1、中国移动业务安全通用评估规范讲解中国移动业务安全通用评估规范2012年3月第1章 概述为了加强中国移动业务安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务安全整体水平,降低业务安全风险,特制定本安全评估规范。本评估规范针对各业务类型的信息安全水平进行客观、综合评价,促进业务安全管理工作的开展,为业务发展提供良好支撑。本规范解释权归总部信息安全管理与运行中心。第2章 评估依据1. 中国移动业务安全评估标准2. 中国移动账号口令管理办法3. 中国移动设备通用安全功能和配置规范4. 中国移动第三方管理办法5. 中国移动帐号口令集中管理系统功能及技术规范6. 中国移动业务支撑
2、网4A安全技术规范7. 中国移动客户信息安全保护管理规定8. 中国移动安全域管理办法第3章 框架及模型3.1 概述中国移动业务安全评估依据科学的安全风险评估方法,从业务所涉及的各类软硬件资产(网络、设备、通用平台及软件、业务实现程序、终端)出发,依据不同类型资产耦合度,划分为五个层次。根据不同层次常见以及高危安全风险,分别对不同风险进行安全评估。本安全评估规范重点对与业务流程相关的内容、计费、协议接口、客户信息、业务逻辑、传播、营销等方面进行安全风险评估,旨在尝试深层次探索中国移动业务安全问题,相关评估结果亦可指导相关业务的建设和运维。3.2 安全评估模型3.3 模型简介3.3.1 网络结构安
3、全网络结构安全从网络拓扑、安全域方面进行安全评估,重点评估中国移动业务所涉及的物理链路、数据路径、流量控制、安全域划分及隔离防护策略等信息安全管控措施的落实及实施效果。3.3.2 设备安全设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。重点评估中国移动业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.3 平台及软件安全平台及软件安全从数据库、中间件、4A三个方面进行安全评估。重点评估中国移动业务所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.4 业务流程安全3.3.4.1 内容安全内容安全从内容源引入机制、内容发
4、布机制、内容提供流程和内容操作记录保护四个方面进行安全评估。重点评估中国移动业务在内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。3.3.4.2 计费安全计费安全从计费流程方面进行安全评估。重点评估中国移动业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。3.3.4.3 能力开放接口安全能力开放接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。重点评估中国移动业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。3.3.4.4 客户信息安全客户信息安全从客户基本信息、客户数据信息两个方面进行安全评
5、估。重点评估中国移动业务在客户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。3.3.4.5 业务逻辑安全业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。重点评估中国移动业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。3.3.4.6 传播安全传播安全从业务传播方式方面进行安全评估。重点评估中国移动业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。3.3.4.7 营销安全营销安全从营销渠道、营销防盗链两个方面进行安全评估。重点评估中国移动业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。3.3
6、.5 终端安全终端安全从PC客户端和移动终端两个方面进行安全评估。重点评估中国移动业务相关的应用软件在身份认证、数据传输、异常功能处理等方面的信息安全管控措施的落实及实施效果。3.3.6 安全管控3.3.6.1 系统安全系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。重点评估中国移动业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果3.3.6.2 人员安全人员安全从人员管理方面进行安全评估。重点评估中国移动业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。3.3.6.3 第三方管理安全第三方安全管理从人员安全、物理安全两
7、个方面进行安全评估。重点评估中国移动业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。3.3.7 应用指导原则本评估规范旨在建立完整、体系化的中国移动业务安全风险评估框架,不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化以突出不同的重点。第4章 实施方案4.1 网络结构安全评估编号TY-WLJG-WLTP评估场景网络结构安全网络拓扑安全评估要点1. 网络拓扑图与实际网络符合情况2. 网络拓扑及相关设备部署3. 节点、网络链路冗余情况4. 网络设备运行状态监控手段评估方法1. 核实网络拓扑情况,并查看交换机路由器配置信息,核实拓扑
8、图与实际网络是否相符2. 核实相关设备部署情况;查看网络拓扑图,核实网络拓扑及相关设备部署符合有关标准对组网安全要求3. 核实网络节点、网络链路冗余情况,是否可满足目前业务高峰流量情况4. 核实采用何种手段对主要网络设备进行运行状态监控;查看设备状态监控措施是否满足安全要求评估结果1. 拓扑图与实际网络是否一致是 否 其它: 2. 网络拓扑及相关设备部署是否符合有关标准对组网安全的要求是 否 其它: 3. 网络节点、链路是否有效冗余是 否 其它: 4. 是否对主要网络设备进行状态监控是 否 其它: 当前风险加固建议评估编号TY-WLJG-AQYH评估场景网络结构安全安全域划分评估要点1. 安全
9、域边界整合2. 安全域划分3. 安全域隔离及其有效性评估方法1. 核实是否按照业务需求和安全需求,对其他域到接入域、接入域到核心域,核心域内部对安全域边界进行整合2. 核实是否按照业务安全需求,进行安全域划分,即划分为核心域、接入域;接入域是否按照要求划分为:互联网接口子域、外部接口子域、内部接口子域、终端接入子域;其他域是与接入域有接口关系的其他IT系统,包括CMNET、非中国移动计算机系统和中国移动其他IT系统3. 核实是否按照授权最小化原则和安全策略最大化原则,实施安全域隔离;查看网络设备(交换机、防火墙等)配置信息,结合渗透性测试,验证安全域隔离是否有效评估结果1. 是否进行了安全域边
