中国移动网络与信息安全概论d.doc

中国移动网络与信息安全总纲中国移动网络与信息安全总纲 中国移动通信集团公司中国移动通信集团公司 2006 年 7 月 本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可，任何单位 和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。 前言前言 中国移动 注的通信网络和支撑系统是国家基础信息设施， 必须加以妥善保护。随着网络和通信技术的快速发展，网络互联 与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国 家的网络与信息安全，为了保障客户利益，加强各方面的安全工 作刻不容缓！ 制订和颁布本标准的目的是为中国移动的网络与信息安全 管理工作建立科学的体系，力争通过科学规范的全过程管理，结 合成熟和领先的技术，确保安全控制措施落实到位，为各项业务 的安全运行提供保障。 本标准主要依据国际规范，参考业界的成熟经验，结合中国 移动的实际情况进行补充、修改、完善而来。本标准目前主要针 对互联网、支撑网等 IT 系统安全。 注：本标准所称“中国移动”是指中国移动通信集团公司及 由其直接或间接控股的公司。 中国移动通信集团公司，以下简称“集团公司”。 各移动通信有限责任公司，以下简称“各省公司”。 目目录录 前言前言.1 目目录录.1 总则总则.1 1网络与信息安全的基本概念.1 2网络与信息安全的重要性和普遍性.1 3中国移动网络与信息安全体系与安全策略.1 4安全需求的来源.1 5安全风险的评估.1 6安全措施的选择原则.1 7安全工作的起点.1 8关键性的成功因素.1 9安全标准综述.1 10适用范围.1 第一章第一章组织组织与人与人员员 .1 第一节组织机构.1 1领导机构.1 2工作组织.1 3安全职责的分配.1 4职责分散与隔离.1 5安全信息的获取和发布.1 6加强与外部组织之间的协作.1 7安全审计的独立性.1 第二节岗位职责与人员考察.1 1岗位职责中的安全内容.1 2人员考察.1 3保密协议.1 4劳动合同.1 5员工培训.1 第三节第三方访问与外包服务的安全.1 1第三方访问的安全.1 2外包服务的安全.1 第四节客户使用业务的安全.1 第二章第二章网网络络与信息与信息资产资产管理管理 .1 第一节网络与信息资产责任制度.1 1资产清单.1 2资产责任制度.1 第二节资产安全等级及相应的安全要求.1 1信息的安全等级、标注及处置.1 2网络信息系统安全等级.1 第三章第三章物理及物理及环环境安全境安全 .1 第一节安全区域.1 1安全边界.1 2出入控制.1 3物理保护.1 4安全区域工作规章制度.1 5送货、装卸区与设备的隔离.1 第二节设备安全.1 1设备安置及物理保护.1 2电源保护.1 3线缆安全.1 4工作区域外设备的安全.1 5设备处置与重用的安全.1 第三节存储媒介的安全.1 1可移动存储媒介的管理.1 2存储媒介的处置.1 3信息处置程序.1 4系统文档的安全.1 第四节通用控制措施.1 1屏幕与桌面的清理.1 2资产的移动控制.1 第四章第四章通信和运通信和运营营管理的安全管理的安全 .1 第一节操作流程与职责.1 1规范操作细则.1 2设备维护.1 3变更控制.1 4安全事件响应程序.1 5开发、测试与现网设备的分离.1 第二节系统的规划设计、建设和验收.1 1系统规划和设计.1 2审批制度.1 3系统建设和验收.1 4设备入网管理.1 第三节恶意软件的防护.1 第四节软件及补丁版本管理.1 第五节时钟和时间同步.1 第六节日常工作.1 1维护作业计划管理.1 2数据与软件备份.1 3操作日志.1 4日志审核.1 