中國電信CTG-MBOSS安全規(guī)范總冊

中國電信集團公司CＴＧ-MBOＳS平安規(guī)范總冊目錄TOC＼ｏ＂1-3＂\h＼zＨYPERＬINＫ＼ｌ"＿Tｏc1６４８432３8"第1章文檔說明PAＧEＲEF_Ｔoc1６48432３8\h１HＹPERLINK\ｌ"_Ｔｏc１64８43239"1．1編制說明PAGEREF＿Toｃ16484３239\h1HYＰERLINK\l＂_Tｏc１6484３24０"1.2適用范圍４８4324０＼h１ＨYPERＬＩＮK＼ｌ"_Toｃ１6484３241＂1.3起草單位PAGEＲEF_Toc１64843241\h1HYPERＬINＫ\l"＿Toc164８43２42"１.４解釋權PAGEREF_Tｏｃ１648４324２＼h1ＨYPERLINＫ＼l＂＿Toc1６4８4324３"1.５版權PAGEＲEF＿Toc1６４8４３２43\h1HYPＥRLINＫ\ｌ"_Toc1648432４4"第2章綜述PAＧERＥF_Toｃ164843２４4\h2HYＰERLＩＮK＼l"_Tｏc１64８4３245"2.1MBOSS所面臨的平安挑戰(zhàn)ＰAGEＲEＦ_Ｔoc164843245\ｈ2HYＰERＬＩＮＫ\l"_Toｃ１６4８4324６"平安組織管理PAＧＥREF＿Toｃ1６4８43246＼h2HYＰERLIＮK\l"＿Toc1648４32４７"人員平安管理PＡGEREＦ_Toc164８4３247＼h2HYＰERＬINK＼l＂_Toc１648432４8"應用開發(fā)平安管理ＰＡGEREF_Ｔoc１648４32４8\h２HYPERLＩＮK\l＂_Toc１6４843249"運維平安管理PAGＥREF_Tｏc164８４3２４9\h2ＨYPERLIＮK＼l＂_Toｃ16４8432５0＂用戶管理PAＧＥREF_Toｃ16４8４3250＼ｈ２HＹPERLINＫ\l"_Toc１6484３251"訪問認證授權PAＧEREF_Ｔoc１648432５1\h3HYPERLＩNK\l"_Toc164８４325２＂網(wǎng)絡平安ＰAGEREF＿Toｃ16４84３２52\h3HYPERLINK＼l"_Ｔoc16４8４3253"主機平安６4８４32５3\h3HYＰEＲＬＩNK\l"_Tｏc１64８4３２54"終端平安ＰＡＧEREＦ_Tｏc１6４8４325４\h4HYPＥRLINK\l"_Tｏc16484325５"平安審計ＰＡGEＲEF_Ｔoc164８43255\h4HYPＥＲLINK＼l"_Toc１6484３25６"容災平安PＡGＥＲEF_Toc１6４84３2５6\h4HＹPＥRLＩNK\l＂_Ｔoc16４84３257"2.2ＭBOSS平安規(guī)范的目標愿景PAＧＥREＦ_Toc16４8432５７\h4HYPERＬＩNK＼ｌ"_Ｔoc16４8４3２５8"2．3改進ＭBOSS信息平安的關鍵步驟PAGＥREF_Tｏc１64843２58\h4HYPＥRLINK\l"_Tｏc16４843２59"２．4MＢOSS平安規(guī)范設計依據(jù)PAGERＥＦ_Tｏc16４8４3２５9\ｈ5HYPERLIＮK\ｌ＂_Toc164843260"第3章平安規(guī)范體系說明PＡＧEＲＥF＿Tｏc1648４3260\h6HYPERLＩNK\l＂＿Toc16４８４3２６1＂３．１平安規(guī)范指導原則PAGEREＦ_Toc1648４3261\h9HYPEＲLＩNK＼l"_Ｔｏc１648432６2"3.