09X017 中国移动管理信息系统安全防护体系总体技术要求V1.0.0
IDC网络安全防护技术要求V1.0(发布版)剖析
IDC网络安全防护技术要求Technical Specification of Security for IDC版本号: 1.0.0中国移动通信有限网络部目录前言 (1)1适用范围 (2)2引用标准与依据 (2)2.1相关法规和政策 (2)2.2国家标准及行业标准 (2)2.3中国移动企业标准及技术规范 (3)2.4其它 (3)3相关术语与缩略语 (4)3.1术语 (4)3.2缩略语 (4)4综述 (5)4.1中国移动IDC的发展现状 (5)4.2业务应用 (6)4.3IDC的特点 (6)4.3.1IDC的重要性 (6)4.3.2数据高度集中 (6)4.3.3高带宽、大流量 (6)4.3.4安全防护对象特点突出 (6)4.3.5内部应用可控性较差 (6)4.3.6面对复杂各异的远程维护需求 (7)5IDC的基本架构 (7)5.1逻辑架构 (7)5.1.1物理层 (8)5.1.2网络层 (8)5.1.3资源层 (8)5.1.4业务层 (8)5.1.5运营管理层 (9)5.2网络架构 (9)5.2.1互联网接入层 (10)5.2.2汇聚层 (11)5.2.3业务接入层 (11)5.2.4运营管理层 (12)6安全风险分析 (12)6.1IDC主要安全风险 (12)6.2威胁分析 (13)6.2.1物理安全威胁 (13)6.2.2设备安全威胁 (13)6.2.3网络安全威胁 (13)6.2.4应用层安全威胁 (14)6.2.5数据安全威胁 (14)6.3脆弱性分析 (15)6.3.1物理安全方面的脆弱性 (15)6.3.2网络与主机设备的脆弱性 (15)6.3.3应用系统软件脆弱性 (15)6.3.4数据安全方面存在的脆弱性 (15)6.3.5其它 (16)6.4IDC安全防护需求 (16)7安全防护要求 (16)7.1物理安全要求 (17)7.2IDC安全域划分及防护部署 (17)7.2.1互联网接入域 (19)7.2.2停火区 (19)7.2.3核心汇聚域 (20)7.2.4业务域 (21)7.2.5日常操作维护区 (24)7.2.6第三方接入区 (24)7.2.7管理服务区 (25)7.3设备自身安全和安全配置要求 (25)7.4内容合法性检查及域名备案等业务安全防护系统 ...................................................... 错误!未定义书签。
中国移动网络门户系统技术规范
中国移动网络门户系统技术规范中国移动通信企业标准QB-W-028-中国移动网络门户系统技术规范(第一版)NMS Portal Technical Specification版本号 1.0.0-××-××发布-××-××实施中国移动通信有限公司发布目录1 范围........................................ 错误!未定义书签。
2 引用标准.................................... 错误!未定义书签。
3 术语定义和缩略语............................ 错误!未定义书签。
4 系统概述与建设范围.......................... 错误!未定义书签。
5 ”总部-省”两级架构......................... 错误!未定义书签。
6 组网与设备配置要求.......................... 错误!未定义书签。
7 系统功能要求................................ 错误!未定义书签。
7.1 单点登录.............................. 错误!未定义书签。
7.1.1 基本要求 ........................... 错误!未定义书签。
7.1.2 具备4A的情况 ...................... 错误!未定义书签。
7.1.3 对于未接入4A的情况 ................ 错误!未定义书签。
7.2 接入服务.............................. 错误!未定义书签。
7.2.1 B/S与C/S应用统一接入.............. 错误!未定义书签。
7.2.2 公网接入 ........................... 错误!未定义书签。
中国移动统一信息平台技术规范
中国移动统一信息平台技术规范中国移动企业信息化一期工程统一信息平台技术规范(v1.0)中国移动通信集团公司目录1 总则 (1)1.1. 概述 (1)1.2. 适用范围 (1)1.3. 起草单位 (2)1.4. 解释权 (2)2 应用体系架构 (3)2.1. 两级架构 (3)2.2. 统一信息平台的组成 (4)2.3. 总体技术要求 (5)3 展示平台 (6)3.1. 域名规则 (6)3.2. 登录流程 (7)3.3.访问安全控制 (7)3.3.1. ......................................................... 认证83.3.2. ......................................................... 加密93.3.3. ......................................................... 授权93.4.个性化展现管理 (9)3.5.内容应用聚集 (10)3.6.系统性能要求 (11)4 网络和接入平台 (12)4.1.全国互联广域网组织结构 (12)4.1.1. ..................... 全国互联广域网拓扑结构124.1.2. ................. 广域网互联承载网络的选择134.1.3. ......................... 全国互联广域网的路由144.1.4. ................. 全国互联广域网的网络安全144.2.集团公司统一信息平台的网络组织结构14 4.2.1. ............. 集团公司统一信息平台局域网144.2.2. ................. 集团公司统一信息平台接入164.3.省公司统一信息平台的网络组织结构 (17)4.3.1. ................. 省公司统一信息平台局域网174.3.2. ..................... 省公司统一信息平台接入194.4.I P地址规划 (20)4.4.1. .................................... I P地址规划原则204.4.2. .................................... I P地址规划方法224.4.3. .................................... I P地址规划要求235安全管理平台 (24)5.1.