《中国移动技术发展路标网络与信息安全.ppt》由会员分享,可在线阅读,更多相关《中国移动技术发展路标网络与信息安全.ppt(45页珍藏版)》请在三一办公上搜索。
1、中国移动技术发展路标(2008版)-网络与信息安全,目录,1.1 网络与信息工作面临的挑战-1,攻击多样化,网络IP化,终端智能化,1,2,3,黑客攻击、病毒、蠕虫、DDOS攻击等互联网安全威胁依然存在,破坏力更加严重。如利用梦网业务、用户自服务平台等对互联网开放的网站和后台服务模块编码漏洞,修改他人业务订购关系和费用,手机终端智能化,也引入了主要通过蓝牙、彩信以及其它移动新业务和手机新功能进行传播的恶意代码。,话音网络IP化导致传统网络中出现了互联网常见的安全问题。,1.1 网络与信息工作面临的挑战-2,内部威胁增大,攻击目的变化,不良信息传递,4,5,6,内部工作人员、第三方支持人员、SP
2、利用对内部信息的了解、拥有的权限以及业务流程漏洞,实施信息安全犯罪。,随着3G、数据业务的发展,移动信息内容和交互方式不断丰富,不法人员利用移动数据业务传递不良信息,制约了公司业务推广。,外部黑客的恶意攻击也越来越多的趋向追求经济利益。,网络IP化、终端智能化使安全问题逐步延伸至移动通信的核心业务,2005年汇接软交换病毒感染事件,导致系统管理失控,2006年,北京、上海VC受到华为离职员工入侵,发生盗卡事件存在边界不清、访问控制管理不严、账号密码管理松懈以及应用系统自身架构漏洞等问题缺乏及时发现异常操作的技术手段,如审计系统缺乏足够的技术手段支持,无法有效落实定期进行密码修改等管理要求 卓望
3、公司内部员工与SP勾结,伪造虚假定购关系,骗取资费缺乏对MISC系统的审计手段,不能及时发现非法操作;缺乏对MISC系统权限的掌控能力某省员工查看用户短信内容,并对用户实施敲诈2008年,某省计费系统集成商员工私查用户通话记录事件,导致客户投诉权限管理不严格;缺乏审计,受经济利益驱使,内部员工和掌握系统信息的第三方人员成为重大安全事件的主体,外部黑客攻击渗透威胁依然存在,2006年中国移动门户网站主页被篡改,造成了一定的社会影响,组网缺陷、设备安全功能及配置问题、账号权限管理以及安全审计等专用安全防护设备的不足、集中监控能力的极度欠缺,是导致主要安全事件的关键原因。,1.2 网络与信息典型事件
4、,目录,2.1 网络与信息安全防护思路,遵循集中化、分等级保护的原则,外部防护和内部控制并重,在外部防护方面,理清系统内外边界,按需部署防火墙、防病毒、入侵检测等各类防护和检测手段,并通过集中监控实现快速响应能力。在内部控制方面,现阶段,技术方面主要通过网络安全管控平台,实现集中接入控制,账号口令集中管理和日志集中审计,做到操作有记录,事后可追查,确保合法的人做合法的事。防护体系的总体发展趋势是由分散防护向集中防护发展,由集中防护向集成防护发展。,2.2 安全技术防护体系架构,安全域划分和边界整合,设备自身安全功能和配置,专用安全防护设备,信息安全管理平台(ISMP),防火墙,入侵检测系统,防
5、病毒,终端安全管理系统,网络安全管控平台,IP异常流量检测和过滤系统,安全检查工具,从账号管理、密码策略、授权、日志记录等方面,明确设备的功能要求以及在现网使用时的配置要求,对通信网、业务系统和支撑系统进行安全域划分,明确安全防护边界,并进行边界整合,为实现等级化集中防护提供基础。,2.3 安全技术防护体系部署示意图,入侵检测,根据分等级集中防护原则确定安全域和防护边界。业务系统设备根据防护需求放入相应的安全域。,加强设备的安全功能要求,规范设备的安全配置,从而提高设备自身的安全防护能力。,在1、2的基础上,根据系统安全防护的实际需求,进一步部署防火墙、入侵检测、防病毒等各类基础安全防护技术手
