中國電信集團公司CTGMBOSS安全規(guī)范總冊樣本

中華人民共和國電信集團公司CTG-MBOSS安全規(guī)范總冊目錄TOC\o"1-3"\h\z第1章 文檔闡明 11.1 編制闡明 11.2 合用范疇 11.3 起草單位 11.4 解釋權(quán) 11.5 版權(quán) 1來自資料搜索網(wǎng)()海量資料下載第2章 綜述 22.1 MBOSS所面臨安全挑戰(zhàn) 22.1.1 安全組織管理 22.1.2 人員安全管理 22.1.3 應(yīng)用開發(fā)安全管理 22.1.4 運維安全管理 22.1.5 顧客管理 22.1.6 訪問認證授權(quán) 32.1.7 網(wǎng)絡(luò)安全 32.1.8 主機安全 32.1.9 終端安全 42.1.10 安全審計 42.1.11 容災(zāi)安全 42.2 MBOSS安全規(guī)范目的愿景 42.3 改進MBOSS信息安全核心環(huán)節(jié) 42.4 MBOSS安全規(guī)范設(shè)計根據(jù) 5第3章 安全規(guī)范體系闡明 63.1 安全規(guī)范指引原則 93.2 安全管理規(guī)范綜述 93.3 安全技術(shù)規(guī)范綜述 10第4章 CTG－MBOSS安全規(guī)范實行 134.1 MBOSS安全規(guī)范演進籌劃 134.1.1 第一階段：建立MBOSS安全服務(wù)平臺基本設(shè)施 134.1.2 第二階段：擴充MBOSS安全服務(wù)平臺功能 144.1.3 第三階段：完善MBOSS安全體系 154.2 CTG－MBOSS安全架構(gòu)布置建議 154.3 CTG－MBOSS容災(zāi)備份 16第5章 安全規(guī)范演進風(fēng)險及應(yīng)對 175.1 IT安全組織建立 175.2 實行范疇控制 175.3 人力資源安排 185.4 員工對安全管理制度接受 18附錄1. 附錄 19附錄1.1. 規(guī)范編制人員名單 19附錄1.2. 名詞定義 19附錄1.3. 參照文獻 20文檔闡明編制闡明本規(guī)范作為中華人民共和國電信CTG-MBOSS規(guī)范重要構(gòu)成某些，為中華人民共和國電信集團建設(shè)MBOSS信息安全體系提供根據(jù)。本規(guī)范編制是在《CTG-MBOSS總體規(guī)范V2.0》總體框架體系指引下，參照了已有中華人民共和國電信集團下發(fā)安全政策文獻，繼承和吸取了原有安全管理實踐經(jīng)驗成果，并充分考慮了各省電信公司現(xiàn)狀和行業(yè)最佳實踐與安全新技術(shù)引入。本規(guī)范是MBOSS總體規(guī)范構(gòu)成某些，全面、概括地闡述了安全架構(gòu)、安全管理、安全技術(shù)以及實行演進方略等內(nèi)容。合用范疇本規(guī)范合用于中華人民共和國電信集團公司及下屬?。ㄊ校╇娦殴具M行MBOSS信息安全規(guī)劃和建設(shè)，為MBOSS系統(tǒng)有關(guān)安全建設(shè)、升級改造、系統(tǒng)演進提供指引和根據(jù)。起草單位本規(guī)范起草單位是中華人民共和國電信集團公司。解釋權(quán)本規(guī)范解釋權(quán)屬于中華人民共和國電信集團公司。版權(quán)綜述MBOSS所面臨安全挑戰(zhàn)安全組織管理隨著中華人民共和國電信MBOSS建設(shè)和發(fā)展，如何及時制定出信息安全指引方針，研究和分析信息安全建設(shè)對中華人民共和國電信業(yè)務(wù)發(fā)展價值和影響，更好適應(yīng)不斷變化組織形式，明確組織內(nèi)部人員職責(zé)，以保障中華人民共和國電信業(yè)務(wù)系統(tǒng)安全穩(wěn)定地運營成為安全管理機構(gòu)面臨最大挑戰(zhàn)。人員安全管理據(jù)調(diào)查大某些安全事件都來自公司內(nèi)部，商業(yè)間諜存在，員工故意無意透露公司商業(yè)信息，員工在離職后泄露公司商業(yè)秘密及從事與公司有競爭利益商業(yè)活動等，都暴露出公司在人員安全管理方面存在問題。