文档介绍：中国移动数据业务系统
集中化安全防护技术要求
Technical Specification of Centralized Security Protection for Data Service Systems
版本号:
中国移动通信集团公司网络部
2010年2月
目录
前言 1
1 适用范围 2
2 引用标准与依据 2
3 相关术语与缩略语 3
4 综述 4
5 数据业务系统安全域划分 5
安全域划分的原则 5
数据业务系统的主要安全域 5
数据业务系统组网的基本架构 5
安全域划分方法 6
6 数据业务系统边界整合 7
集中防护节点内部的边界整合 7
跨节点整合互联网传输接口 8
整合后相同安全域内的各安全子域之间的访问控制 9
7 数据业务系统的安全防护 9
数据业务系统安全防护原则 9
数据业务系统安全域边界互联防护要求 10
数据业务系统之间互联安全要求 10
数据业务系统与支撑系统之间互联安全要求 10
数据业务系统与互联网之间互联安全要求 10
数据业务系统与第三方系统互联的安全要求 11
维护终端和数据业务系统互联的安全要求 11
数据业务系统内部不同安全区域之间互联安全要求 12
系统自身安全 12
业务流程(逻辑)安全和软件代码安全 12
安全功能和安全配置 13
防火墙等基础安全技术防护手段的部署 13
防火墙部署 13
入侵检测设备的部署 14
防病毒系统的部署 14
异常流量的检测和过滤 15
网络安全管控平台 15
日常安全管理 15
8 编制历史 15
前言
针对数据业务系统日益复杂、安全防护要求不断提高的现状,以及向云计算方式演进的趋势,按照等级保护和集中化要求,本要求明确了以省网为单位统一规划数据业务系统组网,实施安全域划分和边界整合的基本原则,并进一步提出了数据业务系统安全防护的基本要求。
本要求所指的数据业务系统为由IT设备完成主要业务功能且和互联网存在接口的总部和各省自维护业务系统,如WAP网关、彩信,短信网关,彩铃系统,MISC、通用下载平台等,不包括通信网,、IP专网、GPRS等。
本要求将数据业务系统内部划分为核心生产区、互联网接口区、内部互联接口区和核心交换区等安全子域。在此基础上,根据传输情况,设置一个或若干数据业务集中防护节点,并以节点为单位整合各系统的安全子域和互联边界。在具备传输条件的情况下,还可以进一步整合不同防护节点的互联网出口。数据业务系统的维护终端除超级终端外,其他各类终端必须通过网络安全管控平台由经内部互联接口区接入维护数据业务系统。
在上述工作的基础上,集中部署各系统共享的安全防护手段,并通过纵深防护的部署方式,提高数据业务系统的安全防护水平。
本要求可作为在数据业务系统在规划、开发、建设以及维护各阶段组网和实施安全防护的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。
本技术要求主要包括以下3个方面内容:
数据业务系统安全域划分;
数据业务系统边界整合
数据业务系统的安全防护。
起草单位: 中国移动通信有限公司网络部、北京移动通信有限责任公司。
主要起草人:陈敏时、周智、徐海东、侯芳、张静、曹一生、李友国、魏来、翟庆庆。
适用范围
本要求所指数据业务系统为采用IT设备完成主要业务功能且和互联网存在接口的总部和各省自维护业务系统,如WAP网关、彩信,短信网关,彩铃系统,MISC、通用下载平台等,不包括通信网,、IP专网、GPRS等。
对于由SP承建或维护的中国移动自有业务在组网设计和部署防护手段方面也应参考本要求。但不能和中国移动自维护的业务系统位于相同的集中防护节点。
本要求主要从技术方面规范了数据业务系统的安全域划分、边界整合以及安全防护工作。
本要求作为中国移动通信有限公司、各省公司在数据业务系统规划、开发、建设以及维护各阶段组网和实施安全防护工作的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。
引用标准与依据
《计算机信息系统安全保护等级划分准则》(GB 17859号文)。
《电信网和互联网安全防护管理指南》(YD/T 1728-2008)
《电信网和互联网安全等级保护实施指南》(YD/T 1729-2008)
《互联网安全防护要求》(YD/T 1736-2008)
《互联网安全防护检测要求》(YD/T 1737-2008