©2011绿盟科技借鉴、总结、共享本次沟通目的以梳理移动安全规划、建设、运维思路为主整体介绍移动系列规范,期望大家可以“按图索骥”重要规范解读汇总数据来源中国移动历年发布的技术规范、管理办法及内部公函公司行业通报行业营销中心《中国移动重要安全技术规范解读-1005-v1》行业营销中心《2008移动运营商行业研究报告20090219》行业营销中心《移动集团业支安全运营管理平台技术规范介绍》其他:下述内容中有*号标记的,具体参见备注部分说明。前言几点个人思考1.对外a)移动下一步的安全规划、建设及运维思路?b)对于移动的新建业务系统,我们可以为客户提供什么样的安全思路?c)相对安全工作滞后移动的其他运营商,我们如何借鉴移动经验并服务于这些客户?2.对内:总结+共享?目录2网络部规范介绍1中国移动安全规划发展历程概述3业务支撑系统部规范介绍4信息安全管理部规范介绍中国移动安全规划发展历程概述1.信息安全管理部:公司的统一安全管理、指导和检查部门2.网络部、业务、管理信息系统部:积极推进安全建设3.技术部:参与规范评审4.移动研究院:成立安全所,强化安全支撑能力组织架构技术部网络部业务支撑系统部管理信息系统部移动研究院电子渠道中心*运营管理处安全负责人安全处安全所*信息安全管理部*监督检查处技术处综合处各部门规范概览•安全策略•《中国移动网络与信息安全总纲》,2003/2006•《网络与信息安全规范框架》,2007•《中国移动网络与信息安全管理框架总册流程体系》及《中国移动网络与信息安全管理框架分册—安全角色》,2009•信息安全管理平台(ISMP)•专用安全防护设备•《中国移动支撑系统集中账号管理、认证、授权与审计(4A)技术要求》,2004--《中国移动网络安全内控手段总体说明》、《中国移动帐号口令集中管理系统功能和技术规范》及接口标准、《中国移动日志集中管理与审计系统功能和技术规范》、《中国移动综合维护接入平台功能和技术规范》(网络安全内控手段),2008•《中国移动防火墙部署总体技术要求》,2008•《中国移动网页篡改及网页信息安全防护系统技术规范》,2009•《中国移动网页安全漏洞扫描系统技术规范》征求意见稿,2010•设备自身安全功能和配置•《中国移动设备通用安全基线规范》系列-网络设备、操作系统、应用系统,2007/2008•安全域划分和边界整合•《中国移动支撑系统安全域划分与边界整合技术要求》v1.0.0,2007•《中国移动支撑系统与互联网集中出口安全防护体系技术要求》V1.0.0,2008•《中国移动数据业务系统集中化安全防护技术要求》,2010•其他•《WEB类应用系统安全防护技术要求》,2011•《中国移动互联网安全防护体系技术要求》,2011•《中国移动IDC安全防护技术要求》,2011网络部规范列表•安全策略•《中国移动业务支撑系统安全技术规范》、《中国移动业务支撑系统安全框架》、《中国移动业务支撑系统安全现状分析》,2002•《中国移动业务支撑系统安全总体技术规范》,2003•《安全运营管理框架v1.0》,2007•《移动集团业支安全运营管理平台技术规范》评审稿,2011•专用安全防护设备•《中国移动业务支撑网防病毒技术要求》,2005•《中国移动业务支撑网4A安全技术规范》v1.0.0,2007•《中国移动业务支撑网4A安全技术规范》v2.0.0,2011•安全域划分和边界整合•《中国移动业务支撑网安全域划分和边界整合技术要求》,2005•其他•《中国移动业务支撑网数据安全管理办法》,2008,•《中国移动门户网站安全技术规范(征求意见稿)》、《中国移动门户网站安全管理办法(征求意见稿)》,2011业务支撑部规范列表•2010年:•《中国移动客户信息安全保护管理规定》•《中国移动信息安全责任矩阵(总部)》(信息安全管理部)•《中国移动信息安全责任管理办法(试行)》信息安全管理部规范背后的“故事”