网络管理及网络安全 (24)5.1.1. ......................................... 网络系统管理245.1.2. ................................................. 网络安全245.2.系统管理及系统安全 (25)5.2.1...................................................... 系统管理255.2.2. ................................................. 系统安全265.2.3. ..................................... 数据管理和安全285.2.4. ..................................................... 防病毒296系统和环境要求 (30)6.1.系统要求 (30)6.1.1. ................................................. 主机设备306.1.2. ................................................. 操作系统316.1.3. ......................................... 存储备份设备316.1.4. ................................................. 网络设备326.1.5. ..................................................... 数据库346.1.6. ......................................... 展示平台软件366.1.7. ................................................. 开发工具376.1.8. ................................................. 系统文档376.2.机房环境要求 (38)6.2.1. ......................................... 机房环境条件386.2.2. ................................................. 接地要求396.2.3. ............................................. 空调及电源401 总则1.1. 概述目前中国移动通信集团公司已成为世界第一大GSM移动电话运营商,并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。
中国移动华为防火墙安全配置规范V1.0
中国移动华为防火墙配置规范S p e c i f i c a t i o n f o r H U A W E I F i r e w a l lC o n f i g u r a t i o n U s e d i n C h i n aM o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (1)4. 防火墙功能和配置要求 (1)4.1. 引用说明 (1)4.2. 日志配置要求 (4)4.3. 告警配置要求 (6)4.4. 安全策略配置要求 (9)4.5. 攻击防护配置要求 (13)4.6. 虚拟防火墙配置要求 (14)4.7. 设备其他安全要求 (14)5. 编制历史 (17)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准明确了华为防火墙的配置要求。
本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。
本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团重庆、江苏有限公司。
本标准解释单位:同提出单位。
本标准主要起草人:韩治宁、石磊、来晓阳、周智、曹一生。
1.范围本标准规定了华为防火墙的配置要求,供中国移动内部和厂商共同使用;适用于中国移动通信网、业务系统和支撑系统的防火墙。
2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
2020年(安全管理)中国移动管理信息系统安全基线规范v
(安全管理)中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号:1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。
本规范由中国移动通信集团公司管理信息系统部提出并归口管理。
本规范的解释权属于中国移动通信集团公司管理信息系统部。
本规范起草单位:中国移动通信集团公司管理信息系统部本规范主要起草人:起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。
本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。
1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。
中国移动IDCISP信息安全管理系统接口规范V
中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动I D C/I S P信息安全管理系统接口规范I n t e r f a c e S t a n d a r d o f I n f o r m a t i o nS e c u r i t y M a n a g e m e n t S y s t e m f o rI n t e r n e t D a t a C e n t e r/I n t e r n e tS e r v i c e P r o v i d e r版本号:0.1.