中国移动业务安全系统通用评估要求规范.docx
《中国移动业务安全系统通用评估要求规范.docx》由会员分享,可在线阅读,更多相关《中国移动业务安全系统通用评估要求规范.docx(55页珍藏版)》请在冰豆网上搜索。
中国移动业务安全系统通用评估要求规范
中国移动业务安全通用评估规范
2012年3月
第1章概述
为了加强中国移动业务安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务安全整体水平,降低业务安全风险,特制定本安全评估规范。
本评估规范针对各业务类型的信息安全水平进行客观、综合评价,促进业务安全管理工作的开展,为业务发展提供良好支撑。
本规范解释权归总部信息安全管理与运行中心。
第2章评估依据
1.《中国移动业务安全评估标准》
2.《中国移动账号口令管理办法》
3.《中国移动设备通用安全功能和配置规范》
4.《中国移动第三方管理办法》
5.《中国移动帐号口令集中管理系统功能及技术规范》
6.《中国移动业务支撑网4A安全技术规范》
7.《中国移动客户信息安全保护管理规定》
8.《中国移动安全域管理办法》
第3章框架及模型
3.1概述
中国移动业务安全评估依据科学的安全风险评估方法,从业务所涉及的各类软硬件资产(网络、设备、通用平台及软件、业务实现程序、终端)出发,依据不同类型资产耦合度,划分为五个层次。
根据不同层次常见以及高危安全风险,分别对不同风险进行安全评估。
本安全评估规范重点对与业务流程相关的内容、计费、协议接口、客户信息、业务逻辑、传播、营销等方面进行安全风险评估,旨在尝试深层次探索中国移动业务安全问题,相关评估结果亦可指导相关业务的建设和运维。
3.2安全评估模型
3.3模型简介
3.3.1网络结构安全
网络结构安全从网络拓扑、安全域方面进行安全评估,重点评估中国移动业务所涉及的物理链路、数据路径、流量控制、安全域划分及隔离防护策略等信息安全管控措施的落实及实施效果。
3.3.2设备安全
设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。
重点评估中国移动业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
3.3.3平台及软件安全
平台及软件安全从数据库、中间件、4A三个方面进行安全评估。
重点评估中国移动业务所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
3.3.4业务流程安全
3.3.4.1内容安全
内容安全从内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护四个方面进行安全评估。
重点评估中国移动业务在内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。
3.3.4.2计费安全
计费安全从计费流程方面进行安全评估。
重点评估中国移动业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。
3.3.4.3能力开放接口安全
能力开放接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。
重点评估中国移动业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。
3.3.4.4客户信息安全
客户信息安全从客户基本信息、客户数据信息两个方面进行安全评估。
重点评估中国移动业务在客户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。
3.3.4.5业务逻辑安全
业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。
重点评估中国移动业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。
3.3.4.6传播安全
传播安全从业务传播方式方面进行安全评估。
重点评估中国移动业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。
3.3.4.7营销安全
营销安全从营销渠道、营销防盗链两个方面进行安全评估。
重点评估中国移动业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。
3.3.5终端安全
终端安全从PC客户端和移动终端两个方面进行安全评估。
重点评估中国移动业务相关的应用软件在身份认证、数据传输、异常功能处理等方面的信息安全管控措施的落实及实施效果。
3.3.6安全管控
3.3.6.1系统安全
系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。
重点评估中国移动业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果
3.3.6.2人员安全
人员安全从人员管理方面进行安全评估。
重点评估中国移动业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。
3.3.6.3第三方管理安全
第三方安全管理从人员安全、物理安全两个方面进行安全评估。
重点评估中国移动业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。
3.3.7应用指导原则
本评估规范旨在建立完整、体系化的中国移动业务安全风险评估框架,不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化以突出不同的重点。
第4章实施方案
4.1网络结构安全
评估编号
