中国移动数据业务系统集中化安全防护技术要求.doc

TechnicalTechnical SpecificationSpecification ofof CentralizedCentralized SecuritySecurity ProtectionProtection forfor DataData ServiceService SystemsSystems 中国移动通信集团公司 网络部 2010 年 2 月 中国移动数据业务系统中国移动数据业务系统 集中化安全防护技术要求集中化安全防护技术要求 版 本 号 1 1 0 0 0 0 I 目 录 前前 言言 1 1适用范围适用范围 2 2引用标准与依据引用标准与依据 2 3相关术语与缩略语相关术语与缩略语 3 4综述综述 4 5数据业务系统安全域划分数据业务系统安全域划分 5 5 1安全域划分的原则 5 5 2数据业务系统的主要安全域 5 5 2 1数据业务系统组网的基本架构 5 5 2 2安全域划分方法 6 6数据业务系统边界整合数据业务系统边界整合 7 6 1集中防护节点内部的边界整合 7 6 2跨节点整合互联网传输接口 8 6 3整合后相同安全域内的各安全子域之间的访问控制 9 7数据业务系统的安全防护数据业务系统的安全防护 9 7 1数据业务系统安全防护原则 9 7 2数据业务系统安全域边界互联防护要求 10 7 2 1数据业务系统之间互联安全要求 10 7 2 2数据业务系统与支撑系统之间互联安全要求 10 7 2 3数据业务系统与互联网之间互联安全要求 10 7 2 4数据业务系统与第三方系统互联的安全要求 11 7 2 5维护终端和数据业务系统互联的安全要求 11 7 2 6数据业务系统内部不同安全区域之间互联安全要求 12 7 3系统自身安全 12 7 3 1业务流程 逻辑 安全和软件代码安全 12 7 3 2安全功能和安全配置 13 7 4防火墙等基础安全技术防护手段的部署 13 7 4 1防火墙部署 13 7 4 2入侵检测设备的部署 14 7 4 3防病毒系统的部署 14 7 4 4异常流量的检测和过滤 15 7 4 5网络安全管控平台 15 7 5日常安全管理 15 8编制历史编制历史 15 中国移动数据业务系统集中化安全防护技术要求 1 前前 言言 针对数据业务系统日益复杂 安全防护要求不断提高的现状 以及向云计算方式演进的 趋势 按照等级保护和集中化要求 本要求明确了以省网为单位统一规划数据业务系统组网 实施安全域划分和边界整合的基本原则 并进一步提出了数据业务系统安全防护的基本要求 本要求所指的数据业务系统为由IT设备完成主要业务功能且和互联网存在接口的总部和 各省自维护业务系统 如WAP网关 彩信 短信网关 彩铃系统 MISC 通用下载平台等 不包括通信网 如CMNet IP专网 GPRS等 本要求将数据业务系统内部划分为核心生产区 互联网接口区 内部互联接口区和核心 交换区等安全子域 在此基础上 根据传输情况 设置一个或若干数据业务集中防护节点 并以节点为单位整合各系统的安全子域和互联边界 在具备传输条件的情况下 还可以进一 步整合不同防护节点的互联网出口 数据业务系统的维护终端除超级终端外 其他各类终端 必须通过网络安全管控平台由经内部互联接口区接入维护数据业务系统 在上述工作的基础上 集中部署各系统共享的安全防护手段 并通过纵深防护的部署方 式 提高数据业务系统的安全防护水平 本要求可作为在数据业务系统在规划 开发 建设以及维护各阶段组网和实施安全防护 的依据 支撑实现网络与信息安全工作 同步规划 同步建设 同步运行 本技术要求主要包括以下3个方面内容 1 数据业务系统安全域划分 2 数据业务系统边界整合 3 数据业务系统的安全防护 起草单位 中国移动通信有限公司网络部 北京移动通信有限责任公司 