logo

您所在位置网站首页 > 海量文档  > 计算机 > 管理系统

[安全管理]中国移动管理信息系统安全基线规范v.doc 12页

本文档一共被下载: ,您可全文免费在线阅读后下载本文档。

  • 支付并下载
  • 收藏该文档
  • 百度一下本文档
  • 修改文档简介
全屏预览

下载提示

1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
(安全管理)中国移动管理信息系统安全基线规范v QB- QB-╳╳-╳╳╳-╳╳╳╳ 版本号: 版本号:1.0.0 前言 本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。 本规范由中国移动通信集团公司管理信息系统部提出并归口管理。 本规范的解释权属于中国移动通信集团公司管理信息系统部。 本规范起草单位:中国移动通信集团公司管理信息系统部 本规范主要起草人:起草人1姓名、起草人2姓名、…… 目录 TOC \o "1-3" \h \z \u 1概述4 1.1目标和适用范围4 1.2引用标准4 1.3术语和定义4 2安全基线框架5 2.1背景5 2.2安全基线制定的方法论6 2.3安全基线框架说明6 3安全基线范围及内容7 3.1覆盖范围7 3.2安全基线组织及内容8 3.2.1 安全基线编号说明9 3.2.2 Web应用安全基线示例9 3.2.3 中间件、数据库、主机及设备示例9 3.3安全基线使用要求10 4评审与修订10 概述 目标和适用范围 本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。 引用标准 《中国移动网络与信息安全总纲》 《中国移动内部控制手册》 《中国移动标准化控制矩阵》 《中国移动操作系统安全功能和配置规范》 《中国移动路由器安全功能和配置规范》 《中国移动数据库安全功能和配置规范》 《中国移动网元通用安全功能和配置规范》 FIPS199《联邦信息和信息系统安全分类标准》 FIPS200《联邦信息系统最小安全控制标准》 术语和定义 词语 解释 SecurityBaseline 安全基线:是设备功能和配置方面的基本安全要求,是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统,用于保障组织内IT系统安全水平。 SHG 安全加固手册SecurityHardenGuideline SBL 安全基线SecurityBaseline 安全风险 人为或自然的威胁可能利用IT系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 安全风险评估 指运用科学的方法和手段,系统地分析IT系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解IT系统安全风险,或者将风险控制在可接受的水平,为最大限度地为保障IT系统的安全提供科学依据 资产 是安全防护保护的对象。管理信息系统的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如OA系统、ERP系统等。 资产价值 资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。 威胁 可能导致对IT系统产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。 脆弱性 是IT系统中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危害资产的安全。 安全基线框架 背景 中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。为了保证整体安全水平,防止系统设备因为安全配置不到位而带来安全风险,有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固,则可以确保系统和设备安全符合性达到要求,杜绝大部分的安全隐患。为此,制定各系统的安全基线,作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据,同时也是满足内控管理要求的依据。 此次系列安全基线规范覆盖了从应用层、中间件层、操作系统层以及网络层,并依据这些安全基线建立准入措施,从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下: 覆盖面广,涵盖管理信息系统常见IT系统和设备,并涵盖Web应用和源代码的安全基线; 可操作性强,针对每个检查项均有简洁的操作说明; 定期更新,应当周期性的对基线进行补充和更新; 成果可固化,基线可以被集成为检查工具; 安全基线将作为系统和设备安全准入的必要条件。 安全基线制定的方法论 安全基线制定主要基于以下方法: 参考产品原厂商的技术资料 参考安全服务及安全研究的成果 参考国内外大型研

发表评论

请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
用户名: 验证码: 点击我更换图片

“原创力文档”前称为“文档投稿赚钱网”,本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。原创力文档是网络服务平台方,若您的权利被侵害,侵权客服QQ:3005833200 电话:19940600175 欢迎举报,上传者QQ群:784321556