1、信息安全管理體系及重點制度(zhd)介紹 信息系統部2011年5月4日1共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎電信(dinxn)企業信息安全責任管理辦法2基礎信息安全要求3客戶信息保護管理規定4信息安全三同步管理辦法5業務安全風險評估標準62共五十一頁ISO17799:2000國際標準(u j bio zhn)BS7799-1:1999BS7799-2:1999英國(yn u)標準BS7799-2: 2002BS7799-1:2000ISO17799:2005ISO27001:2005BS7799:1996BS7799-3:2005安全管理體系標準的發展歷史3共五十一頁IS

2、O 27001的標準全稱 Information technology- Security techniques-Information security management systems-Requirements 信息技術-安全(nqun)技術-信息安全管理體系-要求ISMS 信息安全管理體系 - 管理體系 - 信息安全相關 - ISO 27001 的3 術語和定義(dngy)-3.7Requirements 要求ISO/IEC 27001介紹4共五十一頁建立方針和目標并實現這些目標的相互關聯或相互作用的一組要素。管理體系包括(boku)組織結構，策略，規劃，角色，職責，流程，程序和資源

3、等。(ISO 270013 術語和定義-3.7)管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內。什么(shn me)是管理體系？Quality management system (ISO 9001)Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management sy

4、stem(ISO 27001)5共五十一頁什么(shn me)是信息安全？AlterationDestructionDisclosureInformationIntegrity Availability ConfidentialityInformation保護信息的保密性、完整性和可用性(CIA);另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性 (ISO 270013 術語和定義-3.4) 機密性（Confidentiality） 信息不能被未授權的個人，實體或者過程利用或知悉的特性 (ISO 270013 術語和定義-3.3)完整性（Integrity）保護資產的準確和完整的特性

5、(ISO 270013 術語和定義-3.8).確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統及信息進行不恰當的篡改，保持信息內、外部表示(biosh)的一致性。可用性（Availability） 根據授權實體的要求可訪問和利用的特性(ISO 270013 術語和定義-3.2).確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源6共五十一頁信息安全管理體系所涵蓋(hn i)的領域安全策略合規性信息安全組織資產管理信息系統獲取開發和維護人力資源安全物理和環境安全通信和操作管理訪問控制信息安全事件管理業務連續性管理7共五十一頁湖

6、南移動(ydng)信息安全管理體系8共五十一頁湖南移動(ydng)信息安全管理制度已發布制度湖南移動信息安全管理辦法和責任矩陣湖南移動信息安全三同步管理辦法中國移動客戶信息安全保護管理規定（試行）和控制矩陣中國移動業務信息安全評估標準（2011）中國移動基礎信息安全管理通用(tngyng)要求（試行）和檢查矩陣實踐案例匯編“客戶信息安全保護解決方案匯編”“基礎信息安全案例匯編”計劃完善的制度安全應急處置責任追究安全檢查管理辦法9共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎電信企業信息安全責任管理(gunl)辦法2基礎信息安全要求3客戶信息保護管理規定4信息安全三同步管理辦法5業務

7、安全風險評估標準610共五十一頁基礎電信企業(qy)信息安全責任管理辦法互聯網新技術新業務的廣泛，信息安全事件時有發生普遍存在“重市場發展、輕安全管理”的現象,甚至還有“只顧賺錢，漠視安全”的情況存在基礎電信企業的信息安全責任和要求不盡明確。企業對自身應承擔的信息安全責任重視不夠、投入不足(bz)。行業監管機構對企業信息安全責任和義務缺乏有效監督和管理的方式方法。企業信息安全責任保障條件總則監督管理基礎電信企業信息安全責任管理辦法（工信部保2009713號）11共五十一頁基礎(jch)電信企業信息安全責任管理辦法-總則第三條（信息安全）本辦法所稱信息安全指電信網絡（包括(boku)固定網、移動

8、網和互聯網）上的公共信息內容安全。第四條（企業信息安全責任）企業有義務維護國家安全、社會穩定和用戶合法權益；應在網絡建設、業務提供、應急處置、信息報備、人員培訓等方面建立健全企業信息安全責任制度，同步建設與企業網絡、業務和用戶發展相適應的信息安全保障體系和技術保障手段；保障必要的人員和資金投入。總 則12共五十一頁基礎電信(dinxn)企業信息安全責任管理辦法企業信息安全責任企業信息(xnx)安全責任規范合作經營技術保障措施配合監管信息報備網絡建設開辦業務日常監測用戶信息保護接入責任13共五十一頁企業信息安全責任(zrn)-（網絡建設）企業在電信網絡的設計、建設和運行過程中，應做到與國家信息安

