中国移动管理信息系统安全基线规范v10
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动通信企业标准
QB-╳╳-╳╳╳-╳╳╳╳
中国移动管理信息系统
安全基线技术规范
T e c h n i c a l S p e c i f i c a t i o n s f o r
S e c u r i t y B a s e l i n e o f C M C C M I S
版本号:1.0.0
╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布
前言
本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。
本规范由中国移动通信集团公司管理信息系统部提出并归口管理。
本规范的解释权属于中国移动通信集团公司管理信息系统部。
本规范起草单位:中国移动通信集团公司管理信息系统部
本规范主要起草人:起草人1姓名、起草人2姓名、……
目录
1概述 (4)
1.1目标和适用范围 (4)
1.2引用标准 (4)
1.3术语和定义 (4)
2安全基线框架 (5)
2.1背景 (5)
2.2安全基线制定的方法论 (6)
2.3安全基线框架说明 (6)
3安全基线范围及内容 (7)
3.1覆盖范围 (7)
3.2安全基线组织及内容 (8)
3.2.1 安全基线编号说明 (9)
3.2.2 Web应用安全基线示例 (9)
3.2.3 中间件、数据库、主机及设备示例 (9)
3.3安全基线使用要求 (10)
4评审与修订 (10)
1概述
1.1目标和适用范围
本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。
1.2引用标准
◆《中国移动网络与信息安全总纲》
◆《中国移动内部控制手册》
◆《中国移动标准化控制矩阵》
◆《中国移动操作系统安全功能和配置规范》
◆《中国移动路由器安全功能和配置规范》
◆《中国移动数据库安全功能和配置规范》
◆《中国移动网元通用安全功能和配置规范》
◆FIPS 199 《联邦信息和信息系统安全分类标准》
◆FIPS 200 《联邦信息系统最小安全控制标准》
1.3术语和定义
2安全基线框架
2.1背景
中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。为了保证整体安全水平,防止系统设备因为安全配置不到位而带来安全风险,有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固,则可以确保系统和设备安全符合性达到要求,杜绝大
部分的安全隐患。为此,制定各系统的安全基线,作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据,同时也是满足内控管理要求的依据。
此次系列安全基线规范覆盖了从应用层、中间件层、操作系统层以及网络层,并依据这些安全基线建立准入措施,从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下:
▪覆盖面广,涵盖管理信息系统常见IT系统和设备,并涵盖Web应用和源代码的安全基线;
▪可操作性强,针对每个检查项均有简洁的操作说明;
▪定期更新,应当周期性的对基线进行补充和更新;
▪成果可固化,基线可以被集成为检查工具;
▪安全基线将作为系统和设备安全准入的必要条件。
2.2安全基线制定的方法论
安全基线制定主要基于以下方法:
1.参考产品原厂商的技术资料
2.参考安全服务及安全研究的成果
3.参考国内外大型研究机构及企业现行的安全基线
4.结合中国移动网络部下发的相关规范及管理信息系统部的实际情况2.3安全基线框架说明
管理信息系统安全基线框架(以下简称框架)由二个层面的安全规范组成。
本规范为框架的第一层面,其编制依据主要为中国移动网络与信息安全总纲、中国移动内部控制手册和控制矩阵、管理信息系统安全防护与安全加固技术要求,同时参考国际、国内相关标准规范。
第二层规范,按设备和系统种类,分为主机操作系统类安全基线、数据库类安全基线、网络设备类安全基线、中间件与应用类安全基线等。第二层规范包含的设备和系统种类可根据需要进行扩充。第二层规范的编制依据主要为本规范,同时参考各类设备和产品相应的技术资料。
3 安全基线范围及内容
3.1 覆盖范围
目前总部及各省公司管理信息系统中部署了数量众多的IT 设备和系统,主要包括网络设备、主机、数据库、中间件和应用系统等。此次安全基线制定的范围需要涵盖中国移动管理信息系统常见的IT 系统和设备,具体包括:
主机操作系统安全基线
……
数据库系统安全基线
……
网络设备安全基线
……
AIX 系统安全基线 Solaris 系统安全基线
Oracle 数据库安全基线
DB2数据库安全基线
华为网络设备安全基线
Juniper 网络设备安全基线 MIS 安全防护体系总
体技术要求
中国移动网络与信息
安全总纲
总部内部控制手册,
控制矩阵
Windows 系统安全基线
SQLServer 数据库安全基线
CISCO 网络设备安全基线 中间件和应用安全基线
……
WEB 应用安全基线
WebSphere 安全基线
Domino 安全基线