安全管理中国移动管理信息系统安全基线规范v.docx

1、安全管理中国移动管理信息系统安全基线规范v（安全管理）中国移动管理信息系统安全基线规范vQB-版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。本规范由中国移动通信集团公司管理信息系统部提出并归口管理。本规范的解释权属于中国移动通信集团公司管理信息系统部。本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框

2、架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。1.2引用标准中国移动网络与信息安

3、全总纲中国移动内部控制手册中国移动标准化控制矩阵中国移动操作系统安全功能和配置规范中国移动路由器安全功能和配置规范中国移动数据库安全功能和配置规范中国移动网元通用安全功能和配置规范FIPS199联邦信息和信息系统安全分类标准FIPS200联邦信息系统最小安全控制标准1.3术语和定义词语解释SecurityBaseline安全基线：是设备功能和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统，用于保障组织内IT系统安全水平。SHG安全加固手册SecurityHardenGuidelineSBL安全基线SecurityBaseline安全风

4、险人为或自然的威胁可能利用IT系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。安全风险评估指运用科学的方法和手段，系统地分析IT系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解IT系统安全风险，或者将风险控制在可接受的水平，为最大限度地为保障IT系统的安全提供科学依据资产是安全防护保护的对象。管理信息系统的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如OA系统、ERP系统等。资产价值资产的重要程度或敏感程

5、度。资产价值是资产的属性，也是进行资产识别的主要内容。威胁可能导致对IT系统产生危害的不希望事故潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。脆弱性是IT系统中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危害资产的安全。安全基线框架1.4背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。为了保证整体安全水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进

6、行检查和加固。若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。为此，制定各系统的安全基线，作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据，同时也是满足内控管理要求的依据。此次系列安全基线规范覆盖了从应用层、中间件层、操作系统层以及网络层，并依据这些安全基线建立准入措施，从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下：覆盖面广，涵盖管理信息系统常见IT系统和设备，并涵盖Web应用和源代码的安全基线；可操作性强，针对每个检查项均有简洁的操作说明；定期更新，应当周期性的对基线进行补充和更新；成果可固化，基线

7、可以被集成为检查工具；安全基线将作为系统和设备安全准入的必要条件。1.5安全基线制定的方法论安全基线制定主要基于以下方法：1参考产品原厂商的技术资料2参考安全服务及安全研究的成果3参考国内外大型研究机构及企业现行的安全基线4结合中国移动网络部下发的相关规范及管理信息系统部的实际情况1.6安全基线框架说明管理信息系统安全基线框架（以下简称框架）由二个层面的安全规范组成。本规范为框架的第一层面，其编制依据主要为中国移动网络与信息安全总纲、中国移动内部控制手册和控制矩阵、管理信息系统安全防护与安全加固技术要求，同时参考国际、国内相关标准规范。第二层规范，按设备和系统种类，分为主机操作系统类安全基线、

8、数据库类安全基线、网络设备类安全基线、中间件与应用类安全基线等。第二层规范包含的设备和系统种类可根据需要进行扩充。第二层规范的编制依据主要为本规范，同时参考各类设备和产品相应的技术资料。安全基线范围及内容1.7覆盖范围目前总部及各省公司管理信息系统中部署了数量众多的IT设备和系统，主要包括网络设备、主机、数据库、中间件和应用系统等。此次安全基线制定的范围需要涵盖中国移动管理信息系统常见的IT系统和设备，具体包括：1、应用系统：Web应用层安全基线，针对Web应用的身份与访问控制、会话管理、代码质量、内容管理等方面制定安全检查项2、中间件：SUNONEApacheWebSphereTomcatI

9、ISWeblogicOracleApplicationServer3、数据库：OracleDB2SQLServer4、主机：WindowsAIXHP-UXSolarisLinux5、设备：CiscoHuaWeiJuniper以上设备和系统之外的安全基线将根据需要进行补充。1.8安全基线组织及内容管理信息系统部制定的安全基线主要分为两大类，第一大类是应用层基线，由于此层的应用系统多为定制开发，因此重在考虑设计、开发、测试环节引入的安全问题。Web应用层安全基线通常包括以下九个范畴的要求：1.身份与访问控制2.会话管理3.代码质量4.内容管理5.防钓鱼与防垃圾邮件6.密码算法7.系统日志8.安装配

10、置9.安全维护第二大类是通用的IT基础设施系统层基线，这类系统包括网络设备、操作系统、数据库，中间件等，它们多为非定制标准化产品，原厂商技术支持较好，资料完整，因此这类安全基线的内容主要关注帐号口令、安全策略，补丁情况，网络协议，日志等问题。例如操作系统层的安全基线通常包括四个范畴的要求：1.帐号管理，认证授权2.日志配置操作3.IP协议安全设置4.设备其它配置操作安全基线编号说明安全基线采用SBL-设备系统名称-数字-数字-数字的方式命名，设备系统名称是指此基线适用的设备或系统，例如windows、oracle等，后续的数字编号指基线要求的具体项目编号，例如SBL-WebAPP-02-02-

11、01是指Web应用的安全基线，属于此基线第二章身份与访问控制第二小节登录用图片验证码的第一项要求，因此后续数字编号为02-02-01。Web应用安全基线示例安全基线项目名称Web应用登录验证策略安全基线要求项安全基线编号SBL-WebAPP-02-02-01安全基线项说明用户登录需提供图片验证码，以防止固定密码暴力猜测账号。检测操作步骤检查登录认证界面输入项，并右键点击图片查看链接属性。基线符合性判定依据要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。备注中间件、数据库、主机及设备示例安全基线项目名称操作系统密码历史安全基线要求项安全基线编号SBL-Windows-02-02

12、-02安全基线项说明对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看“密码最长存留期”基线符合性判定依据“密码最长存留期”设置不大于“90天”备注1.9安全基线使用要求要求新系统上线时必须完成安全基线检查，符合基线要求才能上线，安全基线符合性将作为设备安全准入的依据。要求已上线系统在日常运维中也必须符合安全基线要求，可以使用专业的安全基线检查工具对基线各个要求项进行自动化的基线检查，并形成基线检查报告。具体业务系统的安全要求应按照业务系统的组成，选择对应的安全基线集合进行检测，要求业务系统的网络设备、主机操作系统、数据库和应用系统必须通过安全基线的检测，对于确实因特殊业务需求无法达到的不符合项，应当做出合理说明。评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审查结果修订，并颁发执行。