孫秀成

（中國移動通信集團新疆有限公司，烏魯木齊 830063）

近年來，我國互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)市場的發(fā)展勢頭十分迅猛，SP/CP的興起、電子商務(wù)的理性發(fā)展、電子政務(wù)的推進以及企業(yè)信息化的長足發(fā)展和網(wǎng)絡(luò)的應(yīng)用為互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)提供了主要客戶群。行業(yè)需求潛力巨大，因此互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)市場對于中國移動的未來發(fā)展具有重要影響，是中國移動業(yè)務(wù)擴展的重要方向之一。

信息技術(shù)的發(fā)展為企業(yè)的業(yè)務(wù)開展提供了高效率的技術(shù)支撐手段，但營銷過程中越來越多的安全威脅被引入，依托各信息技術(shù)平臺運行的業(yè)務(wù)信息、客戶信息等面臨的風(fēng)險日益加大，提升數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全風(fēng)險防護能力勢在必行。

1 生命周期

為了更好地保障數(shù)據(jù)業(yè)務(wù)的安全，必須在業(yè)務(wù)需求、建設(shè)、運營等各環(huán)節(jié)充分考慮安全風(fēng)險，采取必要的安全措施。以保證提供具有高服務(wù)質(zhì)量、高安全性的數(shù)據(jù)業(yè)務(wù)。按照數(shù)據(jù)業(yè)務(wù)的生命周期，可將其劃分為4個階段：需求和評審階段，開發(fā)和測試階段，運行和維護階段，退服和下線階段。

2 安全控制流程及措施

根據(jù)數(shù)據(jù)業(yè)務(wù)生命周期，制定管理流程，明確信息安全要求，完善安全管控措施。

3 安全防護技術(shù)體系建設(shè)

互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機房面臨復(fù)雜的安全環(huán)境：網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)不斷增加和變化，網(wǎng)絡(luò)安全呈現(xiàn)“動態(tài)性”；用戶系統(tǒng)多樣化，應(yīng)用復(fù)雜，動態(tài)多變，面臨多種安全威脅和安全攻擊；大量集中的主機和服務(wù)器易產(chǎn)生安全連帶效應(yīng)；容易發(fā)生內(nèi)部攻擊，安全防范與安全管理并重；不同的用戶對于系統(tǒng)的安全防護和日常維護管理有著不同的需求，維護具有復(fù)雜性。

通過建設(shè)互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機房的安全防護體系，提升網(wǎng)內(nèi)用戶感知，不斷改善互聯(lián)網(wǎng)業(yè)務(wù)的服務(wù)質(zhì)量，結(jié)合多種措施深入挖掘客戶價值，提升中國移動業(yè)務(wù)品牌形象。

3.1 建設(shè)原則

數(shù)據(jù)業(yè)務(wù)機房在充分考慮安全威脅和主要風(fēng)險基礎(chǔ)上，從網(wǎng)絡(luò)安全、設(shè)備自身安全以及部署專用安全防護設(shè)備、實現(xiàn)集中安全管理，建立符合“集中防護、縱深防御、靈活配置”原則的安全防護技術(shù)體系。通過防火墻、流量監(jiān)控、漏洞掃描系統(tǒng)等，為有需求客戶提供有償?shù)牟町惢?wù)。

3.2 安全域劃分及防護部署

根據(jù)業(yè)務(wù)保障原則、結(jié)構(gòu)簡化原則、等級保護原則和生命周期原則，數(shù)據(jù)業(yè)務(wù)機房可劃分為以下主要的安全域：互聯(lián)網(wǎng)接入域、?；饏^(qū)、核心匯聚域、業(yè)務(wù)域、日常操作維護區(qū)、第三方接入?yún)^(qū)和管理服務(wù)區(qū)。

3.2.1 綜合管控

逐步建立可以支撐互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)機房日常安全管理工作的管控平臺，實現(xiàn)綜合維護接入、賬號口令管理、日志審計、安全合規(guī)、安全事件關(guān)聯(lián)分析及監(jiān)控等功能。

為了避免用戶非授權(quán)的訪問以及對網(wǎng)絡(luò)的濫用，重點在互聯(lián)網(wǎng)接入域和?；饏^(qū)，以及日常操作維護區(qū)、第三方接入?yún)^(qū)與核心匯聚域之間部署安全網(wǎng)關(guān)類設(shè)備，實現(xiàn)：

（1）基于用戶名、用戶組、訪問時間、訪問對象等策略的權(quán)限精確管理；

（2）實現(xiàn)網(wǎng)絡(luò)層用戶訪問日志記錄；

（3）支持包括短信認證、靜態(tài)強口令認證等。

利用管控平臺安全事件關(guān)聯(lián)分析功能，及時發(fā)現(xiàn)重要安全事件，結(jié)合集中告警平臺開展實時監(jiān)控。

DDoS攻擊監(jiān)測；僵尸木馬監(jiān)測；病毒情況監(jiān)測；入侵監(jiān)測；利用系統(tǒng)或者管理漏洞開展的其它攻擊類型監(jiān)測。

