IMS信息安全技术规范

IMS信息安全技术规范

类别1:

中国移动防火墙部署总体技术要求：

要求内容:

一、集中防护原则

以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位,统一考虑节点内所有网络系统的边界访问控制。节点内部，划分核心生产区、日常维护区、停火区（DMZ区)等等,通过VLAN划分实现不同区域系统间的隔离。从而彻底改变分系统防护的传统模式,实现集中化防护。

二、等级保护原则

不同保护级别的系统应采取不同的防火墙部署模式进行边界防护.在国家等级保护标准当中，除考虑系统的实际等级以外，还考虑了相关部门的监管需求。此外，由于系统防护技术的等级差别有限，部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求，各受保护系统都需要。因此在实际实践中，我们并不需要进行过于理论化的计算，能够区分高中低三种不同的防护需求即可.

根据系统划分的等级，高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防

火墙进行安全防护。

三、与业务特殊需求一致原则

对防火墙功能有特殊需求的业务系统，如GPRS BG接口防火墙需要支持GTP协议,可以在边界集中防火墙内部署第二层防火墙、IDS系统，实现深度保护。

四、与边界威胁一致原则

由于不同系统的开放性、可控性等方面各不相同，它们的可信度也有明显区别。与不同威胁等级、可信度的系统互联时，面对的威胁是不同的，因此，必须针对不同的威胁等级选择不同防护强度的防护技术.

五、异构原则

对于需要进行双层防火墙进行防护的系统，为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险，需要实现双重异构防火墙防护。在防火墙策略设置上,外层防火墙侧重实施粗粒度访问控制，内层防火墙侧重针对特定系统施细粒度访问控制。

五、防火墙种类最小化原则

为便于防火墙设备的日常维护和安全策略的管理,在满足双重异构前提下，应尽量减少防火墙的种类和品牌数量。

检测步骤：

分析系统网络拓扑、设备及IP地址列表等资料，检查以下内容:

1、被查业务系统所有设备是否均已纳入防护范围，并实现集中化防护；

2、是否针对业务系统不同等级的防护需求部署不同强度的防护手段;

3、若业务系统存在特殊需求，是否有针对性措施进行深度防护；

4、对于已部署双层防火墙防护的系统，是否满足双重异构防火墙防护方式对防火墙品牌、种类、策略控制上的要求;

类别2：

中国移动网管系统安全域划分技术要求：

要求内容：

网管系统安全域划分方法:

集团网管和省网管分别划分为不同的安全域，再根据安全域内部的不同安全需求，将各网管系统划分安全子域，具体描述如下：

(1）核心生产区：放置话务网管、传输网管、信令监测等核心主机设备,包括核心应用服务器、数据库服务器、存储设备等。

（2)互联接口区：省网与地市(集团与省网）互联接口、与网元采集设备的互联.

（3）内部系统互联区：与业务支撑系统、企业信息化系统的互联.

（4）第三方接入区:网管开发厂商接入、现场支持、移动终端接入。

（5）外联DMZ区:放置与公网进行数据交换的服务器,如数据网管采集机。

（6）内联DMZ区:放置与内部系统互联区进行数据交换的服务器。

(7）日常操作区:放置省公司网络部门的操作维护终端.

（8）管理服务区：放置各种统一的管理服务设备（如网管监控平台、4A系统等，暂时无相关设备的，可以预留该区域）

检测步骤:

分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料，确认网络是否完成安全域划分工作，安全子域设置是否符合网管系统安全域划分要求

类别3：

中国移动网管系统安全域划分技术要求：

要求内容：

以省公司为单位，将网管系统与互联网接口集中于省公司侧，并通过集团公司统一设置的北京、广州两个支撑系统与CMNet集中接口接入互联网

检测步骤：

分析系统网络拓扑等资料，检查网管系统与互联网接口是否集中于省公司侧

类别4：

中国移动网管系统安全域划分技术要求

要求内容：

边界访问控制要求：

一、集团公司统一设置的支撑系统互联网出口防火墙与省公司网管系统侧的互联接口防火墙构成双层互联网接口防护；

二、第三方接口（包括远程接入、网管开发区）与网管系统接口应基于申请按次接入，禁止物理上无长连接

检测步骤：

分析系统网络拓扑等资料,检查集团公司统一设置的支撑系统互联网出口防火墙与省公司网管系统侧的互联接口防火墙构成双层互联网接口防护,检查第三方接口(包括远程接入、网管开发区）与网管系统接口是否存在物理上无长连接。

类别5：

中国移动支撑系统与互联网集中出口安全防护体系技术要求

要求内容：

集团公司统一设置的支撑系统互联网出口安全防护：

各支撑系统通过集中出口连接到CMNet，会面临来自CMNet侧的多种外部威胁，集中出口侧防护主要包括以下四部分内容:

