中国移动业务支撑系统安全总体技术规范（PDF 145）

中国昀庞大的下载资料库(整理.版权归原作者所有)如果您不是在3722.cn网站下载此资料的,不要随意相信.请访问3722,加入3722.cn必要时可将此文件解密成可编辑的doc或ppt格式国动业务统中移支撑系总术规安全体技范中国移动通信集团公司2前言当今通信市场正由传统的以通信网为中心的服务质量竞争转变成以客户为中心的服务质量竞争。为适应市场竞争的变化全面提升中国移动的服务层次，中国移动集团公司对各省业务支撑系统进行了集中化改造。在集团公司的统一规划领导下，目前各省业务支撑系统集中化改造工作基本完成。随着集中化的完成，系统安全的压力明显增大。面对集中后的系统，如何提高全网的安全水平，保障其运行质量，已经成为迫在眉睫的问题。为了规范业务支撑网的安全建设，保障系统安全工作的顺利有效实施，中国移动集团公司制定本业务支撑网安全总体技术规范，主要用来指导和规范各省公司业务支撑网的信息安全建设。3目录1总则51.1概述.......................................................................51.2目标.......................................................................51.3原则.......................................................................52安全总体技术规范框架...............................................................................................................72.1业务支撑网安全技术矩阵.....................................................72.1.1安全技术矩阵的结构.....................................................72.1.2安全技术矩阵纵坐标定义.................................................72.1.3安全技术矩阵横坐标定义.................................................92.2业务支撑网安全三要素......................................................102.2.1风险威胁..............................................................102.2.2技术..................................................................122.2.3性质..................................................................122.2.4安全三要素内在联系....................................................122.3安全技术矩阵与安全要素的结合..............................................133安全指标体系143.1安全指标体系的建立........................................................143.2应用层....................................................................143.2.1应用层-鉴别认证W(1,1)=3............................................143.2.2应用层-访问控制W(2,1)=4............................................213.2.3应用层-内容安全W(3,1)=4............................................273.2.4应用层-冗余恢复W(4,1)=5............................................343.2.5应用层-审计响应W(5,1)=4............................................423.3存储层....................................................................463.3.1存储层-鉴别认证W(1,2)=2............................................463.3.2存储层-访问控制W(2,2)=3............................................533.3.3存储层-内容安全W(3,2)=3............................................573.3.4存储层-冗余恢复W(4,2)=9............................................593.3.5存储层-审计响应W(5,2)=3............................................723.4主机层....................................................................7643.4.1主机层-鉴别认证W(1,3)=4............................................763.4.2主机层-访问控制W(2,3)=4............................................823.4.3主机层-内容安全W(3,3)=4............................................893.4.4主机层-冗余恢复W(4,3)=5............................................953.4.5主机层-审计响应W(5,3)=3...........................................1013.5网络层...................................................................1053.5.1网络层-鉴别认证W(1,4)=3...........................................1053.5.2网络层-访问控制W(2,4)=4...........................................1113.5.3网络层-内容安全W(3,4)=3...........................................1173.5.4网络层-冗余恢复W(4,4)=6...........................................1203.5.5网络层-审计响应W(5,4)=4...........................................1263.6物理层...................................................................1313.6.1物理层-鉴别认证W(1,5)=2...........................................1313.6.2物理层-访问控制W(2,5)=4...........................................1343.6.3物理层-内容安全W(3,5)=2...........................................1373.6.4物理层-冗余恢复W(4,5)=8...........................................1383.6.5物理层-审计响应W(5,5)=4...........................................1414分值计算示例14451总则1.1概述本规范较全面地阐述了中国移动业务支撑网安全建设的目标和原则，从框架和指标体系等方面进行了规范性的描述，是中国移动业务支撑网安全建设的指导性文件，各省移动公司业务支撑网的安全建设需以本规范为依据。业务支撑网安全建设适用的范围为：（1）业务支撑系统的应用软件。（2）业务支撑系统的存储层（包括带库、磁盘阵列、存储网络等）。（3）业务支撑系统的主机层软、硬件平台（包括主机、操作系统、中间件、数据库等）。（4）业务支撑系统的网络层（包括网络构架、网络协议、网络设备等）。（5）业务支撑系统的物理层（安全区域、出入管理、安全要求等）。本规范只适用于中国移动通信集团公司，尚有待于在具体实施过程中不断地补充和完善，中国移动通信集团公司保留对本规范的解释权和修改权。1.2目标（1）“一套实施办法”通过从三个角度对业务支撑网的安全问题进行描述：①目前都存在哪些风险威胁②为消除这些风险威胁有哪些技术手段可供选择③应在哪些安全指标上达标，从而为尚未开展安全工作的省提供一套用于指导建设的实施办法。（2）“一套打分方法”为已经着手业务支撑网安全工作的省提供一套量化的打分方法，通过分值衡量安全水平。（3）对业务支撑网的安全水平进行等级划分，制定安全工作的阶段目标1.3原则（1）本规范所覆盖的安全范围既包括传统IT系统安全（反黑防毒），也包括容灾方面的考虑。6（2）本规范所采用的安全框架结合安全厂商的经验技术和业务支撑系统自身的特点，昀大限度的覆盖了业务支撑系统的安全领域，为中国移动业务支撑系统所独有。（3）本总体技术规范和其下各安全技术规范分册一起构成完整的中国移动业务支撑系统安全规范体系72安全总体技术规范框架2.1业务支撑网安全技术矩阵2.1.1安全技术矩阵的结构在分析中国移动业务支撑网安全体系时，为了清晰和简化系统设计，我们将系统划分为应用，主机，存储，网络和物理5个层次分别加以分析。这5个层构成矩阵的纵向坐标。在分析每层时，我们将从认证鉴别，访问控制，内容安全，冗余恢复和审计响应5个安全角度来考虑。由此构成一个5X5矩阵。如表2－1。表:2-1安全技术矩阵2.1.2安全技术矩阵纵坐标定义2.1.2.1.应用层应用平台指建立在网络系统之上的应用服务系统，如业务服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术来增强应用平台的安全性。应用系统完成网络系统的昀终目的--为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。8本文中的应用指中国移动业务支撑网为实现业务功能而开发的计费、结算、帐务、业务及客服等软件程序。2.1.2.2.存储层本文中的存储指中国移动业务支撑网为保存和访问数据资源所需要的磁盘，磁带，存储网络等软硬件资源。随着IT技术的发展和体系结构的逐渐完善，存储已经摆脱对主机的依赖，成为独立的一个技术体系。根据不同的用户需求，存储体系中的SAN和NAS技术得到飞速发展，并通过远程和本地数据镜像技术，即其它技术手段为提高数据的可靠性，可用性，可管理型。2.1.2.3.主机层保护数据库，中间件，分布式系统的服务器和用户工作站—需要控制谁能访问它们或访问者可以干些什么;防止病毒和特洛伊木马的侵入;检测有意或偶然闯入系统