管理制度-中国移动管理信息系统安全基线规范v10 精品.doc
《管理制度-中国移动管理信息系统安全基线规范v10 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-中国移动管理信息系统安全基线规范v10 精品.doc(10页珍藏版)》请在第一文库网上搜索。
1、中国移动通信企业标准QB-中国移动管理信息系统安全基线技术规范称Technical Specifications for Security Baseline of CMCC MIS版本号:1.0.0-发布-实施中国移动通信集团公司 发布前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。本规范由中国移动通信集团公司管理信息系统部提出并归口管理。本规范的解释权属于中国移动通信集团公司管理信息系统部。本规范起草单位:中国移动通信集团公司管理信息系统
2、部本规范主要起草人:起草人1姓名、起草人2姓名、目 录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101 概述1.1 目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库
3、、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。1.2 引用标准u 中国移动网络与信息安全总纲u 中国移动内部控制手册u 中国移动标准化控制矩阵u 中国移动操作系统安全功能和配置规范u 中国移动路由器安全功能和配置规范u 中国移动数据库安全功能和配置规范u 中国移动网元通用安全功能和配置规范u FIPS 199 联邦信息和信息系统安全分类标准u FIPS 200 联邦信息系统最小安全控制标准1.3 术语和定义词语解释Security Baseline 安全基线:是设备功能和配置方面的基本安全要求,是信息系统的最小安全保证和最基本的、必须满足的
4、安全要求。它适用于未上线和已上线系统,用于保障组织内IT系统安全水平。SHG安全加固手册Security Harden Guideline SBL 安全基线Security Baseline 安全风险人为或自然的威胁可能利用IT系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。安全风险评估指运用科学的方法和手段,系统地分析IT系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解IT系统安全风险,或者将风险控制在可接受的水平,为最大限度地为保障IT系统的安全提供科学依据资产是安全防护保护的对象。管理信息系统的资产
5、可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如OA系统、ERP系统等。资产价值资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。威胁可能导致对IT系统产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。脆弱性是IT系统中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危害资产的安全。2 安全基线框架2.1 背景中国移动管理信息系统的设备、主机、应
6、用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。为了保证整体安全水平,防止系统设备因为安全配置不到位而带来安全风险,有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固,则可以确保系统和设备安全符合性达到要求,杜绝大部分的安全隐患。为此,制定各系统的安全基线,作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据,同时也是满足内控管理要求的依据。此次系列安全基线规范覆盖了从应用层、中间件层、操作系统层以及网络层,并依据这些安全基线建立准入措施,从源头和根本上控制和提高系统的安全性。此次项目对安全
7、基线的要求如下: 覆盖面广,涵盖管理信息系统常见IT系统和设备,并涵盖Web应用和源代码的安全基线; 可操作性强,针对每个检查项均有简洁的操作说明; 定期更新,应当周期性的对基线进行补充和更新; 成果可固化,基线可以被集成为检查工具; 安全基线将作为系统和设备安全准入的必要条件。2.2 安全基线制定的方法论 安全基线制定主要基于以下方法:1 参考产品原厂商的技术资料2 参考安全服务及安全研究的成果3 参考国内外大型研究机构及企业现行的安全基线4 结合中国移动网络部下发的相关规范及管理信息系统部的实际情况2.3 安全基线框架说明管理信息系统安全基线框架(以下简称框架)由二个层面的安全规范组成。本
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 管理制度-中国移动管理信息系统安全基线规范v10 精品 管理制度 中国移动 管理信息系统 安全 基线 规范 v10