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录前言 .............................................................................................................................................. I I1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)4 业务概述 (2)5 系统架构 (2)6 接口流程 (6)6.1 通信方式 (6)6.2管理指令处理流程 (6)6.3查询流程 (7)6.4数据上报、下发流程 (8)7 接口定义方法 (11)7.1idc_command()方法 (11)7.2idc_commandack()方法 (15)7.3file_load方法 (17)7.4SDTP方法 (19)8 数据代码表 (21)8.1登记备案属性代码表 (21)8.2接入方式代码表 (21)8.3单位属性代码表 (21)8.4证件类型代码表 (22)8.5机房性质代码表 (22)8.6代理类型代码表 (22)8.7服务内容代码表 (23)8.8监测规则及过滤规则代码表 (24)8.9违法违规情况表 (24)9 接口要求 (25)9.1控制平台与SMMS接口 (25)9.2控制平台与网站备案管理系统接口 (25)9.3网站备案管理系统与IDC运营管理平台接口 (34)9.4控制平台与省端执行系统接口 (40)9.5控制平台与上网日志留存系统接口 (51)9.6省端执行系统与上网日志留存系统接口 (54)9.7省端执行系统内部接口 (55)10 编制历史 (55)前言本标准规定了中国移动IDC/ISP信息安全管理系统的接口规范,用于指导中国移动IDC/ISP信息安全管理系统建设。
移动业务系统安全防御体系介绍
品级掩护设计要求下的“移动业务系统宁静防备体系”1、引言随着全球信息化进程的不绝推进,我国政府及各行各业也在进行大量的信息系统的建立,这些信息系统已经成为国度重要的底子设施,因此,信息系统宁静问题已经被提升到干系国度宁静和国度主权的战略性高度,已引起党和国度领导以及社会各界的存眷。
随着政府电子政务办公、移动警务办公、移动执法等信息化建立和生长,作为现代信息社会重要底子设施的信息系统,其宁静问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。
能否有效的掩护信息资源,掩护信息化进程康健、有序、可连续生长,直接关乎国度安危,关乎民族兴亡,是国度民族的头等大事。
没有信息宁静,就没有真正意义上的政治宁静,就没有稳固的经济宁静和军事宁静,没有完整意义上的国度宁静。
经党中央和国务院批准,国度信息化领导小组决定增强信息宁静保障事情,实行信息宁静品级掩护,重点掩护底子信息网络和重要信息系统宁静,要抓紧信息宁静品级掩护制度的建立。
对信息系统实行品级掩护是我国的法定制度和根本国策,是开展信息宁静掩护事情的有效步伐,是信息宁静掩护事情的生长偏向。
实行信息宁静品级掩护的决定具有重大的现实和战略意义。
2、《品级掩护设计要求》思路的启迪凭据信息系统业务处理惩罚历程将系统分别成盘算情况、区域界限和通信网络三部分,以终端宁静为底子对这三部分实施掩护,组成由宁静治理中心支撑下的盘算情况宁静、区域界限宁静、通信网络宁静所组成的三重防护体系结构。
在移动终端宁静的领域中,盘算情况如PDA、智能手机、PAD等,核心业务系统包罗警务通、智能办公系统(OA\ERP)等,目前采取传统的传输加密技能手段仅考虑到如何解决非法接入及链路劫持宁静问题,如VPN等,宁静防备较为单一化和局限性,公然的加密算法及隧道的传输模式已无法适应现代化的网络底子设施,在品级掩护的信息宁静建立中,应从整体宁静体系模型考虑潜在风险问题,如盘算情况宁静、网络通信宁静、区域界限宁静。
中国移动安氏防火墙安全系统配置要求规范V1.0
中国移动安氏防火墙安全配置规范S p e c i f i c a t i o n f o r C o n f i g u r a t i o no f F i r e w a l l U s e d i n C h i n a M o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1.围 (1)2.规性引用文件 (1)3.术语、定义和缩略语 (1)4.防火墙功能和配置要求 (1)4.1.引用说明 (1)4.2.日志配置要求 (3)4.3.告警配置要求 (3)4.4.安全策略配置要求 (3)4.5.攻击防护配置要求 (4)4.6.虚拟防火墙配置要求 (4)4.7.设备其他安全要求 (5)5.编制历史 (5)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
组织部分省公司编制了中国移动设备安全功能和配置系列规。
本系列规可作为编制设备技术规、设备入网测试规,工程验收手册,局数据模板等文档的依据。
本规是该系列规之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规的编制基础。
本标准明确了安氏防火墙的配置要求。
本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。
本标准起草单位:中国移动通信网络部、中国移动通信集团、本标准主要起草人:瑾、强、来晓阳、周智、一生、敏时。
1.围本标准规定了安氏防火墙的配置要求,供部和厂商共同使用;适用于通信网、业务系统和支撑系统的防火墙。
2.规性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
中国移动AIX操作系统安全配置规范V1.0
中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号:1.0.0x x x发布x x x实施中国移动通信有限公司网络部目录1范围 (1)2规范性引用文件 (1)3术语和定义和缩略语 (3)4AIX设备安全配置要求 (3)4.1账号管理、认证授权 (3)4.1.1账号 (3)4.1.2口令 (6)4.1.3授权 (8)4.2日志配置要求 (12)4.3IP协议安全配置要求 (15)4.3.1IP协议安全 (15)4.3.2路由协议安全 (19)4.4设备其他安全配置要求 (21)4.4.1屏幕保护 (21)4.4.2文件系统及访问权限 (22)4.4.3物理端口设置 (23)4.4.4补丁管理 (24)4.4.5服务 (25)4.4.6内核调整 (28)4.4.7启动项 (29)5编制历史 (30)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司。
本标准解释单位:同提出单位。
本标准主要起草人:张瑾、赵强、石磊、陈敏时、周智、曹一生。
1范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。
本规范明确了AIX操作系统配置的基本安全要求,在未特别说明的情况下,均适用于所有运行的AIX操作系统版本。
中国移动视频监控总体技术要求V100送审Word
