《073(2015) 中国联通业务信息安全评估基本规范 V1.0》由会员分享,可在线阅读,更多相关《073(2015) 中国联通业务信息安全评估基本规范 V1.0(31页珍藏版)》请在金锄头文库上搜索。
1、. . 中国联通公司企业标准QB/CU A32-073(2015)中国联通业务信息安全评估基本规The General Specification for Service Systems Risk Assessment On Information Security of Chinaunicom(V1.0) 2015-03-30发布2015-03-30实施中国联通公司发布QB/CU . . . 目次前言III1 围12 规性引用文件13 安全评估框架23.1 概述23.2 安全评估框架23.3 安全评估框架简介23.3.1 设备安全23.3.2 平台及软件安全23.3.3 业务流程安全33.3
2、.3.1 计费安全33.3.3.2接口安全33.3.3.3 用户信息安全33.3.3.4 业务逻辑安全33.3.3.5 传播安全33.3.3.6 营销安全33.3.3.7 应急预案33.3.4 业务容安全33.3.5 安全管控33.3.5.1 系统安全33.3.5.2 人员安全43.3.5.3 第三方管理安全43.4 应用指导原则44 安全评估实施要点和要求44.1 设备安全44.2 平台及软件安全134.3 业务流程安全154.3.1 计费安全154.3.2 接口安全164.3.3 用户信息安全174.3.4 业务逻辑安全184.3.5 传播安全204.3.6 营销安全214.3.7 应急预
3、案224.4 业务容安全224.4.1 引入机制224.4.2 提供流程224.4.3 发布机制234.4.4 操作记录244.5 安全管控244.5.1 系统安全244.5.2 人员安全254.5.3 第三方安全管理26前言为了加强中国联通业务信息安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务信息安全整体水平,降低业务安全风险,特制定本信息安全评估规。本评估规针对各业务类型的信息安全水平进行客观、综合的信息安全评价,促进业务安全评估工作的开展,为业务发展提供良好支撑。本规解释权归总部信息安全部。本规由中国联通公司信息安全部提出。本规由中国联通公司技术部归口。本规主
4、要起草单位:中国联通公司信息安全部、中国联通研究院本规主要起草人:楠、勇气、徐亮、毕强、静本规修改和解释权属中国联合网络通信中国联通业务信息安全评估基本规1 围本规规定了中国联通业务在进行信息安全评估的基本要求。本规所指业务是指本标准在公司围发布后,提供的具有新功能或新使用价值的业务及存量业务的新增功能。本规适用于对中国联通业务上线前进行信息安全评估,也适用于当存量业务增减功能或当使用用户规模发生较大增长时进行信息安全评估。本规是对业务进行信息安全评估的基本要求,对于不同类型的业务,可根据业务特点和使用环境在评估项上进行补充完善。2 规性引用文件本规编制依据下列文件:YD/T 2692-201
5、4电信和互联网用户个人电子信息保护通用技术要求和管理要求YD/T 2694-2014移动互联网联网应用安全防护要求YD/T 2698-2014电信网和互联网安全防护基线配置要求及检测要求 网络设备YD/T 2699-2014电信网和互联网安全防护基线配置要求及检测要求 安全设备YD/T 2700-2014电信网和互联网安全防护基线配置要求及检测要求 数据库YD/T 2701-2014电信网和互联网安全防护基线配置要求及检测要求 操作系统YD/T 2702-2014电信网和互联网安全防护基线配置要求及检测要求 中间件YD/T 2703-2014电信网和互联网安全防护基线配置要求及检测要求 web
6、应用系统中国联通IT系统BSS系统域业务支撑网管系统业务技术规 安全管理分册v1.0中国联通增值业务平台系统安全防护总体规v1.0中国联通商用产品业务平台安全防护系统技术规V1.0中国联通创新业务系统安全监测平台技术规V1.0中国联通门户类增值业务平台安全防护规V1.0中国联通云计算通用安全技术规V1.0中国联通应用数据安全管理技术规V1.0中国联通聚合类业务平台安全防护规V1.0中国联通IT系统企业部网安全管理系统技术规v1.0中国联通电子渠道安全技术规v1.0中国联通双栈(IPv4IPv6)防火墙设备技术要求V1.0中国联通信息系统PaaS平台数据库即服务技术规V1.0中国联通IT系统OR
7、ACLE数据库软件管理实施细则v1.03 安全评估框架3.1 概述中国联通业务信息安全评估依据科学的安全风险评估方法,并结合中国联通的实际情况,从业务所涉及的各类软硬件资产(设备、平台及软件、业务流程、业务容)及安全管控出发,依据不同类型资产耦合度,划分为五个层次。根据不同层次常见的安全风险,分别对不同风险进行信息安全评估。本信息安全评估规重点对与业务流程相关的容、用户信息、业务逻辑及安全管控等方面进行信息安全风险评估,旨在尝试深层次探索中国联通业务信息安全评估体系,相关评估结果亦可指导相关业务的建设和运维。3.2 安全评估框架图1 安全评估框架图3.3 安全评估框架简介3.3.1 设备安全设
