中国电信ctg-mboss安全规范总册

资源描述

《中国电信ctg-mboss安全规范总册》由会员分享，可在线阅读，更多相关《中国电信ctg-mboss安全规范总册（32页珍藏版）》请在金锄头文库上搜索。

1、中国电信集团公司中国电信集团公司 CTG-MBOSS 安全规范总册安全规范总册目目录录第第 1 章章文档说明文档说明.1 1.1编制说明1 1.2适用范围1 1.3起草单位1 1.4解释权1 1.5版权1 第第 2 章章综述综述.2 2.1MBOSS 所面临的安全挑战2 2.1.1安全组织管理2 2.1.2人员安全管理2 2.1.3应用开发安全管理2 2.1.4 运维安全管理2 2.1.5用户管理2 2.1.6访问认证授权3 2.1.7网络安全3 2.1.8主机安全3 2.1.9终端安全4 2.1.10安全审计4 2.1.11容灾安全4 2.2MBOSS 安全规范的目标愿景4 2.3改进

2、 MBOSS 信息安全的关键步骤.4 2.4MBOSS 安全规范设计依据5 第第 3 章章安全规范体系说明安全规范体系说明.6 3.1安全规范指导原则9 3.2安全管理规范综述9 3.3安全技术规范综述10 第第 4 章章CTGMBOSS 安全规范实施安全规范实施.13 4.1MBOSS 安全规范演进计划13 4.1.1第一阶段：建立MBOSS安全服务平台基础设施.13 4.1.2第二阶段：扩充MBOSS安全服务平台的功能.14 4.1.3第三阶段：完善MBOSS安全体系.15 4.2CTGMBOSS 安全架构的部署建议15 4.3CTGMBOSS 容灾备份16 第第 5 章章安全规范演进风险

3、及应对安全规范演进风险及应对.17 5.1IT 安全组织的建立.17 5.2实施范围的控制17 5.3人力资源安排18 5.4员工对安全管理制度的接受18 附录附录 1.附录附录19 附录 1.1. 规范编制人员名单.19 附录 1.2. 名词定义.19 附录 1.3. 参考文献.20 录 1 1 录文档文档说说明明 1.1编制说明本规范作为中国电信 CTG-MBOSS 规范的重要组成部分，为中国电信集团建设 MBOSS 信息安全体系提供依据。本规范的编制是在CTG-MBOSS 总体规范 V2.0的总体框架体系指导下，参考了已有的中国电信集团下发的安全政策文件，继承和吸收了原有安全管理

4、实践的经验成果，并充分考虑了各省电信公司的现状和行业最佳实践与安全新技术的引入。本规范是 MBOSS 总体规范的组成部分，全面、概括地阐述了安全架构、安全管理、安全技术以及实施演进策略等内容。 1.2适用范围本规范适用于中国电信集团公司及下属省（市）电信公司进行 MBOSS 信息安全的规划和建设，为 MBOSS 系统相关的安全建设、升级改造、系统演进提供指导和依据。 1.3起草单位本规范的起草单位是中国电信集团公司。 1.4解释权本规范的解释权属于中国电信集团公司。 1.5版权录 2 2 录综综述述 2.1MBOSS 所面临的安全挑战 2.1.12.1.1安全组织管理安全组织

5、管理随着中国电信 MBOSS 的建设和发展，如何及时制定出信息安全的指导方针，研究和分析信息安全建设对中国电信业务发展的价值和影响，更好适应不断变化的组织形式，明确组织内部人员职责，以保障中国电信业务系统安全稳定地运行成为安全管理机构面临的最大挑战。 2.1.22.1.2人员安全管理人员安全管理据调查大部分的安全事件都来自公司的内部，商业间谍的存在，员工有意无意透露公司商业信息，员工在离职后泄露公司商业秘密及从事与公司有竞争利益的商业活动等，都暴露出公司在人员安全管理方面存在的问题。定期进行员工安全意识培训已经刻不容缓。 2.1.32.1.3应用开发安全管理应用开发安全管理随