中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动视频监控总体技术要求(送审稿)C h i n a M o b i l e V i d e o S u r v e i l l a n c eG e n e r a l T e c h n i c a l R e q u i r e m e n t s版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录前言 ............................................................................................................................................ I V1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (1)4. 业务概述 (2)5. 系统结构 (2)5.1 单域系统架构 (2)5.2 多域系统架构 (3)5.3 系统分层结构 (4)5.4 系统功能结构 (4)5.5 网元描述 (5)5.5.1 SMP (5)5.5.2 VCU (7)5.5.3 SC (7)5.5.4 SCC (7)5.5.5 VDS (7)5.5.6 VR (8)5.5.7 VCU_GW (8)5.5.8 SC_GW (8)5.5.9 VT (8)6. 用户及设备编码 (8)7. 功能要求及主要流程 (9)7.1系统功能 (9)7.1.1 用户开销户流程 (10)7.1.2 用户划归与业务变更 (14)7.1.3 设备开销户流程 (15)7.1.4 设备划归 (20)7.1.5 权限管理流程 (20)7.1.6 用户修改别名和密码 (20)7.1.7 售后服务流程 (21)7.1.8 话单与支付 (21)7.2业务功能 (21)7.2.1 前端注册注销 (21)7.2.2 无线前端休眠和短信通知上线 (22)7.2.3 前端保活 (23)7.2.4 前端能力上报 (24)7.2.5 前端查询平台信息 (25)7.2.6 前端时钟同步 (25)7.2.7 平台呼叫前端请求实时视频 (26)7.2.8 客户端注册和注销 (29)7.2.9 客户端保活 (30)7.2.10 客户端查询平台信息 (30)7.2.11 客户端自动升级 (31)7.2.12 历史告警查询 (32)7.2.13 获取设备列表 (32)7.2.14 客户端自定义LOGO上载和下载 (34)7.2.15 查询设备详细信息 (34)7.2.16 活动告警查询和确认 (35)7.2.17 前端状态通知 (36)7.2.18 直连实时浏览 (36)7.2.19 中转实时浏览 (39)7.2.20 直连中转自动切换 (42)7.2.21 云镜控制 (44)7.2.22 云镜锁定和解锁流程 (45)7.2.23 直连语音对讲 (46)7.2.24 中转语音对讲 (46)7.2.25 语音广播 (47)7.2.26 平台告警联动查询和设置 (49)7.2.27 告警联动 (50)7.2.28 平台触发前端抓拍上载 (51)7.2.29 平台手动录像 (52)7.2.30 平台录像计划查询和设置 (53)7.2.31 平台录像查询删除 (54)7.2.32 平台录像回放和下载 (54)7.2.33 前端手动录像 (56)7.2.34 前端录像计划查询和设置 (57)7.2.35 前端录像查询 (58)7.2.36 前端录像中转回放和下载 (59)7.2.37 前端录像直连回放和下载 (61)7.2.38 前端抓拍和上载 (62)7.2.39 前端抓拍计划查询和设置 (63)7.2.40 前端抓拍图片查询和下载 (64)7.2.41 平台抓拍图片查询和下载 (65)7.2.42 前端参数配置和查询 (65)7.2.43 手机客户端获取设备列表 (67)7.2.44 手机客户端请求播放实时视频和云镜控制 (67)7.2.45 手机WAP方式请求实时视频 (69)7.2.46 手机客户端录像查询 (70)7.2.47 获取录像回放或下载URL (71)7.2.48 手机客户端录像回放 (72)7.2.49 客户端上载视频 (74)7.2.50 上载视频查询、回放和下载 (74)7.2.51 前端采集数据上载 (75)7.2.52 客户端上线和前端登陆的总体流程说明 (75)8. 性能要求 (77)8.1承载网性能要求 (77)8.2无线网络性能要求 (78)8.3图像参数要求 (78)8.4传输要求 (78)8.5系统处理能力 (79)9. 可靠性要求 (79)10. 安全性要求 (79)10.1认证机制 (80)10.2信令安全 (80)10.3数据安全 (80)10.4网络安全 (80)10.5设备安全 (81)10.6系统安全 (81)11. 网管要求 (81)11.1平台网管要求 (81)11.2 前端网管要求 (82)12. 系统要求 (82)12.1设计原则 (82)12.2建设原则 (83)12.3硬件要求 (83)12.3.1 可靠性与可用性 (84)12.3.2 服务器硬件要求 (84)12.3.3 终端设备硬件要求 (84)12.4软件要求 (85)12.4.1基本要求 (85)12.4.2 软件设计要求 (85)12.4.3 中心服务平台管理系统软件要求 (85)12.5环境和节能要求 (85)13. 编制历史 (86)前言本标准旨在于定义中国移动视频监控业务的总体技术规范和业务流程,用于中国移动公司开展视频监控业务的规范性文件。
中国移动网络与信息安全保障体系
高层牵头 领导负责 全员参与 专人管理
中移动网络与信息安全策略架构
国家政策要求
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
企业发展战略
国内外标准
安全评估结果
网络与信息安全体系总纲 技术规范
安全域划分技术规范、 IP专网接入安全要 求、安全产品测试规 范……
第一层
管理规范
目录
▪ ▪ ▪ ▪
信息安全:企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 角色责任与执行
关键成功因素
▪ ▪ ▪ ▪ 网络与信息安全工作必须是高层牵头,领导负 责,全员参与,专人管理; 必须全员参与。 建立全面、均衡、可行的评估、考核体系,以 衡量网络与信息安全管理工作的水平; 安全工作的具体实施必须同公司的企业文化相 兼容; 组织,政策、支援。
信息安全是信息服务提供商的核心保证
▪ 一个不安全的网络,将不可能提供高质量的信 息服务 ▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
各省公司网络 信息安全办公室
管理层
集团网络信息 安全小组
各省网络信息 安全小组
执行层
集团公司组织架构
集团 网络与信息安 全领导小组
公司的安全管理,跨部门 工作协调,组织落实公司 范围的各项安全工作。
网络部
பைடு நூலகம்
网络安全办 公室
….
业务支撑系 统部
….
管理信息系 统部
2020年(安全管理)中国移动管理信息系统安全基线规范v
