信息安全管理体系及重点制度介绍

信息安全管理体系及重点制度介绍 信息系统部 2011年 5月 4日 1 目 录 信息安全管理体系介绍1 基础电信企业信息安全责任管理办法2 基础信息安全要求3 客户信息保护管理规定4 信息安全三同步管理办法5 业务安全风险评估标准6 2 ISO17799:2000国 际标 准 BS7799-1:1999 BS7799-2:1999 英国 标 准 BS7799-2: 2002 BS7799-1:2000 ISO17799:2005 ISO27001:2005 BS7799:1996 BS7799-3:2005 安全管理体系安全管理体系 标标 准的准的 发发 展展 历历 史史 3 p ISO 27001的 标准全称 Information technology- Security techniques-Information security management systems-Requirements 信息技术 -安全技术 -信息安全管理体系 -要求 n ISMS 信息安全管理体系 - 管理体系 - 信息安全相关 - ISO 27001 的 “3 术语和定义 -3.7“ n Requirements 要求 ISO/IEC 27001介介 绍绍 4 p 建立方针和目标并实现这些目 标的相互关联或相互作用的一 组要素。 p 管理体系包括组织结构，策略 ，规划，角色，职责，流程， 程序和资源等。 (ISO 27001“3 术语和定义 -3.7“) p 管理的方方面面以及公司的所 有雇员，均囊括在管理体系范 围内。 什么是管理体系？什么是管理体系？ Quality management system (ISO 9001) Environmental management system (ISO 14001) Safety management system (OHSAS 18001) Human Food Safety management system (HACCP) IT Service Management System (ISO 20000) Information security management system (ISO 27001) 5 什么是信息安全？什么是信息安全？ Alteration Destruction Disclosure Information Integrity Availability Confidentiality 保护信息的保密性、完整性和可用性 (CIA);另 外也可包括诸如真实性，可核查性，不可否认 性和可靠性等特性 (ISO 27001“3 术语和定义 - 3.4“) p 机密性（ Confidentiality） 信息不能被未授权的个人，实体或者过程利用 或知悉的特性 (ISO 27001“3 术语和定义 -3.3“) p 完整性（ Integrity） 保护资产的准确和完整的特性 (ISO 27001“3 术 语和定义 -3.8“).确保信息在存储、使用、传输过 程中不会被非授权用户篡改，同时还要防止授 权用户对系统及信息进行不恰当的篡改，保持 信息内、外部表示的一致性。 p 可用性（ Availability） 根据授权实体的要求可访问和利用的特性 (ISO 27001“3 术语和定义 -3.2“).确保授权用户或实 体对信息及资源的正常使用不会被异常拒绝， 允许其可靠而及时地访问信息及资源 6 信息安全管理体系所涵盖的领域信息安全管理体系所涵盖的领域 安全策略 合规性 信息安全组织 资产管理 信息系统 获取开发 和维护 人力资源安全 物理和环境安全 通信和操作管理 访问控制 信息安全事件管理 业务连续性管理 7 湖南移动信息安全管理体系湖南移动信息安全管理体系 8 湖南移动信息安全管理制度 n 已发布制度 湖南移动信息安全管理办法 和责任矩阵 湖南移动信息安全三同步管理办法 中国移动客户信息安全保护管理规定（试行） 和控制矩阵 中国移动业务信息安全评估标准 （ 2011） 中国移动基础信息安全管理通用要求（试行） 和检查矩阵 n 实践案例汇编 “客户信息安全保护解决方案汇编 ” “基础信息安全案例汇编 ” n 计划完善的制度 安全应急处置 责任追究 安全检查管理办法 9 目 录 信息安全管理体系介绍1 基础电信企业信息安全责任管理办法2 基础信息安全要求3 客户信息保护管理规定4 信息安全三同步管理办法5 业务安全风险评估标准6 10 基础电信企业信息安全责任管理办法 n 互联网新技术新业务的 广泛，信息安全事件时 有发生 n 普遍存在 “重市场发展 、轻安全管理 ”的现象 , 甚至还有 “只顾赚钱， 漠视安全 ”的情况存在 n 基础电信企业的信息 安全责任和要求不尽 明确。 