《中国移动管理信息系统安全基线规范v1.0》由会员分享,可在线阅读,更多相关《中国移动管理信息系统安全基线规范v1.0(10页珍藏版)》请在金锄头文库上搜索。
1、 中 国 移 动 通 信 企 业 标 准中 国 移 动 通 信 企 业 标 准 中国移动管理信息系统 安全基线技术规范 中国移动管理信息系统 安全基线技术规范 T e c h n i c a l S p e c i f i c a t i o n s f o r S e c u r i t y B a s e l i n e o f C M C C M I S T e c h n i c a l S p e c i f i c a t i o n s f o r S e c u r i t y B a s e l i n e o f C M C C M I S 版本号:版本号:1.0.0 中国
2、移动通信集团公司 发布 中国移动通信集团公司 发布 -发布 -发布 -实施 -实施 QB-QB- 前 言 前 言 本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全 基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网 测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。 本规范由中国移动通信集团公司管理信息系统部提出并归口管理。 本规范的解释权属于中国移动通信集团公司管理信息系统部。 本规范起草单位:中国移动通信集团公司管理信息系统部 本规范主要起草人:起草人1姓名、起草人2姓名、 目 录 目 录 1 概述.4 1.1 目标和适用范围.4 1.2
3、 引用标准.4 1.3 术语和定义.4 2 安全基线框架.5 2.1 背景.5 2.2 安全基线制定的方法论.6 2.3 安全基线框架说明.6 3 安全基线范围及内容.7 3.1 覆盖范围.7 3.2 安全基线组织及内容.8 3.2.1 安全基线编号说明.9 3.2.2 Web 应用安全基线示例.9 3.2.3 中间件、数据库、主机及设备示例.9 3.3 安全基线使用要求.10 4 评审与修订.10 1 1 概述 概述 1.11.1 目标和适用范围 目标和适用范围 本规范对各类操作系统、网络设备、数据库、中间件和 WEB应用的安全 配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的
4、各类操 作系统、网络设备、数据库、中间件和 WEB 应用,可以作为产品准入、入网 测试、工程验收、系统运维配置、自我评估、安全加固的依据。 1.21.2 引用标准 引用标准 中国移动网络与信息安全总纲 中国移动内部控制手册 中国移动标准化控制矩阵 中国移动操作系统安全功能和配置规范 中国移动路由器安全功能和配置规范 中国移动数据库安全功能和配置规范 中国移动网元通用安全功能和配置规范 FIPS 199 联邦信息和信息系统安全分类标准 FIPS 200 联邦信息系统最小安全控制标准 1.31.3 术语和定义 术语和定义 词语词语 解释解释 Security Baseline 安全基线:安全基线:
5、是设备功能和配置方面的基本安全要 求,是信息系统的最小安全保证和最基本的、必须 满足的安全要求。它适用于未上线和已上线系统, 用于保障组织内 IT系统安全水平。 SHG 安全加固手册 Security Harden Guideline SBL 安全基线 Security Baseline 安全风险 人为或自然的威胁可能利用 IT系统中存在的脆弱 性导致安全事件的发生及其对组织造成的影响。 安全风险评估 指运用科学的方法和手段,系统地分析 IT系统所 面临的威胁及其存在的脆弱性,评估安全事件一旦 发生可能造成的危害程度,提出有针对性的抵御威 胁的防护对策和安全措施。防范和化解 IT系统安 全风险
6、,或者将风险控制在可接受的水平,为最大 限度地为保障 IT系统的安全提供科学依据 资产 是安全防护保护的对象。管理信息系统的资产可能 是以多种形式存在,无形的、有形的、硬件、软 件,包括物理布局、通信设备、物理线路、数据、 软件、文档、规程、业务、人员、管理等各种类型 的资源,如 OA系统、ERP系统等。 资产价值 资产的重要程度或敏感程度。资产价值是资产的属 性,也是进行资产识别的主要内容。 威胁 可能导致对IT系统产生危害的不希望事故潜在起 因,它可能是人为的,也可能是非人为的;可能是 无意失误,也可能是恶意攻击。常见的威胁有黑客 入侵、硬件故障、人为操作失误、火灾、水灾等 等。 脆弱性
7、是 IT系统中存在的弱点、缺陷与不足,不直接对 资产造成危害,但可能被威胁所利用从而危害资产 的安全。 2 安全基线框架安全基线框架 2.12.1 背景 背景 中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之 前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在 很多安全隐患。为了保证整体安全水平,防止系统设备因为安全配置不到位而 带来安全风险,有必要对系统设备的安全性进行检查和加固。若系统按照安全 基线进行了检查和加固,则可以确保系统和设备安全符合性达到要求,杜绝大 部分的安全隐患。为此,制定各系统的安全基线,作为产品准入、入网测试、 工程验收、系统运维配置、
8、自我评估、安全加固依据,同时也是满足内控管理 要求的依据。 此次系列安全基线规范覆盖了从应用层、中间件层、操作系统层以及网络 层,并依据这些安全基线建立准入措施,从源头和根本上控制和提高系统的安 全性。此次项目对安全基线的要求如下: 覆盖面广,涵盖管理信息系统常见 IT 系统和设备,并涵盖 Web 应用 和源代码的安全基线; 可操作性强,针对每个检查项均有简洁的操作说明; 定期更新,应当周期性的对基线进行补充和更新; 成果可固化,基线可以被集成为检查工具; 安全基线将作为系统和设备安全准入的必要条件。 2.22.2 安全基线制定的方法论 安全基线制定的方法论 安全基线制定主要基于以下方法: 1
9、参考产品原厂商的技术资料 2参考安全服务及安全研究的成果 3参考国内外大型研究机构及企业现行的安全基线 4结合中国移动网络部下发的相关规范及管理信息系统部的实际情况 2.32.3 安全基线框架说明 安全基线框架说明 管理信息系统安全基线框架(以下简称框架)由二个层面的安全规范组 成。 本规范为框架的第一层面,其编制依据主要为中国移动网络与信息安全总 纲、中国移动内部控制手册和控制矩阵、管理信息系统安全防护与安全加固技 术要求,同时参考国际、国内相关标准规范。 第二层规范,按设备和系统种类,分为主机操作系统类安全基线、数据库 类安全基线、网络设备类安全基线、中间件与应用类安全基线等。第二层规范
10、包含的设备和系统种类可根据需要进行扩充。第二层规范的编制依据主要为本 规范,同时参考各类设备和产品相应的技术资料。 3 安全基线范围及内容安全基线范围及内容 3.13.1 覆盖范围 覆盖范围 目前总部及各省公司管理信息系统中部署了数量众多的 IT设备和系统,主 要包括网络设备、主机、数据库、中间件和应用系统等。此次安全基线制定的 范围需要涵盖中国移动管理信息系统常见的 IT系统和设备,具体包括: 、应用系统:、应用系统:1 应Web用层安全基线,针对 Web应用的身份与访问控 制、会话管理、代码质量、内 容管理等方面制定安全检查项 、中间件:、中间件:2 SUNONE Apache WebSphere Tomcat IIS 管理信息系统安全基线技术规范 主机操作系统安全基线 数据库系统安全基线 网络设备安全基线 AIX系统安全基线 Solaris 系统安全基线 Oracle数据库安全基线 DB2 数据库安全基线 华为网络设备安全基线 Juniper 网络设备安全基线 MIS安全防护体系总 体技术要求 中国移动网络与信息 安全总纲 总部内部控制手册, 控制矩阵 Windows 系统安全基线 SQLServer 数据库安全基线 CISCO网络设备安全基线 中间件和应用安全基线 WEB应用安全