主要起草人 陈敏时 周智 徐海东 侯芳 张静 曹一生 李友国 魏来 翟庆庆 中国移动数据业务系统集中化安全防护技术要求 2 1适用范围适用范围 本要求所指数据业务系统为采用 IT 设备完成主要业务功能且和互联网存在接口的总部和各省自 维护业务系统 如 WAP 网关 彩信 短信网关 彩铃系统 MISC 通用下载平台等 不包括通信 网 如 CMNet IP 专网 GPRS 等 对于由 SP 承建或维护的中国移动自有业务在组网设计和部署防护手段方面也应参考本要求 但 不能和中国移动自维护的业务系统位于相同的集中防护节点 本要求主要从技术方面规范了数据业务系统的安全域划分 边界整合以及安全防护工作 本要求作为中国移动通信有限公司 各省公司在数据业务系统规划 开发 建设以及维护各阶 段组网和实施安全防护工作的依据 支撑实现网络与信息安全工作 同步规划 同步建设 同步运 行 2引用标准与依据引用标准与依据 1 计算机信息系统安全保护等级划分准则 GB 17859 号文 2 电信网和互联网安全防护管理指南 YD T 1728 2008 3 电信网和互联网安全等级保护实施指南 YD T 1729 2008 4 互联网安全防护要求 YD T 1736 2008 5 互联网安全防护检测要求 YD T 1737 2008 6 增值业务网 消息网安全防护要求 YD T 1738 2008 7 增值业务网 消息网安全防护检测要求 YD T 1739 2008 8 中国移动设备通用安全功能和配置规范 等设备安全功能和配置系列规范 网通 2007 762 号 网通 2007 782 号 网通 2007 783 号 网通 2008 39 号 9 中国移动综合维护接入网关功能与技术规范 10 中国移动账号集中管理系统功能与技术规范 11 中国移动日志集中管理与审计系统功能与技术规范 12 中国移动防火墙部署总体技术要求 QB W 001 2008 中移有限网 2008 27 号 13 中国移动支撑系统安全域划分与边界整合技术要求 14 中国移动支撑系统与互联网集中出口安全防护体系技术规范 15 中国移动网络互联安全管理办法 网通 2008 254 号 16 中国移动安全域管理办法 网通 2008 272 号 17 中国移动远程接入安全管理办法 网通 2008 255 号 18 中国移动账号口令管理办法 网通 2008 165 号 19 关于近期网络与信息安全工作安排的通知 中国移动通信有限公司网络部 移网通 2004 68 号 中国移动数据业务系统集中化安全防护技术要求 3 20 关于加强信息安全保障工作的意见 国家信息化领导小组 中办发 2003 27 号 21 公安部 保密局 机要局 国务院信息办联合下发的 关于信息安全等级保护工作的实 施意见 公通字 2004 66 号文 22 国务院信息办信息安全风险评估课题组编制的 信息安全风险评估研究报告 23 美国国家标准和技术研究所 NIST National Institute of Standards and Technology 制订 的 SP 800 系列文档 IT 系统安全自评估指南 IT 系统风险管理指南 联邦 IT 系统安全 认证和认可指南 信息系统安全规划指南 等 http csrc ncsl nist gov publications nistpubs 24 美国国家安全局 信息保障技术框架 IATF Information Assurance Technical Framework V3 1 版 网址 3相关术语与缩略语相关术语与缩略语 CMNetChina Mobile Net 中国移动互联网 DMZDeMilitarized Zone 非军事化区 DNSDomain Name Server 域名服务器 GPRSGeneral Packet