09017中國移動管理信息系統(tǒng)安全防護(hù)體系總體技術(shù)要求V

中國移中國移動通信企業(yè)標(biāo)準(zhǔn)QB-X-017-2009中國移動管理信息系統(tǒng)安全防護(hù)體系總體技術(shù)要求GeneGeneralTechnicalRequirementsForSecurityProtectionSystemofCMCCMIS

201011522010115中國移動通信集團(tuán)公司中國移動通信集團(tuán)公司公布QB-X-017-2009QB-X-017-2009\*ROMAN\*ROMANII目 錄前言.........................................................................................1.................1..................1..................4..................4.1背景.................4.2本要求的范圍和主要內(nèi)容.................................................3..................5.4..................6.4..................6.1整體說明.................6.2安全域劃分技術(shù)要求.....................................................5..................6.3安全域防護(hù)技術(shù)要求.....................................................6..................6.4.................6.5.................6.6信息安全風(fēng)險評估技術(shù)要求...............................................7..................6.7災(zāi)難備份與恢復(fù)實施技術(shù)要求.............................................7..................7.................前言治理信息系統(tǒng)安全防護(hù)和安全運維工作的說明和依據(jù)。安全架構(gòu)、安全評估、系統(tǒng)自身安全加固、安全防護(hù)等方面。該系列標(biāo)準(zhǔn)的構(gòu)造、名稱或估量的名稱如下：序號標(biāo)準(zhǔn)編號標(biāo)準(zhǔn)名稱[1]QB-X-017-2009中國移動治理信息系統(tǒng)安全防護(hù)體系總體技術(shù)要求[2]QB-X-018-2009中國移動治理信息系統(tǒng)安全域邊界防護(hù)技術(shù)要求[3]QB-X-019-2009中國移動治理信息系統(tǒng)安全域劃分技術(shù)要求[4]QB-X-020-2009中國移動治理信息系統(tǒng)安全基線標(biāo)準(zhǔn)[5]QB-X-021-2009中國移動治理信息系統(tǒng)安全加固標(biāo)準(zhǔn)[6]QB-X-022-2009中國移動治理信息系統(tǒng)安全風(fēng)險評估標(biāo)準(zhǔn)[7]QB-X-023-2009中國移動治理信息系統(tǒng)集中災(zāi)備系統(tǒng)技術(shù)規(guī)范本標(biāo)準(zhǔn)由中移技〔2010〕17號印發(fā)?？?。本標(biāo)準(zhǔn)主要起草人：馮運波、陳江鋒、侯春森、康小強(qiáng)QB-X-017-2009QB-X-017-20093范圍司、設(shè)計院、爭論院使用；適用于開展治理信息系統(tǒng)安全防護(hù)工作。標(biāo)準(zhǔn)性引用文件隨后全部的修改單〔不包括訂正的內(nèi)容版本適用于本標(biāo)準(zhǔn)。序號 標(biāo)準(zhǔn)編號 標(biāo)準(zhǔn)名稱 公布單位術(shù)語、定義和縮略語以下術(shù)語、定義和縮略語適用于本標(biāo)準(zhǔn)：詞語 解釋安全域具有一樣或相近的安全需求、相互信任的區(qū)域或網(wǎng)絡(luò)實體的集合。一個安全域內(nèi)可進(jìn)一步被劃分為安全子域。資產(chǎn)指組織的信息系統(tǒng)、其供給的效勞以及處理的數(shù)據(jù)。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有效勞、企業(yè)形象等。脆弱性/弱點資產(chǎn)本身存在的，它可以被威逼利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點包括物理環(huán)境、組織、過程、人員、治理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。/組織的信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威逼也可能源于偶發(fā)的、或蓄意的大事風(fēng)險是一種潛在可能性，是指某個威逼利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害的可能性。因此，風(fēng)險和具體的資產(chǎn)、其價值、威逼以及相關(guān)的弱點直接相關(guān)剩余風(fēng)險實行了安全防護(hù)措施，提高了防護(hù)力量后，仍舊可能存在的風(fēng)險。風(fēng)險是客觀存在的，確定的安全是不存在的，風(fēng)險評估的AAAAACLSHGSBLDMZIDSMISSOCRadiusVPN

