《中国移动网络与信息安全体系.doc》由会员分享,可在线阅读,更多相关《中国移动网络与信息安全体系.doc(107页珍藏版)》请在金锄头文库上搜索。
1、中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。 前言中国移动 注的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为
2、各项业务的安全运行提供保障。本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。本标准目前主要针对互联网、支撑网等IT系统安全。注:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。中国移动通信集团公司,以下简称“集团公司”。各移动通信有限责任公司,以下简称“各省公司”。目录前言1目录2总则111网络与信息安全的基本概念112网络与信息安全的重要性和普遍性113中国移动网络与信息安全体系与安全策略124安全需求的来源145安全风险的评估156安全措施的选择原则157安全工作的起点168关键性的成功因素179安全标准综述1710适用
3、范围22第一章组织与人员23第一节组织机构231领导机构232工作组织243安全职责的分配254职责分散与隔离265安全信息的获取和发布276加强与外部组织之间的协作277安全审计的独立性28第二节岗位职责与人员考察281岗位职责中的安全内容282人员考察293保密协议304劳动合同305员工培训30第三节第三方访问与外包服务的安全301第三方访问的安全302外包服务的安全32第四节客户使用业务的安全33第二章网络与信息资产管理35第一节网络与信息资产责任制度351资产清单352资产责任制度36第二节资产安全等级及相应的安全要求391信息的安全等级、标注及处置392网络信息系统安全等级41第三
4、章物理及环境安全43第一节安全区域431安全边界432出入控制443物理保护454安全区域工作规章制度465送货、装卸区与设备的隔离47第二节设备安全481设备安置及物理保护482电源保护493线缆安全504工作区域外设备的安全515设备处置与重用的安全51第三节存储媒介的安全521可移动存储媒介的管理522存储媒介的处置523信息处置程序534系统文档的安全54第四节通用控制措施551屏幕与桌面的清理552资产的移动控制56第四章通信和运营管理的安全57第一节操作流程与职责571规范操作细则572设备维护583变更控制594安全事件响应程序595开发、测试与现网设备的分离60第二节系统的规划
5、设计、建设和验收611系统规划和设计612审批制度613系统建设和验收624设备入网管理64第三节恶意软件的防护64第四节软件及补丁版本管理66第五节时钟和时间同步67第六节日常工作671维护作业计划管理672数据与软件备份673操作日志694日志审核695故障管理706测试制度717日常安全工作71第七节网络安全控制72第八节信息与软件的交换731信息与软件交换协议732交接过程中的安全733电子商务安全744电子邮件的安全755电子办公系统的安全766信息发布的安全777其他形式信息交换的安全78第五章网络与信息系统的访问控制79第一节访问控制策略79第二节用户访问管理811用户注册812
6、超级权限的管理823口令管理844用户访问权限核查84第三节用户职责851口令的使用852无人值守的用户设备86第四节网络访问控制871网络服务使用策略872逻辑安全区域的划分与隔离883访问路径控制894外部连接用户的验证895网元节点验证906端口保护907网络互联控制918网络路由控制919网络服务的安全92第五节操作系统的访问控制921终端自动识别932终端登录程序933用户识别和验证944口令管理系统945限制系统工具的使用956强制警报967终端超时关闭968连接时间限制96第六节应用访问控制971信息访问限制972隔离敏感应用98第七节系统访问与使用的监控981事件记录982监控
7、系统使用情况99第八节移动与远程工作1011移动办公1012远程办公102第六章系统开发与软件维护的安全104第一节系统的安全需求104第二节应用系统的安全1061输入数据验证1062内部处理控制1073消息认证1084输出数据验证109第三节系统文件的安全1091操作系统软件的控制1092系统测试数据的保护1103系统源代码的访问控制111第四节开发和支持过程中的安全1121变更控制程序1122软件包的变更限制1133后门及特洛伊代码的防范1144软件开发外包的安全控制115第五节加密技术控制措施1151加密技术使用策略1152使用加密技术1163数字签名1174不可否认服务1185密钥管理