•业务:规范制定的主要目的是保障移动业务安全运行•合规要求:工信部、内审•企业需承担的安全职责(事件驱动):重大事件时期(如08年奥运)、媒体舆论(09年3.15)驱动力善于借鉴国际标准以及业界最佳实践*•周期较长(编制-征求意见-评审-发布)•内部有严格的评审机制•技术支撑单位及省公司参与规范编写规范制定严谨、注重可落地性•2010年之前,基本上是网络、业支、管理信息系统部三巨头•2010年开始,信息安全管理部成立以后,对外负责企业安全职责,对内梳理内部安全职责(部门、岗位)组织架构调整带来的变化绿盟科技@移动•协助进行安全规范编写,新业务系统安全体系、业务系统安全评估、安全加固、安全防护构件库、威胁库、WEB安全防护规范等•基线安全研究,定制化产品开发•安全攻防平台,专有业务系统漏洞•城域网、IP承载网安全建设规划•中国移动无线安全研究和咨询•域名监控安全研究•云计算平台安全研究,bigcloud安全支持•全网安全威胁监控平台研究安全研究与规划•《中国移动IDC类应用系统安全防护技术要求》•《中国移动WEB类应用系统安全防护技术要求》•《中国移动互联网安全防护体系技术要求》•《中国移动CMNET省网DNS路由配置规范》•《中国移动门户网站安全技术规范》•《中国移动门户网站安全管理办法》•《移动集团业支安全运营管理平台技术规范》•业支安全责任矩阵安全规范与标准制定•协助开发安全培训课程、安全大比武•全国性安全培训•安全预警、应急响应、安全自评估•攻防演练安全运维支持•手机支付平台安全建设•12530平台安全建设•139业务平台安全建设•......全国性业务平台安全建设•奥运安全保障•国庆安全保障•亚运安全保障•安全建设规划•安全体系设计建设•移动互联网安全建设•业务试点安全建设•安全运维、安全培训•......安全项目建设目录2网络部规范介绍1中国移动安全规划发展历程概述3业务支撑系统部规范介绍4信息安全管理部规范介绍网络部规范编写思路概览围绕NISS总纲进行规范工作的体系化建设部门定位业务支撑系统部信息安全管理部发布部门•部门定位:2010年之前,负责组织制订全集团的网络与信息安全的整体框架、原则标准、管理规定和技术指南等,组织规划全网安全技术措施,负责安全支持和建设。•规范制定思路:以NISS总纲为指导,进行各种安全规范的编写和完善,主要是对NISS规范的第二层和第三层进行编写、讨论和定稿。安全处网络部•《中国移动网络与信息安全总纲》(2003/2006)•《网络与信息安全规范框架》(2007)•《中国移动网络与信息安全管理框架总册流程体系》及《中国移动网络与信息安全管理框架分册—安全角色》(2009)安全策略信息安全管理平台(ISMP)•《中国移动支撑系统集中账号管理、认证、授权与审计(4A)技术要求》(2004)--《中国移动网络安全内控手段总体说明》、《中国移动帐号口令集中管理系统功能和技术规范》及接口标准、《中国移动日志集中管理与审计系统功能和技术规范》、《中国移动综合维护接入平台功能和技术规范》(网络安全内控手段)(2008)•《中国移动防火墙部署总体技术要求》(2008)•《中国移动网页篡改及网页信息安全防护系统技术规范》(2009)•《中国移动网页安全漏洞扫描系统技术规范》征求意见稿(2010)专用安全防护设备•《中国移动设备通用安全基线规范》系列-网络设备、操作系统、应用系统(2007/2008)设备自身安全功能和配置•《中国移动支撑系统安全域划分与边界整合技术要求》v1.0.0(2007)•《中国移动支撑系统与互联网集中出口安全防护体系技术要求》V1.0.0(2008)•《中国移动数据业务系统集中化安全防护技术要求》(2010)安全域划分和边界整合•《WEB类应用系统安全防护技术要求》(2011)•《中国移动互联网安全防护体系技术要求》(2011)•《中国移动IDC安全防护技术要求》(2011)其他网络部主要规范概览中国移动规划的安全防护体系•通信网安全防护体系•安全域划分与边界整合•安全基线•安全预警•安全补丁•帐号口令管理•日志集中管理与审计•应急预案和演练•安全运行平台•支撑网安全防护体系:在通信网基础上增加了一个互联网集中出口的防护NISS总纲移动安全工作的重要里程碑网络与信息安全体系(NISS)定位•作为中国移动安全规划的里程碑,确定了移动安全建设的总体思路和要求,为以后的安全规划提供了指导思路。