中国移动管理信息系统安全防护体系总体技术要求V1.0.0-09X017.doc

QB-X-017-中国移动通信企业标准QB-X-017-2009中国移动管理信息系统安全防护体系总体技术要求General Technical Requirements For Security Protection System of CMCC MIS 版本号：1.0.02010-1-15实施2010-1-15发布中国移动通信集团公司 发布QB-X-017-2009目录前 言II1.范围12.规范性引用文件13.术语、定义和缩略语14. 综述24.1背景24.2本要求的范围和主要内容35. 目标和原则46. 安全防护技术体系46.1整体说明46.2安全域划分技术要求56.3安全域防护技术要求66.4安全加固规范66.5安全基线规范76.6信息安全风险评估技术要求76.7灾难备份与恢复实施技术要求77.编制历史7前 言本标准是中国移动管理信息系统安全防护的整体技术要求，是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准，涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。本标准是中国移动管理信息系统安全防护体系技术规范系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称1QB-X-017-2009中国移动管理信息系统安全防护体系总体技术要求2QB-X-018-2009中国移动管理信息系统安全域边界防护技术要求3QB-X-019-2009中国移动管理信息系统安全域划分技术要求4QB-X-020-2009中国移动管理信息系统安全基线规范5QB-X-021-2009中国移动管理信息系统安全加固规范6QB-X-022-2009中国移动管理信息系统安全风险评估规范7QB-X-023-2009中国移动管理信息系统集中灾备系统技术规范本标准由中移技201017号印发。本标准由中国移动通信集团公司管理信息系统部提出，集团公司技术部归口。本标准起草单位：中国移动通信集团公司管理信息系统部本标准主要起草人：冯运波、陈江锋、侯春森、康小强II1.范围本标准规定了中国移动管理信息系统安全防护的整体技术要求，供中国移动总部、省公司、设计院、研究院使用；适用于开展管理信息系统安全防护工作。2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。序号标准编号标准名称发布单位3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准：词语解释安全域具有相同或相近的安全需求、相互信任的区域或网络实体的集合。一个安全域内可进一步被划分为安全子域。资产指组织的信息系统、其提供的服务以及处理的数据。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。脆弱性/弱点资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。威胁对组织的资产引起不期望后果的事件。威胁可能源于对企业/组织的信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害从而直接地或间接地引起企业或机构的损害的可能性。因此，风险和具体的资产、其价值、威胁以及相关的弱点直接相关残余风险采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。风险是客观存在的，绝对的安全是不存在的，风险评估的目的就是使残余风险可接受AAAA账号管理、认证、授权与审计系统ACL访问控制列表SHG安全加固手册(Security Harden Guideline)SBL 安全基线(Security Baseline)DMZ非军事化区、停火区（DeMilitarized Zone）IDS入侵检测系统(Intrusion Detection System)MIS管理信息系统(Management Information System)SOC安全运行管理中心Radius接入用户远程认证服务(Remote Authentication Dial-In User Service)VPN虚拟专用网4. 综述 4.1背景随着总部和各省公司在安全方面的建设，在总部和各省公司管理信息系统内网已经部署了一些基本的安全产品，如防火墙、IDS、防病毒、防垃圾邮件系统、终端安全管理系统等，已具备了一定的安全防护能力。但是通过对省公司的调研发现，省公司普遍存在安全防护、安全监控手段不健全，不足于抵抗各种安全攻击和风险；安全域划分不清晰，没有分层防御；设备和系统采用默认配置，存在大量安全隐患；没有进行安全风险评估等现象。部分原因也在于过去管理信息系统的整体安全管理体系中对操作实施层面的第二层、第三层技术规范与要求不够细化与完善，出现了安全工作中没有可参考依据，可衡量标准的问题。