3.2.2 互聯(lián)網(wǎng)接入域

互聯(lián)網(wǎng)接入域是數(shù)據(jù)業(yè)務(wù)機房與互聯(lián)網(wǎng)連接的出口，提供高速可靠的連接，與外部網(wǎng)絡(luò)互聯(lián)入口，實現(xiàn)高速連接以及路由選擇和分發(fā)功能，過濾一些來自Internet的不安全因素。

部署異常流量監(jiān)測及過濾設(shè)備，監(jiān)測到異常流量攻擊后，抗拒絕服務(wù)攻擊設(shè)備進行異常流量過濾，為重要互聯(lián)網(wǎng)接入客戶集中提供抗拒絕攻擊服務(wù)。

3.2.3 ?；饏^(qū)

邏輯上，?；饏^(qū)連接互聯(lián)網(wǎng)與IDC內(nèi)部網(wǎng)絡(luò)，該區(qū)域內(nèi)一般放置對外發(fā)布數(shù)據(jù)的Web服務(wù)器。外部用戶可以通過互聯(lián)網(wǎng)接入域，直接訪問停火區(qū)內(nèi)的服務(wù)器，但不能直接訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫，起到安全緩沖區(qū)作用。

（1）支持虛擬功能的入侵檢測設(shè)備（含IDS，IPS），為需要該類防護服務(wù)的業(yè)務(wù)提供定制化的監(jiān)測防護能力，監(jiān)測、防止來自互聯(lián)網(wǎng)的惡意攻擊；

（2）部署Web篡改防護設(shè)備，防止網(wǎng)頁篡改和信息泄露。實現(xiàn)對網(wǎng)頁信息安全的防護；

（3）針對其中的Windows類平臺部署網(wǎng)絡(luò)版防病毒系統(tǒng)，并通過防病毒系統(tǒng)集中升級出口進行自動、集中升級；

（4）部署互聯(lián)網(wǎng)專用Portal、VPN網(wǎng)關(guān)、堡壘主機等設(shè)備，滿足維護人員以及IDC客戶遠程管理所屬系統(tǒng)的需求。

3.2.4 核心匯聚域

核心匯聚域主要負責(zé)互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)域?qū)ν膺B接和內(nèi)部數(shù)據(jù)流的匯聚。核心匯聚域由匯聚層交換機和核心路由器構(gòu)成，是多臺業(yè)務(wù)接入交換機的匯聚點，并提供到互聯(lián)網(wǎng)接入域的上行鏈路。它作為各個業(yè)務(wù)模塊的匯聚層，針對各個業(yè)務(wù)系統(tǒng)的需求，按照業(yè)務(wù)系統(tǒng)劃分區(qū)域，對相關(guān)的業(yè)務(wù)區(qū)域提供基礎(chǔ)的安全保障。

（1）支持虛擬功能的雙重異構(gòu)防火墻：部署支持虛擬功能的雙重異構(gòu)（不同品牌，確保不會因為某一品牌防火墻操作系統(tǒng)漏洞導(dǎo)致同時失效）防火墻，隔離互聯(lián)網(wǎng)與?；饏^(qū)和內(nèi)部網(wǎng)絡(luò)。在防火墻策略設(shè)置上，外層防火墻側(cè)重實施粗粒度訪問控制，內(nèi)層防火墻側(cè)重針對特定系統(tǒng)實施細粒度的訪問控制，針對業(yè)務(wù)區(qū)域不同需求提供定制化的訪問控制能力；

（2）支持虛擬功能的入侵監(jiān)測系統(tǒng)在各核心匯聚域交換機鏡像端口，部署支持虛擬功能的入侵檢測設(shè)備，針對IDC內(nèi)部系統(tǒng)之間的相互攻擊以及部分來自互聯(lián)網(wǎng)的入侵攻擊行為進行監(jiān)測。

核心匯聚域可通過物理隔離的方式，實現(xiàn)各個業(yè)務(wù)區(qū)域之間的隔離；也可通過在防火墻上設(shè)定安全訪問控制策略實現(xiàn)各個業(yè)務(wù)域的隔離。

3.2.5 業(yè)務(wù)域

業(yè)務(wù)域由接入交換機和各業(yè)務(wù)系統(tǒng)的服務(wù)器、存儲設(shè)備等組成，根據(jù)安全管理的可控性不同，業(yè)務(wù)域可以劃分為自有業(yè)務(wù)域和第三方業(yè)務(wù)域。