6、段。,建设信息安全管理平台(ISMP),实现跨产品的安全集中管理、集中配置、集中监控、集中派单、集中支援,2.4 安全技术防护体系现状-1,安全域划分和边界整合工作网管系统、业务支撑系统总部和各省已基本完成。管理信息系统部总部和部分省已完成。支撑系统互联网出口整合试点工作已基本完成。设备自身安全功能和配置覆盖通用操作系统、数据库、网络设备、网络应用、安全设备的功能和配置规范系统基本建立。在选型、招标、入网、验收等环节,同步落实上述要求的流程基本理顺。,2.4 安全技术防护体系现状-2,专用安全防护设备,2.3 安全技术防护体系现状-3,信息安全管理平台信息安全管理平台的相关规范基本完成。部分省
7、公司已建设相关手段,总体上较欠缺。总部集中监控各类专用安全设备,过滤分析发现的安全事件等需求比较迫切。,2.4 安全防护技术体系分阶段发展,1、建章立制以明确要求为重点,分系统落实,缺乏有效的检查手段。,2、有效执行(1)通过集中化的安全防护手段,有效落实安全要求。(2)形成专业的安全支撑维护队伍。,3、量化优化量化掌握总体安全态势,有效地形成整体安全防护策略,量化评价安全要求的执行,安全管理发展阶段,1、分散防护分系统部署防火墙、入侵检测、防病毒等基础防护手段。,3、集成防护建设安全管控平台、安全运行管理平台,将各安全防护手段形成合力。实现精细化的风险管理、全网安全态势的量化分析及安全事件的
8、实时监控,并借助EOMS等系统的配合形成快速、流程顺畅的反应机制。,2、集中防护按照等级保护的要求,坚持集中化原则,以安全域划分和边界整合为基础,集中部署各类专用安全防护设备。,安全防护技术体系分阶段发展规划,目前,中国移动安全防护技术体系总体上处于有由分散防护向集中防护发展阶段,支撑,5.某省安全防护目标架构示意图,互联网,外部互联网,防病毒,数据业务系统(有现场维护模式),省网管中心,无现场维护模式,封闭的通信网或业务系统,安全管理中枢,目录,3.1 安全域划分和边界整合支撑系统,三大支撑系统整体安全域划分横向:按照业务将支撑系统划分各个不同的安全域。纵向:各安全域又可以按照地域和管理分为
9、集团公司、省公司和地市分公司三个层面的安全子域。对于每一个安全子域,如集团公司网管系统安全子域,可以进一步划分为安全区域(安全子域)。,3.1 安全域划分和边界整合支撑系统,网管网安全域划分对网管网整体实施安全域划分,集中部署防火墙防护各网管系统;用双重异构的防火墙防护核心生产区与互联网边界,内部互联采用单层防火墙防护。,半安全区,核心交换,互联网侧防火墙(高性能),核心防火墙(高性能),内部互联防火墙(普通性能,两个部门合用),私网网段网元、省(集团)网管,3.1 安全域划分和边界整合支撑系统,支撑系统互联网集中出口集中出口的安全防护由集中出口侧防护和省公司各支撑系统侧防护共同完成。,3.1
10、 安全域划分和边界整合数据业务系统,在安全域划分和边界整合的基础上,对数据业务系统实施整体防护,核心交换区,系统A互联网接口区,系统C互联网接口区,互联网接口区,系统B互联网接口区,数据网其它节点,业务支撑系统网,内部胡互联接口区,系统C内部互联接口区,系统A内部互联接口区,入侵检测系统探头,3.2 设备自身安全功能和配置规范体系,中国移动通信和IT设备安全要求规范,操作系统安全要求,数据库安全要求,网络设备安全要求,操作系统安全功能要求规范,某操作系统安全配置要求规范,数据库安全功能要求规范,某数据库安全配置要求规范,路由器安全功能要求规范,某路由器安全配置要求规范,通信网、业务系统、支撑系
