中国移动管理信息系统安全基线规范v10hutx.docx

《中国移动管理信息系统安全基线规范v10hutx.docx》由会员分享，可在线阅读，更多相关《中国移动管理信息系统安全基线规范v10hutx.docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国移动通信企业标准QB-中国移动管理信息系统安全基线技术规范称Technical Specifications for Security Baseline of CMCC MIS版本号：1.0.0-发布-实施中国移动通信集团公司 发布前言本规范是是针对操操作系统统、网络络设备、数数据库、中中间件和和WEBB应用的的系列安安全基线线,是各系系统安全全配置检检查的基基准，是是中国移移动管理理信息系系统产品品准入、入入网测试试、工程程验收、系系统运维维配置、自自我评估估、安全全加固的的权威性性指南。本规范由由中国移移动通信信集团公公司管理理信息系系统部提提出并归归口管理理。本规范的的解释权权属于中

2、中国移动动通信集集团公司司管理信信息系统统部。本规范起起草单位位：中国国移动通通信集团团公司管管理信息息系统部部本规范主主要起草草人：起起草人11姓名、起起草人22姓名、目 录1概述述41.1目标和和适用范范围41.2引用标标准41.3术语和和定义42安全全基线框框架52.1背景52.2安全基基线制定定的方法法论62.3安全基基线框架架说明63安全全基线范范围及内内容73.11覆盖范范围73.2安全基基线组织织及内容容83.2.1 安安全基线线编号说说明93.2.2 WWeb应应用安全全基线示示例93.2.3 中中间件、数数据库、主主机及设设备示例例93.3安全基基线使用用要求104评审审与修

3、订订101 概述1.1 目标和适适用范围围本规范对对各类操操作系统统、网络络设备、数数据库、中中间件和和WEBB应用的的安全配配置和检检查明确确了基本本的要求求。本规规范适用用于中国国移动管管理信息息系统的的各类操操作系统统、网络络设备、数数据库、中中间件和和WEBB应用，可可以作为为产品准准入、入入网测试试、工程程验收、系系统运维维配置、自自我评估估、安全全加固的的依据。1.2 引用标准准u 中国移移动网络络与信息息安全总总纲u 中国移移动内部部控制手手册u 中国移移动标准准化控制制矩阵u 中国移移动操作作系统安安全功能能和配置置规范u 中国移移动路由由器安全全功能和和配置规规范u 中国移移

4、动数据据库安全全功能和和配置规规范u 中国移移动网元元通用安安全功能能和配置置规范u FIPSS 1999 联联邦信息息和信息息系统安安全分类类标准u FIPSS 2000 联联邦信息息系统最最小安全全控制标标准1.3 术语和定定义词语解释Secuuritty BBaseelinne 安全基线线：是设设备功能能和配置置方面的的基本安安全要求求，是信信息系统统的最小小安全保保证和最最基本的的、必须须满足的的安全要要求。它它适用于于未上线线和已上上线系统统，用于于保障组组织内IIT系统统安全水水平。SHG安全加固固手册SSecuuritty HHardden Guiidellinee SBL 安全

5、基线线Seccuriity Basseliine 安全风险险人为或自自然的威威胁可能能利用ITT系统中中存在的的脆弱性性导致安安全事件件的发生生及其对对组织造造成的影影响。安全风险险评估指运用科科学的方方法和手手段，系系统地分分析ITT系统所所面临的的威胁及及其存在在的脆弱弱性，评评估安全全事件一一旦发生生可能造造成的危危害程度度，提出出有针对对性的抵抵御威胁胁的防护护对策和和安全措措施。防防范和化化解ITT系统安安全风险险，或者者将风险险控制在在可接受受的水平平，为最最大限度度地为保保障ITT系统的的安全提提供科学学依据资产是安全防防护保护护的对象象。管理理信息系系统的资资产可能能是以多多种

6、形式式存在，无无形的、有有形的、硬硬件、软软件，包包括物理理布局、通通信设备备、物理理线路、数数据、软软件、文文档、规规程、业业务、人人员、管管理等各各种类型型的资源源，如OOA系统统、ERRP系统统等。资产价值值资产的重重要程度度或敏感感程度。资资产价值值是资产产的属性性，也是是进行资资产识别别的主要要内容。威胁可能导致致对ITT系统产产生危害害的不希希望事故故潜在起起因，它它可能是是人为的的，也可可能是非非人为的的；可能能是无意意失误，也也可能是是恶意攻攻击。常常见的威胁有有黑客入入侵、硬硬件故障障、人为为操作失失误、火火灾、水灾灾等等。脆弱性是IT系系统中存存在的弱弱点、缺缺陷与不不足，