1. 部署异常流量监管系统监测来自于CMNet和支撑系统内部的流量，包括但不限于P2P、蠕虫病毒爆发、拒绝服务攻击等流量；

2。 部署异常流量监管系统抵御来自于CMNet拒绝服务攻击；

3。 部署防火墙防护来自于CMNet对各支撑系统的安全威胁；

4. 部署防火墙防护来自于CMNet对IP承载网中PE设备的安全威胁。

检测步骤：

分析网络拓扑等资料，检查各支撑系统与CMNET系统的连接是否集中出口，集中出口是否部署《中国移动支撑系统与互联网集中出口安全防护体系技术要求》所要求的防护措施。

类别6：

中国移动支撑系统与互联网集中出口安全防护体系技术要求

要求内容:

支撑系统侧安全域划分及防护要求：

一、支撑系统侧安全域划分与边界整合

安全域是一个逻辑范围或区域,同一安全域中的信息资产具有相同或相近的安全属性，如安全级别、安全威胁、安全弱点、风险等，同一安全域内的系统相互信任。每个支撑系统都是一个安全域，支撑系统内部还可以根据不同的安全需求划分成安全子域。支撑系统内部大概可以划分为：核心生产区、内部系统互联网区、第三方接入区、DMZ区等。

边界整合是在保障业务的同时将不同安全域之间的接口进行归并，减少接口数量，对接口处进行重点防护。

通过将支撑系统划分安全区域和整合边界，形成清晰、简洁、稳定的IT组网架构，实现系统之间严格访问控制的安全互连，从而更好的解决复杂系统的安全问题。

通过支撑系统安全域划分和边界整合需实现以下功能：

1. 对支撑系统按照要求实现安全域划分和边界整合；

2。 将支撑系统所有对互联网提供服务的应用集中到DMZ区；

3. 集中设置支撑系统远程接入设备,并放置到DMZ区；

4。 在DMZ区通过VLAN划分等方式将不同应用和远程接入相互隔离；

5. 对DMZ区与其它安全子域边界采用访问控制手段,防范安全风险扩散；

6. 实时检测DMZ区与其它安全子域的数据流，监控异常网络行为。

二、支撑系统侧安全域内的防护

安全域划分和边界整合是实现支撑系统内部安全防护的基础，除此之外，对于安全域内部的安全风险，如病毒传播、资源滥用、非法外联等，必须通过加强安全域内的防护，建立并实施相应的安全管理的制度和流程，才能提升支撑系统的整体安全防护能力。

支撑系统侧安全域内的防护主要需要满足安全需求如下：

1. 实施主机、网络设备、数据库、web等通用IT产品安全加固；

2. 部署终端集中化管理手段，禁止终端安装非法软件，防范BT资源滥用和非法窃听；

3。 部署集中防病毒手段,防范恶意代码在支撑系统内部的传播；

4。 部署检测技术对非法外联行为进行监控.

检测步骤:

通过分析网络拓扑、防火墙及网络设备配置等资料，以及采用现场检查的方式，检查以下内容：

1、是否按要求对支撑系统实施了安全域划分和边界整合;

2、是否将支撑系统所有对互联网提供服务的应用集中到DMZ区；

3、支撑系统远程接入设备是否集中设置,并放置到DMZ区；

4、是否在DMZ区通过VLAN划分等方式将不同应用和远程接入相互隔离；

5、对DMZ区与其它安全子域边界是否采用了访问控制手段,并设置了合理的访问控制策略；

6、是否对主机、网络设备、数据库、web等通用IT产品实施了安全加固;

7、是否对安全域内的终端接入部署了集中化管理技术手段或制定并落实了相应终端接入管理办法；

8、是否部署了集中防病毒手段；

类别7：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容：

数据业务系统安全域划分方法：

一、数据业务系统可划分以下为四类主要的安全子域：核心生产区、内部互联接口区、互联网接口区和核心交换区。

(1) 核心生产区：本区域仅和该业务系统其它安全子域直接互联，不与任何外部网络直接互联.该业务系统中资产价值最高的设备位于本区域，如服务器群、数据库以及重要存储设备，外部不能通过互联网直接访问该区域内设备.

(2） 内部互联接口区:本区域放置的设备和公司内部网络，如IP专网等连接,具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备，如网管采集设备.

(3） 互联网接口区：本区域和互联网直接连接，主要放置互联网直接访问的设备。如业务系统门户（Portal）.该区域的设备具备实现互联网与内部核心生产区数据的转接作用.

