IBM信息系统安全设计方案

IBMChinaCompanyLtd©CopyrightIBMCorporation2004中国移动企业信息化系统安全加固方案设计软课题报告2004/12IBM安全项目组IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina20042日程安排课题背景介绍企业信息化系统信息安全体系安全加固方案及实施计划防病毒安全规范数据库安全规范防火墙安全规范企业信息化系统安全域规范问答IBMChinaCompanyLtd©CopyrightIBMCorporation2004课题背景介绍IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina20044研究内容中国移动集团公司信息系统安全加固方案及实施计划安全加固方案是整个软课题的入口，是总部信息办和各省公司信息办对其所负责的平台（统一信息平台、OA等）的安全指南。安全规范与具体平台无关的指导性的安全要求，作为各个平台安全操作手册制定时的安全依据。-安全域划分-防病毒系统管理与配置-网络设备安全-数据库安全规范-防火墙安全规范中国移动安全操作过程手册（安全配置手册）根据信息系统安全操作规范，结合中国移动具体网络及应用环境和设备，在现有安全策略和规范中的相关部分上进行深化和细化，详细制定每个具体设备具体流程的操作规范，形成具有很强操作性的安全操作过程手册。-操作系统安全配置手册(SUNSOLARIS/IBMAIX/HPUX/WIN2000)-数据库安全配置手册（Oracle/DB2/SqlServer/Domino/Exchange）-门户系统安全配置手册(WebSpherePortal/BEAWebLogic/SunOnePortal/OracleASPortal/MSSharePoint)-网络安全配置手册（DNS,FTP,防病毒，VPN，防火墙，交换机，路由器）IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina20045研究成果（1）本软课题，共有31个提交件《中国移动企业信息化系统安全加固方案及实施计划》规范（与具体产品平台无关）《中国移动企业信息化系统安全域规范》《中国移动防病毒安全规范》《中国移动网络设备安全规范》《中国移动防火墙安全规范》《中国移动数据库安全规范》产品操作手册（见下页）IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina20046研究成果（2）通用应用系统-《中国移动WEB服务器安全配置手册》（包括通用，IIS,Apache)-《中国移动DNS服务器安全配置手册》（包括通用，windowsDNS,UnixBind)-《中国移动FTP服务器安全配置手册》（包括通用，IIS,WU-ftp)-《中国移动电子邮件安全配置手册》（包括通用，Domino,Exchange)操作系统-《中国移动操作系统安全配置手册》（包括通用，Solaris,win2000,HPUX,AIX)数据库-《中国移动Oracle安全配置手册》-《中国移动DB2安全配置手册》-《中国移动Domino安全配置手册》-《中国移动SQLServer安全配置手册》门户-《中国移动WebspherePortal安全配置手册》-《中国移动BEAWeblogic安全配置手册》-《中国移动SUNOnePortal安全配置手册》-《中国移动OracleASPortal安全配置手册》-《中国移动MSSharepoint安全配置手册》VPN-《中国移动CheckPointVPN安全配置手册》-《中国移动NortelVPN安全配置手册》-《中国移动IBMVPN安全配置手册》路由器，交换机-《中国移动华为路由器交换机安全配置手册》-《中国移动CISCO路由器交换机安全配置手册》防火墙-《中国移动CISCOPIX防火墙安全配置手册》-《中国移动Netscreen防火墙安全配置手册》-《中国移动CheckPoint防火墙安全配置手册》防病毒-《中国移动Symantec防病毒安全配置手册》-《中国移动趋势防病毒安全配置手册》-《中国移动瑞星防病毒安全配置手册》IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina20047研究方式本课题的研究方式分为两类-《安全加固方案和实施计划》以及与平台无关的5个安全规范IBM负责编写中国移动提供相关信息，并负责审查和提供修改建议-25个与平台相关的安全操作手册中国移动负责编写IBM提供模板，并负责审核和提供修改建议IBM负责手册中通用部分的撰写IBM负责文档的整合感谢相关各省移动对本课题的大力支持。江苏福建山东河南广东四川湖北浙江SUNSOLARISHPUNIXWIN2000IBMAIXSUNONEPortal6.0Oracle9iASportalBEAweblogicMicrosoftOfficeSharepointPortalServerIBMwebsphereExchangeDominoOracle9iSQLServer2000DB2防病毒Norton瑞星TrendVPN北电NortelContivity1700IBMVPNCheckpointDNSFTP通用配置防火墙CISCOPIXNetscreenCheckpoint交换机CISCO华为路由器CISCO华为网络安全配置手册操作系统安全配置手册门户系统安全配置手册数据库安全配置手册IBMChinaCompanyLtd©CopyrightIBMCorporation2004企业信息化系统信息安全体系IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina20