IDC網(wǎng)絡(luò)安全防護(hù)技術(shù)要求V1.0(發(fā)布版)

中國府動通信中國府動通信OIINAMOBILEIDC網(wǎng)絡(luò)安全防護(hù)技術(shù)要求TechnicalSpecificationofSecurityforIDC版本號：1.0.0中國移動通信有限網(wǎng)絡(luò)部適用范圍本規(guī)范作為中國移動通信有限公司、各省公司在 IDC設(shè)計、建設(shè)、系統(tǒng)部署、運營維護(hù)等工作中開展安全防護(hù)的依據(jù)。2 引用標(biāo)準(zhǔn)與依據(jù)2.1 相關(guān)法規(guī)和政策[1]《關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦、國辦[2003]27號文）[2]公安部、保密局、機(jī)要局、國務(wù)院信息辦聯(lián)合下發(fā)的《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字[2004]66號文）[3]四部門聯(lián)合下發(fā)關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知（公通字 [2007]43號文）[4]《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》 （公信安[2007]861號）[5]國務(wù)院信息辦信息安全風(fēng)險評估課題組編制的《信息安全風(fēng)險評估研究報告》[6]國家關(guān)于綠色上網(wǎng)等在內(nèi)的其它要求[7]原郵電部、信息產(chǎn)業(yè)部制定的 IDC服務(wù)的相關(guān)要求[8]最高人民法院、最高人民檢察院，《關(guān)于辦理利用互聯(lián)網(wǎng)、移動通訊終端、聲訊臺制作、復(fù)制、出版、販賣、傳播淫穢電子信息刑事案件具體應(yīng)用法律若干問題的解釋 （二）》國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)[1]《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》 （GB17859）[2]公安部等級保護(hù)基本要求系列標(biāo)準(zhǔn)，包括： 《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》、《信息系統(tǒng)安全等級保護(hù)實施指南》、《信息系統(tǒng)安全等級保護(hù)基本要求》等公安部等級保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)（GA/T387-2002至GA/T391-2002）,包括：《計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》 、《計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》、《計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求》 、《計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》、《計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》等[4]工業(yè)和信息化部 “電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系” 系列標(biāo)準(zhǔn)（YD/T1728-2008至YD/T1759-2008)[5]《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)要求》中國移動企業(yè)標(biāo)準(zhǔn)及技術(shù)規(guī)范[1]《中國移動IDC總體技術(shù)要求》[2]《中國移動支撐系統(tǒng)集中帳號管理、認(rèn)證、授權(quán)與審計(4A)技術(shù)要求》[3]《中國移動防火墻部署總體技術(shù)要求》[4]《中國移動帳號口令集中管理系統(tǒng)功能及技術(shù)規(guī)范》[5]《中國移動日志集中管理與審計系統(tǒng)功能及技術(shù)規(guī)范》[6]《中國移動綜合維護(hù)接入平臺功能和技術(shù)規(guī)范》[7]《中國移動通用設(shè)備安全配置系列規(guī)范一路由器部分》[8]《中國移動通用設(shè)備安全配置系列規(guī)范一操作系統(tǒng)和數(shù)據(jù)庫部分》[9]《中國移動設(shè)備通用安全功能和配置規(guī)范》[10]《中國移動支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求》《WEB系統(tǒng)安全防護(hù)技術(shù)要求》(網(wǎng)絡(luò)部，2011年下發(fā))[12]《網(wǎng)站接入備案及監(jiān)督管理系統(tǒng)設(shè)備規(guī)范》[13]《不良信息監(jiān)測系統(tǒng)設(shè)備規(guī)范》[14]《中國移動網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)技術(shù)規(guī)范》[15]《中國移動互聯(lián)網(wǎng)安全防護(hù)體系技術(shù)要求》[16]《中國移動網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)技術(shù)規(guī)范》其它美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST,NationalInstituteofStandardsandTechnology)制訂的SP800系列文檔：《IT系統(tǒng)安全自評估指南》、《仃系統(tǒng)風(fēng)險管理指南》、《聯(lián)邦I(lǐng)T系統(tǒng)安全認(rèn)證和認(rèn)可指南》、《信息系統(tǒng)安全規(guī)劃指南》等，/publications/nistpubs/美國國家安全局，信息保障技術(shù)框架IATF(InformationAssuranceTechnicalFramework),V3.1版，相關(guān)術(shù)語與縮略語術(shù)語IDC：即互聯(lián)網(wǎng)數(shù)據(jù)中心（InternetDataCenter）,是為滿足互聯(lián)網(wǎng)業(yè)務(wù)和政府、企事業(yè)信息服務(wù)需求而建設(shè)的應(yīng)用基礎(chǔ)設(shè)施， 通過與互聯(lián)網(wǎng)的高速連接， 以豐富的計算、存儲、網(wǎng)絡(luò)和應(yīng)用資源向服務(wù)提供商（ SP）、內(nèi)容提供商（CP）、各類集團(tuán)客戶等提供大規(guī)模、高質(zhì)量、安全可靠的主機(jī)托管、主機(jī)租賃、網(wǎng)絡(luò)帶寬租用、內(nèi)容分發(fā)等基礎(chǔ)服務(wù)和企業(yè)郵箱、企業(yè)建站等增值服務(wù)。威脅：指那些可能對資產(chǎn)或組織造成損害的事故的潛在原因。 威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機(jī)、途徑、可能性和后果。脆弱性：指資產(chǎn)中能被威脅利用的弱點。風(fēng)險：指由于系統(tǒng)存在的脆弱性， 人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來衡量。