中国联通公司企业标准QB/CUA32-073(2015)中国联通业务信息平安评估根本规The General Specification for Service System’sRisk Assessment On Information Security of Chinauni(V1.0)2015-03-30发布2015-03-30实施中国联通公司发布QB/CU / 目次前言III1 围12 规性引用文件13 平安评估框架23.1 概述23.2 平安评估框架23.3 平安评估框架简介23.3.1 设备平安23.3.2 平台及软件平安23.3.3 业务流程平安33.3.3.1 计费平安33.3.3.2接口平安33.3.3.3 用户信息平安33.3.3.4 业务逻辑平安33.3.3.5 传播平安33.3.3.6 营销平安33.3.3.7 应急预案33.3.4 业务容平安33.3.5 平安管控33.3.5.1 系统平安33.3.5.2 人员平安43.3.5.3 第三方管理平安43.4 应用指导原那么44 平安评估实施要点和要求44.1 设备平安44.2 平台及软件平安134.3 业务流程平安154.3.1 计费平安154.3.2接口平安164.3.3 用户信息平安174.3.4 业务逻辑平安184.3.5 传播平安204.3.6 营销平安214.3.7 应急预案224.4 业务容平安224.4.1 引入机制224.4.2 提供流程224.4.3 发布机制234.4.4 操作记录244.5 平安管控244.5.1 系统平安244.5.2 人员平安254.5.3 第三方平安管理26前言为了加强中国联通业务信息平安管理,保证业务开展与信息平安措施同步规划、同步建立、同步运行,提升业务信息平安整体水平,降低业务平安风险,特制定本信息平安评估规。
本评估规针对各业务类型的信息平安水平进展客观、综合的信息平安评价,促进业务平安评估工作的开展,为业务开展提供良好支撑本规解释权归总部信息平安部本规由中国联通公司信息平安部提出本规由中国联通公司技术部归口本规主要起草单位:中国联通公司信息平安部、中国联通研究院本规主要起草人:楠、勇气、徐亮、毕强、静本规修改和解释权属中国联合网络通信中国联通业务信息平安评估根本规1 围本规规定了中国联通业务在进展信息平安评估的根本要求本规所指业务是指本标准在公司围发布后,提供的具有新功能或新使用价值的业务及存量业务的新增功能本规适用于对中国联通业务上线前进展信息平安评估,也适用于当存量业务增减功能或当使用用户规模发生较大增长时进展信息平安评估本规是对业务进展信息平安评估的根本要求,对于不同类型的业务,可根据业务特点和使用环境在评估项上进展补充完善2 规性引用文件本规编制依据以下文件:YD/T 2692-2014 电信和互联网用户个人电子信息保护通用技术要求和管理要求YD/T 2694-2014 移动互联网联网应用平安防护要求YD/T 2698-2014 电信网和互联网平安防护基线配置要求及检测要求 网络设备YD/T 2699-2014 电信网和互联网平安防护基线配置要求及检测要求 平安设备YD/T 2700-2014 电信网和互联网平安防护基线配置要求及检测要求 数据库YD/T 2701-2014 电信网和互联网平安防护基线配置要求及检测要求 操作系统YD/T 2702-2014 电信网和互联网平安防护基线配置要求及检测要求 中间件YD/T 2703-2014 电信网和互联网平安防护基线配置要求及检测要求 web应用系统中国联通IT系统BSS系统域业务支撑网管系统业务技术规 平安管理分册v1.0中国联通增值业务平台系统平安防护总体规v1.0中国联通商用产品业务平台平安防护系统技术规V1.0中国联通创新业务系统平安监测平台技术规V1.0中国联通门户类增值业务平台平安防护规V1.0中国联通云计算通用平安技术规V1.0中国联通应用数据平安管理技术规V1.0中国联通聚合类业务平台平安防护规V1.0中国联通IT系统企业部网平安管理系统技术规v1.0中国联通电子渠道平安技术规v1.0中国联通双栈〔IPv4IPv6〕防火墙设备技术要求V1.0中国联通信息系统PaaS平台数据库即效劳技术规V1.0中国联通IT系统ORACLE数据库软件管理实施细那么v1.03 平安评估框架3.1 概述中国联通业务信息平安评估依据科学的平安风险评估方法,并结合中国联通的实际情况,从业务所涉及的各类软硬件资产〔设备、平台及软件、业务流程、业务容〕及平安管控出发,依据不同类型资产耦合度,划分为五个层次。
根据不同层次常见的平安风险,分别对不同风险进展信息平安评估本信息平安评估规重点对与业务流程相关的容、用户信息、业务逻辑及平安管控等方面进展信息平安风险评估,旨在尝试深层次探索中国联通业务信息平安评估体系,相关评估结果亦可指导相关业务的建立和运维3.2 平安评估框架图1 平安评估框架图3.3 平安评估框架简介3.3.1 设备平安设备平安从网络设备、平安设备、主机操作系统三个方面进展平安评估重点评估中国联通业务所涉及设备在基线配置、漏洞缺陷等方面信息平安管控措施的落实及实施效果3.3.2 平台及软件平安业务平台及软件平安从数据库、中间件两个方面进展平安评估重点评估中国联通业务平台所涉及平台软件在基线配置、漏洞缺陷等方面信息平安管控措施的落实及实施效果3.3.3 业务流程平安3.3.3.1 计费平安计费平安从计费流程方面进展平安评估重点评估中国联通业务在计费流程、计费防盗链、计费审核等方面的信息平安管控措施的落实及实施效果3.3.3.2 接口平安接口平安对系统平台与外部平台之间接口与协议平安方面进展平安评估重点评估中国联通业务在接口与协议平安设计、实施、测试等方面的信息平安管控措施的落实及实施效果。