9、全的需求同步規劃，同步建設，同步運行。企業在系統規劃、建設、升級、改造等環節(hunji)應認真落實國家信息安全要求，同步配套相關信息安全設備和設施。企業在網絡設備選型、采購和使用時，應遵守電信設備進網要求，滿足信息安全管理需要。 14共五十一頁企業信息安全責任- （開辦(kibn)業務）企業應履行(lxng)信息安全承諾，按照電信業務經營許可的信息安全要求開展和經營相關電信業務。企業要在新產品立項、產品開發和業務上線（包括合作開辦）的各環節：建立實施信息安全評估制度，同步配套與業務特點和用戶規模相適應的信息安全保障措施，明確業務的信息安全負責人，建立相應的管理制度和應急處置流程，按規定向電信

10、監管機構進行業務信息報備。 15共五十一頁企業信息安全責任(zrn)- （日常監測）對本企業通信網絡中發現的違法信息，企業應立即停止傳輸，保存(bocn)相關記錄，并向國家有關機關報告。對有關部門依法通知停止傳輸的違法信息，企業應配合執行。 16共五十一頁企業(qy)信息安全責任- （用戶信息保護）電信(dinxn)用戶依法使用電信(dinxn)的自由和通信秘密受法律保護。企業及其工作人員不得擅自向他人提供電信(dinxn)用戶使用電信(dinxn)網絡所傳輸信息的內容（法律另有規定的除外）。對于本企業業務網絡/系統中保存的有關用戶資料和信息，企業應依法予以保護，不得非法出售或者提供給其他組織

11、和個人、不得用于與企業業務無關的用途。 17共五十一頁企業(qy)信息安全責任- （接入責任）企業不得向未取得電信業務經營許可證的單位或個人提供用于經營性電信業務的電信資源、網絡接入和業務接入；不得向未備案非經營性互聯網站提供網絡接入。企業應監督接入用戶按照約定的用途使用電信資源或開展業務。發現擅自改變使用用途的，及時通知(tngzh)整改，涉及違法犯罪的，及時向有關部門報告。企業應定期檢查接入內容。發現信息安全問題和隱患及時做出相應處理。 18共五十一頁企業(qy)信息安全責任- （規范合作經營）企業在開展業務合作前，要對合作方的經營資質、業務許可等信息進行審核，并在合同中明確各方的信息安全

12、責任。企業應當對合作提供的各類業務進行規范和監督，建立違法信息發現、監測和處置制度。對合作中出現的信息安全問題和隱患，企業應督促合作單位及時整改，或者按照(nzho)合同約定進行處理，對違反法律的，報送相關部門查處。 19共五十一頁企業信息安全責任- （技術(jsh)保障措施）企業應當建立并完善事前防范(fngfn)、事中阻斷、事后追溯的信息安全技術保障體系。企業應當建立必要的技術手段，加強對重要電信資源（如電信碼號、網絡帶寬、IP地址、域名等）的管理。企業應當認真落實接入責任，建全信息安全管理和公共信息服務內容日常核查手段。20共五十一頁企業信息安全責任(zrn)- （配合監管）企業應當認真

13、配合電信監管機構開展信息安全監督管理工作，保證相關工作順利實施。企業應當依法記錄并妥善保存用戶使用電信網絡的有關信息，相關信息應當至少保存60日。對存在的信息安全問題和隱患，企業應當嚴格按照(nzho)電信監管機構的處理意見進行整改。因涉及國家安全或處置緊急事件的需要，電信監管機構根據國家的有關規定和要求組織實施通信管制，企業應當配合執行。21共五十一頁企業(qy)信息安全責任- （信息報備）企業應當遵照有關信息安全要求和規定，執行信息安全信息上報、備案制度，接受并配合電信監管機構的監督檢查。可能引發信息安全隱患(ynhun)的網絡調整、擴容、電信基礎資源使用變更等；可能引發信息安全隱患的新開