安全需求：指為保證單位的業(yè)務(wù)戰(zhàn)略能夠正常行使， 在信息安全保障措施方面提出的要求。安全措施：指對付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實施的各種實踐、 規(guī)程和機(jī)制的總稱。IDC后臺管理區(qū)：包才IDC日常操作工作區(qū)和客戶服務(wù)管理區(qū)。3.2縮略語縮略語英文全稱中文含義ACLAccessControlList訪問控制列表CDNContentDeliveryNetwork內(nèi)容分發(fā)網(wǎng)絡(luò)CMNetChinaMobileNet中國移動互聯(lián)網(wǎng)CPContentProvider內(nèi)容提供商DDNDigitalDataNetwork數(shù)字?jǐn)?shù)據(jù)網(wǎng)DMZDemilitarizedZone?；饏^(qū)DNSDomainNameServer域名服務(wù)器ICPInternetContentProvider網(wǎng)絡(luò)內(nèi)容服務(wù)商IDCInternetDataCenter互聯(lián)網(wǎng)數(shù)據(jù)中心IDSIntrusionDetectionSystem入侵檢測系統(tǒng)IPInternetProtocol互聯(lián)網(wǎng)協(xié)議ITInformationTechnology信息技術(shù)MPLSMulti-ProtocolLabelSwitching多協(xié)議標(biāo)記交換QoSQualityofService服務(wù)質(zhì)量SPServiceProvider服務(wù)提供商VPNVirtualPrivateNetwork虛擬專用網(wǎng)VLANVirtualLocalAreaNetwork虛擬局域網(wǎng)綜述自2002年進(jìn)入互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）市場以來，中國移動一直在進(jìn)行大規(guī)模的 IDC建設(shè)。IDC數(shù)據(jù)中心建設(shè)，也將成為中國移動集團(tuán)客戶市場的突破口。中國移動IDC的發(fā)展現(xiàn)狀中國移動互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)是指以集團(tuán)和各省分公司 IDC平臺的各級節(jié)點機(jī)房設(shè)施、相關(guān)網(wǎng)絡(luò)資源和技術(shù)支撐能力為依托，為政府、企業(yè)、互聯(lián)網(wǎng)服務(wù)提供商（ ISP）、互聯(lián)網(wǎng)內(nèi)容提供商（ICP）等客戶提供的包括主機(jī)托管、 帶寬出租、主機(jī)租賃、CDN服務(wù)、域名服務(wù)、DNS解析以及虛擬服務(wù)等基礎(chǔ)類業(yè)務(wù)以及移動業(yè)務(wù)應(yīng)用、數(shù)據(jù)存儲、安全服務(wù)、網(wǎng)絡(luò)優(yōu)化以及代維代管等增值類業(yè)務(wù)。目前，28個省建設(shè)有獨立的IDC或有獨立IDC專區(qū)，在北京、上海、廣東、江蘇、四川、浙江、重慶建設(shè)一類IDC,滿足全國性、規(guī)模性資源和應(yīng)用支撐需求， 并兼做本省IDC。其它各省根據(jù)本省業(yè)務(wù)需求建設(shè)二類 IDC,滿足省內(nèi)本地內(nèi)容托管和集團(tuán)客戶應(yīng)用等需求，同時作為一類IDC的補充，提供鏡像、內(nèi)容分發(fā)等。業(yè)務(wù)應(yīng)用IDC中業(yè)務(wù)應(yīng)用可以包括傳統(tǒng)的業(yè)務(wù)如主機(jī)托管、 空間租賃、企業(yè)郵箱以及承載WEB、游戲、公司應(yīng)用、在線存儲等增值業(yè)務(wù)。IDC的特點IDC的重要性在業(yè)務(wù)方面，話音業(yè)務(wù)需求日益趨于飽和，IDC的業(yè)務(wù)收入將成為電信行業(yè)收入增長的重要來源。在用戶方面，寬帶接入市場遠(yuǎn)沒有到達(dá)飽和的程度， 寬帶用戶保持較快的增長速度，基于移動終端的上網(wǎng)用戶將呈現(xiàn)爆發(fā)性的增長態(tài)勢。 除以之外，IDC產(chǎn)業(yè)自身正處于發(fā)展的起步階段，行業(yè)需求潛力巨大，因此IDC市場對于中國移動的未來發(fā)展具有重要影響，是中國移動業(yè)務(wù)擴(kuò)展的重要方向之一。數(shù)據(jù)高度集中IDC是Internet企業(yè)分工更加細(xì)化的產(chǎn)物。它不僅是數(shù)據(jù)存儲的中心，而且是數(shù)據(jù)流通的中心。企業(yè)將與網(wǎng)站托管服務(wù)等相關(guān)的一切事務(wù)交給專門提供網(wǎng)絡(luò)服務(wù)的 IDC承擔(dān)。因此，IDC是Internet中數(shù)據(jù)交換最集中的地方。高帶寬、大流量IDC能夠為ICP、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管、空間租用、網(wǎng)絡(luò)批發(fā)帶寬等業(yè)務(wù)。因此，IDC必須具備豐富的互聯(lián)網(wǎng)帶寬資源。安全防護(hù)對象特點突出網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)不斷增加和變化，網(wǎng)絡(luò)安全呈現(xiàn)“動態(tài)性” ；用戶系統(tǒng)多樣化，應(yīng)用復(fù)雜，動態(tài)多變，面臨多種安全威脅和安全攻擊； 大量集中的主機(jī)和服務(wù)器易產(chǎn)生安全連帶效應(yīng)；容易發(fā)生內(nèi)部攻擊，安全防范與安全管理并重； WEB應(yīng)用為主，用戶數(shù)量巨大。內(nèi)部應(yīng)用可控性較差I(lǐng)DC應(yīng)用復(fù)雜（IDC的應(yīng)用種類詳見5.1.4）存在著很多不可控的因素:

服務(wù)器托管業(yè)務(wù)對于服務(wù)器托管業(yè)務(wù)，IDC能夠掌控的是托管服務(wù)器所在區(qū)域（機(jī)柜位置）、服務(wù)器類型以及硬件配置等，對于甲方在托管主機(jī)硬件系統(tǒng)以外的內(nèi)容， 如主機(jī)操作系統(tǒng)安全、應(yīng)用層安全等等，IDC運營管理方是無法掌控的。服務(wù)器租用業(yè)務(wù)對于服務(wù)器租用業(yè)務(wù)，IDC運營能夠掌控的是被租用服務(wù)器資產(chǎn)、 所在區(qū)域（機(jī)柜位置）、系統(tǒng)安全等。而租用服務(wù)器之上的應(yīng)用的安裝、 配置、發(fā)布與維護(hù)是由服務(wù)合同甲方負(fù)責(zé)的，是IDC無法掌控的。面對復(fù)雜各異的遠(yuǎn)程維護(hù)需求IDC被托管系統(tǒng)應(yīng)用來自不同行業(yè)的不同用戶 ，對于系統(tǒng)的安全防護(hù)和日常維護(hù)管理有著不同的需求，因此各個托管用戶的維護(hù)需求不同，具有復(fù)雜性。IDC的基本架構(gòu)邏輯架構(gòu)業(yè)務(wù)層（主機(jī)托管、數(shù)據(jù)備份等）L>資源層（計算、存儲、帶寬等）k）r網(wǎng)絡(luò)層（路由器、交換機(jī)、防火墻等）k）物理層（電力、空調(diào)、綜合布線等）I 1圖5-1IDC邏輯架構(gòu)圖運營管理層IDC的邏輯功能IDC涉及范圍很廣，包含土建、電氣、消防、網(wǎng)絡(luò)、運營等系統(tǒng)，從

