中国电信IT安全保障体系规范-技术分册-网络安全域划分指南v1.0

中国电信中国电信 ITIT 安全保障体系建设规范安全保障体系建设规范 技术分册技术分册 网络安全域划分指南网络安全域划分指南 V1.0 2011 年年 10 月月 中国电信集团公司中国电信集团公司 网络安全域划分应用指南 第 1 页 / 共 83 页 目目 录录 第第 1 章章概述概述.3 1.1概述.3 1.2适用范围.3 1.3文档说明.3 1.4规范文档.4 第第 2 章章网络安全现状分析网络安全现状分析.5 2.1IT 系统网络安全现状概述5 2.2IT 系统组网的基本架构5 第第 3 章章IT 系统网络安全域整体规划系统网络安全域整体规划 .7 3.1网络安全域整体规划.7 3.1.1以组织关系为基础进行划分.7 3.1.2以业务系统为基础进行划分.7 3.1.3IT系统网络安全域整体划分模型7 3.2整体安全区域与系统安全子域的关系.10 第第 4 章章IT 系统安全子区域划分系统安全子区域划分 .11 4.1IT 系统安全子域划分要求11 4.2IT 系统安全等级定义11 4.3系统安全子域划分.12 4.3.1计算服务子域.13 4.3.2运维管理子域.13 4.3.3办公终端子域.14 4.3.4互联接入子域.14 4.3.5内部核心交换子域.15 第第 5 章章IT 系统网络安全子域边界整合系统网络安全子域边界整合 .16 5.1IT 系统网络安全边界划分16 5.2IT 系统网络安全边界整合17 5.2.1计算服务子域内部安全边界.17 5.2.2运维管理子域安全边界.19 5.2.3办公终端子域安全边界.20 5.2.4互联接入子域安全边界.21 5.2.5核心交换子域安全边界.22 5.3网络安全域边界访问控制策略.23 第第 6 章章IT 系统网络安全子域防护系统网络安全子域防护 .24 6.1网络安全子域防护原则.24 6.2网络安全子域防护措施.25 6.2.1网络安全子域边界防护策略.25 6.2.2网络安全子域内部安全防护策略.37 网络安全域划分应用指南 第 2 页 / 共 83 页 6.2.3边界防护技术实现策略.60 6.2.4集中安全管控措施.67 6.2.5网络安全域防护措施解析.67 第第 7 章章MSS 系统试点网络安全域示例系统试点网络安全域示例 .68 7.1MSS 系统安全定级68 7.2网络安全域划分.69 7.3网络边界整合.70 7.4边界安全防护措施.71 7.5集中安全管控措施.76 第第 8 章章网络安全域实施路线网络安全域实施路线.77 8.1第一阶段：网络现状需求调研梳理.77 8.2第二阶段：整体安全区域规划.77 8.3第三阶段：网络安全域分阶段实施.78 第第 9 章章附录附录.79 附录 1、系统安全等级矩阵表 .79 附录 2、安全技术防护措施标准组件库 .80 附录 4、文档编制人员名单 .82 附录 4、参考文献 .82 网络安全域划分应用指南 第 3 页 / 共 83 页 章 1 1 章概述概述 1.1 概述 本指南作为中国电信 IT 安全技术体系规范的主要组成部分，本指全面阐述了 IT 系统网络安全域设计思路、划分原则、边界整合、安全防护措施和演进计划等内容， 为中国电信建立健全 IT 安全保障体系提供重要的依据和支撑。 1.2 适用范围 本指南适用于指导中国电信集团公司及下属省（市）电信公司进行 IT 网络安全域 规划建设和升级改造等，以实现中国电信网络安全工作“同步规划、同步建设、同步 运行”。 1.3 文档说明 本指南的编制是在CTG-MBOSS 总体规范 V2.0的总体框架体系指导下，参考了 CTG-MBOSS 安全规范-网络安全分册 V1.0及近年来发布的其他安全政策和指导意 见相关内容，继承和吸收了原有安全管理实践的经验成果，并充分考虑了电信各省公 司的现状、行业最佳实践和安全新技术。针对本指南进行以下特别说明： 1. 本指南的安全域划分主要针对单独的 IT 系统（如 MSS 系统、BSS 系统、OSS 系统和 EDA 系统）网络安全子域的划分；整体网络安全域划分沿用CTG- MBOSS 安全规范-网络安全分册 V1.0安全域划分的方法和要求，本文档不做 特别阐述； 2. 本指南网络安全域边界从第 5 类开始，1-4 类继续沿用CTG-MBOSS 安全规范- 网络安全分册 V1.0文档的边界划分方法和要求。 网络安全域划分应用指南 第 4 页 / 共 83 页 1.4 规范文档 网络安全域划分指南在中国电信集团公司 IT 安全保障体系规范中的位置如下 图所示： 策略 规范 指南 网网络络安安全全域域划划分分 指指南南 管理分册技术分册 中国电信IT安全保障 体系规范 要求 规范 指南 总体规范 网络安全域划分应用指南 第 5 页 / 共 83 页 章 2 2 章网网络络安全安全现现状分析状分析 2.1 IT 系统网络安全现状概述 通过针对中国电信 IT 系统网络安全现状的分析，发现目前中国电信 IT 系统网络 区域划分不严格，各系统网络边界的防护措施不足，存在不同系统互联互通的情况， 无法实现针对非授权的互访行为进行控制和管理。IT 系统网络所面临的主要威胁除了 物理攻击破坏外，还包括恶意软件攻击、内部员工误用、敏感信息泄露、黑客入侵破 坏等几类。