移动业务安全通用评估规范.doc

_中国移动业务安全通用评估规范2012年3月目 录第1章概述3第2章评估依据3第3章框架及模型33.1概述33.2安全评估模型43.3模型简介53.3.1网络结构安全53.3.2设备安全53.3.3平台及软件安全53.3.4业务流程安全53.3.5终端安全73.3.6安全管控73.3.7应用指导原则8第4章实施方案84.1网络结构安全84.2设备安全104.3平台及软件安全264.4业务流程安全314.4.1内容安全314.4.2计费安全344.4.3能力开放接口安全364.4.4客户信息安全374.4.5业务逻辑安全414.4.6传播安全444.4.7营销安全454.5终端安全484.6安全管控514.6.1系统安全514.6.2人员安全534.6.3第三方安全管理54精品资料第1章 概述为了加强中国移动业务安全管理，保证业务发展与信息安全措施同步规划、同步建设、同步运行，提升业务安全整体水平，降低业务安全风险，特制定本安全评估规范。本评估规范针对各业务类型的信息安全水平进行客观、综合评价，促进业务安全管理工作的开展，为业务发展提供良好支撑。本规范解释权归总部信息安全管理与运行中心。第2章 评估依据1. 中国移动业务安全评估标准2. 中国移动账号口令管理办法3. 中国移动设备通用安全功能和配置规范4. 中国移动第三方管理办法5. 中国移动帐号口令集中管理系统功能及技术规范6. 中国移动业务支撑网4A安全技术规范7. 中国移动客户信息安全保护管理规定8. 中国移动安全域管理办法第3章 框架及模型3.1 概述中国移动业务安全评估依据科学的安全风险评估方法，从业务所涉及的各类软硬件资产（网络、设备、通用平台及软件、业务实现程序、终端）出发，依据不同类型资产耦合度，划分为五个层次。根据不同层次常见以及高危安全风险，分别对不同风险进行安全评估。本安全评估规范重点对与业务流程相关的内容、计费、协议接口、客户信息、业务逻辑、传播、营销等方面进行安全风险评估，旨在尝试深层次探索中国移动业务安全问题，相关评估结果亦可指导相关业务的建设和运维。3.2 安全评估模型3.3 模型简介3.3.1 网络结构安全网络结构安全从网络拓扑、安全域方面进行安全评估，重点评估中国移动业务所涉及的物理链路、数据路径、流量控制、安全域划分及隔离防护策略等信息安全管控措施的落实及实施效果。3.3.2 设备安全设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。重点评估中国移动业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.3 平台及软件安全平台及软件安全从数据库、中间件、4A三个方面进行安全评估。重点评估中国移动业务所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.4 业务流程安全 内容安全内容安全从内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护四个方面进行安全评估。重点评估中国移动业务在内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。 计费安全计费安全从计费流程方面进行安全评估。重点评估中国移动业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。 能力开放接口安全能力开放接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。重点评估中国移动业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。 客户信息安全客户信息安全从客户基本信息、客户数据信息两个方面进行安全评估。重点评估中国移动业务在客户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。 业务逻辑安全业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。重点评估中国移动业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。 传播安全传播安全从业务传播方式方面进行安全评估。重点评估中国移动业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。 营销安全营销安全从营销渠道、营销防盗链两个方面进行安全评估。重点评估中国移动业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。3.3.5 终端安全终端安全从PC客户端和移动终端两个方面进行安全评估。重点评估中国移动业务相关的应用软件在身份认证、数据传输、异常功能处理等方面的信息安全管控措施的落实及实施效果。3.3.6 安全管控 系统安全系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。重点评估中国移动业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果 人员安全人员安全从人员管理方面进行安全评估。重点评估中国移动业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。 第三方管理安全第三方安全管理从人员安全、物理安全两个方面进行安全评估。重点评估中国移动业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。