14、展業務；企業信息安全責任人或聯系人信息變更；企業業務網絡/系統內發生的各類信息安全事件。企業應保證相關報備信息的及時、準確、完整。22共五十一頁基礎電信企業(qy)信息安全責任管理辦法通報整改制度電信監管機構對企業落實信息安全責任情況建立日常監測機制，實行通報整改制度。對存在信息安全隱患或者發生信息安全事故的企業，電信監管機構向企業提出書面整改意見，責成企業限期整改，并視情況在一定范圍內予以通報。電信監管機構定期或不定期對企業落實信息安全責任的情況進行專項監督檢查。企業應當將每年落實信息安全責任的有關情況形成書面報告報電信監管機構。對在新產品立項、產品開發和業務上線（包括合作開辦）各環節(hu

15、nji)未同步開展信息安全評估、未同步配套與該業務相適應的信息安全保障措施、未按規定要求向電信監管機構進行業務信息報備，而造成特（重）大信息安全事件（或被有關部門通報并經電信監管機構組織專家研究認定該業務存在嚴重信息安全隱患）的，由電信監管機構責令相關企業限期整改，未經整改合格的，不得開展該業務。監督管理23共五十一頁基礎電信企業信息安全責任管理辦法通報整改(zhn i)制度對因自身管理原因造成信息安全事件，由電信監管機構追究相關企業責任。（一）企業在一年內，發生1次特大信息安全事件的，或累計發生3次（及3次以上）重大信息安全事件的，由電信監管機構予以通報批評，對相關責任人提出處理意見或建議，

16、通報相關管理部門，并視情況向社會(shhu)通告。（二）企業在一年內，發生1次重大信息安全事件的，或累計發生5次（及5次以上）一般信息安全事件的，由電信監管機構予以通報批評，對相關責任人提出處理意見或建議，并通報相關管理部門。（三）企業在一年內，發生5次以下一般信息安全事件的，由電信監管機構在電信行業內進行通報。 （四）企業存在信息安全問題或隱患，未按要求在規定期限內進行相應整改的，由電信監管機構予以通報批評，對相關責任人提出處理意見或建議，并視情況通報相關管理部門。構成犯罪的，移送司法機關依法追究刑事責任。監督管理24共五十一頁基礎(jch)電信企業信息安全責任管理辦法 重點（一）落實基礎(

17、jch)企業領導人問責制明確和落實企業領導責任。對工作不落實、措施不到位、被電信主管部門通報批評的，追究企業信息安全責任人的領導責任。對整改不力、屢改屢犯、故意違規的，通報批評相應企業信息安全責任人，并函告其上級主管部門追究企業信息安全責任人的領導責任。25共五十一頁基礎電信(dinxn)企業信息安全責任管理辦法 （二）加強業務推廣、合作經營的管理對業務推廣渠道中業務合作(hzu)的建立、合作(hzu)內容的規范、合作(hzu)問題的發現和監督、業務推廣模式的實現等相關細節明確制度化、規范化的要求。監督合作單位相關責任和義務落實情況，確保實效。對合作中出現的信息安全問題和隱患，企業應督促合作單

18、位及時整改；發現存在違規的，立即暫停或終止合作；發現違反法律的，報送相關部門查處。 26共五十一頁基礎電信企業(qy)信息安全責任管理辦法 （三）落實接入環節(hunji)管理責任為無證服務商提供接入、為未取得經營許可或備案的網站接入的，追究相關人員責任。與接入服務商、網站簽訂信息安全管理協議。監督接入服務商、網站的日常活動，配合相關主管部門對接入服務商、網站接入的查處。對發現涉及違法犯罪的，應及時停止接入、保存記錄，并向有關部門報告。對無法判定的涉嫌違規內容，應保存記錄，并向有關部門報告，配合有關部門的研判和處置。 27共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎電信(dinx

19、n)企業信息安全責任管理辦法2基礎信息安全要求3客戶信息保護管理規定4信息安全三同步管理辦法5業務安全風險評估標準628共五十一頁基礎信息安全管理通用(tngyng)要求29共五十一頁基礎信息安全管理(gunl)通用要求安全預警預警信息分為一級、二級、三級、四級，一級為最高級。集團公司信息安全管理責任部門負責面向全網發布預警信息，各省公司或專業部門向所轄地域與專業發布預警信息。各單位接到預警信息后，應依據上級主管部門要求落實，及時跟蹤預警項進展，預警內容出現變化應及時上報，必要時調高預警級別并采取更嚴格防范措施。各單位可根據預警信息對系統的影響情況調高預警級別，但不允許(ynx)調低預警級別；