（4） 核心交换区：负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。

二、每类安全子域内部，根据实际需要，可进一步划分下级安全子域，如在内部互联接口区为和网管、计费互联分别设单独的子域。

三、某个具体数据业务系统，根据其业务逻辑与实现，不一定严格存在上述四类安全区域。在不违反安全域互联防护要求的前提下,该系统可简化安全域划分。

四、如果数据业务系统中某个设备存在多个逻辑接口,如既和内部网也和互联网存在接口，应采用分离功能的方式，由物理的设备分别实现不同的接口功能，从而满足安全域划分的要求。

五、数据业务系统安全域划分不设置单独用来放置终端的安全域.由于终端的风险较高，除超级终端外，其它各类终端应通过以省为单位部署的网络安全管控平台接入业务系统进行维护，终端和数据业务系统的互联方式参见“7。2.5 数据业务系统的维护互联安全要求”。

检测步骤:

分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料，检查数据业务系统是否完成安全域划分工作,安全子域设置是否符合数据业务系统安全域划分要求

类别8:

中国移动数据业务系统安全域划分边界整合及安全防护技术要求:

要求内容：

数据业务系统边界整合要求：

一、通常由于传输资源的因素，将位于相同物理位置的数据业务系统纳入同一个集中防护节点。在集中防护节点内部,部署核心交换设备，将不同系统的相同类型安全域整合形成大的安全域,集中设置互联网出口和内部互联出口。整合后的各安全域、安全子域以及外部接口之间满足域间互联安全要求,通过共享防火墙、入侵检测等安全防护手段，实现集中防护。

二、在具备传输条件的前提下，将现有集中防护节点的互联网出口整合至互备的一个

或几个接口。在此种情况下，存在多个集中防护节点共享一个互联网传输出口的情况。这时，不同集中防护节点通过核心路由器来进行路由连接,并将与互联网间的流量路由到整合后的接口。各节点可以保留互联网接口区，也可以将互联网接口区进一步整合，集中到整合后的接口位置

检测步骤：

分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料，检查数据业务系统是否完成与互联网边界的整合

类别9：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容：

数据业务系统安全域边界保护原则：

1、 集中防护：防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段以安全域划分和边界整合为基础，进行集中部署，多个安全域或子域共享手段提供的防护；

2、 分等级防护：根据通信行业“电信网和互联网安全防护体系”系列标准中安全等级防护的要求，对系统所在的边界部署符合其防护等级的安全技术手段，在对各系统共享的防护边界应遵循就高的原则。

3、 纵深防护：通过安全域划分，从外部网络到核心生产区之间存在多层安全防护边

界,纵深防护就是在每层防护边界上部署侧重点不同的安全技术手段和安全策略来实现对关键设备或系统的高等级防护。

检测内容：

分析系统网络拓扑、设备及IP地址列表、防火墙及网络设备配置文件等资料，检查数据业务系统的边界防护手段是否满足数据业务系统安全域边界保护原则的要求

类别10：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容：

数据业务系统之间互联安全要求

原则上，业务系统之间需通过内部互联接口区进行互联并通过防火墙防护。数据业务系统之间的应用访问需通过部署在内部互联接口区的设备进行处理或转发.原则上，不同数据业务系统的核心生产区设备之间不能直接访问。

检测步骤：

查看安全域划分情况，检查不同数据业务系统的核心生产区设备之间是否部署防火墙

类别11：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容：

数据业务系统与支撑系统之间互联安全要求

原则上，数据业务系统与支撑系统之间需通过内部互联接口区进行互联并通过防火墙防护。数据业务系统与支撑系统之间的应用访问需通过部署在内部互联接口区的设备进行处理或转发.支撑系统不能直接访问数据业务系统的核心生产区。

当支撑系统通过互联网接入数据业务系统时,如带内网管的情况，应通过在互联网接口区设置单独的安全子域方式实现互联。其它安全要求参见7.2。3。

数据业务系统与支撑系统之间互联，在数据业务系统侧部署防火墙进行防护。

检测步骤:

查看安全域划分情况，检查数据业务系统与支撑系统之间是否部署防火墙

类别12：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容:

数据业务系统与互联网之间互联安全要求

原则上,数据业务系统与互联网需通过互联网接口区进行互联。具体原则如下其中：

来自互联网的访问请求需通过部署在互联网接口区的设备进行处理或转发。互联网设备不能直接访问数据业务系统的核心生产区。

互联网接口区与互联网之间需要通过防火墙防护。

重要系统核心生产区与互联网接口区之间需要通过防火墙防护,实现双重防火墙防护。

检测步骤：

查看安全域划分情况,检查数据业务系统与互联网之间是否部署防火墙

类别13：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容：

数据业务系统与第三方系统互联的安全要求

此处的第三方系统是指公司业务合作伙伴的系统.

