返回
ims信息安全技术规范

ims信息安全技术规范

ID:15199930

大小:57.50 KB

页数:9页

时间:2018-08-01

ims信息安全技术规范_第1页
ims信息安全技术规范_第2页
ims信息安全技术规范_第3页
ims信息安全技术规范_第4页
ims信息安全技术规范_第5页
资源描述:

《ims信息安全技术规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IMS信息安全技术规范类别1:中国移动防火墙部署总体技术要求:要求内容:一、集中防护原则以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位,统一考虑节点内所有网络系统的边界访问控制。节点内部,划分核心生产区、日常维护区、停火区(DMZ区)等等,通过VLAN划分实现不同区域系统间的隔离。从而彻底改变分系统防护的传统模式,实现集中化防护。二、等级保护原则不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。在国家等级保护标准当中,除考虑系统的实际等级以外,还考虑了相关部门的监管需求。此外,由于系统防

2、护技术的等级差别有限,部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求,各受保护系统都需要。因此在实际实践中,我们并不需要进行过于理论化的计算,能够区分高中低三种不同的防护需求即可。根据系统划分的等级,高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。三、与业务特殊需求一致原则对防火墙功能有特殊需求的业务系统,如GPRSBG接口防火墙需要支持GTP协议,可以在边界集中防火墙内部署第二层防火墙、IDS系统,实现深度保护。四、与

3、边界威胁一致原则由于不同系统的开放性、可控性等方面各不相同,它们的可信度也有明显区别。与不同威胁等级、可信度的系统互联时,面对的威胁是不同的,因此,必须针对不同的威胁等级选择不同防护强度的防护技术。五、异构原则对于需要进行双层防火墙进行防护的系统,为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险,需要实现双重异构防火墙防护。在防火墙策略设置上,外层防火墙侧重实施粗粒度访问控制,内层防火墙侧重针对特定系统施细粒度访问控制。五、防火墙种类最小化原则为便于防火墙设备的日常维护和安全策略的管理,在满足双重异构前提下,应尽量减少防火墙的种类和品牌数量。

4、检测步骤:分析系统网络拓扑、设备及IP地址列表等资料,检查以下内容:1、被查业务系统所有设备是否均已纳入防护范围,并实现集中化防护;2、是否针对业务系统不同等级的防护需求部署不同强度的防护手段;3、若业务系统存在特殊需求,是否有针对性措施进行深度防护;4、对于已部署双层防火墙防护的系统,是否满足双重异构防火墙防护方式对防火墙品牌、种类、策略控制上的要求;类别2:中国移动网管系统安全域划分技术要求:要求内容:网管系统安全域划分方法:集团网管和省网管分别划分为不同的安全域,再根据安全域内部的不同安全需求,将各网管系统划分安全子域,具体描述如下:(1)核心生产区:放置

5、话务网管、传输网管、信令监测等核心主机设备,包括核心应用服务器、数据库服务器、存储设备等。(2)互联接口区:省网与地市(集团与省网)互联接口、与网元采集设备的互联。(3)内部系统互联区:与业务支撑系统、企业信息化系统的互联。(4)第三方接入区:网管开发厂商接入、现场支持、移动终端接入。(5)外联DMZ区:放置与公网进行数据交换的服务器,如数据网管采集机。(6)内联DMZ区:放置与内部系统互联区进行数据交换的服务器。(7)日常操作区:放置省公司网络部门的操作维护终端。(8)管理服务区:放置各种统一的管理服务设备(如网管监控平台、4A系统等,暂时无相关设备的,可以预

6、留该区域)检测步骤:分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料,确认网络是否完成安全域划分工作,安全子域设置是否符合网管系统安全域划分要求类别3:中国移动网管系统安全域划分技术要求:要求内容:以省公司为单位,将网管系统与互联网接口集中于省公司侧,并通过集团公司统一设置的北京、广州两个支撑系统与CMNet集中接口接入互联网检测步骤:分析系统网络拓扑等资料,检查网管系统与互联网接口是否集中于省公司侧类别4:中国移动网管系统安全域划分技术要求要求内容:边界访问控制要求:一、集团公司统一设置的支撑系统互联网出口防火墙与省公司网管系统侧的互联接口

7、防火墙构成双层互联网接口防护;二、第三方接口(包括远程接入、网管开发区)与网管系统接口应基于申请按次接入,禁止物理上无限制长连接检测步骤:分析系统网络拓扑等资料,检查集团公司统一设置的支撑系统互联网出口防火墙与省公司网管系统侧的互联接口防火墙构成双层互联网接口防护,检查第三方接口(包括远程接入、网管开发区)与网管系统接口是否存在物理上无限制长连接。类别5:中国移动支撑系统与互联网集中出口安全防护体系技术要求要求内容:集团公司统一设置的支撑系统互联网出口安全防护:各支撑系统通过集中出口连接到CMNet,会面临来自CMNet侧的多种外部威胁,集中出口侧防护主要包括以

8、下四部分内容:1.部署异

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。