定期進行員工安全意識培訓(xùn)已經(jīng)刻不容緩。應(yīng)用開發(fā)安全管理隨著中華人民共和國電信MBOSS發(fā)展，應(yīng)用系統(tǒng)將面臨諸多安全威脅。身份認證欺騙、顧客權(quán)限濫用、輸入數(shù)據(jù)校驗異常、跨站點代碼襲擊、緩沖區(qū)溢出等等，都對咱們應(yīng)用開發(fā)提出了新安全設(shè)計和防護規(guī)定。制定嚴(yán)格編程規(guī)范和管理手段成為不能回避問題。運維安全管理隨著中華人民共和國電信MBOSS系統(tǒng)各項業(yè)務(wù)對信息系統(tǒng)依賴限度逐漸提高，信息系統(tǒng)復(fù)雜度急劇增長，從規(guī)劃建設(shè)到系統(tǒng)運維階段安全建設(shè)都應(yīng)遵循系統(tǒng)生命周期進行設(shè)計，另一方面信息系統(tǒng)在運維過程中安全問題變得更加突出，因而也提出了越來越高安全運維規(guī)定;同步復(fù)雜業(yè)務(wù)系統(tǒng)和異構(gòu)網(wǎng)絡(luò)環(huán)境，增長了系統(tǒng)安全運維難度。老式單一、孤立安全運維管理已越來越不適應(yīng)中華人民共和國電信CTG-MBOSS系統(tǒng)安全運維管理需求，CTG-MBOSS系統(tǒng)安全運維管理應(yīng)向綜合安全運維階段進行深刻轉(zhuǎn)變。顧客管理隨著中華人民共和國電信MBOSS系統(tǒng)發(fā)展，顧客數(shù)量不斷增長，網(wǎng)絡(luò)規(guī)模迅速擴大，信息安全問題愈見突出，原有顧客管理辦法已不能滿足中華人民共和國電信當(dāng)前及將來業(yè)務(wù)發(fā)展規(guī)定。重要體當(dāng)前如下方面：如果MBOSS每個系統(tǒng)均擁有獨立顧客管理系統(tǒng)，將會給同步維護各種應(yīng)用系統(tǒng)維護人員帶來巨大工作量；缺少賬號生命周期管理機制，存在大量孤立賬號，增長信息系統(tǒng)安全風(fēng)險；存在多人共用一賬號現(xiàn)象，難以控制賬號擴散范疇，安全管理存在漏洞。且安全事故發(fā)生后，難以審計并定位到實際使用者；帳號審計沒有較好流程來規(guī)范，進行帳號生命周期管理，保證帳號安全。訪問認證授權(quán)隨著網(wǎng)絡(luò)襲擊技術(shù)迅速發(fā)展，CTG-MBOSS訪問認證授權(quán)面臨著嚴(yán)峻挑戰(zhàn)，詳細來說存在著也許導(dǎo)致較嚴(yán)重安全事件幾類問題，詳細如下：1．認證功能分散在各設(shè)備和系統(tǒng)中難以統(tǒng)一管理。2．授權(quán)功能分散在各設(shè)備和系統(tǒng)中難以與業(yè)務(wù)規(guī)定相協(xié)調(diào)。3．未建立統(tǒng)一訪問認證管理流程。上述三個方面問題也許導(dǎo)致較嚴(yán)重安全事件，是CTG-MBOSS在訪問認證授權(quán)方面重要問題，會帶來巨大挑戰(zhàn)。網(wǎng)絡(luò)安全由于以往建設(shè)網(wǎng)絡(luò)系統(tǒng)在安全建設(shè)和安全互聯(lián)方面考慮較少，隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)迅速發(fā)展，網(wǎng)絡(luò)系統(tǒng)面臨安全威脅日益增長。依照調(diào)研，CTG-MBOSS網(wǎng)絡(luò)系統(tǒng)所面臨重要威脅除了物理襲擊破壞外，還涉及惡意軟件襲擊、內(nèi)部員工誤用、黑客入侵破壞等幾類。因而，迫切需要開展網(wǎng)絡(luò)安全研究，從整體安全防護、邊界防護、網(wǎng)絡(luò)安全架構(gòu)及性能規(guī)劃與MBOSS需求相適應(yīng)、系統(tǒng)內(nèi)部安全防護、安全審計等不同角度出發(fā)，制定安全防護原則和優(yōu)化改造方案。使網(wǎng)絡(luò)安全與網(wǎng)絡(luò)系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步維護”。