.3服务区域14
4.7.4支撑区域14
4.8其它需要考虑的内容15
5附录15
5.1附录一规范编制人员名单15
5.2附录二术语16
5.3附录三参考文献17
文档说明
编制说明
本规范作为中国电信CTG-MBOSS安全规范的重要组成部分,为中国电信进行网络安全建设提供依据。
本规范的编制是在《CTG-MBOSS安全分总规范》的总体框架体系指导下,参考了已有系统的网络规划,继承和吸收了现有网络安全建设的经验成果,并充分考虑了企业战略目标、3G等的引入形成的。
本规范是CTG-MBOSS各系统进行网络安全改造和建设时遵循的技术规范,阐述了进行安全域划分的各项技术要求,从区域划分、区域防护要点以及区域内部防护等多方面介绍网络安全的具体内容,同时说明可采用的技术手段。
适用范围
本规范的适用范围为CTG-MBOSS系统的承载网络,适用于对中国电信CTG-MBOSS系统进行网络规划、网络整改和入网安全测试,它包括网络架构改造、边界整合两部分内容,各省可依据实际情况比照本规范提供的安全域架构进行网络系统调整。
规范文档
本规范在CTG-MBOSS信息安全规范体系中的位置如下图所示:
起草单位
本规范起草单位为中国电信集团公司。
解释权
本规范的解释权属于中国电信集团公司。
版权
本规范的版权属于中国电信集团公司。
综述
网络安全所面临的挑战
CTG-MBOSS是中国电信核心的业务支撑系统,对生产运营及国民经济都有着重大的意义。
网络安全是近几年新兴的领域和技术,由于以往建设的网络系统在安全建设和安全互联方面考虑较少,随着信息技术、网络技术的快速发展,网络系统面临的安全威胁日益增加。
根据调研,CTG-MBOSS网络系统所面临的主要威胁除了物理攻击破坏外,还包括恶意软件攻击、内部员工误用、黑客入侵破坏等几类。
因此,迫切需要开展网络安全研究,从整体安全防护、边界防护、系统内安全防护、安全审计等不同角度出发,制定安全防护原则和优化改造方案。
使网络安全与网络系统“同步规划、同步建设、同步维护”。
目标
本规范的目的在于在网络安全框架内,提供CTG-MBOSS系统的整体安全解决思路:
宏观上:
⏹分析现网安全瓶颈,并据此设计相应的安全防护体系。
⏹加强系统边界防护和控制,制定CTG-MBOSS安全互联和防护原则,以及相应的网络边界防护改造方案。
⏹制定CTG-MBOSS单一网络、单一业务系统内(如MSS、BSS、OSS以及更细的层次划分:
BSS内部的CRM子系统、计费子系统等)的安全防护原则。
微观上:
⏹对现存的一些不合理的系统互联方式进行清理,将其纳入到安全域划分和边界整合的体系中来;并充分考虑实施成本、可行性、对现有业务的影响,做阶段性的目标规划。
⏹针对网络和系统进行安全域划分,并根据安全域内部防护重点不同,增加合理的监视、测量、清理、审计等技术手段,实现安全域内安全事件的及时响应和清除。
⏹对现存的一些不合理的终端使用策略、内部访问关系进行清理,制订统一的规范将业务单元的不同部分拆分到不同的安全域中,制订统一的访问策略规范不同等级安全域间的访问,对终端的使用进行严格的区分和隔离。
具体到实施层面,即制定CTG-MBOSS全网络、全系统的安全域划分、网络优化和整合方案,在安全域划分的基础上实施网络安全。
规范定位
本规范属于CTG-MBOSS整体技术规范的一部分,重点描述对于网络安全的总体要求,本规范在整体技术规范中的定位如下图所示:
内容说明
具体章节说明如下:
第一章文档说明对本文档的适用范围、相关文档和起草单位等进行说明。
第二章综述对目前网络安全面临的挑战进行分析,并明确规范的目标、定位和范围。
第三章网络安全规范技术架构介绍安全域划分所遵循的依据,并对总体划分进行说明。
第四章网络安全规范技术要求对不同安全区域的防护要点、技术要求进行说明。
附录一规范编制人员名单
附录二术语给出网络安全规范中出现的关键术语的定义。
附录三参考文献
网络安全规范技术架构
网络安全范畴
