中国移动网络与信息安全总纲.pdf

中国移动网络与信息安全总纲中国移动网络与信息安全总纲中国移动通信集团公司中国移动通信集团公司2006 年 7 月本文档版权由中国移动通信集团公司所有 未经中国移动通信集团公司书面许可， 任何单位 和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播1前言前言中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来本标准目前主要针对互联网、支撑网等 IT 系统安全[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司中国移动通信集团公司，以下简称“集团公司”各移动通信有限责任公司，以下简称“各省公司”2目录目录前言前言 1目录目录 2总则总则 111．网络与信息安全的基本概念112．网络与信息安全的重要性和普遍性113．中国移动网络与信息安全体系与安全策略124．安全需求的来源145．安全风险的评估156．安全措施的选择原则157．安全工作的起点168．关键性的成功因素179．安全标准综述1710．适用范围22第一章第一章组织与人员组织与人员23第一节组织机构.231．领导机构232．工作组织243．安全职责的分配254．职责分散与隔离265．安全信息的获取和发布2736．加强与外部组织之间的协作277．安全审计的独立性28第二节岗位职责与人员考察 281．岗位职责中的安全内容282．人员考察293．保密协议304．劳动合同305．员工培训30第三节第三方访问与外包服务的安全301．第三方访问的安全302．外包服务的安全32第四节客户使用业务的安全 33第二章第二章网络与信息资产管理网络与信息资产管理35第一节网络与信息资产责任制度351．资产清单352．资产责任制度36第二节资产安全等级及相应的安全要求391．信息的安全等级、标注及处置392．网络信息系统安全等级41第三章第三章物理及环境安全物理及环境安全43第一节安全区域.431．安全边界4342．出入控制443．物理保护454．安全区域工作规章制度465．送货、装卸区与设备的隔离47第二节设备安全.481．设备安置及物理保护482．电源保护493．线缆安全504．工作区域外设备的安全515．设备处置与重用的安全51第三节存储媒介的安全 521．可移动存储媒介的管理522．存储媒介的处置523．信息处置程序534．系统文档的安全54第四节通用控制措施.551．屏幕与桌面的清理552．资产的移动控制56第四章第四章通信和运营管理的安全通信和运营管理的安全57第一节操作流程与职责 571．规范操作细则572．设备维护5853．变更控制594．安全事件响应程序595．开发、测试与现网设备的分离60第二节系统的规划设计、建设和验收611．系统规划和设计612．审批制度613．系统建设和验收624．设备入网管理64第三节恶意软件的防护 64第四节软件及补丁版本管理 66第五节时钟和时间同步 67第六节日常工作.671．维护作业计划管理672．数据与软件备份673．操作日志694．日志审核695．故障管理706．测试制度717．日常安全工作71第七节网络安全控制.72第八节信息与软件的交换 731．信息与软件交换协议7362．交接过程中的安全733．电子商务安全744．电子邮件的安全755．电子办公系统的安全766．信息发布的安全777．其他形式信息交换的安全78第五章第五章网络与信息系统的访问控制网络与信息系统的访问控制79第一节访问控制策略.79第二节用户访问管理.811．用户注册812．超级权限的管理823．口令管理844．用户访问权限核查84第三节用户职责.851．口令的使用852．无人值守的用户设备86第四节网络访问控制.871．网络服务使用策略872．逻辑安全区域的划分与隔离883．访问路径控制894．外部连接用户的验证895．网元节点验证9076．端口保护907．网络互联控制918．网络路由控制919．网络服务的安全92第五节操作系统的访问控制 921．终端自动识别932．终端登录程序933．用户识别和验证944．口令管理系统945．限制系统工具的使用956．强制警报967．终端超时关闭968．连接时间限制96第六节应用访问控制.971．信息访问限制972．隔离敏感应用98第七节系统访问与使用的监控981．事件记录982．监控系统使用情况99第八节移动与远程工作 1011．移动办公1012．远程办公1028第六章第六章系统开发与软件维护的安全系统开发与软件维护的安全104第一节系统的安全需求 104第二节应用系统的安全 1061．输入数据验证1062．内部处理控制1073．消息认证1084．输出数据验证109第三节系统文件的安全 1091．操作系统软件的控制1092．系统测试数据的保护1103．系统源代码的访问控制111第四节开发和支持过程中的安全1121．变更控制程序1122．软件包的变更限制1133．后门及特洛伊代码的防范1144．软件开发外包的安全控制115第五节加密技术控制措施 1151．加密技术使用策略1152．使用加密技术1163．数字签名1174．不可否认服务1185．密钥管理1189第七章第七章安全事件响应及业务连续性管理安全事件响应及业务连续性管理121第一节安全事件及安全响应 1211．及时发现与报告1222．分析、协调与处理1223．总结与奖惩124第二节业务连续性管理 1241．建立业务连续性管理程序1242．业务连续性和影响分析1253．制定并实施业务连续性方案1264．业务连续性方案框架1275．维护业务连续性方案129第八章第八章安全审计安全审计131第一节遵守法律法规要求 1311．识别适用的法律法规1312．保护知识产权1323．保护个人信息1324．防止网络与信息处理设施的不当使用1335．加密技术控制规定1336．保护公司记录1347．收集证据134第二节安全审计的内容 135第三节安全审计管理.135101．独立审计原则1362．控制安全审计过程1363．保护审计记录和工具137参考文献参考文献138术语和专有名词术语和专有名词139附录附录 1 1：安全体系第二层项目清单（列表）：安全体系第二层项目清单（列表）14011总则总则1 1．网络与信息安全的基本概念．网络与信息安全的基本概念网络与信息安全包括下列三个基本属性： 机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。

