中国移动内容网络安全风险防范自查细则.doc

.1.3 . 精选范本 b 中国移动内容网络安全风险防范自查细则 2016-10-23 发布2016-11-15 实施 中国移动通信集团公司中国移动通信集团公司 发布发布 版 本 号 ：1 1. .0 0. .0 0 .1.2 . 精选范本 目 录 1 网络安全风险.3 1.1 网络结构风险.3 1.1.1 架构设计风险.3 1.1.2 网络结构冗余.3 1.2 攻击防护风险.4 1.2.1 防护设备缺失.4 1.2.2 DDOS 攻击风险.6 2 设备安全风险.7 2.1 主机安全风险.7 2.1.1 主机访问风险.7 2.1.2 访问控制风险.8 2.1.3 安全连接机制不完善.8 2.1.4 主机服务/平台软件 .9 2.1.5 主机入侵.13 2.1.6 资源超限.13 2.1.7 系统故障.13 2.2 冗余与备份.14 2.2.1 备份机制.14 2.2.2 边缘节点冗余与切换.14 2.3 关联设备安全.15 2.3.1 DNS 设备.15 3 业务安全风险.15 3.1 内容安全.15 3.1.1 CP 鉴权.15 3.1.2 版权管理.16 3.1.3 访问控制策略.16 3.1.4 不良信息发现.17 3.1.5 不良信息全局清除.17 3.2 能力开放接口风险.18 3.2.1 源站接口风险（OMS）.18 3.2.2 业务内部互操作风险.18 3.3 数据安全风险.19 3.3.1 客户信息安全.19 3.3.2 数据信息安全.20 3.3.3 缓存数据安全.21 3.4 通用业务逻辑安全风险 .22 3.4.1 用户注册.22 3.4.2 用户认证.23 .1.1 . 精选范本 3.4.3 授权不当（管理员）.24 3.4.4 越权访问.24 3.4.5 业务流程风险.24 3.5 业务逻辑安全-调度控制子系统（TCS） .25 3.5.1 调度策略有效性.25 3.6 业务逻辑安全-溯源中心子系统（GCS）.26 3.6.1 回源请求地址白名单.26 3.6.2 溯源 URL 白名单 .26 3.6.3 溯源中心代理访问.27 3.6.4 非授权访问溯源中心.27 3.7 业务流程安全-内容中心子系统（CCS）.28 3.7.1 业务防盗链机制.28 3.7.2 文件完整性校验.28 3.7.3 文件恶意缓存.29 3.7.4 代理管控限制.29 3.7.5 HTTPS 能力支持.30 3.7.6 内容删除能力.30 3.8 业务流程安全-边缘节点（SNS）.31 3.8.1 超范围访问.31 3.8.2 二次认证失效（普通用户）.31 3.8.3 黑白名单配置.32 3.8.4 Web 风险.32 3.8.5 HTTPS 不支持.33 3.9 传播安全.33 3.10 营销安全.34 4 运维管理.34 4.1 管理安全风险.34 4.1.1 人员风险.34 4.1.2 安全技能风险.35 4.1.3 运行维护风险.36 4.2 运维安全风险.36 4.2.1 访问控制风险（运维人员）.36 4.2.2 突发风险（应急）.37 4.2.3 备份系统安全性.37 4.3 安全审计.38 4.3.1 日志存储.38 4.3.2 违规操作审计.38 编制历史.38 .1.5 . 精选范本 1 网络安全风险 1.1 网络结构风险 1.1.1 架构设计风险 序号 1-1 风险编号 WL-WLJG-1 风险场景结构安全架构设计安全 风险描述 网络应当划分合理的安全区域。 1. 架构设计未对功能区进行合理划分； 2. 功能区之间未能有效隔离，不同子网或网段之间的访问未有 效限制； 风险等级中 评估方法 1. 核实网络拓扑情况，并查看交换机路由器配置信息，核实拓 扑图与实际网络是否相符 2. 核实相关设备部署情况；查看网络拓扑图，核实网络拓扑及 相关设备部署符合有关标准对组网安全要求 3. 核实是否按照业务需求和安全需求，对其他域到接入域、接 入域到核心域，核心域内部对安全域边界进行整合 4. 