中国移动支撑系统安全域划分与边界技术要求.docx

中国移动支撑系统安全域划分与边界整合技术要求

中国移动通信企业标准

QB-W-001-2005

中国移动支撑系统安全域划分与边界整合技术要求

TechnicalSpecificationofSecureDomainandBoundaryConvergenceforSupportingSystems

版本号：1.0.0

【网络与信息安全规范】·【第二层：技术规范·安全域】·【第2503号】

2007-12-14发布 2008-01-01实施

中国移动通信集团公司 发布

目 次

前言 1

适用范围 3

引用标准与依据 3

相关术语与缩略语 5

综述 7

背景 9

本要求的范围和主要内容 11

安全域划分的必要性和原则 12

安全域划分的必要性 13

各安全域的威胁等级分析 15

支撑系统的保护等级分析 19

资产价值赋值 21

安全需求赋值 23

支撑系统的赋值 24

安全域划分的原则 25

安全域划分的根本原则 25

安全域划分方法 26

网络调整 30

广域网 30

局域网 30

5.5.3 终端 32

各支撑系统的安全域划分 35

业务支撑系统的安全域划分 37

网管系统系统的安全域划分 39

企业信息化系统的安全域划分 40

边界整合的原则 43

各支撑系统对外的边界整合 44

与互联网的边界整合 44

与合作伙伴的边界整合 46

与第三方的边界整合 47

各支撑系统之间的边界整合 48

业务支撑系统的边界整合 49

网管系统的边界整合 52

企业信息化系统的边界整合 53

安全域保护的原则 55

安全域边界的保护原则 56

安全域互访的风险分析 57

安全域互访的原则 58

安全域边界的保护方式 59

安全域边界的安全部署 66

安全域边界的安全管理 66

安全域内部的保护 67

业务支撑系统 71

网管系统 73

I

企业信息化系统 74

分阶段实施的建议 75

安全域划分的深入 76

组网方式的演进 76

保护方式的演进 77

支撑系统到互联网接口的演进 79

编制历史 81

II

QB-W-001-2005

QB-W-001-2005

PAGE

PAGE10

前言

本要求主要是针对中国移动通信有限公司的业务运营支撑系统、网管系统和企业信息化系统等支撑系统，根据系统面临的风险、以及保护等级，分析支撑系统安全域划分的必要性并提出划分原则，并结合支撑网络的现状对网络结构进行调整，然后对各支撑系统的边界进行整合，结合威胁等级和保护等级，确定了各安全域保护的原则，包括边界部分和内部的保护。

安全域划分包括物理环境、人员组织、管理、技术

各个层面，本要求重点针对安全域划分的技术层面。本要求可作为后续支撑系统安全建设的依据。本要求由中国移动通信有限公司网络部提出并归

口管理。

本要求起草单位：中国移动通信有限公司网络部、计费中心、企业信息化、研发中心

本要求主要起草人：周智、刘楠、田峰、王春平、陈豫蓉、刘斐、张焱、陈欣、陈敏时、徐海东、魏丽红。

本要求解释单位：中国移动通信有限公司网络部。

适用范围

本要求对业务支撑、网管、企业信息化等支撑系统的安全域划分、边界整合以及采用的保护方案进行了规范，适用于中国移动有限公司、各省公司后续支撑系统的安全建设。

引用标准与依据

《关于近期网络与信息安全工作安排的通知》，中国移动通信集团公司网络部，移网通【2004】68号。

《关于加强信息安全保障工作的意

见》，国家信息化领导小组，中办发[2003]27号。

公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文）。

国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报告》。

美国国家标准和技术研究所（NIST，NationalInstituteofStandardsandTechnology）制订的SP800系列文档：《IT系统安全自评估指南》、《IT系统风险管理指南》、

《联邦IT系统安全认证和认可指南》、《信息系统安全规划指南》等。/publications/nistpubs/。

美国国家安全局，信息保障技术框架IATF（InformationAssuranceTechnicalFramework），V3.1版。网址：。

（7）公安部GA/T387-391-2002系列标准，计算机信息系统安全等级保护操作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求

中国移动通信有限公司提供的相关资料。

全国31个省的调查资料，以及北京