２平安管理規(guī)范綜述ＰAGEREF_Tｏc１64８4326２＼h9ＨYPERLINK\l"＿Toc１64８432６３"3.3平安技術規(guī)范綜述PAGＥREF_Tｏc1648432６３\h10HYＰＥRLINＫ\ｌ"_Tｏc1６4８43264"第4章CTＧ－MBOSS平安規(guī)范實施PAGＥREF_Toｃ16484３264\h13HYＰERLINK\l"_Ｔｏc1６48４３265"４.1ＭBOSS平安規(guī)范演進方案PAGEREF_Tｏc１648４3265\ｈ13ＨYPERLINＫ\ｌ"_Toｃ１64８４3266"第一階段：建立MBOSS平安服務平臺基礎設施PAGEREF_Toｃ16484３２６6\h13HYPEＲLＩNK＼ｌ"_Tｏc１648４3２67"其次階段：擴充MＢOSS平安服務平臺的功能PAGEＲＥF_Ｔoc1６４843267\h14HYPERLINＫ＼l"_Toc1６４84３268"第三階段:完善MBOＳS平安體系ＰAGEＲEＦ_Toc1648４3268\h１５HYPＥRLINK\l＂_Ｔoc164８43269"４.2CTG-MBOSS平安架構的部署建議PAGEREF_Tｏｃ1６４84326９\ｈ15HYＰERLＩNＫ＼ｌ＂＿Toc164８43２7０"4.3CTG－ＭBOSS容災備份PAGEＲＥF_Tｏc16484327０＼h16ＨＹPERLINK＼l"＿Tｏｃ1648432７1"第5章平安規(guī)范演進風險及應對ＰAＧEREF_Toc164843２71\h１7HＹPERＬＩNK\l"_Ｔｏc1６4８4327２"5.１IT平安組織的建立PＡGＥRＥF_Toc1６４８43272\h17HYPEＲLIＮK＼l"＿Toc1６48432７3"5.2實施范圍的把握PAGEREF_Toｃ1648432７３\ｈ１7HＹPEＲＬINK\l"_Toc1648432７4＂5.３人力資源支配PＡGＥREF＿Toｃ16４８４３274＼h1８5.4員工對平安管理制度的接受PAＧＥREF_Toc1６4８4３２７5\h1８HYPERLIＮＫ\l＂＿Toc164８4327６"附錄1.附錄PAGERＥF_Ｔoｃ1６48４327６\h１9HYPＥＲLIＮK\l"＿Tｏc164８4３２7７"附錄1.1.規(guī)范編制人員名單PＡGEＲEＦ_Tｏc164８43277\h１9HYPＥRLINＫ\l"_Ｔｏc16４8４３2７8＂附錄１.2.名詞定義PＡGEREF＿Toｃ16484３278\h19ＨYPEＲLIＮK＼l"_Toｃ１６484３27９"附錄1.3．參考文獻PAGEREF_Tｏc164843２79\ｈ2０文檔說明編制說明本規(guī)范作為中國電信CＴG-MBOSS規(guī)范的重要組成部分，為中國電信集團建設MBＯSS信息平安體系供應依據(jù)。本規(guī)范的編制是在《ＣTG－MBOＳS總體規(guī)范V2．0》的總體框架體系指導下,參考了已有的中國電信集團下發(fā)的平安政策文件，繼承和吸取了原有平安管理實踐的閱歷成果,并充分考慮了各省電信公司的現(xiàn)狀和行業(yè)最佳實踐與平安新技術的引入。本規(guī)范是MBＯSS總體規(guī)范的組成部分,全面、概括地闡述了平安架構、平安管理、平安技術以及實施演進策略等內(nèi)容。適用范圍本規(guī)范適用于中國電信集團公司及下屬省（市）電信公司進行MBＯSS信息平安的規(guī)劃和建設，為MBＯSS系統(tǒng)相關的平安建設、升級改造、系統(tǒng)演進供應指導和依據(jù)。起草單位本規(guī)范的起草單位是中國電信集團公司。解釋權本規(guī)范的解釋權屬于中國電信集團公司。版權綜述ＭＢＯSS所面臨的平安挑戰(zhàn)平安組織管理隨著中國電信MＢＯSＳ的建設和進展,如何準時制定出信息平安的指導方針，爭辯和分析信息平安建設對中國電信業(yè)務進展的價值和影響,更好適應不斷變化的組織形式，明確組織內(nèi)部人員職責,以保障中國電信業(yè)務系統(tǒng)平平穩(wěn)定地運行成為平安管理機構面臨的最大挑戰(zhàn)。人員平安管理據(jù)調(diào)查大部分的平安大事都來自公司的內(nèi)部,商業(yè)間諜的存在，員工有意無意透露公司商業(yè)信息，員工在離職后泄露公司商業(yè)隱秘及從事與公司有競爭利益的商業(yè)活動等，都暴露出公司在人員平安管理方面存在的問題。定期進行員工平安意識培訓已經(jīng)刻不容緩。應用開發(fā)平安管理隨著中國電信MＢＯSS的進展，應用系統(tǒng)將面臨諸多的平安威逼。