中国电信,it安全保障体系规范,管理分册

中国电信,it 安全保障体系规范,管理分册篇一：IT 安全保障体系规范-技术分册-网络安全域划分指南中国电信 IT 安全保障体系建设规范 技术分册 网络安全域划分指南 XX 年 10 月 中国电信集团公司 第 1 章 第 2 章 第 3 章 第 4 章 第 5 章 第 6 章 网络安全域划分应用指南 目 录 概述 .3 概述 . 3 适用范围 . 3 文档说明 . 3 规范文档 . 4 网络安全现状分析 . 5 IT 系统网络安全现状概述 .5 IT 系统组网的基本架构 . 5 IT 系统网络安全域整体规划 .7 网络安全域整体规划 .7 以组织关系为基础进行划分 . 7 以业务系统为基础进行划分 . 7 IT 系统网络安全域整体划分模型 .7 整体安全区域与系统安全子域的关系 . 10 IT 系统安全子区域划分 .11 IT 系统安全子域划分要求 .11 IT 系统安全等级定义 . 11 系统安全子域划分 .12 计算服务子域 .13 运维管理子域 .13 办公终端子域 .14 互联接入子域 .14 内部核心交换子域 . 15 IT 系统网络安全子域边界整合 .16 IT 系统网络安全边界划分 .16 IT 系统网络安全边界整合 .17 计算服务子域内部安全边界 . 17 运维管理子域安全边界 . 19 办公终端子域安全边界 . 20 互联接入子域安全边界 . 21 核心交换子域安全边界 . 22 网络安全域边界访问控制策略 . 23 IT 系统网络安全子域防护 .24 网络安全子域防护原则 .24 网络安全子域防护措施 .25 网络安全子域边界防护策略 . 25 网络安全子域内部安全防护策略 . 37 边界防护技术实现策略 . 60 集中安全管控措施 . 67 网络安全域防护措施解析 . 67 第 7 章 MSS 系统试点网络安全域示例 .68 MSS 系统安全定级 . 68 网络安全域划分. 69 网络边界整合. 70 边界安全防护措施 .71 集中安全管控措施 .76 第 8 章 网络安全域实施路线 . 77 第一阶段：网络现状需求调研梳理 . 77 第二阶段：整体安全区域规划 . 77 第三阶段：网络安全域分阶段实施 . 78 第 9 章 附录 .79 附录 1、系统安全等级矩阵表 .79 附录 2、安全技术防护措施标准组件库 . 80 附录 4、文档编制人员名单 .82 附录 4、参考文献 .82 第 1 章 概述 概述 本指南作为中国电信 IT 安全技术体系规范的主要组成部分，本指全面阐述了 IT 系统网络安全域设计思路、划分原则、边界整合、安全防护措施和演进计划等内容，为中国电信建立健全 IT 安全保障体系提供重要的依据和支撑。适用范围 本指南适用于指导中国电信集团公司及下属省（市）电信公司进行 IT 网络安全域规划建设和升级改造等，以实现中国电信网络安全工作“同步规划、同步建设、同步运行” 。 文档说明 本指南的编制是在CTG-MBOSS 总体规范 的总体框架体系指导下，参考了CTG-MBOSS 安全规范-网络安全分册 及近年来发布的其他安全政策和指导意见相关内容，继承和吸收了原有安全管理实践的经验成果，并充分考虑了电信各省公司的现状、行业最佳实践和安全新技术。针对本指南进行以下特别说明： 1. 本指南的安全域划分主要针对单独的 IT 系统（如MSS 系统、BSS 系统、OSS 系统和 EDA 系统）网络安全子域的划分；整体网络安全域划分沿用CTG-MBOSS 安全规范-网络安全分册 安全域划分的方法和要求，本文档不做特别阐述； 2. 本指南网络安全域边界从第 5 类开始，1-4 类继续沿用CTG-MBOSS 安全规范-网络安全分册 文档的边界划分方法和要求。 