6、着中国电信 MBOSS 的发展，应用系统将面临诸多的安全威胁。身份认证的欺骗、用户权限的滥用、输入数据校验的异常、跨站点的代码攻击、缓冲区溢出等等，都对我们的应用开发提出了新的安全设计和防护要求。制定严格的编程规范和管理手段成为不能回避的问题。 2.1.42.1.4运维安全管理运维安全管理随着中国电信 MBOSS 系统各项业务对信息系统依赖程度逐渐提高，信息系统的复杂度急剧增加，从规划建设到系统运维阶段的安全建设都应遵循系统的生命周期进行设计，另一方面信息系统在运维过程中的安全问题变得更加突出，因此也提出了越来越高的安全运维要求;同时复杂的业务系统和异构的网络环境，增加了系统安全

7、运维的难度。传统的单一、孤立的安全运维管理已越来越不适应中国电信 CTG-MBOSS 系统安全运维管理的需求，CTG-MBOSS 系统安全运维管理应向综合安全运维阶段进行深刻转变。 2.1.52.1.5用户管理用户管理随着中国电信 MBOSS 系统的发展，用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，原有的用户管理措施已不能满足中国电信目前及未来业务发展的要求。主要表现在以下方面：如果 MBOSS 每个系统均拥有独立的用户管理系统，将会给同时维护多个应用系统的维护人员带来巨大工作量；缺乏账号生命周期管理机制，存在大量孤立账号，增加信息系统安全风险；存在多人共

8、用一账号现象，难以控制账号扩散范围，安全管理存在漏洞。且安全事故发生后，难以审计并定位到实际使用者；帐号审计没有很好的流程来规范，进行帐号的生命周期管理，保证帐号安全。 2.1.62.1.6访问认证授权访问认证授权随着网络攻击技术的快速发展，CTG-MBOSS 的访问认证授权面临着严峻的挑战，具体来说存在着可能导致较严重安全事件的几类问题，具体如下： 1认证功能分散在各设备和系统中难以统一管理。 2授权功能分散在各设备和系统中难以与业务要求相协调。 3未建立统一的访问认证管理流程。上述三个方面的问题可能导致较严重的安全事件，是 CTG-MBOSS 在访问认证授权方面的主要问题，会带

9、来巨大的挑战。 2.1.72.1.7网络安全网络安全由于以往建设的网络系统在安全建设和安全互联方面考虑较少，随着信息技术、网络技术的快速发展，网络系统面临的安全威胁日益增加。根据调研，CTG-MBOSS 网络系统所面临的主要威胁除了物理攻击破坏外，还包括恶意软件攻击、内部员工误用、黑客入侵破坏等几类。因此，迫切需要开展网络安全研究，从整体安全防护、边界防护、网络安全架构及性能规划与 MBOSS 需求相适应、系统内部安全防护、安全审计等不同角度出发，制定安全防护原则和优化改造方案。使网络安全与网络系统“同步规划、同步建设、同步维护”。 2.1.82.1.8主机安全主机安全 CTG

10、-MBOSS 中的主机系统作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面。作为 CTG-MBOSS 系统中重要的组成部分，各种业务系统主机数量众多，资产价值高，面临的安全风险极大。一方面，主机是 CTG-MBOSS 系统各类业务系统数据的主要载体，这些业务数据是系统信息资产的重要组成部分；另一方面，病毒、木马等安全威胁很容易通过访问主机系统的终端渗透到后台各种业务应用和服务主机中，从而对 CTG-MBOSS 系统的整体安全带来危害。为此需要在终端和主机安全领域建立一套安全技术体系来保障其安全，从而进一步完善 CTG-MBOSS 的

11、安全技术体系。 2.1.92.1.9终端安全终端安全终端作为一种比较分散的资产，长期以来难以进行集中的有效的管理；作为 CTG- MBOSS 的一个基本组件，面临病毒、蠕虫、木马、恶意代码的泛滥，不安全的终端可能成为一个被动的攻击源，对整个 MBOSS 系统构成威胁。企业内部应制定统一的终端安全策略、终端安全接入 MBOSS 策略，包括补丁管理、终端审计等流程。 2.1.102.1.10安全审计安全审计随着中国电信 CTG-MBOSS 系统建设和发展，同时为满足萨班斯法案对于 IT 系统内部控制的要求，安全审计将成为一项重要的技术手段。但在具体的安全运维工作中，安全审计面临诸多挑战