運營管理層IDC的邏輯功能上來劃分，IDC可分為物理層、網(wǎng)絡(luò)層、資源層、業(yè)務(wù)層、和運營管理層5大邏輯功能模塊。5.1.1物理層.p防雷〒持地防上系統(tǒng)V?數(shù)據(jù)中心遺址??跖境點隹?平tfc布局\ *11匕宏十f?埼一天花版?制空施桶?照盟警?走賽期/■先奸守,交一架?迷弱日光軒訴說?走式七果?軒道性空調(diào)/*迪M才ATS*UPS?也比電由，口?空索也源也?扉蠡特地開關(guān)?電能產(chǎn)電池米圖5-2IDC物理層功能圖物理層主要包括供電系統(tǒng)、消防系統(tǒng)、安保系統(tǒng)、配線系統(tǒng)、照明系統(tǒng)、制冷系統(tǒng)等。網(wǎng)絡(luò)層網(wǎng)絡(luò)層由路由器、交換機(jī)、防火墻， IDS（入侵檢測系統(tǒng)）等數(shù)據(jù)通信設(shè)備和安全設(shè)備組成。網(wǎng)絡(luò)層在整個IDC中屬于IT基礎(chǔ)架構(gòu)，是開展IDC業(yè)務(wù)運營的基礎(chǔ)。資源層資源層是IDC用來開展業(yè)務(wù)運營的基礎(chǔ)，資源層包括計算資源、存儲資源、 IP資源、帶寬資源、機(jī)房空間資源等資源。業(yè)務(wù)層業(yè)務(wù)層是IDC的核心要素，也是IDC價值的具體表現(xiàn)形式。業(yè)務(wù)層按照IDC提供的服務(wù)屬性可以分為基礎(chǔ)類業(yè)務(wù)和增值類業(yè)務(wù)兩大類， 這兩大類業(yè)務(wù)又可以細(xì)分為眾多子業(yè)務(wù)，如下圖所示：

圖5-3IDC業(yè)務(wù)分類運營管理層運營管理層為IDC的穩(wěn)定運行和業(yè)務(wù)運營提供必要的各種支撐服務(wù)，主要包括網(wǎng)絡(luò)管理、資源管理、業(yè)務(wù)管理、運營管理 4個功能模塊。5.2 網(wǎng)絡(luò)架構(gòu)IDC網(wǎng)絡(luò)架構(gòu)分成4層：互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層、運營管理層。IDC整體網(wǎng)絡(luò)系統(tǒng)架構(gòu)如圖5-4:與旭武W?L5：E■M1FT&T*r<I用尸￡執(zhí)孤.用舞券用尸傳.一塞金券田口三料機(jī)一編的總司卜烹兵肝益哥用.二7T而?n卜m/砂出甲ps與旭武W?L5：E■M1FT&T*r<I用尸￡執(zhí)孤.用舞券用尸傳.一塞金券田口三料機(jī)一編的總司卜烹兵肝益哥用.二7T而?n卜m/砂出甲ps7lb及F-ti當(dāng)廣些餐善

i兌至痙星星㈤\<JRV>I■ 1Hllh同二丁耳心葡M坤啟文曷巳M用RWL!用.二衽；集市營后后主機(jī)孔吉叵蘭林坦區(qū)區(qū)加二方按JW4■a■口舌也皿莖=?工EZ3￡*3圖5-4IDC網(wǎng)絡(luò)邏輯架構(gòu)圖互聯(lián)網(wǎng)接入層互聯(lián)網(wǎng)接入層拓?fù)浣Y(jié)構(gòu)如下圖所示:圖5-5圖5-5互聯(lián)網(wǎng)接入層網(wǎng)絡(luò)互聯(lián)網(wǎng)接入層對外完成與CMNETt干網(wǎng)設(shè)備高速互聯(lián)，對內(nèi)負(fù)責(zé)與IDC的匯聚層交換機(jī)互聯(lián)?；ヂ?lián)網(wǎng)接入層負(fù)責(zé)高速可靠的轉(zhuǎn)發(fā)IDC業(yè)務(wù)數(shù)據(jù)，并且對IDC內(nèi)部路由信息和外部路由信息的轉(zhuǎn)發(fā)。

5.2.2匯聚層圖5-6匯聚層網(wǎng)絡(luò)匯聚層是業(yè)務(wù)接入層交換機(jī)的匯聚點，負(fù)責(zé)本地數(shù)據(jù)的匯聚并完成數(shù)據(jù)的高速交換。業(yè)務(wù)接入層業(yè)務(wù)接入層由接入交換機(jī)和各業(yè)務(wù)系統(tǒng)的服務(wù)器、 存儲等設(shè)備組成，業(yè)務(wù)接入層對業(yè)務(wù)區(qū)內(nèi)的主機(jī)、存儲系統(tǒng)及用戶網(wǎng)絡(luò)設(shè)備提供網(wǎng)絡(luò)接入， 并對業(yè)務(wù)區(qū)內(nèi)不同用戶系統(tǒng)進(jìn)行隔離及實施QOSVPN等業(yè)務(wù)接入層策略，詳細(xì)描述參見《中國移動 IDC總體技術(shù)要求》。它的網(wǎng)絡(luò)拓?fù)淙缦聢D所示：圖5-7業(yè)務(wù)接入層網(wǎng)絡(luò)

運營管理層IDC運營管理層中包含各類網(wǎng)管系統(tǒng)、防病毒系統(tǒng)控制端、安全管控平臺服務(wù)器等設(shè)備,頁包括管理終端、防火墻等設(shè)備。運營管理層主要為 IDC提供網(wǎng)絡(luò)管理、資源管理、業(yè)務(wù)管理、運營管理等功能，向運營維護(hù)人員和客戶提供設(shè)備管理、系統(tǒng)維護(hù)、遠(yuǎn)程接入等服務(wù)。運營管理層架構(gòu)如圖5-8所示。TOC\o"1-5"\h\z『r 1" MM后日由舊目切日。引后。群J t I I I1 I1iiI? i移動自由業(yè)務(wù)域第三方業(yè)務(wù)陋接入交拴機(jī)汜霰交摭機(jī)日京操作篦護(hù)區(qū)第三方授入?yún)^(qū)圖5-8IDC助火崎殖入交捻1接入交換機(jī)移動自由業(yè)務(wù)域第三方業(yè)務(wù)陋接入交拴機(jī)汜霰交摭機(jī)日京操作篦護(hù)區(qū)第三方授入?yún)^(qū)圖5-8IDC助火崎殖入交捻1接入交換機(jī)首疊服藥區(qū)運營管理層如圖5-8所示，運營管理層接入交換機(jī)連接匯聚交換機(jī)、 管理區(qū)域的服務(wù)器和終端設(shè)備。維護(hù)人員通過運營管理層接入交換機(jī)管理 IDC內(nèi)部設(shè)備。安全風(fēng)險分析IDC主要安全風(fēng)險非法內(nèi)容的發(fā)布，違反國家法律法規(guī)。 IDC中存在大量的WEB應(yīng)用，易產(chǎn)生內(nèi)容合法性問題，作為IDC運營單位，將承擔(dān)極大的法律風(fēng)險和政治風(fēng)險，請各IDC運營單位按照集團(tuán)公司制定下發(fā)的信息安全責(zé)任矩陣要求， 予以高度重視，加強(qiáng)內(nèi)容安全管理；DDoS攻擊導(dǎo)致系統(tǒng)資源、帶寬資源耗盡，甚至業(yè)務(wù)中斷；僵尸網(wǎng)絡(luò)，病毒擴(kuò)散，導(dǎo)致IDC部署的系統(tǒng)無法正常服務(wù)，或者用于攻擊其它系統(tǒng)產(chǎn)生法律糾紛；IDC客戶系統(tǒng)處于同一物理網(wǎng)絡(luò)，容易相互影響；由于存在IDC用戶遠(yuǎn)程維護(hù)所屬系統(tǒng)的需求，需要開放大量的邏輯維護(hù)通道，因此容易產(chǎn)生內(nèi)部管理問題，影響到整個 IDC安全。IDC具體的安全風(fēng)險分析參見附錄 I。相關(guān)案例請參見附錄II。威脅分析物理安全威脅物理環(huán)境安全威脅主要來自于物理環(huán)境建設(shè)過程中考慮不當(dāng)、 不全面以及日常管理不到位引發(fā)的安全威脅。詳細(xì)的物理安全威脅請參照 《中國移動安全威脅分析標(biāo)準(zhǔn)模板庫 v1.0?o設(shè)備安全威脅IDC網(wǎng)絡(luò)設(shè)備的安全威脅主要來自兩個方面， 一個是設(shè)備自身的安全威脅， 另外一個是外界環(huán)境的安全威脅。