《管理制度-asy1214中国电信集团公司CTGMBOSS安全规范总册33页 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-asy1214中国电信集团公司CTGMBOSS安全规范总册33页 精品.doc(32页珍藏版)》请在第一文库网上搜索。
1、中国电信集团公司CTG-MBOSS安全规范总册目 录第 1 章文档说明11.1编制说明11.2适用范围11.3起草单位11.4解释权11.5版权1第 2 章综述22.1MBOSS所面临的安全挑战22.1.1安全组织管理22.1.2人员安全管理22.1.3应用开发安全管理22.1.4运维安全管理22.1.5用户管理22.1.6访问认证授权32.1.7网络安全32.1.8主机安全32.1.9终端安全42.1.10安全审计42.1.11容灾安全42.2MBOSS安全规范的目标愿景42.3改进MBOSS信息安全的关键步骤42.4MBOSS安全规范设计依据5第 3 章安全规范体系说明63.1安全规范指导
2、原则93.2安全管理规范综述93.3安全技术规范综述10第 4 章CTGMBOSS安全规范实施134.1MBOSS安全规范演进计划134.1.1第一阶段:建立MBOSS安全服务平台基础设施134.1.2第二阶段:扩充MBOSS安全服务平台的功能144.1.3第三阶段:完善MBOSS安全体系154.2CTGMBOSS安全架构的部署建议154.3CTGMBOSS容灾备份16第 5 章安全规范演进风险及应对175.1IT安全组织的建立175.2实施范围的控制175.3人力资源安排185.4员工对安全管理制度的接受18附录 1.附录19附录1.1.规范编制人员名单19附录1.2.名词定义19附录1.3
3、.20第 1 章 文档说明1.1 编制说明本规范作为中国电信CTG-MBOSS规范的重要组成部分,为中国电信集团建设MBOSS信息安全体系提供依据。本规范的编制是在CTG-MBOSS 总体规范 V2.0的总体框架体系指导下,参考了已有的中国电信集团下发的安全政策文件,继承和吸收了原有安全管理实践的经验成果,并充分考虑了各省电信公司的现状和行业最佳实践与安全新技术的引入。本规范是MBOSS总体规范的组成部分,全面、概括地阐述了安全架构、安全管理、安全技术以及实施演进策略等内容。1.2 适用范围本规范适用于中国电信集团公司及下属省(市)电信公司进行MBOSS信息安全的规划和建设,为MBOSS系统相
4、关的安全建设、升级改造、系统演进提供指导和依据。1.3 起草单位本规范的起草单位是中国电信集团公司。1.4 解释权本规范的解释权属于中国电信集团公司。1.5 版权第 2 章 综述2.1 MBOSS所面临的安全挑战2.1.1 安全组织管理随着中国电信MBOSS的建设和发展,如何及时制定出信息安全的指导方针,研究和分析信息安全建设对中国电信业务发展的价值和影响,更好适应不断变化的组织形式,明确组织内部人员职责,以保障中国电信业务系统安全稳定地运行成为安全管理机构面临的最大挑战。2.1.2 人员安全管理据调查大部分的安全事件都来自公司的内部,商业间谍的存在,员工有意无意透露公司商业信息,员工在离职后
5、泄露公司商业秘密及从事与公司有竞争利益的商业活动等,都暴露出公司在人员安全管理方面存在的问题。定期进行员工安全意识培训已经刻不容缓。2.1.3 应用开发安全管理随着中国电信MBOSS的发展,应用系统将面临诸多的安全威胁。身份认证的欺骗、用户权限的滥用、输入数据校验的异常、跨站点的代码攻击、缓冲区溢出等等,都对我们的应用开发提出了新的安全设计和防护要求。制定严格的编程规范和管理手段成为不能回避的问题。2.1.4 运维安全管理随着中国电信MBOSS系统各项业务对信息系统依赖程度逐渐提高,信息系统的复杂度急剧增加,从规划建设到系统运维阶段的安全建设都应遵循系统的生命周期进行设计,另一方面信息系统在运
