中国电信CTGMBOSS安全基线达标考评细则.docx
《中国电信CTGMBOSS安全基线达标考评细则.docx》由会员分享,可在线阅读,更多相关《中国电信CTGMBOSS安全基线达标考评细则.docx(89页珍藏版)》请在冰豆网上搜索。
中国电信CTGMBOSS安全基线达标考评细则
CTG-MBOSS安全基线达标考评细则
(60分制)
分类
项目及分值
标准及要求
标准分
考评方式
计(扣)分办法
实得分
小计分
备注
组织架构管理(10分)
组织落实(4分)
信息化安全领导小组由主管信息化的总经理或副总经理任组长,信息化部及其他主要相关业务部门经理组成,对整个省公司MBOSS系统的信息化安全的工作负责;信息化安全工作小组由企业信息化部牵头与其它部门构成,企业信息化部下成立的安全管理部门或岗位负责日常安全管理工作,安全工作小组负责起草并报批省公司MBOSS系统信息安全保障工作的规章和制度,协调专家顾问等各方面的资源,对领导小组颁发的信息安全指导方针做技术与标准的支持。
4
人员访谈、文档检查
(1)未以文件或会议纪要等形式明确安全领导小组及成员名单,扣1分;
(2)缺少安全领导小组工作职责,扣1分;
(3)未以文件或会议纪要等形式明确安全工作小组及成员名单,扣1分;
(4)缺少安全工作小组工作职责,扣1分。
岗位设置(2分)
信息化安全工作的执行层由MBOSS信息系统建设维护使用的各个参与主体构成,具体包括:
信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等,执行层主要工作是对安全领导小组、安全工作小组制定的关于信息安全建设的指导方针进行目标分解,结合本单位部门的业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并进行信息系统安全建设与运维。
省公司层面应设置信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等岗位,本地网层面应设立安全管理员岗位,并明确每个岗位的岗位职责。
2
人员访谈、文档检查
(1)信息安全负责人、安全管理员、安全审计员、系统管理员等岗位缺少一个扣0.25分,扣完1分为止;
(2)未以文件形式明确信息安全负责人、安全管理员、安全审计员、系统管理员等的岗位职责缺少一个扣0.25分,扣完1分为止。
人员配备(4分)
信息化安全工作的执行要落实到具体责任人,省公司应建立信息化安全执行工作的人员配备要求管理文档和人员名单,要求在省公司层面应设置信息安全负责人1名(由信息化部总经理兼职)、安全管理员1名(建议专职)、安全审计员1名(建议专职)、IT系统安全责任人n名(n=系统个数,可兼职)等岗位,每个本地网层面应设立安全管理员岗位1名(可兼职),有条件的省份可增设AB角色。
加分项:
设立独立的信息化安全室
加分项:
设立专职的安全管理员岗位
加分项:
设立专职的安全审计员岗位
4
人员访谈、文档检查
(1)安全管理员岗位的人员配备数量未达到1人,扣1分;
(2)安全审计员岗位的人员配备数量未达到1人,扣1分;
(3)IT系统安全责任人岗位的人员配备数量未达到n(n=系统个数)人,扣1分。
(4)每个本地网安全管理员岗位的人员配备数量未达到1人,扣1分。
人员安全管理(8分)
人员上岗管理(1分)
省公司建立了用户及其权限设置的管理流程,对MBOSS系统的用户创建和授权必须通过业务部门主管人员审批后,方可由相关的系统管理员在系统中创建用户账号。
1
文档检查
(1)检查省公司对系统的用户创建、权限设置和授权的管理流程文档。
缺少《省公司用户、权限设置创建管理流程文档》,扣0.5分;
(2)抽查3个系统,检查用户创建和授权审批文档。
缺少1个系统的《用户创建和授权审批文档》,扣0.2分,扣完0.5分为止;
人员离岗管理(0.6分)