因此，迫切需要开展网络安全研究，从整体安全防护、边界防护、系统内 安全防护、安全审计等不同角度出发，制定安全防护原则和优化改造方案，使中国电 信网络安全与系统网络 “同步规划、同步建设、同步维护”。 2.2 IT 系统组网的基本架构 中国电信 IT 系统在组网方面按其功能可分为接口层、核心交换层、系统层和存储 备份层 4 层。接口层设备负责与外部的其它系统、用户终端交互；核心交换层设备负 责连接 IT 系统内部其它各层的设备；系统层设备负责完成系统的主要业务功能；存储 备份层设备负责存储业务系统数据。如下图所示 网络安全域划分应用指南 第 6 页 / 共 83 页 chinanet 互联网接口内部互联接口外部互联接口 公司内部 网络 公司外部 网络 接口层 核心交换层 系统层 存储备份层 图示 2-1 中国电信 IT 系统组网基本架构图 后续网络安全域划分方法基本依据了上述 IT 系统功能分层情况，为了叙述方便仅 从安全域划分和边界整合的角度，将系统层和存储备份层进行了整合为核心生产层。 网络安全域划分应用指南 第 7 页 / 共 83 页 章 3 3 章ITIT 系系统统网网络络安全域整体安全域整体规规划划 IT 系统网络安全域划分参考CTG-MBOSS 安全规范-网络安全分册 V1.0的划分 要求，并且结合目前中国电信 IT 系统网络连接的实际情况，在核心生产区相对于 MSS 系统、BSS 系统、OSS 系统独立出 EDA 系统安全区域，并对其他安全区域进行适当的调 整优化，实现各网络安全区域划分科学合理。 3.1 网络安全域整体规划 3.1.13.1.1 以组织关系为基础进行划分以组织关系为基础进行划分 以组织关系为基础进行划分。按照行政关系、管辖范围不同，将安全域分为集团 公司、省公司和地市分公司三个层次的安全域： 集团公司业务系统域； 省公司业务系统域； 地市分公司业务系统域。 域间通过 DCN 或传输电路连接，边界采用 VLAN、防火墙或其他访问控制策略进行 防护，如果有条件可以通过 MPLS VPN 来进行完全逻辑隔离。 3.1.23.1.2 以业务系统为基础进行划分以业务系统为基础进行划分 以业务系统为基础进行划分。按照业务功能不同，中国电信集团与省公司均划分 四个不同的安全区域，即 BSS 域、OSS 域、MSS 域和 EDA 域。 四个系统区域之间相互隔离，原则上禁止直接进行相互访问，所有的访问连接必 须经过核心交换机进行访问呢控制。 网络安全域划分应用指南 第 8 页 / 共 83 页 3.1.33.1.3 ITIT 系统网络安全域整体划分模型系统网络安全域整体划分模型 结合中国电信以组织关系和以业务系统为基础的划分方法，规划 IT 系统网络的安 全域的总体规划如下图所示： 图 3-1 IT 系统网络安全域划分示意图 中国电信 IT 系统网络安全域整体划分为四类主要安全区域，包括核心交换区、核 心生产区、支撑管理域和安全互联域。依据CTG-MBOSS 安全规范-网络安全分册 V1.0安全域划分思路，核心生产区由 BSS 系统、OSS 系统、MSS 系统和 EDA 系统四大 系统子域组成；安全互联域包括外部互联区、Internet 互联区和内部互联网络；核心 交换区为其他区域的相互访问提供网络数据交换服务，并与 DCN 核心网连接；支撑管 理域实现对网络各区域提供统一的安全管理支撑。各安全区域功能说明如下： （1）核心交换区）核心交换区 网络安全域划分应用指南 第 9 页 / 共 83 页 负责连接支撑管理域、核心生产区、支撑管理域、第三方及合作伙伴互联区、 Internet 互联区等安全域，并与 DCN 核心网进行连接实现集团和省公司的互联服务。 核心交换区要求支持网络级的访问控制策略，对各子域之间互联可通过边界防火 墙或者 ACL 访问控制列表方式实现访问控制。 （2）核心生产区）核心生产区 本区域包含 CTG-MBOSS 各个重要的业务系统，业务系统中资产价值最高的设备位 于本区域，如服务器群、数据库以及重要存储设备，外部不能通过互联网直接访问该 区域内设备。本区域仅和该业务系统其它安全子域直接互联，不与任何外部网络直接 互联。 核心生产区的各个业务子系统之间采用 VLAN、防火墙等方式进行隔离，VLAN 间应 通过 ACL 进行访问控制。 （3）支撑管理域）支撑管理域 支撑管理域由集团和省公司进行集中管理。通过在该区域部署统一的管控平台， 实现各类安全产品的管理，其实现的功能包括安全域内的身份认证、权限控制、病毒 防护和补丁升级，各类安全事件信息的收集、整理、关联分析，安全审计、入侵检测 和漏洞扫描等。 本区域可根据支撑系统的功能划分不同的子域，如 4A 子域、SOC 平台子域等。 （4）安全互联区）安全互联区 本区域部署第三方厂商及合作伙伴、互联网的接入设备，以及内部系统的互联设 备。本区域与核心交换区间应部署防火墙设备，并设置严格的访问控制策略，以控制 互联网用户、外部用户和其他业务系统用户的访问。 本区域和互联网直接连接，主要部署互联网直接访问的设备，该区域的设备具备 实现互联网与内部核心生产区数据的转接作用，集团和各省公司所有的互联网访问需 求均应通过独立唯一的 Internet 互联区进行，不允许存在其他互联网出口。内部互联 区负责通过 DCN 网络与电信内部其他区域系统的交互。 