主機安全CTG-MBOSS中主機系統(tǒng)作為信息存儲、傳播、應(yīng)用解決基本設(shè)施，其自身安全性涉及到系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等各個方面。作為CTG-MBOSS系統(tǒng)中重要構(gòu)成某些，各種業(yè)務(wù)系統(tǒng)主機數(shù)量眾多，資產(chǎn)價值高，面臨安全風(fēng)險極大。一方面，主機是CTG-MBOSS系統(tǒng)各類業(yè)務(wù)系統(tǒng)數(shù)據(jù)重要載體，這些業(yè)務(wù)數(shù)據(jù)是系統(tǒng)信息資產(chǎn)重要構(gòu)成某些；另一方面，病毒、木馬等安全威脅很容易通過訪問主機系統(tǒng)終端滲入到后臺各種業(yè)務(wù)應(yīng)用和服務(wù)主機中，從而對CTG-MBOSS系統(tǒng)整體安全帶來危害。為此需要在終端和主機安全領(lǐng)域建立一套安全技術(shù)體系來保障其安全，從而進一步完善CTG-MBOSS安全技術(shù)體系。終端安全終端作為一種比較分散資產(chǎn)，長期以來難以進行集中有效管理；作為CTG-MBOSS一種基本組件，面臨病毒、蠕蟲、木馬、惡意代碼泛濫，不安全終端也許成為一種被動襲擊源，對整個MBOSS系統(tǒng)構(gòu)成威脅。公司內(nèi)部應(yīng)制定統(tǒng)一終端安全方略、終端安全接入MBOSS方略，涉及補丁管理、終端審計等流程。安全審計隨著中華人民共和國電信CTG-MBOSS系統(tǒng)建設(shè)和發(fā)展，同步為滿足薩班斯法案對于IT系統(tǒng)內(nèi)部控制規(guī)定，安全審計將成為一項重要技術(shù)手段。但在詳細安全運維工作中，安全審計面臨諸多挑戰(zhàn)，重要體當(dāng)前內(nèi)部人員操作、第三方維護人員操作以及最高權(quán)限顧客使用過程中。要建立一套完備審計機制。容災(zāi)安全隨著中華人民共和國電信CTG-MBOSS系統(tǒng)建設(shè)和發(fā)展，需要依照國家規(guī)定與電信MBOSS集中特點考慮容災(zāi)需求。MBOSS安全規(guī)范目的愿景MBOSS安全規(guī)范制定重要有如下三大目的愿景：定義中華人民共和國電信CTG-MBOSS安全管理體系愿景,保證中華人民共和國電信“從老式固網(wǎng)運營商向綜合信息服務(wù)提供商”成功轉(zhuǎn)型。提供演進路線，在3-5年把中華人民共和國電信建設(shè)成以風(fēng)險管理為導(dǎo)向成熟型公司。 采用管理與技術(shù)相結(jié)合辦法，增進CTG－MBOSS安全規(guī)劃及規(guī)范貫徹。改進MBOSS信息安全核心環(huán)節(jié)中華人民共和國電信MBOSS系統(tǒng)安全需要解決核心問題，一方面，安全建設(shè)必要符合中華人民共和國電信公司戰(zhàn)略轉(zhuǎn)型和業(yè)務(wù)發(fā)展，必要保證業(yè)務(wù)發(fā)展；另一方面，安全體系應(yīng)符合國家各種法律法規(guī)中對于安全規(guī)定，特別是滿足內(nèi)控規(guī)定，并且對其中有針對性規(guī)定進行重點建設(shè)；再次，充分考慮MBOSS系統(tǒng)在當(dāng)前運營中對于安全建設(shè)規(guī)定和需求；最后，系統(tǒng)安全應(yīng)規(guī)避和減少當(dāng)前系統(tǒng)存在威脅和風(fēng)險。綜上所述，中華人民共和國電信MBOSS系統(tǒng)安全規(guī)范需要解決問題如下：1. 在中華人民共和國電信內(nèi)部控制手冊基本上，建立完善CTG-MBOSS系統(tǒng)整體安全規(guī)劃，實現(xiàn)安全基本設(shè)施建設(shè)有序地建設(shè)，保證用于IT安全投資應(yīng)不少于IT投資10％。2. 