TY--WLJG--WLTP
评估场景
网络结构安全——网络拓扑安全
评估要点
1.网络拓扑图与实际网络符合情况
2.网络拓扑及相关设备部署
3.节点、网络链路冗余情况
4.网络设备运行状态监控手段
评估方法
1.核实网络拓扑情况,并查看交换机路由器配置信息,核实拓扑图与实际网络是否相符
2.核实相关设备部署情况;查看网络拓扑图,核实网络拓扑及相关设备部署符合有关标准对组网安全要求
3.核实网络节点、网络链路冗余情况,是否可满足目前业务高峰流量情况
4.核实采用何种手段对主要网络设备进行运行状态监控;查看设备状态监控措施是否满足安全要求
评估结果
1.拓扑图与实际网络是否一致
是□否□
其它:
2.网络拓扑及相关设备部署是否符合有关标准对组网安全的要求
是□否□
其它:
3.网络节点、链路是否有效冗余
是□否□
其它:
4.是否对主要网络设备进行状态监控
是□否□
其它:
当前风险
加固建议
评估编号
TY--WLJG--AQYH
评估场景
网络结构安全——安全域划分
评估要点
1.安全域边界整合
2.安全域划分
3.安全域隔离及其有效性
评估方法
1.核实是否按照业务需求和安全需求,对其他域到接入域、接入域到核心域,核心域内部对安全域边界进行整合
2.核实是否按照业务安全需求,进行安全域划分,即划分为核心域、接入域;接入域是否按照要求划分为:
互联网接口子域、外部接口子域、内部接口子域、终端接入子域;其他域是与接入域有接口关系的其他IT系统,包括CMNET、非中国移动计算机系统和中国移动其他IT系统
3.核实是否按照授权最小化原则和安全策略最大化原则,实施安全域隔离;查看网络设备(交换机、防火墙等)配置信息,结合渗透性测试,验证安全域隔离是否有效
评估结果
1.是否进行了安全域边界整合
是□否□
其它:
2.是否进行了安全域划分
是□否□
其它:
3.安全域隔离是否有效
是□否□
其它:
当前风险
评估建议
4.2设备安全
评估编号
TY—SBAQ--WLSB
评估场景
设备安全——网络设备
评估要点
基础网络设备基线配置安全评估,参考《中国移动设备通用安全功能和配置规范》,进行以下评估:
1.账号管理及认证授权
Ø账户安全
Ø口令安全
Ø授权安全
2.日志安全
3.IP协议安全
4.其他安全要求
评估方法
1.检查网络单元中基础网络设备(交换机、路由器、负载均衡等)基线配置
2.漏洞扫描
3.渗透性测试
评估结果
账号管理及认证鉴权
账户安全
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享
是□否□
其它:
应删除或锁定与设备运行、维护等工作无关的账号
是□否□
其它:
限制具备管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作
是□否□
其它:
口令安全
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类
是□否□
其它:
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天
是□否□
其它:
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
是□否□
其它:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号
是□否□
其它:
授权安全要求
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
是□否□
其它:
日志安全需求
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
是□否□
其它:
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果
是□否□
其它:
设备应配置日志功能,记录对与设备相关的安全事件
是□否□
其它:
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器
是□否□
其它:
设备应配置权限,控制对日志文件读取、修改和删除权限操作
是□否□
其它:
IP协议安全
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量
是□否□
其它:
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议
是□否□
其它:
设备其他安全需求
对于具备字符交互界面的设备,应配置定时账户自动登出
是□否□
其它:
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定
是□否□
其它:
对于具备consol口的设备,应配置consol口密码保护功能
是□否□
其它:
当前风险
评估建议
评估编号
TY—SBAQ--AQSB
评估场景
设备安全——安全设备
评估要点
安全设备基线配置安全评估,以华为防火墙为例,参考《中国移动华为防火墙安全配置规范》,进行以下评估:
1.账号管理及认证授权
Ø账户安全
Ø口令安全
Ø授权安全
2.日志安全
3.告警配置安全
4.安全策略配置
5.攻击防护安全
6.虚拟防火墙安全
7.IP协议安全
8.其他安全要求
评估方法
1.检查网络单元中网络安全设备(防火墙、入侵检测等)基线配置
2.漏洞扫描
3.渗透性测试
评估结果
账号管理及认证鉴权
账户安全
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享
是□否□
其它:
应删除或锁定与设备运行、维护等工作无关的账号
是□否□
其它:
口令安全
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类
