中国移动业务安全通用评估规范

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

中国移动业务安全通用评估规
2012年3月
目录
第1章概述 (3)
第2章评估依据 (3)
第3章框架及模型 (3)
3.1 概述 (3)
3.2 安全评估模型 (4)
3.3 模型简介 (5)
3.3.1 网络结构安全 (5)
3.3.2 设备安全 (5)
3.3.3 平台及软件安全 (5)
3.3.4 业务流程安全 (5)
3.3.5 终端安全 (7)
3.3.6 安全管控 (7)
3.3.7 应用指导原则 (8)
第4章实施方案 (8)
4.1 网络结构安全 (8)
4.2 设备安全 (10)
4.3 平台及软件安全 (22)
4.4 业务流程安全 (27)
4.4.1 容安全 (27)
4.4.2 计费安全 (30)
4.4.3 能力开放接口安全 (31)
4.4.4 客户信息安全 (32)
4.4.5 业务逻辑安全 (35)
4.4.6 传播安全 (39)
4.4.7 营销安全 (40)
4.5 终端安全 (42)
4.6 安全管控 (45)
4.6.1 系统安全 (45)
4.6.2 人员安全 (47)
4.6.3 第三方安全管理 (49)
第1章概述
为了加强中国移动业务安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务安全整体水平,降低业务安全风险,特制定本安全评估规。

本评估规针对各业务类型的信息安全水平进行客观、综合评价,促进业务安全管理工作的开展,为业务发展提供良好支撑。

本规解释权归总部信息安全管理与运行中心。

第2章评估依据
1.《中国移动业务安全评估标准》
2.《中国移动账号口令管理办法》
3.《中国移动设备通用安全功能和配置规》
4.《中国移动第三方管理办法》
5.《中国移动口令集中管理系统功能及技术规》
6.《中国移动业务支撑网4A安全技术规》
7.《中国移动客户信息安全保护管理规定》
8.《中国移动安全域管理办法》
第3章框架及模型
3.1概述
中国移动业务安全评估依据科学的安全风险评估方法,从业务所
3.3模型简介
3.3.1网络结构安全
网络结构安全从网络拓扑、安全域方面进行安全评估,重点评估中国移动业务所涉及的物理链路、数据路径、流量控制、安全域划分及隔离防护策略等信息安全管控措施的落实及实施效果。

3.3.2设备安全
设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。

重点评估中国移动业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。

3.3.3平台及软件安全
平台及软件安全从数据库、中间件、4A三个方面进行安全评估。

重点评估中国移动业务所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。

3.3.4业务流程安全
3.3.
4.1容安全
容安全从容源引入机制、容发布机制、容提供流程和容操作记录保护四个方面进行安全评估。

重点评估中国移动业务在容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施
效果。

3.3.
4.2计费安全
计费安全从计费流程方面进行安全评估。

重点评估中国移动业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。

3.3.
4.3能力开放接口安全
能力开放接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。

重点评估中国移动业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。

3.3.
4.4客户信息安全
客户信息安全从客户基本信息、客户数据信息两个方面进行安全评估。

重点评估中国移动业务在客户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。

3.3.
4.5业务逻辑安全
业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。

重点评估中国移动业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。

传播安全从业务传播方式方面进行安全评估。

重点评估中国移动业务在业务传播围、业务传播方式等方面的信息安全管控措施的落实及实施效果。

3.3.
4.7营销安全
营销安全从营销渠道、营销防盗链两个方面进行安全评估。

重点评估中国移动业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。

3.3.5终端安全
终端安全从PC客户端和移动终端两个方面进行安全评估。

重点评估中国移动业务相关的应用软件在身份认证、数据传输、异常功能处理等方面的信息安全管控措施的落实及实施效果。

3.3.6安全管控
3.3.6.1系统安全
系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。

重点评估中国移动业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果
人员安全从人员管理方面进行安全评估。

重点评估中国移动业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。

3.3.6.3第三方管理安全
第三方安全管理从人员安全、物理安全两个方面进行安全评估。

重点评估中国移动业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。

3.3.7应用指导原则
本评估规旨在建立完整、体系化的中国移动业务安全风险评估框架,不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化以突出不同的重点。

第4章实施方案
4.1网络结构安全
4.2设备安全
4.3平台及软件安全
4.4业务流程安全4.4.1容安全
4.4.2计费安全
4.4.3能力开放接口安全
4.4.4客户信息安全
4.4.5业务逻辑安全
4.4.6传播安全
4.4.7营销安全
4.5终端安全
4.6安全管控4.6.1系统安全
4.6.2人员安全
4.6.3第三方安全管理。

相关文档
最新文档