身份認證的哄騙、用戶權限的濫用、輸入數(shù)據(jù)校驗的特別、跨站點的代碼攻擊、緩沖區(qū)溢出等等，都對我們的應用開發(fā)提出了新的平安設計和防護要求。制定嚴格的編程規(guī)范和管理手段成為不能回避的問題。運維平安管理隨著中國電信MBOSS系統(tǒng)各項業(yè)務對信息系統(tǒng)依靠程度漸漸提高,信息系統(tǒng)的簡單度急劇增加，從規(guī)劃建設到系統(tǒng)運維階段的平安建設都應遵循系統(tǒng)的生命周期進行設計,另一方面信息系統(tǒng)在運維過程中的平安問題變得更加突出，因此也提出了越來越高的平安運維要求;同時簡單的業(yè)務系統(tǒng)和異構的網(wǎng)絡環(huán)境,增加了系統(tǒng)平安運維的難度。傳統(tǒng)的單一、孤立的平安運維管理已越來越不適應中國電信ＣTG－MBＯSＳ系統(tǒng)平安運維管理的需求,CＴG-MBＯSS系統(tǒng)平安運維管理應向綜合平安運維階段進行深刻轉變。用戶管理隨著中國電信MBＯＳS系統(tǒng)的進展,用戶數(shù)量的不斷增加，網(wǎng)絡規(guī)?？焖贁U大，信息平安問題愈見突出,原有的用戶管理措施已不能滿足中國電信目前及將來業(yè)務進展的要求。主要表現(xiàn)在以下方面：假如MBOSS每個系統(tǒng)均擁有獨立的用戶管理系統(tǒng)，將會給同時維護多個應用系統(tǒng)的維護人員帶來巨大工作量；缺乏賬號生命周期管理機制，存在大量孤立賬號，增加信息系統(tǒng)平安風險；存在多人共用一賬號現(xiàn)象,難以把握賬號集中范圍，平安管理存在漏洞。且平安事故發(fā)生后,難以審計并定位到實際使用者；帳號審計沒有很好的流程來規(guī)范，進行帳號的生命周期管理，保證帳號平安。訪問認證授權隨著網(wǎng)絡攻擊技術的快速進展,ＣＴG-MBOSS的訪問認證授權面臨著嚴峻的挑戰(zhàn),具體來說存在著可能導致較嚴峻平安大事的幾類問題，具體如下：１.認證功能分散在各設備和系統(tǒng)中難以統(tǒng)一管理。2．授權功能分散在各設備和系統(tǒng)中難以與業(yè)務要求相協(xié)調(diào)。3．未建立統(tǒng)一的訪問認證管理流程。上述三個方面的問題可能導致較嚴峻的平安大事，是CTＧ-MBＯSS在訪問認證授權方面的主要問題，會帶來巨大的挑戰(zhàn)。網(wǎng)絡平安由于以往建設的網(wǎng)絡系統(tǒng)在平安建設和平安互聯(lián)方面考慮較少,隨著信息技術、網(wǎng)絡技術的快速進展,網(wǎng)絡系統(tǒng)面臨的平安威逼日益增加。依據(jù)調(diào)研,CTG-MBOSS網(wǎng)絡系統(tǒng)所面臨的主要威逼除了物理攻擊破壞外,還包括惡意軟件攻擊、內(nèi)部員工誤用、黑客入侵破壞等幾類。因此,迫切需要開展網(wǎng)絡平安爭辯，從整體平安防護、邊界防護、網(wǎng)絡平安架構及性能規(guī)劃與ＭBOSS需求相適應、系統(tǒng)內(nèi)部平安防護、平安審計等不同角度動身，制定平安防護原則和優(yōu)化改造方案。使網(wǎng)絡平安與網(wǎng)絡系統(tǒng)“同步規(guī)劃、同步建設、同步維護”。主機平安ＣTG-MBＯSS中的主機系統(tǒng)作為信息存儲、傳輸、應用處理的基礎設施，其自身平安性涉及到系統(tǒng)平安、數(shù)據(jù)平安、網(wǎng)絡平安等各個方面。作為CTＧ-MBOSS系統(tǒng)中重要的組成部分,各種業(yè)務系統(tǒng)主機數(shù)量眾多，資產(chǎn)價值高,面臨的平安風險極大。一方面，主機是ＣＴG-ＭBＯSＳ系統(tǒng)各類業(yè)務系統(tǒng)數(shù)據(jù)的主要載體,這些業(yè)務數(shù)據(jù)是系統(tǒng)信息資產(chǎn)的重要組成部分;另一方面，病毒、木馬等平安威逼很簡潔通過訪問主機系統(tǒng)的終端滲透到后臺各種業(yè)務應用和服務主機中,從而對CTＧ-MBOSＳ系統(tǒng)的整體平安帶來危害。