核实是否按照业务安全需求，进行安全域划分，即划分为核 心域、接入域；接入域是否按照要求划分为：互联网接口子 域、外部接口子域、内部接口子域、终端接入子域；其他域 是与接入域有接口关系的其他 IT 系统，包括 CMNET、非中国 移动计算机系统和中国移动其他 IT 系统 5. 核实是否按照授权最小化原则和安全策略最大化原则，实施 安全域隔离；查看网络设备(交换机、防火墙等)配置信息， 结合渗透性测试，验证安全域隔离是否有效 1. 拓扑图与实际网络是否一致 是 否 其它： 2. 网络拓扑及相关设备部署是否符合有 关标准对组网安全的要求 是 否 其它： 3. 是否进行了安全域边界整合 是 否 其它： 4. 是否进行了安全域划分 是 否 其它： 评估结果 5. 安全域隔离是否有效 是 否 其它： 加固建议 1.1.2 网络结构冗余 序号 1-2 风险编号 WL-WLJG-2 风险场景网络安全网络结构冗余 风险描述冗余设计不足，导致系统不能承载运营风险。主要考虑风险包括 .1.4 . 精选范本 以下系统/设备故障： 1. 运营管理系统； 2. 请求路由系统； 3. 监控系统； 4. 其他重要系统。 风险等级中 评估方法 1. 核实网络节点、网络链路冗余情况，是否可满足目前业务高 峰流量情况 2. 核实采用何种手段对主要网络设备进行运行状态监控；查看 设备状态监控措施是否满足安全要求 1. 网络节点、链路是否有效冗余 是 否 其它： 评估结果 2. 是否对主要网络设备进行状态监控 是 否 其它： 加固建议 1.2 攻击防护风险 1.2.1 防护设备缺失 序号 1-3 风险编号 WL-GJFH-1 风险场景网络安全防护设备 风险描述 按规范要求的网络防护设备缺失或设备未生效，包括： 1. 防火墙； 2. 入侵检测； 3. 防病毒； 4. 防拒绝服务（DDOS 攻击防护设备） ； 5. 网页防篡改。 说明：安全设备的具体部署应按规范，对不同的设备进行 要求。例如针对 OMC 等管理设备和 DNS、GSLB 等关键设备部署， 针对服务用户的缓存设备，由于非关键设备，且流量较大，建 议作为可选部署。 风险等级高 评估方法 1. 检查网络单元中网络安全设备(防火墙、入侵检测、防病毒、 防拒绝服务、网页防篡改等)基线配置 2. 漏洞扫描 3. 渗透性测试 1、设备应具备向管理员告警的功能， 配置告警功能，报告对防火墙本身的攻 击或者防火墙的系统严重错误 是 否 其它： 2、告警信息应被保留，直到被确认为 止 是 否 其它： 评估结果 告警 配置 安全 3、设备应配置告警功能，报告网络流 量中对 TCP/IP 协议网络层网络层异常报文攻 是 否 其它： .1.5 . 精选范本 击的相关告警。对每一个告警项是否告 警可由用户配置 4、设备应配置告警功能，报告网络流 量中对 TCP/IP 应用层应用层协议异常进行攻 击的相关告警，对每一个告警项是否告 警可由用户配置 是 否 其它： 5、可打开扫描攻击检测功能。对扫描 探测告警。扫描攻击告警的参数可由维 护人员根据网络环境进行调整。维护人 员可通过设置白名单方式屏蔽部分网络 扫描告警 是 否 其它： 6、防火墙应具备关键字内容过滤功能， 可打开该功能，在 HTTP，SMTP，POP3 等协议中对用户设定的关键字进行过滤 是 否 其它： 7、如防火墙具备网络病毒防护功能。 可打开病毒防护，对蠕虫等病毒传播时 的攻击流量进行过滤。如不具备相关模 块，需要在安全策略配置中首先关注对 常见病毒流量的端口的封堵 是 否 其它： 8、所有防火墙在配置访问规则时，最 后一条必须是拒绝一切流量 是 否 其它： 9、在配置访问规则时，源地址和目的 地址的范围必须以实际访问需求为前提， 尽可能的缩小范围 是 否 其它： 10、对于访问规则的排列，应当遵从范 围由小到大的排列规则。应根据实际网 络流量，保证重要连接和数据吞吐量大 的连接对应的防火墙规则优先得到匹配 是 否 其它： 11、在进行重大配置修改前，必须对当 前配置进行备份 是 否 其它： 12、对于 VPN 用户，必须按照其访问权 限不同而进行分组，并在访问控制规则 中对该组的访问权限进行严格限制 是 否 其它： 13、访问规则必须按照一定的规则进行 分组 是 否 其它： 14、配置 NAT，对公网隐藏局域网主机 的实际地址 是 否 其它： 15、隐藏防火墙字符管理界面的 banner 信息 是 否 其它： 16、应用代理服务器，将从内网到外网 的访问流量通过代理服务器。