049中国移动企业信息化系统安全体系Z轴Y轴管理要素技术要素物理层安全中国移动企业信息化系统安全策略中国移动企业信息化系统安全规范网络层安全系统层安全应用层安全中国移动企业信息化系统安全流程细则其它管理要素冗余恢复内容安全访问控制鉴别认证安全审计业务保障系统开发访问控制审计响应运行维护物理环境信息资产组织人员安全要素安全体系网络层次终端安全IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina200410企业信息化系统安全体系的三层结构中国移动企业信息化系统安全操作手册、流程、细则中国移动企业信息化系统安全策略中国移动企业信息化系统安全规范和标准网络与信息安全标准NISS管理技术组织人员信息资产运行维护系统开发业务保障安全审计安全技术安全设备网络业务应用物理环境访问控制流程\细则操作手册第一层第二层第三层IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina200411第一层：安全策略第二层：安全规范和标准企业信息化系统安全策略安全策略安全管理规范-风险管理规范-系统安全自测规范-信息资产管理规范-系统生命周期安全管理-安全许可证制度-人力资源安全管理-内部安全审计规范-业务持续计划-安全事件检测和响应规范-个人安全守则企业信息化系统安全规范总则应用安全规范-数据库安全规范-数据备份和恢复规范-安全加密规范网络安全规范-企业信息化安全域规范-网络设备安全规范-防病毒安全规范-VPN安全规范-防火墙安全规范-远程访问安全规范系统安全规范-系统日志规范-文档管理规范-用户管理规范-补丁管理规范物理安全规范-物理安全规范-介质安全管理规范安全策略安全规范和标准IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina200412安全操作手册、流程、细则第三层：安全操作手册、流程、细则应用安全配置手册数据库安全配置手册OracleDB2DominoSQLServer门户系统安全配置手册WebspherePortalBEAWebLogicSunOnePortalOracleASPortalMSSharePoint通用应用系统安全配置电子邮件系统通用安全规范DominoExchangeWEB服务器通用安全规范IISApacheDNS通用安全规范WindowsDNS服务器，UNIXBIND服务器(BIND9)FTP通用安全规范IISWu-Ftpd网络安全配置手册VPNCheckpointNortelIBM交换机和路由器华为CISCO防火墙CISCOPIXNetscreenCheckpoint防病毒赛门铁克防病毒趋势瑞星操作系统安全配置手册操作系统安全配置手册通用配置SunSolarisIBMAIXWin2000HPUXIBMChinaCompanyLtd©CopyrightIBMCorporation2004信息化系统安全加固方案及实施计划IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina200414加固方案和实施计划分为三个部分安全管理层面：第一部分安全体系完善计划针对信息化安全体系的整体架构，分析目前在策略、规范、标准方面缺失的部分，制定标准体系规范完善计划第二部分安全体系部署/实施计划给出各省市部署和实施该安全体系的建议，该部分是指导性的，概括性的，各省公司应该根据此加固方案和实施计划制定自己的详细的、切实可行的实施计划。安全技术层面：第三部分总部安全技术体系加固方案和建设计划根据集团总部信息化系统目前所采用的安全技术现状，结合安全体系的具体要求，制定安全技术体系建设计划。IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina200415安全体系完善计划(1)通过分析中国移动企业信息化系统安全体系结构，发现目前在第二层规范/标准这一层的第二个子层具体规范这一层的建设还比较缺乏。下图所列的规范，除了红色部分外，其它规范还不存在。虽然在规范总则中对这些规范进行了简单的说明，但是还不够全面和深入，对于实际操作还是缺乏明确的依据。针对以上分析，建议信息化办公室在下一阶段将体系建设的重点放在安全规范建设上，逐步完善体系中所提到的安全规范。安全管理规范-风险管理规范-系统安全自测规范-信息资产管理规范-系统生命周期安全管理-安全许可证制度-人力资源安全管理-内部安全审计规范-业务持续计划-安全事件检测和响应规范-个人安全守则应用安全规范-数据库安全规范-数据备份和恢复规范-安全加密规范网络安全规范-企业信息化安全域规范-网络设备安全规范-防病毒安全规范-VPN安全规范-防火墙安全规范-远程访问安全规范系统安全规范-系统日志规范-文档管理规范-用户管理规范-补丁管理规范物理安全规范-物理安全规范-介质安全管理规范IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina200416安全体系完善计划（2）在待建设规范中，有些规范之间是存在一定的关联的，我们建议在建设时能够同时予以考虑和建设。-风险管理规范和信息资产管理规范-数据备份和恢复和介质安全管理规范和业务连续性计划规范-系统安全自测规范和安全许可证制度和内部安全审计规范-人力资源安全管理和个人安全守则和用户管理规范和远程访问安全规范-安全事件检测和响应规范和系统日志规范其它的规范可以酌情和以上规范整合在一起考虑。-系统生命周期安全管理-安全加密-文档管理规范-补丁管理规范-物理安全规范IBMChinaCompanyLtd.©CopyrightIBMCorporation2004BankofChina200417安全体系完善计划（3）针对待建的19