标准规范下载简介
建设项目网络与信息安全三同步管理办法<保密级别:内部文档>
中国移动通信集团安徽有限公司
中国移动通信集团安徽有限公司 二O一五年六月
中国移动通信 CHINAMOBILE 动信息专家
1. 文档信息 1.1.修改记录 1.2. 分发 2. 目的 适用范围 4. 职责 立项安全管理流程 6. 建设与验收安全管理流程济南南湖别墅施工组织设计, 6.1. 与现网互联 6.2.入网割接 .10 6.3.竣工验收 .11 问题处理原则 12 d 安全标准要求. ...12 8.1. 网络安全域 .12 8.2. 帐号安全 12 8.3. 服务端口 ...12 8.4.防火墙策略 .13 8.5. 防病毒软件. 8.6. 系统日志安全. ..13 8.7. 其他安全配置 .13 8.8. 详细安全管理办法参考附件4。 .13 9. 附录 ..14 9.1.附件1:《系统安全评审记录表》模板 .14 9.2. 附件2: 《系统基础数据信息表》模板 14 9.3. 附件3: 《系统安全验收记录表》模板 .14 9.4.附件4:相关安全管理规范
中国移动通信 CHINA MOBILE
兑明:文档首次发布时版本为1.0,修改日期即发布日期,修改单号及修改章 及内容空白; “修改单号”为文档的修改单编号; “修改章节及内容”说明本次修改的页码、或页码区间,简述修改的内
兑明:文档首次发布时版本为1.0,修改日期即发布日期,修改单号及修改章节 及内容空白; “修改单号”为文档的修改单编号; “修改章节及内容”说明本次修改的页码、或页码区间,简述修改的内容
省公司各部门、各市分公司。
为进一步贯彻“重点保护基础信息网络和重要信息系统安全”的思想, 落实网络与信息安全(以下简称:安全)“同步规划、同步建设、同步运行 的三同步要求,明确新建、扩建、改建等项目立项、建设与验收安全管理
中国移动通信 CHINAMOBILE 信息专家
流程,明确各相关部门责任,使安全管理工作能够快速、准确、安全、有 效的完成,对项目生命周期各个重要环节进行有效安全管理,特制定本管 理办法。 本管理办法遵从《中国移动网络与信息安全总纲(NISS)》与《中国 移动通信集团安徽有限公司信息安全责任管理办法(试行)》要求,未详 尽描述部分须参照其执行。
本管理办法适用于中国移动通信集团安徽有限公司(以下简称公司) 各相关单位进行网络与信息安全相关系统设备的新建、扩建、改建等建设 目(以下简称:建设项目)规划立项、建设、验收的安全管理工作。 对于立项建设的系统,需求部门进行内部评审后,由计划部组织相关 部门进行安全评审。对于非立项建设项目(包括合作类系统),由需求部 门进行内部评审,如有必要提交到信息安全小组组织进行评审。对设备(含 合作类系统的设备)入网安全验收中的操作流程以及实施处理原则,需遵循 本管理办法。安全验收指设备新入网、系统扩容、设备入网和设备调整入 网前,对网络与系统进行安全类的评估和验收。 评审与验收内容包括但不限于拓扑结构、设备配置、账号口令、设备 安全功能、外部渗透测试等,并包括问题处理的过程
信息安全部:负责本管理办法的维护和修订,定期组织相关部门对文 档的可执行性进行评估,负责组织和协调评审、验收过程中出现的流程运 转问题; 规划单位:包括计划部负责在项目立项阶段组织公司相关部门人员对
中国移动通信 CHINAMOBILE 信息专家
项目进行安全评审,负责提供符合安全管理需求的设备和建设方案,负责 确保项目中落实安全要求的资金保障; 工程建设单位:包括省公司网络部、网管中心、工程建设部、信息系 统部,以及各分公司等具有建设管理职能的单位。按照部门职责分工,按 照设计要求组织各自负责管理工程项目的设备安全建设、验收工作,提供 真实有效的设备拓扑、端口、进程等基础信息数据,提供安全验收环境 对验收发现的问题组织核查和修复。组织工程试运行,并负责督促解决试 运行期间由于建设质量问题导致的安全问题; 系统维护单位:包括数据业务部、网络部、网管中心、信息系统部等 系统维护部门,负责遵从本管理办法的要求,结合本部门实际情况,配合 完成项目安全评审工作;负责配合对所维护的设备或即将接维的设备进行 安全验收,负责配合提供安全验收标准;配合工程试运行,做好试运行期 间日常管理工作,处理试运行期间出现的维护问题,及时向工程建设部门 反馈由于建设质量问题导致的安全问题,提供系统安全试运行报告。正式 投入使用后,对开发、建设过程中涉及安全要求的配置进行检查、修改
中国移动通信 CHINAMOBILE 信息专家
中国移动通信 CHINA MOBILE
<中国移动安徽公司建设项目网络与信息安全三同步管理办法V2.1 业务流程的漏洞以及可能被滥用的机制; 安全设备或安全产品的性能、功能、端口数量、与安全管理平台及4A 的接口兼容性等; 项目建设中应用系统中身份验证、角色访问控制、数据存储加密、数 据传输加密、备份机制、日志功能、审计功能等安全功能; 项目建设中应用系统是否含有高危攻能模块,如短彩信群发、域名解 析、Web服务、客户信息、敏感数据等,