(安全管理)中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号:1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。
本规范由中国移动通信集团公司管理信息系统部提出并归口管理。
本规范的解释权属于中国移动通信集团公司管理信息系统部。
本规范起草单位:中国移动通信集团公司管理信息系统部本规范主要起草人:起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。
本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。
1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。
移动业务系统安全防御体系介绍
移动业务系统安全防御体系介绍引言随着移动设备的普及和移动互联网的快速发展,移动业务系统在我们日常生活和工作中扮演着越来越重要的角色。
然而,移动业务系统同样也面临着安全风险和威胁。
为了保护移动业务系统的安全和稳定运行,建立一个完善的安全防御体系是至关重要的。
本文将介绍移动业务系统的安全防御体系,包括安全威胁的类型、常用的安全防御措施以及评估和监控体系。
移动业务系统的安全威胁移动业务系统面临多种安全威胁和风险,包括以下几个主要类型:1.恶意软件攻击: 恶意软件是移动业务系统最常见的安全威胁之一。
恶意软件可以通过下载、安装和更新应用程序的过程中传播,并在设备上执行恶意操作,如窃取用户的敏感信息、控制设备以及发送垃圾信息等。
因此,对于移动设备上的恶意软件进行检测和防御是很重要的。
2.网络攻击: 移动业务系统依赖于互联网连接,在数据传输和通信过程中面临网络攻击的风险。
网络攻击可以通过拦截和篡改数据流、网络钓鱼、拒绝服务等方式来破坏移动业务系统的正常运行。
因此,网络安全措施和加密技术的使用是保护移动业务系统的重要手段。
3.物理安全威胁: 移动设备的易失性和易失窃的特点使其容易受到物理安全威胁的攻击。
这包括设备的盗窃、丢失和损坏等情况。
为了保护移动业务系统的物理安全,可以使用设备锁定、远程擦除和定位等功能。
安全防御措施针对上述安全威胁,移动业务系统需要采取一系列的安全防御措施来保护系统和用户的安全。
以下是几种常用的安全防御措施:1.设备管理: 通过使用设备管理解决方案来管理和监控移动设备,包括设备的注册、配置、远程锁定和擦除等功能。
这样可以确保设备在丢失或被盗的情况下能够及时做出相应的反应。
2.应用程序安全: 在移动业务系统中,应用程序是最容易受到恶意软件攻击的部分。
因此,确保应用程序的安全性非常重要。
可以通过代码审查、加密和代码签名等措施来保护应用程序的安全。
3.用户身份和权限管理: 通过用户身份验证和权限管理,限制只有授权用户才能访问系统功能和敏感信息。
中国移动直放站监控系统数据需求规范1.0.0
中国移动通信企业标准QB-W-003-2005中国移动直放站监控系统数据需求规范版本号: 1.0.02005-8-12发布 2005-8-12实施中国移动通信有限公司 发布 Repeater Operation and Maintenance System DataRequirement Specifications of CMCC目录范围 (1)引用标准 (1)缩略语 (1)1数据要求 (2)1.1网管数据 (2)1.2实时采样数据 (2)1.3设置数据 (3)1.5告警数据 (3)2直放站监控数据定义 (4)2.1设备信息和网管数据 (4)2.1.1设备厂商代码R001 (4)2.1.2设备类别R002 (4)2.1.3设备型号R003 (4)2.1.4监控版本信息R004 (4)2.1.5设备生产序列号R005 (4)2.1.6设备经纬度R006 (5)2.1.7查询/设置号码R010 (5)2.1.8监控参数列表R015 (5)2.1.9天线高度R016 (5)2.1.10站点等级R017 (5)2.1.11站点描述R018 (5)2.1.12直放站代码R019 (5)2.2实时采样数据 (5)2.2.1功放温度I001 (5)2.2.2设备的实际载波总数I002 (6)2.2.3下行输入功率电平I003 (6)2.2.4上行输出功率电平I004 (6)2.2.5下行输出功率电平I005 (6)2.2.6上行理论增益I006 (7)2.2.7下行实际增益I006 (7)2.2.8下行驻波比值I007 (7)2.2.9光收功率/光发功率I008 (7)2.2.10上行/下行信号旁路状态I009 (7)2.2.11信源信息I010- I015 (8)2.3设置数据 (8)2.3.1站点编号R007 (8)2.3.2设备编号R008 (8)2.3.3短信服务中心号码 R009 (8)2.3.5上报号码R011 (8)2.3.6监控中心IP地址及端口号R012 (8)2.3.7上报通信方式R013 (8)2.3.8日期时间R014 (8)2.3.9射频信号开关W001 (8)2.3.10信源小区识别码参照值W002 (9)2.3.11射频切换开关状态W003 (9)2.3.12功放开关W004 (9)2.3.13信道号W005/W006 (9)2.3.14工作频带的上/下边带信道号W007 (9)2.3.15移频频带的上/下边带信道号W008 (9)2.3.16上/下行衰减值S009 (9)2.3.17功放过温度告警门限W010 (10)2.3.18下行驻波比门限W011 (10)2.3.19下行输入功率欠功率告警门限W012 (10)2.3.20下行输入功率过功率告警门限W012 (10)2.3.21下行输出功率欠功率告警门限W013 (10)2.3.22上行输出功率过功率告警门限W014 (10)2.3.23直放站主动告警使能标志W015 (10)2.4告警数据 (10)2.4.1电源掉电告警F001 (10)2.4.2电源故障告警F002 (11)2.4.3太阳能电池低电压告警F003 (11)2.4.4监控模块电池故障告警F004 (11)2.4.5位置告警F005 (11)2.4.6门禁告警F006 (11)2.4.7自激告警F007 (11)2.4.8功放过温告警F008 (12)2.4.9信源变化告警F009 (12)2.4.10其他模块告警F010 (12)2.4.11本振失锁告警F011 (12)2.4.12上/下行功放,上/下行低噪放故障告警F012/ F013/ F014/ F015 (12)2.4.13下行输入过功率告警F016 (12)2.4.14下行输入欠功率告警F016 (13)2.4.15下行输出欠功率告警F017 (13)2.4.16上行输出过功率告警F018 (13)2.4.17下行驻波比告警F019 (13)2.4.18光收发告警F020 (13)2.4.19主从监控链路告警F021 (13)2.4.20外部告警F022 (14)2.4.21塔顶放大器告警F023 (14)2.4.22功放旁路告警F024 (14)2.4.23巡检上报F025 (14)2.4.25开站上报F027 (14)2.4.26配置变更上报F028 (14)3各类直放站所具备数据对应关系 (15)3.1宽带直放站 (16)3.2选频直放站 (17)3.3光纤直放站直接耦合近端机 (18)3.4光纤直放站无线耦合近端机 (19)3.5光纤直放站宽带远端机 (20)3.6光纤直放站选频远端机 (21)3.7干线放大器 (22)3.8移频直放站直接耦合宽带近端机 (23)3.9移频直放站直接耦合选频近端机 (24)3.10移频直放站无线耦合宽带近端机 (25)3.11移频直放站无线耦合选频近端机 (26)3.12移频直放站宽带远端机 (27)3.13移频直放站选频远端机 (28)3.14双向宽带塔放 (29)3.15双向选频塔放 (30)3.16光纤载波池宽带基站端机 (31)3.17光纤载波池选频基站端机 (32)3.18光纤载波池宽带远端机 (33)3.19光纤载波池选频远端机 (34)3.20双频光纤直放站直接耦合近端机 (35)3.21双频光纤直放站远端机 (36)3.22基站放大器 (37)4本规范版本及更新信息.......................................................................................... 错误!未定义书签。
中国移动基础信息安全管理通用要求
中国移动基础信息安全管理通用要求一、总则为加强中国移动基础信息安全管理,保障移动通信信息系统及相关资源的安全性、可靠性和完整性,依据《中华人民共和国网络安全法》等相关法律法规,制定本通用要求。
二、信息安全管理机构1.设立信息安全管理机构,明确信息安全管理组织机构与管理层之间的职责及权限关系。
2.信息安全管理机构应配备足够的专业人员,负责信息安全管理工作的组织、协调、监督和指导。
3.信息安全管理机构应定期组织信息安全培训,提高全员信息安全意识和技能。
三、信息安全政策1.制定信息安全政策,明确信息安全目标、原则和体系。
2.信息安全政策应体现法律法规要求,保障用户隐私权和信息安全。
3.信息安全政策应经管理层审核、批准并向全员公布。
四、信息资产管理1.建立信息资产清单,对信息资产进行分类、归档和保护。
2.制定信息资产管理规范,明确信息资产的保密、完整性和可用性要求。
3.定期审核信息资产管理规范,保证其有效性和持续改进。
五、风险管理1.建立风险评估和风险处理制度,对关键信息系统和网络进行风险评估。
2.定期开展风险评估,根据评估结果制定风险处理计划和措施。
3.建立应急预案,做好信息安全事件的应急处置工作。
六、系统安全管理1.建立系统安全管理规范,对系统硬件、软件和网络进行安全管理。
2.对系统进行安全加固,保护系统的稳定性和可靠性。
3.建立系统审计机制,对系统操作进行监控和审计。
七、网络安全管理1.建立网络安全管理规范,保护网络的安全性和可靠性。
2.加强边界防护,确保网络的畅通和安全。
3.加密网络通信,防止网络数据泄露和窃听。
八、身份认证和访问控制1.建立用户身份认证机制,确保用户访问的合法性和安全性。
2.细化访问控制策略,根据不同用户权限控制其访问的范围和权限。
3.定期审核用户权限,避免权限滥用和泄露。
九、安全培训和教育1.定期开展信息安全培训,提高员工信息安全意识和技能。
2.加强安全意识教育,防范社会工程和网络攻击。
精编【安全管理】中国移动管理信息系统安全基线规范v
精编【安全管理】中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳╳╳╳版本号:1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。
本规范由中国移动通信集团公司管理信息系统部提出并归口管理。
本规范的解释权属于中国移动通信集团公司管理信息系统部。
本规范起草单位:中国移动通信集团公司管理信息系统部本规范主要起草人:起草人1姓名、起草人2姓名、……目录1概述 (4)1.1目标和适用范围 (4)1.2引用标准 (4)1.3术语和定义 (4)2安全基线框架 (5)2.1背景 (5)2.2安全基线制定的方法论 (6)2.3安全基线框架说明 (6)3安全基线范围及内容 (7)3.1覆盖范围 (7)3.2安全基线组织及内容 (8)3.2.1 安全基线编号说明 (9)3.2.2 Web应用安全基线示例 (9)3.2.3 中间件、数据库、主机及设备示例 (9)3.3安全基线使用要求 (10)4评审与修订 (10)1概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。
本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。
1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS 199 《联邦信息和信息系统安全分类标准》◆FIPS 200 《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。
推荐-中国移动网络与信息安全总纲 精品
中国移动网络与信息安全总纲中国移动通信集团公司20XX年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动 [注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (1)目录 (2)总则 (11)1.网络与信息安全的基本概念 (11)2.网络与信息安全的重要性和普遍性 (11)3.中国移动网络与信息安全体系与安全策略 (12)4.安全需求的来源 (14)5.安全风险的评估 (15)6.安全措施的选择原则 (15)7.安全工作的起点 (16)8.关键性的成功因素 (17)9.安全标准综述 (17)10.适用范围 (22)第一章组织与人员 (23)第一节组织机构 (23)1.领导机构 (23)2.工作组织 (24)3.安全职责的分配 (25)4.职责分散与隔离 (26)5.安全信息的获取和发布 (27)6.加强与外部组织之间的协作 (27)7.安全审计的独立性 (28)第二节岗位职责与人员考察 (28)1.岗位职责中的安全内容 (28)2.人员考察 (29)3.保密协议 (30)4.劳动合同 (30)5.员工培训 (30)第三节第三方访问与外包服务的安全 (30)1.第三方访问的安全 (30)2.外包服务的安全 (32)第四节客户使用业务的安全 (33)第二章网络与信息资产管理 (35)第一节网络与信息资产责任制度 (35)1.资产清单 (35)2.资产责任制度 (36)第二节资产安全等级及相应的安全要求 (39)1.