收藏
下载资源

中国移动企业信息化系统安全加固方案及实施计划

上传人:飞*** 文档编号:40941880 上传时间:2018-05-27 格式:DOC 页数:48 大小:266.69KB
返回 下载 相关 举报
中国移动企业信息化系统安全加固方案及实施计划_第1页
第1页 / 共48页
中国移动企业信息化系统安全加固方案及实施计划_第2页
第2页 / 共48页
中国移动企业信息化系统安全加固方案及实施计划_第3页
第3页 / 共48页
中国移动企业信息化系统安全加固方案及实施计划_第4页
第4页 / 共48页
中国移动企业信息化系统安全加固方案及实施计划_第5页
第5页 / 共48页
点击查看更多>>
资源描述

《中国移动企业信息化系统安全加固方案及实施计划》由会员分享,可在线阅读,更多相关《中国移动企业信息化系统安全加固方案及实施计划(48页珍藏版)》请在金锄头文库上搜索。

1、中国移动企业信息化系统安全加固方案及实施计划中国移动企业信息化系统安全加固方案及实施计划密 级: 文档编号:项目代号:中国移动企业信息化系统安全加固方案及实施计划 Version 1.0中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号 日期 参与人员 更新说明分发控制编号 读者 文档权限 与文档的主要关系1创建、修改、读取 负责编制、修改、审核2批准 负责本文档的批准程序3标准化审核 作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目录- 6 -第1章.概述 - 6 -1.1.目的 - 6 -1.2.适用范围 - 6 -1.3.实施 -

2、 7 -1.4.检查和评估 - 8 -第2章.信息化系统安全体系结构 - 11 -2.1.第一层:中国移动企业信息化系统安全策略 - 11 -2.2.第二层:中国移动企业信息化系统安全规范和标准 - 12 -2.2.1.第一个子层:企业信息化系统安全规范总则 - 12 -2.2.2.第二个子层:企业信息化系统安全规范 - 13 -2.3.第三层:中国移动企业信息化系统安全操作手册、流程和细则 - 14 -2.3.1.第一个子层:各具体产品平台的安全配置手册 - 15 -2.3.2.第二个子层:日常运行维护过程中的安全操作流程和步骤 - 17 -第3章.信息化系统安全加固方案 - 17 -3.1

3、.安全体系完善计划 - 19 -3.1.1.风险管理规范 - 19 -3.1.2.系统安全自测规范 - 20 -3.1.3.信息资产管理规范 - 20 -3.1.4.系统生命周期安全管理规范 - 21 -3.1.5.系统安全许可证规范 - 22 -3.1.6.人力资源安全管理规范 - 22 -3.1.7.内部审计规范 - 23 -3.1.8.业务连续性计划规范 - 23 -3.1.9.安全事件检测和响应规范 - 24 -3.1.10.个人安全规范 - 25 -3.1.11.数据备份和恢复规范 - 25 -3.1.12.加密规范 - 26 -3.1.13.远程访问规范 - 27 -3.1.14.

4、用户身份识别和认证规范 - 27 -3.1.15.日志管理规范 - 28 -3.1.16.文档管理规范 - 28 -3.1.17.补丁管理规范 - 29 -3.1.18.物理安全规范 - 30 -3.1.19.介质安全管理规范 - 31 -3.2.安全体系部署/实施计划 - 31 -3.2.1.信息安全体系建设生命周期 - 32 -3.2.2.信息安全体系部署/实施关键成功因素 - 33 -3.2.3.信息安全体系部署/实施策略及指导原则 - 34 -3.2.4.信息安全体系部署/实施计划建议 - 35 -3.2.4.1.安全体系部署 - 36 -3.2.4.2.试点 - 37 -3.2.4.

5、3.推广 - 39 -3.3.总部安全技术体系加固方案和建设计划 - 40 -3.3.1.审计响应 - 40 -3.3.1.1.安全总控中心 - 43 -3.3.1.2.网络安全审计系统 - 46 -3.3.1.3.主机入侵检测系统 - 47 -3.3.1.4.安全扫描、安全政策检查 - 48 -3.3.2.冗余恢复 - 48 -3.3.2.1.业务连续性计划/灾难恢复计划 - 51 -3.3.3.内容安全 - 51 -3.3.3.1.Internet内容过滤 - 53 -3.3.4.访问控制 - 53 -3.3.4.1.网络安全体系建设 - 55 -3.3.5.鉴别认证 - 55 -3.3.