防火墙只 开启代理服务器到外部网络的访问规则， 避免在防火墙上配置从内网的主机直接 到外网的访问规则 是 否 其它： 安全 策略 配置 17、防火墙的系统和软件版本必须处于是 否 .1.4 . 精选范本 厂家维护期，并且维护人员必须定期对 防火墙版本进行升级或者打补丁操作。 如防火墙系统厂家已不再维护，需要及 时更新版本或者撤换 其它： 18、对于常见系统漏洞对应端口，应当 进行端口的关闭配置 是 否 其它： 19、限制 ICMP 包的大小，以及一段时 间内同一 IP 地址主机发送 ICMP ECHO Request 报文的次数 是 否 其它： 20、对于防火墙各逻辑接口需要开启防 源地址欺骗功能 是 否 其它： 21、对于有固定模式串的攻击，在应急 时可开启基于正则表达式的模式匹配的 功能 是 否 其它： 攻击 防范 安全 22、回环地址（lookback address）一 般用于本机的 IPC 通讯，防火墙必须阻 断含有回环地址(lookback address)的 流量 是 否 其它： 虚拟 防火 墙安 全 23、可划分成多个虚拟防火墙系统，每 个虚拟系统都是一个唯一的安全域，拥 有其自己的管理员进行管理，管理员可 以通过设置自己的地址薄、用户列表、 自定义服务、VPN 和策略以使安全域个 性化。只有根级管理员才可设置防火墙 安全选项、创建虚拟系统管理员以及定 义接口和子接口 是 否 其它： 加固建议 1.2.2 DDOS 攻击风险 序号 1-4 风险编号 WL-GJFH-2 风险场景主机安全主机被拒绝服务攻击 风险描述系统不具备拒绝服务攻击的抵抗能力，容易被实施流量攻击 风险等级中 评估方法 1. 检查网络单元中防拒绝服务基线配置 2. 漏洞扫描 1. 渗透性测试 评估结果 1. 打开 DOS 和 DDOS 攻击防护功能。对攻 击告警。DDOS 的攻击告警的参数可由 维护人员根据网络环境进行调整。维 护人员可通过设置白名单方式屏蔽部 分告警 是 否 其它： 加固建议 2 设备安全风险 .1.5 . 精选范本 2.1 主机安全风险 2.1.1 主机访问风险 序号 2-1 风险编号 SB-ZJ-1 风险场景主机安全主机访问风险 风险描述 系统主机存在现场或远程访问的需求，可能存在非授权访问 等风险。 1. 认证方式的风险（远程认证、现场认证） ； 2. 认证强度不足； 3. 暴力破解； 4. 失效账号残留； 5. 超时退出机制不完善； 6. 特权账号； 7. OS 存在未修复漏洞。 风险等级高 评估方法 1. 核查主机操作系统基线配置 2. 漏洞扫描 3. 渗透性测试 1、对于采用静态口令认证技术的设备， 口令长度至少 6 位，并包括数字、小写字 母、大写字母和特殊符号 4 类中至少 2 类。 是 否 其它： 2、对于采用静态口令认证技术的设备， 账户口令的生存期不长于 90 天 是 否 其它： 3、对于采用静态口令认证技术的设备， 应配置设备，使用户不能重复使用最近 5 次（含 5 次）内已使用的口令 是 否 其它： 4、对于采用静态口令认证技术的设备， 应配置当用户连续认证失败次数超过 6 次 （不含 6 次） ，锁定该用户使用的账号 是 否 其它： 5、应删除或锁定与设备运行、维护等工 作无关的账号 是 否 其它： 6、在设备权限配置能力内，根据用户的 业务需要，配置其所需的最小权限 是 否 其它： 7、控制用户缺省访问权限，当在创建新 文件或目录时 应屏蔽掉新文件或目录不 应有的访问允许权限。防止同属于该组的 其它用户及别的组的用户修改该用户的文 件或更高限制 是 否 其它： 8、失效账号及时删除是 否 其它： 评估结果 9、OS 漏洞及时修复是 否 其它： .1.4 . 精选范本 加固建议 2.1.2 访问控制风险 序号 2-2 风险编号 SB-ZJ-2 风险场景网络安全访问控制 风险描述 按规范要求：仅支持与白名单内网元的对接和消息互通，仅 对于白名单内部的 IP 地址发送的消息予以接收和响应。 