江苏移动业务支撑系统信息安全保障措施交流

业务支撑系统信息安全保障措施交流 中国移动江苏公司 2016年 7月 11日 目 录 2 信息安全保障的意义 1 规范管理，固化流程 3 建立健全审计体系 信息安全整治效果 4 提升信息安全保障能力的探讨 5 信息安全保障形势 今年 4月，央视多个栏目播出了有关手机用户信息泄露的报道，矛头直指电信运营商的信息安全管理。 关于移动电话 “ 新闻 30分 ” 记者调查：是谁泄露了手机用户个人信息 “ 朝闻天下 ” 谁泄露了手机用户个人信息 信息安全保障形势 近年来，移动业务快速发展，业务支撑系统和用户数量不断增加，网络规模迅速扩大，信息安全保障方面的措施也急需进一步加强。信息安全工作的完善与否，将 对客户利益、客户感知、企业利益和企业形象等产生重大影响 。加强业务支撑系统的数据安全管理工作、防止信息泄露事件、保障企业核心数据的安全性，对企业的发展有着重要的意义。 客户感知 客户利益 企业利益 企业形象 信息安全 信息安全保障形势 针对严峻信息安全保障形势，江苏公司于 4月份开展了业务支撑系统信息安全月活动，对业务支撑系统的各个方面进行了信息安全自查。 信息安全自查 1 2 3 4 从主机、数据库、网络、应用系统、用户信息（包括客户资料、清单、帐单、积分、位置信息等）多个层次进行梳理，列出分、客服等系统中涉及信息安全的方面 分析主机、数据库、网络、应用系统、用户信息多个层次的账号口令管理安全隐患 分析主机、数据库、网络、应用系统、用户信息多个层次的外围接口安全隐患 梳理主机、数据库、网络、应用系统、用户信息多个层次日志，查找缺漏部分，加强审计稽核，确保所有操作留痕 信息安全保障形势 通过自查，我们发现系统的信息安全隐患突出表现在以下两个方面： 账号口令管理存在漏洞 部分用户所拥有的账号权限超出了其职责范围 账号 审计工作有待加强 对数据库关键表的所有用户未进行 对用户操作的审计未能及时通报 目 录 1 信息安全保障的意义 2 规范管理，固化流程 3 建立健全审计体系 信息安全整治效果 4 提升信息安全保障能力的探讨 5 规范管理，固化流程 为了保障整个业务支撑系统达到一定的安全管理水平，保证其信息的完整性和机密性，使得任何系统的使用、软件或者数据修改都在系统安全管理人员控制和管理范围之内，我们修订了 中国移动江苏公司 ，详细规定了账号管理各相关人员的职责和及账号审批流程等。 部门领导职责： 负责审批用户账号权限的申请、登记和备案工作是否完备，并负责将申请报告转交给系统管理员进行处理 各 方 职 责 账号管理员职责： 执行部门副经理安排的账号口令维护和管理工作，并负责管理账号的创建、变更、修改以及撤销的文档备案工作 安全审计员职责： 对所有 通报审计结果 用户职责： 负责对其所使用的账号提出申请创建、变更、修改和撤消工作 用户室主任职责： 审核本室申请使用账号的权限范围与申请人工作职责相符 操作系统和数据库管理员： 评估账号变动对系统的影响及用户账号的具体操作 账号管理员室主任职责 : 对申请账号使用的权限范围进行评估，确保该账号使用的安全性 规范管理，固化流程 账号审批流程 用户与所属部门室主任确定账号在别及权限，填写 信息技术系统账号权限申请表 相关内容； 所属室主任审核批复 信息技术系统账号权限申请表 ； 账号管理员室主任审核批复； 系统管理员审核并执行相应操作； 信息技术中心领导审核； 账号管理员严格按照审核批复的申请内容进行账号授权和文档备案。 申 请 人 提 出 账 号 创 建 申 请账 号 管 理 员 室 经 理 审 批账 号 管 理 员 审 核系 统 管 理 员 备 案邮 件 通 知 账 号 申 请 人申 请 人 所 在 室 经 理 审 批系 统 管 理 员 创 建 账 号流 程 结 束申 请 不 合 理申 请 不 合 理申 请 不 规 范通 过通 过通 过用 户 账 号 创 建 流 程规范管理，固化流程 目前，江苏公司业务支撑系统涉及生产主机近 200台，数据库 80余个，为了更好地对这些主机和数据库上的账号进行管理，我们在 业务支撑网网管系统中建立了账号管理系统 ，对账号审批流程进行电子化管理。用户只需在账号管理系统中填写 信息技术系统账号权限申请表 并提交申请，该申请就会流转到相应管理人员处进行审批、授权。 规范管理，固化流程 申请账号创建的审批表 可以看到审批的各个环节，如果未通过审批则会在相应的环节有说明 规范管理，固化流程 当申请通过审批后，就能在 “ 账号总揽 ” 的树形结构图中看到该账号，点击账号名，在右侧的页面中就可以看到该账号的相关属性：账号名称、账号类型、账号描述、创建时间和锁定情况，账号使用者情况也在 “ 账号使用者列表 ” 中一目了然。 