网络安全域划分应用指南 第 10 页 / 共 83 页 3.2整体安全区域与系统安全子域的关系 本指南文件涉及的中国电信网络安全域整体划分依据并参考 CTG-MBOSS 安全规范的 网络安全域划分方法，实现电信公司网络重要四个区域的划分和调整优化；核心生产 区业务系统众多，网络连接复杂，本指南 IT 系统安全子域的划分仅针对重要的核心生 产区（即 CTG-MBOSS 四个业务系统）进行安全子域的划分，并且实现与其他外部区域 的互联防护。 在安全防护措施部署方面，特别针对互联网出口安全防护，如果外部安全互联区 的 Internet 出口部署了入侵防御系统、拒绝服务攻击防护设备、防病毒网关和网络流 量管控设备，则在核心生产区的出口可以不再重复部署；如果未及时部署，需在核心 生产区的边界出口部署相应的安全防护设备，提高网络边界安全性。 网络安全域划分应用指南 第 11 页 / 共 83 页 章 4 4 章ITIT 系系统统安全子区域划分安全子区域划分 4.1 IT 系统安全子域划分要求 根据中国电信实际网络安全需要，每个安全区域可进一步划分下级安全子域，在 核心生产区内部为不同安全等级划分安全子域，实现不同业务系统之间的隔离。例如 为了满足日志采集设备、防病毒系统和二级控管服务器等安全设备部署的需要，可在 内部系统区内开辟单独的安全子域部署二级安全管控平台设备。 IT 系统网络安全子域的划分要求如下： 1.对于具体业务系统而言，其自身业务逻辑与实现的特点不一定严格存在四类安 全区域。在此种情况下，在不违反安全域防护原则的前提下，可简化安全域的 划分； 2.如果业务系统中某个设备存在多个逻辑接口时，如一个既和内部网也和互联网 存在接口的设备，应进行功能分离，通过物理独立的设备分别实现不同的接口 功能，从而满足安全域划分的要求。属于核心生产区的设备，应避免存在与互 联网直接相连的接口； 3.业务系统安全域划分不设置单独用来放置终端的安全域。由于终端的风险较高， 除超级终端和本地控制台外，其它各类终端应通过以省为单位部署的集中接入 控制设备（系统）接入业务系统进行维护。 4.2 IT 系统安全等级定义 依据中国电信IT 系统安全保护基本要求文件要求，IT 系统共划分为 4 个安全 等级，第 2.1、2.2、3.1、3.2 等级。目前 CTG-MBOSS 各系统安全等级划分情况如下： 表格 3-1 中国电信 IT 系统安全等级定义结果 第 2.1 级第 2.2 级第 3.1 级第 3.2 级 MSS 系统MSS 系统 网络安全域划分应用指南 第 12 页 / 共 83 页 OSS 系统OSS 系统 BSS 系统BSS 系统BSS 系统 EDA 系统EDA 系统 在 CTG-MBOSS 各系统区域内针对计算服务域细划分次级安全子域，主要参考各系 统的定级结果进行划分。 4.3 系统安全子域划分 根据中国电信 CTG-MBOSS 系统的实际网络情况，结合整体网络安全域的划分结果， MBOSS 系统网络安全子域的划分结果如下： 办办 公公 终终 端端 子子 域域 运运 维维 管管 理理 子子 域域 中国电信IT安全保障体系IT系统网络安全子域架构示意图 计计 算算 服服 务务 子子 域域 无线 终端 区 有线 终端 区 内部核心交换子域 虚拟 云端 区 互互 联联 接接 入入 子子 域域 核核心心交交换换 区区网网络络 2 2. .1 1级级系系统统区区 2 2. .2 2级级系系统统区区3 3. .1 1级级系系统统区区3 3. .2 2级级系系统统区区开开发发测测试试区区 网络防火墙入侵检测系统 数据库安全防护 数字证书 安全审计系统 网络防火墙 数据库安全防护 数字证书及数字签名 安全审计系统 网络防火墙入侵检测系统 数字证书及数字签名 安全审计系统 ACL入侵检测系统 数据库安全防护 安全审计系统安全审计系统备份恢复 单因素身份认证 双因素认证 双因素认证 漏洞扫描 备份恢复 系统防病毒 入侵检测系统 漏洞扫描 备份恢复 系统防病毒 系统防病毒 漏洞扫描 单因素身份认证 漏 洞 扫 描 备份恢复 漏洞扫描 系统防病毒 网络防火墙 数 据 防 泄 漏 单 因 素 身 份 认 证 安 全 审 计 系 统 系 统 防 病 毒 终 端 安 全 防 护 网络防火墙 数据防泄漏 入侵检测系统 单因素身份认证 安全审计系统 漏洞扫描 备份恢复 运运维维 服服务务 器器区区 运运维维 终终端端 区区 系统防病毒 网络流量管理 系统防病毒 数据库安全防护 备 份 恢 复 备份恢复 单因素身份认证漏洞扫描 堡垒主机 堡 垒 主 机 双因素认证 内内部部接接入入区区外外部部接接入入区区I In nt te er rn ne et t接接入入区区 系统防病毒 单因素身份认证单因素身份认证 安全审计系统 备份恢复 数字证书 数据防泄漏 网络防火墙 数据库安全防护 单因素身份认证 安全配置加固 WEB应用防火墙 备份恢复 安全配置加固 网页防篡改 网络防火墙 网页防篡改网页防篡改 安全配置加固 备份恢复 安全审计系统安全审计系统 安全配置加固 安全配置加固 安全配置加固 安全配置加固 安全配置加固 安全配置加固 安全配置加固 安全配置加固 漏洞扫描 漏洞扫描 漏洞扫描 漏洞扫描 VPN安全接入安全审计系统 防病毒网关 拒绝服务攻击防护 入侵防御系统 图示 4-1 IT 系统安全子域架构示意图 网络安全域划分应用指南 第 13 页 / 共 83 页 4.3.14.3.1 计算服务子域计算服务子域 计算服务子域是中国电信 IT 系统重要计算服务器的所在区域，提供相关的计费、 结算、账号、工程等电信重要业务的计算服务，该区域主要包括 IT 系统的中间件系统 和数据库系统设备。