孙秀成

（中国移动通信集团新疆有限公司，乌鲁木齐 830063）

近年来，我国互联网数据中心业务市场的发展势头十分迅猛，SP/CP的兴起、电子商务的理性发展、电子政务的推进以及企业信息化的长足发展和网络的应用为互联网数据业务提供了主要客户群。行业需求潜力巨大，因此互联网数据业务市场对于中国移动的未来发展具有重要影响，是中国移动业务扩展的重要方向之一。

信息技术的发展为企业的业务开展提供了高效率的技术支撑手段，但营销过程中越来越多的安全威胁被引入，依托各信息技术平台运行的业务信息、客户信息等面临的风险日益加大，提升数据业务系统的安全风险防护能力势在必行。

1 生命周期

为了更好地保障数据业务的安全，必须在业务需求、建设、运营等各环节充分考虑安全风险，采取必要的安全措施。以保证提供具有高服务质量、高安全性的数据业务。按照数据业务的生命周期，可将其划分为4个阶段：需求和评审阶段，开发和测试阶段，运行和维护阶段，退服和下线阶段。

2 安全控制流程及措施

根据数据业务生命周期，制定管理流程，明确信息安全要求，完善安全管控措施。

3 安全防护技术体系建设

互联网数据业务机房面临复杂的安全环境：网络设备和应用系统不断增加和变化，网络安全呈现“动态性”；用户系统多样化，应用复杂，动态多变，面临多种安全威胁和安全攻击；大量集中的主机和服务器易产生安全连带效应；容易发生内部攻击，安全防范与安全管理并重；不同的用户对于系统的安全防护和日常维护管理有着不同的需求，维护具有复杂性。

通过建设互联网数据业务机房的安全防护体系，提升网内用户感知，不断改善互联网业务的服务质量，结合多种措施深入挖掘客户价值，提升中国移动业务品牌形象。

3.1 建设原则

数据业务机房在充分考虑安全威胁和主要风险基础上，从网络安全、设备自身安全以及部署专用安全防护设备、实现集中安全管理，建立符合“集中防护、纵深防御、灵活配置”原则的安全防护技术体系。通过防火墙、流量监控、漏洞扫描系统等，为有需求客户提供有偿的差异化服务。

3.2 安全域划分及防护部署

根据业务保障原则、结构简化原则、等级保护原则和生命周期原则，数据业务机房可划分为以下主要的安全域：互联网接入域、停火区、核心汇聚域、业务域、日常操作维护区、第三方接入区和管理服务区。

3.2.1 综合管控

逐步建立可以支撑互联网数据业务机房日常安全管理工作的管控平台，实现综合维护接入、账号口令管理、日志审计、安全合规、安全事件关联分析及监控等功能。

为了避免用户非授权的访问以及对网络的滥用，重点在互联网接入域和停火区，以及日常操作维护区、第三方接入区与核心汇聚域之间部署安全网关类设备，实现：

（1）基于用户名、用户组、访问时间、访问对象等策略的权限精确管理；

（2）实现网络层用户访问日志记录；

（3）支持包括短信认证、静态强口令认证等。

利用管控平台安全事件关联分析功能，及时发现重要安全事件，结合集中告警平台开展实时监控。

DDoS攻击监测；僵尸木马监测；病毒情况监测；入侵监测；利用系统或者管理漏洞开展的其它攻击类型监测。

3.2.2 互联网接入域

互联网接入域是数据业务机房与互联网连接的出口，提供高速可靠的连接，与外部网络互联入口，实现高速连接以及路由选择和分发功能，过滤一些来自Internet的不安全因素。

部署异常流量监测及过滤设备，监测到异常流量攻击后，抗拒绝服务攻击设备进行异常流量过滤，为重要互联网接入客户集中提供抗拒绝攻击服务。

3.2.3 停火区

逻辑上，停火区连接互联网与IDC内部网络，该区域内一般放置对外发布数据的Web服务器。外部用户可以通过互联网接入域，直接访问停火区内的服务器，但不能直接访问内部网络的数据库，起到安全缓冲区作用。

（1）支持虚拟功能的入侵检测设备（含IDS，IPS），为需要该类防护服务的业务提供定制化的监测防护能力，监测、防止来自互联网的恶意攻击；

（2）部署Web篡改防护设备，防止网页篡改和信息泄露。实现对网页信息安全的防护；

（3）针对其中的Windows类平台部署网络版防病毒系统，并通过防病毒系统集中升级出口进行自动、集中升级；

（4）部署互联网专用Portal、VPN网关、堡垒主机等设备，满足维护人员以及IDC客户远程管理所属系统的需求。

3.2.4 核心汇聚域

核心汇聚域主要负责互联网数据业务域对外连接和内部数据流的汇聚。核心汇聚域由汇聚层交换机和核心路由器构成，是多台业务接入交换机的汇聚点，并提供到互联网接入域的上行链路。它作为各个业务模块的汇聚层，针对各个业务系统的需求，按照业务系统划分区域，对相关的业务区域提供基础的安全保障。