n 企业对自身应承担的 信息安全责任重视不 够、投入不足。 n 行业监管机构对企业 信息安全责任和义务 缺乏有效监督和管理 的方式方法。 企业信息安全责任 保障条件 总则 监督管理 n 基础电信企业信息安全责任管理 办法 （工信部保 2009713号） 11 基础电信企业信息安全责任管理办法 -总则 n 第三条（信息安全） 本办法所称信息安全指电信网络（ 包括固定网、移动网和互联网）上的公共信息内容安全 。 n 第四条（企业信息安全责任） 企业有义务维护国家安全 、社会稳定和用户合法权益；应在网络建设、业务提供 、应急处置、信息报备、人员培训等方面建立健全企业 信息安全责任制度，同步建设与企业网络、业务和用户 发展相适应的信息安全保障体系和技术保障手段；保障 必要的人员和资金投入。 总 则 12 基础电信企业信息安全责任管理办法 企业信息安全责任 企业信息 安全责任 规范合作经营 技术保障措施 配合监管 信息报备 网络建设 开办业务 日常监测 用户信息保护 接入责任 13 企业信息安全责任 -（网络建设） n企业在电信网络的设计、建设和运行过程中，应 做到与国家信息安全的需求同步规划，同步建设 ，同步运行。 n企业在系统规划、建设、升级、改造等环节应认 真落实国家信息安全要求，同步配套相关信息安 全设备和设施。 n企业在网络设备选型、采购和使用时，应遵守电 信设备进网要求，满足信息安全管理需要。 14 企业信息安全责任 - （开办业务） n 企业应履行信息安全承诺，按照电信业务经营许可的信 息安全要求开展和经营相关电信业务。 n 企业要在新产品立项、产品开发和业务上线（包括合作 开办）的各环节： 建立实施信息安全评估制度， 同步配套与业务特点和用户规模相适应的信息安全保 障措施， 明确业务的信息安全负责人， 建立相应的管理制度和应急处置流程， 按规定向电信监管机构进行业务信息报备。 15 企业信息安全责任 - （日常监测） n对本企业通信网络中发现的违法信息，企业应立 即停止传输，保存相关记录，并向国家有关机关 报告。 n对有关部门依法通知停止传输的违法信息，企业 应配合执行。 16 企业信息安全责任 - （用户信息保护） n电信用户依法使用电信的自由和通信秘密受法律 保护。企业及其工作人员不得擅自向他人提供电 信用户使用电信网络所传输信息的内容（法律另 有规定的除外）。 n对于本企业业务网络 /系统中保存的有关用户资料 和信息，企业应依法予以保护，不得非法出售或 者提供给其他组织和个人、不得用于与企业业务 无关的用途。 17 企业信息安全责任 - （接入责任） n企业不得向未取得电信业务经营许可证的单位或 个人提供用于经营性电信业务的电信资源、网络 接入和业务接入；不得向未备案非经营性互联网 站提供网络接入。 n企业应监督接入用户按照约定的用途使用电信资 源或开展业务。发现擅自改变使用用途的，及时 通知整改，涉及违法犯罪的，及时向有关部门报 告。 n企业应定期检查接入内容。发现信息安全问题和 隐患及时做出相应处理。 18 企业信息安全责任 - （规范合作经营） n企业在开展业务合作前，要对合作方的经营资质 、业务许可等信息进行审核，并在合同中明确各 方的信息安全责任。 n企业应当对合作提供的各类业务进行规范和监督 ，建立违法信息发现、监测和处置制度。对合作 中出现的信息安全问题和隐患，企业应督促合作 单位及时整改，或者按照合同约定进行处理，对 违反法律的，报送相关部门查处。 19 企业信息安全责任 - （技术保障措施） n企业应当建立并完善事前防范、事中阻断、事后 追溯的信息安全技术保障体系。 