20、對安全補丁類預警，應根據設備所處位置和重要性采取不同的加載策略。在設備沒打補丁期間，要采取相應的加固措施，保證設備不易被攻擊。對于安全預警信息，應在預警信息規定時限內向預警信息發布主體反饋處理結果。安全預警處理結果反饋內容應包括預警的影響范圍、防范措施實施范圍、防范措施實施效果、進一步計劃等內容。30共五十一頁基礎信息安全管理通用(tngyng)要求安全監控 要由監控專業或相應專業人員實施對各專業網絡與系統的集中化安全監控。重點監控范圍包括安全等級三級及以上的IT系統，以及基地業務、彩信、OA、ERP、郵件系統、對外網站、IDC、WLAN、DNS、LSP等系統。 細化安全監控內容，包括但不限于

21、：內網系統：帳號登錄信息，帳號、權限、口令的變更，服務與端口的啟用，系統日志是否正常；互聯網系統：除了滿足內網系統監控內容要求外，還應包括網站頁面是否被篡改，系統可用性；安全設備：防病毒系統、入侵檢測系統、防火墻等安全告警信息。 針對各監控對象細化制定安全監控的各項控制基線與量化指標，基線與指標的數值應至少設定正常，一般(ybn)告警，緊急告警三個等級。 應完善和優化安全監控手段，提升監控的效率與覆蓋面。 應制定細化的安全監控作業計劃，實施對重點監控對象的724小時監控。 對于監控中發現的安全問題，及時進行詳細記錄并形成監控日志，監控日志應留存3個月以上。 要及時對監控中發現的問題進行識別、分

22、析與處置。 按照安全事件管理相關要求對監控中發現的安全事件進行處置。 31共五十一頁基礎(jch)信息安全管理通用要求訪問控制1 內網接入安全要求嚴禁任何設備以雙網卡方式同時連接(linji)互聯網和公司內網；嚴禁向任何未經防火墻隔離的對外網站等互聯網系統分配公司內網IP地址；接入公司內網的終端設備必須通過802.1X認證，安全網關認證，MAC地址綁定等方式之一實現網絡接入認證，只有通過接入認證的設備才可訪問局域網資源；如因系統限制暫時無法在系統中實現網絡登錄認證，任何外來設備只能在接入申請批準后方可接入，并由局域網的維護人員對接入終端進行登記；原則上不應采用無線AP方式接入內網，如遇特殊情況

23、，依據“誰接入、誰負責”的原則，管理上必須經主管領導審批授權，技術上必須采用MAC地址綁定，強安全認證，強加密算法保護的安全傳輸，配置隱藏SSID，保證AP口令強度等配置；各單位要維護一份已使用內網IP地址清單，清單內容包括但不限于每個IP地址的使用單位、設備用途、責任人（使用人）和聯系方式等信息。 遠程接入 遠程接入指從外部網絡接入公司內網；各單位要制定遠程接入的實施細則、遠程接入審批和授權流程，規范帳號權限的申請、變更與刪除等工作，審批與授權記錄應予以歸檔留存；各單位對遠程接入應做到系統集中管控（接入4A系統），采用短信動態口令，令牌等強認證方式，并對遠程接入用戶的登錄過程、操作行為進行記

24、錄（記錄內容包括但不限于：用戶名、操作內容、登陸方式、登入時間、登出時間）；遠程接入帳號只能授予內部員工，廠家人員需要使用遠程維護時，按次授權，用畢收回；遠程接入帳號的創建、調整和刪除申請審批通過后，應及時更新系統中的帳號狀態，確保與審批結果保持一致；定期（每半年至少一次）檢查遠程接入帳號與權限，清除過期或者未授權的訪問帳號與權限。32共五十一頁基礎信息安全管理(gunl)通用要求訪問控制2 防火墻配置管理各單位應制定防火墻策略管理的實施細則、防火墻策略變更審批和授權流程，規范防火墻策略新建、更新與刪除工作，審批與授權記錄應予以歸檔留存；防火墻配置應滿足中國移動防火墻功能和配置規范要求，做好日