依据中国电信生产区域和开发测试区域相互分离的原则，在计算 服务子域内部划分为生产区域和开发测试区域两个次级子域，具体如下所述： 计算服务子域的生产区域按照中国电信 IT 系统的安全等级不同，详细划分为 4 个安全区域（本项目为完整 4 个等级的安全区域的划分方法，实际 IT 系统 区域的划分请根据实际情况进行划分）： 2.1 级系统区：参考附录 4，该区域为所有 2.1 等级系统的中间件系统和数 据库服务器所在区域，如 MSS 系统各类辅助系统等；BSS 系统的渠道支 撑、代理商服务等；OSS 系统的 IT 网管、综合服务保障系统等；EDA 系 统的 EAI（企业应用集成平台）、企业数据应用门户等部署在该区域； 2.2 级系统区：参考附录 4，该区域为所有 2.2 等级系统的中间件系统和数 据库服务器所在区域，如 MSS 系统 PI 接口、流程引擎、ERP 等；BSS 系 统的经分系统、CRM 系统等；OSS 系统电子工单系统、VC（UIM 卡管理 平台）等；EDA 系统的 ODS（运营数据仓储）、EDW（企业数据仓库） 等部署在该区域； 3.1 级系统区：参考附录 4，该区域为所有 3.1 等级系统的中间件系统和数 据库服务器所在区域，如 BSS 系统的计费平台和结算系统部署在该区域； 3.2 级系统区：参考附录 4，该区域为所有 3.2 等级系统的中间件系统和数 据库服务器所在区域，目前的中国电信 IT 系统定级结果暂时无 3.2 级系统， 本区域划分为后续的系统等级划分提供相应扩展接口区域； 计算服务子域的开发测试区：该区域主要用来部署计算服务子域的开发测试服 务器，为 IT 系统提供开发测试服务。 4.3.24.3.2 运维管理子域运维管理子域 运维管理子域是针对中国 IT 系统的网络监控、状态流量、事件日志、安全审计、 集中控制台等运维系统进行管理的安全区域，本区域主要包括各类二级安全运维系统 网络安全域划分应用指南 第 14 页 / 共 83 页 平台（一级安全运维系统部署在外部安全运维区域）所在区域，根据安全子域的设备 类型不同，安全运维子域包括两个部分： 运维管理服务器区：该区域主要包括 IT 系统的二级网络监控系统、SOC 平台、 集中用户认证系统、入侵检测及防御系统控制台、防病毒服务器、终端准入控 制台等运维服务器等设备； 运维管理终端区：该区域主要包括中国电信 IT 系统内部运维终端设备、第三 方运维终端设备以及远程接入终端设备等设备。 4.3.34.3.3 办公终端子域办公终端子域 办公终端子域是中国电信 IT 系统办公终端设备所在区域，主要提供 OA 办公、电 子邮件、内部公报、内部流程处理等功能。根据 IT 系统办公终端的接入方式不同，办 公终端可分为有线终端、无线终端和虚拟云端三类，因此办公终端子域可进一步划分 为以下安全区域，如下 有线终端区：为中国电信内部固定的有线终端设备接入区域，主要为中国电信 内部的台式机设备； 无线终端区：为中国电信内部移动的无线终端设备接入区域，主要为移动笔记 本、智能手机终端、PDA 等使用无线网络的用户终端设备； 虚拟云端区：本区域为安全域内部的特殊区域，结合中国电信的云计算方式， 划分独立的虚拟云端区便于集中管理维护。 4.3.44.3.4 互联接入子域互联接入子域 互联接入子域是中国电信 IT 系统内部 WEB 服务器所在区域，通过在 IT 系统服务 器区独立该安全区域可以实现与应用服务器的中间件系统和数据库系统的隔离，提高 IT 系统核心资源的安全性。 网络安全域划分应用指南 第 15 页 / 共 83 页 4.3.54.3.5 内部核心交换子域内部核心交换子域 内部核心交换子域主要是系统内部的核心交换设备所在区域，所有各子域的数据 交互必须经过核心交换设备进行交换和控制，并且负责与集团 DCN 网络连接，实现各 区域的数据交互。 网络安全域划分应用指南 第 16 页 / 共 83 页 章 5 5 章ITIT 系系统统网网络络安全子域安全子域边边界整合界整合 网络安全域之间互联接口数量越多，安全性越难以控制，因此，必须在保证各种 互联需求的前提下对安全域边界进行合理整合，通过对系统接口的有效整理和归并， 减少接口数量，提高接口规范性。中国电信 IT 系统安全子域整合主要依据等级保护的 原则和同类安全域合并的原则，对范围内各 IT 系统的相同类型安全域整合形成大的安 全域。 5.1 IT 系统网络安全边界划分 按照中国电信网络安全域划分防护策略和实际业务架构，本指南网络安全域边界 从第 5 类开始，1-4 类继续沿用CTG-MBOSS 安全规范-网络安全分册 V1.0文档的边 界划分方法和要求。 