中国移动网络与信息安全概论

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

中国移动网络与信息安全总纲

中国移动通信集团公司

2006年7月

本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!

制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。

本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。本标准目前主要针对互联网、支撑网等IT系统安全。

[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司,以下简称“集团公司”。

各移动通信有限责任公司,以下简称“各省公司”。

前言 (1)

目录 (2)

总则 (11)

1.网络与信息安全的基本概念 (11)

2.网络与信息安全的重要性和普遍性 (11)

3.中国移动网络与信息安全体系与安全策略 (12)

4.安全需求的来源 (14)

5.安全风险的评估 (15)

6.安全措施的选择原则 (16)

7.安全工作的起点 (16)

8.关键性的成功因素 (17)

9.安全标准综述 (18)

10.适用范围 (22)

第一章组织与人员 (24)

第一节组织机构 (24)

1.领导机构 (24)

2.工作组织 (25)

3.安全职责的分配 (26)

4.职责分散与隔离 (27)

5.安全信息的获取和发布 (28)

6.加强与外部组织之间的协作 (28)

7.安全审计的独立性 (29)

第二节岗位职责与人员考察 (29)

1.岗位职责中的安全内容 (29)

2.人员考察 (30)

3.保密协议 (31)

4.劳动合同 (31)

5.员工培训 (31)

第三节第三方访问与外包服务的安全 (32)

1.第三方访问的安全 (32)

2.外包服务的安全 (33)

第四节客户使用业务的安全 (35)

第二章网络与信息资产管理 (36)

第一节网络与信息资产责任制度 (36)

1.资产清单 (36)

2.资产责任制度 (37)

第二节资产安全等级及相应的安全要求 (40)

1.信息的安全等级、标注及处置 (40)

2.网络信息系统安全等级 (42)

第三章物理及环境安全 (44)

第一节安全区域 (44)

2.出入控制 (45)

3.物理保护 (46)

4.安全区域工作规章制度 (47)

5.送货、装卸区与设备的隔离 (48)

第二节设备安全 (49)

1.设备安置及物理保护 (49)

2.电源保护 (50)

3.线缆安全 (51)

4.工作区域外设备的安全 (52)

5.设备处置与重用的安全 (52)

第三节存储媒介的安全 (53)

1.可移动存储媒介的管理 (53)

2.存储媒介的处置 (53)

3.信息处置程序 (54)

4.系统文档的安全 (55)

第四节通用控制措施 (56)

1.屏幕与桌面的清理 (56)

2.资产的移动控制 (57)

第四章通信和运营管理的安全 (58)

第一节操作流程与职责 (58)

1.规范操作细则 (58)

3.变更控制 (60)

4.安全事件响应程序 (60)

5.开发、测试与现网设备的分离 (61)

第二节系统的规划设计、建设和验收 (62)

1.系统规划和设计 (62)

2.审批制度 (62)

3.系统建设和验收 (63)

4.设备入网管理 (65)

第三节恶意软件的防护 (65)

第四节软件及补丁版本管理 (67)

第五节时钟和时间同步 (68)

第六节日常工作 (68)

1.维护作业计划管理 (68)

2.数据与软件备份 (68)

3.操作日志 (70)

4.日志审核 (70)

5.故障管理 (71)

6.测试制度 (72)

7.日常安全工作 (72)

第七节网络安全控制 (73)

第八节信息与软件的交换 (74)

1.信息与软件交换协议 (74)

2.交接过程中的安全 (74)

3.电子商务安全 (75)

4.电子邮件的安全 (76)

5.电子办公系统的安全 (77)

6.信息发布的安全 (78)

7.其他形式信息交换的安全 (79)

第五章网络与信息系统的访问控制 (80)

第一节访问控制策略 (80)

第二节用户访问管理 (82)

1.用户注册 (82)

2.超级权限的管理 (83)

3.口令管理 (85)

4.用户访问权限核查 (86)

第三节用户职责 (86)

1.口令的使用 (86)

2.无人值守的用户设备 (87)

第四节网络访问控制 (88)

1.网络服务使用策略 (89)

2.逻辑安全区域的划分与隔离 (89)

3.访问路径控制 (90)

4.外部连接用户的验证 (91)

相关文档
最新文档