6、维过程中的安全问题变得更加突出,因此也提出了越来越高的安全运维要求;同时复杂的业务系统和异构的网络环境,增加了系统安全运维的难度。传统的单一、孤立的安全运维管理已越来越不适应中国电信CTG-MBOSS系统安全运维管理的需求,CTG-MBOSS系统安全运维管理应向综合安全运维阶段进行深刻转变。2.1.5 用户管理随着中国电信MBOSS系统的发展,用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,原有的用户管理措施已不能满足中国电信目前及未来业务发展的要求。主要表现在以下方面:如果MBOSS每个系统均拥有独立的用户管理系统,将会给同时维护多个应用系统的维护人员带来巨大工作量;缺乏账号生命
7、周期管理机制,存在大量孤立账号,增加信息系统安全风险;存在多人共用一账号现象,难以控制账号扩散范围,安全管理存在漏洞。且安全事故发生后,难以审计并定位到实际使用者;帐号审计没有很好的流程来规范,进行帐号的生命周期管理,保证帐号安全。2.1.6 访问认证授权随着网络攻击技术的快速发展,CTG-MBOSS的访问认证授权面临着严峻的挑战,具体来说存在着可能导致较严重安全事件的几类问题,具体如下:1认证功能分散在各设备和系统中难以统一管理。2授权功能分散在各设备和系统中难以与业务要求相协调。3未建立统一的访问认证管理流程。上述三个方面的问题可能导致较严重的安全事件,是CTG-MBOSS在访问认证授权方
8、面的主要问题,会带来巨大的挑战。2.1.7 网络安全由于以往建设的网络系统在安全建设和安全互联方面考虑较少,随着信息技术、网络技术的快速发展,网络系统面临的安全威胁日益增加。根据调研,CTG-MBOSS网络系统所面临的主要威胁除了物理攻击破坏外,还包括恶意软件攻击、内部员工误用、黑客入侵破坏等几类。因此,迫切需要开展网络安全研究,从整体安全防护、边界防护、网络安全架构及性能规划与MBOSS需求相适应、系统内部安全防护、安全审计等不同角度出发,制定安全防护原则和优化改造方案。使网络安全与网络系统“同步规划、同步建设、同步维护”。2.1.8 主机安全CTG-MBOSS中的主机系统作为信息存储、传输
9、、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面。作为CTG-MBOSS系统中重要的组成部分,各种业务系统主机数量众多,资产价值高,面临的安全风险极大。一方面,主机是CTG-MBOSS系统各类业务系统数据的主要载体,这些业务数据是系统信息资产的重要组成部分;另一方面,病毒、木马等安全威胁很容易通过访问主机系统的终端渗透到后台各种业务应用和服务主机中,从而对CTG-MBOSS系统的整体安全带来危害。为此需要在终端和主机安全领域建立一套安全技术体系来保障其安全,从而进一步完善CTG-MBOSS的安全技术体系。2.1.9 终端安全终端作为一种比较分散的资产,长期以来难以
10、进行集中的有效的管理;作为CTG-MBOSS的一个基本组件,面临病毒、蠕虫、木马、恶意代码的泛滥,不安全的终端可能成为一个被动的攻击源,对整个MBOSS系统构成威胁。企业内部应制定统一的终端安全策略、终端安全接入MBOSS策略,包括补丁管理、终端审计等流程。2.1.10 安全审计随着中国电信CTG-MBOSS系统建设和发展,同时为满足萨班斯法案对于IT系统内部控制的要求,安全审计将成为一项重要的技术手段。但在具体的安全运维工作中,安全审计面临诸多挑战,主要体现在内部人员操作、第三方维护人员操作以及最高权限用户使用过程中。要建立一套完备的审计机制。2.1.11 容灾安全随着中国电信CTG-MBO
