09X017 中国移动管理信息系统安全防护体系总体技术要求V1.0.0
IDC网络安全防护技术要求V1.0(发布版)剖析
IDC网络安全防护技术要求Technical Specification of Security for IDC版本号: 1.0.0中国移动通信有限网络部目录前言 (1)1适用范围 (2)2引用标准与依据 (2)2.1相关法规和政策 (2)2.2国家标准及行业标准 (2)2.3中国移动企业标准及技术规范 (3)2.4其它 (3)3相关术语与缩略语 (4)3.1术语 (4)3.2缩略语 (4)4综述 (5)4.1中国移动IDC的发展现状 (5)4.2业务应用 (6)4.3IDC的特点 (6)4.3.1IDC的重要性 (6)4.3.2数据高度集中 (6)4.3.3高带宽、大流量 (6)4.3.4安全防护对象特点突出 (6)4.3.5内部应用可控性较差 (6)4.3.6面对复杂各异的远程维护需求 (7)5IDC的基本架构 (7)5.1逻辑架构 (7)5.1.1物理层 (8)5.1.2网络层 (8)5.1.3资源层 (8)5.1.4业务层 (8)5.1.5运营管理层 (9)5.2网络架构 (9)5.2.1互联网接入层 (10)5.2.2汇聚层 (11)5.2.3业务接入层 (11)5.2.4运营管理层 (12)6安全风险分析 (12)6.1IDC主要安全风险 (12)6.2威胁分析 (13)6.2.1物理安全威胁 (13)6.2.2设备安全威胁 (13)6.2.3网络安全威胁 (13)6.2.4应用层安全威胁 (14)6.2.5数据安全威胁 (14)6.3脆弱性分析 (15)6.3.1物理安全方面的脆弱性 (15)6.3.2网络与主机设备的脆弱性 (15)6.3.3应用系统软件脆弱性 (15)6.3.4数据安全方面存在的脆弱性 (15)6.3.5其它 (16)6.4IDC安全防护需求 (16)7安全防护要求 (16)7.1物理安全要求 (17)7.2IDC安全域划分及防护部署 (17)7.2.1互联网接入域 (19)7.2.2停火区 (19)7.2.3核心汇聚域 (20)7.2.4业务域 (21)7.2.5日常操作维护区 (24)7.2.6第三方接入区 (24)7.2.7管理服务区 (25)7.3设备自身安全和安全配置要求 (25)7.4内容合法性检查及域名备案等业务安全防护系统 ...................................................... 错误!未定义书签。
中国移动网络门户系统技术规范
中国移动网络门户系统技术规范中国移动通信企业标准QB-W-028-中国移动网络门户系统技术规范(第一版)NMS Portal Technical Specification版本号 1.0.0-××-××发布-××-××实施中国移动通信有限公司发布目录1 范围........................................ 错误!未定义书签。
2 引用标准.................................... 错误!未定义书签。
3 术语定义和缩略语............................ 错误!未定义书签。
4 系统概述与建设范围.......................... 错误!未定义书签。
5 ”总部-省”两级架构......................... 错误!未定义书签。
6 组网与设备配置要求.......................... 错误!未定义书签。
7 系统功能要求................................ 错误!未定义书签。
7.1 单点登录.............................. 错误!未定义书签。
7.1.1 基本要求 ........................... 错误!未定义书签。
7.1.2 具备4A的情况 ...................... 错误!未定义书签。
7.1.3 对于未接入4A的情况 ................ 错误!未定义书签。
7.2 接入服务.............................. 错误!未定义书签。
7.2.1 B/S与C/S应用统一接入.............. 错误!未定义书签。
7.2.2 公网接入 ........................... 错误!未定义书签。
中国移动统一信息平台技术规范
中国移动统一信息平台技术规范中国移动企业信息化一期工程统一信息平台技术规范(v1.0)中国移动通信集团公司目录1 总则 (1)1.1. 概述 (1)1.2. 适用范围 (1)1.3. 起草单位 (2)1.4. 解释权 (2)2 应用体系架构 (3)2.1. 两级架构 (3)2.2. 统一信息平台的组成 (4)2.3. 总体技术要求 (5)3 展示平台 (6)3.1. 域名规则 (6)3.2. 登录流程 (7)3.3.访问安全控制 (7)3.3.1. ......................................................... 认证83.3.2. ......................................................... 加密93.3.3. ......................................................... 授权93.4.个性化展现管理 (9)3.5.