在员工工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式书面通知系统维护部门,由系统管理员更新或删除其在MBOSS系统中相应的访问权限。
0.6
文档检查
检查人力资源部门或用户部门发出的人员访问权限修改或删除的书面通知。
缺少人力资源部门或用户部门发出的《人员访问权限修改或删除的书面通知样本》,扣0.6分。
操作系统管理账号授权(1分)
MBOSS系统的操作系统管理账号仅限于经授权的系统管理员,其账号须经业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的书面授权审批。
1
文档检查
(1)抽查3个系统,检查系统的操作系统的管理账号清单。
缺少1个系统的《系统的操作系统管理员账号清单》,扣0.2分,扣完0.5分为止;
(2)检查上述清单中某一操作系统管理账号的审批文件。
缺少1个系统的《操作系统管理账号的审批文件样本》,扣0.2分,扣完0.5分为止。
数据库管理账号授权(1分)
MBOSS系统数据库的管理账号仅限于经授权的数据库管理员,其账号须经业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的书面授权审批。
1
文档检查
(1)抽查3个系统,检查系统数据库管理员账号清单。
缺少1个系统的《系统数据库管理员账号清单》,扣0.2分,扣完0.5分为止;
(2)检查上述清单中某一数据库管理账号的审批文件。
缺少1个系统的《数据库管理账号的审批文件样本》,扣0.2分,扣完0.5分为止。
应用系统特权用户授权(1分)
MBOSS系统的特权用户(例如具有增加/变更/删除用户等权限)仅限于经授权的系统管理人员或业务人员,其账号须经业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的书面授权审批。
1
文档检查
(1)抽查3个系统,检查系统的管理员用户账号清单。
缺少1个系统的《应用系统管理员用户账号清单》,扣0.2分,扣完0.5分为止;
(2)检查上述清单中某一管理员用户账号的审批文件。
缺少1个系统的《应用系统管理员账号的审批文件样本》,扣0.2分,扣完0.5分为止。
管理账号安全管理(0.6分)
MBOSS系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,不能删除该账号,则该账号密码在其中任一管理员离职时需及时更改,以防止非法访问。
0.6
文档检查
抽查3个系统的管理员用户离职时的密码修改记录。
缺少1个系统的《管理员用户离职时的密码修改记录样本》,扣0.2分,扣完0.6分为止。
人员安全意识教育和培训(1分)
为了提高维护人员的安全技能,员工的安全意识,使员工充分了解既定的信息安全策略,安全工作小组应通过下发通知、下发电子文档、集中培训等培训方式,提高员工信息安全的意识,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题。
省公司层面的安全管理员、安全审核员、系统安全责任人和本地网层面的安全管理员必须接受安全培训,培训周期为1年至少1次;同时安全管理员必须每年通过各种培训方式对企业信息化部所辖员工进行安全宣贯,安全宣贯覆盖率超过50%。
1
人员访谈、文档检查
(1)检查培训记录,过去1年内安全教育和各类培训记录缺失,或未对安全岗位人员进行安全意识教育、岗位技能培训和相关安全技术培训,扣0.5分;
(2)检查宣贯记录,过去1年内未组织员工安全意识教育宣贯或者宣贯文档缺失的,或者宣贯对象不超过员工覆盖率50%的,扣0.5分。
(参与培训员工数目主要是统计省公司企业信息化部以及下辖所管范围内的电信员工)。
第三方人员安全管理(1.8分)