為此需要在終端和主機平安領域建立一套平安技術體系來保障其平安，從而進一步完善ＣＴG-MBOＳS的平安技術體系。終端平安終端作為一種比較分散的資產(chǎn)，長期以來難以進行集中的有效的管理；作為CTG-MBOＳS的一個基本組件，面臨病毒、蠕蟲、木馬、惡意代碼的泛濫,擔憂全的終端可能成為一個被動的攻擊源,對整個MBＯSS系統(tǒng)構成威逼。企業(yè)內(nèi)部應制定統(tǒng)一的終端平安策略、終端平安接入ＭＢOＳＳ策略,包括補丁管理、終端審計等流程。平安審計隨著中國電信ＣTG-ＭBOSS系統(tǒng)建設和進展,同時為滿足薩班斯法案對于IT系統(tǒng)內(nèi)部把握的要求，平安審計將成為一項重要的技術手段。但在具體的平安運維工作中，平安審計面臨諸多挑戰(zhàn),主要體現(xiàn)在內(nèi)部人員操作、第三方維護人員操作以及最高權限用戶使用過程中。要建立一套完備的審計機制。容災平安隨著中國電信CTG-MBOSS系統(tǒng)建設和進展，需要依據(jù)國家的規(guī)定與電信MＢＯSS集中的特點考慮容災的需求。MBＯSS平安規(guī)范的目標愿景MＢＯSS平安規(guī)范的制定主要有以下三大目標愿景：定義中國電信ＣTＧ-MBOＳＳ平安管理體系的愿景,確保中國電信“從傳統(tǒng)的固網(wǎng)運營商向綜合信息服務供應商”的成功轉型。供應演進路線，在３-５年把中國電信建設成以風險管理為導向的成熟型企業(yè)。 實行管理與技術相結合的方法,促進CTG－ＭBOSS平安規(guī)劃及規(guī)范的貫徹。改進MBOSS信息平安的關鍵步驟中國電信MBＯSS系統(tǒng)平安需要解決的關鍵問題，首先,平安建設必需符合中國電信企業(yè)的戰(zhàn)略轉型和業(yè)務進展,必需保證業(yè)務進展;其次,平安體系應符合國家各種法律法規(guī)中對于平安的要求，尤其是滿足內(nèi)控的要求，并且對其中有針對性的要求進行重點建設；再次，充分考慮MBOＳS系統(tǒng)在目前運行中對于平安建設的要求和需求；最終,系統(tǒng)平安應規(guī)避和降低目前系統(tǒng)存在的威逼和風險。綜上所述，中國電信MBOSS系統(tǒng)平安規(guī)范需要解決的問題如下：1.?在中國電信內(nèi)部把握手冊的基礎上,建立完善的CTG－MBOSＳ系統(tǒng)的整體平安規(guī)劃，實現(xiàn)平安基礎設施建設有序地建設，確保用于ＩT平安的投資應不少于IＴ投資的10％。2. 建立專職的信息平安管理組織,建立平安崗位，明確平安管理職責，結束目前的“權力分散,缺乏統(tǒng)一，兼職為主”的局面。3.?依據(jù)集團和各省公司具體狀況,制定各省公司的MBOＳS企業(yè)平安架構和實施方案，徹底轉變以往孤立部署各種平安產(chǎn)品的狀況。4. CTG－ＭBＯSＳ系統(tǒng)中信息平安的要求，加強對系統(tǒng)用戶的管理、用戶的訪問認證、授權、訪問把握。5. 建立集中IT平安服務、監(jiān)控平臺，供應技術手段固化平安政策、標準和流程，準時監(jiān)控IＴ平安狀況。明確該平臺做為企業(yè)負責IT平安的對內(nèi)對外的接口。6.?加強CTＧ-MBOSS系統(tǒng)邊界訪問方式、平安區(qū)域內(nèi)部、平安區(qū)域間的防護;對現(xiàn)有的ＩT基礎設施進行IT平安加固,消退平安隱患。特殊是對應用的定期平安檢查。７. 加強CＴＧ－MBＯＳS系統(tǒng)與客戶自服務平安交互訪問接口的平安性；在省公司統(tǒng)一規(guī)劃和建設與公網(wǎng)的接口,堵截平安漏洞。8． 在系統(tǒng)開發(fā)過程中,加入平安管控點,確保新實施的系統(tǒng)能滿足平安規(guī)范。9. 加強CＴG-MBＯSＳ系統(tǒng)的平安集中管理的力量，實現(xiàn)全面的平安集中運維管理。10.?建立ＣTG－ＭＢOＳS系統(tǒng)容災建設，建立業(yè)務系統(tǒng)連續(xù)性進展和建設方案、步驟和具體保障手段。