内容应用聚集 (10)3.6.系统性能要求 (11)4 网络和接入平台 (12)4.1.全国互联广域网组织结构 (12)4.1.1. ..................... 全国互联广域网拓扑结构124.1.2. ................. 广域网互联承载网络的选择134.1.3. ......................... 全国互联广域网的路由144.1.4. ................. 全国互联广域网的网络安全144.2.集团公司统一信息平台的网络组织结构14 4.2.1. ............. 集团公司统一信息平台局域网144.2.2. ................. 集团公司统一信息平台接入164.3.省公司统一信息平台的网络组织结构 (17)4.3.1. ................. 省公司统一信息平台局域网174.3.2. ..................... 省公司统一信息平台接入194.4.I P地址规划 (20)4.4.1. .................................... I P地址规划原则204.4.2. .................................... I P地址规划方法224.4.3. .................................... I P地址规划要求235安全管理平台 (24)5.1.网络管理及网络安全 (24)5.1.1. ......................................... 网络系统管理245.1.2. ................................................. 网络安全245.2.系统管理及系统安全 (25)5.2.1...................................................... 系统管理255.2.2. ................................................. 系统安全265.2.3. ..................................... 数据管理和安全285.2.4. ..................................................... 防病毒296系统和环境要求 (30)6.1.系统要求 (30)6.1.1. ................................................. 主机设备306.1.2. ................................................. 操作系统316.1.3. ......................................... 存储备份设备316.1.4. ................................................. 网络设备326.1.5. ..................................................... 数据库346.1.6. ......................................... 展示平台软件366.1.7. ................................................. 开发工具376.1.8. ................................................. 系统文档376.2.机房环境要求 (38)6.2.1. ......................................... 机房环境条件386.2.2. ................................................. 接地要求396.2.3. ............................................. 空调及电源401 总则1.1. 概述目前中国移动通信集团公司已成为世界第一大GSM移动电话运营商,并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。
中国移动华为防火墙安全配置规范V1.0
中国移动华为防火墙配置规范S p e c i f i c a t i o n f o r H U A W E I F i r e w a l lC o n f i g u r a t i o n U s e d i n C h i n aM o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (1)4. 防火墙功能和配置要求 (1)4.1. 引用说明 (1)4.2. 日志配置要求 (4)4.3. 告警配置要求 (6)4.4. 安全策略配置要求 (9)4.5. 攻击防护配置要求 (13)4.6. 虚拟防火墙配置要求 (14)4.7. 设备其他安全要求 (14)5. 编制历史 (17)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准明确了华为防火墙的配置要求。
本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。
本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团重庆、江苏有限公司。
