IDC网络安全防护技术要求V10发布版剖析.docx

1、IDC网络安全防护技术要求V10发布版剖析IDC网络安全防护技术要求Technical Specification of Security for IDC版本号：1.0.0 中国移动通信有限网络部目 录前 言 11 适用范围 22 引用标准与依据 22.1 相关法规和政策 22.2 国家标准及行业标准 22.3 中国移动企业标准及技术规范 32.4 其它 33 相关术语与缩略语 43.1 术语 43.2 缩略语 44 综述 54.1 中国移动IDC的发展现状 54.2 业务应用 64.3 IDC的特点 64.3.1 IDC的重要性 64.3.2 数据高度集中 64.3.3 高带宽、大流量 64

2、.3.4 安全防护对象特点突出 64.3.5 内部应用可控性较差 64.3.6 面对复杂各异的远程维护需求 75 IDC的基本架构 75.1 逻辑架构 75.1.1 物理层 85.1.2 网络层 85.1.3 资源层 85.1.4 业务层 85.1.5 运营管理层 95.2 网络架构 95.2.1 互联网接入层 105.2.2 汇聚层 115.2.3 业务接入层 115.2.4 运营管理层 126 安全风险分析 126.1 IDC主要安全风险 126.2 威胁分析 136.2.1 物理安全威胁 136.2.2 设备安全威胁 136.2.3 网络安全威胁 136.2.4 应用层安全威胁 146.

3、2.5 数据安全威胁 146.3 脆弱性分析 156.3.1 物理安全方面的脆弱性 156.3.2 网络与主机设备的脆弱性 156.3.3 应用系统软件脆弱性 156.3.4 数据安全方面存在的脆弱性 156.3.5 其它 166.4 IDC安全防护需求 167 安全防护要求 167.1 物理安全要求 177.2 IDC安全域划分及防护部署 177.2.1 互联网接入域 197.2.2 停火区 207.2.3 核心汇聚域 207.2.4 业务域 217.2.5 日常操作维护区 247.2.6 第三方接入区 247.2.7 管理服务区 257.3 设备自身安全和安全配置要求 257.4 内容合法

4、性检查及域名备案等业务安全防护系统 257.4.1 不良内容监测与封堵 257.4.2 网站备案系统 267.5 集中化安全管理技术要求 287.5.1 综合安全管控 287.5.2 安全扫描 287.6 安全组织、标准要求 298 IDC安全防护体系建设思路 29附录I：IDC安全风险分析列表 31附录II：部分典型案例 349 编制历史 34前 言IDC面临复杂的安全环境，为了向IDC用户提供高质量的服务，维护中国移动的企业形象和信誉，遵守国家法律法规要求，必须在规划、建设、运营各环节充分考虑IDC安全风险，采取对应的安全措施。本规范针对IDC中存在的各种网络和系统层面的安全问题和IDC业

5、务特点，提出了分类提供强制性安全基础服务能力和增值性、差异化安全服务能力的IDC安全防护技术要求，作为中国移动IDC网络安全防护部署的依据，以保证为IDC用户提供具有高性能、高带宽、高服务质量、高安全性的主机托管及其增值业务。本规范不对不良、非法、低俗内容安全等方面的监测手段及网站备案部署模式进行论述，请各IDC运营单位按照集团公司下发的信息安全责任矩阵要求，予以高度重视，加强内容安全管理。本标准由中国移动通信有限公司网络部提出并归口。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团设计院有限公司。本标准主要起草人：刘佳，杜雪涛，曹一生，周智，徐海东，袁捷，朱文涛，张高山。感谢华为

6、技术有限公司、绿盟科技、Macfee、中兴通讯股份有限公司、诺基亚西门子公司，亿阳安全技术有限公司的大力支持。1 适用范围本规范作为中国移动通信有限公司、各省公司在IDC设计、建设、系统部署、运营维护等工作中开展安全防护的依据。2 引用标准与依据2.1 相关法规和政策1 关于加强信息安全保障工作的意见（中办、国办200327号文）2 公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施意见（公通字200466号文）3 四部门联合下发关于印发信息安全等级保护管理办法的通知（公通字200743号文）4 关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861