中国移动通信 CHINAMOBILE
6.建设与验收安全管理流程
建设、验收过程中的关键时间点描述: 1)与现网互联:因与现网联调等建设要求而导致新建系统需要与现网进行 连接; 2)入网割接:完成设备安全验收,业务割接和上线的同期; 3)竣工验收:设备进入全面运行阶段,由维护部门负责全面运行阶段的安 全管理。
1)流程描述 在设备与现网互联前,建设单位应至少提前2周通知相关维护单位,由 建设单位牵头,维护单位配合安全评估与加固,以保障连接后不对现网产生 安全威胁,应在1周内完成安全评估,并在2周内对发现的问题完成整改。 评估加固完成后,建设单位应提交《系统基础数据信息表》(见附件2) 由维护单位签字认可后,方可与现网进行互联。 2)本阶段工作内容: 安全检查:应遵循第8节安全验收标准的要求,本阶段检查重点包括安 全扫描、弱口令、防病毒检查、拓扑结构、ip地址冲突等。 3)记录文档 《系统基础数据信息表》应包含以下内容:安全评估(应符合第8节安 全验收标准中所涉及的所有评估项目)与加固情况、主要风险、遗留问题, 备忘等信息。
1)流程描述 设备在入网割接前,由建设单位组织设备安全验收,建设单位应至少提 前2周通知相关维护单位,由建设单位牵头,维护单位配合安全评估与加固, 应在1周内完成安全评估并保留评估过程文档,建设单位根据验收的结果组 织实施整改。建设单位整改完毕后设备入网前,建设单位应与维护单位共同 签署《系统安全验收记录表》和《项目风险评估报告》(见附件3、4),表 示验收合格。 2)本阶段工作内容: 安全检查:应遵循第8节安全验收标准的要求,本阶段检查重点包括安 全扫描、弱口令、测试账号清理、防病毒检查等公司相关安全管理要求等。 3)记录文档 验收完毕后双方需签署《系统安全验收记录表》,文档中必须明确设备 的安全达标情况,并且对于每项遗留问题与风险,双方要明确后续的处理责 任,明确责任方与处理方法、处理时限、风险责任,以便在后续继续进行整 改与加固。例如:明确测试账号列表应何时删除,由哪方删除;原始安装文 件及目录的删除等。 在建设与维护部门双方签署《系统安全验收记录表》后,系统进入准备 业务上线状态,系统应保持验收后的状态不变。如有调整需要通知维护单位 并经维护单位同意后方可操作,操作记录写入《系统安全验收记录表》中作 为补充。
中国移动通信 CHINA MOBILE 动体息专家
流程说明:入网割接安全管理流程
峻工验收后,由维护单位负责系统的各方面安全。此外,双方需按《系 统安全验收记录表》中的约定,完成后续的整改工作,
中国移动通信 CHINA MOBILE 信息专家
竣工验收前,由于工程质量导致的安全问题,由建设单位负责处理。 峻工验收后的安全问题,由维护单位负责处理。 验收遗留问题在工验收后根据《系统安全验收记录表》中的约定,由责任 方负责处理。
对安全域及防火墙、路由器配置等设计方案应符合安全域要求,安全域拓扑、 安全域内资产情况、VLAN访问控制策略、边界互联情况,确保符合《中国移动 安全域管理办法》、《中国移动支撑系统安全域划分与边界整合技术要求》、《中 国移动数据业务系统集中化安全防护技术要求》和《中国移动防火墙部署总体技 术要求》。
根据《安徽移动通信网设备帐号口令安全管理办法》等要求,对设备的帐号 长度复杂度要求、密码策略、帐号清单进行配置。不充许违反口令管理办法的情 况存在。
险查设备按《中国移动通信集团安徽有限公司系统服务与端口安全管理实 施细则》要求,对系统的端口和服务等基础安全信息进行备案。所有必须开放 的端口其对应的应用软件和功用必须列表登记,不允许存在非必要的开放端
防火墙的策略符合公司相关安全管理要求,要有详细的用途说明,要求防 火墙进行双向访问控制并且已按照最小化权限的原则配置防护墙策略,不存在 不明策略。
指定授权的防病毒软件,并且病毒库已更亲
根据《中国移动操作系统安全功能及配置规范》、《中国移动数据库安全 能及配置规范》、《中国移动路由器安全功能及配置规范》、《中国移动防 火墙安全功能及配置规范》等规范进行安全配置,如果没有对应设备类型的规 范,则参照类似设备规范或《中国移动设备通用安全功能和配置规范》进行配 置管理。
8.8.详细安全管理办法参考附件!
中国移动通信 CHINA MOBILE
T/CBCA 003-2019 浮筑楼板保温隔声系统应用技术规程.pdf9.1.附件1:《系统安全评审记录表》模板
2.附件2:《系统基础数据信息表》
9.3.附件3:《系统安全验收记录表》模板
9.4.附件4:《项且验收风险评估报告》模版
9.5.附件5:相关安全管理规范
DB21T 3410-2021标准下载9.5.附件5:相关安全管理规范