IMS信息安全技术规范 类别1: 中国移动防火墙部署总体技术要求: 要求内容: 一、集中防护原则 以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位,统一考虑节点内所有网络系统的边界访问控制。节点内部,划分核心生产区、日常维护区、停火区(DMZ区)等等,通过 VLAN 划分实现不同区域系统间的隔离。从而彻底改变分系统防护的传统模式,实现集中化防护。 二、等级保护原则 不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。在国家等级保护标准当中,除考虑系统的实际等级以外,还考虑了相关部门的监管需求。此外,由于系统防护技术的等级差别有限,部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求,各受保护系统都需要。因此在实际实践中,我们并不需要进行过于理论化的计算,能够区分高中低三种不同的防护需求即可。 根据系统划分的等级,高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。 三、与业务特殊需求一致原则 对防火墙功能有特殊需求的业务系统,如 GPRS BG 接口防火墙需要支持 GTP协议,可以在边界集中防火墙内部署第二层防火墙、IDS 系统,实现深度保护。 四、与边界威胁一致原则 由于不同系统的开放性、可控性等方面各不相同,它们的可信度也有明显区别。与不同威胁等级、可信度的系统互联时,面对的威胁是不同的,因此,必须针对不同的威胁等级选择不同防护强度的防护技术。 五、异构原则 对于需要进行双层防火墙进行防护的系统,为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险,需要实现双重异构防火墙防护。在防火墙策略设置上,外层防火墙侧重实施粗粒度访问控制,内层防火墙侧重针对特定系统施细粒度访问控制。 五、防火墙种类最小化原则 为便于防火墙设备的日常维护和安全策略的管理,在满足双重异构前提下,应尽量减少防火墙的种类和品牌数量。 检测步骤: 分析系统网络拓扑、设备及 IP 地址列表等资料,检查以下内容: 1、被查业务系统所有设备是否均已纳入防护范围,并实现集中化防护; 2、是否针对业务系统不同等级的防护需求部署不同强度的防护手段; 3、若业务系统存在特殊需求,是否有针对性措施进行深度防护; 4、对于...