具體的設(shè)備安全威脅如下：設(shè)備自身的安全缺陷或未能夠及時修復(fù)的安全缺陷，導(dǎo)致的針對該設(shè)備的缺陷利用，影響IDC業(yè)務(wù)的連續(xù)性、可靠性和完整性；承載業(yè)務(wù)系統(tǒng)硬件、網(wǎng)絡(luò)環(huán)境等方面的威脅；業(yè)務(wù)系統(tǒng)自身安全威脅。網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅主要如下：來自內(nèi)部和外部可能的網(wǎng)絡(luò)攻擊，如DDOS攻擊、利用系統(tǒng)漏洞進(jìn)行的各類攻擊蠕蟲病毒入侵，局域網(wǎng)內(nèi)部病毒等惡意軟件的傳播， 尤其是維護(hù)終端、磁盤介質(zhì)使用等導(dǎo)致的病毒擴(kuò)散；利用管理和技術(shù)漏洞，或者內(nèi)部資源成為僵尸網(wǎng)絡(luò)、 木馬的被控資源，IDC資源被用作攻擊外部網(wǎng)絡(luò)的工具WEB類應(yīng)用被掛馬，成為木馬大范圍傳播的主要途徑；由于對IDC網(wǎng)絡(luò)進(jìn)行維護(hù)不恰當(dāng)，而導(dǎo)致的安全威脅。詳細(xì)的網(wǎng)絡(luò)安全威脅請參照《中國移動安全威脅分析標(biāo)準(zhǔn)模板庫 v1.0?o應(yīng)用層安全威脅應(yīng)用層的安全威脅主要來自以下兩個方面：來自原互聯(lián)網(wǎng)、內(nèi)部惡意用戶的安全威脅；IDC客戶或者WEB用戶發(fā)布反動、色情、違反版權(quán)要求、進(jìn)行人身攻擊的文字、視頻、圖片、音頻、游戲等等。詳細(xì)的應(yīng)用安全威脅請參照《中國移動安全威脅分析標(biāo)準(zhǔn)模板庫 v1.0?o數(shù)據(jù)安全威脅(1)網(wǎng)管數(shù)據(jù)網(wǎng)管數(shù)據(jù)，主要指IDC管理層面的數(shù)據(jù)，其安全威脅主要如下：數(shù)據(jù)傳輸過程中被竊取，篡改、破壞；越權(quán)訪問；病毒入侵導(dǎo)致丟失；其它誤操作、系統(tǒng)故障、介質(zhì)問題等原因?qū)е碌臄?shù)據(jù)丟失、泄漏。(2)內(nèi)部業(yè)務(wù)數(shù)據(jù)內(nèi)部業(yè)務(wù)數(shù)據(jù)，主要指IDC各個業(yè)務(wù)區(qū)域數(shù)據(jù)，其安全威脅一方面來自于各個業(yè)務(wù)的不同要求，另外更主要的一方面是這些業(yè)務(wù)數(shù)據(jù)的存放，具體如下：病毒、木馬、間諜軟件的入侵；針對敏感數(shù)據(jù)的非法篡改、獲取；數(shù)據(jù)的存儲安全威脅，包括數(shù)據(jù)存儲磁盤管理不善，數(shù)據(jù)訪問管理不善帶來的威脅等。⑶帳號口令口令密碼明文保存導(dǎo)致失竊；弱口令導(dǎo)致的暴力破解；網(wǎng)絡(luò)監(jiān)聽明文傳輸?shù)膸ぬ柨诹睢４嗳跣苑治鑫锢戆踩矫娴拇嗳跣晕锢戆踩矫娴拇嗳跣?，主要體現(xiàn)在以下幾方面：機(jī)房的門禁、監(jiān)控設(shè)備不完善；機(jī)房的設(shè)備老化；機(jī)房人員進(jìn)出管理不嚴(yán)格等。網(wǎng)絡(luò)與主機(jī)設(shè)備的脆弱性網(wǎng)絡(luò)和主機(jī)設(shè)備，即操作系統(tǒng)存在的脆弱性，主要有以下幾點：設(shè)備性能低、運行不穩(wěn)定；口令不夠復(fù)雜、合理或沒有經(jīng)常更新；設(shè)備自身存在安全缺陷；設(shè)備所使用的資源存在被威脅利用的風(fēng)險。應(yīng)用系統(tǒng)軟件脆弱性應(yīng)用系統(tǒng)的脆弱性，主要有以下幾點：相關(guān)服務(wù)器的應(yīng)用代碼存在漏洞、后門；相關(guān)服務(wù)器存在過多不必要的開放端口；相關(guān)服務(wù)器配置不合理，訪問控制策略存在漏洞；相關(guān)服務(wù)器不能記錄敏感操作，或者相關(guān)日志功能沒有啟用或不夠詳細(xì)；不能提供帳號權(quán)限管理功能，不能提供賬號修改界面；不能支持密碼復(fù)雜度檢測，或者密碼未采用 hash函數(shù)保存，而采用明文保存;業(yè)務(wù)流程設(shè)計方面的漏洞導(dǎo)致業(yè)務(wù)信息泄露和被濫用等。數(shù)據(jù)安全方面存在的脆弱性數(shù)據(jù)脆弱性，主要有以下幾點：數(shù)據(jù)傳輸未加密，容易被竊取、篡改；數(shù)據(jù)明文保存或者訪問控制不嚴(yán)，存儲介質(zhì)保護(hù)不力等。其它IDC業(yè)務(wù)系統(tǒng)中管理層面還可能具有人員安全意識、 無法阻止托管設(shè)備運行監(jiān)聽、攻擊軟件以及缺乏容災(zāi)備份的對應(yīng)措施等脆弱性。IDC安全防護(hù)需求結(jié)合以上IDC的威脅分析和脆弱性分析，IDC的安全防護(hù)需求具體包括以下幾點：根據(jù)系統(tǒng)價值、功能、業(yè)務(wù)特性，實施分區(qū)防護(hù)及邊界訪問控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全要求保證物理環(huán)境安全、設(shè)備安全以及媒體安全；保證網(wǎng)絡(luò)層所涉及的網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)的安全；保證系統(tǒng)層所涉及的操作系統(tǒng)、系統(tǒng)服務(wù)的安全；保證應(yīng)用層高可用性、業(yè)務(wù)連續(xù)性要求；保證各類數(shù)據(jù)的完整性和保密性要求；保證IDC應(yīng)用符合國家法律法規(guī)的相關(guān)安全措施。安全防護(hù)要求充分考慮上述安全威脅和主要風(fēng)險， 從組網(wǎng)安全、設(shè)備自身安全以及部署專用安全防護(hù)設(shè)備、實現(xiàn)集中安全管理四個層面，提出符合“集中防護(hù)、縱深防御、靈活配置”原則的中國移動IDC安全防護(hù)技術(shù)體系。針對國家對于IDC增值業(yè)務(wù)商的管控要求，以及IDC用戶要求差異化特點，IDC安全防護(hù)技術(shù)體系服務(wù)能力區(qū)分為強(qiáng)制性部署的免費基礎(chǔ)性安全服務(wù)和滿足客戶差異化需求的增值安全服務(wù)。強(qiáng)制部署的防護(hù)手段，如物理安全、 公共防火墻、不良信息檢測與封堵系統(tǒng)、網(wǎng)站備案系統(tǒng)，為IDC用戶提供基礎(chǔ)性安全服務(wù)，不向 IDC客戶單獨收取費用。增值性安全服務(wù)部分，如流量監(jiān)控（抗 DDOS攻擊）、防火墻、具備虛擬功能的入侵檢測系統(tǒng)、網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)、 綜合安全管控系統(tǒng)、各類漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)以及安全加固服務(wù)等等，為有需求客戶提供有償?shù)牟町惢?wù)。為提高中國移動IDC相對于其它對手的競爭優(yōu)勢，可以根據(jù)業(yè)務(wù)發(fā)展策略、 IDC經(jīng)營需要，適時地將增值性安全服務(wù)中的部分內(nèi)容轉(zhuǎn)化為免費的基礎(chǔ)性安全服務(wù)。