建立專職信息安全管理組織，建立安全崗位，明確安全管理職責(zé)，結(jié)束當(dāng)前“權(quán)力分散，缺少統(tǒng)一，兼職為主”局面。3. 依照集團和各省公司詳細狀況，制定各省公司MBOSS公司安全架構(gòu)和實行籌劃，徹底變化以往孤立布置各種安全產(chǎn)品狀況。4. CTG-MBOSS系統(tǒng)中信息安全規(guī)定，加強對系統(tǒng)顧客管理、顧客訪問認證、授權(quán)、訪問控制。5. 建立集中IT安全服務(wù)、監(jiān)控平臺，提供技術(shù)手段固化安全政策、原則和流程，及時監(jiān)控IT安全狀況。明確該平臺做為公司負責(zé)IT安全對內(nèi)對外接口。6. 加強CTG-MBOSS系統(tǒng)邊界訪問方式、安全區(qū)域內(nèi)部、安全區(qū)域間防護；對既有IT基本設(shè)施進行IT安全加固，消除安全隱患。特別是相應(yīng)用定期安全檢查。7. 加強CTG-MBOSS系統(tǒng)與客戶自服務(wù)安全交互訪問接口安全性；在省公司統(tǒng)一規(guī)劃和建設(shè)與公網(wǎng)接口，堵截安全漏洞。8. 在系統(tǒng)開發(fā)過程中，加入安全管控點，保證新實行系統(tǒng)能滿足安全規(guī)范。9. 加強CTG-MBOSS系統(tǒng)安全集中管理能力，實現(xiàn)全面安全集中運維管理。10. 建立CTG-MBOSS系統(tǒng)容災(zāi)建設(shè)，建立業(yè)務(wù)系統(tǒng)持續(xù)性發(fā)展和建設(shè)籌劃、環(huán)節(jié)和詳細保障手段。MBOSS安全規(guī)范設(shè)計根據(jù)定義CTG-MBOSS安全體系愿景：采用管理與技術(shù)相結(jié)合辦法，在3-5年內(nèi)把中華人民共和國電信建設(shè)成以風(fēng)險為導(dǎo)向成熟型公司，保證中華人民共和國電信成功轉(zhuǎn)型。CTG－MBOSS安全規(guī)范設(shè)計根據(jù)重要來源在五個方面：中華人民共和國電信戰(zhàn)略轉(zhuǎn)型驅(qū)動，中華人民共和國電信IT內(nèi)控規(guī)定，MBOSS安全現(xiàn)狀和評估，法律法規(guī)對信息安全規(guī)定，信息安全最佳實踐和實行經(jīng)驗。安全規(guī)范體系闡明CTG-MBOSS是支撐中華人民共和國電信公司運營和管理信息化架構(gòu)，是集團和各省公司公司信息化建設(shè)愿景，由辦法論、功能和系統(tǒng)架構(gòu)、管控架構(gòu)以及規(guī)范體系等某些構(gòu)成。安全規(guī)范是CTG－MBOSS規(guī)范體系擴充。圖STYLEREF1\s3SEQ圖\*ARABIC\s11CTG-MBOSS安全規(guī)范與CTG－MBOSS規(guī)范體系關(guān)系CTG-MBOSS安全規(guī)范是對既有CTG－MBOSS規(guī)范體系擴充。安全規(guī)范是由兩個某些構(gòu)成，分別對安全管理規(guī)范和安全技術(shù)規(guī)范兩個方面進行了設(shè)計。在安全管理體系方面，制定了安全方略，涉及組織安全管理架構(gòu)，人員安全管理、應(yīng)用開發(fā)安全管理和運維安全管理等四個方面所需遵循IT安全原則和指引方針，協(xié)助中華人民共和國電信不斷提高IT安全管理能力。CTG－MBOSS安全規(guī)范將建立在中華人民共和國電信公司信息安全架構(gòu)模型，該模型將公司安全能力劃提成7個層次。圖STYLEREF1\s3SEQ圖\*ARABIC\s12CTG－MBOSS安全規(guī)范信息安全架構(gòu)模型原則：描述信息安全業(yè)務(wù)需求價值政策：描述信息安全目地、方向、愿景及責(zé)任安全原則：信息安全實行規(guī)則，涉及技術(shù)、辦法及其他細節(jié)流程：跨部門實行政策原則活動、工作及程序作業(yè)指南：描述個人在流程上詳細工作架構(gòu)：信息安全技術(shù)如何結(jié)合細節(jié)產(chǎn)品建議：信息安全解決方案所選產(chǎn)品及工具基于以上MBOSS面臨IT安全挑戰(zhàn)，MBOSS安全規(guī)范將參照ISO17799重要在IT安全管理體系，IT安全技術(shù)架構(gòu)兩個方面進行了考慮。