根据国务院信息化领导小组2003年下发“关于加强信息安全保障工作的意见” (中办发200327号) 的要求，网络与信息安全工作是国家安全的重要组成部分，信息安全保障应“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全”。文件要求正确处理安全与发展的关系，统筹规划，突出重点，强化基础性工作，通过实行信息安全等级保护实现这一目的。因此，国家将建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。在这样的背景下，实现信息系统的分等级保护，制定相应安全防护技术标准，安全域划分标准、安全风险的评估标准，加强系统自身安全配置，避免常见的安全风险，加强设备入网安全检查等就非常重要。为此，集团管理信息系统部制定了统一的安全防护和安全加固的系列技术规范，用于指导总部和省公司管理信息系统的安全域划分、安全防护、日常安全评估、安全加固和安全基线检查等。本安全防护技术体系也是对管理信息系统安全管理体系（下图所示）中第二层第三层技术规范与要求的完善和补充，规范具体安全工作的实施与落地。图一 管理信息系统安全管理体系4.2本要求的范围和主要内容本技术要求的范围为总部和各省公司管理信息系统，涉及到网络安全域划分和安全防护，对主机、数据库、网络、应用系统的安全加固、安全基线检查、安全评估。主要内容包括：l 管理信息系统安全域划分技术要求明确了安全域划分的基本原则，界定了管理信息系统的重要性和安全风险等级，把具有相同或相近的安全属性的信息资产划分为域，进行统一规范的保护，限制系统风险在网内的任意扩散，从而有效控制安全事件和安全风险的传播。l 管理信息系统安全域防护技术要求规定了不同安全等级的安全域防护要求和技术手段，从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施（如防火墙、入侵检测、防病毒、安全审计等），针对各个子域，制定规范的防护技术要求，并要求按照技术要求落实安全防护措施。提高对网络攻击、病毒入侵、网络失窃密的防范能力，防止有害信息传播，保证管理信息系统的安全运行。l 管理信息系统安全风险评估技术要求规定了风险评估的流程、实施风险评估的步骤，可以作为日常进行安全风险评估的指南，定期对系统与网络开展信息安全风险评估，根据评估结果与加固规范要求对系统进行安全加固。l 管理信息系统安全加固规范是针对各系统自身安全配置的加固操作手册，可以用来解决大多数因安全配置不到位而引起的安全问题。l 管理信息系统安全基线技术规范将配合安全基线检查工具一起使用，用于核查信息系统的安全合规性。对于新上线系统，在入网前需要经过安全基线的检查，保障整体信息安全的水平。l 管理信息系统集中灾备系统技术要求是集团管理信息系统集中灾备系统的建设要求，涵盖建设、扩容、升级多个方面。5. 目标和原则管理信息系统安全防护工作的主要目标就是要增强管理信息系统各个系统的安全防护能力，加强系统和设备自身的安全，确保网络的安全性与可靠性，保障管理信息系统的正常运行。管理信息系统安全防护工作要以适度安全原则为指导，采用自主保护和重点保护方法，在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。本安全防护体系技术要求是建立管理信息系统安全防护体系的指导性文件，要求总部和各省公司部署安全技术措施与相关安全工作。具体包括以下步骤与要求：n 要根据安全域划分技术要求要求，按照安全保护需求和相互信任的区域关系，将管理信息系统划分成不同的区域，并在安全域防护技术要求中定义出各个安全域的管理需求、技术需求和设备需求，部署相应的安全手段，进行安全域的边界隔离与数据流的安全策略控制。n 对于各个业务系统以及网络，要切实按照加固规范要求进行必要的安全加固，修补安全漏洞与隐患。n 对于新上线系统以及原有系统，在安全配置上要求至少符合安全基线的要求，保证和维持管理信息系统的安全基准，运维管理人员要基于安全基线定期进行安全检查。n 总部与省公司要基于风险评估技术要求定期组织开展风险评估，识别管理信息系统中存在的风险，并对风险进行相应的处置。n 针对管理信息系统需要按照灾难备份与恢复实施技术要求，在风险评估的基础上，平衡效益与成本，建立完善灾难备份与恢复体系。6. 安全防护技术体系6.1整体说明本技术要求是中国移动管理信息系统信息安全防护技术的指导性文件，其适用范围纵向包括集团总部和省公司的管理信息系统两个层次，横向覆盖整个管理信息系统内部业务系统，包括其所属的网络设备、安全设备、服务器、终端等。中国移动管理信息系统涉及的业务系统，包括已经建成使用的管理信息系统应用如统一信息平台、OA系统、ERP系统、综合统计系统、电子采购系统、综合信息网、终端管理平台、网上教育、全面预算管理、银企互联、计划管理系统等。