ＭBＯＳＳ平安規(guī)范設計依據(jù)定義ＣTG-MBOSS平安體系的愿景：實行管理與技術相結合的方法，在3-5年內(nèi)把中國電信建設成以風險為導向的成熟型企業(yè)，確保中國電信的成功轉型。ＣTG-MBOSS平安規(guī)范的設計依據(jù)主要來源在五個方面：中國電信的戰(zhàn)略轉型的驅動，中國電信IT內(nèi)控的要求,MBOＳS的平安現(xiàn)狀和評估,法律法規(guī)對信息平安的要求，信息平安的最佳實踐和實施閱歷。平安規(guī)范體系說明CTＧ-ＭBOSS是支撐中國電信企業(yè)運營和管理的信息化架構,是集團和各省公司企業(yè)信息化建設的愿景,由方法論、功能和系統(tǒng)架構、管控架構以及規(guī)范體系等部分構成。平安規(guī)范是ＣTＧ-ＭBOSＳ規(guī)范體系的擴充。圖STYLEREF1＼s3SEQ圖\＊ARABIC\s11CＴＧ-MBOSS平安規(guī)范與CＴＧ-MBOSS規(guī)范體系的關系CＴG-MBOＳS平安規(guī)范是對現(xiàn)有的CＴG－ＭBＯSS規(guī)范體系的擴充。平安規(guī)范是由兩個部分組成,分別對平安管理規(guī)范和平安技術規(guī)范兩個方面進行了設計。在平安管理體系方面，制定了平安策略，包括組織平安管理架構，人員平安管理、應用開發(fā)平安管理和運維平安管理等四個方面所需遵循的IT平安標準和指導方針，掛念中國電信不斷提高IT平安管理力量。ＣTG-MBOSS平安規(guī)范將建立在中國電信企業(yè)信息平安架構模型，該模型將企業(yè)平安力量劃分成7個層次。圖STYLERＥF1\s3SEQ圖\*ARABIC\s12CTG－MBOＳＳ平安規(guī)范信息平安架構模型原則：描述信息平安的業(yè)務需求價值政策:描述信息平安的目地、方向、愿景及責任平安標準：信息平安實施規(guī)章，包括技術、方法及其它細節(jié)流程:跨部門實施政策標準的活動、工作及程序作業(yè)指南：描述個人在流程上的具體工作架構：信息平安技術如何結合的細節(jié)產(chǎn)品建議:信息平安解決方案所選的產(chǎn)品及工具基于以上MＢOSS面臨的ＩＴ平安挑戰(zhàn),MBＯＳS平安規(guī)范將參考ＩSO1７7９９主要在IT平安管理體系，IT平安技術架構兩個方面進行了考慮。圖ＳTＹＬEＲEF１\s3SＥQ圖\*ＡＲABIC\s13CTG-MBOSS平安規(guī)范文檔結構管理規(guī)范的設計思路：從MBＯSＳ應用的開發(fā)、維護考慮平安方面的管理要求動身,考慮如下:組織架構：結合企業(yè)信息化部當前的組織架構及職責,定義負責MＢOSS平安的組織架構設置原則,指導機構的設置，及相關的崗位職能。人員平安：考慮對MBOＳS運維人員的管理及考核，對MBOSS的第三方開發(fā)人員的管理與監(jiān)督應用開發(fā)平安：應用開發(fā)過程中的平安要求運維平安:針對ＭBOSS在運維中的平安需求,為規(guī)范日常運維工作而定義了相關的工作流程,其中工作流程按技術體系進行分類。技術規(guī)范的設計思路:從用戶對MBOSS數(shù)據(jù)的訪問流程考慮平安方面的技術要求動身，考慮如下：用戶管理：對訪問ＭBOＳS用戶的集中管理訪問認證：對訪問MＢOSＳ用戶的集中授權網(wǎng)絡平安：承載MＢＯSS的DＣN、中間件、數(shù)據(jù)庫的平安要求主機平安:承載MＢOSS的主機與數(shù)據(jù)存儲的平安要求終端平安:訪問MBOSS的終端及其接入DＣN的平安要求(含VPN方式）平安審計:定義ＭＢOSＳ在運維過程中的平安檢測點及要求容災備份：對MBOSS的應用及與數(shù)據(jù)存儲的備份要求平安規(guī)范指導原則在平安規(guī)范的具體編制過程中，充分考慮了以下平安指導原則:集中管理、集中審計MBＯＳＳ應實行以省為單位的集中平安管理和集中平安審計設計原則，以提高系統(tǒng)平安運行的效率和效果。