5故障管理.1 6测试制度.1 7日常安全工作.1 第七节网络安全控制.1 第八节信息与软件的交换.1 1信息与软件交换协议.1 2交接过程中的安全.1 3电子商务安全.1 4电子邮件的安全.1 5电子办公系统的安全.1 6信息发布的安全.1 7其他形式信息交换的安全.1 第五章第五章网网络络与信息系与信息系统统的的访问访问控制控制 .1 第一节访问控制策略.1 第二节用户访问管理.1 1用户注册.1 2超级权限的管理.1 3口令管理.1 4用户访问权限核查.1 第三节用户职责.1 1口令的使用.1 2无人值守的用户设备.1 第四节网络访问控制.1 1网络服务使用策略.1 2逻辑安全区域的划分与隔离.1 3访问路径控制.1 4外部连接用户的验证.1 5网元节点验证.1 6端口保护.1 7网络互联控制.1 8网络路由控制.1 9网络服务的安全.1 第五节操作系统的访问控制.1 1终端自动识别.1 2终端登录程序.1 3用户识别和验证.1 4口令管理系统.1 5限制系统工具的使用.1 6强制警报.1 7终端超时关闭.1 8连接时间限制.1 第六节应用访问控制.1 1信息访问限制.1 2隔离敏感应用.1 第七节系统访问与使用的监控.1 1事件记录.1 2监控系统使用情况.1 第八节移动与远程工作.1 1移动办公.1 2远程办公.1 第六章第六章系系统统开开发发与与软软件件维护维护的安全的安全 .1 第一节系统的安全需求.1 第二节应用系统的安全.1 1输入数据验证.1 2内部处理控制.1 3消息认证.1 4输出数据验证.1 第三节系统文件的安全.1 1操作系统软件的控制.1 2系统测试数据的保护.1 3系统源代码的访问控制.1 第四节开发和支持过程中的安全.1 1变更控制程序.1 2软件包的变更限制.1 3后门及特洛伊代码的防范.1 4软件开发外包的安全控制.1 第五节加密技术控制措施.1 1加密技术使用策略.1 2使用加密技术.1 3数字签名.1 4不可否认服务.1 5密钥管理.1 第七章第七章安全事件响安全事件响应应及及业务连续业务连续性管理性管理 .1 第一节安全事件及安全响应.1 1及时发现与报告.1 2分析、协调与处理.1 3总结与奖惩.1 第二节业务连续性管理.1 1建立业务连续性管理程序.1 2业务连续性和影响分析.1 3制定并实施业务连续性方案.1 4业务连续性方案框架.1 5维护业务连续性方案.1 第八章第八章安全安全审计审计 .1 第一节遵守法律法规要求.1 1识别适用的法律法规.1 2保护知识产权.1 3保护个人信息.1 4防止网络与信息处理设施的不当使用.1 5加密技术控制规定.1 6保护公司记录.1 7收集证据.1 第二节安全审计的内容.1 第三节安全审计管理.1 1独立审计原则.1 2控制安全审计过程.1 3保护审计记录和工具.1 参考文献参考文献.1 术语术语和和专专有名有名词词.1 附附录录 1：安全体系第二：安全体系第二层项层项目清目清单单（列表）（列表）.1 总则总则 1网网络络与信息安全的基本概念与信息安全的基本概念 网络与信息安全包括下列三个基本属性： 机密性（Confidentiality）：确保网络设施和信息资源只允 许被授权人员访问。根据信息的重要性和保密要求，可以 分为不同密级，并具有时效性。 完整性（Integrity）：确保网络设施和信息及其处理的准确 性和完整性。 可用性（Availability）：确保被授权用户能够在需要时获取 网络与信息资产。 需要特别指出的是，网络安全与信息安全（包括但不限于内 容安全）是一体的，不可分割的。 2网网络络与信息安全的重要性和普遍性与信息安全的重要性和普遍性 网络与信息都是资产，具有不可或缺的重要价值。无论对企 业、国家还是个人，保证其安全性是十分重要的。 