为了加强对第三方人员(第三方是指从事MBOSS系统相关工作的非局方人员)的安全管理,安全工作小组应对第三方人员建立相关安全管理制度,明文规定第三方人员的机房出入管理、网络接入管理以及陪同人员管理等方面的内容。
1.8
文档检查
(1)未制订第三方人员机房出入管理制度,扣0.6分
(2)未制订第三方人员网络接入管理制度,扣0.6分;
(2)未制订第三方人员陪同人员管理制度,扣0.6分;
运维安全管理(15分)
系统上线安全管理(3分)
上线安全管理制度:
针对所有MBOSS系统新采购和新建设的系统,建立《新系统上线安全管理制度》,明确上线前的系统安全性保障、安全评估测试、代码安全评测和上线时新系统安全交付的相关流程和管理细则。
1
文档检查
检查新系统上线安全管理制度,缺少《新系统上线安全管理制度》,扣0.5分。
抽查3个系统,检查省公司/地市分公司新系统上线安全管理流程,并注意是否具有管理层审批记录。
缺少1个系统的省公司/地市分公司新系统上线安全管理流程文档(包括管理层审批记录)扣0.2分,扣完0.5分为止。
上线安全保障:
针对所有MBOSS系统新采购和建设的新系统,上线前要求各提供服务的厂商对新上线系统进行安全配置加固、补丁升级、漏洞扫描等基本保障。
1
文档检查
抽查3个系统,检查新入网业务系统是否具有安全加固、配置、补丁和安全测试的相关文档记录。
缺少1个系统的省公司/地市分公司系统上线安全测试等相关文档(包括管理层审批记录)扣0.4分,扣完1分为止。
上线交付流程:
针对所有MBOSS系统新采购和建设的新系统,加强上线交付环节管理,要求交付时清除测试、调试等临时程序和脚本,明确交付过程中提供的相关系统文档、维护手册、系统端口服务清单和应急措施等,明确交付时账号、密码的交付流程和确认记录。
1
文档检查
抽查3个系统,检查交付确认记录,是否包含临时文件清除、文档清单、系统端口服务清单、权限交接等记录,缺少1个系统的《上线交付确认记录样本》扣0.4分,扣完1分为止。
资产安全管理(1分)
为了方便、高效地管理各类信息资产(此处资产专指网络设备、主机设备、安全设备等硬件和应用系统软件资产),省公司要建立信息资产管理制度,要在信息资产管理清单或者管理系统中实时更新MBOSS系统的信息资产信息,如硬件设备的信息(设备重要性赋值、设备配置信息、版本信息、变更信息、资产领用信息、资产责任人信息等)和软件资产信息(如应用系统的软件版本号,上线日期等)信息资产内部属性。
加分项:
建立信息资产管理系统对信息资产进行管理
1
人员访谈、文档检查、现场检查
(1)未建立信息资产管理制度,扣0.5分;
(2)抽查3个系统,每个系统选取20台资产,当信息资产内部属性发生变更时,检查是否及时更新到信息资产管理清单中,发现1台不符合扣0.1分,扣完0.5分为止。
机房访问记录(0.5分)
安装MBOSS系统应用程序、操作系统和数据库的硬件设备应存放在安全的机房中,所有出入口均具备电子门禁系统或门锁的保护,人员进出机房应在机房门禁系统或机房进出日志中留下记录。
0.5
文档检查
抽查3个系统所在的主要机房(机房检查数目不超过3个,含3个),从门禁系统或机房进出登记日志中检查人员进出机房的记录。
缺少1个机房的《门禁系统或机房进出登记日志样本》,扣0.2分,扣完0.5分为止。
机房访问审批制度(0.5分)
只有经授权的人员可对存放MBOSS系统的计算机机房和设备进行物理访问,对机房的访问授权需经系统维护部门主管人员审批,非授权人员出入机房必须由机房工作人员陪同。
0.5
文档检查
抽查3个系统,检查某一授权人员的审批文件,确保已经得到审批。
缺少1个系统的《机房访问的审批文件样本》,扣0.2分,扣完0.5分为止。
内网与互联网连接防护(1分)