本标准解释单位:同提出单位。
本标准主要起草人:韩治宁、石磊、来晓阳、周智、曹一生。
1.范围本标准规定了华为防火墙的配置要求,供中国移动内部和厂商共同使用;适用于中国移动通信网、业务系统和支撑系统的防火墙。
2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
2020年(安全管理)中国移动管理信息系统安全基线规范v
(安全管理)中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号:1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。
本规范由中国移动通信集团公司管理信息系统部提出并归口管理。
本规范的解释权属于中国移动通信集团公司管理信息系统部。
本规范起草单位:中国移动通信集团公司管理信息系统部本规范主要起草人:起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。
本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。
1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。
中国移动IDCISP信息安全管理系统接口规范V
中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动I D C/I S P信息安全管理系统接口规范I n t e r f a c e S t a n d a r d o f I n f o r m a t i o nS e c u r i t y M a n a g e m e n t S y s t e m f o rI n t e r n e t D a t a C e n t e r/I n t e r n e tS e r v i c e P r o v i d e r版本号:0.1.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录前言 .............................................................................................................................................. I I1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)4 业务概述 (2)5 系统架构 (2)6 接口流程 (6)6.1 通信方式 (6)6.2管理指令处理流程 (6)6.3查询流程 (7)6.4数据上报、下发流程 (8)7 接口定义方法 (11)7.1idc_command()方法 (11)7.2idc_commandack()方法 (15)7.3file_load方法 (17)7.4SDTP方法 (19)8 数据代码表 (21)8.1登记备案属性代码表 (21)8.2接入方式代码表 (21)8.3单位属性代码表 (21)8.4证件类型代码表 (22)8.5机房性质代码表 (22)8.6代理类型代码表 (22)8.7服务内容代码表 (23)8.8监测规则及过滤规则代码表 (24)8.9违法违规情况表 (24)9 接口要求 (25)9.1控制平台与SMMS接口 (25)9.2控制平台与网站备案管理系统接口 (25)9.3网站备案管理系统与IDC运营管理平台接口 (34)9.4控制平台与省端执行系统接口 (40)9.5控制平台与上网日志留存系统接口 (51)9.6省端执行系统与上网日志留存系统接口 (54)9.7省端执行系统内部接口 (55)10 编制历史 (55)前言本标准规定了中国移动IDC/ISP信息安全管理系统的接口规范,用于指导中国移动IDC/ISP信息安全管理系统建设。
移动业务系统安全防御体系介绍
品级掩护设计要求下的“移动业务系统宁静防备体系”1、引言随着全球信息化进程的不绝推进,我国政府及各行各业也在进行大量的信息系统的建立,这些信息系统已经成为国度重要的底子设施,因此,信息系统宁静问题已经被提升到干系国度宁静和国度主权的战略性高度,已引起党和国度领导以及社会各界的存眷。
随着政府电子政务办公、移动警务办公、移动执法等信息化建立和生长,作为现代信息社会重要底子设施的信息系统,其宁静问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。
能否有效的掩护信息资源,掩护信息化进程康健、有序、可连续生长,直接关乎国度安危,关乎民族兴亡,是国度民族的头等大事。
没有信息宁静,就没有真正意义上的政治宁静,就没有稳固的经济宁静和军事宁静,没有完整意义上的国度宁静。
经党中央和国务院批准,国度信息化领导小组决定增强信息宁静保障事情,实行信息宁静品级掩护,重点掩护底子信息网络和重要信息系统宁静,要抓紧信息宁静品级掩护制度的建立。
对信息系统实行品级掩护是我国的法定制度和根本国策,是开展信息宁静掩护事情的有效步伐,是信息宁静掩护事情的生长偏向。
实行信息宁静品级掩护的决定具有重大的现实和战略意义。
2、《品级掩护设计要求》思路的启迪凭据信息系统业务处理惩罚历程将系统分别成盘算情况、区域界限和通信网络三部分,以终端宁静为底子对这三部分实施掩护,组成由宁静治理中心支撑下的盘算情况宁静、区域界限宁静、通信网络宁静所组成的三重防护体系结构。