n企业应当建立必要的技术手段，加强对重要电信 资源（如电信码号、网络带宽、 IP地址、域名等 ）的管理。 n企业应当认真落实接入责任，建全信息安全管理 和公共信息服务内容日常核查手段。 20 企业信息安全责任 - （配合监管） n企业应当认真配合电信监管机构开展信息安全监 督管理工作，保证相关工作顺利实施。 企业应当依法记录并妥善保存用户使用电信网 络的有关信息，相关信息应当至少保存 60日 。 对存在的信息安全问题和隐患，企业应当严格 按照电信监管机构的处理意见进行整改。 因涉及国家安全或处置紧急事件的需要，电信 监管机构根据国家的有关规定和要求组织实施 通信管制，企业应当配合执行。 21 企业信息安全责任 - （信息报备） n 企业应当遵照有关信息安全要求和规定，执行信息安全 信息上报、备案制度，接受并配合电信监管机构的监督 检查。 可能引发信息安全隐患的网络调整、扩容、电信基础 资源使用变更等； 可能引发信息安全隐患的新开展业务； 企业信息安全责任人或联系人信息变更； 企业业务网络 /系统内发生的各类信息安全事件。 n 企业应保证相关报备信息的及时、准确、完整。 22 基础电信企业信息安全责任管理办法 通报整改制度 n 电信监管机构对企业落实信息安全责任情况建立日常监测机制，实 行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企 业，电信监管机构向企业提出书面整改意见，责成企业限期整改， 并视情况在一定范围内予以通报。 n 电信监管机构定期或不定期对企业落实信息安全责任的情况进行专 项监督检查。企业应当将每年落实信息安全责任的有关情况形成书 面报告报电信监管机构。 n 对在新产品立项、产品开发和业务上线（包括合作开办）各环节未 同步开展信息安全评估、未同步配套与该业务相适应的信息安全保 障措施、未按规定要求向电信监管机构进行业务信息报备，而造成 特（重）大信息安全事件（或被有关部门通报并经电信监管机构组 织专家研究认定该业务存在严重信息安全隐患）的， 由电信监管机 构责令相关企业限期整改，未经整改合格的，不得开展该业务。 监督管理 23 基础电信企业信息安全责任管理办法 通报整改制度 n 对因自身管理原因造成信息安全事件，由电信监管机构追究相关企业责任。 （一）企业在一年内，发生 1次特大信息安全事件 的，或累计发生 3次（ 及 3次以上）重大信息安全事件的，由电信监管机构予以 通报批评，对 相关责任人提出处理意见或建议 ， 通报相关管理部门，并视情况向社会 通告 。 （二）企业在一年内，发生 1次重大信息安全事件的 ，或累计发生 5次（ 及 5次以上）一般信息安全事件的，由电信监管机构予以 通报批评，对 相关责任人提出处理意见或建议，并通报相关管理部门 。 （三）企业在一年内，发生 5次以下一般信息安全事件 的，由电信监管 机构在电信 行业内进行通报 。 （四）企业存在信息安全问题或隐患， 未按要求在规定期限内进行相应 整改的 ，由电信监管机构予以 通报批评，对相关责任人提出处理意见或 建议，并视情况通报相关管理部门。构成犯罪的，移送司法机关依法追 究刑事责任。 监督管理 24 基础电信企业信息安全责任管理办法 重点（一） n落实基础企业领导人问责制 明确和落实企业领导责任。 对工作不落实、措施不到位、被电信主管部门 通报批评的，追究企业信息安全责任人的领导 责任。 对整改不力、屡改屡犯、故意违规的，通报批 评相应企业信息安全责任人，并函告其上级主 管部门追究企业信息安全责任人的领导责任。 25 基础电信企业信息安全责任管理办法 （二） n加强业务推广、合作经营的管理 对业务推广渠道中业务合作的建立、合作内容 的规范、合作问题的发现和监督、业务推广模 式的实现等相关细节明确制度化、规范化的要 求。 监督合作单位相关责任和义务落实情况，确保 实效。 对合作中出现的信息安全问题和隐患，企 业应督促合作单位及时整改；发现存在违 规的，立即暂停或终止合作；发现违反法 律的，报送相关部门查处。 26 基础电信企业信息安全责任管理办法 （三） n落实接入环节管理责任 为无证服务商提供接入、为未取得经营许可或 备案的网站接入的，追究相关人员责任。 