网络与信息安全工作是企业运营与发展的基础和核心；是保 证网络品质的基础；是保障客户利益的基础。中国移动的网络与 信息安全也是国家安全的需要。 网络与信息安全工作无所不在，分散在每一个部门，每一个 岗位，甚至是每一个合作伙伴；同时，网络与信息安全是中国移 动所有员工共同分担的责任，与每一个员工每一天的日常工作息 息相关。中国移动所有员工必须统一思想，提高认识，高度重视， 从自己开始，坚持不懈地做好网络与信息安全工作。 3中国移中国移动动网网络络与信息安全体系与安全策略与信息安全体系与安全策略 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 N I SS、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 中国移动网络与信息安全体系如上图所示。 中国移动网络与信息安全体系是由两部分组成的。一部分是 一系列安全策略和技术管理规范（第一、二层），另一部分是实施 层面的工作流程（第三层）。 网络与信息安全体系（NISS）总纲（以下简称总纲）位于安全 体系的第一层，是整个安全体系的最高纲领。它主要阐述安全的 必要性、基本原则及宏观策略。总纲具有高度的概括性，涵盖了 技术和管理两个方面，对中国移动各方面的安全工作具有通用性。 安全体系的第二层是一系列的技术规范和管理规定，是对总 纲的分解和进一步阐述，侧重于共性问题、操作实施和管理考核， 提出具体的要求，对安全工作具有实际的指导作用。 安全体系的第三层是操作层面，它根据第一层和第二层的要 求，结合具体的网络和应用环境，制订具体实施的细则、流程等， 具备最直观的可操作性。 安全体系也包含了实施层面的工作流程，结合三层安全策略， 进行具体实施和检查考核，同时遵循动态管理和闭环管理的原则， 通过定期的评估不断修改完善。 安全策略是在公司内部，指导如何对网络与信息资产进行管 理、保护和分配的规则和指示。中国移动必须制订并实施统一的 网络与信息安全策略，明确安全管理的方向、目标和范围。安全 策略必须得到管理层的批准和支持。安全策略应被定期评审和修 订，以确保其持续适宜性，特别是在组织结构或技术基础改变、 出现新的漏洞和威胁、发生重大安全事件时。 中国移动的安全策略是由安全体系三个层面的多个子策略 组成的，具有分层结构的完整体系，包含了从宏观到微观，从原 则方向到具体措施等多方面的内容。安全策略用来指导全网的网 络与信息安全工作。 4安全需求的来源安全需求的来源 确立安全需求是建立完整的安全体系的首要工作。中国移动 的安全需求主要源自下述三个方面： 系统化的安全评估。结合经验教训和技术发展，通过安全 评估分析公司网络和信息资产所面临的威胁，存在的薄弱 点和安全事件发生的可能性，并估计可能对公司造成的各 种直接的和潜在的影响。 中国移动及其合作伙伴、承包商、服务提供商必需遵守的 法律法规、行政条例和合同约束，以及公司对客户的服务 承诺。 公司运营管理的目标与策略。 下图说明了安全需求、风险评估和安全措施三者的关系。 风险评估安全措施 安全需求 法律合同 服务承诺 运营管理 目标策略 5安全安全风险风险的的评评估估 安全风险评估可以应用于整个公司或某些部分，也可应用于 单个网络信息系统、特定系统组件或服务。 安全风险评估应着重于： 安全事件可能对中国移动造成的损失，以及所产生的直接 和潜在的影响。 综合考虑所有风险，以及目前已实施的控制措施，判断此 类安全事件发生的实际可能性。 从安全角度，对公司现有的管理制度和流程本身的合理性 与完备程度进行评估。 安全风险评估应本着可行、实际和有效的原则，通过标准统 一的评估程序和方法，量化安全风险，确定安全风险的危险级别， 从而采取合理措施防范或降低安全风险。 