{业务管理}移动业务系统安全防御体系介绍精编

网络安全防御体系网络安全防御体系是保护计算机网络免受恶意攻击和未经授权访问的关键组件。

它由多个层次的安全措施和技术组成，以确保网络的机密性、完整性和可用性。

以下是网络安全防御体系的几个重要组成部分：1. 防火墙：防火墙是一种网络安全设备，用于监控和控制进出网络的数据流。

它可以根据预定义的规则来允许或拒绝特定类型的数据包。

防火墙可以阻止未经授权的访问和网络攻击。

2. 入侵检测系统（IDS）和入侵防御系统（IPS）：IDS和IPS用于监测和阻止入侵行为。

IDS检测网络中的异常活动和攻击，而IPS在检测到入侵行为时采取主动措施阻止或防御攻击。

3. 虚拟专用网络（VPN）：VPN是一种通过公共网络（例如互联网）建立安全连接的技术。

它使用加密和隧道协议来保护数据通信的机密性和完整性。

VPN可以为远程用户提供安全的远程访问，并为分支机构和合作伙伴之间的通信提供安全连接。

4. 身份验证和访问控制：身份验证和访问控制是确定用户身份和控制其访问网络资源的过程。

常用的身份验证方法包括用户名和密码、双因素认证和生物识别技术等。

访问控制可以限制用户对系统和数据的访问权限，以减少潜在的攻击面。

5. 数据加密和解密：数据加密是将数据转换为不可读的格式，以防止未经授权的访问者获得敏感信息。

加密可以在数据传输过程中或存储期间进行。

解密是加密数据的逆过程，只有拥有正确密钥的人才能解密数据以获取原始信息。

6. 安全更新和漏洞管理：安全更新是及时安装操作系统和应用程序的最新补丁和安全更新，以修复已知的漏洞。

漏洞管理是对系统进行持续的漏洞扫描和评估，并采取相应的措施来修复和预防潜在的安全弱点。

综上所述，网络安全防御体系是一个多层次的保护系统，它通过使用各种安全措施和技术来保护计算机网络免受恶意攻击和未经授权访问。

这些措施和技术的目标是确保网络的机密性、完整性和可用性，并保护组织的敏感数据和资源。

中国移动通信企业标准QB-W-016-20XX中国移动业务支撑网4A安全技术规范版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布目录1概述 (7)1.1范围 (7)1.2规范性引用文件 (7)1.3术语、定义和缩略语 (7)2综述 (8)2.1背景和现状分析 (8)2.24A平台建设目标 (9)2.34A平台管理范围 (10)34A管理平台总体框架 (11)44A管理平台功能要求 (14)4.1帐号管理 (14)4.1.1帐号管理的范围 (14)4.1.2帐号管理的内容 (14)4.1.3主帐号管理 (14)4.1.4从帐号管理 (15)4.1.5密码策略管理 (15)4.2认证管理 (15)4.2.1认证管理的范围 (16)4.2.2认证管理的内容 (16)4.2.3认证服务的管理 (16)4.2.4认证枢纽的管理 (16)4.2.5SSO的管理 (17)4.2.6认证手段 (17)4.2.7提供多种手段的组合使用 (17)4.3授权管理 (17)4.3.1授权管理的范围 (17)4.3.2授权管理的内容 (18)4.3.3资源管理 (18)4.3.4角色管理 (18)4.3.5资源授权 (19)4.4审计管理 (20)4.4.1审计管理范围 (20)4.4.2审计信息收集与标准化 (21)4.4.3审计分析 (21)4.4.4审计预警 (22)4.54A管理平台的自管理 (23)4.5.1管理员管理 (23)4.5.2权限管理 (23)4.5.3组件管理 (23)4.5.4运行管理 (23)4.64A管理平台接口管理 (24)4.6.1帐号管理接口 (24)4.6.2认证接口 (24)4.6.3审计接口 (24)4.6.4外部管理接口 (25)54A管理平台技术要求 (25)5.1总体技术框架 (25)5.2P ORTAL层技术要求 (27)5.3应用层技术要求 (27)5.3.1前台应用层技术要求 (27)5.3.2核心数据库技术要求 (28)5.3.3后台服务层技术要求 (30)5.3.4单点登录技术要求 (32)5.3.5安全审计技术要求 (33)5.4接口层技术要求 (35)5.5非功能性技术要求 (35)5.5.1业务连续性要求 (35)5.5.2开放性和可扩展性要求 (38)5.5.3性能要求 (38)5.5.4安全性要求 (38)64A管理平台接口规范 (40)6.1应用接口技术规范 (40)6.1.1总体描述 (40)6.1.2登录类接口（①） (41)6.1.3认证类接口 (42)6.1.4帐号/角色接口（④） (43)6.1.5审计类接口 (48)6.2系统接口技术规范 (51)6.2.1总体描述 (51)6.2.2登录类接口（①） (52)6.2.3认证类接口 (53)6.2.4帐号接口（⑤） (55)6.2.5审计类接口 (59)6.3外部管理接口技术规范 (61)7BOSS系统3.0的改造要求 (62)7.1BOSS应用安全建设目标 (62)7.2BOSS系统配合4A改造要求 (62)7.2.1总体改造总体要求 (62)7.2.2帐号管理要求 (64)7.2.3授权管理要求 (66)7.2.4认证管理要求 (67)7.3BOSS应用的安全要求 (70)7.3.1BOSS应用帐号管理 (71)7.3.2BOSS应用授权管理 (73)7.3.3BOSS应用认证管理 (75)7.3.4BOSS应用审计要求 (76)7.3.5BOSS数据安全要求 (77)8经营分析系统2.0改造要求 (79)8.1经营分析系统应用安全建设目标 (79)8.2经营分析系统配合4A改造要求 (79)8.2.1总体改造要求 (79)8.2.2帐号管理改造要求 (81)8.2.3授权管理改造要求 (83)8.2.4认证管理改造要求 (84)8.2.5审计管理改造要求 (86)8.3经营分析系统应用安全要求 (87)8.3.1经营分析系统用户管理 (88)8.3.2经营分析系统权限管理 (92)8.3.3经营分析系统认证管理 (93)8.3.4经营分析系统日志记录 (95)8.3.5经营分析系统数据安全要求 (95)8.3.6系统平台安全要求 (97)9运营管理系统2.0改造要求 (99)9.1运营管理系统应用安全建设目标 (99)9.2运营管理系统配合4A改造要求 (99)9.2.1总体改造要求 (99)9.2.2帐号管理改造要求 (101)9.2.3授权管理改造要求 (103)9.2.4认证管理改造要求 (104)9.2.5审计管理改造要求 (106)9.3运营管理系统应用安全要求 (107)9.3.1运营管理系统用户管理 (108)9.3.2运营管理系统权限管理 (111)9.3.3运营管理系统认证管理 (112)9.3.4运营管理系统日志记录 (113)9.3.5运营管理系统数据安全要求 (114)104A平台建设指导意见 (116)10.1总体指导原则 (116)10.24A平台建设步骤 (116)10.2.1前期调研和准备阶段 (116)10.2.2平台建设和实施阶段 (117)10.2.3后期管理和维护阶段 (118)10.3.1应急方案流程梳理 (119)10.3.2应用功能改造实现 (119)11编制历史 (120)附录A 4A管理平台管理流程 (121)（1）用户入职流程 (122)（2）用户变更管理流程 (123)（3）离职管理流程 (124)（4）新项目纳入管理流程 (125)附录B 业务支撑系统敏感数据 (125)（1）BOSS系统中的敏感数据 (125)（2）经营分析系统中的敏感数据 (126)（3）需要关注的操作日志 (127)图形目录图3-1 业务支撑网4A管理平台总体框架图 (12)图4-1 4A平台与应用系统的帐号、角色和权限关系图 (19)图5-1 业务支撑网4A管理平台的总体技术框架 (26)图6-1 4A平台与应用资源的接口框架图 (40)图6-2 业务支撑应用的帐号/角色接口图 (44)图6-3 4A平台与系统资源的接口框架图 (52)图6-4 4A平台与系统资源的接口框架图 (55)图7-1 BOSS配合4A的改造总体示意图 (63)图7-2 BOSS配合4A的帐号管理改造图 (65)图7-3 BOSS配合4A的授权管理改造图 (67)图7-4 BOSS配合4A的认证管理改造图 (68)图7-5 BOSS配合4A的审计管理改造图 (70)图7-6 BOSS应用安全体系逻辑图 (71)图7-7 BOSS应用授权管理结构图 (75)图8-1 经营分析系统配合4A的改造总体示意图 (80)图8-2 经营分析系统配合4A的帐号管理改造图 (82)图8-3 经营分析系统配合4A的授权管理改造图 (84)图8-4 经营分析系统配合4A的认证管理改造图 (85)图8-5 经营分析系统配合4A的审计管理改造图 (87)图8-6 经营分析应用安全体系逻辑图 (88)图8-7 经营分析应用授权管理结构图 (93)图8-8 通过经营分析门户认证流程图 (94)图9-1 运营管理系统配合4A的改造总体示意图 (100)图9-2 运营管理系统配合4A的帐号管理改造图 (102)图9-3 运营管理系统配合4A的授权管理改造图 (104)图9-4 运营管理系统配合4A的认证管理改造图 (105)图9-5 运营管理系统配合4A的授权号管理改造图 (107)图9-6 运营管理应用安全体系逻辑图 (108)图9-7 运营管理应用授权管理结构图 (112)图9-8 运营管理应用门户认证流程图 (113)前言本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)的安全系统（简称4A管理平台或4A平台）的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。

