安全域划分研究与应用

爱卫生

付费下载自CNKI论文期刊网。发表于《计算机安全》2012年06期。

已分享至论坛城通网盘，下载地址：http://www.400gb.com/file/9776124。

【作者】 邱岚； 谭彬；

【机构】 中国移动通信集团广西有限公司；

【摘要】 为未来2-3年的安全规划提供原则、策略和技术上的指导,实现可持续发展战略提供坚实的信息安全保障,中国移动通信集团广西省有限公司依据安全域划分原则,根据《中国移动支撑系统安全域划分与边界整合技术要求》和《中国移动数据业务系统集中化安全防护技术要求》等移动行业标准,结合生产网实际需要,从安全域划分、边界整合和安全技术防护等多个角度,创造性地提出了适合省公司发展需要的安全域划分规范。

【关键词】 安全域； 安全域划分； 边界整合；

0 引言

针对支撑系统和数据业务系统日益复杂、安全防护要求不断提高的现状，需要从整体的视角有效地整合系统对外的接口数量，减少外部威胁源头，做好出口节点的防护，加强安全域内的安全防护，并从全网范围内有效减少安全投入的成本，提升安全防护水平。

虽然移动集团已分别于 2005 年和 2010 年发布了《中国移动支撑系统安全域划分与边界整合技术要求》和《中国移动数据业务系统集中化安全防护技术要求》 ，规范已明确支撑系统和数据业务系统安全域划分和边界整合的基本原则，取得了良好的企业运维和社会效益。但中国移动通信集团广西省有限公司（以下简称广西移动）在安全建设中，遇到一些困惑：由于集团公司的两个安全域规范出台相隔多年，规范中安全区域名称不统一，引起建设安全人员理解不一的问题，给不同部门对安全建设规范的理解造成不便；另外，由于规范本身只是原则性要求，落实到本地的可操作性不强，导致建设部门在规范时执行不到位。

为实现可持续发展战略提供坚实的信息安全保障，更好地指导安全建设，广西移动需要根据自身情况创造性地提出适合我司发展需要的安全域划分规范。根据《中国移动支撑系统安全域划分与边界整合技术要求》和《中国移动数据业务系统集中化安全防护技术要求》等行业标准，结合生产网使命，设立安全域划分原则，从安全域划分、边界整合和安全技术防护等多个角度，制定操作性强的安全域建设规范，为未来2-3年的安全建设提供原则、策略和技术上的指导。

1 安全域划分意义

安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域，是根据信息性质、使用主体、安全目标和策略等的不同来划分的，是具有相近的安全属性需求的网络实体的集合。同一安全域的系统共享相同的安全策略，安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。安全域划分是将网络系统划分为不同安全区域，分别进行安全保护的过程。通过安全域的划分和保护，将实现如下意义：

(1)基于网络和系统进行安全检查和评估的基础；

(2)有效建立安全管理控制点，指导系统安全规划、设计、入网和验收工作 ；

(3)实现对系统进行重点保护，统一管理的策略，统一信息安全技术支撑 ；

(4) 安全域的分割是抗渗透的防护方式 ；

(5) 基于网络和系统进行安全建设的部署依据 ；

(6)安全域边界是灾难发生时的抑制点，防止影响的扩散 ；

(7) 避免了安全方面的重复投资 ；

(8)实现对各类终端用户的控制，特别是对不可信用户的可信控制。

2 安全域划分原则

(1)业务保障原则：安全域方法的根本目标是能够更好地保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。

(2)结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。

(3)等级保护原则：安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。

(4)生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。

3 安全域划分思路

安全域划分是一个逐步细化的过程，广西移动根据不同的业务、应用及其所处理信息的敏感性和重要性，同时综合考虑网络性能和成本，进一步划分若干1级安全域，根据需要，1级安全域可继续依次细化为 2 级安全域、3 级安全域等。