11、统设备安全要求,设备安全功能要求,智能网安全配置要求,通信网、业务系统、支撑系统相关安全要求,中国移动总纲,总部内部控制手册,控制矩阵,输入文档,第一层:明确各类设备的共性安全要求。第二层:明确不同设备类型的具体安全要求。第二层:明确业务系统对设备的安全要求。,互联网应用安全要求,Apache安全配置要求规范,BIND安全配置要求规范,3.3 专用安全防护设备,防火墙、入侵检测等技术手段结合安全域划分和边界整合进行部署。下面主要说明以下4类手段的发展策略集中防病毒系统异常流量检测和过滤设备网页防篡改系统网络安全管控平台,管理信息系统专网,业务支撑系统专网,网管专网,总部网管网,一级控管,省网管
12、网,二级控管,总部业务支撑网,一级控管,总部管理信息系统网,一级控管,省业务支撑网,二级控管,省管理信息系统网,二级控管,支撑系统互联网集中出口,全网防病毒集中升级服务器,3.3.1 集中防病毒系统,各支撑系统内部分别部署总部和省两级防病毒集中控管系统。两级系统通过各支撑系统内部总部和省的互联专网实现互联。在支撑系统互联网集中出口部署全网防病毒集中升级服务器。*网管网的集中防病毒控管同时控管通信网和业务系统防病毒客户端。,3.3.2 互联网骨干网异常流量监控系统,本地流量采集分析设备,通过Netflow协议,采集核心路由器IP流量基本特征。并上送至集中监控平台的Netflow分析模块。,本地流
13、量分析设备对镜像报文进行深度分析,确认异常流量,并提取流量特征。平时只抓取五元组,发现异常,镜像异常流量,投资较低。,本地流量采集分析设备,本地流量采集分析设备,集中监控平台基于流特征发现可能存在异常的网络连接,并及时控制本地流量采集分析设备,对异常连接的流量实施全采样分析。,从网络全局入手,考虑异常流量监控系统部署。,3.3.5 网页防篡改系统,DMZ,Intranet,Internet,集中发布发布服务器,Web服务器集群,3.3.4 网络安全管控平台,目标:遵循集中化的建设原则,以“确保合法的人做合法的事”为目标,按照“事先授权,事中监控,事后审计”的思路,有机结合集中接入控制、账号口令
14、集中管理和日志管理与审计等手段,对内部维护人员和厂家人员操作业务系统和网管系统的全过程实施管控。,3.4 信息安全管理平台,安全运行管理平台是以风险管理为核心,以资产信息库为基础,包括安全事件监控、漏洞管理、威胁管理、安全策略管理、安全知识管理、安全工作流程管理等各功能模块,全面支持安全运行管理工作,逐步实现动态、可量化的安全管理。,3.4 信息安全管理平台 风险管理,资产库,漏洞库,更新,安全对象管理,更新资产基础信息,更新资产配置信息,查询资产级别和配置信息,综合设备级别和尚未被配置覆盖的漏洞,形成风险信息。,输出,3.4 信息安全管理平台安全事件管理,事件库,安全对象管理,更新资产基础信
15、息,更新安全事件信息,查询资产级别,综合不同设备的安全事件。综合资产残余风险信息,过滤无法成功的安全攻击事件。综合资产级别和安全事件性质,确定安全事件等级。,输出,资产库,更新资产配置信息,查询资产残余风险,目录,4.1 网络与信息安全部分主要修订背景,安全防护正在由分散防护向集中防护发展,并在某些方面出现了由集中向集成防护发展的趋势。在集中防护的思路下,需要进一步明确在安全域划分和边界整合基础上,防火墙等专用安全防护设备的集中部署原则。由于内部安全问题日益突出,需要综合考虑接入控制、账号管理、日志审计的技术支撑以及相互配合方面的接口等问题,引入综合上述技术的“安全管控平台”规划框架,对维护和