移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的平安建设，参照的依据是移动集团关于4A建设的标准，而标准中很少提出具体的实现方案和相应的设备。

所谓的4A确实是集中统一的账号（Account）治理、授权(Authorization)治理、认证（Authentication）治理和平安审计(Audit)，缺一不可。

在那个地址结合具体情形谈谈在移动省公司或地级市公司建设4A项目的一些方式，仅供参考。

4A之账号治理移动集团的4A标准中提出主账号和从账号的概念，主账号即自然人利用的账号，目前主若是网络准入操纵系统的账号。

从账号即资源设备自身账号，主若是指自然人登录设备或应用系统时利用的账号。

为此在4A平台中需要成立两个治理模块：主账号治理模块、从账号治理模块。

4A之授权治理在“4A之账号治理”中进行主账号治理和从账号治理。

而主账号和从账号之间需要通过资源设备进行关联。

授权的目的确实是使授权自然人能够登录那些设备，在相应的设备上利用从账号。

因此形成“主账号－从账号－设备”三位一体的对应关系。

目前移动系统中利用的账号情形极为复杂，因此提出“以人为本”的关系梳理。

该梳理确实是要弄清“谁—能访问什么设备—利用哪个（些）系统账号”的关系，同时为认证和授权提供相应的关联列表。

4A之认证治理前面进行了授权治理，接下来要对账号的合法性进行相应的认证。

4A的认证合法性应该要紧完成三项内容：主账号是不是合法、从账号是不是合法、授权是不是合法。

见图1认证及授权模块的框图。

图1 认证及授权模块的的框图认证及授权进程●在前期的平安建设中，已经在网络中做了平安域划分及网络平安准入系统的建设。

用户进入网络访问业务系统时，网络准入系统需对自然人身份的合法性进行认证，主账号认证信息打包转发给4A平台，4A平台对主账号的合法性进行判定，合法那么让网络准入操纵设备放开操纵策略。

●主账号认证通事后，4A平台记录自然人、主账号、终端IP的对应关系，实现网络实名制记录。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

