asy1214中国电信集团公司CTGMBOSS安全规范总册【完整版】

下面是小编为大家整理的asy1214中国电信集团公司CTGMBOSS安全规范总册【完整版】,供大家参考。

asy1214 中国电信集团公司 CTGMBOSS 安全规范总册目 目 录第 第 1 章 文档说明...............................................................................................................11.1 编制说明..................................................................................................................11.2 适用范围..................................................................................................................11.3 起草单位..................................................................................................................11.4 解释权......................................................................................................................11.5 版权..........................................................................................................................2第 第 2 章 综述.......................................................................................................................32.1 MBOSS 所面临的安全挑战....................................................................................32.1.1 安全组织管理 ................................................................................................3 2.1.2 人员安全管理 ................................................................................................32.1.3 应用开发安全管理 ........................................................................................32.1.4 运维安全管理 ..............................................................................................42.1.5 用户管理 ........................................................................................................42.1.6 访问认证授权 ................................................................................................52.1.7 网络安全 ........................................................................................................52.1.8 主机安全 ........................................................................................................62.1.9 终端安全 ........................................................................................................62.1.10 安全审计 ......................................................................................................62.1.11 容灾安全 ......................................................................................................72.2 MBOSS 安全规范的目标愿景................................................................................72.3 改进 MBOSS 信息安全的关键步骤.......................................................................72.4 MBOSS 安全规范设计根据....................................................................................9第 第 3 章 安全规范体系说明............................................................................................ 103.1 安全规范指导原则................................................................................................133.2 安全管理规范综述................................................................................................143.3 安全技术规范综述................................................................................................16第 第 4 章 CTG －MBOSS 安全规范实施.........................................................................194.1 MBOSS 安全规范演进计划..................................................................................194.1.1 第一阶段：建立 MBOSS 安全服务平台基础设施 ...................................194.1.2 第二阶段：扩充 MBOSS 安全服务平台的功能 .......................................214.1.3 第三阶段：完善 MBOSS 安全体系 ...........................................................22 4.2 CTG－MBOSS 安全架构的部署建议..................................................................234.3 CTG－MBOSS 容灾备份......................................................................................24第 第 5 章 安全规范演进风险及应对................................................................................ 