与接入服务商、网站签订信息安全管理协议。 监督接入服务商、网站的日常活动，配合相关 主管部门对接入服务商、网站接入的查处。 对发现涉及违法犯罪的，应及时停止接入 、保存记录，并向有关部门报告。 对无法判定的涉嫌违规内容，应保存记录 ，并向有关部门报告，配合有关部门的研 判和处置。 27 目 录 信息安全管理体系介绍1 基础电信企业信息安全责任管理办法2 基础信息安全要求3 客户信息保护管理规定4 信息安全三同步管理办法5 业务安全风险评估标准6 28 基础信息安全管理通用要求 29 基础信息安全管理通用要求 安全预警 n 预警信息分为一级、二级、三级、四级，一级为最高级。 n 集团公司信息安全管理责任部门负责面向全网发布预警信息，各省 公司或专业部门向所辖地域与专业 发布 预警信息。 n 各单位接到预警信息后，应依据上级主管部门要求 落实 ，及时 跟踪 预警项进展，预警内容出现变化应及时 上报 ，必要时调高预警级别 并采取更严格防范措施。 n 各单位可根据预警信息对系统的影响情况调高预警级别，但不允许 调低预警级别； 对安全补丁类预警，应根据设备所处位置和重要性采取不同的加载策略 。在设备没打补丁期间，要采取相应的加固措施，保证设备不易被攻击 。 对于安全预警信息，应在预警信息规定时限内向预警信息发布主体反馈 处理结果。 n 安全预警 处理结果反馈 内容应包括预警的影响范围、防范措施实施 范围、防范措施实施效果、进一步计划等内容。 30 基础信息安全管理通用要求 安全监控 n 要由监控专业或相应专业人员实施对各专业网络与系统的 集中化安全监控 。 n 重点监控范围 包括安全等级三级及以上的 IT系统，以及基地业务、彩信、 OA、 ERP、邮件系统、对外网站、 IDC、 WLAN、 DNS、 LSP等系统。 n 细化安全 监控内容 ，包括但不限于： 内网系统：帐号登录信息，帐号、权限、口令的变更，服务与端口的启用，系统 日志是否正常； 互联网系统：除了满足内网系统监控内容要求外，还应包括网站页面是否被篡改 ，系统可用性； 安全设备：防病毒系统、入侵检测系统、防火墙等安全告警信息。 n 针对各监控对象细化制定安全监控的各项 控制基线与量化指标 ，基线与指 标的数值应至少设定正常，一般告警，紧急告警三个等级。 n 应完善和优化安全监控手段，提升监控的效率与覆盖面。 n 应制定细化的安全 监控作业计划 ，实施对重点监控对象的 724小时监控。 n 对于监控中发现的安全问题，及时进行详细记录并形成 监控日志 ，监控日 志应留存 3个月以上。 n 要及时对监控中发现的问题进行 识别、分析与处置 。 n 按照安全事件管理相关要求对监控中发现的安全事件进行处置。 31 基础信息安全管理通用要求 访问控制 1 n 内网接入安全要求 严禁任何设备以双网卡 方式同时连接互联网和公司内网；严禁向任何未经防火墙隔离的对外 网站等互联网系统分配公司内网 IP地址； 接入公司内网的终端设备必须通过 802.1X认证，安全网关认证， MAC地址绑定等方式之一 实现 网络接入认证 ，只有通过接入认证的设备才可访问局域网资源； 如因系统限制暂时无法在系统中实现网络登录认证，任何外来设备只能在接入申请批准后方 可 接入 ，并由局域网的维护人员对接入终端进行 登记 ； 原则上不应采用 无线 AP方式接入内网，如遇特殊情况，依据 “谁接入、谁负责 ”的原则，管 理上必须经主管领导审批授权，技术上必须采用 MAC地址绑定，强安全认证，强加密算法 保护的安全传输，配置隐藏 SSID，保证 AP口令强度等配置； 各单位要维护一份已使用内网 IP地址清单 ，清单内容包括但不限于每个 IP地址的使用单位、 设备用途、责任人（使用人）和联系方式等信息。 