6、5.1.各信息系统的统一单点登录 - 65 -3.3.6.安全管理 - 65 -3.3.6.1.个人信息及桌面安全管理 - 67 -3.3.6.2.员工安全意识普及教育 - 68 -3.3.6.3.信息安全风险评估 概述目的 中国移动企业信息化系统安全加固方案和实施计划是移动集团总部信息化办公室和 各省公司信息化办公室对其所负责的平台(统一信息平台、OA等)的安全指南。 集团公司信息化办公室针对信息系统安全制定了一系列由概括到具体的政策,规范 和操作手册。这些文件组成了信息化系统安全体系。本文件是针对该体系的全面描 述。本文件可以作为体系中所有文件的索引和入口,以帮助相关人员全面地了解信 息化

7、系统安全体系的组成。为了使信息化系统安全体系更加完善,并且得到有效的贯彻、执行,在本文件中针对 体系的完善给出了下一步的实施计划,同时针对各省市对安全体系的部署执行给出 了概要部署建议。适用范围本标准在信息化办公室范围内发布,面向所有信息化办公室员工。 实施所有省公司信息化办公室的负责人和安全人员需要理解此文档描述的企业信息化系 统安全体系,根据本省范围内的现实情况,制定具体可行的实施计划,确保符合此文 档所描述的信息安全体系的要求。 集团公司信息化办公室将根据此体系的要求检察各省信息化办公室的落实情况。 检查和评估由集团公司信息化办公室负责根据经营活动的需要,每年检查和评估本文档,并做 出适

8、当更新。如果在风险评估过程和突发事件处理过程中,发现对本文档变更要求, 也需要进行检查。 任何变更草案将由集团公司信息化办公室审核批准,并由权威人士审阅。各省公司 信息化办公室负责人有责任与其下属的组织和员工沟通变更的内容。信息化系统安全体系结构 中国移动企业信息化系统的安全体系包括安全策略、安全规范、安全操作流程和细 则,涉及管理要素和技术要素,覆盖企业信息化系统的物理层、网络层、系统层、应 用层四个层次以及桌面终端,可以用下面的三维的图形来表示(图1)。企业信息化系 统安全策略、系统安全规范和系统安全流程细则形成了三层的层次化体系,它们从 管理和技术两个方面的诸多安全要素对企业信息化系统中

9、的终端、应用、系统、网络 和物理五个技术架构层面的安全需求和实现方法做出了定义。层次分明的系统安全 体系,既充分体现了“纵深防御”的安全思想,又便于进行安全设计、实施和监督。图1 中国移动企业信息化系统安全体系总图为了保持与中国移动网络与信息安全标准NISS的三层架构相对应,中国移动企业信 息化系统的安全体系也分为三层架构,包括安全策略、安全规范、安全操作流程和细 则。其对应关系如图2所示:图2 中国移动企业信息化系统安全体系的三层结构根据以上安全体系架构,建立了企业信息化系统安全文档体系,如图3所示。在后面 几节将具体介绍各个层次的内容。图3 中国移动企业信息化系统安全文档体系结构第一层:中

10、国移动企业信息化系统安全策略企业信息化系统安全策略是在高层面上为企业安全提出方向和要求,体现管理层对 安全的支持和对安全的期望。安全策略不针对具体的安全技术给出实现方法,该部分内容会体现在第二层安全规 范和标准中。所以安全策略这一层只有一个纲领性文件作为指导。文件名:中国移动企业信息化系统安全策略第二层:中国移动企业信息化系统安全规范和标准安全规范和标准是将安全策略具体化的文档,结合企业目前发展现状,通过该层文 档将安全策略中的原则性要求,具体化到日常的管理实践和技术设置中。中国移动作为一个大型企业,企业环境非常庞大和复杂,不可能在一个文档中将所 有安全问题讲清楚。所以安全规范和标准文档由一系