是□否□
其它:
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天
是□否□
其它:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号
是□否□
其它:
授权安全要求
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
是□否□
其它:
日志安全需求
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
是□否□
其它:
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果
是□否□
其它:
设备应配置日志功能,记录对与设备相关的安全事件
是□否□
其它:
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器
是□否□
其它:
设备应配置权限,控制对日志文件读取、修改和删除权限操作
是□否□
其它:
记录防火墙与防火墙相关的安全事件
是□否□
其它:
设备应配置NAT日志记录功能,记录转换前后IP地址的对应关系。
防火墙如果开启vpn功能,应配置记录vpn日志记录功能,记录vpn访问登陆、退出等信息
是□否□
其它:
设备应配置流量日志记录功能
是□否□
其它:
在防火墙设备的日志容量达到75%时,防火墙可产生告警。
并且有专门的程序将日志导出到专门的日志服务器
是□否□
其它:
防火墙管理员的操作必须被记录日志,如登录信息,修改为管理员组操作。
帐号解锁等信息
是□否□
其它:
告警配置安全
设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误
是□否□
其它:
告警信息应被保留,直到被确认为止
是□否□
其它:
设备应配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。
对每一个告警项是否告警可由用户配置
是□否□
其它:
设备应配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警,对每一个告警项是否告警可由用户配置
是□否□
其它:
应打开DOS和DDOS攻击防护功能。
对攻击告警。
DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分告警
是□否□
其它:
可打开扫描攻击检测功能。
对扫描探测告警。
扫描攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分网络扫描告警
是□否□
其它:
防火墙应具备关键字内容过滤功能,可打开该功能,在HTTP,SMTP,POP3等协议中对用户设定的关键字进行过滤
是□否□
其它:
如防火墙具备网络病毒防护功能。
可打开病毒防护,对蠕虫等病毒传播时的攻击流量进行过滤。
如不具备相关模块,需要在安全策略配置中首先关注对常见病毒流量的端口的封堵
是□否□
其它:
安全策略配置
所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量
是□否□
其它:
在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围
是□否□
其它:
对于访问规则的排列,应当遵从范围由小到大的排列规则。
应根据实际网络流量,保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配
是□否□
其它:
在进行重大配置修改前,必须对当前配置进行备份
是□否□
其它:
对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制
是□否□
其它:
访问规则必须按照一定的规则进行分组
是□否□
其它:
配置NAT,对公网隐藏局域网主机的实际地址
是□否□
其它:
隐藏防火墙字符管理界面的banner信息
是□否□
其它:
应用代理服务器,将从内网到外网的访问流量通过代理服务器。
防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从内网的主机直接到外网的访问规则
是□否□
其它:
防火墙的系统和软件版本必须处于厂家维护期,并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。
如防火墙系统厂家已不再维护,需要及时更新版本或者撤换
是□否□
其它:
攻击防范安全
对于常见系统漏洞对应端口,应当进行端口的关闭配置
是□否□
其它:
限制ICMP包的大小,以及一段时间内同一IP地址主机发送ICMP ECHORequest报文的次数
是□否□
其它:
对于防火墙各逻辑接口需要开启防源地址欺骗功能
是□否□
其它:
对于有固定模式串的攻击,在应急时可开启基于正则表达式的模式匹配的功能
是□否□
其它:
回环地址(lookbackaddress)一般用于本机的IPC通讯,防火墙必须阻断含有回环地址(lookbackaddress)的流量
是□否□
其它:
虚拟防火墙安全
可划分成多个虚拟防火墙系统,每个虚拟系统都是一个唯一的安全域,拥有其自己的管理员进行管理,管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN和策略以使安全域个性化。
只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口
是□否□
其它:
IP协议安全
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量