（业务管理）等级保护设计要求下的移动业务系统安全防御体系等级保护设计要求下的“移动业务系统安全防御体系”1、引言随着全球信息化进程的不断推进，我国政府及各行各业也于进行大量的信息系统的建设，这些信息系统已经成为国家重要的基础设施，因此，信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度，已引起党和国家领导以及社会各界的关注。

随着政府电子政务办公、移动警务办公、移动执法等信息化建设和发展，作为现代信息社会重要基础设施的信息系统，其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。

能否有效的保护信息资源，保护信息化进程健康、有序、可持续发展，直接关乎国家安危，关乎民族兴亡，是国家民族的头等大事。

没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，没有完整意义上的国家安全。

经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧信息安全等级保护制度的建设。

对信息系统实行等级保护是我国的法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。

实行信息安全等级保护的决定具有重大的现实和战略意义。

2、《等级保护设计要求》思路的启迪按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分，以终端安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。

于移动终端安全的领域中，计算环境如PDA、智能手机、PAD等，核心业务系统包括警务通、智能办公系统（OA\ERP）等，目前采用传统的传输加密技术手段仅考虑到如何解决非法接入及链路劫持安全问题，如VPN等，安全防御较为单壹化和局限性，公开的加密算法及隧道的传输模式已无法适应现代化的网络基础设施，于等级保护的信息安全建设中，应从整体安全体系模型考虑潜于风险问题，如计算环境安全、网络通信安全、区域边界安全。

移动业务系统安全防御体系介绍等级维护设计要求下的〝移动业务系统平安进攻体系〞1、引言随着全球信息化进程的不时推进，我国政府及各行各业也在停止少量的信息系统的树立，这些信息系统曾经成为国度重要的基础设备，因此，信息系统平安效果曾经被提升到关系国度平安和国度主权的战略性高度，已惹起党和国度指导以及社会各界的关注。

随着政府电子政务办公、移动警务办公、移动执法等信息化树立和开展，作为现代信息社会重要基础设备的信息系统，其平安效果必将对我国的政治、军事、经济、科技、文明等范围发生至关重要的影响。

能否有效的维护信息资源，维护信息化进程安康、有序、可继续开展，直接关乎国度安危，关乎民族兴亡，是国度民族的头号大事。

没有信息平安，就没有真正意义上的政治平安，就没有动摇的经济平安和军事平安，没有完整意义上的国度平安。

经党中央和国务院同意，国度信息化指导小组决议增强信息平安保证任务，实行信息平安等级维护，重点维护基础信息网络和重要信息系统平安，要抓紧信息平安等级维护制度的树立。

对信息系统实行等级维护是我国的法定制度和基本国策，是展开信息平安维护任务的有效方法，是信息平安维护任务的开展方向。

实行信息平安等级维护的决议具有严重的理想和战略意义。

2、«等级维护设计要求»思绪的启迪依照信息系统业务处置进程将系统划分红计算环境、区域边界和通讯网络三局部，以终端平安为基础对这三局部实施维护，构成由平安管理中心支撑下的计算环境平安、区域边界平安、通讯网络平安所组成的三重防护体系结构。

在移动终端平安的范围中，计算环境如PDA、智能手机、PAD等，中心业务系统包括警务通、智能办公系统〔OA\ERP〕等，目前采用传统的传输加密技术手腕仅思索到如何处置合法接入及链路劫持平安效果，如VPN等，平安进攻较为单一化和局限性，地下的加密算法及隧道的传输形式已无法顺应现代化的网络基础设备，在等级维护的信息平安树立中，应从全体平安体系模型思索潜在风险效果，如计算环境平安、网络通讯平安、区域边界平安。

中国移动网络与信息安全总纲精品资料网（）25万份精华管理资料，2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。