Radio Service 通用分组无线业务 IATFInformation Assurance Technical Framework信息保障技术框架 IDSIntrusion Detection System 入侵检测系统 IPInternet Protocol 互联网协议 ITInformation Technology 信息技术 MDCNMobile data communication network 移动数据通信网 MISManagement Information System 管理信息系统 MPLSMulti Protocol Label Switching 多协议标记交换 NISTNational Institute of Standards and Technology 美国国家标准和技术研究 所 OMCOperation management center操作维护中心 SPService Provider 业务提供者 VPNVirtual Private Network 虚拟专用网 VLANVirtual Local Area Network 虚拟局域网 中国移动数据业务系统集中化安全防护技术要求 4 4综述综述 中国移动数据业务快速发展 数据业务系统数量不断增加 规模不断扩大 网络互联日益复杂 迫切需要在网络层面 规范业务系统互联 使组网结构更加清晰 便于防护 同时 随着国家安全 等级保护要求的深入落实 对各业务系统的安全防护要求不断细化提高 需要我们从整体入手解决 在数量众多的数据业务系统中落实等级防护要求的问题 为了满足上述需求 需要一定程度上改变各数据业务系统独立规划 建设和维护的现状 从整 体出发 明确组网和安全防护的共性要求 促进数据业务系统防护水平和安全维护专业化水平的整 体提高 本要求从规范数据业务系统整体组网入手 以集中化的思想为指导 明确了数据业务系统安全 域划分和边界整合的基本原则 以及数据业务系统间 数据业务系统和支撑系统间 数据业务系统 内部各安全域之间互联的主要安全要求 并在此基础上明确了各类防护手段部署的基本要求 为了适应中国移动网络和业务安全防护的需要 有限公司从整体上建立了由安全域划分 系统 自身安全 基础安全技术防护手段 安全运行管理功能四层构成的安全技术防护体系 安全域划分 作为防护体系的基础 涉及通信网 业务网和支撑系统 本要求明确了数据业务系统安全域划分的 基本要求 数据业务系统安全域划分和边界整合 首先根据统一的安全域划分原则 在各数据业务系统的 内部划分核心生产区 互联网接口区 内部互联接口区和核心交换区等 4 类安全子域 在此基础上 以省网为单位 根据传输情况 设置一个或若干数据业务集中防护节点 以节点为单位整合节点内 不同数据业务系统的同类安全子域 形成共同的防护边界 在此基础上 依据域间互联安全要求以 及安全防护的需求 设置相应的访问控制策略和集中部署防火墙 入侵检测系统 防病毒系统 异 常流量检测和过滤设备 网络安全管控平台的等安全防护手段 节点内的各数据业务系统共享上述 技术手段 在具体实施数据业务系统边界整合工作 特别是整合数据业务系统外部接口时 要同步整体考 虑各节点带宽需求 冗余备份需求 形成数据业务系统整体的组网方案 避免一方面安全防护整体 规划 而另一方面冗余备份等还各业务系统分散规划 本要求的主要内容包括 1 第 5 章 数据业务系统的安全域划分 明确了根据各数据业务系统之间的威胁等级 保护 等级 划分安全域的基本原则域间互联的基本要求 2 第 6 章 数据业务系统的边界整合 明确了数据业务系统边界整合的基本原则 分别阐述 了具备多个传输出口和单一传输出口情况下边界整合的具体要求 3 第 7 章 数据业务系统安全域的安全保护 在安全域划分和边界整合的基础上 进一步明 