规范文档网络安全域划分指南在中国电信集团公司 IT 安全保障体系规范中的位置如下图所示： 篇二：IT 安全保障体系规范-技术分册-IT 安全技术保护措施应用指南_ 中国电信 IT 安全保障体系建设规范 技术分册 IT 安全技术保护措施应用指南 XX 年 10 月 中国电信集团公司 第 1 章第 2 章 第 3 章 第 4 章 第 5 章 IT 安全技术保护措施应用指南 目 录 概述 .3 目的 . 3 适用范围 . 3 文档说明 . 3 规范文档 . 4 IT 安全保护现状分析 .5 IT 安全挑战与现状概述 . 5 IT 安全技术保护措施 . 6 IT 安全威胁与安全技术保护措施对应表 .7 IT 安全技术保护架构 .10 IT 安全保障体系技术架构图 .10 三大安全防护能力 .11 六个安全防护层面 .11 IT 安全技术保护措施标准组件库定义 .13 IT 安全技术保护措施标准组件库概述 .13 标准组件库编号说明 .13 标准组件库选用原则 .14 标准组件安全保护等级对应表 . 14 IT 安全技术保护措施标准组件库 .18 安全识别与监控措施 .18 入侵检测系统 .18 安全漏洞扫描 .21 安全技术防护措施 .24 网络访问控制 .24 入侵防御系统 .28 拒绝服务攻击防御 . 31 VPN 安全接入 . 35 数据库安全保护 .39 恶意代码保护 .42 网页防篡改 .46 WEB 应用访问控制 .49 网络流量管控 .52 数据安全保护 .57 终端安全保护 .60 身份认证 .63 安全配置加固 .67 安全审计与恢复措施 .(来自: 小 龙 文档网:中国电信,it 安全保障体系规范,管理分册). 69 第 1 页 /共 81 页 安全审计 .69 堡垒主机 .73 备份与恢复 .77 第 6 章 附录 .80 附录 1、文档编制人员名单 .80 附录 2、参考文献 .80 第 2 页 /共 81 页 第 1 章 概述 目的 为了保障中国电信 IT 系统安全稳定运行，基于 IT 系统的安全保护等级，遵循深度防御的原则，采取适度有效的安全技术防护措施和手段，进一步提高 “风险识别、威胁主动防御、事件响应处理”三项安全保障能力，以实现对 IT 系统进行层次化、差异化安全保护的目标。 适用范围 本指南适用于中国电信集团公司及下属省（市）电信公司 IT 系统及其支撑环境的安全保护工作。 文档说明 结合中国电信 IT 安全的实际情况，为了有效落实和执行本指南，特做如下说明： 1. 目前中国电信物理机房实现统一建设和集中管理，而且物理机房已经实现相对标准化的安全技术防护措施，因此本指南 IT 安全技术防护措施不包括物理安全措施； 2. 本指南所涉及的安全防护措施以产品方式和参照安全配置指南方式进行部署实施，因此涉及安全配置的防护措施细节请参照相关配置文件； 3. 本指南的 IT 安全技术保护措施适用于中国电信当前所面临的安全威胁，当安全威胁发生变化后应当进行更新。 第 3 页 /共 81 页 规范文档 IT 安全技术保护措施应用指南在中国电信集团公司 IT 安全保障体系规范中的位置如下图所示： 第 4 页 /共 81 页 篇三：中国电信 IT 安全保障体系研究与设计 中国电信 IT 安全保障体系研究与设计 张新跃 华汪明 黄礼莲 高儒振 XX-3-5 11:09:56 来源：现代电信科技XX 年第09 期 摘要：文章首先分析了全业务运营形势下中国电信 IT支撑系统面临的安全新挑战，从多个角度出发，阐述了电信运营商 CTG-MBOSS 支撑系统安全现状和当下亟需解决的安全问题，在分析和比较了当前国际最先进的安全保障体系模型，基于多年来电信在 IT 安全管理方面的实践，结合了行业最佳实践，设计了适用于中国电信全业务支撑要求的安全保障体系模型框架，并给出了安全保障体系建设路线规划和演进策略。 