7、不不直接对对资产造造成危害害，但可可能被威威胁所利利用从而而危害资资产的安安全。2 安全基线线框架2.1 背景中国移动动管理信信息系统统的设备备、主机机、应用用等多采采购自第第三方，在在部署之之前往往往只执行行了功能能测试，各各个系统统安全水水平不一一，容易易遭受黑黑客攻击击，存在在很多安安全隐患患。为了了保证整整体安全全水平，防防止系统统设备因因为安全全配置不不到位而而带来安安全风险险，有必必要对系系统设备备的安全全性进行行检查和和加固。若若系统按按照安全全基线进进行了检检查和加加固，则则可以确确保系统统和设备备安全符符合性达达到要求求，杜绝绝大部分分的安全全隐患。为为此，制制定各系系统的安

8、安全基线线，作为为产品准准入、入入网测试试、工程程验收、系系统运维维配置、自自我评估估、安全全加固依依据，同同时也是是满足内内控管理理要求的的依据。此次系列列安全基基线规范范覆盖了了从应用用层、中中间件层层、操作作系统层层以及网网络层，并并依据这这些安全全基线建建立准入入措施，从从源头和和根本上上控制和和提高系系统的安安全性。此此次项目目对安全全基线的的要求如如下： 覆盖面广广，涵盖盖管理信信息系统统常见IIT系统统和设备备，并涵涵盖Weeb应用用和源代代码的安安全基线线； 可操作性性强，针针对每个个检查项项均有简简洁的操操作说明明； 定期更新新，应当当周期性性的对基基线进行行补充和和更新；

9、成果可固固化，基基线可以以被集成成为检查查工具； 安全基线线将作为为系统和和设备安安全准入入的必要要条件。2.2 安全基线线制定的的方法论论 安全基基线制定定主要基基于以下下方法：1 参考产品品原厂商商的技术术资料2 参考安全全服务及及安全研研究的成成果3 参考国内内外大型型研究机机构及企企业现行行的安全全基线4 结合中国国移动网网络部下下发的相相关规范范及管理理信息系系统部的的实际情情况2.3 安全基线线框架说说明管理信息息系统安安全基线线框架（以以下简称称框架）由由二个层层面的安安全规范范组成。本规范为为框架的的第一层层面，其其编制依依据主要要为中国国移动网网络与信信息安全全总纲、中中国移

10、动动内部控控制手册册和控制制矩阵、管管理信息息系统安安全防护护与安全全加固技技术要求求，同时时参考国国际、国国内相关关标准规规范。第二层规规范，按按设备和和系统种种类，分分为主机机操作系系统类安安全基线线、数据据库类安安全基线线、网络络设备类类安全基基线、中中间件与与应用类类安全基基线等。第第二层规规范包含含的设备备和系统统种类可可根据需需要进行行扩充。第第二层规规范的编编制依据据主要为为本规范范，同时时参考各各类设备备和产品品相应的的技术资资料。管理信息系统安全基线技术规范主机操作系统安全基线数据库系统安全基线网络设备安全基线AIX系统安全基线Solaris系统安全基线Oracle数据库安全

11、基线DB2数据库安全基线华为网络设备安全基线Juniper网络设备安全基线MIS安全防护体系总体技术要求中国移动网络与信息安全总纲总部内部控制手册，控制矩阵Windows系统安全基线SQLServer数据库安全基线安全基线规范CISCO网络设备安全基线中间件和应用安全基线WEB应用安全基线WebSphere安全基线Domino安全基线3 安全基线线范围及及内容3.1 覆盖范围围目前总部部及各省省公司管管理信息息系统中中部署了了数量众众多的IIT设备备和系统统，主要要包括网网络设备备、主机机、数据据库、中中间件和和应用系系统等。此此次安全全基线制制定的范范围需要要涵盖中中国移动动管理信信息系统统