物理安全要求物理的安全防護(hù)部署包含以下幾點：供電系統(tǒng)：部署雙路電源、關(guān)鍵設(shè)備前部署 UPS有條件的IDC部署應(yīng)急發(fā)電系統(tǒng)；消防系統(tǒng)：按照消防要求部署防火裝置，并定期檢查其有效性；安保系統(tǒng)：安裝門禁系統(tǒng)，采用IC卡或者指紋識別方法鑒別進(jìn)出入人員， 另外對臨時出入管理也需要指定相應(yīng)的登記、審批制度，并定期分析出入人員情況；配線系統(tǒng)：按照綜合布線規(guī)范配線，保證質(zhì)量和連通性；照明系統(tǒng)：按照監(jiān)控管理業(yè)務(wù)要求部署照明系統(tǒng)；制冷系統(tǒng)：按照機(jī)房環(huán)境要求進(jìn)行空調(diào)、除濕系統(tǒng)部署；監(jiān)控系統(tǒng)：按照IDC安防要求部署監(jiān)控系統(tǒng)，實施通過攝像頭等系統(tǒng)對關(guān)鍵區(qū)監(jiān)控，監(jiān)控錄像按照管理要求留存一定時間。IDC安全域劃分及防護(hù)部署根據(jù)業(yè)務(wù)保障原則、結(jié)構(gòu)簡化原則、等級保護(hù)原則和生命周期原則，IDC內(nèi)部可劃分為以下主要的安全域：互聯(lián)網(wǎng)接入域、?；饏^(qū)、核心匯聚域、業(yè)務(wù)域、日常操作維護(hù)區(qū)、第三方接入?yún)^(qū)和管理服務(wù)區(qū)。對于基礎(chǔ)區(qū)和增值區(qū)（擴(kuò)展區(qū)）通過不同的匯聚交換機(jī)上連到互聯(lián)網(wǎng)接入域的情形， 單獨在增值區(qū)和擴(kuò)展區(qū)的匯聚交換機(jī)上部署支持虛擬功能的防火墻、 IDS等設(shè)備（圖7-1）:

Internetiiiu明接人域入厘稅口亞他講苛力防火情Portal域心T?域王點文投機(jī)箱也曲學(xué)域Portal擴(kuò)屐比畀草，，＜為Internetiiiu明接人域入厘稅口亞他講苛力防火情Portal域心T?域王點文投機(jī)箱也曲學(xué)域Portal擴(kuò)屐比畀草，，＜為自有業(yè)務(wù)評理陽勢恢正常操作緡護(hù)岫第三方送入桃模心克里域7-1IDC安全域劃分邏輯圖對于基礎(chǔ)區(qū)和增值區(qū)、擴(kuò)展區(qū)通過物理上相同的一組匯聚交換機(jī)上連到互聯(lián)網(wǎng)接入域的情形，在匯聚交換機(jī)上部署支持虛擬功能的防火墻、 IDS等設(shè)備，并對虛擬出的增值區(qū)、擴(kuò)展區(qū)匯聚交換機(jī)部署防火墻、入侵監(jiān)測策略，具體安全域劃分如圖 7-2所示：IntCrnct停火國防火墻匯聚交換機(jī)琳女婿 杈心匯聚域Portal|靠匕口全土機(jī) …巖汽空投劉■■■-2?上--;第:考區(qū)人區(qū):LIntCrnct?；饑阑饓R聚交換機(jī)琳女婿 杈心匯聚域Portal|靠匕口全土機(jī) …巖汽空投劉■■■-2?上--;第:考區(qū)人區(qū):L曾理服務(wù)區(qū)阿火藤洞常揉作簿護(hù)區(qū)Portal自壬一j匯聚交裁機(jī)W岫匕器有給士機(jī)互聯(lián)網(wǎng)接入此-IP勞域第三方業(yè)界喊7-2IDC安全域劃分邏輯圖互聯(lián)網(wǎng)接入域互聯(lián)網(wǎng)接入域是IDC與互聯(lián)網(wǎng)連接的出口，提供高速可靠的連接，包括足夠的帶寬、高可靠的網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備冗余備份等。對外與外部網(wǎng)絡(luò)以及其它系統(tǒng)互聯(lián)， 實現(xiàn)高速連接以及路由選擇和分發(fā)功能，是IDC的集中入口，過濾一些來自 Internet的不安全因素。針對常見的DDOS攻擊，需要在IDC出口或者連入的CMNet省網(wǎng)或者骨干網(wǎng)上部署異常流量監(jiān)測及過濾設(shè)備。1）分級部署異常流量監(jiān)測及過濾設(shè)備按照《中國移動互聯(lián)網(wǎng)安全防護(hù)體系技術(shù)要求》總體規(guī)劃， CMNet國際出入口、骨干網(wǎng)層面運營商之間互聯(lián)網(wǎng)出入口以及骨干網(wǎng)匯聚節(jié)點均會部署異常流量監(jiān)測及過濾系統(tǒng)，僵木蠕惡意代碼監(jiān)測系統(tǒng)， 監(jiān)測來自國際、國內(nèi)其它運營商以及其它CMNet省網(wǎng)的攻擊流量，對全網(wǎng)重要系統(tǒng)、IDC進(jìn)行防護(hù)。為此，各省公司需要向總＞部提供相關(guān) IDC分配的IP地址等基礎(chǔ)信息。為防范來自省網(wǎng)內(nèi)部、省內(nèi)直聯(lián)的 DDoS攻擊，在各IDC上連的省網(wǎng)出入口位置集中部署抗拒絕服務(wù)攻擊設(shè)備，為省內(nèi)所有 IDC以及重要互聯(lián)網(wǎng)接入客戶集中提供抗拒絕攻擊服務(wù)。為此，各IDC需要向省公司提供相關(guān)IDC分配的IP地址等基礎(chǔ)信息。對于抗拒絕服務(wù)攻擊業(yè)務(wù)需求較強(qiáng)、 有大型或者重要客戶的IDC,在省網(wǎng)集中部署的抗拒絕服務(wù)攻擊設(shè)備無法滿足響應(yīng)速度、 不能準(zhǔn)確提供自動阻斷、不能配置客戶業(yè)務(wù)特征進(jìn)行準(zhǔn)確監(jiān)測的情況， 經(jīng)省公司相關(guān)部門進(jìn)行綜合評判， 可以進(jìn)一步在IDC出口部署抗拒絕服務(wù)攻擊設(shè)備。監(jiān)測到異常流量攻擊后，抗拒絕服務(wù)攻擊設(shè)備進(jìn)行異常流量過濾， 將過濾后的正常業(yè)務(wù)流量重新注入網(wǎng)絡(luò)中。為預(yù)防IDC內(nèi)部SP/CP利用移動的IP等資源對外發(fā)起惡意攻擊，同時監(jiān)測來自IDC的上行流量，將IDC內(nèi)部發(fā)起的異常流量過濾后再發(fā)布到公網(wǎng)上。停火區(qū)邏輯上，?；饏^(qū)連接互聯(lián)網(wǎng)與 IDC內(nèi)部網(wǎng)絡(luò)，該區(qū)域內(nèi)一般放置對外發(fā)布數(shù)據(jù)的 Web服務(wù)器。外部用戶可以通過互聯(lián)網(wǎng)接入域， 直接訪問停火區(qū)內(nèi)的服務(wù)器， 但不能直接訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫，起到安全緩沖區(qū)作用。為滿足一些特殊用戶需求，特別是一些單獨擁有業(yè)務(wù)域 VLAN和自有設(shè)備的大客戶，可以由用戶自己組網(wǎng)， 允許此類用戶將對外發(fā)布數(shù)據(jù)的服務(wù)器放在業(yè)務(wù)區(qū)域內(nèi)， 但應(yīng)通過邊界防火墻限制這類用戶訪問其它業(yè)務(wù)區(qū)域內(nèi)的設(shè)備。?；饏^(qū)需要部署如下安全設(shè)備：支持虛擬功能的入侵檢測設(shè)備 （含IDS,IPS）,為需要該類防護(hù)服務(wù)的業(yè)務(wù)提供定制化的監(jiān)測防護(hù)能力，監(jiān)測、防止來自互聯(lián)網(wǎng)的惡意攻擊；鑒于IDC第三方應(yīng)用的復(fù)雜性、多邊性，建議采用 IDS。部署Web篡改防護(hù)設(shè)備，防止網(wǎng)頁篡改和信息泄露。其中，針對自有 WEB類業(yè)務(wù)系統(tǒng)所有WEB服務(wù)器，優(yōu)先部署軟件型網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)產(chǎn)品，以實現(xiàn)更強(qiáng)的防護(hù)能力。