根据信息的重要性和保密要求，可以分为不同密级，并具有时效性 完整性（Integrity）：确保网络设施和信息及其处理的准确性和完整性 可用性（Availability）：确保被授权用户能够在需要时获取网络与信息资产需要特别指出的是，网络安全与信息安全（包括但不限于内容安全）是一体的，不可分割的2 2．网络与信息安全的重要性和普遍性．网络与信息安全的重要性和普遍性网络与信息都是资产，具有不可或缺的重要价值无论对企业、国家还是个人，保证其安全性是十分重要的网络与信息安全工作是企业运营与发展的基础和核心； 是保证网络品质的基础；是保障客户利益的基础中国移动的网络与信息安全也是国家安全的需要12网络与信息安全工作无所不在，分散在每一个部门，每一个岗位，甚至是每一个合作伙伴；同时，网络与信息安全是中国移动所有员工共同分担的责任， 与每一个员工每一天的日常工作息息相关 中国移动所有员工必须统一思想， 提高认识， 高度重视，从自己开始，坚持不懈地做好网络与信息安全工作3 3．中国移动网络与信息安全体系与安全策略．中国移动网络与信息安全体系与安全策略中国移动网络与信息安全体系如上图所示中国移动网络与信息安全体系是由两部分组成的。

一部分是一系列安全策略和技术管理规范（第一、二层），另一部分是实施层面的工作流程（第三层）网络与信息安全体系（NISS）总纲（以下简称总纲）位于安全体系的第一层，是整个安全体系的最高纲领它主要阐述安全的必要性、基本原则及宏观策略总纲具有高度的概括性，涵盖13了技术和管理两个方面， 对中国移动各方面的安全工作具有通用性安全体系的第二层是一系列的技术规范和管理规定， 是对总纲的分解和进一步阐述， 侧重于共性问题、 操作实施和管理考核，提出具体的要求，对安全工作具有实际的指导作用安全体系的第三层是操作层面， 它根据第一层和第二层的要求， 结合具体的网络和应用环境， 制订具体实施的细则、 流程等，具备最直观的可操作性安全体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实施和检查考核，同时遵循动态管理和闭环管理的原则，通过定期的评估不断修改完善安全策略是在公司内部， 指导如何对网络与信息资产进行管理、保护和分配的规则和指示中国移动必须制订并实施统一的网络与信息安全策略，明确安全管理的方向、目标和范围安全策略必须得到管理层的批准和支持 安全策略应被定期评审和修订，以确保其持续适宜性，特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。

中国移动的安全策略是由安全体系三个层面的多个子策略组成的，具有分层结构的完整体系，包含了从宏观到微观，从原则方向到具体措施等多方面的内容 安全策略用来指导全网的网络与信息安全工作144 4．安全需求的来源．安全需求的来源确立安全需求是建立完整的安全体系的首要工作 中国移动的安全需求主要源自下述三个方面： 系统化的安全评估结合经验教训和技术发展，通过安全评估分析公司网络和信息资产所面临的威胁， 存在的薄弱点和安全事件发生的可能性， 并估计可能对公司造成的各种直接的和潜在的影响 中国移动及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束，以及公司对客户的服务承诺 公司运营管理的目标与策略下图说明了安全需求、风险评估和安全措施三者的关系155 5．安全风险的评估．安全风险的评估安全风险评估可以应用于整个公司或某些部分， 也可应用于单个网络信息系统、特定系统组件或服务安全风险评估应着重于： 安全事件可能对中国移动造成的损失， 以及所产生的直接和潜在的影响 综合考虑所有风险，以及目前已实施的控制措施，判断此类安全事件发生的实际可能性 从安全角度， 对公司现有的管理制度和流程本身的合理性与完备程度进行评估。

安全风险评估应本着可行、实际和有效的原则，通过标准统一的评估程序和方法， 量化安全风险， 确定安全风险的危险级别，从而采取合理措施防范或降低安全风险需要特别指出的是：为适应业务发展的变化，应对新出现的威胁和漏洞，评估现有控制措施的有效性及合理性，必须周期性地进行安全风险评估并调整控制措施，且应在不同的层面进行，为高风险领域优先分配资金、人力等资源6 6．安全措施的选择原则．安全措施的选择原则 有效性 安全措施的实施必须能够确保风险被降低到可以接受的水平，达到期望的安全目标16 可行性 安全措施必须在技术上是可操作的， 可以实现的某些安全措施不具备通用性， 需要因地制宜的考虑具体实施环境 实际性应从管理、财务等非技术因素详细分析待实施的安全措施，综合比较实施成本与由此减少的潜在损失，非经济因素也应考虑在内公司应在遵循以上原则的基础上， 根据网络与信息资产面临风险的大小，区分轻重缓急，实施相应的安全控制措施7 7．安全工作的起点．安全工作的起点根据一般性规律和业界的实际经验， 网络与信息安全工作的开展可以从以下几个方面着手： 法律方面：数据保护以。