10、界整合是 否 其它: 2. 是否进行了安全域划分是 否 其它: 3. 安全域隔离是否有效是 否 其它: 当前风险评估建议4.2 设备安全评估编号TYSBAQ-WLSB 评估场景设备安全网络设备评估要点基础网络设备基线配置安全评估,参考中国移动设备通用安全功能和配置规范,进行以下评估:1. 账号管理及认证授权 账户安全 口令安全 授权安全2. 日志安全3. IP协议安全4. 其他安全要求评估方法1. 检查网络单元中基础网络设备(交换机、路由器、负载均衡等)基线配置2. 漏洞扫描3. 渗透性测试评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使
11、用的账号共享是 否 其它: 应删除或锁定与设备运行、维护等工作无关的账号是 否 其它: 限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作是 否 其它: 口令安全对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类是 否 其它: 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天是 否 其它: 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令是 否 其它: 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次
12、数超过6次(不含6次),锁定该用户使用的账号是 否 其它: 授权安全要求在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限是 否 其它: 日志安全需求设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址是 否 其它: 设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果是 否 其它: 设备应配置日志功能,记录对与设备相关的安全事件
13、是 否 其它: 设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器是 否 其它: 设备应配置权限,控制对日志文件读取、修改和删除权限操作是 否 其它: IP协议安全对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量是 否 其它: 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议是 否 其它: 设备其他安全需求对于具备字符交互界面的设备,应配置定时账户自动登出是 否 其它: 对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定是 否 其它
14、: 对于具备consol口的设备,应配置consol口密码保护功能是 否 其它: 当前风险评估建议评估编号TYSBAQ-AQSB评估场景设备安全安全设备评估要点安全设备基线配置安全评估,以华为防火墙为例,参考中国移动华为防火墙安全配置规范,进行以下评估:1. 账号管理及认证授权 账户安全 口令安全 授权安全2. 日志安全3. 告警配置安全4. 安全策略配置5. 攻击防护安全6. 虚拟防火墙安全7. IP协议安全8. 其他安全要求评估方法1. 检查网络单元中网络安全设备(防火墙、入侵检测等)基线配置2. 漏洞扫描3. 渗透性测试评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间
15、共享账号。避免用户账号和设备间通信使用的账号共享是 否 其它: 应删除或锁定与设备运行、维护等工作无关的账号是 否 其它: 口令安全对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类是 否 其它: 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天是 否 其它: 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号是 否 其它: 授权安全要求在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限是 否 其它: 日志安全需求设备应配置日志功能,对用户登录进行记录,记录内容包括
16、用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址是 否 其它: 设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果是 否 其它: 设备应配置日志功能,记录对与设备相关的安全事件是 否 其它: 设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器是 否 其它: 设备应配置权限,控制对日志文件读取、修改和删除权限操作是 否 其它: 记录防火墙与防火墙相关的安全事件是 否 其它: 设
17、备应配置NAT日志记录功能,记录转换前后IP地址的对应关系。防火墙如果开启vpn功能,应配置记录vpn日志记录功能,记录vpn访问登陆、退出等信息是 否 其它: 设备应配置流量日志记录功能是 否 其它: 在防火墙设备的日志容量达到75%时,防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服务器是 否 其它: 防火墙管理员的操作必须被记录日志,如登录信息,修改为管理员组操作。帐号解锁等信息是 否 其它: 告警配置安全设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误是 否 其它: 告警信息应被保留,直到被确认为止是 否 其它: 设备应配置告警功能,
18、报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置是 否 其它: 设备应配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警,对每一个告警项是否告警可由用户配置是 否 其它: 应打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警是 否 其它: 可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警是 否 其它: 防火墙应具备关键字内容过滤功能,可打开
19、该功能,在HTTP,SMTP,POP3等协议中对用户设定的关键字进行过滤是 否 其它: 如防火墙具备网络病毒防护功能。可打开病毒防护,对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块,需要在安全策略配置中首先关注对常见病毒流量的端口的封堵是 否 其它: 安全策略配置所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量是 否 其它: 在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围是 否 其它: 对于访问规则的排列,应当遵从范围由小到大的排列规则。应根据实际网络流量,保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配是 否 其它: 在进行重大配