安全防护技术要求明确了管理信息系统需要落实的安全技术措施和相关的安全工作，安全防护的范畴建立的管理信息系统安全防护技术体系如下图所示，它由总纲、安全域划分技术要求、安全加固技术要求、安全基线规范、信息安全风险评估技术要求以及灾难备份与恢复实施技术要求构成。此外，本体系针对不同的安全域，例如DMZ，服务器区，制定了安全域防护技术要求，安全加固工作则按照不同层次制定了详细的安全加固技术要求。本体系针对所有的IT系统和设备制定了安全基线，做为设备安全准入、安全运维等的最基本安全配置检测要求。此外针对信息安全风险评估，则结合国家信息安全等级保护以及公信部下发的相关要求，用于规范与指导风险评估的方法、实施步骤，内容等活动。本体系还要求对灾难备份及恢复工作根据风险评估相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案。图二 管理信息系统安全防护技术体系6.2安全域划分技术要求本技术要求对中国移动管理信息系统的安全域划分、边界整合以及采用的防护原则、安全策略进行了规范，适用于集团总部及各省公司管理信息系统。本技术要求文件是中国移动管理信息系统安全域划分原则与技术要求，包括集团总部和省公司的管理信息系统的划分建议，同时也定义了相应的应用系统在安全域上的映射。安全域的划分，是按照安全保护需求和相互信任的区域关系，将管理信息系统划分成不同的区域，通过进一步定义出各个安全域的管理需求、技术需求和设备需求，部署相应的安全手段，并实施相应的安全处理。安全域划分明确以后，根据等级保护的要求，确定各安全域的威胁等级和保护等级，在此基础上需要进行安全域的边界隔离与数据流的安全策略控制，因此也针对具体的各个安全域制定了具体的防护技术要求。因此，安全域技术要求具有以下的目的：u 制定管理信息系统的全网安全域划分总体原则；u 对管理信息系统进行安全域划分；u 确定管理信息系统各个安全域的管理需求、技术需求和设备需求；u 确定管理信息系统各个安全域的威胁等级和保护等级；u 针对以防火墙或交换机为核心的管理信息系统网络结构，提供VLAN划分、ACL和防火墙策略制定的参照标准。总部和各省管理信息系统今后进一步建设或改造时，需参照本技术要求进行实施。特别是增加新应用系统、新的功能区域或新的连接接口时，需要分析和定义加入的应用、功能区域或接口，确保其设备连接的逻辑区域和设备放置的物理区域符合本技术要求。如有必要，同时也更新本技术要求。6.3安全域防护技术要求本安全域防护技术要求对中国移动集团公司管理信息系统安全域防护中需要规范的内容提出全面要求，是移动集团总部以及各省公司管理信息系统开展安全域防护工作时所需要遵从的技术文件。本技术要求文件具有以下的目的：u 规范各个安全域保护级别与手段的确定；u 规范各个安全域边界采用的防护技术与措施；u 规范安全域内各子域边界的防护技术与措施；u 规范省公司与集团总部边界采用的防护技术与措施。本规范主要包括以下几方面的内容：l 常见安全域防护技术，介绍了包括基础网络防护，上网行为管理，基线检查，主动评估，流量管理，网络防病毒网关，应用代理，入侵检测系统，入侵防御系统，防DDOS攻击，反垃圾邮件系统，网页防篡改等。l 管理信息系统的安全域防护，阐述了管理信息系统安全域保护等级划分，安全域等级间边界防护，安全域等级内子域之间边界防护，省公司与集团总部边界防护的技术要求。6.4安全加固规范本技术要求对安全加固这一重要的安全工作的内容、范围、步骤和方法、加固风险规避做出了规定，对和安全加固相关的关键角色和职责划分也做出了相应的说明。安全加固必须按照分层的原则，包括但不限于以下对象：网络设备、主机系统、数据系统、中间件、应用系统等。加固工作完成后应能解决安全评估中发现的所有技术性安全问题，使所有被评估对象应不再存在高风险漏洞。加固在完成后应不影响修补加固对象原有的功能和性能。安全加固主要采用优化配置、调整安全策略、安装补丁、安装安全工具软件(不须购置)、调整网络结构等方式进行。安全加固工作将尽量选择在非业务繁忙时段进行，将可能带来的影响减至最小。安全防护技术要求中具体的安全加固规范主要适用于管理信息系统部已有的各个系统，并按照网络层、主机层、数据库层、中间件、应用层进行分册，详细阐述各个层次的加固的具体实施步骤。集团与省公司要基于加固手册的要求，因地制宜开展各个业务系统与网络的安全加固工作。6.5安全基线规范基于木桶原理，系统或者组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。安全基线检查工作的目标就是是保证与维持管理信息系统的整体安全水平，避免信息安全出现严重的短板。安全基线规范是中国移动管理信息系统部制定的各类IT系统和设备在入网、运维等必须达到的最低安全配置标准与相应的检测方法。本次安全防护技术要求中制定的安全基线覆盖了目前常见的系统和设备，适用范围包括已有系统、在建系统与规划中的系统，总部与省公司要切实根据安全基线内容，配合安全基线检查工具，做好安全准入、安全巡检等工作，保证和维持管理信息系统的整体安全水平。6.6信息安全风险评估技术要求信息