您的位置:360文档中心› 中国移动家庭终端软探针数据安全管理规定(2019版)

中国移动家庭终端软探针数据安全管理规定(2019版)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

中国移动家庭终端软探针数据安全管理规定

(2019版)

中国移动通信集团公司网络部

2019年11月

目录

前言.............................................. 错误!未定义书签。

一、软探针数据面临的安全威胁 (2)

二、采集环节 (3)

(一)软探针的安全 (3)

(二)软探针厂家管理 (3)

三、传输环节 (4)

(一)传输网络接入及组网 (4)

(二)网络端口管理 (5)

(三)数据传输的安全 (5)

四、存储环节 (5)

(一)存储介质的安全 (5)

(二)存储数据的安全 (6)

五、使用环节 (6)

(一)软探针数据应用的申请及管理 (6)

(二)上层应用系统设备的安全 (6)

(三)上层应用系统的集成商管理 (7)

六、共享环节 (8)

七、销毁环节 (8)

八、机房管理要求 (9)

九、后续落地要求 (9)

(一)强化责任,制定软探针数据安全责任控制矩阵 (9)

(二)强化人员管理,严格控制第三方合作伙伴 ........ 错误!未定义书签。

一、软探针数据面临的安全威胁

如图1所示,软探针数据安全涉及软探针数据交互的整个过程,包括软探针数据采集生成、传输、存储、使用、共享、销毁环节。

图1 软探针数据交互流程

•采集生成环节:通过内置于智能家庭网关或机顶盒中的软探针,被动收集用户在业务使用过程中产生的全部或部分数据,

或者通过模拟/仿真用户的业务使用行为,对特定的业务进行

针对性的测试,并收集与测试相关的数据。

•传输环节:软探针数据在智能家庭网关、机顶盒与省级数字家庭管理平台之间,省级数字家庭管理平台与一级家庭开发平

台或其他省内网管平台之间进行传输的过程。

•存储环节:对软探针前置机采集生成的原始数据、处理过程中的数据、以及处理后的数据在省级数字家庭管理平台、

OSS/BSS系统及省内网管系统中进行存储。

•使用环节:包括省级数字家庭管理平台、OSS/BSS系统以及其他省内网管平台对数据进行查询、分析、挖掘的过程。

•共享环节:省级数字家庭管理平台将软探针数据共享给OSS/BSS系统或其他省内网管平台的过程。

•销毁环节:当省级数字家庭管理平台、OSS/BSS系统或省内网管系统内存储的软探针数据不再具有使用价值或授权使用到

期时,删除、销毁数据的过程。

二、采集环节

(一)软探针的安全

1、在运行软探针时,不能影响智能家庭网关及机顶盒的正常使用。

智能家庭网关软探针正常运行中,软探针的CPU消耗平均值不超过5%,内存消耗平均值不超过总大小的5%。

机顶盒软探针在机顶盒后台运行,软探针的CPU负载不超过5%(双核1.5G Hz),内存消耗不超过总大小的5%(RAM 1G)。

2、当预置在智能家庭网关或机顶盒的软探针出现故障时,支持从省级数字家庭管理平台下载安装。

3、软探针软件本身具备健壮性,能有效防止黑客利用软件漏洞执行病毒、蠕虫、木马等恶意代码,获取系统权限或用户权限,窃取系统或用户数据。

(二)软探针厂家管理

1、各省应与软探针、软探针监测平台厂家签订保密协议,明确对其安全责任的追究及处罚。

2、定期组织(一年至少一次)对软探针、软探针监测平台相关

人员进行安全法律、法规的教育培训,并对所培训内容的掌握情况进行测试。

3、各省应要求软探针、软探针监测平台厂家将参与项目实施和维护的人员向省公司提前报备,对参与项目实施和维护的人员变更需要向省公司提前申请,审核通过后方可进行人员变更。

三、传输环节

(一)传输网络接入及组网

1、网络路由应采用双网双平面架构,必须有独立安全域和清晰的网络边界,网络边界需部署防火墙或访问控制策略进行隔离。访问控制策略配置应遵循端口及服务最小化开放原则,进行严格的策略限制,禁止出现“any to any”策略。

2、关键网络设备及链路应部署冗余备份,关键性服务器应采用双机或集群等方式进行冗余配置,确保系统无单点故障。

3、省内软探针前置采集机与总部OSS/BSS系统或省内网管等系统进行网络互连时,数据传输应采用专线/IP承载网进行传输,避免数据在公网被窃取,特殊情况下必须通过公网的,必须采用加密隧道传输。

4、软探针和省内软探针前置采集机之间的通信应采取加密处理,根据工信部相关要求加密算法采用国内算法,并且加密计算应在软探针应用内完成。

5、应确保物理传输网络的稳定和不被人为破坏,防止因为网络中断而导致数据无法从源地址发送到目的地址。

(二)网络端口管理

1、各省应全面梳理软探针相关系统在用网络端口,关闭一切无需开放的端口。同时有条件的省份应将软探针相关系统纳入网管监控,能够及时发现空闲端口的启用情况。

2、各省应将软探针相关系统网络端口的启用、变更、关闭等环节纳入日常管控流程,由需求部门向网络主管部门发起启用、变更、关闭申请。网络主管部门对申请进行审核、备案,修改端口资源使用表,指定专人负责配合、监督申请方按照申请进行操作,并对操作过程进行记录。如因紧急排障需求而需要启用端口的,必须由排障专职人员操作,且操作完毕后必须删除该临时配置,如在规定故障处理时限内无法确认故障原因而必须延长检测时间的,排障人员须及时向网络主管部门报备并在故障处理报告中进行说明。

3、各省应对软探针相关系统在用网络端口应开展定期审计清查工作,审计清查周期不得超过3个月。对于违规开放的端口,应彻底追查并进行通报,对违规启用的问题必须限期整改。

(三)数据传输的安全

各省应防止黑客通过物理搭线、攻击传输设备等方式,窃听、盗取网络中传输的数据流量。

四、存储环节

(一)存储介质的安全

各省应防止软探针数据存储介质被人为损坏和盗取,使存储数据丢失,不可还原,或使关键数据丢失,导致业务不可用。

相关文档
最新文档