IMS信息安全术规范.docVIP

IMS信息安全技术规范 类别1： 中国移动防火墙部署总体技术要求： 要求内容： 一、集中防护原则 以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位，统一考虑节点内所有网络系统的边界访问控制。节点内部，划分核心生产区、日常维护区、停火区（DMZ区）等等，通过VLAN划分实现不同区域系统间的隔离。从而彻底改变分系统防护的传统模式，实现集中化防护。 二、等级保护原则 不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。在国家等级保护标准当中，除考虑系统的实际等级以外，还考虑了相关部门的监管需求。此外，由于系统防护技术的等级差别有限，部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求，各受保护系统都需要。因此在实际实践中，我们并不需要进行过于理论化的计算，能够区分高中低三种不同的防护需求即可。 根据系统划分的等级，高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统在视其边界复杂程度，网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。 三、与业务特殊需求一致原则 对防火墙功能有特殊需求的业务系统，如GPRS BG接口防火墙需要支持GTP协议，可以在边界集中防火墙内部署第二层防火墙、IDS系统，实现深度保护。 四、与边界威胁一致原则 由于不同系统的开放