确了域间互联的安全要求以及各类基础安全技术防护手段的部署原则 通过本要求确定的原则 中国移动各数据业务系统在建设或改造时 在系统内部 外部组网以 及安全手段部署方面有法可依 中国移动数据业务系统集中化安全防护技术要求 5 5数据业务系统安全域数据业务系统安全域划分划分 安全域是一个网络的逻辑区域 同一安全域内的子网或设备有相同或者相近的安全保护需求 较高的互信关系 并具有相同或者相近边界安全访问控制策略 5 1安全域划分的原则安全域划分的原则 1 业务保障原则 安全域方法的根本目标是能够更好的保障网络上承载的业务 在保证安 全的同时 还要保障业务的正常运行和运行效率 2 结构简化原则 安全域划分的直接目的和效果是要将整个网络变得更加简单 简单的网 络结构便于设计防护体系 比如 安全域划分并不是粒度越细越好 安全域数量过多过杂可能导致 安全域的管理过于复杂和困难 3 等级保护原则 安全域划分和边界整合遵循业务系统等级防护要求 使具有相同等级保 护要求的数据业务系统共享防护手段 4 生命周期原则 对于安全域的划分和布防不仅仅要考虑静态设计 还要考虑不断的变化 另外 在安全域的建设和调整过程中要考虑工程化的管理 5 2数据业务系统的主要安全域数据业务系统的主要安全域 5 2 1数据业务系统组网的基本架构数据业务系统组网的基本架构 数据业务系统在组网方面按其功能可分为接口层 核心交换层 系统层和存储备份层 4 层 接 口层设备负责与外部的其它系统 用户终端交互 核心交换层设备负责连接数据业务系统内部其它 各层的设备 系统层设备负责完成系统的主要业务功能 存储备份层设备负责存储业务系统数据 中国移动数据业务系统集中化安全防护技术要求 6 图 5 1 数据业务系统组网的基本架构示意图 后续的安全域划分方法基本依据了上述数据业务系统功能分层情况 仅从安全域划分分和边界 整合的角度为了叙述方便 将系统层和存储备份层整合为核心生产层 通常 省公司存在分布在多个网络节点的多套功能相同的数据业务系统 如 WAP 网关 这些系 统之间互相通信形成业务网 5 2 2安全域划分方法安全域划分方法 根据组网基本架构 数据业务系统可划分以下为四类主要的安全子域 核心生产区 内部互联 接口区 互联网接口区和核心交换区 1 核心生产区 本区域仅和该业务系统其它安全子域直接互联 不与任何外部网络直接互 联 该业务系统中资产价值最高的设备位于本区域 如服务器群 数据库以及重要存储 设备 外部不能通过互联网直接访问该区域内设备 2 内部互联接口区 本区域放置的设备和公司内部网络 如 IP 专网等连接 具体包括与 支撑系统 其它业务系统或可信任的第三方互联的设备 如网管采集设备 3 互联网接口区 本区域和互联网直接连接 主要放置互联网直接访问的设备 如业务系 统门户 Portal 该区域的设备具备实现互联网与内部核心生产区数据的转接作用 4 核心交换区 负责连接核心生产区 内部互联接口区和外部互联接口区等安全域 每类安全子域内部 根据实际需要 可进一步划分下级安全子域 如在内部互联接口区为和网管 计费互联分别设单独的子域 中国移动数据业务系统集中化安全防护技术要求 7 某个具体数据业务系统 根据其业务逻辑与实现 不一定严格存在上述四类安全区域 在不违反 安全域互联防护要求的前提下 见 7 2 该系统可简化安全域划分 如果数据业务系统中某个设备存在多个逻辑接口 如既和内部网也和互联网存在接口 应采用分 离功能的方式 由物理独立的设备分别实现不同的接口功能 从而满足安全域划分的要求 数据业务系统安全域划分不设置单独用来放置终端的安全域 由于终端的风险较高 除超级终端 外 其它各类终端应通过以省为单位部署的网络安全管控平台接入业务系统进行维护 终端和数据 业务系统的互联方式参见 7 2 5 数据业务系统的维护互联安全要求数据业务系统的维护互联安全要求 图 5 