目的就是使剩余風(fēng)險可承受賬號治理、認(rèn)證、授權(quán)與審計系統(tǒng)訪問掌握列表安全加固手冊(SecurityHardenGuideline)安全基線(SecurityBaseline)非軍事化區(qū)、?；饏^(qū)〔DeMilitarizedZone〕入侵檢測系統(tǒng)(IntrusionDetectionSystem)治理信息系統(tǒng)(ManagementInformationSystem)安全運行治理中心接入用戶遠(yuǎn)程認(rèn)證效勞(RemoteAuthenticationDial-InUserService)虛擬專用網(wǎng)綜述背景隨著總部和各省公司在安全方面的建設(shè)IDS、防病毒、防垃圾郵件系統(tǒng)、終端安全治理系統(tǒng)等，已具備了肯定的安全防護(hù)力量。但是通過對省公司的調(diào)研覺察，省公司普遍存在安全防護(hù)、在于過去治理信息系統(tǒng)的整體安全治理體系中對操作實施層面的其次層要求不夠細(xì)化與完善，消滅了安全工作中沒有可參考依據(jù)，可衡量標(biāo)準(zhǔn)的問題。依據(jù)國務(wù)院信息化領(lǐng)導(dǎo)小組2003[2003]27號)的要求息系統(tǒng)安全，創(chuàng)立安全安康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化進(jìn)展，保護(hù)公眾利益，維護(hù)國家安全”。文件要求正確處理安全與進(jìn)展的關(guān)系，統(tǒng)籌規(guī)劃，突出重點，強(qiáng)化根底性工作，通息安全等級保護(hù)的治理方法和技術(shù)指南。〔下圖所示〕中其次層第三層技術(shù)標(biāo)準(zhǔn)與要求的完善和補(bǔ)充，標(biāo)準(zhǔn)具體安全工作的實施與落地。圖一治理信息系統(tǒng)安全治理體系本要求的范圍和主要內(nèi)容本技術(shù)要求的范圍為總部和各省公司治理信息系統(tǒng)，涉及到網(wǎng)絡(luò)安全域劃分和安全防護(hù)，對主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的安全加固、安全基線檢查、安全評估。主要內(nèi)容包括：大事和安全風(fēng)險的傳播。《治理信息系統(tǒng)安全域防護(hù)技術(shù)要求設(shè)施〔如防火墻、入侵檢測、防病毒、安全審計等〕，針對各個子域，制定標(biāo)準(zhǔn)的侵、網(wǎng)絡(luò)失竊密的防范力量，防止有害信息傳播，保證治理信息系統(tǒng)的安全運行。險評估，依據(jù)評估結(jié)果與加固標(biāo)準(zhǔn)要求對系統(tǒng)進(jìn)展安全加固。用來解決大多數(shù)因安全配置不到位而引起的安全問題。障整體信息安全的水平?！吨卫硇畔⑾到y(tǒng)集中災(zāi)備系統(tǒng)技術(shù)要求要求，涵蓋建設(shè)、擴(kuò)容、升級多個方面。目標(biāo)和原則治理信息系統(tǒng)安全防護(hù)工作的主要目標(biāo)就是要增加治理信息系統(tǒng)各個系統(tǒng)的安全防護(hù)是建立治理信息系統(tǒng)安全防護(hù)體系的指導(dǎo)性文件相關(guān)安全工作。具體包括以下步驟與要求：據(jù)流的安全策略掌握。安全漏洞與隱患。和維持治理信息系統(tǒng)的安全基準(zhǔn)，運維治理人員要基于安全基線定期進(jìn)展安全檢查?？偛颗c省公司要基于風(fēng)險評估技術(shù)要求定期組織開展風(fēng)險評估中存在的風(fēng)險，并對風(fēng)險進(jìn)展相應(yīng)的處置。針對治理信息系統(tǒng)需要依據(jù)災(zāi)難備份與恢復(fù)實施技術(shù)要求，在風(fēng)險評估的根底上，平衡效益與本錢，建立完善災(zāi)難備份與恢復(fù)體系。安全防護(hù)技術(shù)體系整體說明本技術(shù)要求是中國移動治理信息系統(tǒng)信息安全防護(hù)技術(shù)的指導(dǎo)性文件包括集團(tuán)總部和省公司的治理信息系統(tǒng)兩個層次，橫向掩蓋整個治理信息系統(tǒng)內(nèi)部業(yè)務(wù)系統(tǒng)，包括其所屬的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、效勞器、終端等。中國移動治理信息系統(tǒng)涉及的業(yè)務(wù)系統(tǒng)信息平臺、OA系統(tǒng)、ERP系統(tǒng)、綜合統(tǒng)計系統(tǒng)、電子選購系統(tǒng)、綜合信息網(wǎng)、終端治理平臺、網(wǎng)上教育、全面預(yù)算治理、銀企互聯(lián)、打算治理系統(tǒng)等。