8、备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。重点评估中国联通业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.2 平台及软件安全业务平台及软件安全从数据库、中间件两个方面进行安全评估。重点评估中国联通业务平台所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.3 业务流程安全3.3.3.1 计费安全计费安全从计费流程方面进行安全评估。重点评估中国联通业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。3.3.3.2 接口安全接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。重
9、点评估中国联通业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。3.3.3.3 用户信息安全用户信息安全从用户基本信息(包括用户、出生日期、件、住址、账号和密码等信息)存储、用户数据信息(包括用户使用服务的时间、地点、通信容等)保护两个方面进行安全评估。重点评估中国联通业务在用户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。3.3.3.4 业务逻辑安全业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。重点评估中国联通业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。3.3.3.5 传播安全传播安全从业务传播方式方面进
10、行安全评估。重点评估中国联通业务在业务传播围、业务传播方式等方面的信息安全管控措施的落实及实施效果。3.3.3.6 营销安全营销安全从营销渠道、营销防盗链两个方面进行安全评估。重点评估中国联通业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。3.3.3.7 应急预案应急预案主要从是否有应急预案、预案的可操作性及预案的有效性进行评估。重点评估中国联通的业务上线后,因灾难或故障导致业务系统部分瘫痪时,将整个业务系统恢复到正常运行状态或部分正常运行状态、并将其支持的业务从灾难造成的不正常状态恢复到可接受状态,而需要采取的应对预案和措施备及实施效果。3.3.4 业务容安全业
11、务容安全从容审核、容源引入机制、容发布机制、容提供流程和容操作记录保护五个方面进行安全评估。重点评估中国联通业务在容安全、容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。3.3.5 安全管控3.3.5.1 系统安全系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。重点评估中国联通业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果。3.3.5.2 人员安全人员安全从人员管理方面进行安全评估。重点评估中国联通业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。3.3.5.3 第三方管理安全第三方安全
12、管理从人员安全、物理安全两个方面进行安全评估。重点评估中国联通业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。3.4 应用指导原则本信息安全评估规旨在建立基本的、体系化的中国联通业务安全风险评估基本要求,不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化和补充以突出不同的重点。4 安全评估实施要点4.1 设备安全评估编号AQSBAQ-WLSB 评估场景设备安全网络设备评估要点对基础网络设备(包括交换机、路由器、负载均衡等)的基线配置进行以下评估:账号管理及认证授权;账户安全;口令安全;授权安全;日志安全;IP协议安全;其他安全要
13、求。评估方法检查网络单元中基础网络设备基线配置;漏洞扫描;渗透性测试。评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。是否其它:应删除或锁定与设备运行、维护等工作无关的账号。是否其它:限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。是否其它:口令安全对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。是否其它:对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。是否其它:对于采用静态口
14、令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)已使用的口令。是否其它:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。是否其它:授权安全要求在设备权限配置能力,根据用户的业务需要,配置其所需的最小权限。是否其它:日志安全需求设备应配置日志功能,对用户登录进行记录,记录容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。是否其它:设备应配置日志功能,记录用户对设备的操作,包括但不限于以下容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作容以及操作结果。是否其它:设备应配置日志功能,记录对与设备相关的安全事件。是否其它:设备配置远程日志功能,将需要重点关注的日志容传输到日志服务器。是否其它:设备