原则上，当数据业务系统与第三方系统需通过互联网接口区进行互联时,应通过防火墙防护。来自第三方系统的访问请求需通过互联网接口区的设备进行处理或转发。第三方系

统不能直接访问数据业务系统的核心生产区。

对于可信任的第三方系统，如银行、保险等通过专线接入时，可在内部互联接口区内设置单独的安全子域与其互联并通过防火墙防护。

检测步骤:

查看安全域划分情况，检查数据业务系统与第三方系统之间是否部署防火墙

类别14：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容：

维护终端和数据业务系统互联的安全要求

数据业务系统的维护终端可分为4类：

1、超级终端：特指位于各个机房，邻近数据业务系统服务器，与服务器部署在同一网段或者串口连接的专用超级终端，供需要在设备所在机房进行本地维护时使用。

2、专用固定终端:此类维护终端是维护机房中各个业务系统的固定的、专用的维护终端，该类终端专属于某个业务系统专用。

3、多用固定终端:即用于维护多个业务系统、位于维护机房的固定终端.

4、漫游终端：网络接入点频繁变化的终端，如笔记本终端，包括外部人员接入、本单位人员远程接入使用的各类终端等等.

超级终端和其所维护设备位于相同安全域。

原则上，数据业务系统的2～4类维护终端不属于数据业务系统安全域范围内，其应先通过部署在网管网的网络安全管控平台，接入数据业务系统的内部互联接口区后进行维护。终端不能直接访问数据业务系统的生产设备.网络安全管控平台对终端接入进行统一控制，实现集中帐号口令管理,日志集中管理和审计以及集中接入控制三个功能。(相关规范参见《中国移动综合维护接入网关功能与技术规范》、《中国移动帐号口令集中管理系统功能与技术规范》、《中国移动日志集中管理与审计系统功能与技术规范》）

检测步骤：

根据维护终端列表，检查2~4类维护终端是否实现集中帐号口令管理，日志集中管理和审计以及集中接入控制三个功能

类别15：

中国移动数据业务系统安全域划分边界整合及安全防护技术要求：

要求内容:

数据业务系统内部不同安全区域之间互联安全要求

原则上，同一数据业务系统内部各安全区域之间都应采用相应的安全手段进行隔离。

对于重要的数据业务系统核心生产区和互联网接口区以及内部互联接口区要求通过防火墙进行隔离。对于低保护等级的数据业务系统内部各安全域之间可以通过在交换机、路由器等网络设备上部署访问控制策略进行隔离。

检测步骤：

查看安全域划分情况，检查数据业务系统内部不同安全域之间是否部署防火墙或在交换机、路由器等网络设备上部署访问控制策略

类别16：

中国移动TD－SCDMA安全防护技术要求：

要求内容：

TD安全域划分方式：

一、3G核心网CS核心网安全域划分为:电路域、Gom域和计费接口域.

1． CS核心网电路安全域包含的主要设备：MGW、MSC Server、TMSC Server、GMSC Server、接入LANSwitch、路由器等.

2． 跟CS核心网相连接的接入网设备、HLR、SCP/EIR/GMLS/SMSC等设备因用TDM或ATM接口，使用专网,不存在安全性问题，不适宜放置在电路安全域中。

3． 基于R4核心网承载和控制分离的特点，信令和业务数据分承载2个VPN上。主

要处理信令的设备，信令包括ISUP/IP、TUP/IP、SS7/IP、BICC/IP、H248/IP等,其承载网可以用IP VPN1。而业务数据使用IP VPN2承载。

二、3G核心网PS核心网、GPRS核心网安全域划分为：Gn域、Gp域、Gi域、Gom域和计费接口域.

1． Gn域包含的主要设备:SGSN、GGSN、BG、DNS server、NTP server以及组成本域网络的数据通信设备等.

2． Gi域包含的主要设备:GGSN以外组成本域网络的数据通信设备,如交换机、汇接和转发设备等。

3． Gp域包含的主要设备：BG以及组成本域网络的数据通信设备等。

4． Gom域：3G系统(或GPRS系统)的网管服务器、工作终端、安全管理设备以及组成本域网络的数据通信设备等。

5． 计费接口域：3G系统（或GPRS系统）的计费网关CG以及组成本域网络的数据通信设备等。

检测步骤：

查看安全域划分情况,检查TD安全域划分是否遵循《中国移动3G（TD—SCDMA)网络安全需求与保护技术规范V1_0》

类别17：

中国移动TD－SCDMA安全防护技术要求:

要求内容：

各安全域边界整合及防护要求参见《中国移动3G（TD-SCDMA）网络安全需求与保护技术规范V1_0》

检测步骤：

分析系统网络拓扑等资料，检查已部署双层防火墙防护的系统是否采用双重异构防火墙防护方式