1. 不具备白名单机制； 2. 白名单机制未实际生效，造成存在攻击路径。 风险等级高 评估方法 1. 检查网络单元中访问控制权限配置 2. 漏洞扫描 3. 渗透性测试 1. 访问权限控制是否具备白名单机制 是 否 其它： 评估结果 2. 白名单机制是否实际生效 是 否 其它： 加固建议 2.1.3 安全连接机制不完善 序号 2-3 风险编号 SB-ZJ-3 风险场景网络安全安全连接 风险描述 按规范要求未接入相应的访问控制、审计系统。 1. 账号口令集中管理； 2. 第三方日志审计； 3. 远程接入管理。 风险等级高 评估方法 1. 检查网络单元中访问控制、审计系统配置 2. 漏洞扫描 3. 渗透性测试 1. 应按照用户分配账号。避免不同用户 间共享账号。避免用户账号和设备间 通信使用的账号共享 是 否 其它： 2. 应删除或锁定与设备运行、维护等工 作无关的账号 是 否 其它： 3. 限制具备超级管理员权限的用户远程 登录。远程执行管理员权限操作，应 先以普通权限用户远程登录后，再切 换到超级管理员权限账号后执行相应 操作 是 否 其它： 评估结果 4. 对系统账号进行登录限制，确保系统是 否 .1.5 . 精选范本 账号仅被守护进程和服务使用，不应 直接由该账号登录系统。如果系统没 有应用这些守护进程或服务，应删除 这些账号 其它： 5. 根据系统要求及用户的业务需求，建 立多账户组，将用户账号分配到相应 的账户组 是 否 其它： 6. 设备应配置日志功能，对用户登录进 行记录，记录内容包括用户登录使用 的账号，登录是否成功，登录时间， 以及远程登录时，用户使用的 IP 地址 是 否 其它： 7. 设备配置远程日志功能，将需要重点 关注的日志内容传输到日志服务器 是 否 其它： 8. 应该从应用层面进行必要的安全访问 控制，比如 FTP 服务器应该限制 ftp 可以使用的目录范围 是 否 其它： 9. 关闭系统串行口（serial port） ，避 免未授权用户通过调制解调器、终端 或其他远程访问设备连接到这些物理 端口，从而获得系统控制权。系统 console 的 gettyprocess 使用 /dev/console 相当于一个/dev/tty 是 否 其它： 加固建议 2.1.4 主机服务/平台软件 序号 2-4 风险编号 SB-ZJ-4 风险场景主机安全主机服务风险 风险描述 系统主机存在 OS 或其他服务漏洞，形成非授权登录等风险。 1、DB、Web 容器、FTP 等服务存在漏洞（低版本等） 2、DB、Web 容器、FTP 等服务用户认证机制不完善。 风险等级高 评估方法 1. 检查网络单元中主机服务权限配置 2. 漏洞扫描 3. 渗透性测试 1. DB、Web 容器、FTP 等服务应进行账号 登录限制，确保账号仅被守护进程和 服务使用，不应直接由该账号登录系 统。如果系统没有应用这些守护进程 或服务，应删除这些账号 是 否 其它： 评估结果 2. DB、Web 容器、FTP 等服务是否由维护 人员定期对其版本进行升级或者打补 丁操作 是 否 其它： 加固建议 .1.4 . 精选范本 序号 2-5 风险编号 SB-ZJ-5 风险场景平台软件安全数据库 风险描述平台软件存在 OS 或其他服务漏洞，形成非授权登录等风险。 风险等级高 评估方法 1. 核查数据库基线配置 2. 漏洞扫描 3. 渗透性测试 1、应按照用户分配账号，避免不同用 户间共享账号 是 否 其它： 2、应删除与数据库运行、维护等工作 无关的账号 是 否 其它： 3、在数据库权限配置能力内，根据用 户的业务需要，配置其所需的最小权限 是 否 其它： 账号 安全 4、使用数据库角色来管理对象的权限 是 否 其它： 口令 安全 5、对用户的属性进行安全检查，包括 空密码、密码更新时间等。修改目前所 有账号的口令，确认为强口令。特别是 sa 账号，需要设置至少 10 位的强口令 是 否 其它： 6、数据库应配置日志功能，对用户登 录进行记录，记录内容包括用户登录使 用的账号、登录是否成功、登录时间 是 否 其它