办办 公公 终终 端端 子子 域域 运运 维维 管管 理理 子子 域域 中国电信IT安全保障体系IT系统网络安全子域边界示意图 计计 算算 服服 务务 子子 域域 无线 终端 区 有线 终端 区 内部核心交换子域 虚拟 云端 区 互互 联联 接接 入入 子子 域域 核核心心交交换换 区区网网络络 2 2. .1 1级级系系统统区区 2 2. .2 2级级系系统统区区3 3. .1 1级级系系统统区区3 3. .2 2级级系系统统区区 开开发发测测试试区区 运运维维 服服务务 器器区区 运运维维 终终端端 区区 内内部部接接入入区区外外部部接接入入区区I In nt te er rn ne et t接接入入区区 5 5类类边边界界6 6类类边边界界7 7类类边边界界8 8类类边边界界 8 8类类边边界界 1 10 0类类边边界界 9 9类类边边界界 1 11 1类类边边界界1 12 2类类边边界界1 12 2类类边边界界 1 13 3类类边边界界 网络安全域划分应用指南 第 17 页 / 共 83 页 图 5-1 IT 系统网络安全子域边界示意图 IT 系统网络安全子域边界从 5 类至 13 类边界，具体划分结果如下： 1、5 类边界：计算服务子域内部的系统区域的 2.1 级系统的安全边界。 2、6 类边界：计算服务子域内部的系统区域的 2.2 级系统的安全边界。 3、7 类边界：计算服务子域内部的系统区域的 3.1 级系统和 3.2 级系统的安全 边界。参考 IT 安全技术防护措施指南，目前针对 3.1 级系统和 3.2 级系统 的安全边界防护措施基本一致，因此划为同一类边界。 4、8 类边界：计算服务子域内部的系统区域的开发测试系统的安全边界。 5、9 类边界：运维管理子域内部区域之间的安全边界。 6、10 类边界：办公终端子域内部区域之间的安全边界。 7、11 类边界：互联接入子域内部 Internet 接入区系统的安全边界。 8、12 类边界：互联接入子域内部接入区和外部接入区的安全边界。 9、13 类边界：核心生产区的内部核心交换子域和外部核心接入区的安全边界。 5.2 IT 系统网络安全边界整合 5.2.15.2.1 计算服务子域内部安全边界计算服务子域内部安全边界 计算服务子域根据内部 IT 系统的安全等级不同，划分不同的安全区域，各安全区 域边界整合如下所述： 5.2.1.15.2.1.1 2.12.1 级级 ITIT 系系统统安全安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，计算服务子域的 2.1 级系统部 署在 2.1 级系统区域内部，该区域的安全边界为 5 类边界。 边界控制要求：边界控制要求： 网络安全域划分应用指南 第 18 页 / 共 83 页 目前针对本区域的存在访问需求的区域为计算服务子域的其他安全区域（如 2.2 系统区、3.1 系统区、3.2 系统区和开发测试区）和互联接入、运维管理、办公终端三 个外部子域，该区域针对相关区域开发制定端口；区域用户针对本区域的业务访问必 须通过核心交换子域进行数据交换，禁止直接访问该区域系统； 针对该区域的数据库和中间件系统维护工作，必须首先通过运维管理子域的堡垒 主机进入系统，不允许跳过堡垒主机的访问行为。 5.2.1.25.2.1.2 2.22.2 级级 ITIT 系系统统安全安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，计算服务子域的 2.2 级系统部 署在 2.2 级系统区域内部，该区域的安全边界为 6 类边界。 边界控制要求：边界控制要求： 目前针对本区域存在访问需求的区域为计算服务子域的其他安全区域（如 2.1 系 统区、3.1 系统区、3.2 系统区和开发测试区）和互联接入、运维管理、办公终端三个 外部子域，该区域针对相关区域开发制定端口；区域用户针对本区域的业务访问必须 通过核心交换子域进行数据交换，禁止直接访问该区域系统； 针对该区域的数据库和中间件系统维护工作，必须首先通过运维管理子域的堡垒 主机进入系统，不允许跳过堡垒主机的访问行为。 5.2.1.35.2.1.3 3.13.1 级级 ITIT 系系统统安全安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，计算服务子域的 3.1 级系统部 署在 3.1 级系统区域内部，该区域的安全边界为 6 类边界。 边界控制要求：边界控制要求： 目前针对本区域的存在访问需求的区域为计算服务子域的其他安全区域（如 2.1 系统区、2.2 系统区、3.2 系统区和开发测试区）和互联接入、运维管理、办公终端三 个外部子域，该区域针对相关区域开发制定端口；区域用户针对本区域的业务访问必 须通过核心交换子域进行数据交换，禁止直接访问该区域系统； 网络安全域划分应用指南 第 19 页 / 共 83 页 针对该区域的数据库和中间件系统维护工作，必须首先通过运维管理子域的堡垒 主机进入系统，不允许跳过堡垒主机的访问行为。 5.2.1.45.2.1.4 3.23.2 级级 ITIT 系系统统安全安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，计算服务子域的 3.1 级系统部 署在 3.1 级系统区域内部，参照中国电信 IT 安全防护措施应用指南文件要求，因为该 区域的边界防护措施和 3.1 级安全边界防护措施要求一致，因此该区域边界同为 7 类 边界。 边界控制要求：边界控制要求： 目前针对本区域的存在访问需求的区域为计算服务子域的其他安全区域（如 2.1 系统区、2.2 系统区、3.1 系统区和开发测试区）和互联接入、运维管理、办公终端三 个外部子域，该区域针对相关区域开发制定端口；区域用户针对本区域的业务访问必 须通过核心交换子域进行数据交换，禁止直接访问该区域系统； 针对该区域的数据库和中间件系统维护工作，必须首先通过运维管理子域的堡垒 主机进入系统，不允许跳过堡垒主机的访问行为。 