11、列的独立文档组成。在实施推 广过程中,具体工作人员根据自己的工作职责通常只需要参考和执行某一部分安全 规范和标准。 参见图3 中国移动企业信息化系统安全文档体系结构,中国移动企业信息化系统安 全规范和标准这一层又可以分类两个子层:第一个子层为 企业信息化系统安全规范总则第二个子层为 企业信息化系统安全规范第一个子层:企业信息化系统安全规范总则企业信息化系统安全规范总则请参考文件中国移动企业信息化系统安全规范。 该文件从安全管理和安全技术两个层面阐述了安全需求。安全技术层面又分为应用、 网络、系统和物理几个方面分别讲述了日常安全管理的概要要求。第二个子层:企业信息化系统安全规范在这一层次根据规范

12、总则的要求,将各方面的管理和技术要求进行细化。该层次仍 然不涉及到具体厂家的产品配置信息。 由于安全规范涉及的范围非常广,所以这一层次由多个文件组成。在本项目中将产生以下规范文档:数据库安全规范 企业信息化安全域规范 网络设备安全规范 防病毒安全规范 防火墙安全规范 针对整体安全体系,目前在这一层次还缺乏较多的规范,需要在今后的工作中进一 步完善。我们会在后面的实施计划中提出建议。第三层:中国移动企业信息化系统安全操作手册、流程和细则第一层和第二层的文件制定完成后,如果没有得到有效地执行,将形同虚设。第三层 次的操作手册、流程和细则是确保该体系有效执行的保障。 中国移动企业信息化系统安全操作手

13、册、流程和细则这一层又可以分类两个子层:第一个子层为 各具体产品平台的安全操作手册第二个子层为 日常运行维护过程中的安全操作流程和步骤第一个子层:各具体产品平台的安全配置手册该层是对中国移动信息化系统中用到的所有设备和平台安全配置的描述。由于中国 移动信息化系统涉及的平台种类和数量众多,所以该层由一系列文件组成: 通用应用系统中国移动WEB服务器安全配置手册(包括通用,IIS, Apache)中国移动DNS服务器安全配置手册(包括通用,windows DNS, Unix Bind)中国移动FTP服务器安全配置手册(包括通用,IIS, WU-ftp)中国移动电子邮件安全配置手册(包括通用,Dom

14、ino, Exchange)操作系统中国移动操作系统安全配置手册 (包括通用,Solaris, win2000, HP UX, AIX)数据库中国移动Oracle安全配置手册中国移动DB2安全配置手册中国移动Domino安全配置手册中国移动SQL Server安全配置手册门户中国移动Websphere Portal安全配置手册中国移动BEA Weblogic安全配置手册中国移动SUN One Portal安全配置手册中国移动Oracle AS Portal安全配置手册中国移动MS Sharepoint安全配置手册VPN中国移动CheckPoint VPN安全配置手册中国移动Nortel VPN

15、安全配置手册中国移动IBM VPN安全配置手册 路由器,交换机中国移动华为路由器交换机安全配置手册中国移动CISCO路由器交换机安全配置手册 防火墙中国移动CISCO PIX防火墙安全配置手册中国移动Netscreen防火墙安全配置手册中国移动CheckPoint防火墙安全配置手册 防病毒中国移动Symantec防病毒安全配置手册中国移动趋势防病毒安全配置手册中国移动瑞星防病毒安全配置手册通过本项目的建设,这一层较为完善,常用设备的安全操作手册基本都包括在内,今 后中国移动可以根据所采用的设备和平台的变化而更新相应的文件。第二个子层:日常运行维护过程中的安全操作流程和步骤省公司的相关人员应该根

16、据安全策略,规范和标准的要求,结合本省的实际情况,通 过日常的操作管理,相关的流程和实施文档将本策略和规范体系真正落实到具体的 环境中。 这一层在省公司层面建立。在实施计划中集团信息化办公室将就该策略、规范和标准在省公司的具体实施,提 供概要实施计划建议,指导省公司建立起这一层的执行体系。信息化系统安全加固方案 信息化系统的安全加固方案从管理和技术两个层面加以考虑。在安全管理层面需要 完善现有的安全体系架构中的组成部分,如某些安全规范,并且需要制定部署实施计划确保安全体系中提出的标准、规范和配置手册能够在各个省公司得到有效的执 行。在安全技术层面,本方案主要针对集团总部企业信息化系统提出安全技术加固 方案。因此本文件中的安全实施加固方案分为三部分:第一部分 安全体系完善计划 针对信息化安全体系的整体架构,分析目前在策略、 规范

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号