中国移动业务安全通用评估规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动业务安全通用评估规范
2012年3月
目录
第1章概述 (3)
第2章评估依据 (3)
第3章框架及模型 (3)
3.1 概述 (3)
3.2 安全评估模型 (4)
3.3 模型简介 (5)
3.3.1 网络结构安全 (5)
3.3.2 设备安全 (5)
3.3.3 平台及软件安全 (5)
3.3.4 业务流程安全 (5)
3.3.5 终端安全 (7)
3.3.6 安全管控 (7)
3.3.7 应用指导原则 (8)
第4章实施方案 (8)
4.1 网络结构安全 (8)
4.2 设备安全 (10)
4.3 平台及软件安全 (26)
4.4 业务流程安全 (31)
4.4.1 内容安全 (31)
4.4.2 计费安全 (34)
4.4.3 能力开放接口安全 (36)
4.4.4 客户信息安全 (37)
4.4.5 业务逻辑安全 (41)
4.4.6 传播安全 (44)
4.4.7 营销安全 (45)
4.5 终端安全 (48)
4.6 安全管控 (51)
4.6.1 系统安全 (51)
4.6.2 人员安全 (53)
4.6.3 第三方安全管理 (54)
第1章概述
为了加强中国移动业务安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务安全整体水平,降低业务安全风险,特制定本安全评估规范。
本评估规范针对各业务类型的信息安全水平进行客观、综合评价,促进业务安全管理工作的开展,为业务发展提供良好支撑。
本规范解释权归总部信息安全管理与运行中心。
第2章评估依据
1.《中国移动业务安全评估标准》
2.《中国移动账号口令管理办法》
3.《中国移动设备通用安全功能和配置规范》
4.《中国移动第三方管理办法》
5.《中国移动帐号口令集中管理系统功能及技术规范》
6.《中国移动业务支撑网4A安全技术规范》
7.《中国移动客户信息安全保护管理规定》
8.《中国移动安全域管理办法》
第3章框架及模型
3.1概述
中国移动业务安全评估依据科学的安全风险评估方法,从业务所
涉及的各类软硬件资产(网络、设备、通用平台及软件、业务实现程序、终端)出发,依据不同类型资产耦合度,划分为五个层次。
根据不同层次常见以及高危安全风险,分别对不同风险进行安全评估。
本安全评估规范重点对与业务流程相关的内容、计费、协议接口、客户信息、业务逻辑、传播、营销等方面进行安全风险评估,旨在尝试深层次探索中国移动业务安全问题,相关评估结果亦可指导相关业务的建设和运维。
3.2安全评估模型
3.3模型简介
3.3.1网络结构安全
网络结构安全从网络拓扑、安全域方面进行安全评估,重点评估中国移动业务所涉及的物理链路、数据路径、流量控制、安全域划分及隔离防护策略等信息安全管控措施的落实及实施效果。
3.3.2设备安全
设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。
重点评估中国移动业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
3.3.3平台及软件安全
平台及软件安全从数据库、中间件、4A三个方面进行安全评估。
重点评估中国移动业务所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
3.3.4业务流程安全
3.3.
4.1内容安全
内容安全从内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护四个方面进行安全评估。
重点评估中国移动业务在内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施
的落实及实施效果。
3.3.
4.2计费安全
计费安全从计费流程方面进行安全评估。
重点评估中国移动业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。
3.3.
4.3能力开放接口安全
能力开放接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。
重点评估中国移动业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。
3.3.
4.4客户信息安全
客户信息安全从客户基本信息、客户数据信息两个方面进行安全评估。
重点评估中国移动业务在客户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。
3.3.
4.5业务逻辑安全
业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。
重点评估中国移动业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。
传播安全从业务传播方式方面进行安全评估。
重点评估中国移动业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。
3.3.
4.7营销安全
营销安全从营销渠道、营销防盗链两个方面进行安全评估。
重点评估中国移动业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。
3.3.5终端安全
终端安全从PC客户端和移动终端两个方面进行安全评估。
重点评估中国移动业务相关的应用软件在身份认证、数据传输、异常功能处理等方面的信息安全管控措施的落实及实施效果。
3.3.6安全管控
3.3.6.1系统安全
系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。
重点评估中国移动业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果
人员安全从人员管理方面进行安全评估。
重点评估中国移动业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。
3.3.6.3第三方管理安全
第三方安全管理从人员安全、物理安全两个方面进行安全评估。
重点评估中国移动业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。
3.3.7应用指导原则
本评估规范旨在建立完整、体系化的中国移动业务安全风险评估框架,不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化以突出不同的重点。
第4章实施方案
4.1网络结构安全
4.2设备安全
4.3平台及软件安全
4.4业务流程安全4.4.1内容安全
4.4.2计费安全
4.4.3能力开放接口安全
4.4.4客户信息安全
4.4.5业务逻辑安全
4.4.6传播安全
4.4.7营销安全
4.5终端安全。