5.2.1.55.2.1.5 开开发测试发测试系系统统安全安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，计算服务子域的开发测试服务 器系统部署在该区域内部，该区域的安全边界为 8 类边界。 边界控制要求：边界控制要求：非相关系统用户禁止访问该区域；所有其他区域用户针对本区域 的业务访问和运维工作必须通过核心交换子域进行数据交换，不得直接访问该区域系 统。 5.2.25.2.2 运维管理子域安全边界运维管理子域安全边界 根据网络安全域的划分要求，所有的安全运维系统（网络监控系统、SOC 系统、 集中用户认证系统、入侵检测及防御系统控制台以及各类运维终端）均部署在安全运 维区，所有的运维数据信息必须统一汇总至该区域边界。 网络安全域划分应用指南 第 20 页 / 共 83 页 5.2.2.15.2.2.1 运运维维服服务务器安全器安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，中国电信 IT 系统的运维服务 器系统部署在该区域内部，该区域的安全边界为 9 类边界。 边界控制要求：边界控制要求：该区域为整个系统区域的集中运维管理服务器所在区域，仅允许 有运维访问需求的运维人员、安全管理人员、协议第三方用户等接入访问，并且针对 该区域的访问必须通过核心交换子域进行，不得直接访问；该区域只针对指定用户开 放相应的运维端口，其他服务端口禁止访问。 5.2.2.25.2.2.2 运运维终维终端安全端安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，中国电信的运维终端部署在该 区域内部，该区域的安全边界为 9 类边界。 边界控制要求：边界控制要求：该区域为中国电信整个系统终端设备所在区域，运维终端只能根 据指定端口访问相关运维平台或 IT 系统，该区域设备原则上禁止直接访问互联网。 5.2.35.2.3 办公终端子域安全边界办公终端子域安全边界 根据网络安全域的划分要求，所有的办公终端均部署在办公终端区域，所有的终 端必须统一汇总至该区域边界，不得直接与其他区域，特别是不得与生产系统直接连 接。 5.2.3.15.2.3.1 有有线终线终端安全端安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，中国电信的有线办公终端部署 在该区域内部，该区域的安全边界为 10 类边界。 边界控制要求：边界控制要求：该区域为中国电信整个系统办公有线终端设备所在区域，有线终 端只能根据指定端口访问相关互联接入子域的办公系统，如 OA 系统、电子邮件系统等， 不能直接访问计算服务器区域系统；该区域设备原则上禁止直接访问互联网。 网络安全域划分应用指南 第 21 页 / 共 83 页 5.2.3.25.2.3.2 无无线终线终端安全端安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，中国电信的无线办公终端部署 在该区域内部，该区域的安全边界为 10 类边界。 边界控制要求：边界控制要求：该区域为中国电信整个系统无线办公终端设备所在区域，无线终 端只能根据指定端口访问相关互联接入子域的办公系统，如 OA 系统、电子邮件系统等， 不能直接访问计算服务器区域系统；该区域设备原则上禁止直接访问互联网。针对无 线终端设备应采取严格的访问限制，禁止访问非授权的无线网络，建议通过 MAC 地址 绑定等方式进行安全控制。 5.2.3.35.2.3.3 虚虚拟终拟终端安全端安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，中国电信的虚拟办公终端部署 在该区域内部，该区域的安全边界为 10 类边界。 边界控制要求：边界控制要求：该区域为中国电信整个虚拟办公终端设备所在区域，该终端只能 根据指定端口访问相关互联接入子域的办公系统，如 OA 系统、电子邮件系统等，不能 直接访问计算服务器区域系统；该区域设备原则上禁止直接访问互联网。 5.2.45.2.4 互联接入子域安全边界互联接入子域安全边界 依照 IT 系统网络安全子域架构图，该系统区域所有的互联接入出口均整合至该区 域边界，互联接入子域内部安全边界整合如下所述： 5.2.4.15.2.4.1 InternetInternet 接入安全接入安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，中国电信的针对 Internet 前 置服务器部署在该区域内部，以及所有的关于外部 Internet 的接入均通过该边界，该 区域的安全边界为 11 类边界。 边界控制要求：边界控制要求：该区域为中国电信对 Internet 用户提供服务所在区域，只开放指 定端口对外提供业务应用服务，如 WEB 服务的 80 端口或其他等，以及针对运维管理区 相关运维端口，如 22、161、162 等；所有用户必须通过核心交换子域边界防火墙进入 该区域。 