支撑系统和数据业务系统等各个安全域内部，根据组网和防护的实际需要，可以（但不完全限于）进一步划分为1级安全域：核心生产区、核心交换区、终端用户区、管理服务区、内部系统互联区、外部系统互联区等。

(1)核心生产区：由各类业务相关应用服务器、数据库服务器和存储设备组成。

(2)核心交换区：由连接核心生产区和终端用户区、管理服务区的互联基础设施构成。

(3) 终端用户区 ：由系统的各类接入终端构成。

(4)管理服务区：由各类安全产品的控制、管理及配置设备构成。

(5)内部系统互联区：由连接移动内部系统的互联基础设施构成，包括同一系统内的区公司与有限公司、区公司与地市公司的互联接口。

(6) 外部系统互联区 ：由连接 CMNet 和第三方的互联基础设施构成。

图 1 中国移动安全域划分的参考架构

每类1级安全域内部，根据实际需要，可以进一步划分2级安全域，如：业务支撑系统核心生产区可继续划分为 BOSS 子域、经分子域、BOSS网管子域、客服子域等2级安全域；外部系统互联区可继续分为 ：CMNet 互联区、合作伙伴互联区、远程接入互联区等2级安全域。某个具体支撑系统安全域，根据其业务逻辑与实现，不一定严格存在上述安全子域，该支撑系统可简化安全域的划分。

如果系统中某个设备存在多个逻辑接口，如既和内部网络也和互联网存在接口，应采用分离功能的方式，由物理独立的设备分别实现不同的接口功能。对无法通过物理独立的设备进行分离的情况，应采用就低原则进行安全域划分。

4 边界整合方法

边界整合是与安全域划分紧密联系在一起的，是相辅相承的。一方面，通过安全域划分可以为边界整合指明整合的目标和思路；另一方面，通过边界整合可以简化、统一系统或安全域的边界，有利于安全域的划分与防护。

在具体实践中，安全域的划分与边界整合一般同时进行。边界整合是在保障业务的同时将不同安全域之间的接口进行归并，减少接口数量，对接口处进行重点防护。边界整合的目的是对系统进行模块化划分，进行层次化的保护，以有效保证系统和信息安全。

在进行安全域的划分前，必须按照一定的原则对中国移动广西公司业务支撑系统、网管系统和企业信息系统等互相之间以及和其他系统之间的互联边界进行分类整合，以便充分利用现有资源对其进行保护。支撑系统在区公司层面的互联边界统一整合为三个 ：

(1)同一系统的不同层面，即“有限公司—区公司—地市公司”的边界。

(2) 系统与其他移动内部系统互联的边界。

(3) 系统与其他移动外部系统互联的边界。

备注 ：

（1)移动内部系统定义为：中国移动广西公司能够通过行政和管理制度完全控制其访问行为并实施安全策略，或承载于移动 MDCN、自建传输网络的终端、主机或更大范围的系统。

（2)移动外部系统定义为：中国移动广西公司不能通过行政和管理手段完全控制其访问行为和实施安全策略，或承载于移动CMNet、Internet的终端、主机或更大范围的系统。

（3)用于与内部系统互联和外部系统互联的设备必须分开专用，不能混用同一套设备。

5 安全域技术防护

5.1 安全域边界防护

安全域边界的保护原则是：应以通为主，以隔为辅，即在保证系统连通需求的前提下，根据各安全域的威胁等级、保护等级，部署支撑系统的保护方式。目前，在支持系统互联边界接口主要采取的防护方式包括如下几种 ：

(1)MPLS VPN ：应用于管理信息系统、网管系统的网络承载上，充分利用传输介质，同时保证数据流互相分离、互不影响，同属一个 VPN 的 Sites能够访问互相访问，但不能访问其他 VPN 的 Sites。