最少的特權在確保能完成其工作任務時,賜予用戶（包括個人、應用或其它主體)最少的特權和必需的權限。提倡分層分區(qū)的防衛(wèi)ＭBOSS的平安不能建立在單一的平安機制上。網(wǎng)絡應依據(jù)所承載的系統(tǒng)進行分層分區(qū)，分區(qū)域后的網(wǎng)絡能得到額外的平安愛護和把握。削減最弱環(huán)節(jié)在設計中要識別、避開或監(jiān)視任何可能的弱點,并定期進行弱點掃描與評估。MBＯSＳ的平安程度取決于系統(tǒng)的最薄弱環(huán)節(jié)，黑客往往查找企業(yè)的最弱點進行攻擊。簡潔的平安解決方案實施平安解決方案,一個簡單的系統(tǒng)往往增加了平安漏洞存在的可能性。防外和防內(nèi)并重在全部攻擊中,內(nèi)部攻擊占據(jù)了很大的一部分,平安解決方案應能同時擔當內(nèi)部和外部威逼的防范,平安設施的實施應不考慮威逼源的差異-不管來自何方的訪問，關鍵信息資源需要供應額外的認證和授權。考慮系統(tǒng)的實際生產(chǎn)狀態(tài)ＭBＯSS系統(tǒng)平安規(guī)范建設涉及多方面的平安策略及內(nèi)容,因此依據(jù)各系統(tǒng)實際的生產(chǎn)狀態(tài)，實行對應的規(guī)范。平安管理規(guī)范綜述本平安管理規(guī)范給出了CTG-BOSS系統(tǒng)啟動、實施、保持和改進信息平安管理體系的指南和一般原則。本規(guī)范列出的目標為系統(tǒng)通常所接受的信息平安管理供應了指導。本管理規(guī)范的把握目標和把握措施的實施旨在滿足以風險為導向所識別的平安要求。本標準可作為建立CＴG-ＢOSＳ系統(tǒng)平安準則和有效平安管理的有用指南,可認為是CTＧ-BOSS系統(tǒng)開發(fā)其具體指南的起點。對CTＧ-BOSS系統(tǒng)來說,雖然本平安管理規(guī)范中的全部把握措施都是重要的并且是應被考慮的,但是省公司應依據(jù)其ＣＴG-BOSS系統(tǒng)所面臨的具體風險來確定任何一種把握措施是否合適,不能取代基于系統(tǒng)風險評估而選擇的把握措施。本規(guī)范由四個部分組成：組織平安管理分冊、人員平安管理分冊、運維平安管理分冊、應用開發(fā)平安管理分冊。其中組織平安管理分冊和人員平安管理分冊是本平安管理規(guī)范的基礎。組織平安管理分冊明確指出CＴG-BOＳS系統(tǒng)應建立起決策層、管理層和執(zhí)行層三層工作關系，建立由各單位主要負責人組成的信息平安領導小組，目標是明確信息平安主管領導,落實信息平安管理部門，建立信息平安執(zhí)行崗位,明確職責;管理的本質是對人的監(jiān)管,人員平安分冊從信息平安的角度對CTG－MBOSS系統(tǒng)的使用用戶行為進行了規(guī)范，該分冊從人員入職、在職、離職以及第三方人員平安管理四個方面管理和把握ＣＴG-MBOSS系統(tǒng)使用用戶的擔憂全行為,預防平安大事的發(fā)生。在前兩個分冊的基礎上，結合ＣTG-MBOSS系統(tǒng)現(xiàn)階段的防護重點、平安現(xiàn)狀,平安管理規(guī)范從系統(tǒng)運維平安和應用開發(fā)平安兩個方面對CTG－MBＯS系統(tǒng)進行了系統(tǒng)規(guī)范，系統(tǒng)運維平安分冊從信息資產(chǎn)、口令、電子文檔、系統(tǒng)應急、平安審計、風險評估等方面對運維過程中的重要管理問題進行了闡述,期望通過該分冊的制定和執(zhí)行,建立CTＧ-MBOSS系統(tǒng)內(nèi)部平安運維螺旋上升的PＤCA循環(huán);應用開發(fā)平安分冊從應用系統(tǒng)平安基本需求動身，對系統(tǒng)承載的業(yè)務數(shù)據(jù)和應用系統(tǒng)本身提出了平安管理要求,并從系統(tǒng)開發(fā)、對外把握、平安性測試、系統(tǒng)部署幾個方面對應用系統(tǒng)開發(fā)過程中遇到的平安管理問題的把握進行了規(guī)范。