建立《互联网接入安全管理规定》,在规定中清晰定义哪些业务系统可以与互联网连接,对于不需要访问互联网的网络区域限制其访问互联网;梳理IT系统与互联网的连接,关闭不必要的互联网接口;对于特殊的业务需要访问互联网的设备,应当建立相应的申请、审批和报备流程,并对结果进行记录,形成互联网接口信息备案表,其表中可以包含设备名称、IP地址、所属业务系统、功能、申请人等内容,当设备发生变化时更新是否及时,是否及时取消了不需要的访问设备权限。
1
人工抽查、人员访谈
(1)检查是否建立《互联网接入安全管理规定》,并注意是否具有业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的审批记录。
缺少《互联网接入安全管理规定》,扣0.5分;
(2)检查是否建立《互联网出口信息备案表》,未建立《互联网出口信息备案表》扣0.25分,查看实际情况是否与《互联网出口信息备案表》相符,与《互联网出口信息备案表》不相符,扣0.25分。
终端安全管理(1分)
建立针对业务系统的管理终端和维护终端的《终端安全管理制度》(在制度中明确规定的安全配置、软件安装标准、终端信息保护管理、补丁管理、防病毒管理、防火墙管理、文件共享管理、访问互联网行为管理、网络接入和使用管理等方面内容),强调终端不得同时连接内网与互联网,对于需要访问互联网的特殊情况,应设置专门独立终端访问互联网,满足其工作要求;对可访问互联网的终端进行登记备案。
加分项:
建立终端接入和监控系统对终端进行安全管理
1
文档检查
(1)检查是否建立《终端安全管理制度》,并注意是否具有业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的审批记录。
缺少《终端安全管理制度》,扣0.5分;
文档检查
(2)检查是否建立《可访问互联网的终端列表清单》,未建立《可访问互联网的终端列表清单》扣0.25分,抽查20台终端的互联网访问历史,查看实际情况是否与《可访问互联网的终端列表清单》相符,与《可访问互联网的终端列表清单》不相符,扣0.25分。
备份策略(0.5分)
考虑MBOSS系统的重要性及恢复成本,制定备份策略,并明确相关人员进行系统备份的职责。
在备份策略中说明备份方法,备份频率,以及备份数据保存时间等内容。
备份策略由业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员审批通过。
0.5
文档检查
抽查3个系统,检查系统的备份策略,并注意是否具有业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的审批记录。
缺少1个系统的《备份策略》,扣0.2分,扣完0.5分为止。
备份日志记录(1分)
对MBOSS系统的备份保留备份日志(自动或手工记录),业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)维护人员定期(周期为最短备份频次)检查备份日志,以发现备份错误或其它异常现象并及时跟进解决。
1
文档检查,人工检查
(1)抽查3个系统,检查系统的备份日志,确认备份是否已按照备份策略执行。
缺少1个系统的《备份日志样本》,扣0.2分,扣完0.5分为止;
(2)抽查3个系统,检查业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)维护人员对备份日志的定期检查(周期为最短备份频次),并签名确认。
缺少1个系统的备份运行人员对备份日志的《每天检查记录样本》,扣0.2分,扣完0.5分为止。
备份介质异地存放(0.5分)
MBOSS系统的数据备份介质根据数据重要程度,至少每月执行一次异地存放在系统所处的楼宇之外的建筑。
异地备份数据至少要包括全部业务系统原始数据(例如计费联采原始数据)和恢复系统必须的静态数据。
0.5
文档检查
抽查3个系统,检查备份介质异地存放记录。
缺少1个系统的《备份介质异地存放记录样本》,扣0.2分,扣完0.5分为止。
备份策略和恢复性测试(1分)