需要特别指出的是：为适应业务发展的变化，应对新出现的 威胁和漏洞，评估现有控制措施的有效性及合理性，必须周期性 地进行安全风险评估并调整控制措施，且应在不同的层面进行， 为高风险领域优先分配资金、人力等资源。 6安全措施的安全措施的选择选择原原则则 有效性。安全措施的实施必须能够确保风险被降低到可以 接受的水平，达到期望的安全目标。 可行性。安全措施必须在技术上是可操作的，可以实现的。 某些安全措施不具备通用性，需要因地制宜的考虑具体实 施环境。 实际性。应从管理、财务等非技术因素详细分析待实施的 安全措施，综合比较实施成本与由此减少的潜在损失，非 经济因素也应考虑在内。 公司应在遵循以上原则的基础上，根据网络与信息资产面临 风险的大小，区分轻重缓急，实施相应的安全控制措施。 7安全工作的起点安全工作的起点 根据一般性规律和业界的实际经验，网络与信息安全工作的 开展可以从以下几个方面着手： 法律方面：数据保护以及个人隐私保护、公司记录保护和 知识产权保护等。 业界惯例：安全策略制订、安全职责划分、安全教育与培 训、安全事件响应和业务连续性管理等。 需要指出的是，上述内容不能取代根据安全风险评估选择控 制措施的基本原则。任何控制措施的选取都应当依据实际面临的 具体风险来确定。 8关关键键性的成功因素性的成功因素 为了确保网络与信息安全工作的顺利实施，下列因素至关重 要： 公司管理层的高度重视、明确支持和承诺； 安全工作组织与人员的落实； 安全策略、目标和措施应与公司经营目标一致； 安全工作的具体实施必须同公司的企业文化相兼容； 深刻理解安全需求、风险评估及风险管理； 在全体员工中建立网络与信息安全无处不在的安全理念； 建立全面、均衡、可行的评估、考核体系，以衡量网络与信 息安全管理工作的水平； 向所有员工和第三方（ 包括承包商、合作伙伴、客户等） 分发网络与信息安全指南，并提供相应的培训和教育。 9安全安全标标准准综综述述 本标准依据国际规范，参考业界的成熟经验，结合中国移动 的实际情况，制定并描述了网络与信息安全管理必须遵守的基本 原则和要求，将安全工作要点归结到以下八个方面： 组织组织与人与人员员 集团公司和各省公司必须建立公司级别的网络与信息安全 常设领导机构，全面负责公司的网络与信息安全工作。安全领导 机构必须明确划分安全职责并建立内部协调机制。公司必须设立 专职安全队伍，建立安全事件响应流程和联络人制度。公司应与 外部安全专家和其他相关组织加强沟通与协作。 中国移动的所有岗位职责中必须包含安全内容，并尽量实现 职责分隔。公司应实施人员考察制度。公司的所有员工及使用中 国移动网络与信息资产的其他组织人员都应当签署保密协议。中 国移动的所有员工都应当接受网络与信息安全培训。 第三方访问和外包服务必须受到控制，应事先进行风险评估， 分析安全影响并制订相应措施。同第三方和外包服务机构签订的 合同中应包含双方认可的安全条款。 公司应与客户签署相关协议，明确双方在网络与信息安全方 面的权利与义务及违约责任，保障客户与公司双方的利益。 网网络络与信息与信息资产资产管理管理 公司必须建立详细准确的网络与信息资产清单和严格的资 产责任制度。每一项资产都应当指定“责任人”，分配其相应的安 全管理职权，并由其承担相应的安全责任。“责任人”可以将具体 的工作职责委派给“维护人”，但“责任人”仍必须承担资产安全的 最终责任。 根据网络与信息资产的敏感度和重要性，必须对其进行分类 和标注，并采取相应的管理措施。 物理与物理与环环境安全境安全 公司的关键或敏感的网络与信息处理设施应被放置在安全 区域内，由指定的安全边界予以保护。根据不同的安全需求等级， 公司应划分不同的安全区域，例如：机房、办公区和第三方接入 区。针对不同的安全区域，公司应采取不同等级的安全防护和访 问控制措施，阻止非法访问、破坏和干扰。