信息的安全等级、标注及处置 (39)2.网络信息系统安全等级 (41)第三章物理及环境安全 (43)第一节安全区域 (43)1.安全边界 (43)3.物理保护 (45)4.安全区域工作规章制度 (46)5.送货、装卸区与设备的隔离 (47)第二节设备安全 (48)1.设备安置及物理保护 (48)2.电源保护 (49)3.线缆安全 (50)4.工作区域外设备的安全 (51)5.设备处置与重用的安全 (51)第三节存储媒介的安全 (52)1.可移动存储媒介的管理 (52)2.存储媒介的处置 (52)3.信息处置程序 (53)4.系统文档的安全 (54)第四节通用控制措施 (55)1.屏幕与桌面的清理 (55)2.资产的移动控制 (56)第四章通信和运营管理的安全 (57)第一节操作流程与职责 (57)1.规范操作细则 (57)2.设备维护 (58)4.安全事件响应程序 (59)5.开发、测试与现网设备的分离 (60)第二节系统的规划设计、建设和验收 (61)1.系统规划和设计 (61)2.审批制度 (61)3.系统建设和验收 (62)4.设备入网管理 (64)第三节恶意软件的防护 (64)第四节软件及补丁版本管理 (66)第五节时钟和时间同步 (67)第六节日常工作 (67)1.维护作业计划管理 (67)2.数据与软件备份 (67)3.操作日志 (69)4.日志审核 (69)5.故障管理 (70)6.测试制度 (71)7.日常安全工作 (71)第七节网络安全控制 (72)第八节信息与软件的交换 (73)1.信息与软件交换协议 (73)2.交接过程中的安全 (73)3.电子商务安全 (74)4.电子邮件的安全 (75)5.电子办公系统的安全 (76)6.信息发布的安全 (77)7.其他形式信息交换的安全 (78)第五章网络与信息系统的访问控制 (79)第一节访问控制策略 (79)第二节用户访问管理 (81)1.用户注册 (81)2.超级权限的管理 (82)3.口令管理 (84)4.用户访问权限核查 (84)第三节用户职责 (85)1.口令的使用 (85)2.无人值守的用户设备 (86)第四节网络访问控制 (87)1.网络服务使用策略 (87)2.逻辑安全区域的划分与隔离 (88)3.访问路径控制 (89)4.外部连接用户的验证 (89)5.网元节点验证 (90)6.端口保护 (90)7.网络互联控制 (91)8.网络路由控制 (91)9.网络服务的安全 (92)第五节操作系统的访问控制 (92)1.终端自动识别 (93)2.终端登录程序 (93)3.用户识别和验证 (94)4.口令管理系统 (94)5.限制系统工具的使用 (95)6.强制警报 (96)7.终端超时关闭 (96)8.连接时间限制 (96)第六节应用访问控制 (97)1.信息访问限制 (97)2.隔离敏感应用 (98)第七节系统访问与使用的监控 (98)1.事件记录 (98)2.监控系统使用情况 (99)第八节移动与远程工作 (101)1.移动办公 (101)2.远程办公 (102)第六章系统开发与软件维护的安全 (104)第一节系统的安全需求 (104)第二节应用系统的安全 (106)1.输入数据验证 (106)2.内部处理控制 (107)3.消息认证 (108)4.输出数据验证 (109)第三节系统文件的安全 (109)1.操作系统软件的控制 (109)2.系统测试数据的保护 (110)3.系统源代码的访问控制 (111)第四节开发和支持过程中的安全 (112)1.变更控制程序 (112)2.软件包的变更限制 (113)3.后门及特洛伊代码的防范 (114)4.软件开发外包的安全控制 (115)第五节加密技术控制措施 (115)1.加密技术使用策略 (115)2.使用加密技术 (116)3.数字签名 (117)4.不可否认服务 (118)5.密钥管理 (118)第七章安全事件响应及业务连续性管理 (121)第一节安全事件及安全响应 (121)1.及时发现与报告 (122)2.分析、协调与处理 (122)3.总结与奖惩 (124)第二节业务连续性管理 (124)1.建立业务连续性管理程序 (124)2.业务连续性和影响分析 (125)3.制定并实施业务连续性方案 (126)4.业务连续性方案框架 (127)5.维护业务连续性方案 (129)第八章安全审计 (131)第一节遵守法律法规要求 (131)1.识别适用的法律法规 (131)2.保护知识产权 (132)3.保护个人信息 (132)4.防止网络与信息处理设施的不当使用 (133)5.加密技术控制规定 (133)6.保护公司记录 (134)7.收集证据 (134)第二节安全审计的内容 (135)第三节安全审计管理 (135)1.独立审计原则 (136)2.控制安全审计过程 (136)3.保护审计记录和工具 (137)...................................................................... 错误!未定义书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
本标准由中国移动通信集团公司管理信息系统部提出,集团公司技术部归口。
本标准起草单位:中国移动通信集团公司管理信息系统部本标准主要起草人:冯运波、陈江锋、侯春森、康小强1.范围本标准规定了中国移动管理信息系统安全防护的整体技术要求,供中国移动总部、省公司、设计院、研究院使用;适用于开展管理信息系统安全防护工作。
2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
序号标准编号标准名称发布单位3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准:词语解释安全域具有相同或相近的安全需求、相互信任的区域或网络实体的集合。
一个安全域内可进一步被划分为安全子域。
资产指组织的信息系统、其提供的服务以及处理的数据。
它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。
脆弱性/弱点资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。
弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
威胁对组织的资产引起不期望后果的事件。
威胁可能源于对企业/组织的信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。
威胁也可能源于偶发的、或蓄意的事件风险是一种潜在可能性,是指某个威胁利用弱点引起某项资产或一组资产的损害从而直接地或间接地引起企业或机构的损害的可能性。
因此,风险和具体的资产、其价值、威胁以及相关的弱点直接相关残余风险采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