ISO74982文献中对安全的定义是这样的,安全就是最大程度地减少数据和资源被攻击的可能性。
相应的,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
它涉及主机、终端和应用等多个层面的安全防护;网络安全采用的技术手段也多种多样,既有网络层面的入侵检测、远程接入管理、内容过滤、流量检测,也有其它层面的文档安全、桌面管理、病毒防护、访问认证等。
单纯的采用一种或多种安全技术手段,不能从根本上弥补网络架构所造成的缺陷,必须综合考虑网络性能、网络维护、网络优化改造、边界防护等多方面的因素,以网络的整体安全为框架,融合安全技术、安全手段,并充分考虑系统生命周期内的安全要素,才能到达节2.2中预期的网络安全目标。
安全域划分是网络安全工作的基础。
所谓安全域(SecurityDomain),是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。
一个安全域内也可根据实际情况进一步细分安全区域、安全子域。
本规范以安全域划分为纲,以技术手段和生命周期管理为目,为CTG-MBOSS系统提供网络安全的整体规划。
安全域划分原则
对中国电信CTG-MBOSS系统承载网络的安全域划分,须以业务为导向,充分考虑CTG-MBOSS系统生命周期内从网络系统规划设计、部署、维护管理到运营全过程中的所有因素。
安全域划分原则可参考信产部等级保护的指导意见《TC260-N0015信息系统安全技术要求》进行。
安全域划分原则可借荐美国国家安全局编纂的《信息保障技术框架InformationAssuranceTechnicalFramework(IATF)》中提出的网络安全“深度防御策略”的建议。
CTG-MBOSS安全域划分的基本原则包括:
1、业务保障原则:
进行安全域划分的根本目标是为了能够更好的保障网络上承载的业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
2、结构简化原则:
安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。
因此,安全域划分并不是粒度越细越好,安全域数量过多过杂反而可能导致安全域的管理过于复杂,实际操作过于困难。
3、立体协防原则:
安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。
4、生命周期原则:
对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
依照上述原则,CTG-MBOSS中每一个系统(MSS/BSS/OSS)都可以分为服务域、接入域、互联域以及支撑域四个安全区域。
在此基础上结合等级保护思想,根据系统、承载信息确定不同区域所需要达到的安全保护等级,即可对不同区域进行有重点、有针对性的防护,同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。
安全域划分总体说明
经过调研,目前CTG-MBOSS系统的承载网络主要包括三类:
1.DCN网络:
主要承载OSS
2.97网络(含新97):
支撑BSS
3.管理网络:
支撑OA(MIS)、财务等管理系统,主要是局域网
由于业务间需要数据交换,因此这三个网络之间存在比较复杂的互访关系。
缺乏一个统一的网络平台以支撑整个CTG-MBOSS,以全面满足集团-省-本地网纵向和横向的信息共享。
目前CTG-MBOSS系统的承载网络从组织及层次上包括:
1.本地网:
2.省网
3.集团
三个层次以省网为核心,本地网和省网、省网和集团间也存在比较复杂的互访关系。
现在仍缺乏一个统一的网络平台以支撑整个CTG-MBOSS,无法全面满足集团-省-本地网纵向和横向的信息共享。
综合上述情况,CTG-MBOSS系统网络的安全域的总体规划如下:
⏹业务:
