【正文】 is, win2000, HP UX, AIX)252。由于中國(guó)移動(dòng)信息化系統(tǒng)涉及的平臺(tái)種類和數(shù)量眾多，所以該層由一系列文件組成：252。 瑞星操作系統(tǒng)安全配置手冊(cè)252。 賽門鐵克防病毒252。 Netscreen252。 CISCO防火墻252。 IBM 交換機(jī)和路由器252。 Checkpoint252。 DNSn 通用安全規(guī)范n Windows DNS服務(wù)器，n UNIX BIND服務(wù)器(BIND9)252。 電子郵件系統(tǒng)n 通用安全規(guī)范n Dominon Exchange252。 Oracle AS Portal252。 BEA WebLogic252。 SQL Server門戶系統(tǒng)安全配置手冊(cè)252。 DB2252。中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全操作手冊(cè)、流程和細(xì)則這一層又可以分類兩個(gè)子層：第一個(gè)子層為 各具體產(chǎn)品平臺(tái)的安全操作手冊(cè)第二個(gè)子層為 日常運(yùn)行維護(hù)過(guò)程中的安全操作流程和步驟. 第一個(gè)子層：各具體產(chǎn)品平臺(tái)的安全配置手冊(cè)應(yīng)用安全配置手冊(cè)數(shù)據(jù)庫(kù)安全配置手冊(cè)252。. 第三層：中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全操作手冊(cè)、流程和細(xì)則第一層和第二層的文件制定完成后，如果沒有得到有效地執(zhí)行，將形同虛設(shè)。 《防火墻安全規(guī)范》針對(duì)整體安全體系，目前在這一層次還缺乏較多的規(guī)范，需要在今后的工作中進(jìn)一步完善。 《網(wǎng)絡(luò)設(shè)備安全規(guī)范》252。 《數(shù)據(jù)庫(kù)安全規(guī)范》252。由于安全規(guī)范涉及的范圍非常廣，所以這一層次由多個(gè)文件組成。. 第二個(gè)子層：企業(yè)信息化系統(tǒng)安全規(guī)范安全管理規(guī)范風(fēng)險(xiǎn)管理規(guī)范系統(tǒng)安全自測(cè)規(guī)范信息資產(chǎn)管理規(guī)范系統(tǒng)生命周期安全管理安全許可證制度人力資源安全管理內(nèi)部安全審計(jì)規(guī)范業(yè)務(wù)持續(xù)計(jì)劃安全事件檢測(cè)和響應(yīng)規(guī)范個(gè)人安全守則應(yīng)用安全規(guī)范數(shù)據(jù)庫(kù)安全規(guī)范 數(shù)據(jù)備份和恢復(fù)規(guī)范安全加密規(guī)范網(wǎng)絡(luò)安全規(guī)范企業(yè)信息化安全域規(guī)范網(wǎng)絡(luò)設(shè)備安全規(guī)范防病毒安全規(guī)范VPN安全規(guī)范防火墻安全規(guī)范遠(yuǎn)程訪問安全規(guī)范系統(tǒng)安全規(guī)范系統(tǒng)日志規(guī)范文檔管理規(guī)范用戶管理規(guī)范補(bǔ)丁管理規(guī)范物理安全規(guī)范物理安全規(guī)范介質(zhì)安全管理規(guī)范在這一層次根據(jù)規(guī)范總則的要求，將各方面的管理和技術(shù)要求進(jìn)行細(xì)化。 該文件從安全管理和安全技術(shù)兩個(gè)層面闡述了安全需求。在實(shí)施推廣過(guò)程中，具體工作人員根據(jù)自己的工作職責(zé)通常只需要參考和執(zhí)行某一部分安全規(guī)范和標(biāo)準(zhǔn)。中國(guó)移動(dòng)作為一個(gè)大型企業(yè)，企業(yè)環(huán)境非常龐大和復(fù)雜，不可能在一個(gè)文檔中將所有安全問題講清楚。所以安全策略這一層只有一個(gè)綱領(lǐng)性文件作為指導(dǎo)。 操作系統(tǒng)安全配置手冊(cè)n 通用配置n Sun Solarisn IBM AIXn Win 2000n HP UX應(yīng)用安全規(guī)范數(shù)據(jù)庫(kù)安全規(guī)范 數(shù)據(jù)備份和恢復(fù)規(guī)范安全加密規(guī)范網(wǎng)絡(luò)安全規(guī)范企業(yè)信息化安全域規(guī)范網(wǎng)絡(luò)設(shè)備安全規(guī)范防病毒安全規(guī)范VPN安全規(guī)范防火墻安全規(guī)范遠(yuǎn)程訪問安全規(guī)范系統(tǒng)安全規(guī)范系統(tǒng)日志規(guī)范文檔管理規(guī)范用戶管理規(guī)范補(bǔ)丁管理規(guī)范安全管理規(guī)范細(xì)則不需要安全管理規(guī)范風(fēng)險(xiǎn)管理規(guī)范系統(tǒng)安全自測(cè)規(guī)范信息資產(chǎn)管理規(guī)范系統(tǒng)生命周期安全管理安全許可證制度人力資源安全管理內(nèi)部安全審計(jì)規(guī)范業(yè)務(wù)持續(xù)計(jì)劃安全事件檢測(cè)和響應(yīng)規(guī)范個(gè)人安全守則物理安全規(guī)范物理安全規(guī)范介質(zhì)安全管理規(guī)范物理安全配置手冊(cè)不需要企業(yè)信息化系統(tǒng)安全規(guī)范總則企業(yè)信息化系統(tǒng)安全策略安全策略圖3 中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全文檔體系結(jié)構(gòu). 