8、118第七章安全事件响应及业务连续性管理121第一节安全事件及安全响应1211及时发现与报告1222分析、协调与处理1223总结与奖惩124第二节业务连续性管理1241建立业务连续性管理程序1242业务连续性和影响分析1253制定并实施业务连续性方案1264业务连续性方案框架1275维护业务连续性方案129第八章安全审计131第一节遵守法律法规要求1311识别适用的法律法规1312保护知识产权1323保护个人信息1324防止网络与信息处理设施的不当使用1335加密技术控制规定1336保护公司记录1347收集证据134第二节安全审计的内容135第三节安全审计管理1351独立审计原则1362控制安
9、全审计过程1363保护审计记录和工具137参考文献138术语和专有名词139附录1:安全体系第二层项目清单(列表)140总则1网络与信息安全的基本概念网络与信息安全包括下列三个基本属性: 机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。 完整性(Integrity):确保网络设施和信息及其处理的准确性和完整性。 可用性(Availability):确保被授权用户能够在需要时获取网络与信息资产。需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。2网络与信息安全的重要性
10、和普遍性网络与信息都是资产,具有不可或缺的重要价值。无论对企业、国家还是个人,保证其安全性是十分重要的。网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;是保障客户利益的基础。中国移动的网络与信息安全也是国家安全的需要。网络与信息安全工作无所不在,分散在每一个部门,每一个岗位,甚至是每一个合作伙伴;同时,网络与信息安全是中国移动所有员工共同分担的责任,与每一个员工每一天的日常工作息息相关。中国移动所有员工必须统一思想,提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。3中国移动网络与信息安全体系与安全策略中国移动网络与信息安全体系如上图所示。中国移动网络与信
11、息安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范(第一、二层),另一部分是实施层面的工作流程(第三层)。网络与信息安全体系(NISS)总纲(以下简称总纲)位于安全体系的第一层,是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。总纲具有高度的概括性,涵盖了技术和管理两个方面,对中国移动各方面的安全工作具有通用性。安全体系的第二层是一系列的技术规范和管理规定,是对总纲的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的
12、细则、流程等,具备最直观的可操作性。安全体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考核,同时遵循动态管理和闭环管理的原则,通过定期的评估不断修改完善。安全策略是在公司内部,指导如何对网络与信息资产进行管理、保护和分配的规则和指示。中国移动必须制订并实施统一的网络与信息安全策略,明确安全管理的方向、目标和范围。安全策略必须得到管理层的批准和支持。安全策略应被定期评审和修订,以确保其持续适宜性,特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。中国移动的安全策略是由安全体系三个层面的多个子策略组成的,具有分层结构的完整体系,包含了从宏观到微观,从原则
13、方向到具体措施等多方面的内容。安全策略用来指导全网的网络与信息安全工作。4安全需求的来源确立安全需求是建立完整的安全体系的首要工作。中国移动的安全需求主要源自下述三个方面: 系统化的安全评估。结合经验教训和技术发展,通过安全评估分析公司网络和信息资产所面临的威胁,存在的薄弱点和安全事件发生的可能性,并估计可能对公司造成的各种直接的和潜在的影响。 中国移动及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束,以及公司对客户的服务承诺。 公司运营管理的目标与策略。下图说明了安全需求、风险评估和安全措施三者的关系。5安全风险的评估安全风险评估可以应用于整个公司或某些部分,也可应用于单个网络信息系统、特定系统组件或服务。安全风险评估应着重于: 安全事件可能对中国移动造成的损失,以及所产生的直接和潜在的影响。 综合考虑所有风险,以及目前已实施的控制措施,判断此类安全事件发生的实际可能性。 从安全角度,对公司现有的管理制度和流程本身的合理性与完备程度进行评估。安全风险评估应本着可行、实际和有效的原则,通过标准统一的评估程序和方法,量化安全风险,确定安全风险的危险级别,从而采取合理措施防范或降低安全风险。需要特别指出的是:为适应业务
