BOSS系统安全框架.doc

中国移动通信集团BOSS系统安全框架中国移动通信集团公司二零零二年十二月 移动BOSS系统安全体系框架 目录第一部分 概述和介绍 51 概述 51.1 目的和范围 51.2 读者和应用范围 51.3 安全要素和原则 51.4 参考标准和资料 62 系统安全框架模型描述 7第二部分 系统安全管理框架 93 系统安全策略 93.1 系统安全策略概述 93.1.1 系统安全最高方针文件 93.1.2 编制与评审 103.2 策略结构描述 113.2.1 策略文档结构图 113.2.2 最高方针 113.2.3 安全体系框架 113.2.4 规范 123.2.5 管理制度、规定和标准 123.2.6 基层文档 123.3 系统安全保证 123.3.1 管理体系的安全保证 133.3.2 产品的安全保证 133.3.3 工程过程的安全保证 133.3.4 安全保证技术手段 143.3.5 其它安全保证 144 系统安全组织管理 154.1 系统安全组织概述 154.2 角色和责任 154.3 第三方管理 184.4 人员安全 194.5 宣传、教育和培训 194.6 与外界的安全合作 205 系统安全运作管理 225.1 系统安全生命周期 225.2 信息资产鉴别和分类 235.3 系统安全风险评估 245.4 系统的安全规划和接收 255.5 维护管理 255.5.1 物理和环境安全 255.5.2 信息备份 265.5.3 操作者日志 265.5.4 差错记录 275.6 意外和灾难恢复/入侵事件处理 275.7 运作的技术化和产品化 285.7.1 系统安全管理平台 285.7.2 系统安全管理协议 28第三部分 系统安全技术框架 296 系统安全技术框架 296.1 IAARC框架图示 296.2 Identification & Authentication 鉴别和认证 306.2.1 技术特点 306.2.2 与其它要素的关系 306.2.3 典型技术和产品代表 306.3 Access Control 访问控制 316.3.1 技术特点 316.3.2 与其它要素的关系 326.3.3 典型技术和产品代表 326.4 Content Security 内容安全 336.4.1 技术特点 336.4.2 与其它要素的关系 336.4.3 典型技术和产品代表 336.5 Redundant & Recovery 冗余和恢复 346.5.1 技术特点 346.5.2 与其它要素的关系 346.5.3 典型技术和产品代表 346.6 Audit&Response 审计和响应 356.6.1 技术特点 356.6.2 与其它要素的关系 356.6.3 典型技术和产品代表 357 鉴别和认证框架 377.1 鉴别的对象和粒度 377.2 用户鉴别机制 387.2.1 基于所知的I&A 387.2.2 基于所持的I&A 397.2.3 基于所具有的I&A 397.2.4 Single Sign-on 407.3 PKI体系 407.4 I&A系统的应用 407.4.1 管理 407.4.2 维护 417.4.3 混合的鉴别认证体系 418 访问控制框架 428.1 访问控制与授权 428.2 访问控制的准则 428.2.1 基于鉴别的访问控制 428.2.2 基于角色的访问控制 428.2.3 地点 438.2.4 时间 438.2.5 交易限制 438.2.6 服务限制 438.2.7 通用访问模式 438.3 访问控制策略 448.4 用户访问管理 448.5 用户职责 458.6 网络访问控制 468.6.1 使用网络服务的方针 468.6.2 合理化网络拓扑 468.6.3 网络设备安全 478.6.4 网络的隔离 488.6.5 网络接入安全 508.7 操作系统访问控制 518.8 应用访问控制 538.8.1 基于Web应用的访问控制 538.9 移动计算和远程工作 538.10 访问控制的部署 548.10.1 需要全面布置访问控制 548.10.2 需要充分实现RM机制 548.10.3 在网络层面上的访问控制部署 548.10.4 在主机和操作系统层面上的访问控制部署 558.10.5 在应用系统层面上的访问控制部署 559 审计和响应框架 569.1 一般安全目标 569.1.1 个体的可审计性 569.1.2 入侵检测 569.1.3 事件定位与跟踪 569.1.4 问题分析 579.2 日志和审计 579.2.1 法律方面的考虑 579.2.2 键盘操作监控 579.2.3 审计的对象 579.2.4 事件日志 589.2.5 监控系统的使用 589.2.6 时间同步 599.3 BOSS系统日志审计体系 619.3.1 日志系统总体框架 619.3.2 集中式的日志系统 659.4 入侵检测 669.4.1 不同的部署类型 669.4.2 不同类型的发现机制 679.4.3 入侵检测的动态响应机制 699.5 BOSS系统的监控管理 699.5.1 监控管理系统的用途 699.5.2 监控管理系统的架构 709.5.3 入侵检测系统的部署原则 719.6 用户行为监控系统 719.6.1 用户行为监控系统特性要求 719.6.2 用户行为监控系统部署原则 729.7 系统弱点扫描 7210 冗余和恢复框架 7410.1 冗余和恢复的关键要素 7410.2 通过冗余实现高可用性 7410.3 系统自动响应恢复能力 7510.4 BOSS系统业务连续性管理 7611 内容安全框架 7611.1 加密 7611.1.1 关于使用加密控制措施的方针 7611.1.2 加密技术 7711.1.3 数字签名 7711.1.4 防抵赖服务 7811.1.5 密钥的管理 7811.2 防病毒 8011.2.1 防病毒技术和产品的部署 8011.2.2 应用防病毒技术和产品的要点 8111.3 VPN的安全措施 82第一部分 概述和介绍1 概述本章描述本文档的目的、读者、安全原则以及参考的标准等等。