3.3.7 应用指导原则本评估规范旨在建立完整、体系化的中国移动业务安全风险评估框架，不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化以突出不同的重点。第4章 实施方案4.1 网络结构安全评估编号TY-WLJG-WLTP评估场景网络结构安全网络拓扑安全评估要点1. 网络拓扑图与实际网络符合情况2. 网络拓扑及相关设备部署3. 节点、网络链路冗余情况4. 网络设备运行状态监控手段评估方法1. 核实网络拓扑情况，并查看交换机路由器配置信息，核实拓扑图与实际网络是否相符2. 核实相关设备部署情况；查看网络拓扑图，核实网络拓扑及相关设备部署符合有关标准对组网安全要求3. 核实网络节点、网络链路冗余情况，是否可满足目前业务高峰流量情况4. 核实采用何种手段对主要网络设备进行运行状态监控；查看设备状态监控措施是否满足安全要求评估结果1. 拓扑图与实际网络是否一致是 否 其它： 2. 网络拓扑及相关设备部署是否符合有关标准对组网安全的要求是 否 其它： 3. 网络节点、链路是否有效冗余是 否 其它： 4. 是否对主要网络设备进行状态监控是 否 其它： 当前风险加固建议评估编号TY-WLJG-AQYH评估场景网络结构安全安全域划分评估要点1. 安全域边界整合2. 安全域划分3. 安全域隔离及其有效性评估方法1. 核实是否按照业务需求和安全需求，对其他域到接入域、接入域到核心域，核心域内部对安全域边界进行整合2. 核实是否按照业务安全需求，进行安全域划分，即划分为核心域、接入域；接入域是否按照要求划分为：互联网接口子域、外部接口子域、内部接口子域、终端接入子域；其他域是与接入域有接口关系的其他IT系统，包括CMNET、非中国移动计算机系统和中国移动其他IT系统3. 核实是否按照授权最小化原则和安全策略最大化原则，实施安全域隔离；查看网络设备(交换机、防火墙等)配置信息，结合渗透性测试，验证安全域隔离是否有效评估结果1. 是否进行了安全域边界整合是 否 其它： 2. 是否进行了安全域划分是 否 其它： 3. 安全域隔离是否有效是 否 其它： 当前风险评估建议4.2 设备安全评估编号TYSBAQ-WLSB 评估场景设备安全网络设备评估要点基础网络设备基线配置安全评估，参考中国移动设备通用安全功能和配置规范，进行以下评估：1. 账号管理及认证授权 账户安全 口令安全 授权安全2. 日志安全3. IP协议安全4. 其他安全要求评估方法1. 检查网络单元中基础网络设备(交换机、路由器、负载均衡等)基线配置2. 漏洞扫描3. 渗透性测试评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享是 否 其它： 应删除或锁定与设备运行、维护等工作无关的账号是 否 其它： 限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作是 否 其它： 口令安全对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类是 否 其它： 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天是 否 其它： 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令是 否 其它： 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号是 否 其它： 授权安全要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限是 否 其它： 日志安全需求设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址是 否 其它： 设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果是 否 其它： 设备应配置日志功能，记录对与设备相关的安全事件是 否 其它： 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器是 否 其它： 设备应配置权限，控制对日志文件读取、修改和删除权限操作是 否 其它： IP协议安全对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量是 否 其它： 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议是 否 其它： 设备其他安全需求对于具备字符交互界面的设备，应配置定时账户自动登出是 否 其它： 对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定是 否 其它： 对于具备consol口的设备，应配置consol口密码保护功能是 否 其它： 当前风险评估建议评估编号TYSBAQ-AQSB评估场景设备安全安全设备评估要点安全设备基线配置安全评估，以华为防火墙为例，参考中国移动华为防火墙安全配置规范，进行以下评估：1. 账号管理及认证授权 账户安全 口令安全 授权安全2. 日志安全3. 告警配置安全4. 安全策略配置5. 攻击防护安全6. 虚拟防火墙安全7. IP协议安全8. 其他安全要求评估方法1. 检查网络单元中网络安全设备(防火墙、入侵检测等)基线配置2. 漏洞扫描3. 