MBOSS系统的备份策略中明确规定对备份介质恢复性测试的要求和步骤。
根据备份介质使用寿命等情况至少每年进行一次恢复性测试,并记录测试结果。
1
文档检查,人工检查
(1)抽查3个系统,检查系统备份策略中是否有对备份介质恢复性测试的规定。
缺少1个系统的《备份介质恢复性测试的规定》,扣0.2分,扣完0.5分为止;
(2)抽查3个系统,检查恢复性测试结果记录。
缺少1个系统的《恢复性测试结果记录样本》,扣0.2分,扣完0.5分为止。
补丁管理(1分)
明文制订了网络设备和主机系统的补丁安全管理制度,制度中明确了补丁管理的对象、补丁下载的步骤、站点说明、补丁实验等内容。
补丁信息是否需要更新以集团公司安全管理平台发布为准。
1
文档检查
(1)检查网络设备补丁安全管理制度,缺少《网络设备补丁安全管理制度》,扣0.5分;
(2)检查主机系统补丁安全管理制度,缺少《主机系统补丁安全管理制度》,扣0.5分。
漏洞检测(1分)
明文制订了安全漏洞扫描管理制度,制度中明确了扫描对象、扫描频率、扫描策略等内容。
省公司对MBOSS系统所有资产每年至少进行一次安全漏洞自评估,自评估工作可以采用外部评估方式(即采用购买第三方安全服务提供商的风险评估服务来完成)。
1
文档检查
(1)检查安全漏洞扫描管理制度,缺少《安全漏洞扫描管理制度》,扣0.5分;
进行安全漏洞扫描时应进行记录,在记录中标明扫描时间、扫描对象、操作人员等信息,省公司应根据扫描结果制定整改方案。
(2)检查最近一年内的漏洞扫描评估记录,缺少最近一年内的《MBOSS系统漏洞扫描评估记录和相应整改方案》,扣0.5分。
安全应急响应(1分)
为了有序高效地落实MBOSS系统信息系统突发事件发生时的应急处理工作,最大限度地减少信息安全突发事件对系统业务造成的损失和对社会的不良影响,提高各级单位信息系统的安全稳定运行水平,应制定MBOSS系统信息系统安全应急响应制度;同时,为了保证安全应急行动的能力,应每年至少组织一次系统运维人员的安全应急行动演练,以提高处理安全应急事件的能力。
加分项:
对核心系统的应用级可用性不间断安全演练成功
1
文档检查
(1)检查系统安全应急管理制度,缺少《系统安全应急管理制度》,扣0.5分;
(2)检查最近一年内的应急演练记录,缺少最近一年内的《MBOSS系统应急演练记录》,扣0.5分。
代维人员账号/权限管理规范(2分)
明文制订了《代维人员安全管理制度》,制度中至少应包含以下内容:
针对代维人员账号管理方面的要求,对代维人员掌握的账号(尤其是管理员账号)和权限进行限制或约束,要求定期检查和定期清理无用的管理/维护账号;明文制订了系统账号权限清单,系统中的每个账号对应每个代维人员,同时避免代维人员拥有管理员账号或账号权限过高等情况;与代维厂家明文制订了保密协议;代维厂商每周应提交一份系统维护操作记录,记录本周对系统所作的维护操作。
加分项:
建立统一的维护操作集中审计平台
2
人员访谈、文档检查
(1)检查代维人员安全管理制度,缺少《代维人员安全管理制度》,扣0.5分;
(2)抽查3个系统的代维情况,检查系统账号权限清单,缺少1个系统的《系统代维账号权限清单》,扣0.5分,扣完0.5分为止;
(3)抽查3个系统的代维情况,缺少与第三方厂家或人员保密协议记录,扣0.2分,扣完0.5分为止;
(4)抽查3个系统的代维情况,检查代维厂商提交的最近一周的系统维护操作记录,缺少1个系统的代维厂商最近一周的《系统维护操作记录》,扣0.2分,扣完0.5分为止。
应用安全(8分)
应用端口服务(1分)
定期对应用所开放的端口服务列表清单进行备案,及时清理其中的未备案的服务。
1
文档检查、人工抽查、工具扫描
(1)抽查3个系统,检查应用程序开放端口服务列表备案清单,并注意是否具有业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的审批记录。
