分册8-新建业务平台安全检测.doc

中国电信增值业务平台安全管理办法 试行 中国电信增值业务平台安全管理办法 试行 新建业务平台安全检测新建业务平台安全检测 中国电信集团公司网络运行维护事业部 二 一 年七月 2 2 目目 录录 一 概述 4 二 检测依据 4 三 缩略语 5 四 检测原则 5 五 新建业务平台安全检测组织形式 6 六 安全检测范围 6 七 新建业务平台安全检测工作流程 6 7 1 集团级 基地类业务平台安全检测工作流程 6 7 2 省级业务平台安全检测工作流程 8 八 安全检测报告 10 九 注意事项 10 十 新建业务平台安全检测内容 10 10 1 网络安全 10 10 1 1 结构安全 10 10 1 2 访问控制 11 10 1 3 安全审计 11 10 1 4 入侵防护 11 10 1 5 网络设备配置 12 10 2 主机安全 12 10 2 1 身份鉴别 12 10 2 2 访问控制 13 10 2 3 安全审计 13 10 2 4 操作系统漏洞 14 10 2 5 数据库漏洞 15 10 3 应用安全 15 10 3 1 身份鉴别 15 1 1 1 10 3 2 访问控制 15 10 3 3 安全审计 16 10 3 4 WEB应用漏洞 16 10 3 5 通信完整性 16 10 3 6 通信保密性 16 10 3 7 数据保密性 17 10 3 8 资源控制 17 10 3 9 备份和恢复 17 10 4 安全管理要求 17 10 5 机房环境 17 3 3 一 概述一 概述 1 为确保中国电信新建业务平台正式交付运营后安全 稳定运行 有必要对新 建业务平台进行专项安全检测 为此特制定本新建业务平台安全检测指引 明 确新建业务平台检测过程中对安全方面的工作要求和检测内容 2 本指引所涉及的业务平台是指中国电信集团级 基地类及省级业务平台 适 用于中国电信新建 改建 扩建及相关技术改造集团级 基地类及省级业务平 台 3 本指引明确了中国电信新建业务平台安全检测的原则 组织形式 检测范围 流程 检测报告等内容 4 本指引未包括的项目检测指标要求 可依据工程项目的技术规范书和设计文 件的要求执行 6 本指引解释权归中国电信集团网络运行维护事业部 二 检测依据二 检测依据 下列文件中的条款通过本检测指引的引用而成为本指引的条款 凡是标注日期 的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不适用于 本规范 凡是不标注日期的引用文件 其最新版本适用于本规范 国家现行的施工及检测技术规范 原邮电部 原信息产业部以及工业和信息化部的有关文件 中国电信工程建设 管理 检测等相关文件 中国电信业务平台安全检查指引 试行 工程项目的设计文件及设计批复 工程建设中的各类合同 4 4 三 缩略语三 缩略语 集团公司 中国电信集团公司 安全测评中心 中国电信基础网络安全防护支撑和测评中心 省公司 中国电信各省 自治区 直辖市分公司 省公司网运部 省公司负责网络运行维护的部门 四 检测原则四 检测原则 1 遵守国家法律法规 2 遵守国家 行业以及中国电信已有相关标准 3 本指引中的检测组织与流程遵守中国电信已有制度 4 在满足基本检测项目前提下 重点检测项目选择的原则 1 对后期网络运行影响大的指标 2 侧重新业务 新功能 3 有利于后期运行维护 4 本期工程的特殊场景 5 5 五 新建业务平台安全检测组织形式五 新建业务平台安全检测组织形式 新建业务平台安全检测作为必须开展的一项专项工作 集团级 基地类业 务平台由集团网运部负责组织 中国电信基础网络安全防护支撑和测评中心具 体实施 省级业务平台由各省网络运行维护部门牵头组织完成 六 安全检测范围六 