針對用戶設(shè)備不能安裝軟件型網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)設(shè)備客戶端的情況，優(yōu)先部署獨立、外置的硬件型網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)設(shè)備（即業(yè)界所稱的網(wǎng)頁防火墻），實現(xiàn)基于會話的網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)和防信息泄漏部分監(jiān)測防護(hù)能力；針對其中的Windows類平臺部署網(wǎng)絡(luò)版防病毒系統(tǒng)，并通過集團(tuán)公司統(tǒng)一建設(shè)的防病毒系統(tǒng)集中升級出口進(jìn)行自動、集中升級；同時，在?；饏^(qū)內(nèi)部也要部署綜合安全管控平臺的互聯(lián)網(wǎng)專用 Portal、VPN網(wǎng)關(guān)、堡壘主機(jī)等設(shè)備，滿足維護(hù)人員以及IDC客戶遠(yuǎn)程管理所屬系統(tǒng)的需求。核心匯聚域核心匯聚域主要負(fù)責(zé)IDC業(yè)務(wù)域?qū)ν膺B接和內(nèi)部數(shù)據(jù)流的匯聚。核心匯聚域由匯聚層交換機(jī)和核心路由器構(gòu)成， 是多臺業(yè)務(wù)接入交換機(jī)的匯聚點， 并提供到互聯(lián)網(wǎng)接入域的上行鏈路。它作為各個業(yè)務(wù)模塊的匯聚層，針對各個業(yè)務(wù)系統(tǒng)的需求，按照業(yè)務(wù)系統(tǒng)劃分區(qū)域，對相關(guān)的業(yè)務(wù)區(qū)域提供基礎(chǔ)的安全保障。需要部署的安全設(shè)備有：2）支持虛擬功能的雙重異構(gòu)防火墻部署支持虛擬功能的雙重異構(gòu)（不同品牌，確保不會因為某一品牌防火墻操作系統(tǒng)漏洞導(dǎo)致同時失效）防火墻，隔離互聯(lián)網(wǎng)與停火區(qū)和內(nèi)部網(wǎng)絡(luò)。 。在防火墻策略設(shè)置上，外層防火墻側(cè)重實施粗粒度訪問控制， 內(nèi)層防火墻側(cè)重針對特定系統(tǒng)實施細(xì)粒度的訪問控制， 針對業(yè)務(wù)區(qū)域不同需求提供定制化的訪問控制能力。如果IDC匯聚層對業(yè)務(wù)層基礎(chǔ)區(qū)、增值區(qū)、擴(kuò)展區(qū)部署不同的匯聚交換機(jī)，則僅僅在增值區(qū)、擴(kuò)展區(qū)的匯聚交換機(jī)上部署防火墻。如果匯聚層針對業(yè)務(wù)層基礎(chǔ)區(qū)、 增值區(qū)、擴(kuò)展區(qū)合設(shè)匯聚交換機(jī)，那么只針對為增值區(qū)、擴(kuò)展區(qū)虛擬出的邏輯匯聚交換機(jī)部署防火墻策略。3）支持虛擬功能的入侵監(jiān)測系統(tǒng)在各核心匯聚域交換機(jī)鏡像端口，部署支持虛擬功能的入侵檢測設(shè)備，針對IDC內(nèi)部系統(tǒng)之間的相互攻擊以及部分來自互聯(lián)網(wǎng)的入侵攻擊行為進(jìn)行監(jiān)測。如果IDC匯聚層對業(yè)務(wù)層基礎(chǔ)區(qū)、增值區(qū)、擴(kuò)展區(qū)部署不同的匯聚交換機(jī)，則僅僅在增值區(qū)、擴(kuò)展區(qū)的匯聚交換機(jī)上部署支持虛擬功能的入侵監(jiān)測系統(tǒng)。如果匯聚層針對業(yè)務(wù)層基礎(chǔ)區(qū)、 增值區(qū)、擴(kuò)展區(qū)合設(shè)匯聚交換機(jī)，那么只針對為增值區(qū)、擴(kuò)展區(qū)虛擬出的邏輯匯聚交換機(jī)部署支持虛擬功能的入侵監(jiān)測系統(tǒng)，為增值區(qū)、擴(kuò)展區(qū)和自有業(yè)務(wù)虛擬出專用入侵監(jiān)測系統(tǒng)。原則上，IDC優(yōu)先建設(shè)?；饏^(qū)的入侵監(jiān)測系統(tǒng)（IDS）或入侵防護(hù)系統(tǒng)（IPS）。核心匯聚域可通過物理隔離的方式， 實現(xiàn)各個業(yè)務(wù)區(qū)域之間的隔離； 也可通過在防火墻上設(shè)定安全訪問控制策略實現(xiàn)各個業(yè)務(wù)域的隔離。業(yè)務(wù)域業(yè)務(wù)域由接入交換機(jī)和各業(yè)務(wù)系統(tǒng)的服務(wù)器、 存儲設(shè)備等組成，根據(jù)安全管理的可控性不同，業(yè)務(wù)域可以劃分為移動自有業(yè)務(wù)域和第三方業(yè)務(wù)域。移動自有業(yè)務(wù)域為中國移動提供 IDC業(yè)務(wù)，例如門戶網(wǎng)站的核心設(shè)備、自有業(yè)務(wù)系統(tǒng)核心設(shè)備等。此區(qū)域的主機(jī)及超級終端可管控性強(qiáng)。第三方業(yè)務(wù)域指對外提供 IDC業(yè)務(wù)的區(qū)域，根據(jù)安全需求的不同，可分為基礎(chǔ)區(qū)、增值區(qū)和擴(kuò)展區(qū)三個區(qū)域：基礎(chǔ)區(qū)通過普通接入（不需要經(jīng)過防火墻）連接到CMNET網(wǎng)絡(luò)。在該區(qū)域的服務(wù)器設(shè)備通過業(yè)務(wù)接入層交換機(jī)上聯(lián)到匯聚層交換機(jī)，經(jīng)過 IDC核心路由器和CMNET實現(xiàn)互聯(lián)。用戶擁有自己的業(yè)務(wù)設(shè)備，例如：帶寬管理設(shè)備、防火墻、負(fù)載均衡設(shè)備、4層/7層智能服務(wù)設(shè)備等。用戶僅需要從 IDC租用固定帶寬和機(jī)位機(jī)架的服務(wù)。該區(qū)域一用于開展 IDC主機(jī)托管、帶寬租賃、主機(jī)租賃等基礎(chǔ)業(yè)務(wù)。增值區(qū)是圍繞IDC數(shù)據(jù)中心業(yè)務(wù)開展的其它增值類附屬業(yè)務(wù)的區(qū)域。該區(qū)域通過防火墻、IDS等安全設(shè)備連接到CMNET網(wǎng)絡(luò)。用戶需要使用IDC提供的增值服務(wù)設(shè)備，例如：防火墻、負(fù)載均衡設(shè)備、 4層/7層智能服務(wù)設(shè)備等。該區(qū)域除了提供基礎(chǔ)區(qū)的業(yè)務(wù)外，還可以提供防火墻出租、服務(wù)器監(jiān)控、存儲出租、入侵監(jiān)測、流量監(jiān)控與過濾、網(wǎng)頁篡改防護(hù)、遠(yuǎn)程接入管控等增值業(yè)務(wù)。根據(jù)《中國移動IDC總體技術(shù)要求》擴(kuò)展區(qū)是為了 IDC的業(yè)務(wù)擴(kuò)展性而設(shè)計的，通過防火墻、IDS等安全設(shè)備連接到CMNET網(wǎng)絡(luò)，并提供專線接入服務(wù)，實現(xiàn)與集團(tuán)客戶內(nèi)部網(wǎng)絡(luò)的互連。設(shè)置擴(kuò)展區(qū)有兩點考慮：一是建設(shè)方可以將一些不適合放在基礎(chǔ)區(qū)或者增值區(qū)的業(yè)務(wù)系統(tǒng)放入擴(kuò)展區(qū)， 如大型集團(tuán)客戶；另外一方面根據(jù)IDC業(yè)務(wù)發(fā)展的需求，在IDC里面不斷涌現(xiàn)各種對網(wǎng)絡(luò)架構(gòu)或者安全管理有特殊需求的新業(yè)務(wù)。這類新業(yè)務(wù)放入基礎(chǔ)區(qū)或者增值區(qū)不適合的時候， 可以建立擴(kuò)展區(qū)域。如果暫時沒有建設(shè)擴(kuò)展區(qū)的需求， 只需在互聯(lián)網(wǎng)接入層的出口路由器上預(yù)留帶寬、接口即可。業(yè)務(wù)域的具體安全防護(hù)部署如下：移動自有業(yè)務(wù)域，需要保證網(wǎng)絡(luò)本身的高可靠性及與第三方區(qū)域的嚴(yán)格隔離。 