圖STYLEREF1\s3SEQ圖\*ARABIC\s13CTG－MBOSS安全規(guī)范文檔構(gòu)造管理規(guī)范設(shè)計思路：從MBOSS應(yīng)用開發(fā)、維護考慮安全面管理規(guī)定出發(fā)，考慮如下：組織架構(gòu)：結(jié)合公司信息化部當(dāng)前組織架構(gòu)及職責(zé)，定義負責(zé)MBOSS安全組織架構(gòu)設(shè)立原則，指引機構(gòu)設(shè)立，及有關(guān)崗位職能。人員安全：考慮對MBOSS運維人員管理及考核，對MBOSS第三方開發(fā)人員管理與監(jiān)督應(yīng)用開發(fā)安全：應(yīng)用開發(fā)過程中安全規(guī)定運維安全：針對MBOSS在運維中安全需求，為規(guī)范尋常運維工作而定義了有關(guān)工作流程，其中工作流程按技術(shù)體系進行分類。技術(shù)規(guī)范設(shè)計思路：從顧客對MBOSS數(shù)據(jù)訪問流程考慮安全面技術(shù)規(guī)定出發(fā)，考慮如下：顧客管理：對訪問MBOSS顧客集中管理訪問認證：對訪問MBOSS顧客集中授權(quán)網(wǎng)絡(luò)安全：承載MBOSSDCN、中間件、數(shù)據(jù)庫安全規(guī)定主機安全：承載MBOSS主機與數(shù)據(jù)存儲安全規(guī)定終端安全：訪問MBOSS終端及其接入DCN安全規(guī)定(含VPN方式）安全審計：定義MBOSS在運維過程中安全檢測點及規(guī)定容災(zāi)備份：對MBOSS應(yīng)用及與數(shù)據(jù)存儲備份規(guī)定安全規(guī)范指引原則在安全規(guī)范詳細編制過程中，充分考慮了如下安全指引原則:集中管理、集中審計MBOSS應(yīng)采用以省為單位集中安全管理和集中安全審計設(shè)計原則，以提高系統(tǒng)安全運營效率和效果。至少特權(quán)在保證能完畢其工作任務(wù)時，賦予顧客（涉及個人、應(yīng)用或其他主體）至少特權(quán)和必須權(quán)限。倡導(dǎo)分層分區(qū)防衛(wèi)MBOSS安全不能建立在單一安全機制上。網(wǎng)絡(luò)應(yīng)依照所承載系統(tǒng)進行分層分區(qū)，分區(qū)域后網(wǎng)絡(luò)能得到額外安全保護和控制。減少最弱環(huán)節(jié)在設(shè)計中要辨認、避免或監(jiān)視任何也許弱點，并定期進行弱點掃描與評估。MBOSS安全限度取決于系統(tǒng)最薄弱環(huán)節(jié)，黑客往往尋找公司最弱點進行襲擊。簡潔安全解決方案實行安全解決方案，一種復(fù)雜系統(tǒng)往往增長了安全漏洞存在也許性。防外和防內(nèi)并重在所有襲擊中，內(nèi)部襲擊占據(jù)了很大一某些，安全解決方案應(yīng)能同步承擔(dān)內(nèi)部和外部威脅防范，安全設(shè)施實行應(yīng)不考慮威脅源差別－不論來自何方訪問，核心信息資源需要提供額外認證和授權(quán)?？紤]系統(tǒng)實際生產(chǎn)狀態(tài)MBOSS系統(tǒng)安全規(guī)范建設(shè)涉及多方面安全方略及內(nèi)容，因而依照各系統(tǒng)實際生產(chǎn)狀態(tài)，采用相應(yīng)規(guī)范。安全管理規(guī)范綜述本安全管理規(guī)范給出了CTG-BOSS系統(tǒng)啟動、實行、保持和改進信息安全管理體系指南和普通原則。本規(guī)范列出目的為系統(tǒng)普通所接受信息安全管理提供了指引。本管理規(guī)范控制目的和控制辦法實行旨在滿足以風(fēng)險為導(dǎo)向所辨認安全規(guī)定。本原則可作為建立CTG-BOSS系統(tǒng)安全準(zhǔn)則和有效安全管理實用指南，可以為是CTG-BOSS系統(tǒng)開發(fā)其詳細指南起點。