首先按照业务功能不同,划分三个不同的安全域,即BSS、OSS、MSS;系统间通过防火墙及网络设备的访问控制策略进行隔离。
其次按照行政关系、管辖范围不同,将上述各安全域分为集团公司、省公司和地市分公司三个层次的安全子域,如集团公司业务系统子域、省公司业务系统子域、地市分公司业务系统子域;系统间通过DCN或传输电路连接,边界上适用防火墙、MPLSVPN和访问控制策略进行防护。
⏹系统:
最后对每一个安全子域,按照IATF的架构可以进一步细分不同的安全区域,即从网络构造的角度出发,将不同设备按照端到端构造、终端-服务器构造、客户-服务器-代理构造、服务器-服务器构造、支撑性基础设施关系、互联基础设施关系以及对安全需求的不同划分在不同的安全区域中,如可分为互联域、支撑域、接入域(包括第三方接入区、移动终端漫游区等)、服务域(包括DMZ区域等);系统内部根据子区域的不同,分别适用终端管理、文档保护、补丁管理、入侵检测、病毒防护等多种技术手段。
⏹互联:
包括与合作伙伴、第三方、DCN及Internet的连接,对网络及设备的风险评估、安全加固都适用于这两个区域,但显然不同的连接风险、威胁相差很大,因此,虽同样适用防火墙、DDOS防护等技术手段,但程度不同。
⏹支撑:
主要含SOC和集中认证、授权、审计中心,对上述各区域提供统一的基础安全服务,并承担日志、安全事件等的综合分析、预警工作。
网络安全规范技术要求
本章节将对安全域划分中最为重要的两个内容:
边界整合及网络改造、区域防护进行说明。
其中,边界整合和网络改造主要针对网络架构进行梳理和优化,区域防护则涉及互联边界的防护以及区域内部的防护。
边界整合及网络改造
对CTG-MBOSS系统内、系统间存在数据交换的互联边界进行梳理、归并和整合后可将边界分为四类,分类原则如下所示:
1、一类接口和边界:
与企业内Intranet业务系统间互联互访的边界。
2、二类接口和边界:
业务系统内,集团与省、省与区域中心或本地网间互联互访的边界。
3、三类接口和边界:
与企业外Extranet系统间互联互访的边界。
4、四类接口和边界:
这里将与系统与Internet间互联互访的边界单独进行分类。
边界整合的下一步是进行针对性的网络安全改造,网络改造适用的安全防护手段包括:
⏹防火墙
⏹ACL
⏹内容过滤
⏹网络行为审计
⏹入侵检测
⏹防病毒网关
⏹DDOS攻击防护
⏹VPN(含数据加密)
⏹WLAN安全接入
MSS区域定义及防护要点
针对MSS系统的安全保护,重点关注与Internet互联边界的防护,须满足以下要求:
⏹统一Intenet出口:
在集中出口处部署防火墙、代理服务器,加强对终端的统一认证、授权管理;对日志、事件集中收集并进行关联分析和数据挖掘。
⏹加强基于内容的过滤机制:
通过网络审计、内容分析,对用户上网行为进行监控;通过异常流量监测,及时发现病毒、蠕虫等威胁源并及时响应。
此外,关于MSS内主机安全部分的详细内容可以参见相应的《CTG-MBOSS安全规范-主机安全分册》。
BSS区域定义及防护要点
针对BSS的安全保护,重点关注网络的可用性,与第三方、Internet互联边界的防护,须满足以下要求:
⏹加强网络可用性建设:
BSS承载的信息非常重要,要求承载网络充分考虑设备级、链路级的冗余,数据传输必须强制采用加密措施。
⏹根据应用和数据等资产的安全等级,逐步建立容灾系统,实现关键应用+数据级的容灾,提高系统应对灾难性风险的能力和稳定性。
⏹禁止用户直接访问存储网络。
此外,关于BSS内主机安全部分的详细内容可以参见相应的《CTG-MBOSS安全规范-主机安全分册》。
OSS区域定义及防护要点
针对OSS系统的安全保护,重点关注内部各专业网管间的数据隔离以及与其它支撑系统间的数据交换安全,需满足以下要求:
⏹数据隔离:
专业网管间通过VPN、VLAN方式隔离数据。
⏹网络维护:
用户对网络设备、主机的管理和维护须由统一的认证授权系统验证角色,根据不同的角色加载访问控制策略,并对操作行为进行记录。