在移动终端宁静的领域中,盘算情况如PDA、智能手机、PAD等,核心业务系统包罗警务通、智能办公系统(OA\ERP)等,目前采取传统的传输加密技能手段仅考虑到如何解决非法接入及链路劫持宁静问题,如VPN等,宁静防备较为单一化和局限性,公然的加密算法及隧道的传输模式已无法适应现代化的网络底子设施,在品级掩护的信息宁静建立中,应从整体宁静体系模型考虑潜在风险问题,如盘算情况宁静、网络通信宁静、区域界限宁静。
中国移动安氏防火墙安全系统配置要求规范V1.0
中国移动安氏防火墙安全配置规范S p e c i f i c a t i o n f o r C o n f i g u r a t i o no f F i r e w a l l U s e d i n C h i n a M o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1.围 (1)2.规性引用文件 (1)3.术语、定义和缩略语 (1)4.防火墙功能和配置要求 (1)4.1.引用说明 (1)4.2.日志配置要求 (3)4.3.告警配置要求 (3)4.4.安全策略配置要求 (3)4.5.攻击防护配置要求 (4)4.6.虚拟防火墙配置要求 (4)4.7.设备其他安全要求 (5)5.编制历史 (5)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
组织部分省公司编制了中国移动设备安全功能和配置系列规。
本系列规可作为编制设备技术规、设备入网测试规,工程验收手册,局数据模板等文档的依据。
本规是该系列规之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规的编制基础。
本标准明确了安氏防火墙的配置要求。
本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。
本标准起草单位:中国移动通信网络部、中国移动通信集团、本标准主要起草人:瑾、强、来晓阳、周智、一生、敏时。
1.围本标准规定了安氏防火墙的配置要求,供部和厂商共同使用;适用于通信网、业务系统和支撑系统的防火墙。
2.规性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
本标准由中国移动通信集团公司管理信息系统部提出,集团公司技术部归口。
本标准起草单位:中国移动通信集团公司管理信息系统部本标准主要起草人:冯运波、陈江锋、侯春森、康小强1.范围本标准规定了中国移动管理信息系统安全防护的整体技术要求,供中国移动总部、省公司、设计院、研究院使用;适用于开展管理信息系统安全防护工作。
2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
序号标准编号标准名称发布单位3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准:词语解释安全域具有相同或相近的安全需求、相互信任的区域或网络实体的集合。
一个安全域内可进一步被划分为安全子域。
资产指组织的信息系统、其提供的服务以及处理的数据。
它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。
脆弱性/弱点资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。
弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
威胁对组织的资产引起不期望后果的事件。
威胁可能源于对企业/组织的信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。
威胁也可能源于偶发的、或蓄意的事件风险是一种潜在可能性,是指某个威胁利用弱点引起某项资产或一组资产的损害从而直接地或间接地引起企业或机构的损害的可能性。
因此,风险和具体的资产、其价值、威胁以及相关的弱点直接相关残余风险采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
风险是客观存在的,绝对的安全是不存在的,风险评估的目的就是使残余风险可接受AAAA 账号管理、认证、授权与审计系统ACL 访问控制列表SHG 安全加固手册(Security Harden Guideline) SBL 安全基线(Security Baseline)DMZ 非军事化区、停火区(DeMilitarized Zone)IDS 入侵检测系统(Intrusion Detection System) MIS 管理信息系统(Management Information System) SOC 安全运行管理中心Radius 接入用户远程认证服务(Remote Authentication Dial-In User Service)VPN 虚拟专用网4. 综述4.1背景随着总部和各省公司在安全方面的建设,在总部和各省公司管理信息系统内网已经部署了一些基本的安全产品,如防火墙、IDS、防病毒、防垃圾邮件系统、终端安全管理系统等,已具备了一定的安全防护能力。
但是通过对省公司的调研发现,省公司普遍存在安全防护、安全监控手段不健全,不足于抵抗各种安全攻击和风险;安全域划分不清晰,没有分层防御;设备和系统采用默认配置,存在大量安全隐患;没有进行安全风险评估等现象。