网络安全域划分应用指南 第 22 页 / 共 83 页 5.2.4.25.2.4.2 内部接入安全内部接入安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，针对中国电信内部用户前置服 务器部署在该区域内部，该区域的安全边界为 12 类边界。 边界控制要求：边界控制要求：该区域为中国电信内部系统前置服务器所在区域，只开放指定端 口对内部提供业务应用服务，如 WEB 服务的 80 端口或其他中国电信业务的接入服务端 口等，以及针对运维管理区相关运维端口，如 22、161、162 等；所有用户必须通过核 心交换子域边界防火墙进入该区域。 5.2.4.35.2.4.3 外部接入安全外部接入安全边边界界 边界整合结果：边界整合结果：依据 IT 系统网络安全域划分图示，中国电信的外部互联前置服务 器部署在该区域内部，该区域的安全边界为 12 类边界。 边界控制要求：边界控制要求：该区域为中国电信外部第三方提供服务的前置服务器所在区域， 只开放指定端口对外提供业务应用服务，如银行业务指定端口或者针对第三方合作伙 伴的接入端口等，以及针对运维管理区相关运维端口，如 22、161、162 等；所有用户 必须通过核心交换子域边界防火墙进入该区域。 5.2.55.2.5 核心交换子域安全边界核心交换子域安全边界 边界整合结果：边界整合结果：依照 IT 系统网络安全子域架构图，该系统区域是和核心交换区的 内部 DCN 网络安全边界，包括 Internet 接入经过地址转化后统一由此接入核心生产区 域，所有与核心生产区内部出口边界均整合至该边界，该区域的安全边界为 13 类边界。 边界控制要求：边界控制要求：该区域边界为核心生产区内部各子域的统一出口，通过 DCN 网络 或者 Internet 网络进入核心生产区的网络，必须严格控制，禁止非授权用户接入该区 域网络；Internet 用户访问需经过内部私有地址转换。 网络安全域划分应用指南 第 23 页 / 共 83 页 5.3 网络安全域边界访问控制策略 整合后同一安全子域内会包含多个不同的次级安全区域，这些安全区域也必须根 据域间互联要求和最小化策略，实施严格的访问控制，避免安全子域之间的随意互联。 为了确保各网络安全边界部署的防护措施安全有效，必须部署严格的安全控制策略。 安全控制策略部署要求包括： 1. 该系统区域之外区域（包括 Internet、第三方用户以及其他系统）不能直接访 问业务系统的核心生产区域，如计算服务子域，必须通过集中的运维管理区进 行访问和操作； 2. 该系统区域的内部安全子域之间不能相互直接访问，需要通过核心交换子域进 行，并通过部署在各区域边界的防火墙或者 ACL 列表方式进行访问控制； 3. 原则上，OA 办公系统不允许跨省、跨域访问。OA 办公系统通过 DCN 网访问其他 系统时需要通过防火墙防护，防火墙防护粒度应为单个 IP 地址，并对可访问的 端口进行限制； 4. OA 办公系统应设置成内网地址，通过 NAT 转换与其他系统进行互联，禁止直接 通过电信内部 DCN 地址进行访问； 5. 建议同一安全子域的内部不同系统之间应通过 VLAN 隔离，配置不同的网段，配 置严格的访问控制策略，防护策略精确至 IP 地址和端口级别。 网络安全域划分应用指南 第 24 页 / 共 83 页 章 6 6 章ITIT 系系统统网网络络安全子域防安全子域防护护 6.1 网络安全子域防护原则 为了确保中国电信网络安全域划分的顺利实施，降低实施过程的风险，实施将遵 循以下原则： 分阶段实施原则：分阶段实施原则：中国电信网络架构及层次结构庞大、各业务系统访问关系复杂， 需要通过现状梳理、区域规划设计、防护措施选择等方式来实现。 保护现有投资原则：保护现有投资原则：目前中国电信基础网络架构已经基本成熟，并且部署了大量 的网络安全防护设备，因此在网络安全域的实施过程中要保护现有投资，实现成本和 效益并重。 合适防护策略原则：合适防护策略原则：为了实现各区域的安全防护，提高网络边界的安全性，建议 根据各区域的安全等级部署合适的安全防护措施，避免防护不当或过当的情况。 网络安全域划分应用指南 第 25 页 / 共 83 页 6.2 网络安全子域防护措施 本网络安全域边界防护策略根据中国电信实际网络安全状况和需求，参考中国电 信IT 安全技术保护措施应用指南和最佳行业实践，针对系统网络边界防护和网络 安全区域防护两个部分进行说明，具体如下所示。 6.2.16.2.1 网络安全子域边界防护策略网络安全子域边界防护策略 6.2.1.16.2.1.1 5 5 类边类边界安全防界安全防护护策略策略 安全防护要求：安全防护要求： 5 类安全边界是计算服务子域 2.1 级系统网络边界，主要实现针对第 2.1 系统的 安全防护，安全防护要求如下： 1. 该边界处于 IT 系统的内部生产区域的边界，需要针对外部系统或用户访问实现 严格的访问控制； 2. 在该区域安全边界能够针对来自外部系统或用户的远程访问行为进行控制和管 理； 3. 该区域边界会面临来自外部的大量入侵攻击行为，如黑客入侵、拒绝服务攻击、 注入跨站攻击等，针对可能发生的攻击行为，需要重点检测和防御； 4. 该区域应能够实现日志记录审计功能，对于网络边界设备进行安全审计。 