三同步中涉及的日常安全工作.pptVIP

谢谢！ * * * * * * * * * * * * * * * * * * 1、设备入网，设备采购，要将安全功能要求纳入测试项目，作为招标依据； * * 1、设备入网，设备采购，要将安全功能要求纳入测试项目，作为招标依据； * * * * * * 1、设备入网，设备采购，要将安全功能要求纳入测试项目，作为招标依据； * * * * * * * * * * * * * * * * 安全入网验收的必要性－促进建设环节加强设备安全 通过安全验收强制把安全意识有效的传递到开发厂商，让其重视安全。 只有在源头开始重视安全，业务系统的安全正常更能得到保障，在运维阶段安全维护的成本就更低。 安全入网验收的必要性－降低设备带病入网 经新入网安全验收后，新业务系统安全风险明显降低 1.高风险漏洞数加固前后对比 2.中风险漏洞数加固前后对比 3.配置不符合项加固前后对比 安全验收管理－安全入网验收工作内容 检查依据： 《中国移动防火墙安全功能及配置规范》 检查标准：已按照最小化权限的原则配置防护墙策略，不存在不明策略 输出文档： 《安全域检查报告》 检查依据： 《中国移动安全域管理办法》、《中国移动支撑系统安全域划分与边界整合技术要求》和《中国移动防火墙部署总体技术要求》 检查标准：检查域拓扑、安全域内资产情况、VLAN访问控制策略、边界互联情况，确保符合要求 输出文档： 《安全域检查报告》 检查依据： 《中国移动帐号口令管理办法》 检查标准：设备的帐号长度复杂度、密码策略等安全策略符合要求 输出文档： 《帐号安全检查报告》 检查依据： 《中国移动服务与端口管理办法》 检查标准：所有必须开放的端口其对应的应用软件和功用必须列表登记，不允许存在非必要的开放端口。 输出文档： 《服务端口检查报告》 检查标准：检查windows设备是否已经安装指定授权的防病毒软件，并且检查病毒库是否已更新到最新。 输出文档： 《防病毒软件检查报告》 检查标准：检查设备的系统层、数据库和应用层是否已用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改或其他异常事件提供审计功能。 输出文档： 《系统天志安全检查报告》 检查标准：不允许存在已被CVE定义的高风险漏洞和中风险漏洞。 输出文档： 《漏洞扫描检查报告》 检查依据：《中国移动操作系统安全功能及配置规范》、《中国移动数据库安全功能及配置规范》、《中国移动路由器安全功能及配置规范》、《中国移动防火墙安全功能及配置规范》等规范要求 检查标准：检查设备的安全配置是否已符合 输出文档：《安全配置检查报告》 检查依据：《帐号口令管理办法》 检查标准：设备的帐号口令符合复杂度要求 输出文档：《弱口令检查报告》 检查标准：WEB网站不存在深层次安全问题，如缓冲区溢出、跨站脚本攻击、SQL注入等编程漏洞和通信协议中存在的漏洞等 输出文档：《渗透测试报告》 安全验收管理－适用范围与验收执行 安全验收范围 设备新入网 设备扩容入网 设备调整进入 所指“设备”包括通信网、业务网和各支撑系统的IT设备 安全验收执行部门职能： 审核、确认验收工单，拟定验收方案 核查入网验收材料是否真实、是否符合安全验收标准 按入网验收工单的设备清单进行安全检查 输出安全验收报告，提出入网意见 督促安全验收需求部门对遗留问题进行整改 安全验收管理－安全入网验收流程 安全验收管理－ 基本检查信息 安全验收管理－ 基本检查信息 安全验收管理－ 基本检查信息 安全验收管理－ 检查结果 系统管理员与入网安全验收工作 “安全责任分配的基本原则是“谁主管，谁负责”。每项网络与信息资产，根据资产归属确定“责任人”。 安全入网验收是确保业务系统安全的第一道防线，直接影响业务系统上线后的安全性。需要系统管理员积极配合，将安全工作往前移，将安全隐患消灭自萌芽状态。 从参加业务规化，建设过程环节做起 学习入网安全验收流程，促进安全要求落地 提出验收手段改进建议，提高验收效率 坚持正确应用规范，推动规范落地 加强安全培训，提高安全验收能力 序号 阶段 问题 解决措施 1 初期阶段 1、安全检查内容不完善； 2、各部门对规范不熟悉，出现扯皮现象； 3、每个安全检查内容的报告格式不统一，不便于归档。 1、提高规范的落地性，对集团的要求进行梳理明确安全检查内容； 2、召开宣贯会，对相关部门进行宣贯，明确每个部门的职责； 3、标准化输出报告 2 中期阶段 1、因设备入网时，需提交较多表格，入网单位和入网厂商对安全入网验收的抵制情绪较高； 2、安全验收部门在执行过程发现依靠手工检查存在技能要求较高、耗时耗力和业务关联性差等问题。 1、为方便入网单位和入网厂商填写表格，制作了详细的填写样例。组织全公司安全专