1 IT 安全概况 近年来，在国家信息化战略的指引下，越来越多的生产系统和企业核心数据承载在网络环境中，IT 网络环境下的信息安全问题成为每一位信息管理者都关注的问题，如何构建信息安全保障体系1-3，保障企业核心系统安全稳定运行，企业核心数据不丢失，一直是学术界和企业共同关注的焦点。 根据中国电信企业信息化战略规范，以及中国电信的 CTG-MBOSS 安全规范，由管理支撑系统(MSS)、业务支撑系统(BSS)、 运营支撑系统(OSS)和企业数据架构(EDA)组成。伴随着中国电信深度转型战略背景下，如何加强 IT 系统的统一管理，提高信息化支撑能力成为电信 IT 工作的主要目标，而 IT 系统的安全性将直接影响电信业务的开展。一方面，移动互联网、终端智能化、物联网和云计算等新技术的发展对 IT 系统的安全提出了新的挑战；另一方面，随着全网IP 化技术的演进，IT 系统由封闭转向开放，业务运营模式的变化带来安全管控点的增多，系统的安全风险也随之增大；同时，由于运营商 IT 支撑系统数据的大集中增加了提高系统架构的复杂程度，安全事件带来的经济损失也将随之加大。但是，IT 系统的安全建设滞后于系统建设的事实一直困扰着 IT 系统管理者。因此，从基础网络环境入手，以安全域为切入点，构建全方位多层次的综合 IT 安全保障体系，实现 IT 资产对象可管可控的安全运行环境，为企业全业务运营保驾护航，成为 IT 安全工作追求的目标。 2 安全保障体系框架 近年来，随着信息技术的进一步发展，人们逐渐认识到，构建安全保障体系必须从各个方商进行综合考虑，只有将组织、策略、运行和技术等各方面紧密结合，构成全方位一体化的安全保障体系，才能真正保障企业核心资产的安全。 一个完整的 IT 安全架构，需要从总体上进行统筹规划，逐一落实每项安全管理制度，统一部署安全防护措施，循序渐进地构建一 个科学全面的安全保障体系。从管理和技术层面执行严格的管控措施，使之能够抵御来自外部和内部的各种安全威胁。中国电信 IT 安全保障体系是支撑企业 IT 安全建设和管理的基础架构，是指导企业进行安全规划与建设的依据，整体安全保障体系框架如图 1 所示。中国电信 IT 安全保障体系以 CTG-MBOSS 信息化架构为基础，以 IT 安全战略为指导，实现可管、可控和可信的三个 IT 安全阶段目标目标。体系建设遵循“管技结合、预防为主、注重长效、循序渐进”十六字方针，最终实现可信赖的 IT 安全运营环境愿景。 IT 安全保障体系的三个阶段目标特征定义如下：可管阶段的特征是“职责明晰、预防为主、有效识别” ，可控阶段的特征是“主动防御、及时响应、集中管控” ，可信阶段的特征是“体系完善、流程通畅、全员参与” 。 整个 IT 安全保障体系由安全管理体系和安全技术体系两个重要部分组成。 图 1 中国电信 IT 安全保障体系框架图IT 安全管理体系 管理在整个体系中占有重要的地位，包括安全策略、安全组织和安全运行三大体系。 安全策略体系总述了中国电信 IT 安全的总体方针政策、演进策略、标准和指南、以及各类实施细则组成。它明确了企业 IT 安全的总体目标和建设任务，明确了演进路线和指导原则，是企业统一部署安全建设工作的总体纲领和依据。 安全组织体系定义了保障 IT 安全策略有效执行需要的角色和职责，为安全策略能够贯彻实施的组织保障的保证，从职能上分为决策、管理和执行类别。该部分从管理制度的规定和落实上明确了信息安全职责与考核管理规定，从人员和组织上约定了主体和客体以及第三方安全管理规定。 安全运行体系从 IT 系统生命周期和安全风险管控流程出发，从开发、建设、维护、响应和核查五个阶段提出安全风险管控的要点，明确了不同阶段安全防护的具体要求，涵盖了风险管理、系统开发建设、运行维