风险是客观存在的,绝对的安全是不存在的,风险评估的目的就是使残余风险可接受AAAA 账号管理、认证、授权与审计系统ACL 访问控制列表SHG 安全加固手册(Security Harden Guideline) SBL 安全基线(Security Baseline)DMZ 非军事化区、停火区(DeMilitarized Zone)IDS 入侵检测系统(Intrusion Detection System) MIS 管理信息系统(Management Information System) SOC 安全运行管理中心Radius 接入用户远程认证服务(Remote Authentication Dial-In User Service)VPN 虚拟专用网4. 综述4.1背景随着总部和各省公司在安全方面的建设,在总部和各省公司管理信息系统内网已经部署了一些基本的安全产品,如防火墙、IDS、防病毒、防垃圾邮件系统、终端安全管理系统等,已具备了一定的安全防护能力。
但是通过对省公司的调研发现,省公司普遍存在安全防护、安全监控手段不健全,不足于抵抗各种安全攻击和风险;安全域划分不清晰,没有分层防御;设备和系统采用默认配置,存在大量安全隐患;没有进行安全风险评估等现象。
部分原因也在于过去管理信息系统的整体安全管理体系中对操作实施层面的第二层、第三层技术规范与要求不够细化与完善,出现了安全工作中没有可参考依据,可衡量标准的问题。
根据国务院信息化领导小组2003年下发“关于加强信息安全保障工作的意见” (中办发[2003]27号) 的要求,网络与信息安全工作是国家安全的重要组成部分,信息安全保障应“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全”。
文件要求正确处理安全与发展的关系,统筹规划,突出重点,强化基础性工作,通过实行信息安全等级保护实现这一目的。
因此,国家将建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
在这样的背景下,实现信息系统的分等级保护,制定相应安全防护技术标准,安全域划分标准、安全风险的评估标准,加强系统自身安全配置,避免常见的安全风险,加强设备入网安全检查等就非常重要。
为此,集团管理信息系统部制定了统一的安全防护和安全加固的系列技术规范,用于指导总部和省公司管理信息系统的安全域划分、安全防护、日常安全评估、安全加固和安全基线检查等。
本安全防护技术体系也是对管理信息系统安全管理体系(下图所示)中第二层第三层技术规范与要求的完善和补充,规范具体安全工作的实施与落地。
图一管理信息系统安全管理体系4.2本要求的范围和主要内容本技术要求的范围为总部和各省公司管理信息系统,涉及到网络安全域划分和安全防护,对主机、数据库、网络、应用系统的安全加固、安全基线检查、安全评估。
主要内容包括:●《管理信息系统安全域划分技术要求》明确了安全域划分的基本原则,界定了管理信息系统的重要性和安全风险等级,把具有相同或相近的安全属性的信息资产划分为域,进行统一规范的保护,限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。
●《管理信息系统安全域防护技术要求》规定了不同安全等级的安全域防护要求和技术手段,从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施(如防火墙、入侵检测、防病毒、安全审计等),针对各个子域,制定规范的防护技术要求,并要求按照技术要求落实安全防护措施。
提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播,保证管理信息系统的安全运行。
●《管理信息系统安全风险评估技术要求》规定了风险评估的流程、实施风险评估的步骤,可以作为日常进行安全风险评估的指南,定期对系统与网络开展信息安全风险评估,根据评估结果与加固规范要求对系统进行安全加固。
●《管理信息系统安全加固规范》是针对各系统自身安全配置的加固操作手册,可以用来解决大多数因安全配置不到位而引起的安全问题。
●《管理信息系统安全基线技术规范》将配合安全基线检查工具一起使用,用于核查信息系统的安全合规性。
对于新上线系统,在入网前需要经过安全基线的检查,保障整体信息安全的水平。
●《管理信息系统集中灾备系统技术要求》是集团管理信息系统集中灾备系统的建设要求,涵盖建设、扩容、升级多个方面。
5. 目标和原则管理信息系统安全防护工作的主要目标就是要增强管理信息系统各个系统的安全防护能力,加强系统和设备自身的安全,确保网络的安全性与可靠性,保障管理信息系统的正常运行。
管理信息系统安全防护工作要以适度安全原则为指导,采用自主保护和重点保护方法,在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则,实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。
本安全防护体系技术要求是建立管理信息系统安全防护体系的指导性文件,要求总部和各省公司部署安全技术措施与相关安全工作。
具体包括以下步骤与要求:⏹要根据安全域划分技术要求要求,按照安全保护需求和相互信任的区域关系,将管理信息系统划分成不同的区域,并在安全域防护技术要求中定义出各个安全域的管理需求、技术需求和设备需求,部署相应的安全手段,进行安全域的边界隔离与数据流的安全策略控制。
⏹对于各个业务系统以及网络,要切实按照加固规范要求进行必要的安全加固,修补安全漏洞与隐患。
⏹对于新上线系统以及原有系统,在安全配置上要求至少符合安全基线的要求,保证和维持管理信息系统的安全基准,运维管理人员要基于安全基线定期进行安全检查。
⏹总部与省公司要基于风险评估技术要求定期组织开展风险评估,识别管理信息系统中存在的风险,并对风险进行相应的处置。
⏹针对管理信息系统需要按照灾难备份与恢复实施技术要求,在风险评估的基础上,平衡效益与成本,建立完善灾难备份与恢复体系。
6. 安全防护技术体系6.1整体说明本技术要求是中国移动管理信息系统信息安全防护技术的指导性文件,其适用范围纵向包括集团总部和省公司的管理信息系统两个层次,横向覆盖整个管理信息系统内部业务系统,包括其所属的网络设备、安全设备、服务器、终端等。
中国移动管理信息系统涉及的业务系统,包括已经建成使用的管理信息系统应用如统一信息平台、OA系统、ERP系统、综合统计系统、电子采购系统、综合信息网、终端管理平台、网上教育、全面预算管理、银企互联、计划管理系统等。
安全防护技术要求明确了管理信息系统需要落实的安全技术措施和相关的安全工作,安全防护的范畴建立的管理信息系统安全防护技术体系如下图所示,它由总纲、安全域划分技术要求、安全加固技术要求、安全基线规范、信息安全风险评估技术要求以及灾难备份与恢复实施技术要求构成。