中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号：1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求，是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。

本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准，涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。

本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。

本标准由中国移动通信集团公司管理信息系统部提出，集团公司技术部归口。

本标准起草单位：中国移动通信集团公司管理信息系统部本标准主要起草人：冯运波、陈江锋、侯春森、康小强1.范围本标准规定了中国移动管理信息系统安全防护的整体技术要求，供中国移动总部、省公司、设计院、研究院使用；适用于开展管理信息系统安全防护工作。

2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

序号标准编号标准名称发布单位3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准：词语解释安全域具有相同或相近的安全需求、相互信任的区域或网络实体的集合。

一个安全域内可进一步被划分为安全子域。

资产指组织的信息系统、其提供的服务以及处理的数据。

它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。

脆弱性/弱点资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。

弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。

威胁对组织的资产引起不期望后果的事件。

威胁可能源于对企业/组织的信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。

威胁也可能源于偶发的、或蓄意的事件风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害从而直接地或间接地引起企业或机构的损害的可能性。

因此，风险和具体的资产、其价值、威胁以及相关的弱点直接相关残余风险采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。

风险是客观存在的，绝对的安全是不存在的，风险评估的目的就是使残余风险可接受AAAA 账号管理、认证、授权与审计系统ACL 访问控制列表SHG 安全加固手册(Security Harden Guideline) SBL 安全基线(Security Baseline)DMZ 非军事化区、停火区（DeMilitarized Zone）IDS 入侵检测系统(Intrusion Detection System) MIS 管理信息系统(Management Information System) SOC 安全运行管理中心Radius 接入用户远程认证服务(Remote Authentication Dial-In User Service)VPN 虚拟专用网4. 综述4.1背景随着总部和各省公司在安全方面的建设，在总部和各省公司管理信息系统内网已经部署了一些基本的安全产品，如防火墙、IDS、防病毒、防垃圾邮件系统、终端安全管理系统等，已具备了一定的安全防护能力。

但是通过对省公司的调研发现，省公司普遍存在安全防护、安全监控手段不健全，不足于抵抗各种安全攻击和风险；安全域划分不清晰，没有分层防御；设备和系统采用默认配置，存在大量安全隐患；没有进行安全风险评估等现象。

部分原因也在于过去管理信息系统的整体安全管理体系中对操作实施层面的第二层、第三层技术规范与要求不够细化与完善，出现了安全工作中没有可参考依据，可衡量标准的问题。

根据国务院信息化领导小组2003年下发“关于加强信息安全保障工作的意见” (中办发[2003]27号) 的要求，网络与信息安全工作是国家安全的重要组成部分，信息安全保障应“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全”。

文件要求正确处理安全与发展的关系，统筹规划，突出重点，强化基础性工作，通过实行信息安全等级保护实现这一目的。

因此，国家将建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

在这样的背景下，实现信息系统的分等级保护，制定相应安全防护技术标准，安全域划分标准、安全风险的评估标准，加强系统自身安全配置，避免常见的安全风险，加强设备入网安全检查等就非常重要。

为此，集团管理信息系统部制定了统一的安全防护和安全加固的系列技术规范，用于指导总部和省公司管理信息系统的安全域划分、安全防护、日常安全评估、安全加固和安全基线检查等。

本安全防护技术体系也是对管理信息系统安全管理体系（下图所示）中第二层第三层技术规范与要求的完善和补充，规范具体安全工作的实施与落地。

图一管理信息系统安全管理体系4.2本要求的范围和主要内容本技术要求的范围为总部和各省公司管理信息系统，涉及到网络安全域划分和安全防护，对主机、数据库、网络、应用系统的安全加固、安全基线检查、安全评估。

主要内容包括：●《管理信息系统安全域划分技术要求》明确了安全域划分的基本原则，界定了管理信息系统的重要性和安全风险等级，把具有相同或相近的安全属性的信息资产划分为域，进行统一规范的保护，限制系统风险在网内的任意扩散，从而有效控制安全事件和安全风险的传播。

●《管理信息系统安全域防护技术要求》规定了不同安全等级的安全域防护要求和技术手段，从网络、主机、应用系统不同层面相应的逐步建设由网络与信息安全基础设施（如防火墙、入侵检测、防病毒、安全审计等），针对各个子域，制定规范的防护技术要求，并要求按照技术要求落实安全防护措施。

提高对网络攻击、病毒入侵、网络失窃密的防范能力，防止有害信息传播，保证管理信息系统的安全运行。

●《管理信息系统安全风险评估技术要求》规定了风险评估的流程、实施风险评估的步骤，可以作为日常进行安全风险评估的指南，定期对系统与网络开展信息安全风险评估，根据评估结果与加固规范要求对系统进行安全加固。

●《管理信息系统安全加固规范》是针对各系统自身安全配置的加固操作手册，可以用来解决大多数因安全配置不到位而引起的安全问题。

●《管理信息系统安全基线技术规范》将配合安全基线检查工具一起使用，用于核查信息系统的安全合规性。

对于新上线系统，在入网前需要经过安全基线的检查，保障整体信息安全的水平。

●《管理信息系统集中灾备系统技术要求》是集团管理信息系统集中灾备系统的建设要求，涵盖建设、扩容、升级多个方面。

5. 目标和原则管理信息系统安全防护工作的主要目标就是要增强管理信息系统各个系统的安全防护能力，加强系统和设备自身的安全，确保网络的安全性与可靠性，保障管理信息系统的正常运行。

管理信息系统安全防护工作要以适度安全原则为指导，采用自主保护和重点保护方法，在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。

本安全防护体系技术要求是建立管理信息系统安全防护体系的指导性文件，要求总部和各省公司部署安全技术措施与相关安全工作。

具体包括以下步骤与要求：⏹要根据安全域划分技术要求要求，按照安全保护需求和相互信任的区域关系，将管理信息系统划分成不同的区域，并在安全域防护技术要求中定义出各个安全域的管理需求、技术需求和设备需求，部署相应的安全手段，进行安全域的边界隔离与数据流的安全策略控制。

⏹对于各个业务系统以及网络，要切实按照加固规范要求进行必要的安全加固，修补安全漏洞与隐患。

⏹对于新上线系统以及原有系统，在安全配置上要求至少符合安全基线的要求，保证和维持管理信息系统的安全基准，运维管理人员要基于安全基线定期进行安全检查。

⏹总部与省公司要基于风险评估技术要求定期组织开展风险评估，识别管理信息系统中存在的风险，并对风险进行相应的处置。

⏹针对管理信息系统需要按照灾难备份与恢复实施技术要求，在风险评估的基础上，平衡效益与成本，建立完善灾难备份与恢复体系。

6. 安全防护技术体系6.1整体说明本技术要求是中国移动管理信息系统信息安全防护技术的指导性文件，其适用范围纵向包括集团总部和省公司的管理信息系统两个层次，横向覆盖整个管理信息系统内部业务系统，包括其所属的网络设备、安全设备、服务器、终端等。

中国移动管理信息系统涉及的业务系统，包括已经建成使用的管理信息系统应用如统一信息平台、OA系统、ERP系统、综合统计系统、电子采购系统、综合信息网、终端管理平台、网上教育、全面预算管理、银企互联、计划管理系统等。

安全防护技术要求明确了管理信息系统需要落实的安全技术措施和相关的安全工作，安全防护的范畴建立的管理信息系统安全防护技术体系如下图所示，它由总纲、安全域划分技术要求、安全加固技术要求、安全基线规范、信息安全风险评估技术要求以及灾难备份与恢复实施技术要求构成。