《江苏移动业务支撑系统信息安全保障措施交流》由会员分享,可在线阅读,更多相关《江苏移动业务支撑系统信息安全保障措施交流(30页珍藏版)》请在金锄头文库上搜索。
1、业务支撑系统信息安全保障措施交流业务支撑系统信息安全保障措施交流中国移动江苏公司中国移动江苏公司Saturday, September 21, 2024目目 录录2 2信息安全保障的意义信息安全保障的意义信息安全保障的意义信息安全保障的意义1 1规范管理,固化流程规范管理,固化流程规范管理,固化流程规范管理,固化流程3 3建立健全审计体系建立健全审计体系建立健全审计体系建立健全审计体系信息安全整治效果信息安全整治效果信息安全整治效果信息安全整治效果4 4提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨5 5信息安全保障形势信息安全保障形势
2、l今年4月,央视多个栏目播出了有关手机用户信息泄露的报道,矛头直指电信运营商的信息安全管理。CCTV12 :关于移动电话关于移动电话VIP客户资料外泄的新闻报道客户资料外泄的新闻报道CCTV1:“新闻新闻30分分”记者调查:是谁泄露了手机用户个人信息记者调查:是谁泄露了手机用户个人信息CCTV-1:“朝闻天下朝闻天下”谁泄露了手机用户个人信息谁泄露了手机用户个人信息信息安全保障形势信息安全保障形势l近年来,移动业务快速发展,业务支撑系统和用户数量不断增加,网络规模迅速扩大,信息安全保障方面的措施也急需进一步加强。信息安全工作的完善与否,将对客户利益、客户感知、企业利益和企业形象等产生重大影响。
3、加强业务支撑系统的数据安全管理工作、防止信息泄露事件、保障企业核心数据的安全性,对企业的发展有着重要的意义。 客户感知客户感知客户利益客户利益企业利益企业利益企业形象企业形象信息安全信息安全信息安全保障形势信息安全保障形势l针对严峻信息安全保障形势,江苏公司于4月份开展了业务支撑系统信息安全月活动,对业务支撑系统的各个方面进行了信息安全自查。信息安全自查信息安全自查1234从主机、数据库、网络、从主机、数据库、网络、应用系统、用户信息(包应用系统、用户信息(包括客户资料、清单、帐单、括客户资料、清单、帐单、积分、位置信息等)多个积分、位置信息等)多个层次进行梳理,列出层次进行梳理,列出BOSS
4、、经分、客服等系、经分、客服等系统中涉及信息安全的方面统中涉及信息安全的方面分析主机、数据库、网络、应用分析主机、数据库、网络、应用系统、用户信息多个层次的账号系统、用户信息多个层次的账号口令管理安全隐患口令管理安全隐患分析主机、数据库、网络、分析主机、数据库、网络、应用系统、用户信息多个应用系统、用户信息多个层次的外围接口安全隐患层次的外围接口安全隐患梳理主机、数据库、网络、应梳理主机、数据库、网络、应用系统、用户信息多个层次日用系统、用户信息多个层次日志,查找缺漏部分,加强审计志,查找缺漏部分,加强审计稽核,确保所有操作留痕稽核,确保所有操作留痕信息安全保障形势信息安全保障形势l通过自查,
5、我们发现系统的信息安全隐患突出表现在以下两个方面:账号口令管理存在漏洞部分用户所拥有的账号权限超出了其职责范围账号-使用人关系需要梳理审计工作有待加强对数据库关键表的所有用户未进行SQL语句层面的日志记录和审计对用户操作的审计未能及时通报目目 录录1 1信息安全保障的意义信息安全保障的意义信息安全保障的意义信息安全保障的意义2 2规范管理,固化流程规范管理,固化流程规范管理,固化流程规范管理,固化流程3 3建立健全审计体系建立健全审计体系建立健全审计体系建立健全审计体系信息安全整治效果信息安全整治效果信息安全整治效果信息安全整治效果4 4提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升
6、信息安全保障能力的探讨提升信息安全保障能力的探讨5 5规范管理,固化流程规范管理,固化流程l为了保障整个业务支撑系统达到一定的安全管理水平,保证其信息的完整性和机密性,使得任何系统的使用、软件或者数据修改都在系统安全管理人员控制和管理范围之内,我们修订了中国移动江苏公司BOSS综合业务支撑系统账号安全管理规范,详细规定了账号管理各相关人员的职责和及账号审批流程等。部门领导职责:部门领导职责:负责审批用户账号权限的申请、登记和备案工作是否完备,并负负责审批用户账号权限的申请、登记和备案工作是否完备,并负责将申请报告转交给系统管理员进行处理责将申请报告转交给系统管理员进行处理各各方方职职责责账号管
