电信网和互联网安全防护基线配置要求中间件-中国通信标准化协会.doc

行业标准项目建议书 建议项目名称 (中文)电信网和互联网安全防护基线配置要求 中间件建议项目名称 (英文)Baseline requirements for Middleware Security Configuration制定或修订■制定□修订被修订标准号采用程度□IDT□MOD□NEQ采标号国际标准名称 (中文)国际标准名称 (英文)采用快速程序□FTP快速程序代码□B□CICS分类号中国标准分类号牵头单位中国移动计划起止时间2012.12 - 2013.12参加单位中国电信、中国联通、工信部电信研究院、神州泰岳目的、意义或必要性本项目将建立一套通信企业统一遵循的、适用于各业务网络的、包括网络设备、安全设备、操作系统、数据库、中间件以及应用系统在内的安全配置基线，为今后的设备入网，系统验收，日常维护以及安全核查等工作提供可参照的统一标准和规范。 随着通信全业务经营的开展和互联网业务的大力发展，通信企业自身网络不断暴露出不同程度的安全隐患。通过历次的通信网络安全检查，发现由于账号、口令、授权、日志等安全配置不当引起的安全问题占很大比例，是导致安全事件的主要原因之一。为了有效解决该类问题，必须加强安全配置管理，首要任务将安全防护要求细化到可执行和实现的要求，制定安全配置基线。但目前国内通信企业安全配置基线缺乏统一、规范的安全配置基线要求，迫切需要制定一套全面的、包含现网中主流应用的网络设备、安全设备、操作系统、数据库、中间件以及应用系统在内的通用的、统一的、可执行的安全配置基线，规定为保证其安全运行需要遵从的基本安全配置及参数阀值，并规范相关的安全配置技术操作，使相关网络单元的安全配置“有章可循、有据可依”。范围和主要 技术内容通信网络涉及的主流中间件，包含对Apache、IIS、Tomcat、WebLogic、WebSphere等通信网络涉及中间件的安全配置要求和参考操作。适用于电信企业日常维护以及安全核查等有关的安全配置。国内外情况 简要说明 无 牵头单位（签字、盖公章） 月 日标准化技术组织（签字、盖公章） 月 日部委托机构（签字、盖公章） 月 日[注1] 填写制定或修订项目中，若选择修订则必须填写被修订标准号； [注2] 选择采用国际标准，必须填写采标号及采用程度； [注3] 选择采用快速程序，必须填写快速程序代码。 行业标准项目建议书（续） 技术工作委员会/工作组电信网安全防护特设组项目类型■标准项目  FORMCHECKBOX
 标准预研项目附议单位 （3个以上）单位名称、联系人、联系方式，后附附议文件。参加单位意见 年 月 日工作组意见 （签字） 年 月 日技术工作委员会意见 （签字） 年 月 日牵头单位信息单位名称： 中国移动联系人： 陈敏时联系方式：项目负责人： 徐海东联系方式：标准化人员证书编号： 备注