2 数据业务系统安全域划分示意图 6数据业务系统边界整合数据业务系统边界整合 目前 各省数量不等地在不同地点建设了一个或者多个数据业务机房 因此 确定数据业务系 统边界整合范围的基本原则是 应至少以相同物理位置的数据业务系统为基本单位设置集中防护节 点 对节点内系统进行整体安全域划分和边界整合 在具备传输条件的情况下 可以进一步整合不 同集中防护节点的互联网出口 对节点内系统边界整合的基本方法是将各系统的相同类型安全域整 合形成大的安全域 集中设置和防护互联网出口和内部互联出口 在整合后的内部互联接口区内设置 内部安全服务区 子域 集中部署本安全域内的安全防护 设备 如网络安全管控平台前置机以及防病毒集中控管等 6 1集中防护节点内部的边界整合集中防护节点内部的边界整合 通常由于传输资源的因素 将位于相同物理位置的数据业务系统纳入同一个集中防护节点 在 中国移动数据业务系统集中化安全防护技术要求 8 集中防护节点内部 部署核心交换设备 将不同系统的相同类型安全域整合形成大的安全域 集中 设置互联网出口和内部互联出口 整合后的各安全域 安全子域以及外部接口之间满足域间互联安 全要求 通过共享防火墙 入侵检测等安全防护手段 实现集中防护 图 6 1 多传输出口相同物理位置数据业务系统边界整合示意图 6 2跨节点整合互联网传输接口跨节点整合互联网传输接口 在具备传输条件的前提下 将现有集中防护节点的互联网出口整合至互备的一个或几个接口 在此种情况下 存在多个集中防护节点共享一个互联网传输出口的情况 这时 不同集中防护节点 通过核心路由器来进行路由连接 并将与互联网间的流量路由到整合后的接口 各节点可以保留互 联网接口区 也可以将互联网接口区进一步整合 集中到整合后的接口位置 如下图所示 中国移动数据业务系统集中化安全防护技术要求 9 图 6 2 整合互联网传输接口数据业务系统边界整合示意图 6 3整合后相同安全域内的各安全子域之间的访问控制整合后相同安全域内的各安全子域之间的访问控制 整合后同一安全域内会包含多个不同数据业务系统的安全子域 这些安全子域子间也必须根据域 间互联要求和最小化策略 严格实施访问控制 避免安全子域之间随意互联 具体访问控制手段的 选择 参见 7 3 2 节 7数据业务系统的安全防护数据业务系统的安全防护 根据通信行业安全等级防护的要求 参考 NIST SP800 53 IT 系统安全控制 IATF 关于域边 界 外部连接的保护 结合中国移动数据业务系统的安全需求以及系统已采用的安全措施 综合平衡 安全成本和风险 重点防护 重兵把守 综合部署安全域边界和内部的保护措施 在安全域划分和边界整合基础上 开展包括设备自身安全 防火墙等基础安全技术防护手段以 及日常安全运维在内的安全防护工作 7 1数据业务系统安全防护原则数据业务系统安全防护原则 安全域边界的保护原则是 1 集中防护 防火墙 入侵检测 异常流量检测和过滤等基础安全技术防护手段以安全域划分 和边界整合为基础 进行集中部署 多个安全域或子域共享手段提供的防护 2 分等级防护 根据通信行业 电信网和互联网安全防护体系 系列标准中安全等级防护的要 中国移动数据业务系统集中化安全防护技术要求 10 求 对系统所在的边界部署符合其防护等级的安全技术手段 在对各系统共享的防护边界应遵循就 高的原则 3 纵深防护 通过安全域划分 从外部网络到核心生产区之间存在多层安全防护边界 纵深防 护就是在每层防护边界上部署侧重点不同的安全技术手段和安全策略来实现对关键设备或系统的高 等级防护 7 2数据业务系统安全域边界互联防护要求数据业务系统安全域边界互联防护要求 本部分主要明确数据业务系统之间 数据业务系统与支撑系统 如网管系统 计费系统 之间 数据业务系统内部不同安全域之间互联的安全要求 域间互联的基本要求是 最小化原则 