7、理员职责:账号管理员职责:执行部门副经理安排的账号口令维护和管理工作,并负责管理账执行部门副经理安排的账号口令维护和管理工作,并负责管理账号的创建、变更、修改以及撤销的文档备案工作号的创建、变更、修改以及撤销的文档备案工作安全审计员职责:安全审计员职责:对所有对所有BOSSBOSS系统账号进行安全审计,并通报审计结果系统账号进行安全审计,并通报审计结果用户职责:用户职责:负责对其所使用的账号提出申请创建、变更、修改和撤消工作负责对其所使用的账号提出申请创建、变更、修改和撤消工作用户室主任职责:用户室主任职责:审核本室申请使用账号的权限范围与申请人工作职责相符审核本室申请使用账号的权限范围与申请
8、人工作职责相符操作系统和数据库管理员:操作系统和数据库管理员:评估账号变动对系统的影响及用户账号的具体操作评估账号变动对系统的影响及用户账号的具体操作账号管理员室主任职责账号管理员室主任职责:对申请账号使用的权限范围进行评估,确保该账号使用的安全性对申请账号使用的权限范围进行评估,确保该账号使用的安全性规范管理,固化流程规范管理,固化流程l账号审批流程账号审批流程用户与所属部门室主任确定账号在BOSS系统中实际使用的范围、级别及权限,填写信息技术系统账号权限申请表相关内容;所属室主任审核批复信息技术系统账号权限申请表;账号管理员室主任审核批复;系统管理员审核并执行相应操作;信息技术中心领导审核
9、;账号管理员严格按照审核批复的申请内容进行账号授权和文档备案。规范管理,固化流程规范管理,固化流程l目前,江苏公司业务支撑系统涉及生产主机近200台,数据库80余个,为了更好地对这些主机和数据库上的账号进行管理,我们在业务支撑网网管系统中建立了账号管理系统,对账号审批流程进行电子化管理。用户只需在账号管理系统中填写信息技术系统账号权限申请表并提交申请,该申请就会流转到相应管理人员处进行审批、授权。规范管理,固化流程规范管理,固化流程l申请账号创建的审批表可以看到审批的各个环节,如果未通过审批则会在相应的环节有说明规范管理,固化流程规范管理,固化流程l当申请通过审批后,就能在“账号总揽”的树形结
10、构图中看到该账号,点击账号名,在右侧的页面中就可以看到该账号的相关属性:账号名称、账号类型、账号描述、创建时间和锁定情况,账号使用者情况也在“账号使用者列表”中一目了然。目目 录录1 1信息安全保障的意义信息安全保障的意义信息安全保障的意义信息安全保障的意义3 3规范管理,固化流程规范管理,固化流程规范管理,固化流程规范管理,固化流程2 2建立健全审计体系建立健全审计体系建立健全审计体系建立健全审计体系信息安全整治效果信息安全整治效果信息安全整治效果信息安全整治效果4 4提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨5 5建立健全审计体
11、系建立健全审计体系l在信息安全保障中,仅仅保证了登录系统的都是授权用户还是不够的,我们还保证授权用户的操作是合理的。l江苏公司建立了安全审计平台系统,要登陆所有的生产主机和数据库都必须通过审计平台登陆, 由审计平台记录登陆用户的操作。l安全审计平台的账号实行实名制,登陆方式为“用户名”+“用户指纹”,确保登陆的用户为用户本人。建立健全审计体系建立健全审计体系l审计平台可以配置受限命令,如操作系统:telnet,rlogin,数据库:turncat,l审计平台可以记录登陆用户的所有操作,如操作系统:passwd,数据库:select、update、insert等语句建立健全审计体系建立健全审计体
12、系检查重点:检查重点:针对关键表的针对关键表的数据库访问数据库访问审计报告:审计报告:分别按数据库对象和组织统计数据库表的被访问情况和分别按数据库对象和组织统计数据库表的被访问情况和人员对数据库表的访问情况人员对数据库表的访问情况,检查结果报告通过,检查结果报告通过OVSDOVSD工工单报各相关专业室确认单报各相关专业室确认。各相关专业室审阅审计报告,。各相关专业室审阅审计报告,确认专业室人员的操作与职责相符。确认专业室人员的操作与职责相符。频次:频次:每旬一次检查每旬一次检查123审计日志审查审计日志审查建立健全审计体系建立健全审计体系l针对关键表的数据库访问审计总体情况:建立健全审计体系建
13、立健全审计体系l按数据库对象统计操作:建立健全审计体系建立健全审计体系l按人员统计操作:建立健全审计体系建立健全审计体系检查结果检查结果报告通过报告通过OVSD工工单报各相单报各相关专业室关专业室确认。各确认。各相关专业相关专业室审阅审室审阅审计报告,计报告,确认专业确认专业室人员的室人员的操作与职操作与职责相符。责相符。目目 录录1 1信息安全保障的意义信息安全保障的意义信息安全保障的意义信息安全保障的意义4 4规范管理,固化流程规范管理,固化流程规范管理,固化流程规范管理,固化流程2 2建立健全审计体系建立健全审计体系建立健全审计体系建立健全审计体系信息安全整治效果信息安全整治效果信息安全
