中国电信集团公司CTG-MBOSS安全规范总册（DOC33页）.docVIP

中国电信集团公司CTG-MBOSS安全规范总册 目 录 TOC \o 1-3 \h \z 第 1 章 文档说明 1 1.1 编制说明 1 1.2 适用范围 1 1.3 起草单位 1 1.4 解释权 1 1.5 版权 1 第 2 章 综述 2 2.1 MBOSS所面临的安全挑战 2 2.1.1 安全组织管理 2 2.1.2 人员安全管理 2 2.1.3 应用开发安全管理 2 2.1.4 运维安全管理 2 2.1.5 用户管理 2 2.1.6 访问认证授权 3 2.1.7 网络安全 3 2.1.8 主机安全 3 2.1.9 终端安全 4 2.1.10 安全审计 4 2.1.11 容灾安全 4 2.2 MBOSS安全规范的目标愿景 4 2.3 改进MBOSS信息安全的关键步骤 4 2.4 MBOSS安全规范设计依据 5 第 3 章 安全规范体系说明 6 3.1 安全规范指导原则 9 3.2 安全管理规范综述 9 3.3 安全技术规范综述 10 第 4 章 CTG－MBOSS安全规范实施 13 4.1 MBOSS安全规范演进计划 13 4.1.1 第一阶段：建立MBOSS安全服务平台基础设施 13 4.1.2 第二阶段：扩充MBOSS安全服务平台的功能 14 4.1.3 第三阶段：完善MBOSS安全体系 15 4.2 CTG－MBOSS安全架构的部署建议 15 4.3 CTG－MBOSS容灾备份 16 第 5 章 安全规范演进风险及应对 17 5.1 IT安全组织的建立 17 5.2 实施范围的控制 17 5.3 人力资源安排 18 5.4 员工对安全管理制度的接受 18 附录 1. 附录 19 附录1.1. 规范编制人员名单 19 附录1.2. 名词定义 19 附录1.3. 参考文献 20 文档说明 编制说明 本规范作为中国电信CTG-MBOSS规范的重要组成部分，为中国电信集团建设MBOSS信息安全体系提供依据。本规范的编制是在《CTG-MBOSS 总体规范 V2.0》的总体框架体系指导下，参考了已有的中国电信集团下发的安全政策文件，继承和吸收了原有安全管理实践的经验成果，并充分考虑了各省电信公司的现状和行业最佳实践与安全新技术的引入。本规范是MBOSS总体规范的组成部分，全面、概括地阐述了安全架构、安全管理、安全技术以及实施演进策略等内容。 适用范围 本规范适用于中国电信集团公司及下属省（市）电信公司进行MBOSS信息安全的规划和建设，为MBOSS系统相关的安全建设、升级改造、系统演进提供指导和依据。 起草单位 本规范的起草单位是中国电信集团公司。 解释权 本规范的解释权属于中国电信集团公司。 版权 综述 MBOSS所面临的安全挑战 安全组织管理 随着中国电信MBOSS的建设和发展，如何及时制定出信息安全的指导方针，研究和分析信息安全建设对中国电信业务发展的价值和影响，更好适应不断变化的组织形式，明确组织内部人员职责，以保障中国电信业务系统安全稳定地运行成为安全管理机构面临的最大挑战。 人员安全管理 据调查大部分的安全事件都来自公司的内部，商业间谍的存在，员工有意无意透露公司商业信息，员工在离职后泄露公司商业秘密及从事与公司有竞争利益的商业活动等，都暴露出公司在人员安全管理方面存在的问题。定期进行员工安全意识培训已经刻不容缓。 应用开发安全管理 随着中国电信MBOSS的发展，应用系统将面临诸多的安全威胁。身份认证的欺骗、用户权限的滥用、输入数据校验的异常、跨站点的代码攻击、缓冲区溢出等等，都对我们的应用开发提出了新的安全设计和防护要求。制定严格的编程规范和管理手段成为不能回避的问题。 运维安全管理 随着中国电信MBOSS系统各项业务对信息系统依赖程度逐渐提高，信息系统的复杂度急剧增加，从规划建设到系统运维阶段的安全建设都应遵循系统的生命周期进行设计，另一方面信息系统在运维过程中的安全问题变得更加突出，因此也提出了越来越高的安全运维要求;同时复杂的业务系统和异构的网络环境，增加了系统安全运维的难度。传统的单一、孤立的安全运维管理已越来越不适应中国电信CTG-MBOSS系统安全运维管理的需求，CTG-MBOSS系统安全运维管理应向综合安全运维阶段进行深刻转变。 用户管理 随着中国电信MBOSS系统的发展，用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，原有的用户管理措施已不能满足中国电信目前及未来业务发展的要求。 主要表现在以下方面： 如果MBOSS每个系统均拥有独立