7、号）5 国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告6 国家关于绿色上网等在内的其它要求7 原邮电部、信息产业部制定的IDC服务的相关要求8 最高人民法院、最高人民检察院，关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)2.2 国家标准及行业标准1 计算机信息系统安全保护等级划分准则（GB 17859）2 公安部等级保护基本要求系列标准，包括：信息系统安全等级保护测评准则、信息系统安全等级保护实施指南、信息系统安全等级保护基本要求等3 公安部等级保护技术要求系列标准（GA/T 387-2002至GA/T

8、 391-2002），包括：计算机信息系统安全等级保护通用技术要求、计算机信息系统安全等级保护操作系统技术要求、计算机信息系统安全等级保护管理要求、计算机信息系统安全等级保护网络技术要求、计算机信息系统安全等级保护数据库管理系统技术要求等4 工业和信息化部 “电信网和互联网安全防护体系”系列标准（YD/T 1728-2008至YD/T 1759-2008）5 电信网和互联网物理环境安全等级保护要求2.3 中国移动企业标准及技术规范1 中国移动IDC总体技术要求2 中国移动支撑系统集中帐号管理、认证、授权与审计（4A）技术要求 3 中国移动防火墙部署总体技术要求4 中国移动帐号口令集中管理系统功

9、能及技术规范5 中国移动日志集中管理与审计系统功能及技术规范6 中国移动综合维护接入平台功能和技术规范7 中国移动通用设备安全配置系列规范路由器部分8 中国移动通用设备安全配置系列规范操作系统和数据库部分9 中国移动设备通用安全功能和配置规范10 中国移动支撑系统安全域划分与边界整合技术要求11 WEB系统安全防护技术要求（网络部，2011年下发）12 网站接入备案及监督管理系统设备规范13 不良信息监测系统设备规范14 中国移动网页篡改及网页信息安全防护系统技术规范15 中国移动互联网安全防护体系技术要求16 中国移动网页篡改及网页信息安全防护系统技术规范2.4 其它1 美国国家标准和技术研

10、究所（NIST，National Institute of Standards and Technology）制订的SP 800系列文档：IT系统安全自评估指南、IT系统风险管理指南、联邦IT系统安全认证和认可指南、信息系统安全规划指南等，http:/csrc.ncsl.nist.gov/publications/nistpubs/2 美国国家安全局，信息保障技术框架IATF（Information Assurance Technical Framework），V3.1版，3 相关术语与缩略语3.1 术语 IDC：即互联网数据中心（Internet Data Center），是为满足互联网业务

11、和政府、企事业信息服务需求而建设的应用基础设施，通过与互联网的高速连接，以丰富的计算、存储、网络和应用资源向服务提供商（SP）、内容提供商（CP）、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。 威胁：指那些可能对资产或组织造成损害的事故的潜在原因。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。 脆弱性：指资产中能被威胁利用的弱点。 风险：指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。 安

12、全需求：指为保证单位的业务战略能够正常行使，在信息安全保障措施方面提出的要求。 安全措施：指对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 IDC后台管理区：包括IDC日常操作工作区和客户服务管理区。3.2 缩略语缩略语英文全称中文含义ACLAccess Control List访问控制列表CDNContent Delivery Network内容分发网络CMNetChina Mobile Net中国移动互联网CPContent Provider内容提供商DDNDigital Data Network数字数

13、据网DMZDemilitarized Zone停火区DNSDomain Name Server域名服务器ICPInternet Content Provider网络内容服务商IDCInternet Data Center互联网数据中心IDSIntrusion Detection System入侵检测系统IPInternet Protocol互联网协议ITInformation Technology信息技术MPLSMulti-Protocol Label Switching多协议标记交换QoSQuality of Service服务质量SPService Provider服务提供商VPNVirt

14、ual Private Network虚拟专用网VLANVirtual Local Area Network虚拟局域网4 综述自2002年进入互联网数据中心（IDC）市场以来，中国移动一直在进行大规模的IDC建设。IDC数据中心建设，也将成为中国移动集团客户市场的突破口。4.1 中国移动IDC的发展现状中国移动互联网数据中心业务是指以集团和各省分公司IDC平台的各级节点机房设施、相关网络资源和技术支撑能力为依托，为政府、企业、互联网服务提供商（ISP）、互联网内容提供商（ICP）等客户提供的包括主机托管、带宽出租、主机租赁、CDN服务、域名服务、DNS解析以及虚拟服务等基础类业务以及移动业务应