此外,在关于OSS内主机安全部分的详细内容可以参见相应的《CTG-MBOSS安全规范-主机安全分册》。
集中互联区域防护
集中互联区域包括CTG-MBOSS与Internet、第三方和合作伙伴、以及相互之间进行数据交换三个子域,划分目的在于为整个CTG-MBOSS提供统一的应用系统数据交换区域:
⏹Internet出口规划及控制
Internet是最不安全的外部网络,应视为最低级别的区域,自Internet接入的访问应当是受控制的。
Internet接入允许共享Mail、Web和其它对外提供的的服务,必须对可能的病毒/蠕虫加以防范;对内部资源的访问,须采用VPN进行接入,并要求用户在网络接入之前予以认证和授权。
须根据业务发展的需要进行Internet接口的整合,统一CTG-MBOSS的互联网出口。
在确定Internet接入的情况下,在Internet接口处部署隔离和检测设备;除了采用防火墙这种通用的、常见的措施外,还应采用IDS/IPS(入侵防御)技术/产品和防火墙配合使用。
⏹第三方和合作伙伴出口控制
对来自第三方和合作伙伴,对内部保密信息的访问,应限制只能由授权的专门人员使用接入。
为了提供更有针对性的保护,为CTG-MBOSS单独划分专用的第三方接入安全区域,在出口处部署隔离和检测设备;除了采用防火墙进行隔离外,还需要加强网络行为审计以配合使用。
⏹内部数据交换控制
对CTG-MBOSS系统内部的数据交换,主要采用防火墙进行隔离,也可利用MPLSVPN技术设立公共的数据交换区域。
集中维护及管理区域
集中维护及管理区域是CTG-MBOSS系统中安全管理、网络管理区域。
管理区域由各类安全产品的管理平台、监控中心、维护终端和服务器等组成,安全域内的身份认证、权限控制、病毒防护、补丁升级以及各类安全事件的收集、整理、关联分析,安全审计、入侵检测、漏洞扫描等任务统一由本区域完成。
在本区域内,关于安全管理、网络管理系统自身安全部分的详细内容可以参见相应的《CTG-MBOSS安全规范-主机安全分册》。
MBOSS各区域内部子域防护
接入区域
安全接入区域内的设备主要是终端,而终端安全越来越成为影响整个安全的瓶颈,因此终端安全必须成为重点关注的目标。
根据终端承担的任务不同,终端可分为业务终端和管理终端两类,因此,安全接入区域可进一步划分终端子区域为:
⏹业务终端
Ø办公终端
Ø移动办公、远程办公
⏹管理终端
Ø第三方
CTG-MOBSS不同系统所关注的保护对象稍有不同,BSS关注的是业务终端的安全性,尤其是保密性和可用性;OSS关注的是管理终端的安全性尤其是完整性;而MSS关注的则是办公终端的安全性,既有保密性也有完整性的需求。
在安全接入区域,主要通过文档安全保护、远程接入安全保护、数据加密技术、终端管理技术、终端加固技术、终端防病毒技术及WLAN安全技术来确保终端的安全防护。
互联区域
互联域为CTG-MBOSS系统内部的区域划分,包括两部分:
一部分是系统所在的局域网内连接服务域和接入域,并传输共同数据的互联基础设施;另一部分是系统与外部的互联区域,根据互联系统归属不同,可将互联区域进一步划分互联子区域为:
⏹外部系统互联区域
⏹内部系统互联区域
⏹Internet互联区域
对上述不同的互联区域,由于存在的风险和安全威胁各不相同,因此安全性的要求也程度不一。
一般而言,就风险和安全威胁来说,存在关系:
Interent互联区域>外部系统互联区域>内部系统互联区域;因此,采用的控制措施也轻重有别,但必须满足以下要求:
⏹局域网内部互联基础设施:
根据需要部署各种网络安全设施
⏹内部系统互联区域:
防火墙
⏹外部系统互联区域:
防火墙、接口主机
⏹Internet互联区域:
双重异构防火墙、入侵检测设施、PROXY主机、VPN设施
此外,不同系统所关注的保护对象稍有不同,BSS关注的是数据传输过程的保密性,以及数据交换过程中的保密性和可用性;OSS关注的是数据传输过程的完整性;而MSS关注的则是互联网访问的安全性,主要是内容的安全。