n 远程接入 远程接入指从外部网络接入公司内网 ； 各单位要制定远程接入的实施细则、 远程接入审批和授权流程 ，规范帐号权限的申请、变更 与删除等工作，审批与授权记录应予以归档留存； 各单位对远程接入应做到 系统集中管控 （接入 4A系统），采用短信动态口令，令牌等强认 证方式，并对远程接入用户的登录过程、操作行为进行记录（记录内容包括但不限于：用户 名、操作内容、登陆方式、登入时间、登出时间）； 远程接入 帐号 只能授予内部员工，厂家人员需要使用远程维护时，按次授权，用毕收回； 远程接入帐号的创建、调整和删除申请审批通过后，应及时更新系统中的帐号状态，确保与 审批结果保持一致； 定期（每半年至少一次）检查 远程接入帐号与权限，清除过期或者未授权的访问帐号与权限 。 32 基础信息安全管理通用要求 访问控制 2 n 防火墙配置管理 各单位应制定防火墙策略管理的实施细则、防火墙策略变更审批和授权流程，规范防火墙策略新建、更新 与删除工作，审批与授权记录应予以归档留存； 防火墙配置应满足 中国移动防火墙功能和配置规范 要求，做好日志、告警、安全策略、攻击防护的配 置； 系统管理员应遵循 “最小化 ”原则 ，根据系统内外部互联需求，建立细化到连接双方的 IP、端口、有效时间 范围、承载信息、信息敏感性等内容在内的网络连接信息表，并据此配置防火墙策略，禁止出现非业务需 要的大段 IP、连续端口开放的配置； 除数据网管、安全管控平台等因业务需要外，互联网边界防火墙从外网至内网的方向仅允许业务应用端口 ， 严禁开放维护管理和数据库服务端口 ； 内网不同区域之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点 访问策略 ，严禁开放大 段 IP地址的访问策略； 内部核心区 不允许开放到互联网的访问权限。 建立 维护作业计划 ，定期（至少每周一次）对非永久有效的临时防火墙策略进行清理。 定期审核 防火墙策略，确保网络连接信息、防火墙策略与实际情况的一致性，确保防火墙策略满足公司安 全要求。 n 第三方访问控制管理 第三方是指与中国移动在业务上具有合作关系，或是向中国移动提供开发、维护等服务的公司及其员工； 各单位要与第三方公司签订 保密协议 ，在协议中明确第三方公司及其参与服务的员工的保密责任以及违约 罚则； 第三方人员的开发、维护的 接入区域 要与中国移动的生产、内部办公、维护区域分离，并采用更严格的访 问控制策略和管控手段； 第三方工作区域的 终端接入 中国移动的内部网络时要满足内网接入要求，严格限制 U盘等 外设拷贝 ，禁止使 用无线上网，必须安装防病毒软件； 通过接入 4A系统 等方式对第三方人员的登录过程、操作行为进行记录（记录内容包括但不限于：用户名、 操作内容、登录方式、登入时间、登出时间），日志记录至少保留 6个月。 严格禁止第三方人员拥有重要 系统管理员权限 ，创建系统帐号权限，查询客户敏感信息或者超出工作范围 的高级权限的帐号。各单位应至少每 3个月对第三方的帐号权限进行一次 审核清理 。 33 基础信息安全管理通用要求 访问控制 3 n 帐号口令管理 各单位要制定帐号口令管理办法，帐号口令管理满足： 帐号管理遵循 职责匹配、最小授权原则 ，规范帐号创建、变更、删除审 批流程，严格限制程序帐号的使用； 口令设置满足字母、数字组合等 复杂度要求 ，不得以明文方式保存或者 传输，口令长度不得小于 8位，至少每 90天更换一次，且 5次以内不得 设置相同的口令； 定期 （至少每半年一次）对帐号申请审批、权限变更等流程执行情况进 行 审核 ，避免出现非法创建帐号、无主帐号以及权限与职责不相容的帐 号。 要通过系统功能强制实现 口令策略管理 ，防止出现弱口令设置。 重要系统 要采用短信动态口令、证书等 强认证 登录方式。 34 基础信息安全管理通用要求 安全分析 n 各单位要建立 安全分析制度 ，定期对基础信息安全工作情况进行分 析通报。 n 分析内容 包括：基础信息安全相关的安全形势与威胁变化，安全事 件，安全预警、安全监控、风险评估、合规性检查等发现的安全问 题，部署相关整改工作，追踪安全问题整改情况，对重大安全事项 进行专题研究等。 n 对于分析中形成的信息安全 工作决议 ，工作部署等记录归档，并 追 踪落实 。 35 基础信息安全管理通用要求 安全合规性检查 n 各省信息安全归口管理部门要制定合规性检查制度，配备必要的检查工具 ，建立内部检查机制。 n 信息安全归口管理部门每年年初要组织相关单位共同制定 安全合规性检 查计划 ，并按照计划开展检查工作。 