安全检测范围 新建业务平台安全检测针对各业务平台厂商在中国电信业务平台中将要使 用的网络设备及网络架构 业务系统相关网元 含服务器 磁阵 信令接入设 备等 业务系统相关软件 操作系统 数据库 应用软件 第三方软件等 等进行 七 新建业务平台安全检测工作流程七 新建业务平台安全检测工作流程 7 1 集团级 基地类业务平台安全检测工作流程集团级 基地类业务平台安全检测工作流程 厂商完成业务平台工程建设后 向集团网络运行维护事业部提出安全检测 申请 集团网络运行维护事业部形成安全检测任务单 下发至中国电信基础网 络安全防护支撑和测评中心 以下简称安全防护测评中心 安全防护测评中心与厂商就安全检测内容 计划等进行沟通 开始组织业 务平台安全检测的具体实施工作 为便于安全检测 厂商应在提出安全检测申请 15 个工作日内向安全防护测 评中心提供相关检测资料 安全防护测评中心负责对厂商所提交的资料进行审核 审核通过后 厂商 应按照安全防护测评中心的要求 配合完成安全检测环境的搭建及安全检测方 案的制定等准备工作 6 6 检测准备工作完成后 安全防护测评中心组织实施业务平台的安全检测 安全检测工作按照安全防护测评中心统一制定的标准检测模板进行 对于通过安全防护测评中心安全检测的新建业务平台 安全防护测评中心 在检测完成后向集团网络运行维护事业部通报检测结果 对于安全检测不通过的新建业务平台 安全防护测评中心将在安全检测工 作完成后向集团网运部提交检测结论 详述原因 集团网络运行维护事业部负 责向相关业务平台建设管理单位反馈检测中发现的安全问题 并要求厂商进行 整改 厂商整改完成后 可申请进行复验 但必须在规定工作日内向安全防护测 评中心提出复验申请 对于在安全检测中不满足要求的内容 厂商应给出相应改进的承诺和时间 表 经安全防护测评中心审核后提交集团网运部 7 7 7 2 省级业务平台安全检测工作流程省级业务平台安全检测工作流程 厂商完成业务平台工程建设后 向相应省公司网络运行维护部门提出安全 检测申请 省公司网运部牵头 负责组织指定安全检测实施单位与相关厂商就 安全检测内容 计划等进行沟通 开始进行业务平台的安全检测 为便于安全检测 厂商应在提出安全检测申请 15 个工作日内向省公司指定 安全检测实施单位提供相关检测资料 省公司指定安全检测实施单位负责对以上资料进行审核 审核通过后 厂 商应按照省公司指定安全检测实施单位的要求 配合完成安全检测环境的搭建 及安全检测方案的制定等准备工作 8 8 检测准备工作完成后 省公司指定安全检测实施单位组织实施业务平台的 安全检测 安全检测工作参照集团统一制定的标准检测模板进行 对于通过省公司指定安全检测实施单位安全检测的新建业务平台 省公司 网运部负责在检测完成后向工程建设单位及工程管理单位通报检测结果 对于安全检测不通过的新建业务平台 省公司指定安全检测实施单位在安 全检测工作完成后向省公司网运部提交检测结论 详述原因 省公司网运部负 责向相应业务平台建设管理单位反馈检测中发现的安全问题 并要求厂商进行 整改 厂商整改完成后 可申请进行复测 但必须在规定工作日内向省公司指定 安全检测实施单位提出复测申请 对于在安全检测中不满足要求的内容 厂商应给出相应改进的承诺和时间 表 经省公司指定安全检测实施单位审核后提交省公司网运部 9 9 10 10 八 安全检测报告八 安全检测报告 新建业务平台安全检测根据本指引要求的检测范围和内容进行 安全检测 完成后 集团级和基地类业务平台由中国电信基础网络安全安全防护支撑和测 评中心 省级业务平台由各省公司网络运行维护部门 省公司指定安全检测实施 单位出具检测报告 分别提交至集团网运部及各省公司网运部 九 注意事项九 注意事项 为了确保业务平台的运行安全 