随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (2)目录 (3)总则 (13)1．网络与信息安全的基本概念 (13)2．网络与信息安全的重要性和普遍性 (13)3．中国移动网络与信息安全体系与安全策略 (14)4．安全需求的来源 (16)5．安全风险的评估 (17)6．安全措施的选择原则 (18)7．安全工作的起点 (18)8．关键性的成功因素 (19)9．安全标准综述 (20)10．适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261．领导机构 (26)2．工作组织 (27)3．安全职责的分配 (28)4．职责分散与隔离 (29)5．安全信息的获取和发布 (30)6．加强与外部组织之间的协作 (30)7．安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311．岗位职责中的安全内容 (31)2．人员考察 (32)3．保密协议 (33)4．劳动合同 (33)5．员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341．第三方访问的安全 (34)2．外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381．资产清单 (38)2．资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421．信息的安全等级、标注及处置 (42)2．网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461．安全边界 (46)2．出入控制 (47)3．物理保护 (48)4．安全区域工作规章制度 (49)5．送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511．设备安置及物理保护 (51)2．电源保护 (52)3．线缆安全 (53)4．工作区域外设备的安全 (54)5．设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551．可移动存储媒介的管理 (55)2．存储媒介的处置 (55)3．信息处置程序 (56)4．系统文档的安全 (57)第四节............................................... 通用控制措施581．屏幕与桌面的清理 (58)2．资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601．规范操作细则 (60)2．设备维护 (61)3．变更控制 (62)4．安全事件响应程序 (62)5．开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641．系统规划和设计 (64)2．审批制度 (64)3．系统建设和验收 (65)4．设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701．维护作业计划管理 (70)2．数据与软件备份 (70)3．操作日志 (72)4．日志审核 (72)5．故障管理 (73)6．测试制度 (74)7．日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761．信息与软件交换协议 (76)2．交接过程中的安全 (76)3．电子商务安全 (77)4．电子邮件的安全 (78)5．电子办公系统的安全 (79)6．信息发布的安全 (80)7．其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841．用户注册 (84)2．超级权限的管理 (85)3．口令管理 (87)4．用户访问权限核查 (88)第三节..................................................... 用户职责881．口令的使用 (88)2．无人值守的用户设备 (89)第四节............................................... 网络访问控制901．网络服务使用策略 (91)2．逻辑安全区域的划分与隔离 (91)3．访问路径控制 (92)4．外部连接用户的验证 (93)5．网元节点验证 (93)6．端口保护 (94)7．网络互联控制 (94)8．网络路由控制 (95)9．网络服务的安全 (95)第五节...................................... 操作系统的访问控制951．终端自动识别 (96)2．终端登录程序 (96)3．用户识别和验证 (97)4．口令管理系统 (97)5．限制系统工具的使用 (98)6．强制警报 (99)7．终端超时关闭 (99)8．连接时间限制 (100)第六节............................................... 应用访问控制1001．信息访问限制 (100)2．隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011．事件记录 (102)2．监控系统使用情况 (102)第八节............................................ 移动与远程工作1041．移动办公 (104)2．远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091．输入数据验证 (109)2．内部处理控制 (110)3．消息认证 (111)4．输出数据验证 (112)第三节............................................ 系统文件的安全1121．操作系统软件的控制 (112)2．系统测试数据的保护 (113)3．系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151．变更控制程序 (115)2．软件包的变更限制 (116)3．后门及特洛伊代码的防范 (117)4．软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181．加密技术使用策略 (119)2．使用加密技术 (119)3．数字签名 (120)4．不可否认服务 (121)5．密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241．及时发现与报告 (125)2．分析、协调与处理 (125)3．总结与奖惩 (127)第二节............................................ 业务连续性管理1271．建立业务连续性管理程序 (127)2．业务连续性和影响分析 (128)3．制定并实施业务连续性方案 (129)4．业务连续性方案框架 (130)5．维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341．识别适用的法律法规 (134)2．保护知识产权 (135)3．保护个人信息 (135)4．防止网络与信息处理设施的不当使用 (136)5．加密技术控制规定 (136)6．保护公司记录 (137)7．收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381．独立审计原则 (139)2．控制安全审计过程 (139)3．保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1：安全体系第二层项目清单（列表） (143)总则1．网络与信息安全的基本概念网络与信息安全包括下列三个基本属性：➢机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。