(优品)（安全管理）中国电信集团公司CTGMBOSS安全规范总册 优品

《(优品)（安全管理）中国电信集团公司CTGMBOSS安全规范总册 优品》由会员分享，可在线阅读，更多相关《(优品)（安全管理）中国电信集团公司CTGMBOSS安全规范总册 优品（22页珍藏版）》请在金锄头文库上搜索。

1、（安全管理）中国电信集 团公司 CTGMBOSS 安全 规范总册 中国电信集团公司 CTG-MBOSS 安全规范总册 目录 第 1 章文档说明 1 1.1 编制说明 1 1.2 适用范围 1 1.3 起草单位 1 1.4 解释权 1 1.5 版权 1 第 2 章综述 2 2.1MBOSS 所面临的安全挑战 2 2.1.1 安全组织管理 2 2.1.2 人员安全管理 2 2.1.3 应用开发安全管理 2 2.1.4 运维安全管理 2 2.1.5 用户管理 2 2.1.6 访问认证授权 3 2.1.7 网络安全 3 2.1.8 主机安全 3 2.1.9 终端安全 4 2.1.10 安全审计 4 2

2、.1.11 容灾安全 4 2.2MBOSS 安全规范的目标愿景 4 2.3 改进 MBOSS 信息安全的关键步骤 4 2.4MBOSS 安全规范设计依据 5 第 3 章安全规范体系说明 6 3.1 安全规范指导原则 9 3.2 安全管理规范综述 9 3.3 安全技术规范综述 10 第 4 章 CTGMBOSS 安全规范实施 13 4.1MBOSS 安全规范演进计划 13 4.1.1 第一阶段：建立 MBOSS 安全服务平台基础设施 13 4.1.2 第二阶段：扩充 MBOSS 安全服务平台的功能 14 4.1.3 第三阶段：完善 MBOSS 安全体系 15 4.2CTGMBOSS 安全架构的部

3、署建议 15 4.3CTGMBOSS 容灾备份 16 第 5 章安全规范演进风险及应对 17 5.1IT 安全组织的建立 17 5.2 实施范围的控制 17 5.3 人力资源安排 18 5.4 员工对安全管理制度的接受 18 附录 1.附录 19 附录 1.1.规范编制人员名单 19 附录 1.2.名词定义 19 附录 1.3.参考文献 20 中国电信版权所有 机密 第 1 页，共 20 页 第 1 章文档说明 1.1编制说明 本规范作为中国电信 CTG-MBOSS 规范的重要组成部分，为中国电信集团 建设 MBOSS 信息安全体系提供依据。本规范的编制是在CTG-MBOSS 总体 规范 V2

4、.0的总体框架体系指导下，参考了已有的中国电信集团下发的安全政 策文件，继承和吸收了原有安全管理实践的经验成果，并充分考虑了各省电信 公司的现状和行业最佳实践与安全新技术的引入。本规范是 MBOSS 总体规范 的组成部分，全面、概括地阐述了安全架构、安全管理、安全技术以及实施演 进策略等内容。 1.2适用范围 本规范适用于中国电信集团公司及下属省（市）电信公司进行 MBOSS 信息 安全的规划和建设，为 MBOSS 系统相关的安全建设、升级改造、系统演进提 供指导和依据。 1.3起草单位 本规范的起草单位是中国电信集团公司。 1.4解释权 本规范的解释权属于中国电信集团公司。 1.5版权 中国

5、电信版权所有 机密 第 2 页，共 20 页 第 2 章综述 2.1MBOSS 所面临的安全挑战 2.1.1安全组织管理 随着中国电信 MBOSS 的建设和发展，如何及时制定出信息安全的指导方针， 研究和分析信息安全建设对中国电信业务发展的价值和影响，更好适应不断变 化的组织形式，明确组织内部人员职责，以保障中国电信业务系统安全稳定地 运行成为安全管理机构面临的最大挑战。 2.1.2人员安全管理 据调查大部分的安全事件都来自公司的内部，商业间谍的存在，员工有意无 意透露公司商业信息，员工在离职后泄露公司商业秘密及从事与公司有竞争利 益的商业活动等，都暴露出公司在人员安全管理方面存在的问题。定期