即在满足业务和维护的需求的前提下 最大限度的减 少的互联地址和端口数量 下述要求是域间互联的基本要求 在具体实现域间互联时 防护水平不能低于以下要求 7 2 1数据业务系统之间互联安全要求数据业务系统之间互联安全要求 原则上 业务系统之间需通过内部互联接口区进行互联并通过防火墙防护 数据业务系统之间 的应用访问需通过部署在内部互联接口区的设备进行处理或转发 原则上 不同数据业务系统的核 心生产区设备之间不能直接访问 如果业务系统之间通过互联网互联时 具体安全要求参见 7 2 3 7 2 2数据业务系统与支撑系统之间互联安全要求数据业务系统与支撑系统之间互联安全要求 原则上 数据业务系统与支撑系统之间需通过内部互联接口区进行互联并通过防火墙防护 数 据业务系统与支撑系统之间的应用访问需通过部署在内部互联接口区的设备进行处理或转发 支撑 系统不能直接访问数据业务系统的核心生产区 当支撑系统通过互联网接入数据业务系统时 如带内网管的情况 应通过在互联网接口区设置 单独的安全子域方式实现互联 其它安全要求参见 7 2 3 数据业务系统与支撑系统之间互联 在数据业务系统侧部署防火墙进行防护 7 2 3数据业务系统与互联网之间互联安全要求数据业务系统与互联网之间互联安全要求 原则上 数据业务系统与互联网需通过互联网接口区进行互联 具体原则如下其中 来自互联网的访问请求需通过部署在互联网接口区的设备进行处理或转发 互联网设备不 能直接访问数据业务系统的核心生产区 互联网接口区与互联网之间需要通过防火墙防护 重要系统核心生产区与互联网接口区之间需要通过防火墙防护 实现双重防火墙防护 中国移动数据业务系统集中化安全防护技术要求 11 7 2 4数据业务系统与第三方系统互联的安全要求数据业务系统与第三方系统互联的安全要求 此处的第三方系统是指公司业务合作伙伴的系统 原则上 当数据业务系统与第三方系统需通过互联网接口区进行互联时 应通过防火墙防护 来自第三方系统的访问请求需通过互联网接口区的设备进行处理或转发 第三方系统不能直接访问 数据业务系统的核心生产区 对于可信任的第三方系统 如银行 保险等通过专线接入时 可在内部互联接口区内设置单独 的安全子域与其互联并通过防火墙防护 7 2 5维护终端和数据业务系统互联的安全要求维护终端和数据业务系统互联的安全要求 数据业务系统的维护终端可分为 4 类 1 超级终端 特指位于各个机房 邻近数据业务系统服务器 与服务器部署在同一网段或者串 口连接的专用超级终端 供需要在设备所在机房进行本地维护时使用 2 专用固定终端 此类维护终端是维护机房中各个业务系统的固定的 专用的维护终端 该类 终端专属于某个业务系统专用 3 多用固定终端 即用于维护多个业务系统 位于维护机房的固定终端 4 漫游终端 网络接入点频繁变化的终端 如笔记本终端 包括外部人员接入 本单位人员远 程接入使用的各类终端等等 超级终端和其所维护设备位于相同安全域 原则上 数据业务系统的 2 4 类维护终端不属于数据业务系统安全域范围内 其应先通过部署 在网管网的网络安全管控平台 接入数据业务系统的内部互联接口区后进行维护 终端不能直接访 问数据业务系统的生产设备 网络安全管控平台对终端接入进行统一控制 实现集中帐号口令管理 日志集中管理和审计以及集中接入控制三个功能 相关规范参见 中国移动综合维护接入网关功 能与技术规范 中国移动帐号口令集中管理系统功能与技术规范 中国移动日志集中管理 与审计系统功能与技术规范 中国移动数据业务系统集中化安全防护技术要求 12 图 7 1 数据业务系统和终端互联示意图 图 7 1 说明了除了超级终端外 和数据业务系统同机房的固定终端 位于网管网中用于维护数据 业务系统的固定终端 笔记本等漫游终端都首先接入网络安全管控平台 在通过平台接入其需要维 护的数据业务系统 