渗透性测试评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享是 否 其它： 应删除或锁定与设备运行、维护等工作无关的账号是 否 其它： 口令安全对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类是 否 其它： 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天是 否 其它： 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号是 否 其它： 授权安全要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限是 否 其它： 日志安全需求设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址是 否 其它： 设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果是 否 其它： 设备应配置日志功能，记录对与设备相关的安全事件是 否 其它： 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器是 否 其它： 设备应配置权限，控制对日志文件读取、修改和删除权限操作是 否 其它： 记录防火墙与防火墙相关的安全事件是 否 其它： 设备应配置NAT日志记录功能，记录转换前后IP地址的对应关系。防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息是 否 其它： 设备应配置流量日志记录功能是 否 其它： 在防火墙设备的日志容量达到75%时，防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服务器是 否 其它： 防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息是 否 其它： 告警配置安全设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误是 否 其它： 告警信息应被保留，直到被确认为止是 否 其它： 设备应配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置是 否 其它： 设备应配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警，对每一个告警项是否告警可由用户配置是 否 其它： 应打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警是 否 其它： 可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警是 否 其它： 防火墙应具备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤是 否 其它： 如防火墙具备网络病毒防护功能。可打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵是 否 其它： 安全策略配置所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量是 否 其它： 在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围是 否 其它： 对于访问规则的排列，应当遵从范围由小到大的排列规则。应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配是 否 其它： 在进行重大配置修改前，必须对当前配置进行备份是 否 其它： 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制是 否 其它： 访问规则必须按照一定的规则进行分组是 否 其它： 配置NAT，对公网隐藏局域网主机的实际地址是 否 其它： 隐藏防火墙字符管理界面的banner信息是 否 其它： 应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则是 否 其它： 防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换是 否 其它： 攻击防范安全对于常见系统漏洞对应端口，应当进行端口的关闭配置是 否 其它： 限制ICMP包的大小，以及一段时间内同一IP地址主机发送ICMPECHO Request报文的次数是 否 其它： 对于防火墙各逻辑接口需要开启防源地址欺骗功能是 否 其它： 对于有固定模式串的攻击，在应急时可开启基于正则表达式的模式匹配的功能是 否 其它： 回环地址（lookback address）一般用于本机的IPC通讯，防火墙必须阻断含有回环地址(lookback address)的流量是 否 其它： 虚拟防火墙安全可划分成多个虚拟防火墙系统，每个虚拟系统都是一个唯一的安全域，拥有其自己的管理员进行管理，管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口是 否 其它： IP协议安全对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量是 否 其它： 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议是 否 其它： 设备其他安全需求对于具备字符交互界面的设备，应配置定时账户自动登出是 否 其它： 对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定是 