部分原因也在于过去管理信息系统的整体安全管理体系中对操作实施层面的第二层、第三层技术规范与要求不够细化与完善,出现了安全工作中没有可参考依据,可衡量标准的问题。
根据国务院信息化领导小组2003年下发“关于加强信息安全保障工作的意见” (中办发[2003]27号) 的要求,网络与信息安全工作是国家安全的重要组成部分,信息安全保障应“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全”。
文件要求正确处理安全与发展的关系,统筹规划,突出重点,强化基础性工作,通过实行信息安全等级保护实现这一目的。
因此,国家将建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
在这样的背景下,实现信息系统的分等级保护,制定相应安全防护技术标准,安全域划分标准、安全风险的评估标准,加强系统自身安全配置,避免常见的安全风险,加强设备入网安全检查等就非常重要。
为此,集团管理信息系统部制定了统一的安全防护和安全加固的系列技术规范,用于指导总部和省公司管理信息系统的安全域划分、安全防护、日常安全评估、安全加固和安全基线检查等。
本安全防护技术体系也是对管理信息系统安全管理体系(下图所示)中第二层第三层技术规范与要求的完善和补充,规范具体安全工作的实施与落地。
图一管理信息系统安全管理体系4.2本要求的范围和主要内容本技术要求的范围为总部和各省公司管理信息系统,涉及到网络安全域划分和安全防护,对主机、数据库、网络、应用系统的安全加固、安全基线检查、安全评估。
主要内容包括:●《管理信息系统安全域划分技术要求》明确了安全域划分的基本原则,界定了管理信息系统的重要性和安全风险等级,把具有相同或相近的安全属性的信息资产划分为域,进行统一规范的保护,限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。
●《管理信息系统安全域防护技术要求》规定了不同安全等级的安全域防护要求和技术手段,从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施(如防火墙、入侵检测、防病毒、安全审计等),针对各个子域,制定规范的防护技术要求,并要求按照技术要求落实安全防护措施。
提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播,保证管理信息系统的安全运行。
●《管理信息系统安全风险评估技术要求》规定了风险评估的流程、实施风险评估的步骤,可以作为日常进行安全风险评估的指南,定期对系统与网络开展信息安全风险评估,根据评估结果与加固规范要求对系统进行安全加固。
●《管理信息系统安全加固规范》是针对各系统自身安全配置的加固操作手册,可以用来解决大多数因安全配置不到位而引起的安全问题。
●《管理信息系统安全基线技术规范》将配合安全基线检查工具一起使用,用于核查信息系统的安全合规性。
对于新上线系统,在入网前需要经过安全基线的检查,保障整体信息安全的水平。
●《管理信息系统集中灾备系统技术要求》是集团管理信息系统集中灾备系统的建设要求,涵盖建设、扩容、升级多个方面。
5. 目标和原则管理信息系统安全防护工作的主要目标就是要增强管理信息系统各个系统的安全防护能力,加强系统和设备自身的安全,确保网络的安全性与可靠性,保障管理信息系统的正常运行。
管理信息系统安全防护工作要以适度安全原则为指导,采用自主保护和重点保护方法,在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则,实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。
本安全防护体系技术要求是建立管理信息系统安全防护体系的指导性文件,要求总部和各省公司部署安全技术措施与相关安全工作。
具体包括以下步骤与要求:⏹要根据安全域划分技术要求要求,按照安全保护需求和相互信任的区域关系,将管理信息系统划分成不同的区域,并在安全域防护技术要求中定义出各个安全域的管理需求、技术需求和设备需求,部署相应的安全手段,进行安全域的边界隔离与数据流的安全策略控制。
⏹对于各个业务系统以及网络,要切实按照加固规范要求进行必要的安全加固,修补安全漏洞与隐患。
⏹对于新上线系统以及原有系统,在安全配置上要求至少符合安全基线的要求,保证和维持管理信息系统的安全基准,运维管理人员要基于安全基线定期进行安全检查。
⏹总部与省公司要基于风险评估技术要求定期组织开展风险评估,识别管理信息系统中存在的风险,并对风险进行相应的处置。
⏹针对管理信息系统需要按照灾难备份与恢复实施技术要求,在风险评估的基础上,平衡效益与成本,建立完善灾难备份与恢复体系。
6. 安全防护技术体系6.1整体说明本技术要求是中国移动管理信息系统信息安全防护技术的指导性文件,其适用范围纵向包括集团总部和省公司的管理信息系统两个层次,横向覆盖整个管理信息系统内部业务系统,包括其所属的网络设备、安全设备、服务器、终端等。
中国移动管理信息系统涉及的业务系统,包括已经建成使用的管理信息系统应用如统一信息平台、OA系统、ERP系统、综合统计系统、电子采购系统、综合信息网、终端管理平台、网上教育、全面预算管理、银企互联、计划管理系统等。
安全防护技术要求明确了管理信息系统需要落实的安全技术措施和相关的安全工作,安全防护的范畴建立的管理信息系统安全防护技术体系如下图所示,它由总纲、安全域划分技术要求、安全加固技术要求、安全基线规范、信息安全风险评估技术要求以及灾难备份与恢复实施技术要求构成。