對CTG-BOSS系統(tǒng)來說，雖然本安全管理規(guī)范中所有控制辦法都是重要并且是應(yīng)被考慮，但是省公司應(yīng)依照其CTG-BOSS系統(tǒng)所面臨詳細風(fēng)險來擬定任何一種控制辦法與否適當(dāng),不能取代基于系統(tǒng)風(fēng)險評估而選取控制辦法。本規(guī)范由四個某些構(gòu)成：組織安全管理分冊、人員安全管理分冊、運維安全管理分冊、應(yīng)用開發(fā)安全管理分冊。其中組織安全管理分冊和人員安全管理分冊是本安全管理規(guī)范基本。組織安全管理分冊明確指出CTG-BOSS系統(tǒng)應(yīng)建立起決策層、管理層和執(zhí)行層三層工作關(guān)系，建立由各單位重要負責(zé)人構(gòu)成信息安全領(lǐng)導(dǎo)小組，目的是明確信息安全主管領(lǐng)導(dǎo)，貫徹信息安全管理部門，建立信息安全執(zhí)行崗位，明確職責(zé)；管理本質(zhì)是對人監(jiān)管，人員安全分冊從信息安全角度對CTG-MBOSS系統(tǒng)使用顧客行為進行了規(guī)范，該分冊從人員入職、在職、離職以及第三方人員安全管理四個方面管理和控制CTG-MBOSS系統(tǒng)使用顧客不安全行為，防止安全事件發(fā)生。在前兩個分冊基本上，結(jié)合CTG-MBOSS系統(tǒng)現(xiàn)階段防護重點、安全現(xiàn)狀,安全管理規(guī)范從系統(tǒng)運維安全和應(yīng)用開發(fā)安全兩個方面對CTG-MBOS系統(tǒng)進行了系統(tǒng)規(guī)范，系統(tǒng)運維安全分冊從信息資產(chǎn)、口令、電子文檔、系統(tǒng)應(yīng)急、安全審計、風(fēng)險評估等方面對運維過程中重要管理問題進行了闡述，但愿通過該分冊制定和執(zhí)行，建立CTG-MBOSS系統(tǒng)內(nèi)部安全運維螺旋上升PDCA循環(huán)；應(yīng)用開發(fā)安全分冊從應(yīng)用系統(tǒng)安全基本需求出發(fā)，對系統(tǒng)承載業(yè)務(wù)數(shù)據(jù)和應(yīng)用系統(tǒng)自身提出了安全管理規(guī)定，并從系統(tǒng)開發(fā)、對外控制、安全性測試、系統(tǒng)布置幾種方面相應(yīng)用系統(tǒng)開發(fā)過程中遇到安全管理問題控制進行了規(guī)范。安全技術(shù)規(guī)范綜述安全技術(shù)規(guī)范設(shè)計是從中華人民共和國電信安全需求出發(fā)，根據(jù)項目總體原則、最佳實踐及IT安全架構(gòu)設(shè)計原則，以安全能力、安全服務(wù)滿足需求。通過對安全服務(wù)模塊及其功能模塊設(shè)計和實行，建立中華人民共和國電信安全技術(shù)架構(gòu)，提供整個公司IT安全服務(wù)和能力。中華人民共和國電信總體安全技術(shù)架構(gòu)依照中華人民共和國電信需求、以及安全架構(gòu)設(shè)計原則及最佳實踐，本項目所設(shè)計中華人民共和國電信安全技術(shù)架構(gòu)將涉及如下服務(wù)模塊及功能模塊。圖STYLEREF1\s3SEQ圖\*ARABIC\s14CTG－MBOSS安全技術(shù)架構(gòu)中華人民共和國電信IT安全架構(gòu)將具備如下功能：集中顧客管理：通過顧客帳號管理系統(tǒng)，實行統(tǒng)一顧客管理方略。依照顧客組別及顧客管理方略，可集中授予顧客對各應(yīng)用、系統(tǒng)訪問權(quán)限。集中顧客身份管理將提供公司級顧客目錄數(shù)據(jù)庫。它任何變化（如更改、刪除）都會被同步到其她系統(tǒng)顧客目錄中。集中顧客身份管理功能為實行統(tǒng)一顧客管理政策提供了也許。集中認證授權(quán)：通過集中認證平臺實現(xiàn)對各應(yīng)用訪問集中認證和訪問授權(quán)。認證平臺基于訪問顧客宏觀屬性（顧客辨認符、目的應(yīng)用系統(tǒng)名稱、認證所采用信任度）和訪問政策實現(xiàn)對各應(yīng)用訪問集中認證和應(yīng)用入口級訪問授權(quán)。