n 在计划中要明确 检查的方式、方法 ，抽调各单位安全力量，以自查或交叉 检查方式进行。 安全合规性检查范围与频次要求： 每年至少对各 IT系统组织完成一次全面检查； 各单位应结合自身情况开展不定期的自查 。 n 安全运营管理和基础 IT设施安全防护的合规性检查应依据本要求执行；单点 设备安全配置的合规性检查建议采用设备安全配置审核工具进行。 n 合规性检查的 方法 包括但不限于：抽样检查、全面检查、现场检测、日志 审核、人员访谈、工具自动检查等。 n 每次检查结束后检查小组要及时编制 安全合规性 检查报告 、 安全合 规性检查问题整改计划及实施方案 。 n 被检查单位要及时向本省信息安全归口管理部门上报整改进度与成果及 安全合规性检查问题 整改工作总结 。 36 基础信息安全管理通用要求 安全事件管理 1 n 安全事件分为特别重大、重大、较大和一般四个级别。系统（含内网系统） 安全事件 信息分级定义 参照 互联网网络安全信息通报实施办法 规定，及集团相关部门要求 。 n 安全事件组织 分为三级，一级管理组织是集团公司，负责跨省、跨专业事件的协调 处置。二级管理组织为各省公司，负责辖区内事件的协调处置。三级管理组织由省公 司各部门的安全小组组成，负责事件的具体处置。 n 各级组织应负责执行所主管 IT系统与网络的安全事件管理工作，并接受上一级组织 的统筹与指导。 n 国家重大活动保障时期 发生的安全事件的级别应在原有级别上 提升一级 ，特别重大 安全事件级别不再向上提升。 n 各级组织对于安全监控发现的安全事件，要及时对安全事件的影响范围和级别进行 判断并决定是否需要上报；对于省内跨专业的安全事件应及时上报二级事件管理组织 协调处理，对于跨省的安全事件应及时上报一级事件管理组织协调处理。 上报 模板参 见附录一。 n 各级组织收到安全事件投诉后应及时对投诉内容进行 核实 ，并协调做好投诉的 处理 。 特别重大安全事件发生时，二级管理组织应立即上报集团公司，经审批后，上报当地安全 分中心。特别重大安全事件确认至上报集团不得超过 1小时。 重大安全事件发生时，二级管理组织应及时上报集团公司。重大安全事件确认至上报到集 团公司不得超过 2小时。 较大或一般安全事件由二级管理组织汇总后于次月 5个工作日内报送当地通信管理局和 CNCERT/CC当地分中心，并在每月安全报表中向集团公司上报。 n 二级管理组织应记录安全事件的审计核查结果，进行汇总分析， 总结 存在的问题并 归 档 形成安全事件案例库，并上报集团公司。 37 基础信息安全管理通用要求 安全事件管理 2 n 安全事件发生后应立即启动 响应机制 。 n 按照 “谁下达任务，谁结束任务 ”的原则，重大活动保障任务下达单 位或部门应明确安全响应任务的结束时间。 n 在 网络入侵事件 的处理过程中，应保护被入侵设备现场，尽可能进 行离线封存问题设备，交二级管理组织处理，禁止擅自重装、删除 系统，为将来的取证或者分析入侵行为提供证据。 n 做好事件恢复后的安全检查工作，避免设备上线后再次出现同类问 题。 n 各级组织应定期完善 安全事件预案 ，对安全人员进行培训，每年至 少执行一次信息安全演练。 n 应定期检查、补充安全事件处理所用的硬件及软件工具，相关支撑 文档资料等，做到有备无患。 n 应完善安全事件响应的 技术支撑体系 ，提升事件处置能力。 n 对于安全事件处理中关键节点的访问与操作日志应建立 备份机制 ， 在线日志至少应保存三个月，离线日志至少应保存半年。 38 基础信息安全管理通用要求 人员与资产安全管理 n 各省应与合作第三方、关键岗位员工单独签订 保密协议 ，在协议中 明确其保密责任以及违约罚则。 n 各省应建立所辖系统中有 IP地址的 基础设备资产管理清单 ，并集中 建立与互联网接口的资产清单，必须详细记录信息资产的状态、 IP 地址、系统类型与版本、功能与用途、所处位置、相关责任人等。 n 各省应确保资产清单与在线系统状态、责任人员信息一致。 n 应 定期 通过 IP段扫描或者人工检查的方式 比对审计资产清单 与现网 资产信息，对于未经登记的无主设备一经发现立即处理，对于资产 信息发生变化的应予以更新。 