缺少1个系统的《应用程序开放端口服务列表备案清单》,扣0.2分,扣完0.5分为止;
(2)抽查3个系统,发现1个系统应用程序的开放端口服务列表和备案清单不符扣0.2分,扣完0.5分为止;
应用账号安全(3分)
定期对数据库、中间件、应用系统的管理员用户账号列表清单进行备案,及时清理其中的默认账号、测试账号和离岗账号;应用系统数据库、中间件等用户账号不能存在空口令和弱口令;不能存在写死在程序中的账号口令(账号用于数据库、FTP、Telnet等用途);应用系统用户登录口令是否复杂性检查,发现用户是弱口令时强制要求用户修改登录口令后再登录;WEB应用系统登录页面应具有防范暴力破解风险的措施,如设置图形验证码、短信认证等。
加分项:
建立应用账号统一认证系统
3
人工检查、工具检查
(1)抽查3个系统,在每个系统中抽查主数据库,发现1台数据库的管理员账号列表和《系统数据库管理员账号清单》(本清单来自“人员安全管理”-“数据库管理账号授权”部分)不符扣0.2分,扣完0.5分为止;
(2)抽查3个系统,在每个系统中抽查应用系统,发现1个应用系统管理员账号列表和《应用系统管理员用户账号清单》(本清单来自“人员安全管理”-“应用系统特权用户授权”部分)不符扣0.2分,扣完0.5分为止;
(3)抽查3个系统,在每个系统中使用扫描工具对应用系统的数据库和中间件进行安全扫描,发现一个空口令、弱口令或者数据库默认口令扣0.2分,扣完0.5分为止;
(4)抽查3个系统,在每个系统中检查是否存在写死在程序中的账号口令(账号用于数据库、FTP、Telnet等),发现一个写死账号扣0.5分,扣完0.5分为止;
(5)抽查3个系统,在每个系统应用程序中新建测试用户后进行更改用户密码操作,并设置更改密码为弱密码,发现1个系统应用程序更改弱密码成功,扣0.3分,扣完0.5分为止;
(6)抽查3个WEB应用系统,检查每个WEB应用系统登录页面是否具有防范暴力破解风险的措施,如设置图形验证码、短信认证等。
发现1个系统应用程序登录页面未采用具有防范暴力破解风险的措施扣0.2分,扣完0.5分为止。
Web应用常见漏洞加固(4分)
定期使用WEB应用漏洞扫描工具进行评估检查发现安全风险,及时修补WEB应用常见的SQL注入攻击、跨站攻击等安全漏洞,对系统进行安全加固。
4
人工检查、工具检查
(1)抽查B/S结构的MBOSS系统,使用扫描器检查是否存在SQL注入攻击漏洞,每发现一个SQL注入漏洞,并通过该漏洞成功获取系统的数据库名,扣2分,扣完4分为止;
主机安全(6分)
主机账号口令(2.5分)
定期对主机用户账号列表清单进行备案,及时清理其中的混用账号、默认账号、测试账号和离岗账号;定期修改所有账号的口令,保证主机不存在空口令和弱口令。
加分项:
建立主机账号统一认证系统。
2.5
文档检查、人工抽查、工具扫描
(1)抽查3个系统,在每个系统中抽查10台主机,发现1台主机上的管理员账号列表和《系统的操作系统管理员账号清单》(本清单来自“人员安全管理”-“操作系统管理账号授权”部分)不符扣0.1分,扣完0.5分为止;
(2)使用扫描工具对MBOSS所属的主机进行远程口令探测扫描,检查是否存在具有空口令和弱口令的账号,发现一个存在空口令或弱口令的账号扣0.5分,扣完2分为止。
主机端口服务(2.5分)
定期对主机所开放的端口服务列表清单进行备案,及时清理其中的未备案的服务;定期检查所开放服务(如FTP、Sendmail、SNMP等)。
2.5
文档检查、人工抽查、工具扫描
(1)抽查3个系统,检查系统的主机开放端口服务列表备案清单,并注意是否具有业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的审批记录。
缺少1个系统的《主机开放端口服务列表备案清单》,扣0.1分,扣完0.5分为止;
(2)抽查3个系统,在每个系统中抽查10台主机
升级会员 