中国移动网络与信息安全概论(143页)详解.docVIP

中国移动网络与信息安全总纲 中国移动通信集团公司 2006年7月 本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。 前言 中国移动 [注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！ 制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。 本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。本标准目前主要针对互联网、支撑网等IT系统安全。 [注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。 中国移动通信集团公司，以下简称“集团公司”。 各移动通信有限责任公司，以下简称“各省公司”。 目录 前言 1 目录 1 总则 1 1．网络与信息安全的基本概念 1 2．网络与信息安全的重要性和普遍性 1 3．中国移动网络与信息安全体系与安全策略 1 4．安全需求的来源 1 5．安全风险的评估 1 6．安全措施的选择原则 1 7．安全工作的起点 1 8．关键性的成功因素 1 9．安全标准综述 1 10．适用范围 1 第一章 组织与人员 1 第一节 组织机构 1 1．领导机构 1 2．工作组织 1 3．安全职责的分配 1 4．职责分散与隔离 1 5．安全信息的获取和发布 1 6．加强与外部组织之间的协作 1 7．安全审计的独立性 1 第二节 岗位职责与人员考察 1 1．岗位职责中的安全内容 1 2．人员考察 1 3．保密协议 1 4．劳动合同 1 5．员工培训 1 第三节 第三方访问与外包服务的安全 1 1．第三方访问的安全 1 2．外包服务的安全 1 第四节 客户使用业务的安全 1 第二章 网络与信息资产管理 1 第一节 网络与信息资产责任制度 1 1．资产清单 1 2．资产责任制度 1 第二节 资产安全等级及相应的安全要求 1 1．信息的安全等级、标注及处置 1 2．网络信息系统安全等级 1 第三章 物理及环境安全 1 第一节 安全区域 1 1．安全边界 1 2．出入控制 1 3．物理保护 1 4．安全区域工作规章制度 1 5．送货、装卸区与设备的隔离 1 第二节 设备安全 1 1．设备安置及物理保护 1 2．电源保护 1 3．线缆安全 1 4．工作区域外设备的安全 1 5．设备处置与重用的安全 1 第三节 存储媒介的安全 1 1．可移动存储媒介的管理 1 2．存储媒介的处置 1 3．信息处置程序 1 4．系统文档的安全 1 第四节 通用控制措施 1 1．屏幕与桌面的清理 1 2．资产的移动控制 1 第四章 通信和运营管理的安全 1 第一节 操作流程与职责 1 1．规范操作细则 1 2．设备维护 1 3．变更控制 1 4．安全事件响应程序 1 5．开发、测试与现网设备的分离 1 第二节 系统的规划设计、建设和验收 1 1．系统规划和设计 1 2．审批制度 1 3．系统建设和验收 1 4．设备入网管理 1 第三节 恶意软件的防护 1 第四节 软件及补丁版本管理 1 第五节 时钟和时间同步 1 第六节 日常工作 1 1．维护作业计划管理 1 2．数据与软件备份 1 3．操作日志 1 4．日志审核 1 5．故障管理 1 6．测试制度 1 7．日常安全工作 1 第七节 网络安全控制 1 第八节 信息与软件的交换 1 1．信息与软件交换协议 1 2．交接过程中的安全 1 3．电子商务安全 1 4．电子邮件的安全 1 5．电子办公系统的安全 1 6．信息发布的安全 1 7．其他形式信息交换的安全 1 第五章 网络与信息系统的访问控制 1 第一节 访问控制策略 1 第二节 用户访问管理 1 1．用户注册 1 2．超级权限的管理 1 3．口令管理 1 4．用户访问权限核查 1 第三节 用户职责 1 1．口令的使用 1 2．无人值守的用户设备 1 第四节 网络访问控制 1 1．网络服务使用策略 1 2．逻辑安全区域的划分与隔离 1 3．访问路径控制 1 4．外部连接用户的验证 1 5．网元节点验证 1 6．端口保护 1 7．网络互联控制 1 8．网络路由控制 1 9．网络服务的安全 1 第五节 操作系统的访问控制 1 1．终端自动识别 1 2．终端登录程序 1 3．用户识别和验证 1 4．口令管理系统 1 5．限制系统工具的使用 1 6．强制警报 1 7．终端超时关闭 1 8．连接