41.平台信息安全管理规范研讨.ppt

目录 管理原则 职责分工 信息安全保障措施 系统层面 应用层面 维护层面 常用安全设备及作用介绍 移动集团安全规范介绍 管理原则 原则： 宁可做过头，也不留下安全隐患。 业务单位技术信息安全管理，实行技术部经理负责制。 系统、数据库及后台管理账号，实行一人一号。 重要操作的录入与审核，要由两个不同的人来分别执行。 职责分工 技术管理部 负责制定《运营平台技术信息安全管理规范》 定期对信息安全规范的落实情况进行监督与检查 负责收集信息安全质量检查结果，汇总上报公司领导 技术支持部 负责系统、网络及数据库方面的信息安全漏洞扫描 负责升级系统、网络及数据库方面的安全漏洞补丁 职责分工 技术研究部 负责平台通讯核心系统程序的安全漏洞改造 协助平台接口程序的安全漏洞改造 业务单位技术部 负责落实《运营平台技术信息安全管理规范》工作 负责平台应用层面及维护层面的安全漏洞改造 公司外部账号管理出现问题时，技术部经理负责向本单位总经理发起协调需求，由总经理负责与外部客户沟通协调 安全保障措施——系统层面 系统漏洞扫描、补丁升级 技术支持部每月不定期使用工具对各业务单平台系统层面的安全漏洞进行扫描，抽查安全漏洞问题。 业务单位每月定期使用工具对本单位平台系统层面的安全漏洞进行扫描，检查是否存在安全漏洞问题。 技术支持部负责操作系统的补丁升级(重点关注SSH服务漏洞) 安全保障措施——系统层面 远程登录访问限制 梳理线上平台网络设备清单，调整防火墙安全策略到高级。 梳理线上平台数据库清单，不允许对Oracle数据库直接进行外网访问。如需要在外网访问，必须通过路由映射方式，且不得使用默认端口1521。 操作系统/网络设备/数据库的管理员账号禁止远程登录。 安全保障措施——系统层面 加强账号及口令的管理 操作系统/网络设备/数据库管理员仅由技术支持部高级经理、业务单位技术部经理掌握。 管理员密码每50天必须更新一遍，密码长度至少10位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 在操作系统及数据库上为每个技术支持人员分配各自的登录账号，各人权限仅限于工作操作范围。 普通技术支持人员账号禁止在操作系统和数据库上做删除操作。 安全保障措施——系统层面 （续上页） 不允许向非技术支持人员分配数据库连接账号。 业务单位新建平台，应在平台上线后2周内将服务器硬件信息、root账号密码等交接给技术支持部，由技术支持部负责定期对服务器进行信息安全扫描，定期修改root密码等工作。 线上平台外网服务开通后，业务单位需安排技术支持人员更新维护文档，并及时整理外网服务使用账号及密码清单。 安全保障措施——应用层面 第三方应用软件漏洞修复 梳理线上平台各Web容器版本清单，修改容器默认端口，禁用自带的管理应用及示例应用。 梳理线上平台所有MQ服务，增加IPTables规则禁止公网访问。 安全保障措施——应用层面 平台通讯接口服务漏洞修复 增加短彩网关上行连接指定IP的安全认证。 短信、彩信群发器，增加非群发时段群发告警，在非群发时间只要有任何消息群发，都给平台维护人员发短信提醒。 增加MISC平台请求连接指定IP的安全认证。 增加CP请求连接指定IP的安全认证，增加对CP上传内容的关键字过滤。 安全保障措施——应用层面 平台Web应用漏洞修复 修改web容器配置，屏蔽从浏览器直接查看系统目录下文件的安全漏洞。 业务单位每月定期使用工具对本单位平台应用层面的安全漏洞进行扫描，检查是否存在安全漏洞问题。 技术支持部每月使用工具对重点平台进行一次应用层面的安全漏洞扫描。 平台网站程序安全需求改造，修复SQL注入、跨站脚本攻击、数据校验攻击等常见页面安全漏洞。 安全保障措施——应用层面 （续上页） 梳理所有线上平台管理后台账号，屏蔽无效的账号。为有效的用户分配独立的登录账号，各人权限仅限于工作操作范围。 梳理所有线上平台管理后台密码，屏蔽简单口令登录。口令长度至少6位，包括数字、字母和特殊符号3类中至少2类。 后台管理网站增加登录认证方式，短信验证、图形验证、ip验证等。 重要操作记录，并提供短信提醒服务。 安全保障措施——维护层面 运营商后台操作 梳理所有线上平台的运营商操作账号，屏蔽简单口令登录，增加短信验证码的登录认证。 增加登录及审核操作的短信提醒功能。 技术支持值班，加强群发任务检查，发现含有非法关键词的群发内容，要及时汇报处理 安全保障措施——维护层面 CP后台操作 梳理所有线上平台的CP操作账号，屏蔽简单口令登录，增加短信验证码的登录认证。 增加登录操作的短信提醒功能。 强制密码30天后过期，在密码过期前5天系统自动提醒用户修改密码。 内容质检人员要加强CP录入的内容审核把关，发现含有非法/粗俗的内容，要及时汇报处理。 安全保障措