否 其它： 对于具备consol口的设备，应配置consol口密码保护功能是 否 其它： 对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑是 否 其它： 使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）是 否 其它： 对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置ACL是 否 其它： 在已经部署4A系统的环境中，可以对防火墙账户进行4A的认证和审计是 否 其它： 当前风险评估建议评估编号TYSBAQ-CZXT评估场景设备安全主机操作系统评估要点主机操作系统基线配置安全评估，以AIX为例，参考中国移动设备AIX操作系统安全配置规范，进行以下评估：1. 账号管理及认证授权 账户安全 口令安全 授权安全2. 日志安全3. IP协议安全 IP协议安全 路由协议安全4. 其他安全要求评估方法1. 核查主机操作系统基线配置2. 漏洞扫描3. 渗透性测试评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享是 否 其它： 应删除或锁定与设备运行、维护等工作无关的账号是 否 其它： 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作是 否 其它： 根据系统要求及用户的业务需求，建立多账户组，将用户账号分配到相应的账户组是 否 其它： 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号是 否 其它： 口令安全对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。是 否 其它： 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天是 否 其它： 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令是 否 其它： 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号是 否 其它： 授权安全要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限是 否 其它： 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制是 否 其它： 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限是 否 其它： 日志安全需求设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址是 否 其它： 设备应配置日志功能，记录对与设备相关的安全事件是 否 其它： 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器是 否 其它： 启用系统记账（System accounting），记录系统数据，比如CPU利用率，磁盘的I/O信息等是 否 其它： 启用内核级审核是 否 其它： IP协议安全对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置是 否 其它： 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表是 否 其它： 对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定是 否 其它： 路由协议安全主机系统应该禁止ICMP重定向，采用静态路由是 否 其它： 对于不做路由功能的系统，应该关闭数据包转发功能是 否 其它： 设备其他安全需求对于具备字符交互界面的设备，应配置定时账户自动登出是 否 其它： 对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定是 否 其它： 涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改是 否 其它： 应该从应用层面进行必要的安全访问控制，比如FTP服务器应该限制ftp可以使用的目录范围是 否 其它： 在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装是 否 其它： 应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试是 否 其它： 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭是 否 其它： 如果网络中存在信任的NTP服务器，应该配置系统使用NTP服务保持时间同步是 否 其它： NFS服务：如果没有必要，需要停止NFS服务；如果需要NFS服务，需要限制能够访问NFS服务的IP范围是 否 其它： 防止堆栈缓冲溢出是 否 其它： 列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭是 否 其它： 关闭系统串行口（serial port），避免未授权用户通过调制解调器、终端或其他远程访问设备连接到这些物理端口，从而获得系统控制权。系统console的gettyprocess使用/dev/console相当于一个/dev/tty是 否 其它： 当前风险评估建议4.3 平台及软件安全评估编号TYPTRJ-SJKA评估场景平台及软件安全数据库评估要点数据库基线配置安全评估，以MSSQL为例，参考中国移动MSSQL数据库安全配置规范，进行以下评估：1. 