12、常见的的IT系系统和设设备，具具体包括括：1、应用用系统： Web应应用层安安全基线线，针对对Webb应用的的身份与与访问控控制、会会话管理理、代码码质量、内内容管理理等方面面制定安安全检查查项2、中间间件： SUNOONE Apacche WebSSpheere Tomccat IIS Webllogiic Oraccle Apppliccatiion Serrverr3、数据据库： Oraccle DB2 SQL Serrverr4、主机机： Winddowss AIX HP-UUX Solaariss Linuux5、设备备： Ciscco HuaWWei Juniiperr以上设备备和

13、系统统之外的的安全基基线将根根据需要要进行补补充。3.2 安全基线线组织及及内容管理信息息系统部部制定的的安全基基线主要要分为两两大类，第一大类是应用层基线，由于此层的应用系统多为定制开发，因此重在考虑设计、开发、测试环节引入的安全问题。Web应用层安全基线通常包括以下九个范畴的要求：1. 身份与访访问控制制2. 会话管理理3. 代码质量量4. 内容管理理5. 防钓鱼与与防垃圾圾邮件6. 密码算法法7. 系统日志志8. 安装配置置9. 安全维护护第二大类类是通用用的ITT基础设设施系统统层基线线，这类类系统包包括网络络设备、操操作系统统、数据据库，中中间件等等，它们们多为非定定制标准准化产品品

14、，原厂厂商技术术支持较较好，资资料完整整，因此此这类安安全基线线的内容容主要关关注帐号号口令、安安全策略略，补丁丁情况，网网络协议议，日志志等问题题。例如如操作系系统层的的安全基基线通常常包括四四个范畴畴的要求求：1. 帐号管理理，认证证授权2. 日志配置置操作3. IP协议议安全设设置4. 设备其它它配置操操作3.2.1 安全基线线编号说说明安全基线线采用SSBL-设备系系统名称称-数字字-数字字-数字字的方式式命名，设设备系统统名称是是指此基基线适用用的设备备或系统统，例如如winndowws、ooraccle等等，后续续的数字字编号指指基线要要求的具具体项目目编号，例例如SBBL-WWe

15、bAAPP-02-02-01是是指Weeb应用用的安全全基线，属属于此基基线第二二章身份份与访问问控制第第二小节节登录用用图片验验证码的的第一项项要求，因因此后续续数字编编号为 02-02-01。3.2.2 Web应应用安全全基线示示例安全基线线项目名名称Web应应用登录录验证策策略安全全基线要要求项安全基线线编号 SBLL-WeebAPPP-002-002-001安全基线线项说明明 用户登录录需提供供图片验验证码，以以防止固固定密码码暴力猜猜测账号号。检测操作作步骤检查登录录认证界界面输入入项，并并右键点点击图片片查看链链接属性性。基线符合合性判定定依据要求包含含图片验验证码输输入项，并并且

16、图片片链接属属性不得得包含明明文图片片验证码码。备注3.2.3 中间件、数数据库、主主机及设设备示例例安全基线线项目名名称操作系统统密码历历史安全全基线要要求项安全基线线编号SBL-Winndowws-002-002-002安全基线线项说明明 对于采用用静态口口令认证证技术的的设备，账账户口令令的生存存期不长长于900天。检测操作作步骤进入“控控制面板板-管管理工具具-本本地安全全策略”，在“帐户策策略-密码策策略”：查看“密密码最长长存留期期”基线符合合性判定定依据“密码最最长存留留期”设置不不大于“90天天”备注3.3 安全基线线使用要求求要求新系系统上线线时必须须完成安安全基线线检查，符

17、合基线要求才能上线，安全基线符合性将作为设备安全准入的依据。要求已上线系统在日常运维中也必须符合安全基线要求，可以使用专业的安全基线检查工具对基线各个要求项进行自动化的基线检查，并形成基线检查报告。具体业务务系统的的安全要要求应按按照业务务系统的的组成，选选择对应的安安全基线线集合进行行检测，要要求业务系统的网络设设备、主主机操作作系统、数数据库和和应用系系统必须须通过安安全基线线的检测测，对于于确实因因特殊业业务需求求无法达达到的不不符合项项，应当当做出合合理说明明。4 评审与修修订本标准由由中国移移动通信信有限公公司管理理信息系系统部定定期进行行审查，根根据审查结果修修订，并并颁发执执行。