25、志、告警、安全策略、攻擊防護的配置；系統管理員應遵循“最小化”原則，根據系統內外部互聯需求，建立細化到連接雙方的IP、端口、有效時間范圍、承載信息、信息敏感性等內容在內的網絡連接信息表，并據此配置防火墻策略，禁止出現非業務需要的大段IP、連續端口開放的配置；除數據網管、安全管控平臺等因業務需要外，互聯網邊界防火墻從外網至內網的方向僅允許業務應用端口，嚴禁(ynjn)開放維護管理和數據庫服務端口；內網不同區域之間的邊界防火墻對于維護管理、數據庫服務端口僅允許配置點對點訪問策略，嚴禁開放大段IP地址的訪問策略；內部核心區不允許開放到互聯網的訪問權限。建立維護作業計劃，定期（至少每周一次）對非永久有

26、效的臨時防火墻策略進行清理。定期審核防火墻策略，確保網絡連接信息、防火墻策略與實際情況的一致性，確保防火墻策略滿足公司安全要求。 第三方訪問控制管理第三方是指與中國移動在業務上具有合作關系，或是向中國移動提供開發、維護等服務的公司及其員工；各單位要與第三方公司簽訂保密協議，在協議中明確第三方公司及其參與服務的員工的保密責任以及違約罰則；第三方人員的開發、維護的接入區域要與中國移動的生產、內部辦公、維護區域分離，并采用更嚴格的訪問控制策略和管控手段；第三方工作區域的終端接入中國移動的內部網絡時要滿足內網接入要求，嚴格限制U盤等外設拷貝，禁止使用無線上網，必須安裝防病毒軟件；通過接入4A系統等方式

27、對第三方人員的登錄過程、操作行為進行記錄（記錄內容包括但不限于：用戶名、操作內容、登錄方式、登入時間、登出時間），日志記錄至少保留6個月。嚴格禁止第三方人員擁有重要系統管理員權限，創建系統帳號權限，查詢客戶敏感信息或者超出工作范圍的高級權限的帳號。各單位應至少每3個月對第三方的帳號權限進行一次審核清理。33共五十一頁基礎信息安全管理通用(tngyng)要求訪問控制3 帳號口令管理各單位要制定帳號口令管理辦法，帳號口令管理滿足：帳號管理遵循職責匹配、最小授權原則，規范帳號創建、變更、刪除審批流程，嚴格限制程序帳號的使用；口令設置滿足字母、數字組合等復雜度要求，不得(bu de)以明文方式保存或者

28、傳輸，口令長度不得(bu de)小于8位，至少每90天更換一次，且5次以內不得設置相同的口令；定期（至少每半年一次）對帳號申請審批、權限變更等流程執行情況進行審核，避免出現非法創建帳號、無主帳號以及權限與職責不相容的帳號。要通過系統功能強制實現口令策略管理，防止出現弱口令設置。重要系統要采用短信動態口令、證書等強認證登錄方式。 34共五十一頁基礎(jch)信息安全管理通用要求安全分析 各單位要建立安全分析制度，定期對基礎信息安全工作情況進行分析通報。 分析內容包括：基礎信息安全相關的安全形勢與威脅變化，安全事件，安全預警、安全監控、風險評估、合規性檢查等發現的安全問題，部署相關整改工作，追蹤安

29、全問題整改情況，對重大安全事項進行專題研究等。 對于分析中形成的信息安全工作決議，工作部署等記錄歸檔(gudng)，并追蹤落實。35共五十一頁基礎信息安全(nqun)管理通用要求安全(nqun)合規性檢查 各省信息安全歸口管理部門要制定合規性檢查制度，配備必要的檢查工具，建立內部檢查機制。信息安全歸口管理部門每年年初要組織相關單位共同制定安全合規性檢查計劃，并按照計劃開展檢查工作。在計劃中要明確檢查的方式、方法，抽調各單位安全力量，以自查或交叉檢查方式進行。 安全合規性檢查范圍與頻次要求：每年至少對各IT系統組織完成一次全面檢查；各單位應結合自身情況開展不定期的自查。安全運營管理和基礎IT設施

30、安全防護的合規性檢查應依據本要求執行(zhxng)；單點設備安全配置的合規性檢查建議采用設備安全配置審核工具進行。 合規性檢查的方法包括但不限于：抽樣檢查、全面檢查、現場檢測、日志審核、人員訪談、工具自動檢查等。 每次檢查結束后檢查小組要及時編制安全合規性檢查報告、安全合規性檢查問題整改計劃及實施方案。 被檢查單位要及時向本省信息安全歸口管理部門上報整改進度與成果及安全合規性檢查問題整改工作總結。36共五十一頁基礎信息安全管理通用(tngyng)要求安全事件管理1安全事件分為(fn wi)特別重大、重大、較大和一般四個級別。系統（含內網系統）安全事件信息分級定義參照互聯網網絡安全信息通報實施辦

