编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动管理信息系统安全基线技术规范称TechnicalSpecificationsforSecurityBaselineofCMCCMIS版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。本规范由中国移动通信集团公司管理信息系统部提出并归口管理。本规范的解释权属于中国移动通信集团公司管理信息系统部。本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1安全基线编号说明93.2.2Web应用安全基线示例93.2.3中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订10概述目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。引用标准《中国移动网络与信息安全总纲》《中国移动内部控制手册》《中国移动标准化控制矩阵》《中国移动操作系统安全功能和配置规范》《中国移动路由器安全功能和配置规范》《中国移动数据库安全功能和配置规范》《中国移动网元通用安全功能和配置规范》FIPS199《联邦信息和信息系统安全分类标准》FIPS200《联邦信息系统最小安全控制标准》术语和定义词语解释SecurityBaseline安全基线：是设备功能和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统，用于保障组织内IT系统安全水平。SHG安全加固手册SecurityHardenGuidelineSBL安全基线SecurityBaseline安全风险人为或自然的威胁可能利用IT系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。安全风险评估指运用科学的方法和手段，系统地分析IT系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解IT系统安全风险，或者将风险控制在可接受的水平，为最大限度地为保障IT系统的安全提供科学依据资产是安全防护保护的对象。管理信息系统的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如OA系统、ERP系统等。资产价值资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。威胁可能导致对IT系统产生危害的不希望事故潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。脆弱性是IT系统中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危害资产的安全。安全基线框架背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。为了保证整体安全水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。为此，制定各系统的安全基线，作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据，同时也是满足内控管理要求的依据。此次系列安全基线规范覆盖了从应用层、中间件层、操作系统层以及网络层，并依据这些安全基线建立准入措施，从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下：覆盖面广，涵盖管理信息系统常见IT系统和设备，并涵盖Web应用和源代码的安全基线；可操作性强，针对每个检查项均有简洁的操作说明；定期更新，应当周期性的对基线进行补充和更新；成果可固化，基线可以被集成为检查工具；安全基线将作为系统和设备安全准入的必要条件。安全基线制定的方法论安全基线制定主要基于以下方法：参考产品