安全防護(hù)技術(shù)要求明確了治理信息系統(tǒng)需要落實的安全技術(shù)措施和相關(guān)的安全工作復(fù)實施技術(shù)要求構(gòu)成。此外，本體系針對不同的安全域，例如DMZ，效勞器區(qū)，制定了安全對全部的IT關(guān)要求，用于標(biāo)準(zhǔn)與指導(dǎo)風(fēng)險評估的方法、實施步驟，內(nèi)容等活動。本體系還要求對災(zāi)難備治理信息系統(tǒng)安全防護(hù)體系總體技術(shù)要求份及恢復(fù)工作依據(jù)風(fēng)險評估相關(guān)結(jié)果進(jìn)展需求分析并構(gòu)建災(zāi)難恢復(fù)預(yù)案。治理信息系統(tǒng)安全防護(hù)體系總體技術(shù)要求安全域劃分技術(shù)要求安全加固標(biāo)準(zhǔn)安全基線標(biāo)準(zhǔn)安全域劃分技術(shù)要求安全加固標(biāo)準(zhǔn)安全基線標(biāo)準(zhǔn)災(zāi)難備份與恢復(fù)實施標(biāo)準(zhǔn)災(zāi)難備份與恢復(fù)實施標(biāo)準(zhǔn)信息安全風(fēng)險評估標(biāo)準(zhǔn)IT設(shè)備系統(tǒng)應(yīng)用安全基線Web應(yīng)用安全基線信息安全風(fēng)險評估標(biāo)準(zhǔn)IT設(shè)備系統(tǒng)應(yīng)用安全基線Web應(yīng)用安全基線Web效勞器安全基線數(shù)據(jù)庫安全基線效勞器主機(jī)安全基線網(wǎng)絡(luò)設(shè)備安全基線安全加固技術(shù)要求應(yīng)用加固手冊Web效勞器加固手冊數(shù)據(jù)庫加固手冊效勞器主機(jī)加固手冊網(wǎng)絡(luò)設(shè)備加固手冊安全域防護(hù)技術(shù)要求互聯(lián)網(wǎng)出口安全防護(hù)標(biāo)準(zhǔn)DMZ服區(qū)安全防護(hù)標(biāo)準(zhǔn)務(wù)器區(qū)安全防護(hù)標(biāo)準(zhǔn)辦公區(qū)安全防護(hù)標(biāo)準(zhǔn)安全域劃分技術(shù)要求全策略進(jìn)展了標(biāo)準(zhǔn)，適用于集團(tuán)總部及各省公司治理信息系統(tǒng)。本技術(shù)要求文件是中國移動治理信息系統(tǒng)安全域劃分原則與技術(shù)要求省公司的治理信息系統(tǒng)的劃分建議，同時也定義了相應(yīng)的應(yīng)用系統(tǒng)在安全域上的映射。全手段，并實施相應(yīng)的安全處理。此根底上需要進(jìn)展安全域的邊界隔離與數(shù)據(jù)流的安全策略掌握域制定了具體的防護(hù)技術(shù)要求。因此，安全域技術(shù)要求具有以下的目的：制定治理信息系統(tǒng)的全網(wǎng)安全域劃分總體原則；對治理信息系統(tǒng)進(jìn)展安全域劃分；確定治理信息系統(tǒng)各個安全域的治理需求、技術(shù)需求和設(shè)備需求；確定治理信息系統(tǒng)各個安全域的威逼等級和保護(hù)等級；針對以防火墻或交換機(jī)為核心的治理信息系統(tǒng)網(wǎng)絡(luò)構(gòu)造，供給VLAN劃分、ACL和防火墻策略制定的參照標(biāo)準(zhǔn)。域或接口，確保其設(shè)備連接的規(guī)律區(qū)域和設(shè)備放置的物理區(qū)域符合本技術(shù)要求。如有必要，同時也更本技術(shù)要求。安全域防護(hù)技術(shù)要求本安全域防護(hù)技術(shù)要求對中國移動集團(tuán)公司治理信息系統(tǒng)安全域防護(hù)中需要標(biāo)準(zhǔn)的內(nèi)遵從的技術(shù)文件。本技術(shù)要求文件具有以下的目的：標(biāo)準(zhǔn)各個安全域保護(hù)級別與手段確實定；標(biāo)準(zhǔn)各個安全域邊界承受的防護(hù)技術(shù)與措施；標(biāo)準(zhǔn)安全域內(nèi)各子域邊界的防護(hù)技術(shù)與措施；標(biāo)準(zhǔn)省公司與集團(tuán)總部邊界承受的防護(hù)技術(shù)與措施。本標(biāo)準(zhǔn)主要包括以下幾方面的內(nèi)容：評估，流量治理，網(wǎng)絡(luò)防病毒網(wǎng)關(guān)，應(yīng)用代理，入侵檢測系統(tǒng)，入侵防范系統(tǒng)，防DDOS攻擊，反垃圾郵件系統(tǒng)，網(wǎng)頁防篡改等。術(shù)要求。安全加固標(biāo)準(zhǔn)做出了規(guī)定，對和安全加固相關(guān)的關(guān)鍵角色和職責(zé)劃分也做出了相應(yīng)的說明。使全部被評估對象應(yīng)不再存在高風(fēng)險漏洞和性能。影響減至最小。安全防護(hù)技術(shù)要求中具體的安全加固標(biāo)準(zhǔn)主要適用于治理信息系統(tǒng)部已有的各個系統(tǒng)，并依據(jù)網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)庫層、中間件、應(yīng)用層進(jìn)展分冊，具體闡述各個層次的加固的安全加固工作。安全基線標(biāo)準(zhǔn)免信息安全消滅嚴(yán)峻的短板。安全基線標(biāo)準(zhǔn)是中國移動治理信息系統(tǒng)部制定的各類IT到達(dá)的最低