15、用、数据存储、安全服务、网络优化以及代维代管等增值类业务。目前，28个省建设有独立的IDC或有独立IDC专区，在北京、上海、广东、江苏、四川、浙江、重庆建设一类IDC，满足全国性、规模性资源和应用支撑需求，并兼做本省IDC。其它各省根据本省业务需求建设二类IDC，满足省内本地内容托管和集团客户应用等需求，同时作为一类IDC的补充，提供镜像、内容分发等。4.2 业务应用IDC中业务应用可以包括传统的业务如主机托管、空间租赁、企业邮箱以及承载WEB、游戏、公司应用、在线存储等增值业务。4.3 IDC的特点4.3.1 IDC的重要性在业务方面，话音业务需求日益趋于饱和，IDC的业务收入将成为电信行业

16、收入增长的重要来源。在用户方面，宽带接入市场远没有到达饱和的程度，宽带用户保持较快的增长速度，基于移动终端的上网用户将呈现爆发性的增长态势。除以之外，IDC产业自身正处于发展的起步阶段，行业需求潜力巨大，因此IDC市场对于中国移动的未来发展具有重要影响，是中国移动业务扩展的重要方向之一。4.3.2 数据高度集中IDC是Internet企业分工更加细化的产物。它不仅是数据存储的中心，而且是数据流通的中心。企业将与网站托管服务等相关的一切事务交给专门提供网络服务的IDC承担。因此，IDC是Internet中数据交换最集中的地方。4.3.3 高带宽、大流量IDC能够为ICP、企业、媒体和各类网站提供

17、大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽等业务。因此，IDC必须具备丰富的互联网带宽资源。4.3.4 安全防护对象特点突出网络设备和应用系统不断增加和变化，网络安全呈现“动态性”；用户系统多样化，应用复杂，动态多变，面临多种安全威胁和安全攻击；大量集中的主机和服务器易产生安全连带效应；容易发生内部攻击，安全防范与安全管理并重；WEB应用为主，用户数量巨大。4.3.5 内部应用可控性较差IDC应用复杂（IDC的应用种类详见5.1.4）存在着很多不可控的因素： 服务器托管业务对于服务器托管业务，IDC能够掌控的是托管服务器所在区域（机柜位置）、服务器类型以及硬件配置等，对

18、于甲方在托管主机硬件系统以外的内容，如主机操作系统安全、应用层安全等等，IDC运营管理方是无法掌控的。 服务器租用业务对于服务器租用业务，IDC运营能够掌控的是被租用服务器资产、所在区域（机柜位置）、系统安全等。而租用服务器之上的应用的安装、配置、发布与维护是由服务合同甲方负责的，是IDC无法掌控的。4.3.6 面对复杂各异的远程维护需求IDC被托管系统应用来自不同行业的不同用户 ，对于系统的安全防护和日常维护管理有着不同的需求，因此各个托管用户的维护需求不同，具有复杂性。5 IDC的基本架构5.1 逻辑架构图5-1 IDC逻辑架构图IDC涉及范围很广，包含土建、电气、消防、网络、运营等系统，

19、从IDC的逻辑功能上来划分，IDC可分为物理层、网络层、资源层、业务层、和运营管理层5大逻辑功能模块。5.1.1 物理层图5-2 IDC物理层功能图物理层主要包括供电系统、消防系统、安保系统、配线系统、照明系统、制冷系统等。5.1.2 网络层网络层由路由器、交换机、防火墙，IDS（入侵检测系统）等数据通信设备和安全设备组成。网络层在整个IDC中属于IT基础架构，是开展IDC业务运营的基础。5.1.3 资源层资源层是IDC用来开展业务运营的基础，资源层包括计算资源、存储资源、IP资源、带宽资源、机房空间资源等资源。5.1.4 业务层业务层是IDC的核心要素，也是IDC价值的具体表现形式。业务层按