第一層：中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全策略企業(yè)信息化系統(tǒng)安全策略安全策略企業(yè)信息化系統(tǒng)安全策略是在高層面上為企業(yè)安全提出方向和要求，體現(xiàn)管理層對(duì)安全的支持和對(duì)安全的期望。 DNSn 通用安全規(guī)范n Windows DNS服務(wù)器，n UNIX BIND服務(wù)器(BIND9)252。 電子郵件系統(tǒng)n 通用安全規(guī)范n Dominon Exchange252。 Oracle AS Portal252。 BEA WebLogic252。 SQL Server門戶系統(tǒng)安全配置手冊(cè)252。 DB2252。 瑞星住：紅色為本課題的建設(shè)內(nèi)容藍(lán)色為已經(jīng)建立應(yīng)用安全配置手冊(cè)數(shù)據(jù)庫(kù)安全配置手冊(cè)252。 賽門鐵克防病毒252。 Netscreen252。 CISCO防火墻252。 IBM 交換機(jī)和路由器252。 Checkpoint252。在后面幾節(jié)將具體介紹各個(gè)層次的內(nèi)容。圖1 中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全體系總圖為了保持與中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)NISS的三層架構(gòu)相對(duì)應(yīng)，中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)的安全體系也分為三層架構(gòu)，包括安全策略、安全規(guī)范、安全操作流程和細(xì)則。企業(yè)信息化系統(tǒng)安全策略、系統(tǒng)安全規(guī)范和系統(tǒng)安全流程細(xì)則形成了三層的層次化體系，它們從管理和技術(shù)兩個(gè)方面的諸多安全要素對(duì)企業(yè)信息化系統(tǒng)中的終端、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)和物理五個(gè)技術(shù)架構(gòu)層面的安全需求和實(shí)現(xiàn)方法做出了定義。各省公司信息化辦公室負(fù)責(zé)人有責(zé)任與其下屬的組織和員工溝通變更的內(nèi)容。如果在風(fēng)險(xiǎn)評(píng)估過(guò)程和突發(fā)事件處理過(guò)程中，發(fā)現(xiàn)對(duì)本文檔變更要求，也需要進(jìn)行檢查。集團(tuán)公司信息化辦公室將根據(jù)此體系的要求檢察各省信息化辦公室的落實(shí)情況。. 適用范圍本標(biāo)準(zhǔn)在信息化辦公室范圍內(nèi)發(fā)布，面向所有信息化辦公室員工。本文件可以作為體系中所有文件的索引和入口，以幫助相關(guān)人員全面地了解信息化系統(tǒng)安全體系的組成。這些文件組成了信息化系統(tǒng)安全體系。密 級(jí)：文檔編號(hào)：項(xiàng)目代號(hào)：中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全加固方案及實(shí)施計(jì)劃Version 中國(guó)移動(dòng)通信有限公司二零零四年十二月擬 制:審 核:批 準(zhǔn):會(huì) 簽:標(biāo)準(zhǔn)化: 78 / 78版本控制版本號(hào)日期參與人員更新說(shuō)明分發(fā)控制編號(hào)讀者文檔權(quán)限與文檔的主要關(guān)系1創(chuàng)建、修改、讀取負(fù)責(zé)編制、修改、審核2批準(zhǔn)負(fù)責(zé)本文檔的批準(zhǔn)程序3標(biāo)準(zhǔn)化審核作為本項(xiàng)目的標(biāo)準(zhǔn)化負(fù)責(zé)人，負(fù)責(zé)對(duì)本文檔進(jìn)行標(biāo)準(zhǔn)化審核4讀取5讀取目錄第1章. 概述 6 . 目的 6 . 適用范圍 6 . 實(shí)施 6 . 檢查和評(píng)估 7 第2章. 信息化系統(tǒng)安全體系結(jié)構(gòu) 8 . 第一層：中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全策略 11 . 第二層：中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全規(guī)范和標(biāo)準(zhǔn) 11 . 