31、法規定，及集團相關部門要求。 安全事件組織分為三級，一級管理組織是集團公司，負責跨省、跨專業事件的協調處置。二級管理組織為各省公司，負責轄區內事件的協調處置。三級管理組織由省公司各部門的安全小組組成，負責事件的具體處置。 各級組織應負責執行所主管IT系統與網絡的安全事件管理工作，并接受上一級組織的統籌與指導。 國家重大活動保障時期發生的安全事件的級別應在原有級別上提升一級，特別重大安全事件級別不再向上提升。 各級組織對于安全監控發現的安全事件，要及時對安全事件的影響范圍和級別進行判斷并決定是否需要上報；對于省內跨專業的安全事件應及時上報二級事件管理組織協調處理，對于跨省的安全事件應及時上報一級

32、事件管理組織協調處理。上報模板參見附錄一。 各級組織收到安全事件投訴后應及時對投訴內容進行核實，并協調做好投訴的處理。 特別重大安全事件發生時，二級管理組織應立即上報集團公司，經審批后，上報當地安全分中心。特別重大安全事件確認至上報集團不得超過1小時。 重大安全事件發生時，二級管理組織應及時上報集團公司。重大安全事件確認至上報到集團公司不得超過2小時。較大或一般安全事件由二級管理組織匯總后于次月5個工作日內報送當地通信管理局和CNCERT/CC當地分中心，并在每月安全報表中向集團公司上報。二級管理組織應記錄安全事件的審計核查結果，進行匯總分析，總結存在的問題并歸檔形成安全事件案例庫，并上報集團

33、公司。37共五十一頁基礎信息安全管理通用(tngyng)要求安全事件管理2 安全事件發生后應立即啟動響應機制。 按照“誰下達任務，誰結束任務”的原則，重大活動保障任務下達單位或部門應明確安全響應任務的結束時間。 在網絡入侵事件的處理過程中，應保護被入侵設備現場，盡可能進行離線封存問題設備，交二級管理組織處理，禁止擅自重裝、刪除系統，為將來的取證或者分析(fnx)入侵行為提供證據。 做好事件恢復后的安全檢查工作，避免設備上線后再次出現同類問題。 各級組織應定期完善安全事件預案，對安全人員進行培訓，每年至少執行一次信息安全演練。 應定期檢查、補充安全事件處理所用的硬件及軟件工具，相關支撐文檔資料等

34、，做到有備無患。 應完善安全事件響應的技術支撐體系，提升事件處置能力。 對于安全事件處理中關鍵節點的訪問與操作日志應建立備份機制，在線日志至少應保存三個月，離線日志至少應保存半年。38共五十一頁基礎信息安全管理通用要求人員(rnyun)與資產安全管理 各省應與合作第三方、關鍵崗位員工單獨簽訂保密協議，在協議中明確其保密責任以及違約罰則。 各省應建立所轄系統中有IP地址的基礎設備資產管理清單，并集中建立與互聯網接口的資產清單，必須詳細記錄信息資產的狀態、IP地址、系統類型與版本、功能與用途、所處位置、相關責任人等。 各省應確保資產清單與在線系統狀態、責任人員信息一致。 應定期通過IP段掃描或者人

35、工檢查(jinch)的方式比對審計資產清單與現網資產信息，對于未經登記的無主設備一經發現立即處理，對于資產信息發生變化的應予以更新。 各省每半年應對省內所有公網IP設備的潛在安全高危端口（如遠程登錄，網站服務，數據庫服務，網管服務等）進行一次掃描，每年應對所有公網IP完成一次全面漏洞掃描，及時對自有業務和系統存在的安全風險進行整改。 各省應建立完善資產退服管理流程。定期清查盤點，確保退服系統及時下線并移出機房。對于退服設備的數據，要徹底清除。39共五十一頁基礎信息安全管理(gunl)通用要求系統安全 單點設備安全要求：單點設備包括IT系統與網絡中的終端、主機、中間件、數據庫、網絡設備等；單點設