20、照IDC提供的服务属性可以分为基础类业务和增值类业务两大类，这两大类业务又可以细分为众多子业务，如下图所示：图5-3 IDC业务分类5.1.5 运营管理层运营管理层为IDC的稳定运行和业务运营提供必要的各种支撑服务，主要包括网络管理、资源管理、业务管理、运营管理4个功能模块。5.2 网络架构IDC网络架构分成4层：互联网接入层、汇聚层、业务接入层、运营管理层。IDC整体网络系统架构如图5-4：图5-4 IDC网络逻辑架构图5.2.1 互联网接入层互联网接入层拓扑结构如下图所示：图5-5互联网接入层网络互联网接入层对外完成与CMNET骨干网设备高速互联，对内负责与IDC的汇聚层交换机互联。互联网

21、接入层负责高速可靠的转发IDC业务数据，并且对IDC内部路由信息和外部路由信息的转发。5.2.2 汇聚层图5-6汇聚层网络汇聚层是业务接入层交换机的汇聚点，负责本地数据的汇聚并完成数据的高速交换。5.2.3 业务接入层业务接入层由接入交换机和各业务系统的服务器、存储等设备组成，业务接入层对业务区内的主机、存储系统及用户网络设备提供网络接入，并对业务区内不同用户系统进行隔离及实施QOS、VPN等业务接入层策略，详细描述参见中国移动IDC总体技术要求。它的网络拓扑如下图所示：图5-7业务接入层网络5.2.4 运营管理层IDC运营管理层中包含各类网管系统、防病毒系统控制端、安全管控平台服务器等设备，

22、页包括管理终端、防火墙等设备。运营管理层主要为IDC提供网络管理、资源管理、业务管理、运营管理等功能，向运营维护人员和客户提供设备管理、系统维护、远程接入等服务。运营管理层架构如图5-8所示。图5-8 IDC运营管理层如图5-8所示，运营管理层接入交换机连接汇聚交换机、管理区域的服务器和终端设备。维护人员通过运营管理层接入交换机管理IDC内部设备。6 安全风险分析6.1 IDC主要安全风险 非法内容的发布，违反国家法律法规。IDC中存在大量的WEB应用，易产生内容合法性问题，作为IDC运营单位，将承担极大的法律风险和政治风险，请各IDC运营单位按照集团公司制定下发的信息安全责任矩阵要求，予以高

23、度重视，加强内容安全管理； DDoS攻击导致系统资源、带宽资源耗尽，甚至业务中断； 僵尸网络，病毒扩散，导致IDC部署的系统无法正常服务，或者用于攻击其它系统产生法律纠纷； IDC客户系统处于同一物理网络，容易相互影响； 由于存在IDC用户远程维护所属系统的需求，需要开放大量的逻辑维护通道，因此容易产生内部管理问题，影响到整个IDC安全。IDC具体的安全风险分析参见附录I。相关案例请参见附录II。6.2 威胁分析6.2.1 物理安全威胁物理环境安全威胁主要来自于物理环境建设过程中考虑不当、不全面以及日常管理不到位引发的安全威胁。详细的物理安全威胁请参照中国移动安全威胁分析标准模板库v1.0。6

24、.2.2 设备安全威胁IDC网络设备的安全威胁主要来自两个方面，一个是设备自身的安全威胁，另外一个是外界环境的安全威胁。具体的设备安全威胁如下： 设备自身的安全缺陷或未能够及时修复的安全缺陷，导致的针对该设备的缺陷利用，影响IDC业务的连续性、可靠性和完整性； 承载业务系统硬件、网络环境等方面的威胁； 业务系统自身安全威胁。6.2.3 网络安全威胁网络安全威胁主要如下： 来自内部和外部可能的网络攻击，如DDOS攻击、利用系统漏洞进行的各类攻击等等； 蠕虫病毒入侵，局域网内部病毒等恶意软件的传播，尤其是维护终端、磁盘介质使用等导致的病毒扩散； 利用管理和技术漏洞，或者内部资源成为僵尸网络、木马的

25、被控资源，IDC资源被用作攻击外部网络的工具 WEB类应用被挂马，成为木马大范围传播的主要途径； 由于对IDC网络进行维护不恰当，而导致的安全威胁。详细的网络安全威胁请参照中国移动安全威胁分析标准模板库v1.0。6.2.4 应用层安全威胁应用层的安全威胁主要来自以下两个方面： 来自原互联网、内部恶意用户的安全威胁； IDC客户或者WEB用户发布反动、色情、违反版权要求、进行人身攻击的文字、视频、图片、音频、游戏等等。详细的应用安全威胁请参照中国移动安全威胁分析标准模板库v1.0。6.2.5 数据安全威胁(1) 网管数据网管数据，主要指IDC管理层面的数据，其安全威胁主要如下： 数据传输过程中被

