09X017-中国移动管理信息系统安全防护体系总体技术要求V1.0.0

阅读： 评论：0

中国移动通信企业标准

QB-X-017-2009

中国移动管理信息系统安全防护体系总体技术要求

General Technical Requirements For Security Protection  System of CMCC MIS

版本号：1.0.0

2010-1-15实施

2010-1-15发布

中国移动通信集团公司    发布

前  言

本标准是中国移动管理信息系统安全防护的整体技术要求，是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。

本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准，涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。

本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一，该系列标准的结构、名称或预计的名称如下：

背景板制作

序号	标准编号	标准名称
[1]	QB-X-017-2009 宕机检测	中国移动管理信息系统安全防护体系总体技术要求
[2]	QB-X-018-2009	中国移动管理信息系统安全域边界防护技术要求
[3]	QB-X-019-2009	中国移动管理信息系统安全域划分技术要求
[4]	QB-X-020-2009	中国移动管理信息系统安全基线规范
[5]	QB-X-021-2009	中国移动管理信息系统安全加固规范
[6]	QB-X-022-2009	中国移动管理信息系统安全风险评估规范
[7]	QB-X-023-2009	中国移动管理信息系统集中灾备系统技术规范
	实验室升降台

本标准由中移技〔2010〕17号印发。

本标准由中国移动通信集团公司管理信息系统部提出，集团公司技术部归口。

本标准起草单位：中国移动通信集团公司管理信息系统部

本标准主要起草人：冯运波、陈江锋、侯春森、康小强

1.范围

本标准规定了中国移动管理信息系统安全防护的整体技术要求，供中国移动总部、省公司、设计院、研究院使用；适用于开展管理信息系统安全防护工作。

2.规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标

准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

序号	标准编号	标准名称	发布单位
	明星脸相似度

3.术语、定义和缩略语

下列术语、定义和缩略语适用于本标准：

词语	解释
安全域	具有相同或相近的安全需求、相互信任的区域或网络实体的集合。一个安全域内可进一步被划分为安全子域。
资产	指组织的信息系统、其提供的服务以及处理的数据。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。
脆弱性/弱点	资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
威胁	对组织的资产引起不期望后果的事件。威胁可能源于对企业/组织的信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件
风险	是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害从而直接地或间接地引起企业或机构的损害的可能性。因此，风险和具体的资产、其价值、威胁以及相关的弱点直接相关
残余风险	采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。风险是客观存在的，绝对的安全是不存在的，风险评估的目的就是使残余风险可接受
vvintAAAA	账号管理、认证、授权与审计系统
ACL	访问控制列表
SHG	安全加固手册(Security Harden Guideline)
SBL	安全基线(Security Baseline)
DMZ	非军事化区、停火区（DeMilitarized Zone）
IDS	入侵检测系统(Intrusion Detection System)
MIS	管理信息系统(Management Information System)
SOC	安全运行管理中心
Radius	接入用户远程认证服务(Remote Authentication Dial-In User Service)
VPN	虚拟专用网

4. 综述

4.1背景

随着总部和各省公司在安全方面的建设，在总部和各省公司管理信息系统内网已经部署了一些基本的安全产品，如防火墙、IDS、防病毒、防垃圾邮件系统、终端安全管理系统等，已具备了一定的安全防护能力。但是通过对省公司的调研发现，省公司普遍存在安全防护、安全监控手段不健全，不足于抵抗各种安全攻击和风险；安全域划分不清晰，没有分层防御；设备和系统采用默认配置，存在大量安全隐患；没有进行安全风险评估等现象。部分原因也在于过去管理信息系统的整体安全管理体系中对操作实施层面的第二层、第三层技术规范与要求不够细化与完善，出现了安全工作中没有可参考依据，可衡量标准的问题。

根据国务院信息化领导小组2003年下发“关于加强信息安全保障工作的意见” (中办发[2003]27号) 的要求，网络与信息安全工作是国家安全的重要组成部分，信息安全保障应“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，

维护国家安全”。文件要求正确处理安全与发展的关系，统筹规划，突出重点，强化基础性工作，通过实行信息安全等级保护实现这一目的。因此，国家将建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

在这样的背景下，实现信息系统的分等级保护，制定相应安全防护技术标准，安全域划分标准、安全风险的评估标准，加强系统自身安全配置，避免常见的安全风险，加强设备入网安全检查等就非常重要。为此，集团管理信息系统部制定了统一的安全防护和安全加固的系列技术规范，用于指导总部和省公司管理信息系统的安全域划分、安全防护、日常安全评估、安全加固和安全基线检查等。本安全防护技术体系也是对管理信息系统安全管理体系（下图所示）中第二层第三层技术规范与要求的完善和补充，规范具体安全工作的实施与落地。

图一 管理信息系统安全管理体系光盘标签纸

本文发布于:2023-05-17 11:12:40，感谢您对本站的认可！

本文链接：https://patent.en369.cn/patent/4/103085.html

版权声明：本站内容均来自互联网，仅供演示用，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，我们将在24小时内删除。

上一篇：263功能及价格介绍

下一篇：国家认监委公告2009年第25号－－关于信息安全产品强制性认证指定认证机构和实验室

标签：防护   标准   风险   系统