11、SS系统建设和发展,需要根据国家的规定与电信MBOSS集中的特点考虑容灾的需求。2.2 MBOSS安全规范的目标愿景MBOSS安全规范的制定主要有以下三大目标愿景: 定义中国电信CTG-MBOSS安全管理体系的愿景,确保中国电信“从传统的固网运营商向综合信息服务提供商”的成功转型。 提供演进路线,在3-5年把中国电信建设成以风险管理为导向的成熟型企业。 采取管理与技术相结合的方法,促进CTGMBOSS安全规划及规范的贯彻。2.3 改进MBOSS信息安全的关键步骤中国电信MBOSS系统安全需要解决的关键问题,首先,安全建设必须符合中国电信企业的战略转型和业务发展,必须保证业务发展;其次,安全体系
12、应符合国家各种法律法规中对于安全的要求,尤其是满足内控的要求,并且对其中有针对性的要求进行重点建设;再次,充分考虑MBOSS系统在目前运行中对于安全建设的要求和需求;最后,系统安全应规避和降低目前系统存在的威胁和风险。综上所述,中国电信MBOSS系统安全规范需要解决的问题如下:1.在中国电信内部控制手册的基础上,建立完善的CTG-MBOSS系统的整体安全规划,实现安全基础设施建设有序地建设,确保用于IT安全的投资应不少于IT投资的10。2.建立专职的信息安全管理组织,建立安全岗位,明确安全管理职责,结束目前的“权力分散,缺乏统一,兼职为主”的局面。3.根据集团和各省公司具体情况,制定各省公司的
13、MBOSS企业安全架构和实施计划,彻底改变以往孤立部署各种安全产品的状况。4.CTG-MBOSS系统中信息安全的要求,加强对系统用户的管理、用户的访问认证、授权、访问控制。5.建立集中IT安全服务、监控平台,提供技术手段固化安全政策、标准和流程,及时监控IT安全状况。明确该平台做为企业负责IT安全的对内对外的接口。6.加强CTG-MBOSS系统边界访问方式、安全区域内部、安全区域间的防护;对现有的IT基础设施进行IT安全加固,消除安全隐患。特别是对应用的定期安全检查。7.加强CTG-MBOSS系统与客户自服务安全交互访问接口的安全性;在省公司统一规划和建设与公网的接口,堵截安全漏洞。8.在系统
14、开发过程中,加入安全管控点,确保新实施的系统能满足安全规范。9.加强CTG-MBOSS系统的安全集中管理的能力,实现全面的安全集中运维管理。10.建立CTG-MBOSS系统容灾建设,建立业务系统连续性发展和建设计划、步骤和具体保障手段。2.4 MBOSS安全规范设计依据定义CTG-MBOSS安全体系的愿景:采取管理与技术相结合的方法,在3-5年内把中国电信建设成以风险为导向的成熟型企业,确保中国电信的成功转型。CTGMBOSS安全规范的设计依据主要来源在五个方面: 中国电信的战略转型的驱动, 中国电信IT内控的要求, MBOSS的安全现状和评估, 法律法规对信息安全的要求,信息安全的最佳实践和
15、实施经验。第 3 章 安全规范体系说明CTG-MBOSS是支撑中国电信企业运营和管理的信息化架构,是集团和各省公司企业信息化建设的愿景,由方法论、功能和系统架构、管控架构以及规范体系等部分构成。安全规范是CTGMBOSS规范体系的扩充。图 31 CTG-MBOSS安全规范与CTGMBOSS规范体系的关系CTG-MBOSS安全规范是对现有的CTGMBOSS规范体系的扩充。安全规范是由两个部分组成,分别对安全管理规范和安全技术规范两个方面进行了设计。在安全管理体系方面,制定了安全策略,包括组织安全管理架构,人员安全管理、应用开发安全管理和运维安全管理等四个方面所需遵循的IT安全标准和指导方针,帮助中国电信不断提高IT安全管理能力。CTGMBOSS安全规范将建立在中国电信企业信息安全架构模型,该模型将企业安全能力划分成7个层次。图 32 CTGMBOSS安全规范信息安全架构模型 原则:描述信