16、厂家人员操作业务系统和网管系统的全过程实施管控。安全评估和安全应急工作需要专用安全工具支撑,提高标准化程度和工作成效。,4.2 网络与信息安全部分修订目录,31,“8.2 网络与信息安全技术防护体系”,修订点位置:“8.2.1 目标与思路:网络与信息安全技术防护体系防护思路”,修订前:网络与信息安全技术防护体系防护思路 外部防护和内部控制并重。在外部防护方面,理清系统内外边界,按需部署防火墙、防病毒、入侵检测等各类防护和检测手段,并通过集中监控实现快速响应能力。在内部控制方面,通过账号口令管理系统和日志审计系统,加强对系统的访问控制,做到操作有记录,事后可追查,从而确保合法的人做合法的事。修订
17、后:网络与信息安全技术防护体系防护思路:遵循集中化、分等级保护的原则,外部防护和内部控制并重。在外部防护方面,理清系统内外边界,按需部署防火墙、防病毒、入侵检测等各类防护和检测手段,并通过集中监控实现快速响应能力。在内部控制方面,现阶段,技术方面主要通过网络安全管控平台,实现对用户登陆、操作、退出全过程的集中接入控制、账号口令集中管理和日志集中审计,做到操作有记录,事后可追查,确保合法的人做合法的事。防护体系的总体发展趋势是由分散防护向集中防护发展,并进一步向集成防护发展。修订原因:实践经验总结,以及业界在安全系统功能集成和发展方面的趋势。修订状态:已决策,“8.2 网络与信息安全技术防护体系
18、”,修订点:位置:“8.2.3 框架:专用安全防护设备”调整:安全技术防护体系框架图新增:为了对内部人员和外部技术支持人员的控制,集中部署网络安全管控平台。网络安全管控平台集成了接入控制,账号口令管理、日志审计等功能,对各类系统和网络实施集中管控。修订原因:便于理解;体现安全设备功能的集成和发展。修订状态:已决策,“8.2 网络与信息安全技术防护体系”,“8.3 网络与信息安全技术防护发展策略”,修订点:位置:“8.3 网络与信息安全技术发展策略”新增:IP异常流量检测和控制将向基于统计特征、深度包检测技术等多种技术综合运用方向发展,强调从简单的带宽控制向集中式覆盖全网的流量清洗技术发展。安全
19、评估技术向基于风险的评估和基于通用基线的评估两种技术路线发展。响应技术由主要依靠人工响应向依靠人工和技术结合的方向发展。修订原因:技术发展。修订状态:已决策,“8.4 集成化的安全技术防护手段发展策略”,修订点:位置:“8.4.1 综述”新增:本部分阐述各类安全技术防护技术手段的发展策略。包括:重点介绍网络安全管控平台、安全运行管理平台两类集成平台的功能要点和发展策略;在集中化、等级保护的原则下,说明防火墙、入侵检测、防病毒等传统手段的基本部署原则。防火墙的部署从随各系统建设分散部署向以安全域划分和边界整合为基础的集中部署发展。防火墙部署的具体原则参见中国移动防火墙部署总体技术要求(QB-W-
20、001-2008)。(转下页),“8.4 集成化的安全技术防护手段发展策略”,(接上页)入侵检测系统采集来自系统外部边界和内部各安全域间的网络流量,发现并上报安全事件。对于安全域划分比较清晰的业务系统或支撑系统,网络采集探头部署在停火区(DMZ区)和系统内部核心交换区。中央控管服务器应集中部署,集中管理各系统中的同厂家网络采集探头。网络版防病毒系统由集中控管服务器和安装在服务器和终端上的防病毒客户端两部分构成。集中控管服务器通过分级部署的方式,逐步实现全网集中控管。修订原因:内容增加和完善。修订状态:已决策,“8.4 集成化的安全技术防护手段发展策略”,修订点:位置:“8.4.2 网络安全管控
21、平台”修改后:(新增)网络安全管控平台包括了三大模块:综合维护接入模块、帐号口令集中管理模块、日志集中管理和审计模块。综合维护接入模块作为维护人员接入通信网、业务网和支撑系统的统一接入点,集中控制维护人员能够访问的系统和服务,记录通过该平台的维护操作行为。帐号口令集中管理模块集中管理通信网、业务系统和网管系统的帐号口令,实现对维护人员的集中授权和认证,实现系统帐号和维护人员真实身份的对应,确保将维护操作对应到人。日志集中管理和审计模块实现采集、储存、分析和检索各系统的人员操作维护信息,及时发现非法、越权操作,同时,可对高危操作实时分析、监控、告警和阻断。(转下页),“8.4 集成化的安全技术防