(2)ACL（访问控制列表）：应用于边界网络设备上，用于控制未经授权IP地址或地址段不能访问重要的应用系统、设备。设置ACL需了解明确的访问关系。

(3)策略路由：应用于多个系统接口的边界网络设备上，用于控制指定 IP 地址或地址段的访问范围，也需要明确的访问关系才能设置。

(4)单层防火墙：应用于威胁等级低的系统访问安全防护等级低的系统，对出入的网络数据流进行控制，但防御纵深较低。如：区公司业务支撑系统访问地市业务支撑系统。

(5)双重异构防火墙：应用于威胁等级较高的系统访问安全防护等级较高的系统，增加了事件响应时间及防御纵深，但效率有所降低。如：管理信息系统办公人员的互联网需求。(6)接口服务器：应用于威胁等级高的系统访问防护等级高的系统，对外屏蔽了核心系统，需根据互联系统间威胁等级和防护等级的差别，分别与单层或双重异构防火墙结合进行部署，如 ：银行、SP等合作伙伴访问业务支撑系统。

5.2 安全域内部防护

安全域划分和边界整合是实现支撑系统内部安全防护的基础，除此之外，对于安全域内部的安全风险，如病毒传播、资源滥用、非法外联等，必须通过加强安全域内的防护，建立并实施相应的安全管理的制度和流程，才能提升支撑系统的整体安全防护能力。本规范中域内的安全防护主要涉及安全域相关的域内防护，具体的系统防护要求应参考集团公司和区公司下发的相关规范。

由于各安全域的安全需求不同，采用的安全方案也不同，支撑系统安全域内部的防护主要需要满足如下安全需求 ：

(1)实施主机、网络设备、数据库、WEB等通用 IT 产品安全加固 ；

(2)部署终端集中化管理手段，禁止终端安装非法软件，防范 BT 资源滥用和非法窃听 ；

(3)部署集中防病毒手段，防范恶意代码在支撑系统内部的传播 ；

(4) 部署检测技术对非法外联行为进行监控。

6 应用效果

新制定的安全域划分规范适用于广西移动的支撑系统和数据业务系统，新规范遵循集中化防护和分等级防护原则，整合各系统分散的防护边界，形成数个大的安全域，内部分区控制、外部整合边界，并以此为基础集中部署安全域内各系统共享的安全技术防护手段，实现重兵把守、纵深防护。已建数据业务系统将以功能改造、扩容等工程为契机在合理利用原有设施的基础上参照规范执行，逐步实现已建数据业务系统的集中防护。今后对已建数据业务系统进行功能改造、扩容时，在合理利用原有设施的基础上，需按照本规范中的安全域划分原则进行实施，特别是新增应用系统、功能区域或连接接口时，需要分析加入的应用、功能区域或接口，确保其设备连接的逻辑区域和设备放置的物理区域符合本技术要求。同时也很好地解决集团安全域落实所遇的困惑：

(1)解决之前，由于集团支撑网安全域规范的安全区域名称不统一，导致建设安全人员理解不一的问题，给不同部门对安全建设规范的理解造成不便。

(2)解决集团建设规范落地问题，由于安全域建设规范是结合广西公司自身情况进行撰写的，制定广西公司自身的安全建设标准和相关规范，具备了较强的可操作性，并且在实施过程中，多个部门共同对规范的理解较好，建设部门在规范时较好地执行。

参考文献
[1]赵战生. 中美等级保护工作的比较思考. 国家信息安全测评认证，2008.
[2] 绿盟科技安全小组 . http://www.nsfocus.com/
[3]蒋鲁宁. 结构性信息安全问题分析. 国家信息安全测评认证，2009.
[4] 范红，冯登国 . 信息安全风险评估实施教程，2007.
[5]Andrew Jaquith著,李东东,韦荣译. 安全度量 SECURITY METRICS Replacing Fear,Uncertainty,and Doubt--- 量化、分析与确定企业信息安全效能.北京：电子工业出版社 2007.12.
[6]Shon Harris编著,石华耀,张辉, 段海新译 .CISSP认证考试指南（第 4 版）. 北京 ：科学出版社 2009.5.
作者简介：邱 岚，主要研究运营商网络安全方向；

谭 彬，主要研究运营商网络安全方向。