第一個(gè)子層：企業(yè)信息化系統(tǒng)安全規(guī)范總則 12 . 第二個(gè)子層：企業(yè)信息化系統(tǒng)安全規(guī)范 12 . 第三層：中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全操作手冊(cè)、流程和細(xì)則 13 . 第一個(gè)子層：各具體產(chǎn)品平臺(tái)的安全配置手冊(cè) 14 . 第二個(gè)子層：日常運(yùn)行維護(hù)過(guò)程中的安全操作流程和步驟 15 第3章. 信息化系統(tǒng)安全加固方案 17 . 安全體系完善計(jì)劃 17 . 風(fēng)險(xiǎn)管理規(guī)范 19 . 系統(tǒng)安全自測(cè)規(guī)范 19 . 信息資產(chǎn)管理規(guī)范 20 . 系統(tǒng)生命周期安全管理規(guī)范 20 . 系統(tǒng)安全許可證規(guī)范 21 . 人力資源安全管理規(guī)范 22 . 內(nèi)部審計(jì)規(guī)范 22 . 業(yè)務(wù)連續(xù)性計(jì)劃規(guī)范 23 . 安全事件檢測(cè)和響應(yīng)規(guī)范 23 . 個(gè)人安全規(guī)范 24 . 數(shù)據(jù)備份和恢復(fù)規(guī)范 25 . 加密規(guī)范 25 . 遠(yuǎn)程訪問規(guī)范 26 . 用戶身份識(shí)別和認(rèn)證規(guī)范 27 . 日志管理規(guī)范 27 . 文檔管理規(guī)范 28 . 補(bǔ)丁管理規(guī)范 28 . 物理安全規(guī)范 29 . 介質(zhì)安全管理規(guī)范 30 . 安全體系部署/實(shí)施計(jì)劃 31 . 信息安全體系建設(shè)生命周期 31 . 信息安全體系部署/實(shí)施關(guān)鍵成功因素 32 . 信息安全體系部署/實(shí)施策略及指導(dǎo)原則 33 . 信息安全體系部署/實(shí)施計(jì)劃建議 34 . 安全體系部署 35 . 試點(diǎn) 36 . 推廣 37 . 總部安全技術(shù)體系加固方案和建設(shè)計(jì)劃 39 . 審計(jì)響應(yīng) 40 . 安全總控中心 40 . 網(wǎng)絡(luò)安全審計(jì)系統(tǒng) 43 . 主機(jī)入侵檢測(cè)系統(tǒng) 46 . 安全掃描、安全政策檢查 47 . 冗余恢復(fù) 48 . 業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃 48 . 內(nèi)容安全 51 . Internet內(nèi)容過(guò)濾 51 . 訪問控制 53 . 網(wǎng)絡(luò)安全體系建設(shè) 53 . 鑒別認(rèn)證 55 . 各信息系統(tǒng)的統(tǒng)一單點(diǎn)登錄 55 . 安全管理 65 . 個(gè)人信息及桌面安全管理 65 . 員工安全意識(shí)普及教育 67 . 信息安全風(fēng)險(xiǎn)評(píng)估 68 第1章. 概述. 目的中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全加固方案和實(shí)施計(jì)劃是移動(dòng)集團(tuán)總部信息化辦公室和各省公司信息化辦公室對(duì)其所負(fù)責(zé)的平臺(tái)（統(tǒng)一信息平臺(tái)、OA等）的安全指南。集團(tuán)公司信息化辦公室針對(duì)信息系統(tǒng)安全制定了一系列由概括到具體的政策，規(guī)范和操作手冊(cè)。本文件是針對(duì)該體系的全面描述。為了使信息化系統(tǒng)安全體系更加完善，并且得到有效的貫徹、執(zhí)行，在本文件中針對(duì)體系的完善給出了下一步的實(shí)施計(jì)劃，同時(shí)針對(duì)各省市對(duì)安全體系的部署執(zhí)行給出了概要部署建議。. 實(shí)施所有省公司信息化辦公室的負(fù)責(zé)人和安全人員需要理解此文檔描述的企業(yè)信息化系統(tǒng)安全體系，根據(jù)本省范圍內(nèi)的現(xiàn)實(shí)情況，制定具體可行的實(shí)施計(jì)劃，確保符合此文檔所描述的信息安全體系的要求。. 檢查和評(píng)估由集團(tuán)公司信息化辦公室負(fù)責(zé)根據(jù)經(jīng)營(yíng)活動(dòng)的需要，每年檢查和評(píng)估本文檔，并做出適當(dāng)更新。任何變更草案將由集團(tuán)公司信息化辦公室審核批準(zhǔn)，并由權(quán)威人士審閱。第2章. 信息化系統(tǒng)安全體系結(jié)構(gòu)中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)的安全體系包括安全策略、安全規(guī)范、安全操作流程和細(xì)則，涉及管理要素和技術(shù)要素，覆蓋企業(yè)信息化系統(tǒng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層四個(gè)層次以及桌面終端，可以用下面的三維的圖形來(lái)表示（圖1）。