20、置修改前,必须对当前配置进行备份是 否 其它: 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制是 否 其它: 访问规则必须按照一定的规则进行分组是 否 其它: 配置NAT,对公网隐藏局域网主机的实际地址是 否 其它: 隐藏防火墙字符管理界面的banner信息是 否 其它: 应用代理服务器,将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从内网的主机直接到外网的访问规则是 否 其它: 防火墙的系统和软件版本必须处于厂家维护期,并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统
21、厂家已不再维护,需要及时更新版本或者撤换是 否 其它: 攻击防范安全对于常见系统漏洞对应端口,应当进行端口的关闭配置是 否 其它: 限制ICMP包的大小,以及一段时间内同一IP地址主机发送ICMPECHO Request报文的次数是 否 其它: 对于防火墙各逻辑接口需要开启防源地址欺骗功能是 否 其它: 对于有固定模式串的攻击,在应急时可开启基于正则表达式的模式匹配的功能是 否 其它: 回环地址(lookback address)一般用于本机的IPC通讯,防火墙必须阻断含有回环地址(lookback address)的流量是 否 其它: 虚拟防火墙安全可划分成多个虚拟防火墙系统,每个虚拟系统都
22、是一个唯一的安全域,拥有其自己的管理员进行管理,管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口是 否 其它: IP协议安全对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量是 否 其它: 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议是 否 其它: 设备其他安全需求对于具备字符交互界面的设备,应配置定时账户自动登出是 否 其它: 对于具备图形
23、界面(含WEB界面)的设备,应配置定时自动屏幕锁定是 否 其它: 对于具备consol口的设备,应配置consol口密码保护功能是 否 其它: 对于外网口地址,关闭对ping包的回应。建议通过VPN隧道获得内网地址,从内网口进行远程管理。如网管系统需要开放,可不考虑是 否 其它: 使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限(只读或者读写)是 否 其它: 对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能,也可以在防火墙管理口的接入设备上设置ACL是 否 其它: 在已经部署
24、4A系统的环境中,可以对防火墙账户进行4A的认证和审计是 否 其它: 当前风险评估建议评估编号TYSBAQ-CZXT评估场景设备安全主机操作系统评估要点主机操作系统基线配置安全评估,以AIX为例,参考中国移动设备AIX操作系统安全配置规范,进行以下评估:1. 账号管理及认证授权 账户安全 口令安全 授权安全2. 日志安全3. IP协议安全 IP协议安全 路由协议安全4. 其他安全要求评估方法1. 核查主机操作系统基线配置2. 漏洞扫描3. 渗透性测试评估结果账号管理及认证鉴权账户安全应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享是 否 其它: 应删除或锁定与
25、设备运行、维护等工作无关的账号是 否 其它: 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作是 否 其它: 根据系统要求及用户的业务需求,建立多账户组,将用户账号分配到相应的账户组是 否 其它: 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号是 否 其它: 口令安全对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。是 否 其它: 对于采用静态口令认证技术的设备,账户
26、口令的生存期不长于90天是 否 其它: 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令是 否 其它: 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号是 否 其它: 授权安全要求在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限是 否 其它: 控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制是 否 其它: 控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文
27、件或目录不应有的访问允许权限是 否 其它: 日志安全需求设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址是 否 其它: 设备应配置日志功能,记录对与设备相关的安全事件是 否 其它: 设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器是 否 其它: 启用系统记账(System accounting),记录系统数据,比如CPU利用率,磁盘的I/O信息等是 否 其它: 启用内核级审核是 否 其它: IP协议安全对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置是 否
28、 其它: 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表是 否 其它: 对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到该设备的IP地址范围进行设定是 否 其它: 路由协议安全主机系统应该禁止ICMP重定向,采用静态路由是 否 其它: 对于不做路由功能的系统,应该关闭数据包转发功能是 否 其它: 设备其他安全需求对于具备字符交互界面的设备,应配置定时账户自动登出是 否 其它: 对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定是 否 其它: 涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改是 否 其它: 应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围是 否 其它: 在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装是 否 其它: 应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试是 否 其它: 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭是 否 其它: 如果网络中存在信任的NTP服务器,应该配置系统使用NTP服务保持时间同步是 否 其它: NFS服务:如果没有必要,需要停止NFS服务;如果需要NFS服务,需要限制能够访问NFS服务的IP范围是 否 其它: 防止堆栈缓冲溢
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 