1.1 目的和范围本文档对于中国移动BOSS系统安全整体框架进行描述，不仅包括安全架构模型，安全策略和程序，安全组织，安全运作管理等方面；而且在安全技术方面进行较为详尽的描述文档可以作为移动BOSS系统今后安全建设和安全管理的主要参考，作为中国移动BOSS系统进行全局安全工作部署的指南和依据1.2 读者和应用范围本框架应用于对中国移动BOSS系统的策略、组织、运作、安全措施使用和安全产品部署等多方面的安全进行评估、设计和改进或者说，在进行中国移动BOSS系统安全工作规划、实施、运行维护和评估时，可以依据框架对相关的管理和技术要素以及相互之间的关系进行分析本文档的读者包括中国移动BOSS系统管理者、安全管理人员、系统设计者、项目组双方成员以及本项目的评审人员1.3 安全要素和原则以下安全原则应贯彻到BOSS系统安全工作的各个方面和各个阶段：l 系统安全目标必须与组织的整体目标相一致l 系统安全是健全管理的重要环节l 系统安全必须考虑投入和收益l 系统安全的责任必须清晰l 系统安全需要全面的、整体的解决方法l 系统安全需要周期性反复评估l 系统安全的实施者需要了解残余风险l 系统安全要考虑组织文化等许多其它因素1.4 参考标准和资料l ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型l ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求l ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求l IT Baseline Protection Manual/Model (Federal Agency of Security in Information Technology, Germany)l Canadian Handbook on Information Technology Security, 1997l ISO17799 Part I, Code of Practice for Information Security Managementl BS7799 Part II, Specification for Information Security Management2 系统安全框架模型描述如上图所示，系统安全框架可以分为安全管理框架和安全技术框架两个部分。

这两部分既相对独立，又有机结合，形成整体安全框架安全管理框架自上而下包括安全策略、安全组织管理和安全运作管理三个层面；安全技术框架覆盖鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应五个部分l 系统安全策略是由最高方针统率的一系列文件，结合有效的发布、执行和定期的回顾机制保证其对系统安全的指导和支持作用l 安全组织明确安全工作中的角色和责任，以保证在组织内部开展和控制系统安全的实施l 系统安全运作管理是整个系统安全框架的执行环节通过明确安全运作的周期和各阶段的内容，保证安全框架的有效性l Identification & Authentication 鉴别和认证I&A是通过对系统中的主客体进行鉴别，并且给这些主客体赋予恰当的标签或证书等l Access Control 访问控制访问控制以Reference Monitor形式工作，或者说类似于网关、接口和边界的形式主业务必须通过Access Control关口才能进行正常访问l Content Security内容安全内容安全主要是直接保护在系统中传输和存储的数据（信息）的内容，保证其特性不被破坏l Redundant & Recovery 冗余和恢复。

通过设备或者线路的冗余保障业务的连续性，通过备份恢复业务l Audit & Response审计和响应审计主要实现机制是通过Standby/ Sniffer类型的工作方式实现这种机制一般情况下并不干涉和直接影响主业务流程，而是对主业务进行记录、检查、监控等响应主要是对安全事件作出告警，阻断等反应第二部分 系统安全管理框架系统安全管理框架的描述包括策略、组织和运作三个方面3 系统安全策略系统安全策略为系统安全提供指导和支持中国移动BOSS系统应该制定一套清晰的指导方针、规范和标准，并通过在组织内对系统安全策略的发布和落实来保证对系统安全的承诺与支持3.1 系统安全策略概述3.1.1 系统安全最高方针文件系统安全最高方针文件应得到集团计费业务中心最高管理者的批准，并以适当的方式发布、传达到计费业务中心所有员工该文件应该阐明管理者对实行系统安全的承诺，并陈述系统安全管理的方法它至少应该包括以下。