特别是和数据业务系统同机房的固定终端应在网络上部署隔离措施 保证其绕 开管控平台直接接入数据业务系统 7 2 6数据业务系统内部不同安全区域之间互联安全要求数据业务系统内部不同安全区域之间互联安全要求 原则上 同一数据业务系统内部各安全区域之间都应采用相应的安全手段进行隔离 对于重要 的数据业务系统核心生产区和互联网接口区以及内部互联接口区要求通过防火墙进行隔离 对于低 保护等级的数据业务系统内部各安全域之间可以通过在交换机 路由器等网络设备上部署访问控制 策略进行隔离 7 3系统自身安全系统自身安全 数据业务系统应按照功能以及网络互联的需求 将其内部各设备部署至相应的安全域 数据业 务系统自身在业务流程 逻辑 软件代码 功能和配置等四个方面还需要满足相应的安全要求 7 3 1业务流程 逻辑 安全和软件代码安全业务流程 逻辑 安全和软件代码安全 随着对业务流程安全和代码安全研究的不断深入 相关要求包括但不限于 1 网元认证 在业务流程设计时 应根据业务的具体情况 明确需要通信网元之间的认证 鉴权机制 避免仅通过 IP 地址完成认证 中国移动数据业务系统集中化安全防护技术要求 13 2 和终端用户交互流程 在业务流程设计时 要重点关注用户鉴权和业务订购流程两个方 面 在用户鉴权环节 要防止泄露用户认证信息以及假冒 伪造 滥用用户身份的攻击 根据业务的具体情况 适当选用 SIM 卡认证 证书认证 短信动态口令 静态口令 图 形码等认证方式 在用户订购业务环节 要重点防止用户订购信息被泄露 伪造或篡改 根据业务的具体情况 采用短信二次确认以及业务订购成功后短信通知等措施 3 授权 数据业务系统应用程序应结合自身的业务逻辑 对终端用户 系统管理人员 系 统维护人员 第三方技术人员等各类能够和系统交互的人员以及和其互联的其它系统 进行适当授权 控制其能够访问的应用资源及其能够进行的操作 4 内容控制 数据业务系统应用程序应具备内容控制机制 包括根据一定的条件过滤数据 内容 对内容的发布具备支持审批的能力 支持内容上传与内容审核发布职责分离的能 力等 5 日志记录和审计 系统应能够完整记录并保留终端用户 内部人员和第三方支持人员的 重要操作行为 能够审计发现相关安全事件 如暴力猜测终端用户口令 篡改用户订购 信息等 6 代码安全 代码应严格校验用户输入 防范缓冲区溢出等漏洞 代码执行所需权限应遵 循最小授权原则 防范利用代码漏洞提升权限的问题 同时 对应用层的代码安全方面 应综合利用白盒 黑盒测试机制 测试代码存在的安全漏洞 7 3 2安全功能和安全配置安全功能和安全配置 系统应具备基本的安全防护功能 并进行必要的安全配置 在此方面 系统应满足 中国移动 设备通用安全功能和配置规范 等规范的要求 并根据数据业务系统的实际情况 有针对性的补充 安全功能要求和安全配置要求 7 4防火墙等基础安全技术防护手段的部署防火墙等基础安全技术防护手段的部署 本部分以数据业务系统安全域划分和边界整合为基础 进行防火墙 入侵检测 防病毒 异常 流量检测和过滤 网络安全管控平台 包含综合维护接入 账号口令管理和日志审计模块 等 5 类 通用的基础安全技术防护手段的部署 在通用手段的基础 还可根据业务系统面临风险的特点部署的专用的基础安全技术防护手段 如网页防篡改 垃圾邮件过滤手段等 7 4 1防火墙部署防火墙部署 安全域内访问控制依据 最小化 原则和域间互联具体要求实施 在互联网接口区和互联网的边界必须部署防火墙 在核心交换区部署防火墙防护互联网接口区 内部互联接口区和核心生产区的边界 核心交换区防火墙和互联网边界防火墙构成对重要系统的核 中国移动数据业务系统集中化安全防护技术要求 14 心生产区构成双重防火墙防护 在内部互联接口区和内部网络的边界也需部署防火墙 考虑到内部 互联风险较互联网低 内部互联接口区防火墙复用核心交换区