目 录 1 信息安全保障的意义 3 规范管理，固化流程 2 建立健全审计体系 信息安全整治效果 4 提升信息安全保障能力的探讨 5 建立健全审计体系 在信息安全保障中，仅仅保证了登录系统的都是授权用户还是不够的，我们还保证授权用户的操作是合理的。 江苏公司建立了安全审计平台系统，要登陆所有的生产主机和数据库都必须通过审计平台登陆， 由审计平台记录登陆用户的操作。 安全审计平台的账号实行实名制，登陆方式为 “ 用户名 ” +“用户指纹 ” ，确保登陆的用户为用户本人。 建立健全审计体系 审计平台可以配置受限命令，如 操作系统： 数据库： 审计平台可以记录登陆用户的所有操作，如 操作系统： 数据库： 建立健全审计体系 检查重点： 针对关键表的数据库访问 审计报告： 分别按数据库对象和组织统计数据库表的被访问情况和人员对数据库表的访问情况 ，检查结果报告通过 各相关专业室审阅审计报告，确认专业室人员的操作与职责相符。 频次： 每旬一次检查 1 2 3 审计日志审查 建立健全审计体系 针对关键表的数据库访问审计总体情况： 建立健全审计体系 按数据库对象统计操作： 建立健全审计体系 按人员统计操作： 建立健全审计体系 检查结果报告通过相关专业室审阅审计报告，确认专业室人员的操作与职责相符。 目 录 1 信息安全保障的意义 4 规范管理，固化流程 2 建立健全审计体系 信息安全整治效果 3 提升信息安全保障能力的探讨 5 信息安全整治效果 江苏公司主机和数据库账号实现了电子化的管理，申请、审批和授权均有相应的电子化流程，对账号的使用人做到了有效的管理。 通过审计平台的建设，对主机和数据库账号用户的操作做到了有效监控，对预防授权用户的非法操作起到了良好的作用。 对自查中发现的其他问题，均制定了相应的改进计划，有相应的专业室牵头改进。对梳理出来的 48各改进点，完成了 30个子项的改进目标，其余 18个子项的后继改进计划也正在实行中。 信息安全整治效果 针对梳理出来的需要完善和加固的改进点，各专业室明确了牵头负责人及相关配合人员，制定了具体的实施计划。 目 录 1 信息安全保障的意义 5 规范管理，固化流程 2 建立健全审计体系 信息安全整治效果 3 提升信息安全保障能力的探讨 4 提升信息安全保障能力的探讨 随着移动业务的发展，业务支撑系统也是在不断变化之中的，信息安全所面临的问题也会随之变化； 公司 “ 正德厚生，臻于至善 ” 的核心价值观，也要求我们在信息安全领域不断完善保障措施。 提升信息安全保障能力的探讨 一、大量账号的管理 江苏公司业务支撑系统中 主机和数据库账号的规模在 4500左右 （该数目还在增长中），如何保证所有的账号均纳入管理、保证每个生产账号都有责任人负责？ 目前我们的做法是 在账号管理系统中增加账号比对功能，将系统中的账号与纳入管理的账号进行比对 ，从而保证无私自开设的账号。该功能已能实现逐台主机和逐个数据库的账号捞取，依靠人工进行比对， 批量捞取与比对正在开发中 。 用户登陆审计平台后，输入账号口令即可登陆相应的主机和数据库，存在账号口令被未授权的审计平台用户使用的隐患。 目前， 我们公司正计划推广审计平台的 “ 单点登陆 ” 系统，用户在审计平台中只可使用 “ 应用程序资源列表 ” 中列出的工具（如 且可访问的资源均已由账号管理员根据审批表进行了配置 。这样，对用户而言， 申请了账号后无需知道账号口令就可以访问相应的系统 ，将有效避免账号口令泄露造成的安全隐患。 提升信息安全保障能力的探讨 二、授权用户的登陆控制 提升信息安全保障能力的探讨 三、系统功能上线时的信息安全保障 由于业务发展的需要，业务支撑系统需要不时地进行功能上线，上线时需要厂方人员做配合， 如何控制厂方人员的权限以避免信息安全事故 ，一直是我们所关心的。 上 线 负 责 人通 过 O V S D 工 单 提 出 申 请使 用 期 限 到 ？账 号 管 理 室 经 理 审 批 账 号 管 理 员 提 供 账 号账 号 管 理 员修 改 密 码 ， 回 收 账 号申 请 不 合 理通 过是上 线 临 时 账 号 申 请 过 程通 知 账 号 负 责 人上 线 负 责 人 使 用 账 号否大规模功能上线时，账号的申请、授权和回收的工作量就会变得很大，由于涉及密码的修改，当需要回退时会对业务的处理产生一定影响。 提升信息安全保障能力