是□否□
其它:
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议
是□否□
其它:
设备其他安全需求
对于具备字符交互界面的设备,应配置定时账户自动登出
是□否□
其它:
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定
是□否□
其它:
对于具备consol口的设备,应配置consol口密码保护功能
是□否□
其它:
对于外网口地址,关闭对ping包的回应。
建议通过VPN隧道获得内网地址,从内网口进行远程管理。
如网管系统需要开放,可不考虑
是□否□
其它:
使用SNMPV3以上的版本对防火墙做远程管理。
去除SNMP默认的共同体名(CommunityName)和用户名。
并且不同的用户名和共同体明对应不同的权限(只读或者读写)
是□否□
其它:
对防火墙的管理地址做源地址限制。
可以使用防火墙自身的限定功能,也可以在防火墙管理口的接入设备上设置ACL
是□否□
其它:
在已经部署4A系统的环境中,可以对防火墙账户进行4A的认证和审计
是□否□
其它:
当前风险
评估建议
评估编号
TY—SBAQ--CZXT
评估场景
设备安全——主机操作系统
评估要点
主机操作系统基线配置安全评估,以AIX为例,参考《中国移动设备AIX操作系统安全配置规范》,进行以下评估:
1.账号管理及认证授权
Ø账户安全
Ø口令安全
Ø授权安全
2.日志安全
3.IP协议安全
ØIP协议安全
Ø路由协议安全
4.其他安全要求
评估方法
1.核查主机操作系统基线配置
2.漏洞扫描
3.渗透性测试
评估结果
账号管理及认证鉴权
账户安全
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享
是□否□
其它:
应删除或锁定与设备运行、维护等工作无关的账号
是□否□
其它:
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作
是□否□
其它:
根据系统要求及用户的业务需求,建立多账户组,将用户账号分配到相应的账户组
是□否□
其它:
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。
如果系统没有应用这些守护进程或服务,应删除这些账号
是□否□
其它:
口令安全
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
是□否□
其它:
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天
是□否□
其它:
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
是□否□
其它:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号
是□否□
其它:
授权安全要求
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
是□否□
其它:
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制
是□否□
其它:
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限
是□否□
其它:
日志安全需求
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
是□否□
其它:
设备应配置日志功能,记录对与设备相关的安全事件
是□否□
其它:
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器
是□否□
其它:
启用系统记账(Systemaccounting),记录系统数据,比如CPU利用率,磁盘的I/O信息等
是□否□
其它:
启用内核级审核
是□否□
其它:
IP协议安全
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置
是□否□
其它:
设备应支持列出对外开放的IP服务端口和设备内部进程的对应表
是□否□
其它:
对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到该设备的IP地址范围进行设定
是□否□
其它:
路由协议安全
主机系统应该禁止ICMP重定向,采用静态路由
是□否□
其它:
对于不做路由功能的系统,应该关闭数据包转发功能
是□否□
其它:
设备其他安全需求
对于具备字符交互界面的设备,应配置定时账户自动登出
是□否□
其它:
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定
是□否□
其它:
涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改
是□否□
其它:
应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围
是□否□
其它:
在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装
是□否□
其它:
应根据需要及时进行补丁装载。
对服务器系统应先进行兼容性测试
是□否□
其它:
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭
是□否□
其它:
如果网络中存在信任的NTP服务器,应该配置系统使用NTP服务保持时间同步
是□否□
其它:
NFS服务:
如果没有必要,需要停止NFS服务;如果需要NFS服务,需要限制能够访问NF