根據(jù)自有業(yè)務(wù)的安全需求，需要部署物理安全設(shè)施，采用 IDC統(tǒng)一部署、支持虛擬功能的雙層異構(gòu)防火墻，集中化的不良信息檢測與封堵系統(tǒng)， 網(wǎng)站備案系統(tǒng)，流量監(jiān)控和過濾系統(tǒng)，支持虛擬功能的入侵檢測系統(tǒng)，通用或者 WEB漏洞掃描，網(wǎng)絡(luò)版防病毒系統(tǒng)，軟件型網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)以及綜合安全管控平臺進(jìn)行防護(hù)。第三方業(yè)務(wù)域根據(jù)客戶不同的安全需求，需要部署不同的防護(hù)，防護(hù)措施如下：基礎(chǔ)區(qū)：針對基礎(chǔ)業(yè)務(wù)區(qū)，主要保證網(wǎng)絡(luò)本身的高可靠及與其它業(yè)務(wù)區(qū)域的隔離?；A(chǔ)區(qū)提供傳統(tǒng)的IDC業(yè)務(wù)，具有基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，只為客戶提供基礎(chǔ)的網(wǎng)絡(luò)連接和基本的物理機(jī)房資源。針對國家以及中國移動對于 IDC業(yè)務(wù)的安全要求，一般要強(qiáng)制部署的安全防護(hù)包括：物理安全設(shè)施、不良信息檢測與封堵系統(tǒng)、 網(wǎng)站備案系統(tǒng)等。這些防護(hù)是IDC按照國家要求、行業(yè)標(biāo)準(zhǔn)為用戶提供的基礎(chǔ)性安全服務(wù)，同時，提供基于客戶的流量監(jiān)控服務(wù)，以便及時發(fā)現(xiàn)流量異常，通知客戶處理。用戶擁有自己的業(yè)務(wù)設(shè)備，例如：帶寬管理設(shè)備、防火墻、負(fù)載均衡設(shè)備、 4層/7層智能服務(wù)設(shè)備等。用戶僅需要從IDC租用固定帶寬和機(jī)位機(jī)架的服務(wù)。增值區(qū)：該區(qū)域通過防火墻、IDS等安全設(shè)備連接到CMNET網(wǎng)絡(luò)。根據(jù)不同客戶業(yè)務(wù)需求，在部署物理安全設(shè)施、不良信息檢測、 封堵等基礎(chǔ)性安全防護(hù)之上，提供增值性安全性服務(wù)，如流量監(jiān)控、流量過濾（抗 DDoS攻擊）、支持虛擬功能的雙層異構(gòu)防火墻、具備虛擬功能的入侵檢測系統(tǒng)、 負(fù)載均衡設(shè)備、綜合安全管控系統(tǒng)、各類漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)，硬件型網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)， 也可以根據(jù)部分用戶需求，部署軟件型網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)， 提高防篡改能力，同時，可以基于用戶需求提供安全加固服務(wù)等等。 除了提供上述服務(wù)外，還需要開展服務(wù)器監(jiān)控、存儲出租等增值業(yè)務(wù)。擴(kuò)展區(qū)：該區(qū)域通過防火墻、IDS等安全設(shè)備連接到CMNET網(wǎng)絡(luò)，并提供專線接入服務(wù)，實現(xiàn)與集團(tuán)客戶內(nèi)部網(wǎng)絡(luò)的互連。擴(kuò)展區(qū)的安全需求，原則上可根據(jù)業(yè)務(wù)類型靈活定制。建議擴(kuò)展區(qū)的安全防護(hù)參照增值區(qū)的防護(hù)方式來部署。 功能區(qū)域除了提供功能增值區(qū)業(yè)務(wù)外，還用于開展集團(tuán)專線接入業(yè)務(wù)。需要特別指出的，用戶如需要特定的防護(hù)策略來控制自己業(yè)務(wù)的訪問權(quán)限， 可以對IDC提出需求，IDC維護(hù)人員可在異構(gòu)防火墻的內(nèi)側(cè)防火墻設(shè)置滿足用戶需求的相應(yīng)策略； 用戶也可以自己在所屬業(yè)務(wù)系統(tǒng)VLAN邊界部署防火墻設(shè)定所需的訪問策略。業(yè)務(wù)域的具體防護(hù)部署如表 7-1所示。表7-1基礎(chǔ)和可選的防護(hù)部署自有業(yè)務(wù)區(qū)自有業(yè)務(wù)區(qū)基礎(chǔ)物理安全設(shè)施；具有高速、可用的網(wǎng)絡(luò)連接；提供公共防火墻防護(hù)；提供不良信息的檢測和封堵防護(hù)；提供網(wǎng)站備案功能；提供流量監(jiān)控系統(tǒng)（抗DDoSR統(tǒng)）；提供具備虛擬功能的入侵檢測系統(tǒng)；提供網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)系統(tǒng)；提供綜合安全管控系統(tǒng)；提供漏洞掃描系統(tǒng)；提供網(wǎng)絡(luò)版防病毒系統(tǒng)。安全虛擬機(jī)。提供安全評估和加固服務(wù)。第基礎(chǔ)區(qū)基礎(chǔ)網(wǎng)絡(luò)連接局可用、局速，網(wǎng)絡(luò)設(shè)備端口；物理安全設(shè)施；提供不良信息的檢測和封堵防護(hù)；提供網(wǎng)站備案功能。增值區(qū)基礎(chǔ)物理安全設(shè)施；具有高速、可用的網(wǎng)絡(luò)連接；提供公共防火墻防護(hù)；提供不良信息的檢測和封堵防護(hù)；方業(yè)務(wù)區(qū)提供網(wǎng)站備案功能；可選提供流量監(jiān)控服務(wù)（抗DDoS（統(tǒng)）；提供具備虛擬功能的入侵檢測服務(wù)；提供網(wǎng)頁篡改及網(wǎng)頁信息安全防護(hù)改服務(wù)；提供綜合安全管控服務(wù)；提供漏洞掃描服務(wù)；提供網(wǎng)絡(luò)版防病毒系統(tǒng)服務(wù)。安全虛擬機(jī)；提供安全評估和加固服務(wù)。擴(kuò)展區(qū)基礎(chǔ)同增值區(qū)基礎(chǔ)防護(hù)?？蛇x同增值區(qū)可選防護(hù)。日常操作維護(hù)區(qū)日常操作維護(hù)區(qū)是移動員工對 IDC各類系統(tǒng)進(jìn)行管理的工作區(qū)域，該區(qū)域應(yīng)重點加強(qiáng)中國移動IDC維護(hù)人員訪問IDC設(shè)備、資源時的集中化的安全認(rèn)證、訪問控制、日志審計能力，并防范病毒擴(kuò)散。具體的防護(hù)措施如下：在該區(qū)域和IDC業(yè)務(wù)域及其它區(qū)域之間的唯一接口位置，即該區(qū)域內(nèi)交換機(jī)與 IDC匯聚交換機(jī)之間，部署防火墻、 綜合安全管控平臺堡壘主機(jī)， 進(jìn)行訪問控制，結(jié)合綜合安全管控平臺內(nèi)部Portal,實現(xiàn)用戶帳號管理、權(quán)限管理、密碼管理、一次登錄、資源發(fā)布和安全審計等功能。具體實踐中，可以將該區(qū)域放在 IDC內(nèi)部，通過核心匯聚層管理IDC各區(qū)域的基礎(chǔ)設(shè)施以及部分用戶的設(shè)備。也可以單獨部署在獨立于 IDC的區(qū)域，通過互聯(lián)網(wǎng)接入域或者專線接入到IDC,并接受防火墻、綜合安全管控平臺的管理。第三方接入?yún)^(qū)第三方接入?yún)^(qū)是IDC客戶和IDC技術(shù)支撐廠家人員專線方式遠(yuǎn)程接入及在 IDC本地的工作區(qū)域，該區(qū)域的具體防護(hù)措施如下：客戶人員可以本地維護(hù)， 也可部署遠(yuǎn)程專線接入進(jìn)行維護(hù)， 其操作均需要通過部署在該區(qū)域與其它區(qū)域之間的唯一接口之間，即該區(qū)域內(nèi)交換機(jī)與 IDC匯聚交換機(jī)之間鏈路上的綜合安全管控平臺堡壘主機(jī)設(shè)備進(jìn)行嚴(yán)格的訪問控制、 日志審計，才能訪問其所屬系統(tǒng)；該區(qū)域與日常操作維護(hù)區(qū)隔離。