3.3.3.3 用户信息平安用户信息平安从用户根本信息〔包括用户、出生日期、件、住址、、账号和密码等信息〕存储、用户数据信息〔包括用户使用效劳的时间、地点、通信容等〕保护两个方面进展平安评估重点评估中国联通业务在用户信息保存、访问、保护等方面的信息平安管控措施的落实及实施效果3.3.3.4 业务逻辑平安业务逻辑平安从业务订购、业务认证和业务使用三个方面进展平安评估重点评估中国联通业务在业务订购流程、认证逻辑等方面的信息平安管控措施的落实及实施效果3.3.3.5 传播平安传播平安从业务传播方式方面进展平安评估重点评估中国联通业务在业务传播围、业务传播方式等方面的信息平安管控措施的落实及实施效果3.3.3.6 营销平安营销平安从营销渠道、营销防盗链两个方面进展平安评估重点评估中国联通业务在业务营销渠道管控、营销方式审核等方面的信息平安管控措施的落实及实施效果3.3.3.7 应急预案应急预案主要从是否有应急预案、预案的可操作性及预案的有效性进展评估重点评估中国联通的业务上线后,因灾难或故障导致业务系统局部瘫痪时,将整个业务系统恢复到正常运行状态或局部正常运行状态、并将其支持的业务从灾难造成的不正常状态恢复到可承受状态,而需要采取的应对预案和措施备及实施效果。
3.3.4 业务容平安业务容平安沉着审核、容源引入机制、容发布机制、容提供流程和容操作记录保护五个方面进展平安评估重点评估中国联通业务在容平安、容源引进、发布、审核、记录保存管控制度等方面信息平安管控措施的落实及实施效果3.3.5 平安管控3.3.5.1 系统平安系统平安对业务相关的应用软件系统的访问控制措施进展平安评估重点评估中国联通业务软件系统在访问控制措施、访问权限、口令策略等方面的信息平安管控措施的落实及实施效果3.3.5.2 人员平安人员平安从人员管理方面进展平安评估重点评估中国联通业务相关人员在雇佣、入职、平安考核等方面的信息平安管控措施的落实及实施效果3.3.5.3 第三方管理平安第三方平安管理从人员平安、物理平安两个方面进展平安评估重点评估中国联通业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息平安管控措施的落实及实施效果3.4 应用指导原那么本信息平安评估规旨在建立根本的、体系化的中国联通业务平安风险评估根本要求,不同需求驱动的业务平安评估可在该框架的不同评估场景下具体细化和补充以突出不同的重点4 平安评估实施要点4.1 设备平安评估编号AQ—SBAQ--WLSB 评估场景设备平安——网络设备评估要点对根底网络设备(包括交换机、路由器、负载均衡等)的基线配置进展以下评估:账号管理及认证授权;账户平安;口令平安;授权平安;日志平安;IP协议平安;其他平安要求。
评估方法检查网络单元中根底网络设备基线配置;漏洞扫描;渗透性测试评估结果账号管理及认证鉴权账户平安应按照用户分配账号防止不同用户间共享账号防止用户账号和设备间通信使用的账号共享是□否□其它:应删除或锁定与设备运行、维护等工作无关的账号是□否□其它:限制具备管理员权限的用户远程登录远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作是□否□其它:口令平安对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类是□否□其它:对于采用静态口令认证技术的设备,账户口令的生存期不长于90天是□否□其它:对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次〔含5次〕已使用的口令是□否□其它:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次〔不含6次〕,锁定该用户使用的账号是□否□其它:授权平安要求在设备权限配置能力,根据用户的业务需要,配置其所需的最小权限是□否□其它:日志平安需求设备应配置日志功能,对用户登录进展记录,记录容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
是□否□其它:设备应配置日志功能,记录用户对设备的操作,包括但不限于以下容:账号创立、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据记录需要包含用户账号,操作时间,操作容以及操作结果是□否□其它:设备应配置日志功能,记录对与设备相关的平安事件是□否□其它:设备配置远程日志功能,将需要重点关注的日志容传输到日志效劳器是□否□其它:设备应配置权限,控制对日志文件读取、修改和删除权限操作是□否□其它:IP协议平安对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量是□否□其它:对于使用IP协议进展远程维护的设备,设备应配置使用SSH等加密协议是□否□。