当前位置:文档之家› 中国移动网络与信息安全概论

中国移动网络与信息安全概论

中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。

随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。

本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司,以下简称“集团公司”。

各移动通信有限责任公司,以下简称“各省公司”。

前言 (1)目录 (2)总则 (11)1.网络与信息安全的基本概念 (11)2.网络与信息安全的重要性和普遍性 (11)3.中国移动网络与信息安全体系与安全策略 (12)4.安全需求的来源 (14)5.安全风险的评估 (15)6.安全措施的选择原则 (16)7.安全工作的起点 (16)8.关键性的成功因素 (17)9.安全标准综述 (18)10.适用范围 (22)第一章组织与人员 (24)第一节组织机构 (24)1.领导机构 (24)2.工作组织 (25)3.安全职责的分配 (26)4.职责分散与隔离 (27)5.安全信息的获取和发布 (28)6.加强与外部组织之间的协作 (28)7.安全审计的独立性 (29)第二节岗位职责与人员考察 (29)1.岗位职责中的安全内容 (29)2.人员考察 (30)3.保密协议 (31)4.劳动合同 (31)5.员工培训 (31)第三节第三方访问与外包服务的安全 (32)1.第三方访问的安全 (32)2.外包服务的安全 (33)第四节客户使用业务的安全 (35)第二章网络与信息资产管理 (36)第一节网络与信息资产责任制度 (36)1.资产清单 (36)2.资产责任制度 (37)第二节资产安全等级及相应的安全要求 (40)1.信息的安全等级、标注及处置 (40)2.网络信息系统安全等级 (42)第三章物理及环境安全 (44)第一节安全区域 (44)2.出入控制 (45)3.物理保护 (46)4.安全区域工作规章制度 (47)5.送货、装卸区与设备的隔离 (48)第二节设备安全 (49)1.设备安置及物理保护 (49)2.电源保护 (50)3.线缆安全 (51)4.工作区域外设备的安全 (52)5.设备处置与重用的安全 (52)第三节存储媒介的安全 (53)1.可移动存储媒介的管理 (53)2.存储媒介的处置 (53)3.信息处置程序 (54)4.系统文档的安全 (55)第四节通用控制措施 (56)1.屏幕与桌面的清理 (56)2.资产的移动控制 (57)第四章通信和运营管理的安全 (58)第一节操作流程与职责 (58)1.规范操作细则 (58)3.变更控制 (60)4.安全事件响应程序 (60)5.开发、测试与现网设备的分离 (61)第二节系统的规划设计、建设和验收 (62)1.系统规划和设计 (62)2.审批制度 (62)3.系统建设和验收 (63)4.设备入网管理 (65)第三节恶意软件的防护 (65)第四节软件及补丁版本管理 (67)第五节时钟和时间同步 (68)第六节日常工作 (68)1.维护作业计划管理 (68)2.数据与软件备份 (68)3.操作日志 (70)4.日志审核 (70)5.故障管理 (71)6.测试制度 (72)7.日常安全工作 (72)第七节网络安全控制 (73)第八节信息与软件的交换 (74)1.信息与软件交换协议 (74)2.交接过程中的安全 (74)3.电子商务安全 (75)4.电子邮件的安全 (76)5.电子办公系统的安全 (77)6.信息发布的安全 (78)7.其他形式信息交换的安全 (79)第五章网络与信息系统的访问控制 (80)第一节访问控制策略 (80)第二节用户访问管理 (82)1.用户注册 (82)2.超级权限的管理 (83)3.口令管理 (85)4.用户访问权限核查 (86)第三节用户职责 (86)1.口令的使用 (86)2.无人值守的用户设备 (87)第四节网络访问控制 (88)1.网络服务使用策略 (89)2.逻辑安全区域的划分与隔离 (89)3.访问路径控制 (90)4.外部连接用户的验证 (91)6.端口保护 (92)7.网络互联控制 (92)8.网络路由控制 (93)9.网络服务的安全 (93)第五节操作系统的访问控制 (93)1.终端自动识别 (94)2.终端登录程序 (94)3.用户识别和验证 (95)4.口令管理系统 (95)5.限制系统工具的使用 (96)6.强制警报 (97)7.终端超时关闭 (97)8.连接时间限制 (98)第六节应用访问控制 (98)1.信息访问限制 (98)2.隔离敏感应用 (99)第七节系统访问与使用的监控 (99)1.事件记录 (100)2.监控系统使用情况 (100)第八节移动与远程工作 (102)1.移动办公 (102)第六章系统开发与软件维护的安全 (105)第一节系统的安全需求 (105)第二节应用系统的安全 (107)1.输入数据验证 (107)2.内部处理控制 (108)3.消息认证 (109)4.输出数据验证 (109)第三节系统文件的安全 (110)1.操作系统软件的控制 (110)2.系统测试数据的保护 (111)3.系统源代码的访问控制 (112)第四节开发和支持过程中的安全 (113)1.变更控制程序 (113)2.软件包的变更限制 (114)3.后门及特洛伊代码的防范 (115)4.软件开发外包的安全控制 (116)第五节加密技术控制措施 (116)1.加密技术使用策略 (116)2.使用加密技术 (117)3.数字签名 (118)4.不可否认服务 (119)第七章安全事件响应及业务连续性管理 (122)第一节安全事件及安全响应 (122)1.及时发现与报告 (123)2.分析、协调与处理 (123)3.总结与奖惩 (125)第二节业务连续性管理 (125)1.建立业务连续性管理程序 (125)2.业务连续性和影响分析 (126)3.制定并实施业务连续性方案 (127)4.业务连续性方案框架 (128)5.维护业务连续性方案 (130)第八章安全审计 (132)第一节遵守法律法规要求 (132)1.识别适用的法律法规 (132)2.保护知识产权 (133)3.保护个人信息 (133)4.防止网络与信息处理设施的不当使用 (134)5.加密技术控制规定 (134)6.保护公司记录 (135)7.收集证据 (135)第二节安全审计的内容 (136)第三节安全审计管理 (136)1.独立审计原则 (137)2.控制安全审计过程 (137)3.保护审计记录和工具 (138)参考文献 (139)术语和专有名词 (140)附录1:安全体系第二层项目清单(列表) (141)总则1.网络与信息安全的基本概念网络与信息安全包括下列三个基本属性:机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。

