中国电信集团公司CTG-MBOSS安全规范总册P33.docVIP

中国电信集团公司CTG-MBOSS安全规范总册 目 录 第 1 章 文档说明 1 1.1 编制说明 1 1.2 适用范围 1 1.3 起草单位 1 1.4 解释权 1 1.5 版权 1 第 2 章 综述 2 2.1 MBOSS所面临的安全挑战 2 2.1.1 安全组织管理 2 2.1.2 人员安全管理 2 2.1.3 应用开发安全管理 2 2.1.4 运维安全管理 2 2.1.5 用户管理 2 2.1.6 访问认证授权 3 2.1.7 网络安全 3 2.1.8 主机安全 3 2.1.9 终端安全 4 2.1.10 安全审计 4 2.1.11 容灾安全 4 2.2 MBOSS安全规范的目标愿景 4 2.3 改进MBOSS信息安全的关键步骤 4 2.4 MBOSS安全规范设计依据 5 第 3 章 安全规范体系说明 6 3.1 安全规范指导原则 9 3.2 安全管理规范综述 9 3.3 安全技术规范综述 10 第 4 章 CTG－MBOSS安全规范实施 13 4.1 MBOSS安全规范演进计划 13 4.1.1 第一阶段：建立MBOSS安全服务平台基础设施 13 4.1.2 第二阶段：扩充MBOSS安全服务平台的功能 14 4.1.3 第三阶段：完善MBOSS安全体系 15 4.2 CTG－MBOSS安全架构的部署建议 15 4.3 CTG－MBOSS容灾备份 16 第 5 章 安全规范演进风险及应对 17 5.1 IT安全组织的建立 17 5.2 实施范围的控制 17 5.3 人力资源安排 18 5.4 员工对安全管理制度的接受 18 附录 1. 附录 19 附录1.1. 规范编制人员名单 19 附录1.2. 名词定义 19 附录1.3. 参考文献 20 文档说明 编制说明 本规范作为中国电信CTG-MBOSS规范的重要组成部分，为中国电信集团建设MBOSS信息安全体系提供依据。本规范的编制是在《CTG-MBOSS 总体规范 V2.0》的总体框架体系指导下，参考了，继承和吸收了原有管理的经验成果，并充分考虑了新技术的引入。本规范是总体规范，全面、概括地阐述了、实施演进策略等内容。 综述 MBOSS所面临的安全挑战 安全组织管理 随着中国电信MBOSS的建设和发展，如何及时制定出信息安全的指导方针，研究和分析信息安全建设对中国电信业务发展的价值和影响，更好适应不断变化的组织形式，明确组织内部人员职责，以保障中国电信业务系统安全稳定地运行成为安全管理机构面临的最大挑战。 人员安全管理 据调查大部分的安全事件都来自公司的内部，商业间谍的存在，员工有意无意透露公司商业信息，员工在离职后泄露公司商业秘密及从事与公司有竞争利益的商业活动等，都暴露出公司在人员安全管理方面存在的问题。定期进行员工安全意识培训已经刻不容缓。 应用开发安全管理 随着中国电信MBOSS的发展，应用系统将面临诸多的安全威胁。身份认证的欺骗、用户权限的滥用、输入数据校验的异常、跨站点的代码攻击、缓冲区溢出等等，都对我们的应用开发提出了新的安全设计和防护要求。制定严格的编程规范和管理手段成为不能回避的问题。 运维安全管理 随着对信息依赖，提出了越来越高的运维要求;复杂的业务系统和异构的网络环境，增加运维的难度。综合安全阶段 缺乏账号生命周期管理机制，存在大量孤立账号，增加信息系统安全风险； 存在多人共用一账号现象，难以控制账号扩散范围，安全管理存在漏洞。且安全事故发生后，难以审计并定位到实际使用者； 帐号审计没有很好的流程来规范，进行帐号的生命周期管理，保证帐号安全。 访问认证授权 随着网络攻击技术的快速发展，CTG-MBOSS的访问认证授权面临着严峻的挑战，具体来说存在着可能导致较严重安全事件的几类问题，具体如下： 1．认证功能分散在各设备和系统中难以统一管理。 2．授权功能分散在各设备和系统中难以与业务要求相协调。 3．未建立统一的访问认证管理流程。 上述三个方面的问题可能导致较严重的安全事件，是CTG-MBOSS在访问认证授权方面的主要问题，会带来巨大的挑战。 网络安全 由于以往建设的网络系统在安全建设和安全互联方面考虑较少，随着信息技术、网络技术的快速发展，网络系统面临的安全威胁日益增加。 根据调研，CTG-MBOSS网络系统所面临的主要威胁除了物理攻击破坏外，还包括恶意软件攻击、内部员工误用、黑客入侵破坏等几类。 因此，迫切需要开展网络安全研究，从整体安全防护、边界防护、网络安全架构及性能规划与MBOSS需求相适应、系统内部安全防护、安全审计等不同角度出发，制定安全防护原则和优化改造方案。使网络安全与网络系统“同步规划、同步建设、同步维护”。 主机安全 CTG-MBOSS中的主机系统作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全