（1）移動自有業(yè)務(wù)域，保證網(wǎng)絡(luò)本身的高可靠性及與第三方區(qū)域的嚴格隔離。根據(jù)自有業(yè)務(wù)的安全需求，需要部署物理安全設(shè)施，采用IDC統(tǒng)一部署、支持虛擬功能的雙層異構(gòu)防火墻，集中化的不良信息檢測與封堵系統(tǒng)，網(wǎng)站備案系統(tǒng)，流量監(jiān)控和過濾系統(tǒng)，支持虛擬功能的入侵檢測系統(tǒng)，通用或者Web漏洞掃描，網(wǎng)絡(luò)版防病毒系統(tǒng)，網(wǎng)頁防篡改系統(tǒng)以及安全管控平臺進行防護；

（3）第三方業(yè)務(wù)域可根據(jù)客戶不同的安全需求，需要部署不同的防護，基礎(chǔ)功能：為客戶提供基礎(chǔ)的網(wǎng)絡(luò)連接和基本的物理機房資源等基礎(chǔ)性安全服務(wù)，同時，提供基于客戶的流量監(jiān)控服務(wù)，以便及時發(fā)現(xiàn)流量異常，通知客戶處理。增值功能：在基礎(chǔ)功能基礎(chǔ)之上，根據(jù)不同客戶業(yè)務(wù)需求，提供增值性安全性服務(wù)，如流量監(jiān)控、流量過濾、支持虛擬功能的雙層異構(gòu)防火墻、具備虛擬功能的入侵檢測系統(tǒng)、安全管控系統(tǒng)、各類漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)、網(wǎng)頁信息安全防護系統(tǒng)等。同時，可以基于用戶需求提供安全加固服務(wù)等。

3.2.6 內(nèi)部系統(tǒng)接入域

內(nèi)部接入域為數(shù)據(jù)業(yè)務(wù)與內(nèi)部業(yè)務(wù)（如BOSS）的訪問通道，通過部署防火墻、IDS等安全設(shè)備，進行嚴格訪問控制，防范數(shù)據(jù)業(yè)務(wù)機房安全風(fēng)險的擴散到核心業(yè)務(wù)區(qū)。

3.2.7 第三方專線接入域

第三方專線接入域為政府、大中型企業(yè)（如銀行、證券等）的接入渠道，通過部署防火墻、IDS、流量清洗等系統(tǒng)，加強外部接入安全防護。

3.2.8 日常操作維護區(qū)

日常操作維護區(qū)是移動員工對各類業(yè)務(wù)系統(tǒng)進行管理的工作區(qū)域，該區(qū)域應(yīng)重點加強維護人員訪問數(shù)據(jù)業(yè)務(wù)設(shè)備、資源時的集中化的安全認證、訪問控制、日志審計能力，并防范病毒擴散。在該區(qū)域和業(yè)務(wù)域及其它區(qū)域之間的唯一接口位置，即該區(qū)域內(nèi)交換機與IDC匯聚交換機之間，部署防火墻、綜合安全管控平臺堡壘主機，進行訪問控制，結(jié)合綜合安全管控平臺內(nèi)部Portal，實現(xiàn)用戶帳號管理、權(quán)限管理、密碼管理、一次登錄、資源發(fā)布和安全審計等功能。

3.2.9 第三方接入?yún)^(qū)

第三方接入?yún)^(qū)是客戶和技術(shù)支撐廠家人員專線方式遠程接入及在本地的工作區(qū)域，該區(qū)域的具體防護措施:

（1）客戶人員可以本地維護，也可部署遠程專線接入進行維護，其操作均需要通過堡壘主機設(shè)備進行嚴格的訪問控制、日志審計，才能訪問其所屬系統(tǒng)；

（2）第三方客戶人員也可通過SSL VPN接入進行遠程維護。并通過堡壘主機等設(shè)備進行嚴格的訪問控制、日志審計，才能訪問其所屬系統(tǒng)。

4.2.1 管理服務(wù)區(qū)

在管理服務(wù)區(qū)邊界，主要是與核心匯聚域之間鏈路，部署防火墻，并在停火區(qū)內(nèi)部署綜合安全管控平臺、堡壘主機、Portal等設(shè)備，內(nèi)外部維護人員均需要通過該區(qū)域的Portal設(shè)備才能訪問所屬業(yè)務(wù)系統(tǒng)以及管理服務(wù)域中的設(shè)備。管理服務(wù)區(qū)的Portal，為日常操作維護區(qū)和第三方接入?yún)^(qū)人員接入管控平臺所使用。

4.2.2 安全評估與整改

移動公司定期或不定期對上線系統(tǒng)安全檢查，確保賬號口令、系統(tǒng)基線、漏洞補丁符合移動公司安全管理要求；提供安全可控的本地維護、遠程維護手段，實現(xiàn)維護賬號、授權(quán)、審計、日志管理；定期或不定期對主機系統(tǒng)漏洞掃描，Web應(yīng)用漏洞掃描，掛馬事件掃描等，及時發(fā)現(xiàn)安全漏洞隱患，根據(jù)系統(tǒng)維護歸屬，敦促整改。