并提供了多應(yīng)用系統(tǒng)單點登錄功能。集中安全審計：通過集中事件管理平臺為監(jiān)測及解決安全事件提供有效工具。通過采集應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)中稽查記錄以及收集所布置安全檢測設(shè)備事件來實現(xiàn)對日記、事件集中收集、集中解決、集中分析、報告。網(wǎng)絡(luò)安全改造：目是實現(xiàn)信息資產(chǎn)保護。為了保護資產(chǎn)免于也許受到威脅，在資產(chǎn)和不被信任機構(gòu)之間設(shè)立保護機制，將資產(chǎn)與那些危險代理隔離。對于但愿使用相似安全控制一組資產(chǎn)，可以把她們劃為一種“域”。通過安全域設(shè)計，限制除通過可接受安全接口之外訪問。主機安全改進：為服務(wù)器安全符合性檢查和控制提供手段。集中檢查服務(wù)器安全符合性狀況，并依照安全方略采用后續(xù)手段來限制主機訪問和操作。終端安全改進：為終端安全符合性檢查和控制提供手段。集中檢查終端設(shè)備安全符合性狀況，并依照安全方略采用后續(xù)手段來限制終端對網(wǎng)絡(luò)訪問(網(wǎng)絡(luò)準(zhǔn)入控制)。通過集中補丁管理提供終端符合性手段。容災(zāi)備份中心：為CTG-MBOSS系統(tǒng)提供風(fēng)險防止機制和劫難恢復(fù)辦法，在保證數(shù)據(jù)安全基本上提高業(yè)務(wù)持續(xù)運營能力，減少公司運營風(fēng)險，將業(yè)務(wù)損失減少到可接受限度，提高服務(wù)質(zhì)量和服務(wù)水平，增強公司競爭力。下圖描述了MBOSS安全服務(wù)平臺域MSS、BSS、OSS整合，和它們之間信息傳遞關(guān)系：圖STYLEREF1\s3SEQ圖\*ARABIC\s15CTG－MBOSS與MSS、BSS、OSS整合CTG－MBOSS安全規(guī)范實行CTG-MBOSS安全規(guī)范實行演進籌劃圖STYLEREF1\s4SEQ圖\*ARABIC\s11CTG－MBOSS安全規(guī)范演進規(guī)劃第一階段：建立MBOSS安全服務(wù)平臺基本設(shè)施通過第一階段實行，建立起MBOSS安全服務(wù)體系基本設(shè)施。規(guī)定達到如下目的：建立MBOSS安全管理體系：建立MBOSS安全管理組織，實行人員安全管理規(guī)范、對員工進行個人安全教誨，推廣實行MBOSS運維安全管理規(guī)范，推廣并實行MBOSS應(yīng)用開發(fā)安全管理規(guī)范。制定各省公司MBOSS安全架構(gòu)與總體解決方案（EnterpriseSecurityArchitecture）網(wǎng)絡(luò)安全改進－網(wǎng)絡(luò)改進規(guī)定獲得如下成果：按照網(wǎng)絡(luò)安全規(guī)范規(guī)定，依照不同安全規(guī)定，建立相應(yīng)安全區(qū)域。網(wǎng)絡(luò)安全區(qū)域劃分，要與MBOSS應(yīng)用數(shù)據(jù)流相結(jié)合不同安全區(qū)域要用采用相應(yīng)隔離手段，并在網(wǎng)絡(luò)上布置入侵檢測或防御手段。建立統(tǒng)一外網(wǎng)訪問出口，逐漸關(guān)閉部門自主布置互聯(lián)網(wǎng)訪問出口。主機安全管理：建設(shè)主機安全管理基本設(shè)施，定義主機安全方略，實行對MSS、BSS、OSS系統(tǒng)主機安全管理。實行基于主機系統(tǒng)補丁管理實行基于主機主機加固和審計系統(tǒng)、防病毒系統(tǒng)、防惡意代碼工具，及相應(yīng)安全代理布置實行基于主機襲擊防護系統(tǒng)布置集中安全審計平臺：建設(shè)集中安全審計平臺實現(xiàn)對BSS核心系統(tǒng)安全審計整合，涉及BSS應(yīng)用、服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫，DCN核心網(wǎng)絡(luò)設(shè)備。