層次分明的系統(tǒng)安全體系，既充分體現(xiàn)了“縱深防御”的安全思想，又便于進(jìn)行安全設(shè)計(jì)、實(shí)施和監(jiān)督。其對(duì)應(yīng)關(guān)系如圖2所示：圖2 中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全體系的三層結(jié)構(gòu)根據(jù)以上安全體系架構(gòu)，建立了企業(yè)信息化系統(tǒng)安全文檔體系，如圖3所示。網(wǎng)絡(luò)安全配置手冊(cè)VPN252。 Nortel252。 華為252。 CISCO PIX252。 Checkpoint防病毒252。 趨勢(shì)252。 Oracle252。 Domino252。 Websphere Portal252。 Sun One Portal252。 MS SharePoint通用應(yīng)用系統(tǒng)安全配置252。 WEB 服務(wù)器n 通用安全規(guī)范n IISn Apache252。 FTPn 通用安全規(guī)范n IISn WuFtpd操作系統(tǒng)安全配置手冊(cè)252。安全策略不針對(duì)具體的安全技術(shù)給出實(shí)現(xiàn)方法，該部分內(nèi)容會(huì)體現(xiàn)在第二層安全規(guī)范和標(biāo)準(zhǔn)中。文件名：《中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全策略》. 第二層：中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全規(guī)范和標(biāo)準(zhǔn)安全規(guī)范和標(biāo)準(zhǔn)是將安全策略具體化的文檔，結(jié)合企業(yè)目前發(fā)展現(xiàn)狀，通過(guò)該層文檔將安全策略中的原則性要求，具體化到日常的管理實(shí)踐和技術(shù)設(shè)置中。所以安全規(guī)范和標(biāo)準(zhǔn)文檔由一系列的獨(dú)立文檔組成。參見圖3 中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全文檔體系結(jié)構(gòu)，中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全規(guī)范和標(biāo)準(zhǔn)這一層又可以分類兩個(gè)子層：第一個(gè)子層為 企業(yè)信息化系統(tǒng)安全規(guī)范總則第二個(gè)子層為 企業(yè)信息化系統(tǒng)安全規(guī)范. 第一個(gè)子層：企業(yè)信息化系統(tǒng)安全規(guī)范總則企業(yè)信息化系統(tǒng)安全規(guī)范總則企業(yè)信息化系統(tǒng)安全規(guī)范總則請(qǐng)參考文件《中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全規(guī)范》。安全技術(shù)層面又分為應(yīng)用、網(wǎng)絡(luò)、系統(tǒng)和物理幾個(gè)方面分別講述了日常安全管理的概要要求。該層次仍然不涉及到具體廠家的產(chǎn)品配置信息。在本項(xiàng)目中將產(chǎn)生以下規(guī)范文檔：252。 《企業(yè)信息化安全域規(guī)范》252。 《防病毒安全規(guī)范》252。我們會(huì)在后面的實(shí)施計(jì)劃中提出建議。第三層次的操作手冊(cè)、流程和細(xì)則是確保該體系有效執(zhí)行的保障。 Oracle252。 Domino252。 Websphere Portal252。 Sun One Portal252。 MS SharePoint通用應(yīng)用系統(tǒng)安全配置252。 WEB 服務(wù)器n 通用安全規(guī)范n IISn Apache252。 FTPn 通用安全規(guī)范n IISn WuFtpd網(wǎng)絡(luò)安全配置手冊(cè)VPN252。 Nortel252。 華為252。 CISCO PIX252。 Checkpoint防病毒252。 趨勢(shì)252。 操作系統(tǒng)安全配置手冊(cè)n 通用配置n Sun Solarisn IBM AIXn Win 2000n HP UX該層是對(duì)中國(guó)移動(dòng)信息化系統(tǒng)中用到的所有設(shè)備和平臺(tái)安全配置的描述。 通用應(yīng)用系統(tǒng)n 《中國(guó)移動(dòng)WEB服務(wù)器安全配置手冊(cè)》（包括通用，IIS, Apache)n 《中國(guó)移動(dòng)DNS服務(wù)器安全配置手冊(cè)》（包括通用，windows DNS, Unix Bind)n 《中國(guó)移動(dòng)FTP服務(wù)器安全配置手冊(cè)》（包括通用，IIS, WUftp)n 《