范围•适用于中国移动的所有网络与信息系统(包括但不限于业务网络、支撑网络),及组织和人员。目的•为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。要求•从组织人员、资产管理、物理环境、通信运营、访问控制、系统开发、安全事件响应与业务连续性、安全审计等八个方面,制定和描述了中国移动网络与信息安全管理必须遵守的基本原则和要求。方法•整体借鉴了ISO27001思想中国移动网络与信息安全体系•第一层:网络与信息安全体系(NISS)总纲,是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。•第二层:技术指南和管理规定位于安全体系的第二层,是对NISS的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。•安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的细则、流程等,具备最直观的可操作性。安全体系第二层项目清单技术指南安全技术类1垃圾邮件防范指南2安全评估方法(规范)3网络与信息安全应急响应技术规范与指南4账号管理、认证、授权与审计系统技术规范5网络设备安全加固方法6主机和操作系统安全加固方法7数据库系统安全加固方法8通用应用系统安全加固方法9安全运行管理功能技术要求10安全设备设置原则11安全威胁技术跟踪与研究安全设备类1防火墙系统测试规范2安全系统指导意见3防火墙系统管理与配置指南4反病毒系统测试规范5反病毒系统管理与配置指南6入侵检测系统测试规范7入侵检测系统管理与配置指南8安全扫描系统测试规范9安全扫描系统管理与配置指南10安全隔离网闸测试规范11账号管理、认证、授权与审计系统测试规范12DOS检测和防范系统测试规范13网络设备安全测试规范14垃圾邮件过滤网关测试规范15加密设备管理与配置指南16认证系统测试规范17认证设备管理与配置指南18安全管理系统接口规范19安全管理系统测试规范网络业务应用类1中国移动网络与信息安全总体技术要求2CMNet安全技术规范3GPRS网络安全技术研究4新业务系统安全技术规范5IMS安全要求6业务安全要求7总体安全框架8网络安全技术要求9设备安全技术要求10核心网与CMNet接口设置原则11第三代移动通信系统安全机制测试规范12业务支撑系统安全技术规范13企业信息化系统安全技术规范14网管系统安全技术规范15安全域划分和边界整合技术要求(通信业务网)16安全域划分和边界整合技术要求(支撑系统)17网上营业厅安全技术规范18通信终端安全技术规范19业务支撑网安全总体规范20业务支撑网安全框架21业务支撑网安全技术规范22业务支撑网业务连续性技术规范管理规定组织与人员1岗位安全责任制度2第三方安全管理制度3事件分级处理制度4安全宣传教育与培训制度信息资产1信息处理管理制度2计费业务中心数据及信息安全管理办法3安全评估管理办法物理环境1机房建设运行标准2终端安全管理办法3个人计算机使用管理制度运行维护1系统规划审批建设制度2安全项目建设规划3安全预警管理办法4服务与端口管理办法5安全补丁管理办法6数据备份管理制度7系统资料管理制度访问控制1账号和口令及权限管理办法2远程操作接入管理办法3网络互联安全管理办法系统开发1系统开发与支持管理制度2加密技术使用