能對BSS核心系統(tǒng)（應(yīng)用、操作系統(tǒng)和數(shù)據(jù)庫）安全進行監(jiān)控和記錄報告。集中顧客管理平臺：建設(shè)集中顧客管理平臺，建立公司級目錄服務(wù)實現(xiàn)對MSS系統(tǒng)顧客管理整合，制定和實行MSS應(yīng)用系統(tǒng)顧客管理流程，實現(xiàn)對MSS系統(tǒng)顧客管理。終端安全管理：實行終端安全管理基本設(shè)施，實行省公司終端防火墻和防病毒軟件布置，實行對省公司終端網(wǎng)絡(luò)準(zhǔn)入控制，與公司目錄服務(wù)結(jié)合，實現(xiàn)授權(quán)準(zhǔn)入。容災(zāi)中心設(shè)計容災(zāi)方案擬定，容災(zāi)選址完畢，容災(zāi)架構(gòu)設(shè)計完畢第二階段：擴充MBOSS安全服務(wù)平臺功能通過擴充MBOSS信息安全服務(wù)平臺功能，規(guī)定達到如下目的：繼續(xù)第一階段工作，完善MBOSS安全管理體系。集中顧客管理平臺：將集中顧客管理平臺與BSS和OSS系統(tǒng)整合，制定和實行BSS和OSS系統(tǒng)顧客管理流程，實現(xiàn)BSS和OSS系統(tǒng)顧客集中管理。集中訪問認證平臺：將集中訪問認證平臺與BSS和OSS系統(tǒng)整合，制定和實行BSS和OSS系統(tǒng)顧客管理流程，實現(xiàn)BSS和OSS系統(tǒng)顧客集中訪問控制。集中安全審計平臺：以實現(xiàn)對MSS和OSS核心系統(tǒng)安全審計整合，涉及應(yīng)用、操作系統(tǒng)和數(shù)據(jù)庫。能對MSS和OSS核心系統(tǒng)（應(yīng)用、操作系統(tǒng)和數(shù)據(jù)庫）安全進行監(jiān)控和記錄報告。終端安全管理：實行對本地網(wǎng)顧客終端安全管理。容災(zāi)中心建設(shè)：容災(zāi)中心建設(shè)完畢，能接受各分公司BSS核心系統(tǒng)容災(zāi)和數(shù)據(jù)備份。第三階段：完善MBOSS安全體系通過MBOSS安全體系完善，規(guī)定達到如下目的：繼續(xù)第二階段工作，完善MBOSS安全管理體系。集中訪問認證平臺：實行對非B/S架構(gòu)系統(tǒng)訪問認證容災(zāi)中心擴充：對容災(zāi)中心容量逐漸擴充，使之所保護相應(yīng)省公司核心業(yè)務(wù)系統(tǒng)，可容納MSS、BSS、OSS核心系統(tǒng)備份和容災(zāi)。CTG－MBOSS安全架構(gòu)布置建議安全服務(wù)平臺將布置在集團、省公司和本地網(wǎng)三個層次。集團和省公司布置基本上是相似，本地網(wǎng)盡布置少量模塊。CTG－MBOSS容災(zāi)備份CTG-MBOSS容災(zāi)系統(tǒng)是業(yè)務(wù)運營支撐系統(tǒng)有機構(gòu)成某些，容災(zāi)備份時CTG－MBOSS安全規(guī)范一種不可缺省某些。各省公司要保證MBOSS核心系統(tǒng)業(yè)務(wù)持續(xù)性。由于容災(zāi)備份中心建設(shè)費用非常髙，中華人民共和國電信總部將依照ITSP2.0,統(tǒng)一建設(shè)和布置、建設(shè)6個容災(zāi)中心。安全規(guī)范演進風(fēng)險及應(yīng)對結(jié)合中華人民共和國電信MBOSS實際狀況，規(guī)范編寫組以為解決方案推廣實行也許會存在如下風(fēng)險：IT安全組織建立依照解決方案設(shè)計，IT安全組織將在開發(fā)階段成立。同步IT安全組織在整個項目中也扮演著重要角色，對于解決方案推廣實行和IT安全持續(xù)管理至關(guān)重要。因而，IT安全組織建立延遲或偏差都會對解決方案實行效果帶來不利影響。管理方面影響安全管理制度制定得不到有關(guān)安全組織配合，使制度可操作性受到影響，同步也不運用制度更新、維護。安全管理制度理解受到影響，不利于