14、整治效果信息安全整治效果3 3提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨5 5信息安全整治效果信息安全整治效果l江苏公司主机和数据库账号实现了电子化的管理,申请、江苏公司主机和数据库账号实现了电子化的管理,申请、审批和授权均有相应的电子化流程,对账号的使用人做到审批和授权均有相应的电子化流程,对账号的使用人做到了有效的管理。了有效的管理。l通过审计平台的建设,对主机和数据库账号用户的操作做通过审计平台的建设,对主机和数据库账号用户的操作做到了有效监控,对预防授权用户的非法操作起到了良好的到了有效监控,对预防授权用户的非法操作起到了良
15、好的作用。作用。l对自查中发现的其他问题,均制定了相应的改进计划,有对自查中发现的其他问题,均制定了相应的改进计划,有相应的专业室牵头改进。对梳理出来的相应的专业室牵头改进。对梳理出来的48各改进点,完成各改进点,完成了了30个子项的改进目标,其余个子项的改进目标,其余18个子项的后继改进计划个子项的后继改进计划也正在实行中。也正在实行中。信息安全整治效果信息安全整治效果 针对梳理出来的需要完善和加固的改进点,各专业室明确了牵头负责人及相关配合人针对梳理出来的需要完善和加固的改进点,各专业室明确了牵头负责人及相关配合人员,制定了具体的实施计划。员,制定了具体的实施计划。目目 录录1 1信息安全
16、保障的意义信息安全保障的意义信息安全保障的意义信息安全保障的意义5 5规范管理,固化流程规范管理,固化流程规范管理,固化流程规范管理,固化流程2 2建立健全审计体系建立健全审计体系建立健全审计体系建立健全审计体系信息安全整治效果信息安全整治效果信息安全整治效果信息安全整治效果3 3提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨提升信息安全保障能力的探讨4 4提升信息安全保障能力的探讨提升信息安全保障能力的探讨l随着移动业务的发展,业务支撑系统也是在不断变化之中随着移动业务的发展,业务支撑系统也是在不断变化之中的,信息安全所面临的问题也会随之变化;的,信息安全所面
17、临的问题也会随之变化;l公司公司“正德厚生,臻于至善正德厚生,臻于至善”的核心价值观,也要求我们的核心价值观,也要求我们在信息安全领域不断完善保障措施。在信息安全领域不断完善保障措施。提升信息安全保障能力的探讨提升信息安全保障能力的探讨一、大量账号的管理一、大量账号的管理 江苏公司业务支撑系统中主机和数据库账号的规模在4500左右(该数目还在增长中),如何保证所有的账号均纳入管理、保证每个生产账号都有责任人负责? 目前我们的做法是在账号管理系统中增加账号比对功能,将系统中的账号与纳入管理的账号进行比对,从而保证无私自开设的账号。该功能已能实现逐台主机和逐个数据库的账号捞取,依靠人工进行比对,批
18、量捞取与比对正在开发中。 用户登陆审计平台后,输入账号口令即可登陆相应的主机和数据库,存在账号口令被未授权的审计平台用户使用的隐患。 目前,我们公司正计划推广审计平台的“单点登陆”系统,用户在审计平台中只可使用“应用程序资源列表”中列出的工具(如SecureCRT、plsqldev),且可访问的资源均已由账号管理员根据审批表进行了配置。这样,对用户而言,申请了账号后无需知道账号口令就可以访问相应的系统,将有效避免账号口令泄露造成的安全隐患。提升信息安全保障能力的探讨提升信息安全保障能力的探讨二、授权用户的登陆控制二、授权用户的登陆控制提升信息安全保障能力的探讨提升信息安全保障能力的探讨三、系统
19、功能上线时的信息安全保障三、系统功能上线时的信息安全保障 由于业务发展的需要,业务支撑系统需要不时地进行功能上线,上线时需要厂方人员做配合,如何控制厂方人员的权限以避免信息安全事故,一直是我们所关心的。 大规模功能上线时,账号的申请、授权和回收的工作量就会变得很大,大规模功能上线时,账号的申请、授权和回收的工作量就会变得很大,由于涉及密码的修改,当需要回退时会对业务的处理产生一定影响。由于涉及密码的修改,当需要回退时会对业务的处理产生一定影响。 提升信息安全保障能力的探讨提升信息安全保障能力的探讨四、系统预埋账号的管理四、系统预埋账号的管理预埋账号定义:预埋账号定义:系统在开发时写在程序的代码中的将账号口令,这部分账号我们称为预埋账号。预埋账号管理的难处:预埋账号管理的难处:1、预埋账号的密码修改会影响到应用程序的运行,有一定风险。2、对这预埋账号做定期密码修改时,需要对相关的程序代码做相应的修改,而一套应用程序往往会部署在多台主机上,每次修改时工作量非常大。如何有效地控制预埋账号数量?如何有效地控制预埋账号数量?如何高效地管理预埋账号?如何高效地管理预埋账号?请请批批评评指指正正请请批批评评指指正正T TH HA AN NK KS ST TH HA AN NK KS S