36、備在規劃建設、工程驗收、運行維護各個環節中，必須嚴格遵守中國移動設備安全功能和配置規范相關要求。規范清單參見附錄二。 業務和應用安全要求：業務和應用在規劃、建設、上線階段應滿足以下安全要求：在業務和應用規劃階段，應當根據應用系統面臨的安全威脅以及業務、管理與維護上的需要，遵循“基礎IT設施安全防護要求”以及公司相關業務安全規范和標準，提出相應的安全要求；在業務和應用在規劃設計階段，應組織需求單位、建設單位、運維管理單位及安全管理部門對規劃設計方案的安全性進行會審，確保方案的合理性，避免在規劃設計階段引入安全風險；在系統后續的開發建設、測試交付以及運行期間需要驗證安全要求是否得到滿足；應對第三方

37、開源組件在開發中的使用進行管控，不得采用(ciyng)已知存在安全漏洞的組件版本。Web應用軟件安全應遵循WEB類應用系統安全防護技術要求，在身份驗證、會話管理、權限管理、敏感數據保護、輸入輸出校驗、內容安全等方面必須具備一定的安全功能，保證系統本身不易被攻擊；40共五十一頁基礎信息安全管理(gunl)通用要求系統安全 生產環境安全要求：生產環境中的工具軟件安裝與使用要求應對生產環境中工具軟件進行統一管理，不得安裝與生產無關的軟件；嚴禁安裝能夠穿透防火墻，從互聯網訪問和控制內網設備的軟件，如Teamviewer等；除部門領導授權外，任何非安全專用設備嚴禁安裝漏洞掃描、網絡嗅探等安全工具；及時修

38、補Serv-U、VNC等常用第三方工具軟件存在(cnzi)的安全漏洞。移動存儲介質使用安全要求各單位應完善本單位內移動存儲介質使用管理辦法，并指定專人負責對存儲介質的使用進行指導、監督和檢查；各單位應明確允許使用移動存儲介質的人員、系統與網絡范圍，對于不允許使用的，應實施控制策略、物理封閉或端口封禁等手段；對準許接入系統與網絡的存儲介質進行嚴格控制，在接入前必須進行病毒查殺；未經授權，嚴禁使用移動存儲設備（如移動硬盤、U盤等）處理涉密數據或文件；涉密信息的移動存儲介質的管理應按照國家、公司相關保密制度執行。應做到辦公終端與維護生產終端的專機專用，原則上要求實現兩者的物理隔離，嚴禁采用雙網卡（包

39、括無線網卡）跨接不同網絡。開發測試系統的安全要求：開發測試環境應與生產環境隔離，不得在現網生產環境上進行開發與測試；開發測試過程中不得使用真實生產數據，僅能使用經過模糊化處理的數據；應對開發測試環境采取適當的保護措施，防止被互聯網區域滲透。41共五十一頁基礎(jch)信息安全管理通用要求安全域劃分 安全域指具有相同或相近的安全需求、相互信任的網絡區域或網絡實體的集合。安全域的劃分應依據業務保障、結構簡化、等級保護、生命周期四項原則執行。 網管、業務支撐、信息化3大支撐系統(xtng)應分別依據中國移動支撐系統安全域劃分與邊界整合技術要求、中國移動業務支撐網安全域劃分和邊界整合技術要求、中國移動

40、管理信息系統安全域劃分技術要求劃分安全域；數據業務系統應依據中國移動數據業務系統集中化安全防護技術要求劃分安全域。 各單位可結合自身安全需求，通過安全域風險分析，制訂更細粒度的安全域劃分方案，進一步定義相關安全子域。42共五十一頁基礎信息安全管理通用要求邊界(binji)整合與域間互聯 在保證業務系統的互聯需求的前提下，應對安全域的邊界進行合理的整合，對系統接口進行整理和歸并，實現重點防護。 安全域的邊界整合包括但不限于以下內容：與互聯網的邊界整合：省內支撐系統與互聯網邊界應整合到省公司一級，地市單位支撐系統不應設置互聯網出口；數據業務系統應根據物理位置，設置集中的互聯網出口；與合作伙伴的邊界整合：應梳理各類業務系統、合作伙伴的安全要求，合并整合后采取(ciq)對應安全措施進行防護；與第三方廠商的邊界整合：對第三方的遠程接入進行統一整合，納入第三方遠程接入安全子域，并采取遠程接入集中控制、防火墻、4A系統等措施實施安全管控。對第三方現場支持納入第三方現場維護子域進行安全管控；各系統之間的邊界整合：將有相近安全防護需求的業務系統安全子域進行整合，避免各系統之間安全防護手段的重復投資。 43共五十一頁基礎信息安全管