6、进行员 工安全意识培训已经刻不容缓。 2.1.3应用开发安全管理 随着中国电信 MBOSS 的发展，应用系统将面临诸多的安全威胁。身份认证 的欺骗、用户权限的滥用、输入数据校验的异常、跨站点的代码攻击、缓冲区 溢出等等，都对我们的应用开发提出了新的安全设计和防护要求。制定严格的 编程规范和管理手段成为不能回避的问题。 2.1.4运维安全管理 随着中国电信 MBOSS 系统各项业务对信息系统依赖程度逐渐提高，信息系 统的复杂度急剧增加，从规划建设到系统运维阶段的安全建设都应遵循系统的 生命周期进行设计，另一方面信息系统在运维过程中的安全问题变得更加突出， 因此也提出了越来越高的安全运维要求;同时

7、复杂的业务系统和异构的网络环境， 增加了系统安全运维的难度。传统的单一、孤立的安全运维管理已越来越不适 应中国电信 CTG-MBOSS 系统安全运维管理的需求，CTG-MBOSS 系统安全运 维管理应向综合安全运维阶段进行深刻转变。 中国电信版权所有 机密 第 3 页，共 20 页 2.1.5用户管理 随着中国电信 MBOSS 系统的发展，用户数量的不断增加，网络规模迅速扩 大，信息安全问题愈见突出，原有的用户管理措施已不能满足中国电信目前及 未来业务发展的要求。 主要表现在以下方面： 如果 MBOSS 每个系统均拥有独立的用户管理系统，将会给同时维护多个应 用系统的维护人员带来巨大工作量；

8、缺乏账号生命周期管理机制，存在大量孤立账号，增加信息系统安全风险； 存在多人共用一账号现象，难以控制账号扩散范围，安全管理存在漏洞。且 安全事故发生后，难以审计并定位到实际使用者； 帐号审计没有很好的流程来规范，进行帐号的生命周期管理，保证帐号安全。 2.1.6访问认证授权 随着网络攻击技术的快速发展，CTG-MBOSS 的访问认证授权面临着严峻 的挑战，具体来说存在着可能导致较严重安全事件的几类问题，具体如下： 1认证功能分散在各设备和系统中难以统一管理。 2授权功能分散在各设备和系统中难以与业务要求相协调。 3未建立统一的访问认证管理流程。 上述三个方面的问题可能导致较严重的安全事件，是

9、CTG-MBOSS 在访问 认证授权方面的主要问题，会带来巨大的挑战。 2.1.7网络安全 由于以往建设的网络系统在安全建设和安全互联方面考虑较少，随着信息技 术、网络技术的快速发展，网络系统面临的安全威胁日益增加。 中国电信版权所有 机密 第 4 页，共 20 页 根据调研，CTG-MBOSS 网络系统所面临的主要威胁除了物理攻击破坏外， 还包括恶意软件攻击、内部员工误用、黑客入侵破坏等几类。 因此，迫切需要开展网络安全研究，从整体安全防护、边界防护、网络安全 架构及性能规划与 MBOSS 需求相适应、系统内部安全防护、安全审计等不同 角度出发，制定安全防护原则和优化改造方案。使网络安全与网

10、络系统“同步 规划、同步建设、同步维护”。 2.1.8主机安全 CTG-MBOSS 中的主机系统作为信息存储、传输、应用处理的基础设施， 其自身安全性涉及到系统安全、数据安全、网络安全等各个方面。作为 CTG- MBOSS 系统中重要的组成部分，各种业务系统主机数量众多，资产价值高，面 临的安全风险极大。 一方面，主机是 CTG-MBOSS 系统各类业务系统数据的主要载体，这些业 务数据是系统信息资产的重要组成部分；另一方面，病毒、木马等安全威胁很 容易通过访问主机系统的终端渗透到后台各种业务应用和服务主机中，从而对 CTG-MBOSS 系统的整体安全带来危害。为此需要在终端和主机安全领域建立

11、 一套安全技术体系来保障其安全，从而进一步完善 CTG-MBOSS 的安全技术体 系。 2.1.9终端安全 终端作为一种比较分散的资产，长期以来难以进行集中的有效的管理；作为 CTG-MBOSS 的一个基本组件，面临病毒、蠕虫、木马、恶意代码的泛滥，不 安全的终端可能成为一个被动的攻击源，对整个 MBOSS 系统构成威胁。企业 内部应制定统一的终端安全策略、终端安全接入 MBOSS 策略，包括补丁管理、 终端审计等流程。 2.1.10 安全审计 随着中国电信 CTG-MBOSS 系统建设和发展，同时为满足萨班斯法案对于 IT 系统内部控制的要求，安全审计将成为一项重要的技术手段。但在具体的安