12、，主要体现在内部人员操作、第三方维护人员操作以及最高权限用户使用过程中。要建立一套完备的审计机制。 2.1.112.1.11容灾安全容灾安全随着中国电信 CTG-MBOSS 系统建设和发展，需要根据国家的规定与电信 MBOSS 集中的特点考虑容灾的需求。 2.2MBOSS 安全规范的目标愿景 MBOSS 安全规范的制定主要有以下三大目标愿景：定义中国电信 CTG-MBOSS 安全管理体系的愿景,确保中国电信“从传统的固网运营商向综合信息服务提供商”的成功转型。提供演进路线，在 3-5 年把中国电信建设成以风险管理为导向的成熟型企业。采取管理与技术相结合的方法，促进 CTGMBOS

13、S 安全规划及规范的贯彻。 2.3改进 MBOSS 信息安全的关键步骤中国电信 MBOSS 系统安全需要解决的关键问题，首先，安全建设必须符合中国电信企业的战略转型和业务发展，必须保证业务发展；其次，安全体系应符合国家各种法律法规中对于安全的要求，尤其是满足内控的要求，并且对其中有针对性的要求进行重点建设；再次，充分考虑 MBOSS 系统在目前运行中对于安全建设的要求和需求；最后，系统安全应规避和降低目前系统存在的威胁和风险。综上所述，中国电信 MBOSS 系统安全规范需要解决的问题如下： 1. 在中国电信内部控制手册的基础上，建立完善的 CTG-MBOSS 系统的整体安全规划

14、，实现安全基础设施建设有序地建设，确保用于 IT 安全的投资应不少于 IT 投资的 10。 2. 建立专职的信息安全管理组织，建立安全岗位，明确安全管理职责，结束目前的“权力分散，缺乏统一，兼职为主”的局面。 3. 根据集团和各省公司具体情况，制定各省公司的 MBOSS 企业安全架构和实施计划，彻底改变以往孤立部署各种安全产品的状况。 4. CTG-MBOSS 系统中信息安全的要求，加强对系统用户的管理、用户的访问认证、授权、访问控制。 5. 建立集中 IT 安全服务、监控平台，提供技术手段固化安全政策、标准和流程，及时监控 IT 安全状况。明确该平台做为企业负责 IT 安全的对内对

15、外的接口。 6. 加强 CTG-MBOSS 系统边界访问方式、安全区域内部、安全区域间的防护；对现有的 IT 基础设施进行 IT 安全加固，消除安全隐患。特别是对应用的定期安全检查。 7. 加强 CTG-MBOSS 系统与客户自服务安全交互访问接口的安全性；在省公司统一规划和建设与公网的接口，堵截安全漏洞。 8. 在系统开发过程中，加入安全管控点，确保新实施的系统能满足安全规范。 9. 加强 CTG-MBOSS 系统的安全集中管理的能力，实现全面的安全集中运维管理。 10.建立 CTG-MBOSS 系统容灾建设，建立业务系统连续性发展和建设计划、步骤和具体保障手段。 2.4MBOSS 安

16、全规范设计依据定义 CTG-MBOSS 安全体系的愿景：采取管理与技术相结合的方法，在 3-5 年内把中国电信建设成以风险为导向的成熟型企业，确保中国电信的成功转型。 CTGMBOSS 安全规范的设计依据主要来源在五个方面：中国电信的战略转型的驱动，中国电信 IT 内控的要求， MBOSS 的安全现状和评估，法律法规对信息安全的要求，信息安全的最佳实践和实施经验。录 3 3 录安全安全规规范体系范体系说说明明 CTG-MBOSS 是支撑中国电信企业运营和管理的信息化架构，是集团和各省公司企业信息化建设的愿景，由方法论、功能和系统架构、管控架构以及规范体系等部分构成。安全规范是 CTGMBOSS 规范体系的扩充。图 3-1 CTG-MBOSS安全规范与CTGMBOSS规范体系的关系 CTG-MBOSS 安全规范是对现有的 CTGMBOSS 规范体系的扩充。安全规范是由两个部分组成，分别对安全管理规范和安全技术规范两个方面进行了设计。在安全管理体系方面，制定了安全策略，包括组织安全管理架构，人员安全管理、应用开发安全管

展开阅读全文