22、护手段发展策略”,(接上页)三个模块之间存在紧密关系综合维护接入模块利用帐号口令集中管理模块的人员授权信息,控制用户能够访问的业务系统和使用的应用程序。综合维护接入模块利用帐号口令集中管理模块的单点登录功能,使得维护人员通过平台登录认证后,登录业务系统无需再次身份认证。日志集中管理与审计模块利用综合维护接入模块,获取完整的维护人员操作原始记录,并结合来自帐号口令集中管理模块的账户和用户真实身份对应关系,实现维护人员和其操作记录的关联。日志集中管理与审计模块会采集业务系统的登录信息,发现绕开管控系统直接登录业务系统的行为,并形成安全事件。(转下页),“8.4 集成化的安全技术防护手段发展策略”,
23、网络安全管控平台三大模块之间的关系图:修订原因:系统功能的集成和发展。修订状态:已决策,管控平台组件,“8.5 各网络、业务网和支撑系统信息安全防护技术发展策略”,修订点:位置:“8.5.2 业务网”修改后:(新增)PKI基础设施是中国移动一项具有战略价值的重要资源,是需要长期稳定运营的基础设施。重点实现内外分离的信任体系,采用规范运营、统一规划的策略,全面支撑所有业务系统、业务支撑系统、内部信息化系统和核心网络的证书应用需求,建立基于PKI的安全能力层。修订原因:业务需要和技术发展。修订状态:已决策,8.5 各网络、业务网和支撑系统信息安全防护技术发展策略,修订点:位置:“8.5.7 终端和
24、卡”修改后:(新增)用户卡安全用户卡安全受到来自卡片自身性能的约束,包括功耗、内存限制、算法安全性等。攻击者针对用户卡特性攻击用户卡,攻击主要针对旧卡的安全算法漏洞。目前,中国移动在用户卡上采用了一系列安全机制对算法安全性进行增强。采用增强型Ki、索引随机数、鉴权随机数检测等手段,可对算法进行多方位保护,保证用户卡安全性,防止SIM卡被破解。对2G SIM卡,目前的已研究随机数安全检测方案,能有效抵御已有攻击模式对SIM卡发起的破解攻击;在3G USIM卡中,采用了安全性更高的AES算法和MAC认证的双重保护方式,能有效抵御各种破解攻击,保护鉴权安全性和用户卡信息安全性。(转下页),8.5 各
25、网络、业务网和支撑系统信息安全防护技术发展策略,(接上页)多应用卡框架技术(CMS2AC)多应用卡框架定义了一种卡片空间管理和卡片应用安全下载的机制,其主要目标是保证在卡片的整个生命周期中卡组件的安全性和完整性。多应用卡框架将卡片空间划分成多个不同的安全域,每个安全域上可加载,运行不同的应用。安全域通过密码机制保证应用只能下载安装在各自所属的安全域内,且不同安全域内的应用互不影响,完全隔离。安全域为安全域内应用提供安全服务,例如密钥管理、加密、解密、生成数字签名和验证安全域所有者等。每个安全域实现一个安全信道协议,定义发卡方、应用提供方或者控制机构和卡片通信时的安全,以保证应用下载到正确的安全
26、域内,以及保证应用下载过程中的数据机密性和数据完整性。修订原因:技术发展。修订状态:已决策,谢谢!,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1j
27、zgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7oW9IkScssE
28、CQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,
