中国电信集团公司CTG-MBOSS安全规范总册目录第1章文档说明11.1编制说明11.2适用范围11.3起草单位11.4解释权11.5版权1来自资料搜索网(www.3722.cn)海量资料下载第2章综述22.1MBOSS所面临的安全挑战22.1.1安全组织管理22.1.2人员安全管理22.1.3应用开发安全管理22.1.4运维安全管理22.1.5用户管理22.1.6访问认证授权32.1.7网络安全32.1.8主机安全32.1.9终端安全42.1.10安全审计42.1.11容灾安全42.2MBOSS安全规范的目标愿景42.3改进MBOSS信息安全的关键步骤42.4MBOSS安全规范设计依据5第3章安全规范体系说明63.1安全规范指导原则93.2安全管理规范综述93.3安全技术规范综述10第4章CTG－MBOSS安全规范实施134.1MBOSS安全规范演进计划134.1.1第一阶段：建立MBOSS安全服务平台基础设施134.1.2第二阶段：扩充MBOSS安全服务平台的功能144.1.3第三阶段：完善MBOSS安全体系154.2CTG－MBOSS安全架构的部署建议154.3CTG－MBOSS容灾备份16第5章安全规范演进风险及应对175.1IT安全组织的建立175.2实施范围的控制175.3人力资源安排185.4员工对安全管理制度的接受18附录1.附录19附录1.1.规范编制人员名单19附录1.2.名词定义19附录1.3.参考文献20编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：文档说明编制说明本规范作为中国电信CTG-MBOSS规范的重要组成部分，为中国电信集团建设MBOSS信息安全体系提供依据。本规范的编制是在《CTG-MBOSS总体规范V2.0》的总体框架体系指导下，参考了已有的中国电信集团下发的安全政策文件，继承和吸收了原有安全管理实践的经验成果，并充分考虑了各省电信公司的现状和行业最佳实践与安全新技术的引入。本规范是MBOSS总体规范的组成部分，全面、概括地阐述了安全架构、安全管理、安全技术以及实施演进策略等内容。适用范围本规范适用于中国电信集团公司及下属省（市）电信公司进行MBOSS信息安全的规划和建设，为MBOSS系统相关的安全建设、升级改造、系统演进提供指导和依据。起草单位本规范的起草单位是中国电信集团公司。解释权本规范的解释权属于中国电信集团公司。版权综述MBOSS所面临的安全挑战安全组织管理随着中国电信MBOSS的建设和发展，如何及时制定出信息安全的指导方针，研究和分析信息安全建设对中国电信业务发展的价值和影响，更好适应不断变化的组织形式，明确组织内部人员职责，以保障中国电信业务系统安全稳定地运行成为安全管理机构面临的最大挑战。人员安全管理据调查大部分的安全事件都来自公司的内部，商业间谍的存在，员工有意无意透露公司商业信息，员工在离职后泄露公司商业秘密及从事与公司有竞争利益的商业活动等，都暴露出公司在人员安全管理方面存在的问题。定期进行员工安全意识培训已经刻不容缓。应用开发安全管理随着中国电信MBOSS的发展，应用系统将面临诸多的安全威胁。身份认证的欺骗、用户权限的滥用、输入数据校验的异常、跨站点的代码攻击、缓冲区溢出等等，都对我们的应用开发提出了新的安全设计和防护要求。制定严格的编程规范和管理手段成为不能回避的问题。运维安全管理随着中国电信MBOSS系统各项业务对信息系统依赖程度逐渐提高，信息系统的复杂度急剧增加，从规划建设到系统运维阶段的安全建设都应遵循系统的生命周期进行设计，另一方面信息系统在运维过程中的安全问题变得更加突出，因此也提出了越来越高的安全运维要求;同时复杂的业务系统和异构的网络环境，增加了系统安全运维的难度。传统的单一、孤立的安全运维管理已越来越不适应中国电信CTG-MBOSS系统安全运维管理的需求，CTG-MBOSS系统安全运维管理应向综合安全运维阶段进行深刻转变。用户管理随着中国电信MBOSS系统的发展，用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，原有的用户管理措施已不能满足中国电信目前及未来业务发展的要求。主要表现在以下方面：如果MBOSS每个系统均拥有独立的用户管理系统，将会给同时维护多个应用系统的维护人员带来巨大工作量；缺乏账号生命周期管理机制，存在大量孤立账号，增加信息系统安全风险；存在多人共用一账号现象，难以控制账号扩散范围，安全管理存在漏洞。且安全事故发生后，难以审计并定位到实际使用者；帐号审计没有很好的流程来规范，进行帐号的生命周期管理，保证帐号安全。访问认证授权随着网络攻击技术的快速发展，CTG-MBOSS的访问认证授权面临着严峻的挑战，具体来说存在着可能导致较严重安全事件的几类问题，具体如下：1．认证功能分散在各