工程施工期间也应遵 守相关规定，加强安全区域的保护。 公司必须制定清理办公环境及合理使用计算机设备的规定。 网络与信息处理设施的处置与转移应遵守相应的安全要求。 通信与运通信与运营营管理安全管理安全 公司应建立网络与信息处理设施的管理和操作的职责及流 程，并尽可能地实现职责分离。开发、调测和运营环境应保持相 对隔离。 公司应做好系统容量的监视和规划。配套安全系统应与业务 系统“同步规划、同步建设、同步运行”。新建或扩容系统的审批 应包含安全内容，并在交付使用前做好测试和验收工作。涉及安 全方面的审批工作应由安全机构人员负责。 公司应加强防范意识，采取有效措施，预防和控制恶意软件。 公司应采取相应技术手段，确保时钟和时间同步。 公司应建立严格的软件管理制度，及时加载安全补丁，定期 进行系统安全漏洞评估，并执行系统加固解决方案。 公司应当制定备份制度，执行备份策略，并定期演练数据恢 复过程。记录操作和故障日志。 公司必须采取多种控制措施，保护网络设备及其上信息的安 全，尤其是网络边界和与公共网络交换的信息。可采取的控制措 施如：访问控制技术、加密技术、网管技术、安全设备、安全协议 等。 公司应制定信息存储介质的管理制度和处置流程。应特别加 强对可移动存储介质和系统文档的管理。 公司在与其他组织交换信息和软件时，应遵从相应的法律或 合同规定，采取必要的控制措施。公司应制定相应的程序和标准， 以保护传送过程中的信息和媒介安全，尤其要考虑电子商务、电 子邮件等应用的安全控制需求。公司还应制定信息发布管理规定。 访问访问控制控制 公司应基于业务和安全需求，制定访问控制策略，并明确用 户职责，加强用户访问控制管理。公司应加强对移动办公和远程 办公的管理。 公司应加强对网络系统、操作系统、应用系统的访问控制， 如在公司网络边界设置合适的接口，采取有效的用户和设备验证 机制，控制用户访问，隔离敏感信息。同时应监控对系统的访问 和使用，记录并审查事件日志。 开开发发与与维护维护 新系统的开发，包括网络基础设施、支撑系统，必须遵循系 统安全生命周期管理流程。在开发新系统之前，应确认安全需求。 在设计中应采用合适的控制措施、审计跟踪记录和活动日志，包 括输入数据、内部处理和输出数据的验证。应用系统不应在程序 或进程中固化账户和口令，系统应具备对口令猜测的防范机制和 监控手段。 公司应通过风险评估来确定加密策略，基于统一的标准和程 序建立加密管理规范。 在系统开发及维护过程中，应严格执行系统开发流程管理， 包括对开发、测试和生产环境的变更控制，以保证系统软硬件和 数据的安全。 安全事件响安全事件响应应与与业务连续业务连续性性 公司必须贯彻“积极预防、及时发现、快速反应与确保恢复” 的方针，建立安全事件响应流程和奖惩机制。如有必要，应尽快 收集相关证据。 公司应实施业务连续性管理，通过分析安全事件对业务系统 的影响，制定并实施应急方案，并定期更新、维护和测试。 安全安全审计审计 网络与信息系统的设计、操作、使用和管理必须遵从国家法 律、信息产业部相关管理条例以及合同规定的安全要求。 安全审计应遵循独立原则，定期检查网络与信息系统安全， 检验安全政策和技术规范的执行情况。应采取有效的控制措施保 护网络与信息系统及审计工具，使安全审计的效果最大化，影响 最小化。 10适用范适用范围围 本标准适用于中国移动的所有网络与信息系统（包括但不限 于业务网络、支撑网络），及组织和人员。 本标准的解释权和修改权归中国移动通信集团公司。 第一章第一章组织组织与人与人员员 第一第一节节组织组织机构机构 安全工作“三分靠技术，七分靠管理”，建立有效的组织机构 是安全管理的基础。不健全的安全管理机制是网络与信息安全最 大的薄弱点。 1 领导领导机构机构 集团公司和各省公司必须建立公司级别的网络与信息安全 常设