n 各省每半年应对省内所有公网 IP设备的潜在安全高危端口（如远程 登录，网站服务，数据库服务，网管服务等）进行一次 扫描 ，每年 应对所有公网 IP完成一次全面 漏洞扫描 ，及时对自有业务和系统存 在的安全风险进行 整改 。 n 各省应建立完善 资产退服管理流程 。定期清查盘点，确保退服系统 及时下线并移出机房。对于退服设备的数据，要彻底清除。 39 基础信息安全管理通用要求 系统安全 n 单点设备安全要求： 单点设备包括 IT系统与网络中的终端、主机、中间件、数据库、网络设备等； 单点设备在规划建设、工程验收、运行维护各个环节中，必须严格遵守 中国移动 设备安全功能和配置规范 相关要求。规范清单参见附录二。 n 业务和应用安全要求： 业务和应用在 规划、建设、上线 阶段应满足以下安全要求： 在业务和应用规划阶段，应当根据应用系统面临的安全威胁以及业务、管理与维护上 的需要，遵循 “基础 IT设施安全防护要求 ”以及公司相关业务安全规范和标准， 提出 相 应的 安全要求 ； 在业务和应用在规划设计阶段，应组织需求单位、建设单位、运维管理单位及安全管 理部门对规划设计 方案 的安全性进行 会审 ，确保方案的合理性，避免在规划设计阶段 引入安全风险； 在系统后续的开发建设、测试交付以及运行期间需要 验证 安全要求 是否得到满足 ； 应对 第三方开源组件 在开发中的使用进行管控，不得采用已知存在安全漏洞的组 件版本。 Web应用软件安全 应遵循 WEB类应用系统安全防护技术要求 ，在身份验证 、会话管理、权限管理、敏感数据保护、输入输出校验、内容安全等方面必须具 备一定的安全功能，保证系统本身不易被攻击； 40 基础信息安全管理通用要求 系统安全 n 生产环境安全要求： 生产环境中的工具软件安装与使用要求 应对生产环境中工具软件进行统一管理， 不得安装与生产无关的软件 ； 严禁安装 能够穿透防火墙， 从互联网访问和控制内网设备的软件 ，如 Teamviewer等； 除部门领导授权外， 任何非安全专用设备严禁安装漏洞扫描、网络嗅探等安全工具 ； 及时修补 Serv-U、 VNC等常用 第三方工具软件 存在的安全漏洞。 移动存储介质使用安全要求 各单位应完善本单位内移动存储介质使用管理办法，并指定 专人负责 对存储介质的使 用进行指导、监督和检查； 各单位应 明确 允许使用移动存储介质的 人员、系统与网络范围 ，对于不允许使用的， 应 实施控制策略 、物理封闭或端口封禁等手段； 对准许接入系统与网络的存储介质进行严格控制， 在接入前必须进行病毒查杀 ； 未经 授权 ，严禁使用移动存储设备（如移动硬盘、 U盘等）处理涉密数据或文件； 涉密信息 的移动存储介质的管理应按照国家、公司相关保密制度执行。 应做到办公终端与维护生产终端的 专机专用 ，原则上要求实现两者的物理隔离， 严禁采用双网卡 （包括无线网卡）跨接不同网络。 开发测试系统的安全要求： 开发测试环境应与生产环境 隔离 ，不得在现网生产环境上进行开发与测试； 开发测试过程中不得使用真实生产数据，仅能使用经过 模糊化处理 的数据； 应对开发测试环境采取适当的 保护措施 ，防止被互联网区域渗透。 41 基础信息安全管理通用要求 安全域划分 n 安全域指具有相同或相近的安全需求、相互信任的网络区域或网络 实体的集合。 n 安全域的划分应依据 业务保障、结构简化、等级保护、生命周期 四 项原则执行。 n 网管、业务支撑、信息化 3大支撑系统 应分别依据 中国移动支撑 系统安全域划分与边界整合技术要求 、 中国移动业务支撑网安 全域划分和边界整合技术要求 、 中国移动管理信息系统安全域 划分技术要求 划分安全域； 数据业务系统 应依据 中国移动数据 业务系统集中化安全防护技术要求 划分安全域。 n 各单位可结合自身安全需求，通过安全域风险分析，制订更细粒度 的安全域划分方案，进一步定义相关安全子域。 42 基础信息安全管理通用要求 边界整合与域间互联 n 在保证业务系统的互联需求的前提下，应对安全域的边界进行合理 的整合，对系统接口进行整理和归并，实现重点防护。 n 安全域的边界整合包括