因此,对于上述不同系统而言,安全互联区域建设的重点分别在于:
⏹BSS:
入侵检测及网络审计>隔离及控制(防火墙)
⏹OSS:
网络日志收集>异常流量检测
⏹MSS:
隔离及控制(防火墙)>防病毒网关>互联网审计
服务区域
服务区域是CTG-MBOSS系统中各业务系统的单个主机/服务器,或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域。
通过对服务区域防护策略的实施可以实现对信息系统主机服务器在系统层、应用层及数据层等安全方面的基本防护。
关于本区域主机安全部分的详细内容可以参见《CTG-MBOSS安全规范-主机安全分册》。
支撑区域
支撑区由各类安全产品的管理平台、监控中心、维护终端和服务器等组成,其实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级以及各类安全事件的收集、整理、关联分析,安全审计、入侵检测、漏洞扫描等。
支撑区域内最重要的系统之一是安全管理中心,安全管理中心采取集中管理的方式,在更高的层面上接收来自安全相关设备或者系统报送来的各种安全事件,同时也从信息资产直接采集其自身产生的各种和安全有关的日志。
在集中收集到各种安全事件的基础上,安全管理中心负责对这些事件进行深层的分析,统计和关联,提供处理方法和建议。
详细安全管理中心的建设可以参考总体技术体系中的集中安全审计分册。
此外,在支撑区域内,另一重要系统即整合了账号管理、授权管理、身份认证和安全审计等一体的综合认证审计系统(4A)。
在4A框架下,账号、授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录,可以审计;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,审计也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。
详细4A平台建设的可以参考总体技术体系中的用户管理、认证授权和安全审计三个分册。
其它要求
在网络架构设计时应满足其它网络安全要求:
1、网络可用(稳定)性:
网络的可用(稳定)性与网络设备的可靠性、软性配置、传输线路的稳定性、机房供电、空调等等有关。
2、网络性能:
网络的建设是为应用服务的,不同的应用对网络的要求不完全一致,需要针对CTG-MBOSS应用对应用性能、WAN带宽的需求,统一考虑。
附录
附录一规范编制人员名单
【总编】
【副总编】
【项目管理办公室】
【专家组】
【项目组】
附录二术语
术语名称
术语定义
安全域
安全域的概念是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的网络或系统,且相同的安全域共享一样的安全策略。
安全子域
安全域内部根据接入方式、功能模块等进一步划分的具有相同属性的网络或系统,相同的安全子域共享一样的安全保护策略。
承载网络
包括承载中国电信CTG-MBOSS的97网(含新97)、管理网及DCN网。
边界整合
在保障系统的各种互联需求有效提供的前提下,对安全域的边界进行合理的整合,对系统接口进行有效的整理和归并,减少接口数量,规范系统接口。
网络改造
在保障业务连续性的前提下,对现有网络结构进行调整,以提高可靠性、安全性。
互联域
连接传输共同数据的服务域和接入域的互联基础设施。
接入域
访问同类数据的用户终端构成接入域。
服务域
在局域范围内存储,传输、处理同类数据,具有相同安全等级保护的单一计算机(主机/服务器)或多个计算机构成服务域。
支撑域
为整个IT架构提供集中的安全服务,进行集中的安全管理、监控以及响应的设施的集合构成支撑域。
附录三参考文献
在本规范的编写过程中,参考了以下资料:
1、美国国家安全局《信息保障技术框架IATF3.1》