根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。

完整性(Integrity):确保网络设施和信息及其处理的准确性和完整性。

可用性(Availability):确保被授权用户能够在需要时获取网络与信息资产。

需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。

2.网络与信息安全的重要性和普遍性网络与信息都是资产,具有不可或缺的重要价值。

无论对企业、国家还是个人,保证其安全性是十分重要的。

网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;是保障客户利益的基础。

中国移动的网络与信息安全也是国家安全的需要。

网络与信息安全工作无所不在,分散在每一个部门,每一个岗位,甚至是每一个合作伙伴;同时,网络与信息安全是中国移动所有员工共同分担的责任,与每一个员工每一天的日常工作息息相关。

中国移动所有员工必须统一思想,提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。

3.中国移动网络与信息安全体系与安全策略 国内外标准合作方经验网络与信息安全体系(NISS )总纲安全评估结果技术管理具体实施现有规范检查考核效果评估安全审计业务保障系统开发访问控制运营维护物理环境信息资产组织人员网络业务应用安全设备安全技术第一层第二层第三层操作手册流程、细则中国移动网络与信息安全体系如上图所示。

中国移动网络与信息安全体系是由两部分组成的。

一部分是一系列安全策略和技术管理规范(第一、二层),另一部分是实施层面的工作流程(第三层)。

网络与信息安全体系(NISS )总纲(以下简称总纲)位于安全体系的第一层,是整个安全体系的最高纲领。

它主要阐述安全的必要性、基本原则及宏观策略。

总纲具有高度的概括性,涵盖了技术和管理两个方面,对中国移动各方面的安全工作具有通用性。

安全体系的第二层是一系列的技术规范和管理规定,是对总纲的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。

安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的细则、流程等,具备最直观的可操作性。

安全体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考核,同时遵循动态管理和闭环管理的原则,通过定期的评估不断修改完善。

安全策略是在公司内部,指导如何对网络与信息资产进行管理、保护和分配的规则和指示。

中国移动必须制订并实施统一的网络与信息安全策略,明确安全管理的方向、目标和范围。

安全策略必须得到管理层的批准和支持。

安全策略应被定期评审和修订,以确保其持续适宜性,特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。

中国移动的安全策略是由安全体系三个层面的多个子策略组成的,具有分层结构的完整体系,包含了从宏观到微观,从原则方向到具体措施等多方面的内容。

安全策略用来指导全网的网络与信息安全工作。

4.安全需求的来源确立安全需求是建立完整的安全体系的首要工作。

中国移动的安全需求主要源自下述三个方面:系统化的安全评估。

相关主题