12、全运维工作中，安全审计面临诸多挑战，主要体现在内部人员操作、第三方维 护人员操作以及最高权限用户使用过程中。要建立一套完备的审计机制。 中国电信版权所有 机密 第 5 页，共 20 页 2.1.11 容灾安全 随着中国电信 CTG-MBOSS 系统建设和发展，需要根据国家的规定与电信 MBOSS 集中的特点考虑容灾的需求。 2.2MBOSS 安全规范的目标愿景 MBOSS 安全规范的制定主要有以下三大目标愿景： 定义中国电信 CTG-MBOSS 安全管理体系的愿景,确保中国电信“从 传统的固网运营商向综合信息服务提供商”的成功转型。 提供演进路线，在 3-5 年把中国电信建设成以风险管理为导向

13、的成 熟型企业。 采取管理与技术相结合的方法，促进 CTGMBOSS 安全规划及规 范的贯彻。 2.3改进 MBOSS 信息安全的关键步骤 中国电信 MBOSS 系统安全需要解决的关键问题，首先，安全建设必须符合 中国电信企业的战略转型和业务发展，必须保证业务发展；其次，安全体系应 符合国家各种法律法规中对于安全的要求，尤其是满足内控的要求，并且对其 中有针对性的要求进行重点建设；再次，充分考虑 MBOSS 系统在目前运行中 对于安全建设的要求和需求；最后，系统安全应规避和降低目前系统存在的威 胁和风险。 综上所述，中国电信 MBOSS 系统安全规范需要解决的问题如下： 1.在中国电信内部控制

14、手册的基础上，建立完善的 CTG-MBOSS 系统的整 体安全规划，实现安全基础设施建设有序地建设，确保用于 IT 安全的投资应不 少于 IT 投资的 10。 2.建立专职的信息安全管理组织，建立安全岗位，明确安全管理职责，结束 目前的“权力分散，缺乏统一，兼职为主”的局面。 3.根据集团和各省公司具体情况，制定各省公司的 MBOSS 企业安全架构和 实施计划，彻底改变以往孤立部署各种安全产品的状况。 中国电信版权所有 机密 第 6 页，共 20 页 4.CTG-MBOSS 系统中信息安全的要求，加强对系统用户的管理、用户的访 问认证、授权、访问控制。 5.建立集中 IT 安全服务、监控平台，

15、提供技术手段固化安全政策、标准和 流程，及时监控 IT 安全状况。明确该平台做为企业负责 IT 安全的对内对外的接 口。 6.加强 CTG-MBOSS 系统边界访问方式、安全区域内部、安全区域间的防 护；对现有的 IT 基础设施进行 IT 安全加固，消除安全隐患。特别是对应用的定 期安全检查。 7.加强 CTG-MBOSS 系统与客户自服务安全交互访问接口的安全性；在省 公司统一规划和建设与公网的接口，堵截安全漏洞。 8.在系统开发过程中，加入安全管控点，确保新实施的系统能满足安全规范。 9.加强 CTG-MBOSS 系统的安全集中管理的能力，实现全面的安全集中运 维管理。 10.建立 CTG

16、-MBOSS 系统容灾建设，建立业务系统连续性发展和建设计划、 步骤和具体保障手段。 2.4MBOSS 安全规范设计依据 定义 CTG-MBOSS 安全体系的愿景：采取管理与技术相结合的方法，在 3- 5 年内把中国电信建设成以风险为导向的成熟型企业，确保中国电信的成功转型。 CTGMBOSS 安全规范的设计依据主要来源在五个方面： 中国电信的战略转型的驱动， 中国电信 IT 内控的要求， MBOSS 的安全现状和评估， 法律法规对信息安全的要求， 信息安全的最佳实践和实施经验。 中国电信版权所有 机密 第 7 页，共 20 页 第 3 章安全规范体系说明 CTG-MBOSS 是支撑中国电信企业运营和管理的信息化架构，是集团和各 省公司企业信息化建设的愿景，由方法论、功能和系统架构、管控架构以及规 范体系等