（1）支持虚拟功能的双重异构防火墙：部署支持虚拟功能的双重异构（不同品牌，确保不会因为某一品牌防火墙操作系统漏洞导致同时失效）防火墙，隔离互联网与停火区和内部网络。在防火墙策略设置上，外层防火墙侧重实施粗粒度访问控制，内层防火墙侧重针对特定系统实施细粒度的访问控制，针对业务区域不同需求提供定制化的访问控制能力；

（2）支持虚拟功能的入侵监测系统在各核心汇聚域交换机镜像端口，部署支持虚拟功能的入侵检测设备，针对IDC内部系统之间的相互攻击以及部分来自互联网的入侵攻击行为进行监测。

核心汇聚域可通过物理隔离的方式，实现各个业务区域之间的隔离；也可通过在防火墙上设定安全访问控制策略实现各个业务域的隔离。

3.2.5 业务域

业务域由接入交换机和各业务系统的服务器、存储设备等组成，根据安全管理的可控性不同，业务域可以划分为自有业务域和第三方业务域。

（1）移动自有业务域，保证网络本身的高可靠性及与第三方区域的严格隔离。根据自有业务的安全需求，需要部署物理安全设施，采用IDC统一部署、支持虚拟功能的双层异构防火墙，集中化的不良信息检测与封堵系统，网站备案系统，流量监控和过滤系统，支持虚拟功能的入侵检测系统，通用或者Web漏洞扫描，网络版防病毒系统，网页防篡改系统以及安全管控平台进行防护；

（3）第三方业务域可根据客户不同的安全需求，需要部署不同的防护，基础功能：为客户提供基础的网络连接和基本的物理机房资源等基础性安全服务，同时，提供基于客户的流量监控服务，以便及时发现流量异常，通知客户处理。增值功能：在基础功能基础之上，根据不同客户业务需求，提供增值性安全性服务，如流量监控、流量过滤、支持虚拟功能的双层异构防火墙、具备虚拟功能的入侵检测系统、安全管控系统、各类漏洞扫描系统、网络版防病毒系统、网页信息安全防护系统等。同时，可以基于用户需求提供安全加固服务等。

3.2.6 内部系统接入域

内部接入域为数据业务与内部业务（如BOSS）的访问通道，通过部署防火墙、IDS等安全设备，进行严格访问控制，防范数据业务机房安全风险的扩散到核心业务区。

3.2.7 第三方专线接入域

第三方专线接入域为政府、大中型企业（如银行、证券等）的接入渠道，通过部署防火墙、IDS、流量清洗等系统，加强外部接入安全防护。

3.2.8 日常操作维护区

日常操作维护区是移动员工对各类业务系统进行管理的工作区域，该区域应重点加强维护人员访问数据业务设备、资源时的集中化的安全认证、访问控制、日志审计能力，并防范病毒扩散。在该区域和业务域及其它区域之间的唯一接口位置，即该区域内交换机与IDC汇聚交换机之间，部署防火墙、综合安全管控平台堡垒主机，进行访问控制，结合综合安全管控平台内部Portal，实现用户帐号管理、权限管理、密码管理、一次登录、资源发布和安全审计等功能。

3.2.9 第三方接入区

第三方接入区是客户和技术支撑厂家人员专线方式远程接入及在本地的工作区域，该区域的具体防护措施:

（1）客户人员可以本地维护，也可部署远程专线接入进行维护，其操作均需要通过堡垒主机设备进行严格的访问控制、日志审计，才能访问其所属系统；

（2）第三方客户人员也可通过SSL VPN接入进行远程维护。并通过堡垒主机等设备进行严格的访问控制、日志审计，才能访问其所属系统。

4.2.1 管理服务区

在管理服务区边界，主要是与核心汇聚域之间链路，部署防火墙，并在停火区内部署综合安全管控平台、堡垒主机、Portal等设备，内外部维护人员均需要通过该区域的Portal设备才能访问所属业务系统以及管理服务域中的设备。管理服务区的Portal，为日常操作维护区和第三方接入区人员接入管控平台所使用。

4.2.2 安全评估与整改

移动公司定期或不定期对上线系统安全检查，确保账号口令、系统基线、漏洞补丁符合移动公司安全管理要求；提供安全可控的本地维护、远程维护手段，实现维护账号、授权、审计、日志管理；定期或不定期对主机系统漏洞扫描，Web应用漏洞扫描，挂马事件扫描等，及时发现安全漏洞隐患，根据系统维护归属，敦促整改。