26、窃取，篡改、破坏； 越权访问； 病毒入侵导致丢失； 其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。(2) 内部业务数据内部业务数据，主要指IDC各个业务区域数据，其安全威胁一方面来自于各个业务的不同要求，另外更主要的一方面是这些业务数据的存放，具体如下： 病毒、木马、间谍软件的入侵； 针对敏感数据的非法篡改、获取； 数据的存储安全威胁，包括数据存储磁盘管理不善，数据访问管理不善带来的威胁等。(3) 帐号口令 口令密码明文保存导致失窃； 弱口令导致的暴力破解； 网络监听明文传输的帐号口令。6.3 脆弱性分析6.3.1 物理安全方面的脆弱性物理安全方面的脆弱性，主要体现在以下几方面：

27、机房的门禁、监控设备不完善； 机房的设备老化； 机房人员进出管理不严格等。6.3.2 网络与主机设备的脆弱性网络和主机设备，即操作系统存在的脆弱性，主要有以下几点： 设备性能低、运行不稳定； 口令不够复杂、合理或没有经常更新； 设备自身存在安全缺陷； 设备所使用的资源存在被威胁利用的风险。6.3.3 应用系统软件脆弱性应用系统的脆弱性，主要有以下几点： 相关服务器的应用代码存在漏洞、后门； 相关服务器存在过多不必要的开放端口； 相关服务器配置不合理，访问控制策略存在漏洞； 相关服务器不能记录敏感操作，或者相关日志功能没有启用或不够详细； 不能提供帐号权限管理功能，不能提供账号修改界面； 不能支

28、持密码复杂度检测，或者密码未采用hash函数保存，而采用明文保存； 业务流程设计方面的漏洞导致业务信息泄露和被滥用等。6.3.4 数据安全方面存在的脆弱性数据脆弱性，主要有以下几点： 数据传输未加密，容易被窃取、篡改； 数据明文保存或者访问控制不严，存储介质保护不力等。6.3.5 其它IDC业务系统中管理层面还可能具有人员安全意识、无法阻止托管设备运行监听、攻击软件以及缺乏容灾备份的对应措施等脆弱性。6.4 IDC安全防护需求结合以上IDC的威胁分析和脆弱性分析，IDC的安全防护需求具体包括以下几点： 根据系统价值、功能、业务特性，实施分区防护及边界访问控制 网络基础设施安全要求 保证物理环境

29、安全、设备安全以及媒体安全； 保证网络层所涉及的网络链路、网络设备、网络服务的安全； 保证系统层所涉及的操作系统、系统服务的安全； 保证应用层高可用性、业务连续性要求； 保证各类数据的完整性和保密性要求； 保证IDC应用符合国家法律法规的相关安全措施。7 安全防护要求充分考虑上述安全威胁和主要风险，从组网安全、设备自身安全以及部署专用安全防护设备、实现集中安全管理四个层面，提出符合“集中防护、纵深防御、灵活配置”原则的中国移动IDC安全防护技术体系。针对国家对于IDC增值业务商的管控要求，以及IDC用户要求差异化特点，IDC安全防护技术体系服务能力区分为强制性部署的免费基础性安全服务和满足客户

30、差异化需求的增值安全服务。强制部署的防护手段，如物理安全、公共防火墙、不良信息检测与封堵系统、网站备案系统，为IDC用户提供基础性安全服务，不向IDC客户单独收取费用。增值性安全服务部分，如流量监控（抗DDOS攻击）、防火墙、具备虚拟功能的入侵检测系统、网页篡改及网页信息安全防护系统、综合安全管控系统、各类漏洞扫描系统、网络版防病毒系统以及安全加固服务等等，为有需求客户提供有偿的差异化服务。为提高中国移动IDC相对于其它对手的竞争优势，可以根据业务发展策略、IDC经营需要，适时地将增值性安全服务中的部分内容转化为免费的基础性安全服务。7.1 物理安全要求物理的安全防护部署包含以下几点： 供电系统：部署双路电源、关键设备前部署UPS，有条件的IDC部署应急发电系统； 消防系统：按照消防要求部署防火装置，并定期检查其有效性； 安保系统：安