在项目预算中应考虑安全方面的需求 新 建业务平台在正式上线 移交维护 前必须通过安全检测 安全检测费用由厂 商承担 新建业务平台安全检测的相关要求应在合同中明确 十 新建业务平台安全检测十 新建业务平台安全检测内容内容 本章主要描述业务平台安全检测的主要内容 主要包括如下几个方面 网 络设备及网络架构 业务系统相关网元 含服务器 磁阵 信令接入设备等 业务系统相关软件 操作系统 数据库 应用软件 第三方软件等 等方面的 安全检测 11 11 10 1 网络安全网络安全 10 1 1 结构安全结构安全 说明 检查网络安全性要求 包括网络设备 网络拓扑图 网络配置数据 序号检测项目检测情况 1 检查安全域划分是否合理 边界划分是否清晰 子网划分是否 合理 2 检查是否选用了高效 可靠的路由协议 3 检查关键网络设备是否具备冗余能力或机制 4 检查网络带宽是否满足业务高峰期需要 5 检查网络拓扑结构是否与当前实际情况相符 10 1 2 访问控制访问控制 说明 检查系统中相关网络设备和访问控制设备的访问控制策略 序号检测项目检测情况 1 检查是否在网络边界部署访问控制设备 2 检查是否在访问控制设备或网络设备上启用相关访问控制功能 按照系统整体安全策略以及业务流程需求配置访问规则 3 检查网络是否拒绝不经认证的便携式或移动式设备的接入 4 检查管理平台 服务器 IP 地址 以及向用户提供业务的业务平 台的管理控制端口 非业务应用端口 是否在防火墙或者业务 平台上对来访 IP 地址网段进行地址隔离控制 10 1 3 安全审计安全审计 说明 检查网络设备 网络设备运行状况日志 网络流量日志 用户行为日志 审计记录 序号检测项目检测情况 1 检查是否对网络设备与安全设备的运行状况进行日志记录 2 检查是否对网络系统中的网络流量进行日志记录 3 检查是否对网络系统中的用户行为进行日志记录 12 12 4 检查记录是否包括事件的时间 用户以及事件类型等内容 10 1 4 入侵防护入侵防护 说明 检查系统针对入侵攻击的检测和防御能力 序号检测项目检测情况 1 检查是否部署入侵检测设备或相关检测机制 2 检查是否部署流量监控和流量清洗设备或有相关检测 防护机 制 3 检查是否部署网络安全事件监控设备或相关检测机制 4 检查是否具备端口扫描 暴力破解 木马后门 缓冲区溢出攻 击 IP 碎片攻击 网络蠕虫等攻击的监控检测能力 10 1 5 网络设备网络设备配置配置 说明 检查网络设备安全防护能力 序号检测项目检测情况 1 检查是否对登录设备的用户进行身份鉴别 2 检查是否对登录设备的 IP 地址进行限制 3 检查用户口令是否足够复杂 4 检查是否具有登录失败处理功能 是否采取结束会话 限制非 法登录次数和当网络登录连接超时自动退出等措施 5 检查是否关闭 telnet SSH v1 等远程登录方式 WEB 登录是 否使用 https 而不是 http 服务 6 检查是否配置了 tftp 等存在安全隐患的服务以及不必要的服务 7 检查是否应用了最新的补丁 注 应在保证业务及网络正常运 行的前提下应用最新的补丁 8 检测设备中配置的 ACL 是否有缺陷或冲突 9 检查是否配置了弱的 snmp 团体字串 10 检查设备 Banner 是否泄漏相关信息 11 检查设备是否配置了防 ARP 欺骗措施 或者对 MAC 进行绑定 13 13 10 2 主机安全主机安全 10 2 1 身份鉴别身份鉴别 说明 检查主机设备 操作系统 数据库针对用户访问的身份进行鉴别的措施 鉴权措施是否充分 序号检测项目检测情况 1 检查是否对登录操作系统和数据库系统的用户进行身份标识和 鉴别 2 检查是否为操作系统和数据库系统的不同用户分配不同的用户 名 且用户名具有唯一性 3 对于运行关系型数据库的设备 