255.1 IT 安全组织的建立................................................................................................255.2 实施范围的操纵....................................................................................................265.3 人力资源安排........................................................................................................265.4 员工对安全管理制度的同意................................................................................27附录 1. 附录........................................................................................................................28附录 1.1. 规范编制人员名单.........................................................................................28附录 1.2. 名词定义.........................................................................................................29附录 1.3. 参考文献.........................................................................................................29 第 第 1 1 章 文档说明1.1 编制说明本规范作为中国电信 CTG-MBOSS 规范的重要构成部分，为中国电信集团建设MBOSS 信息安全体系提供根据。本规范的编制是在《CTG-MBOSS 总体规范 V2.0》的总体框架体是指导下，参考了已有的中国电信集团下发的安全政策文件，继承与汲取了原有安全管理实践的经验成果，并充分考虑了各省电信公司的现状与行业最佳实践与安全新技术的引入。本规范是 MBOSS总体规范的构成部分，全面、概括地阐述了安全架构、安全管理、安全技术与实施演进策略等内容。1.2 适用范围本规范适用于中国电信集团公司及下属省（市）电信公司进行 MBOSS 信息安全的规划与建设，为 MBOSS系统有关的安全建设、升级改造、系统演进提供指导与根据。1.3 起草单位本规范的起草单位是中国电信集团公司。1.4 解释权本规范的解释权属于中国电信集团公司。 1.5 版权 第 第 2 2 章 综述2.1 MBOSS 所面临的安全挑战2.1.1 安全组织管理随着中国电信 MBOSS 的建设与进展，如何及时制定出信息安全的指导方针，研究与分析信息安全建设对中国电信业务进展的价值与影响，更好习惯不断变化的组织形式，明确组织内部人员职责，以保障中国电信业务系统安全稳固地运行成为安全管理机构面临的最大挑战。2.1.2 人员安全管理据调查大部分的安全事件都来自公司的内部，商业间谍的存在，员工有意无意透露公司商业信息，员工在离职后泄露公司商业秘密及从事与公司有竞争利益的商业活动等，都暴露出公司在人员安全管理方面存在的问题。定期进行员工安全意识培训已经刻不容缓。2.1.3 应用开发安全管理随着中国电信 MBOSS 的进展，应用系统将面临诸多的安全威胁。身份认证的欺骗、用户权限的滥用、输入数据校验的特殊、跨站点的代码攻击、缓冲区溢出等等，都对我们的应用开发提出了新的安全设计与防护要求。制定严格的编程规范与管理手段成为不能回避的问题。 2.1.4 运维安全管理随着中国电信 MBOSS 系统各项业务对信息系统依靠程度逐步提高，信息系统的复杂度急剧增加，从规划建设到系统运维阶段的安全建设都应遵循系统的生命周期进行设计，另一方面信息系统在运维过程中的安全问题变得更加突出，因此也提出了越来越高的安全运维要求;同时复杂的业务系统与异构的网络环境，增加了系统安全运维的难度。传统的单一、孤立的安全运维管理已越来越不习惯中国电信 CTG-MBOSS 系统安全运维管理的需求，CTG-MBOSS 系统安全运维管理应向综合安全运维阶段进行深刻转变。2.1.5 用户管理随着中国电信 MBOSS 系统的进展，用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，原有的用户管理措施已不能满足中国电信目前及未来业务进展的要求。要紧表现在下列方面：假如 MBOSS 每个系统均拥有独立的用户管理系统，将会给同时保护多个应用系统的保护人员带来巨大工作量；缺乏账号生命周期管理机制，存在大量孤立账号，增加信息系统安全风险；存在多人共用一账号现象，难以操纵账号扩散范围，安全管理存在漏洞。且安全事故发生后，难以审计并定位到实际使用者；帐号审计没有很好的流程来规范，进行帐号的生命周期管理，保证帐号安全。 2.1.6 访问认证授权随着网络攻击技术的快速进展，CTG-MBOSS的访问认证授权面临着严峻的挑战，具体来说存在着可能导致较严重安全事件的几类问题，具体如下：1．认证功能分散在各设备与系统中难以统一管理。2．授权功能分散在各设备与系统中难以与业务要求相协调。3．未建立统一的访问认证管理流程。上述三个方面的问题可能导致较严重的安全事件，是 CTG-MBOSS在访问认证授权方面的要紧问题，会带来巨大的挑战。2.1.7 网络安全由于以往建设的网络系统在安全建设与安全互联方面考虑较少，随着信息技术、网络技术的快速进展，网络系统面临的安全威胁日益增加。根据调研，CTG-MBOSS网络系统所面临的要紧威胁除了物理攻击破坏外，还包含恶意软件攻击、内部员工误用、黑客入侵破坏等几类。因此，迫切需要开展网络安全研究，从整体安全防护、边界防护、网络安全架构及性能规划与 MBOSS需求相习惯、系统内部安全防护、安全审计等不一致角度出发，制定安全防护原则与优化改造方案。使网络安全与网络系统“同步规划、同步建设、同步保护”。 2.1.8 主机安全CTG-MBOSS中的主机系统作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面。作为 CTG-MBOSS 系统中重要的构成部分，各类业务系统主机数量众多，资产价值高，面临的安全风险极大。一方面，主机是 CTG-MBOSS系统各类业务系统数据的要紧载体，这些业务数据是系统信息资产的重要构成部分；另一方面，病毒、木马等安全威胁很容易通过访问主机系统的终端渗透到后台各类业务应用与服务主机中，从而对 CTG-MBOSS 系统的整体安全带来危害。为此需要在终端与主机安全领域建立一套安全技术体系来保障其安全，从而进一步完善 CTG-MBOSS 的安全技术体系。2.1.9 终端安全终端作为一种比较分散的资产，长期以来难以进行集中的有效的管理；作为 CTG-MBOSS的一个基本组件，面临病毒、蠕虫、木马、恶意代码的泛滥，不安全的终端可能成为一个被动的攻击源，对整个 MBOSS系统构成威胁。企业内部应制定统一的终端安全策略、终端安全接入 MBOSS策略，包含补丁管理、终端审计等流程。2.1.10 安全审计随着中国电信 CTG-MBOSS系统建设与进展，同时为满足萨班斯法案关于 IT 系统内部操纵的要求，安全审计将成为一项重要的技术手段。但在具体的安全运维工作中，安全审计面临诸多挑战，要紧表达在内部人员操作、第三方保护人员操作与最高权限用户使用过程中。要建立一套完备的审计机制。 2.1.11 容灾安全随着中国电信 CTG-MBOSS系统建设与进展，需要根据国家的规定与电信MBOSS集中的特点考虑容灾的需求。2.2 MBOSS 安全规范的目标愿景MBOSS 安全规范的制定要紧有下列三大目标愿景： 定义中国电信 CTG-MBOSS 安全管理体系的愿景,确保中国电信“从传统的固网运营商向综合信息服务提供商”的成功转型。 提供演进路线，在 3-5 年把中国电信建设成以风险管理为导向的成熟型企业。 采取管理与技术相结合的方法，促进 CTG－MBOSS 安全规划及规范的贯彻。2.3 改进 MBOSS 信息安全的关键步骤中国电信 MBOSS 系统安全需要解决的关键问题，首先，安全建设务必符合中国电信企业的战略转型与业务进展，务必保证业务进展；其次，安全体系应符合国家各类法律法规中关于安全的要求，特别是满足内控的要求，同时对其中有针对性的要求进行重点建设；再次，充分考虑 MBOSS系统在目前运行中关于安全建设的要求与需求；最后，系统安全应规避与降低目前系统存在的威胁与风险。 综上所述，中国电信 MBOSS 系统安全规范需要解决的问题如下：1. 在中国电信内部操纵手册的基础上，建立完善的 CTG-MBOSS 系统的整体安全规划，实现安全基础设施建设有序地建设...

推荐访问:标签 中国电信 集团公司