账号安全2. 口令安全3. 日志安全4. 其他安全要求评估方法1. 核查数据库基线配置2. 漏洞扫描3. 渗透性测试评估结果账号安全应按照用户分配账号，避免不同用户间共享账号是 否 其它： 应删除与数据库运行、维护等工作无关的账号是 否 其它： 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限是 否 其它： 使用数据库角色来管理对象的权限是 否 其它： 口令安全对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有账号的口令，确认为强口令。特别是sa 账号，需要设置至少10位的强口令是 否 其它： 日志安全数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间是 否 其它： 数据库应配置日志功能，记录对与数据库相关的安全事件是 否 其它： 审计级别调整为“全部”，身份验证调整为“SQL Server 和Windows”是 否 其它： 其他安全停用不必要的存储过程是 否 其它： 使用通讯协议加密是 否 其它： 为系统打最新的补丁包是 否 其它： 当前风险评估建议评估编号TYPTRJ-ZJJA评估场景平台及软件安全中间件评估要点中间件基线配置安全评估，以tomcat为例，参考中国移动tomcat-web服务器安全配置规范，进行以下评估：1. 账号管理及认证授权 账户安全 口令安全 授权安全2. 日志安全3. IP协议安全4. 其他安全要求评估方法1. 核查网络单元中间件基线配置（TOMCAT、WEBLOGIC、IIS等）2. 漏洞扫描3. 渗透性测试评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享是 否 其它： 应删除或锁定与设备运行、维护等工作无关的账号是 否 其它： 口令安全对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类是 否 其它： 授权安全要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限是 否 其它： 日志安全需求设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址是 否 其它： IP协议安全对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议是 否 其它： 设备其他安全需求对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统是 否 其它： 更改tomcat服务器默认端口是 否 其它： 禁止tomcat列表显示文件Tomcat错误页面重定向是 否 其它： 评估建议当前风险评估编号TYPTRJAQGK评估场景平台及软件安全安全管控平台/4A评估要点评估安全管控平台/4A系统是否按照规范实施，重点进行以下评估： 身份鉴别 验证机制 4A系统账号、授权管理 安全审计评估方法1. 核实安全管控平台/4A系统安全配置是否符合基线要求2. 核实安全管控平台/4A系统身份鉴别模块是否可被绕过，验证机制是否存在逻辑漏洞3. 核实安全管控平台/4A系统安全审计内容是否覆盖全面4. 核实安全管控平台/4A系统审计进程是否可被强行终止5. 核实安全管控平台/4A系统审计记录是否可被非法读取、篡改、删除6. 核实安全管控平台/4A系统是否对输入数据的来源、内容等进行严格验证7. 核实安全管控平台/4A系统是否对用户敏感数据进行加密存储8. 核实安全管控平台/4A系统是否对用户权限进行严格划分，确保不会发生越权操作9. 核实安全管控平台/4A系统是否具有异常处理能力，对系统可能发生的异常操作进行处理10. 技术测试验证上述各点，是否还存在其它安全问题评估结果1. 安全管控平台/4A系统安全配置是否符合基线要求是 否 其它： 2. 安全管控平台/4A系统身份鉴别模块是否可被绕过，验证机制是否存在逻辑漏洞是 否 其它： 3. 安全管控平台/4A系统安全审计内容是否覆盖全面是 否 其它： 4. 安全管控平台/4A系统审计进程是否可被强行终止是 否 其它： 5. 安全管控平台/4A系统审计记录是否可被非法读取、篡改、删除是 否 其它： 6. 安全管控平台/4A系统是否对输入数据的来源、内容等进行严格验证是 否 其它： 7. 安全管控平台/4A系统是否对用户敏感数据进行加密存储是 否 其它： 8. 安全管控平台/4A系统是否对用户权限进行严格划分，确保不会发生越权操作是 否 其它： 9. 安全管控平台/4A系统是否具有异常处理能力，对系统可能发生的异常操作进行处理是 否 其它： 10. 是否还存在其它安全问题是 否 其它： 当前风险评估建议4.4 业务流程安全4.4.1 内容安全评估编号TYNRAQ-YRJZ评估场景内容安全内容源引入机制评估要点1. 内容源引入机制评估方法1. 核实是否制定并实施了严格的内容源引入流程和机制2. 核实引入内容源时是否对内容提供方进行严格挑选，合作前进行背景调查，签署相关的安全承诺书评估结果1. 是否制定并实施了严格的内容源引入流程和机制是 否 其它： 2. 是否对内容提供方进行严格挑选，合作前进行背景调查，是否签署相关的安全承诺书是 否 其它： 当前风险加固建议评估编号TYNRAQ-TGLC评估场景内容安全内容提供流程评估要点1. 内容提供流程评估方法1. 核实是否制定并实施了严格的内容提供流程审批制度2. 