平安技術規(guī)范綜述平安技術規(guī)范的設計是從中國電信平安需求動身,依據(jù)項目總體原則、最佳實踐及IＴ平安架構設計原則,以平安力量、平安服務滿足需求。通過對平安服務模塊及其功能模塊的設計和實施,建立中國電信平安技術架構,供應整個企業(yè)的ＩT平安服務和力量。中國電信總體平安技術架構依據(jù)中國電信的需求、以及平安架構設計原則及最佳實踐,本項目所設計的中國電信平安技術架構將包括以下的服務模塊及功能模塊。圖STYLEREF1\ｓ3?SEQ圖\*AＲABIC\s14CＴG－MBOSＳ平安技術架構中國電信IT平安架構將具備以下功能:集中的用戶管理:通過用戶帳號管理系統(tǒng)，實行統(tǒng)一的的用戶管理策略。依據(jù)用戶組別及用戶管理策略，可集中授予用戶對各應用、系統(tǒng)的的訪問權限。集中用戶身份管理將供應企業(yè)級的用戶名目數(shù)據(jù)庫。它的任何變化（如更改、刪除）都會被同步到其他系統(tǒng)的用戶名目中。集中的用戶身份管理功能為實施統(tǒng)一用戶管理政策供應了可能。集中認證授權:通過集中認證平臺實現(xiàn)對各應用訪問的集中認證和訪問授權。認證平臺基于訪問用戶的宏觀屬性(用戶識別符、目標應用系統(tǒng)名稱、認證所接受信任度）和訪問政策實現(xiàn)對各應用訪問的集中認證和應用的入口級的訪問授權。并供應了多應用系統(tǒng)的單點登錄的功能。集中平安審計：通過集中的大事管理平臺為監(jiān)測及處理平安大事供應有效的工具。通過采集應用、系統(tǒng)、網(wǎng)絡中稽查記錄以及收集所部署的平安檢測設備的大事來實現(xiàn)對日志、大事的集中收集、集中處理、集中分析、報告。網(wǎng)絡平安改造:目的是實現(xiàn)信息資產(chǎn)的愛護。為了愛護資產(chǎn)免于可能受到的威逼，在資產(chǎn)和不被信任的機構之間設立愛護機制,將資產(chǎn)與那些危急的代理隔離。對于期望使用相同平安把握的一組資產(chǎn)，可以把他們劃為一個“域”。通過平安域的設計，限制除通過可接受的平安接口之外的訪問。主機平安改進:為服務器的平安符合性檢查和把握供應手段。集中檢查服務器的平安符合性狀況,并依據(jù)平安策略接受后續(xù)的手段來限制主機的訪問和操作。終端平安改進：為終端的平安符合性檢查和把握供應手段。集中檢查終端設備的平安符合性狀況,并依據(jù)平安策略接受后續(xù)的手段來限制終端對網(wǎng)絡的訪問(網(wǎng)絡的準入把握)。通過集中的補丁管理供應終端符合性的手段。容災備份中心:為CTG-MＢOSS系統(tǒng)供應風險預防機制和災難恢復措施，在確保數(shù)據(jù)平安的基礎上提高業(yè)務連續(xù)運行力量，降低企業(yè)運營風險，將業(yè)務損失降低到可接受的程度,提升服務質量和服務水平,增加企業(yè)競爭力。下圖描述了MBOSS平安服務平臺域ＭSS、ＢＳS、OSS的整合,和它們之間的信息傳遞關系:圖STYLEＲEF1\ｓ3SEＱ圖＼*AＲAＢIＣ\ｓ1５CTＧ－ＭBOSS與MSＳ、BSS、OSS的整合ＣTG-ＭBＯSS平安規(guī)范實施CTＧ-MBOＳS平安規(guī)范實施演進方案圖SＴYLEREＦ1\s４?ＳEQ圖＼*ARＡBＩC＼s11CTG-MBＯSＳ平安規(guī)范演進規(guī)劃第一階段:建立MBＯSS平安服務平臺基礎設施通過第一階段的實施,建立起MBOSS平安服務體系的基礎設施。要求達到以下目標：建立MBOSS的平安管理體系:建立MＢＯＳS平安管理組織，實施人員平安管理規(guī)范、對員工進行個人平安教育,推廣實施ＭBOSS運維平安管理規(guī)范，推廣并實施MＢOSＳ應用開發(fā)平安管理規(guī)范。制定各省公司的ＭBOＳS平安架構與總體解決方案（EnterpｒｉｓeSecuｒityAｒchitecture)網(wǎng)絡平安改進-網(wǎng)絡改進要求取得以下的結果：依據(jù)網(wǎng)絡平安規(guī)范的要求,依據(jù)不同的平安要求,建立相應的平安區(qū)域。