注：第三方人員通過互聯(lián)網(wǎng)遠(yuǎn)程維護(hù)時， 獨立于第三方接入?yún)^(qū)， 由互聯(lián)網(wǎng)接入域和停火區(qū)的防火墻、VPM口安全管控平臺堡壘主機(jī)進(jìn)行控制。對于業(yè)務(wù)域基礎(chǔ)區(qū)的客戶，可以直接通過互聯(lián)網(wǎng)訪問。具體實踐中，可以將該區(qū)域放在 IDC內(nèi)部，通過核心匯聚層管理IDC各區(qū)域的基礎(chǔ)設(shè)施以及部分用戶的設(shè)備。也可以單獨部署在獨立于 IDC的區(qū)域，通過互聯(lián)網(wǎng)接入域或者專線接入到IDC,并接受防火墻、綜合安全管控平臺的管理。管理服務(wù)區(qū)在在管理服務(wù)區(qū)邊界，主要是與核心匯聚域之間鏈路， 部署防火墻，并在?；饏^(qū)內(nèi)部署綜合安全管控平臺堡壘主機(jī)、 Portal等設(shè)備，內(nèi)外部維護(hù)人員均需要通過該區(qū)域的 Portal設(shè)備才能訪問所屬業(yè)務(wù)系統(tǒng)以及管理服務(wù)域中的設(shè)備。管理服務(wù)區(qū)的 Portal,為日常操作維護(hù)區(qū)和第三方接入?yún)^(qū)人員接入管控平臺所使用，可以分開部署也可統(tǒng)一部署。設(shè)備自身安全和安全配置要求結(jié)合IDC數(shù)據(jù)中心業(yè)務(wù)復(fù)雜性以及業(yè)務(wù)多樣性，設(shè)備安全、軟件系統(tǒng)的安全配置參考IDC建設(shè)方和托管方的安全需求進(jìn)行。IDC中心基礎(chǔ)設(shè)施、管理類軟件系統(tǒng)等參考“中國移動設(shè)備通用安全功能和配置規(guī)范”

系列標(biāo)準(zhǔn)以及國家相關(guān)安全標(biāo)準(zhǔn)進(jìn)行安全配置， 被托管設(shè)備安全配置除了參考國家相關(guān)安全標(biāo)準(zhǔn)外，還需考慮被托管單位安全建設(shè)要求進(jìn)行。集中化安全管理技術(shù)要求綜合安全管控逐步建立可以支撐IDC日常安全管理工作的綜合安全管控平臺（可以獨立建設(shè)，也可

以與各省公司業(yè)已規(guī)劃建設(shè)的綜合安全管控平臺合設(shè)） ，實現(xiàn)綜合維護(hù)接入、帳號口令管理、日志審計、安全合規(guī)、安全事件關(guān)聯(lián)分析及監(jiān)控等功能， 初期重點實現(xiàn)綜合維護(hù)接入、帳號口令管理、日志審計三大功能，即綜合安全管控平臺一階段一一安全管控平臺的基本功能。為了避免用戶非授權(quán)的訪問以及對網(wǎng)絡(luò)的濫用， 應(yīng)重點在互聯(lián)網(wǎng)接入域和?；饏^(qū)， 以及日常操作維護(hù)區(qū)、第三方接入?yún)^(qū)與核心匯聚域之間部署綜合安全管控平臺的安全網(wǎng)關(guān)類設(shè)備，實現(xiàn)如下功能：可實現(xiàn)基于用戶名、用戶組、訪問時間、訪問對象等策略的權(quán)限精確管理；實現(xiàn)網(wǎng)絡(luò)層用戶訪問日志記錄；支持包括短信認(rèn)證、靜態(tài)強(qiáng)口令認(rèn)證等。IDC運營部門應(yīng)獨立開展7X24小時的安全監(jiān)控，或者將IDC安全監(jiān)控納入省公司集中建設(shè)的綜合安全管控平臺，利用管控平臺安全事件關(guān)聯(lián)分析功能，及時發(fā)現(xiàn)重要安全事件，結(jié)合集中告警平臺開展實時監(jiān)控。監(jiān)控的主要內(nèi)容包括：網(wǎng)站中尤其是BBS社區(qū)等的不良內(nèi)容發(fā)布、用戶訪問不良信息的情況；DDOS擊監(jiān)測；僵尸木馬監(jiān)測；病毒情況監(jiān)測；入侵監(jiān)測；利用系統(tǒng)或者管理漏洞開展的其它攻擊類型監(jiān)測。安全掃描開展制度化的安全掃描，及時發(fā)現(xiàn)安全漏洞隱患，根據(jù)系統(tǒng)維護(hù)歸屬，敦促整改。安全掃描主要包括主機(jī)系統(tǒng)漏洞掃描， WEB應(yīng)用漏洞掃描，掛馬事件掃描等，優(yōu)選采用集團(tuán)公司或者省公司統(tǒng)一購置的各類掃描器進(jìn)行日常掃描工作， 如屬于獨立運營，必要時可以單獨采購相關(guān)設(shè)備。安全組織、標(biāo)準(zhǔn)要求IDC運營團(tuán)隊?wèi)?yīng)建立責(zé)任分工明確、 流程順暢、動作規(guī)范的組織隊伍， 開展規(guī)范化安全運行管理：組織安全管理組織架構(gòu)設(shè)計應(yīng)對安全管理機(jī)構(gòu)的組織結(jié)構(gòu)、 崗位及職責(zé)、人員配備數(shù)量、人員素質(zhì)及技能保證等方面提出具體的說明。標(biāo)準(zhǔn)建立IDC管理的規(guī)章制度包括但不限于管理制度、崗位職責(zé)，以及一些質(zhì)量管理體系的要求。制定規(guī)章制度，還需要有詳細(xì)的工作流程規(guī)范，以明確規(guī)定一些日常工作的工作流程,將經(jīng)常出現(xiàn)錯誤或者容易忽視的問題總結(jié)出來。重點建立執(zhí)行網(wǎng)站備案、內(nèi)容審核、日常監(jiān)控、事件應(yīng)急響應(yīng)等流程。嚴(yán)格執(zhí)行IDC基礎(chǔ)信息資源管理，如對IP地址、端口、機(jī)架、安全域、客戶基礎(chǔ)信息等的管理?？蓪嵤┑谋O(jiān)督考核體系在建立規(guī)章制度后，更應(yīng)強(qiáng)調(diào)的是加強(qiáng)監(jiān)督考核機(jī)制，定期檢查、明確責(zé)任。IDC安全防護(hù)體系建設(shè)思路本規(guī)范描述了IDC中的特點、安全要求等，可據(jù)此指導(dǎo) IDC的安全建設(shè)，原則上所有IDC建設(shè)都應(yīng)該滿足本要求。1、已建IDC由于客戶應(yīng)用已經(jīng)投入運行，宜按照本規(guī)范要求，結(jié)合 IDC改擴(kuò)建規(guī)劃、客戶應(yīng)用系統(tǒng)升級改造等機(jī)會，分次分批調(diào)整安全域劃分方式；補充完善安全防護(hù)手段；完善安全管理體系，細(xì)化面向同步規(guī)劃、同步建設(shè)、同步運行的安全維護(hù)手冊，通過責(zé)任落實、監(jiān)督考核、滾動檢查整改、安全生產(chǎn)分析等常態(tài)化安全生產(chǎn)機(jī)制的建立，確保IDC長期安全運行；隨著IDC設(shè)備和應(yīng)用系統(tǒng)的不斷增加和變化，可能會出現(xiàn)新的安全漏洞等，要定期或不定期的對IDC系統(tǒng)進(jìn)行檢查和升級。2、新建IDC按照本規(guī)范要求，在IDC規(guī)劃初期，導(dǎo)入安全域分區(qū)相關(guān)方法，先于具體應(yīng)用系統(tǒng)的部署建立架構(gòu)可控、擴(kuò)展性強(qiáng)、長期穩(wěn)定的“安全島”網(wǎng)絡(luò)基礎(chǔ)設(shè)施；建立綜合安全管控平臺或者納入省公司統(tǒng)一建設(shè)的綜合安全管控平臺， 根據(jù)國家政策或者客戶需要，區(qū)分基礎(chǔ)和可選兩大類，部署完善的安全防護(hù)手段；建立高起點的信息安全管理體系，細(xì)化面向同步規(guī)劃、同步建設(shè)、同步運行的安全手冊，配備專職安全管