若内容提供方为cp、sp或者运营支撑单位，核实是否与其签订信息安全承诺保证书，明确信息安全责任3. 若内容提供方为用户，核实是否在用户注册时明确对其发布内容的要求及相应的信息安全责任，明确信息安全责任4. 核实是否对于内容提供流程进行定期拨测，发现不合规的内容提供流程及时处理评估结果1. 是否制定并实施了严格的内容提供流程审批制度是 否 其它： 2. 若内容提供方为cp、sp或者运营支撑单位，是否与其签订信息安全承诺保证书，明确信息安全责任是 否 其它： 3. 若内容提供方为用户，是否在用户注册时明确对其发布内容的要求及相应的信息安全责任，明确信息安全责任是 否 其它： 4. 是否对于内容提供流程进行定期拨测，对发现的不合规的内容提供流程及时处理是 否 其它： 当前风险加固建议评估编号TYNRAQ-FBJZ评估场景内容安全内容发布机制评估要点1. 内容发布机制评估方法1. 核实是否制定并实施了严格的内容发布流程和机制2. 核实内容发布前是否进行审核3. 核实是否建立相应的技术手段，实现编辑、审核、发布权限分离和人员分离4. 核实是否对于内容发布机制进行定期拨测，发现不合规的内容及时处理评估结果1. 是否制定并实施了严格的内容发布流程和机制是 否 其它： 2. 内容发布前是否进行审核是 否 其它： 3. 是否建立相应的技术手段，实现编辑、审核、发布权限分离和人员分离是 否 其它： 4. 是否对于内容发布机制进行定期拨测，发现不合规的内容及时处理是 否 其它： 当前风险加固建议评估编号TYNRAQ-CZJL评估场景内容安全内容操作记录保护评估要点1. 内容操作记录保存保护评估方法1. 核实是否制定并实施了严格的内容操作记录保存制度2. 核实是否对存放的内容操作记录进行有效管理，如明确其保存、传输、销毁等流程3. 核实是否对存档数据进行严格管理，不得进行数据变更评估结果1. 是否制定并实施了严格的内容操作记录保存制度是 否 其它： 2. 是否对存放的内容操作记录进行有效管理，如明确其保存、传输、销毁等流程是 否 其它： 3. 是否对存档数据进行严格管理，不得进行数据变更是 否 其它： 当前风险加固建议4.4.2 计费安全评估编号TYJFAQJFLC评估场景计费安全计费流程安全评估要点1. 计费流程安全评估方法1. 核实是否制定并实施了严格的计费流程2. 核实是否采用技术手段防止计费点被套用3. 核实对于WAP和WWW订购方式，是否采用动态码验证、短信验证码等技术手段对计费点进行防护4. 核实对于短信订购方式，是否采用短信端口号码长度有效性校验等技术手段进行计费点防护5. 核实是否采取技术手段实现业务信息费异常有效监控，及时发现问题6. 核实业务定制时是否进行资费提示7. 技术测试验证上述各点，是否还存在其它安全问题评估结果1. 是否制定并实施了严格的计费流程是 否 其它： 2. 是否采用技术手段防止计费点被套用是 否 其它： 3. 对于WAP和WWW订购方式，是否采用动态码验证、短信验证码等技术手段进行计费点防护是 否 其它： 4. 对于短信订购方式，是否采用短信端口号码长度有效性校验等技术手段进行计费点防护是 否 其它： 5. 是否采取技术手段实现业务信息费异常有效监控，及时发现问题是 否 其它： 6. 是否业务定制时进行资费提示是 否 其它： 7. 是否存在其它安全问题是 否 其它： 当前风险加固建议4.4.3 能力开放接口安全评估编号TYJKAQJKAQ评估场景能力开发接口安全系统平台与外部平台之间评估要点1. 系统平台与外部平台之间协议与接口安全评估方法1. 核实是否制定并实施了系统平台与外部平台接口之间的安全管控措施2. 核实技术实现是否符合协议操作规范(公有和私有协议，应注释协议实现功能及各接口传递参数的含义)核实是否对协议与接口进行安全测试3. 核实是否对相关代码进行安全审计4. 现场测试时至少采用以下方式验证上述各点，是否还存在其它安全问题1） 代码安全审计；2） 接口是否可对输入来源进行白/黑名单判段3） 接口是否对设计范围以外的非正常参数进行过滤，并提供统一的不泄露内部敏感信息的提示评估结果1. 是否制定并实施了系统平台与外部平台接口之间的安全管控措施是 否 其它： 2. 技术实现是否符合协议操作规范(公有和私有协议，应注释协议实现功能及各接口传递参数的含义)是 否 其它： 3. 是否对相关代码进行安全审计是 否 其它： 4. 是否还存在其它安全问题是 否 其它： 当前风险评估建议4.4.4 客户信息安全评估编号TYKHXXJBXX评估场景客户信息安全基本信息评估要点1. 客户基本信息保护评估方法1. 核实业务系统是否存放客户基本信息，如用户通信录、身份证号、密码、银行证券资金账户信息、位置信息等2. 核实是否采用技术手段对客户基本信息进行加密存储3. 核实是否对客户基本信息进行有效备份4. 核实存放客户基本信息的设备，是否严格限制网络端口、数据库端口、操作系统的用户访问权限5. 核实客户基本信息是否存储在专门的数据主机或存储介质中，保证信息存储安全6. 核实是否加强对移动介质的管理，应禁止在存放客户基本信息的数据主机或存储介质使用移动介质7. 核实对客户基本信息的访问、修改等敏感操作是否采用金库安全模式8. 技术测试验证上述各点，是否还存在其它安全问题评估结果1. 业务系统是否存放客户基本信息，如用户通信录、身份证号、密码、银行证券资金账户信息、位置信息等是 否 其它： 2. 是否采用技术手段对客户基本信息进行加密存储是 否 其它： 3. 是否对客户基本信息进行有效备份是 否 其它： 4. 存放客户基本信息的设备，是否严格限制网络端口、数据库端口、操作系统的用户访问权限是 否 其它： 5. 客户基本信息是否存储在专门的数据主机或存储介质中，保证信息