網(wǎng)絡平安區(qū)域的劃分,要與MBOSＳ應用數(shù)據(jù)流相結合不同的平安區(qū)域要用接受相應的隔離手段，并在網(wǎng)絡上部署入侵檢測或防備手段。建立統(tǒng)一的外網(wǎng)訪問出口,逐步關閉部門自主部署的互聯(lián)網(wǎng)訪問出口。主機平安管理：建設主機平安管理基礎設施，定義主機平安策略,實施對MＳS、ＢSＳ、OSS系統(tǒng)主機的平安管理。實施基于主機的系統(tǒng)補丁管理實施基于主機的主機加固和審計系統(tǒng)、防病毒系統(tǒng)、防惡意代碼工具,及相應平安代理的部署實施基于主機的攻擊防護系統(tǒng)的部署集中平安審計平臺:建設集中平安審計平臺實現(xiàn)對BSS關鍵系統(tǒng)的平安審計整合，包括BSS應用、服務器操作系統(tǒng)和數(shù)據(jù)庫，DCN關鍵網(wǎng)絡設備。能對BSＳ關鍵系統(tǒng)(應用、操作系統(tǒng)和數(shù)據(jù)庫)平安進行監(jiān)控和統(tǒng)計報告。集中用戶管理平臺：建設集中用戶管理平臺，建立企業(yè)級的名目服務實現(xiàn)對ＭSS系統(tǒng)的用戶管理整合,制定和實施MSS應用系統(tǒng)用戶管理流程，實現(xiàn)對MSS系統(tǒng)的用戶管理。終端平安管理:實施終端平安管理基礎設施，實施省公司終端的防火墻和防病毒軟件的部署,實施對省公司終端的網(wǎng)絡準入把握,與企業(yè)的名目服務結合,實現(xiàn)授權準入。容災中心設計容災方案確定,容災選址完成,容災架構設計完成其次階段：擴充MＢＯＳＳ平安服務平臺的功能通過擴充MBOSS信息平安服務平臺的功能,要求達到以下目標:連續(xù)第一階段的工作,完善ＭBOSS的平安管理體系。集中用戶管理平臺:將集中用戶管理平臺與ＢSS和ＯSS系統(tǒng)整合,制定和實施BSS和OSS系統(tǒng)的用戶管理流程,實現(xiàn)BSＳ和OSS系統(tǒng)用戶的集中管理。集中訪問認證平臺:將集中訪問認證平臺與BSS和OSＳ系統(tǒng)整合,制定和實施BSS和ＯSS系統(tǒng)的用戶管理流程，實現(xiàn)BSＳ和ＯSS系統(tǒng)用戶的集中訪問把握。集中平安審計平臺:以實現(xiàn)對MＳS和OSS關鍵系統(tǒng)的平安審計整合，包括應用、操作系統(tǒng)和數(shù)據(jù)庫。能對MSS和OＳＳ關鍵系統(tǒng)(應用、操作系統(tǒng)和數(shù)據(jù)庫)平安進行監(jiān)控和統(tǒng)計報告。終端平安管理:實施對本地網(wǎng)用戶終端的平安管理。容災中心建設:容災中心建設完成,能接受各分公司ＢSＳ關鍵系統(tǒng)的容災和數(shù)據(jù)備份。第三階段：完善ＭBＯSS平安體系通過MBOSS平安體系的完善，要求達到以下目標:連續(xù)其次階段的工作，完善ＭＢOSS的平安管理體系。集中訪問認證平臺:實施對非B/Ｓ架構系統(tǒng)的訪問認證容災中心擴充:對容災中心的容量逐步擴充，使之所愛護的對應的省公司關鍵業(yè)務系統(tǒng),可容納MSS、BSＳ、OＳS關鍵系統(tǒng)的備份和容災。CＴＧ-ＭBOＳS平安架構的部署建議平安服務平臺將部署在集團、省公司和本地網(wǎng)三個層次。集團和省公司的部署基本上是相同的,本地網(wǎng)盡部署少量的模塊。CＴG－MBOSS容災備份CＴG-MBOSＳ容災系統(tǒng)是業(yè)務運營支撐系統(tǒng)的有機組成部分，容災備份時ＣTＧ－MBOＳＳ平安規(guī)范的一個不行缺省的部分。各省公司要確保MBOSS關鍵系統(tǒng)的業(yè)務連續(xù)性。由于容災備份中心的建設費用格外髙,中國電信總部將依據(jù)ＩTSP2．0,統(tǒng)一建設和部署、建設6個容災中心。平安規(guī)范演進風險及應對結合中國電信MBOＳS的實際狀況,規(guī)范編寫組認為解決方案的推廣實施可能會存在如下的風險