安全防护措施：安全防护措施： 根据 5 类边界的实际安全防护要求，参考行业的最佳实践，安全防护措施如下所 述： 表格 6-2 5 类安全边界安全防护措施 安全防护策略安全防护策略 安全边界安全边界 身份识别与检测身份识别与检测安全防护安全防护安全审计与恢复安全审计与恢复 5 类安全边界 CTG-FHZJ-SBJK- 02-2 网络型入侵检 测系统 CTG-FHZJ-AQFH-01-1 访问控制列表 ACL CTG-FHZJ-AQFH-13-1 CTG-FHZJ-SJHF- 01-1 设备或系统内 部审计 网络安全域划分应用指南 第 26 页 / 共 83 页 网络设备安全配置加固 组件 CTG-FHZJ-SJHF-03-1 人工数据备份与恢 复 防护措施部署方式：防护措施部署方式： 网络型入侵检测系统：该设备以旁路方式部署在网络边界汇聚层交换机上，配置 待检测的 VLAN 接口或设备端口镜像至入侵检测设备。 ACL 访问列表：在该区域边界汇聚交换机上配置 ACL 访问列表，实现针对内部 系统的访问行为进行控制。 安全配置加固：针对该区域网络设备，包括无线网络设备进行安全配置的检查和 配置加固工作，提高设备自身的安全性。 安全审计系统：在该边界所有网络设备开启日志审计功能，实现日志的记录和审 计分析。 数据备份恢复：系统区域内部部署集中的数据备份软件系统，实现针对边界设备 重要数据如配置信息进行备份，并定期进行恢复测试。 6.2.1.26.2.1.2 6 6 类边类边界安全防界安全防护护策略策略 安全防护要求：安全防护要求： 6 类安全边界是计算服务子域 2.2 级系统网络边界，主要实现针对第 2.2 系统的安 全防护，安全防护要求如下： 1. 该边界是 IT 系统的内部生产区域的边界，需要针对外部系统或用户访问实现严 格的访问控制，部署基于状态检测功能的访问控制设备； 2. 在该系统边界能够针对来自外部系统或用户的远程访问行为进行控制和管理； 3. 该区域边界会面临来自外部的大量入侵攻击行为，如黑客入侵、注入跨站攻击 等，针对可能发生的攻击行为，需要重点检测和防御； 4. 该区域应能够实现日志记录审计功能，对于网络边界设备的安全审计。 网络安全域划分应用指南 第 27 页 / 共 83 页 安全防护措施：安全防护措施： 根据 6 类边界的实际安全防护要求，参考行业的最佳实践，安全防护措施如下所 述： 表格 6-3 6 类安全边界安全防护措施 安全防护策略安全防护策略 安全边界安全边界 身份识别与检测身份识别与检测安全防护安全防护安全审计与恢复安全审计与恢复 6 类安全边界 CTG-FHZJ-SBJK- 02-2 网络型入侵检 测系统 CTG-FHZJ-AQFH-01-2 网络防火墙 CTG-FHZJ-AQFH-13-1 网络设备安全配置加固 组件 CTG-FHZJ-SJHF- 01-2 专业安全审计系统 CTG-FHZJ-SJHF- 03-2 专业自动化的 备份与恢复系统 防护措施部署方式：防护措施部署方式： 网络型入侵检测系统：该设备以旁路方式部署在网络边界汇聚层交换机上，配置 待检测的 VLAN 接口或设备端口镜像至入侵检测设备。 网络防火墙：可以直接利用核心交换子域的边界网络防火墙，在防火墙配置指定 端口作为前置服务器的接口，该安全级别高于外部非信任区域。 安全配置加固：针对该区域网络设备，包括无线网络设备进行安全配置的检查和 配置加固工作，提高设备自身的安全性。 安全审计系统：边界所有设备开启日志审计功能，或者通过专业安全审计系统实 现对设备的日志进行集中收集和管理。 数据备份恢复：系统区域内部部署集中的数据备份软件系统，实现针对边界设备 重要数据如配置信息进行备份，并定期进行恢复测试。 6.2.1.36.2.1.3 7 7 类边类边界安全防界安全防护护策略策略 安全防护要求：安全防护要求： 网络安全域划分应用指南 第 28 页 / 共 83 页 7 类安全边界是计算服务子域 3.1 级系统和 3.2 及系统网络边界，主要实现针对 相应等级系统的安全防护，安全防护要求如下： 1. 该边界是 IT 系统的内部核心生产区域的边界，需要针对外部系统或用户访问实 现严格的访问控制，部署基于状态检测功能的访问控制设备； 2. 在该系统边界能够针对来自外部系统或用户的远程访问行为进行控制和管理； 3. 该区域边界会面临来自外部的大量入侵攻击行为，如黑客入侵、拒绝服务攻击、 WEB 注入跨站攻击等，针对可能发生的攻击行为，需要重点检测和防御； 4. 该区域应能够实现日志记录审计功能，对于网络边界设备进行安全审计。 安全防护措施：安全防护措施： 根据 7 类边界的实际安全防护要求，参考行业的最佳实践，安全防护措施如下所 述： 表格 6-4 7 类安全边界安全防护措施 安全防护策略安全防护策略 安全边界安全边界 身份识别与检测身份识别与检测安全防护安全防护安全审计与恢复安全审计与恢复 7 类安全边界 CTG-FHZJ-SBJK- 02-2 网络型入侵检 测系统 CTG-FHZJ-AQFH-01-2 网络防火墙 CTG-FHZJ-AQFH-13-1 网络设备安全配置加固 组件 CTG-FHZJ-SJHF- 01-2 专业安全审计系统 CTG-FHZJ-SJHF- 03-2 专业自动化的 备份与恢复系统 防护措施部署方式：防护措施部署方式： 网络型入侵检测系统：该设备以旁路方式部署在网络边界汇聚层交换机上，配置 待检测的 VLAN 接口或设备端口镜像至入侵检测设备。 网络防火墙：可以直接利用核心交换子域的边界网