检查数据表的读写权限 10 2 2 访问控制访问控制 说明 检查对相关主机系统的访问控制措施是否满足安全性要求 序号检测项目检测情况 1 检查是否实现操作系统和数据库系统特权用户的权限分离 2 检查是否限制默认帐户的访问权限 重命名默认帐户 并修改 帐户的默认口令 3 检查是否删除多余的 过期的帐户 不存在共享帐户 4 对于具备 consol 口的设备 检查是否配置 consol 口登录密码 保护功能 5 检查 root 权限用户是否可以远程登录系统 6 检查是否对登录设备的 IP 地址进行限制 7 检查是否关闭 telnet SSH v1 等远程登录方式 8 检查是否启用登录失败处理功能 是否采取结束会话 限制非 法登录次数和自动退出等措施 9 检查是否设置登录超时策略 14 14 10 2 3 安全审计安全审计 说明 检查主机系统日志审计能力 序号检测项目检测情况 1 检查是否对操作系统运行状况进行日志记录 2 检查是否对数据库运行状况进行日志记录 3 检查是否对操作系统用户行为进行日志记录 4 检查是否对数据库用户行为进行日志记录 5 检查记录是否包括事件的时间 用户以及事件类型等内容 10 2 4 操作系统漏洞操作系统漏洞 说明 检查主机系统是否存在已知漏洞 序号检测项目检测情况 1 检查操作系统是否开放了不必要的服务 端口 进程 2 检查是否应用了最新的补丁 注 应在保证业务及主机正常运 行的前提下应用最新的补丁 3 检查操作系统的密码策略设置是否强壮 密码复杂度 密码长 度 密码期限等 检查用户口令是否存在弱口令 4 检查操作系统的帐号策略设置是否强壮 帐号锁定策略 审核 策略 帐号启用情况等 是否存在多余帐户 临时帐户 5 检查操作系统是否包含已知的 可被利用的安全漏洞 注 在保 证业务及主机安全的前提下进行 6 检查操作系统是否安装了第三方威胁防护软件 主机防火墙 防病毒软件以及更新状况 15 15 10 2 5 数据库漏洞数据库漏洞 说明 检查数据库漏洞 序号检测项目检测情况 检查是否应用了最新的补丁 注 应在保证业务及系统正常运 行的前提下应用最新的补丁 检查数据库是否包含已知的 可被利用的安全漏洞 注 在保证 业务及主机 数据库安全的前提下进行 检查数据库是否存在多余账户 临时账户 检查用户口令是否健壮 检查数据库是否允许管理员远程登录 检查Listener是否对访问IP地址进行限制 检查Listener是否进行密码认证 10 3 应用安全应用安全 10 3 1 身份鉴别身份鉴别 说明 检查应用系统针对用户访问的身份进行鉴别的措施 鉴权措施是否充分 序号检测项目检测情况 1 检查是否对登录用户进行身份标识和鉴别 2 检查是否在通信过程中对登录的敏感信息进行加密传输 3 检查是否采用登录时图片验证码策略 1 1 1 10 3 2 访问控制访问控制 说明 检查应用系统的访问控制措施是否满足安全性要求 序号检测项目检测情况 检查是否启用登录失败处理功能 是否采取结束会话 限制非 法登录次数和自动退出等措施 检查是否为不同权限用户设置不同帐户级别 是否存在越权 检查是否对登录的 IP 进行限制 16 16 检查是否具有登录超时处理机制 10 3 3 安全审计安全审计 说明 检查应用系统的日志记录功能和安全审计能力 序号检测项目检测情况 检查是否对应用运行状况进行日志记录 检查是否对用户行为 登录 添加 修改 删除 查看 文件 访问 数据备份等 进行日志记录 检查记录是否包括事件的时间 用户以及行为等内容 10 3 4 WEB 应用漏洞应用漏洞 说明 检查 Web 应用漏洞 序号检测项目检测情况 检查 WEB 服务器是否安装了最新的补丁 注 应在保证业务 及系统正常运行的前提下应用最新的补丁 检查是否存在多余帐户