中国电信新建业务平台安全验收规范初稿10doc.docx

1、中国电信新建业务平台安全验收规范初稿10doc中国电信新建业务平台安全验收规范2010年2月1. 前言工程建设一般分为八个阶段：提出项目建议书、项目可行性研究、编制计划任务书、编制设计文件、设备采购、施工招标或施工委托、施工、交工验收。为保证完成工程项目完成后顺利投产运营，在工程验收中建议在以下环节考虑安全因素，提出明确的安全要求并具体落实：1. 编制设计文件阶段，在该阶段即应开始考虑安全因素，将诸如物理环境安全、设备安全、系统安全、应用安全等因素纳入设计方案中。设计方案须经过安全审核，保证设计方案符合安全要求。2. 设备采购阶段，为保障采购的各类软硬件设施能达到设计要求，应在已有各项用于指导

2、采购的技术规范书中纳入安全要素，保障采购的各软硬件符合设计中安全方面的要求。3. 施工招标或施工委托阶段，安全要求同设备采购，应在相应招标文件中增加安全方面的要求。4. 施工阶段，工程建设管理单位应要求施工单位严格遵守施工招标中规定的各项安全要求，在施工中严格落实。施工阶段中，如果对设计方案作出修改，须通过安全审核，保证修改后的设计方案符合安全要求。5. 交工验收阶段，该阶段作为全面检验施工中是否将安全方面的各项要求具体落实到位至关重要。为此，建议在工程验收中增加安全方面的专项验收，并增加安全验收后由集团网络安全防护安全管理部门针对验收工作进行审核的环节，以确保工程交付后网络/系统的安全稳定运

3、行。本文只涉及新建业务平台工程安全验收办法。2. 新建业务平台安全验收办法为确保新建业务平台正式交付运营后安全、稳定运行，有必要在工程验收阶段对新建业务平台进行专项安全验收。为此特制定本业务平台安全验收规范，明确业务平台验收过程中对安全方面的工作要求和验收内容。本规范所涉及的业务平台是指中国电信集团级、基地类及省级新建业务平台。适用于中国电信新建、改建、扩建及相关技术改造集团级、基地类业务平台及省级业务平台的安全验收。2.1. 新建业务平台工程验收组织形式新建业务平台工程验收阶段的专项安全验收作为业务平台工程验收的一部分，由工程管理单位牵头组织，工程建设单位、集团网运部、业务平台维护单位等参与

4、，中国电信基础网络安全防护支撑和测评中心具体实施。2.2. 安全验收范围业务平台安全验收涉及的范围主要包括：从接入设备（如CE相关端口）以下的所有业务平台相关网络设备及网络架构、业务系统相关网元（含服务器、磁阵、信令接入设备等）、业务系统相关软件（操作系统、数据库、应用软件、第三方软件等）等。新建业务平台工验收安全验收针对各业务平台厂商在中国电信业务平台中将要使用的网络设备、业务系统相关网元（含服务器、磁阵、信令接入设备等）、业务系统相关软件（操作系统、数据库、应用软件、第三方软件等）等进行审核。2.3. 工程安全验收工作流程厂商完成业务平台工程建设后，提出安全验收申请。申请经新建业务平台工程

5、管理单位批准后，集团级平台形成安全验收任务单下发至中国电信基础网络安全防护支撑和测评中心(以下简称安全防护测评中心)。安全防护测评中心与厂商就安全验收计划进行沟通，开始组织进行业务平台的安全验收。省级平台请参照制定本省的新建业务平台安全验收规范为便于安全验收，厂商应在提出安全验收申请15个工作日内向安全防护测评中心提供相关验收资料。安全防护测评中心负责对以上资料进行审核。审核通过后，厂商应按照安全防护测评中心的要求，配合完成安全验收环境的搭建及安全验收方案的制定等准备工作。验收准备工作完成后，安全防护测评中心组织实施业务平台的安全验收，安全验收工作按照测评中心统一制定的标准验收模板进行。对于通

6、过安全防护测评中心安全验收的新建业务平台，安全防护测评中心在验收完成后向工程建设单位及工程管理单位进行验收结论的通报。对于初次安全验收不通过的新建业务平台，安全防护测评中心 将在安全验收工作完成后向工程建设单位及工程管理单位提交验收结论，详述原因，并将结果通报厂商；厂商可申请进行复验，但必须在规定工作日内向安全防护测评中心提出复验申请并承担复验增加的全部费用，复验进行1次，要求在3个月内完成。如果复验仍不通过或未按照时限要求完成的，将视为该新建业务平台安全验收不合格，验收结论通报工程建设单位及工程管理单位和厂商，安全防护测评中心将最终验收报告上报工程建设单位及工程管理单位，终结此次业务平台安全

7、验收工作，发布安全验收结论。厂商改进后若想再次进行安全验收，必须重新开启新的业务平台安全验收流程，向安全防护测评中心提出安全验收要求。对于在安全验收中不满足要求的内容，厂商应给出相应改进的承诺和时间表，经安全防护测评中心审核后提交工程建设单位及工程管理单位。2.4. 安全验收报告新建业务平台安全验收根据本办法要求的验收范围和内容由安全防护测评中心进行新建业务平台工程专项安全验收，安全验收完成后安全防护测评中心将出具验收报告，上报集团工程管理部门和工程建设部门。2.5. 注意事项为了确保业务平台的运行安全，在项目预算中应考虑安全方面的需求。新建业务平台在正式上线前必须通过安全防护测试中心的安全专

8、项验收，安全验收费用由厂商承担。新建业务平台安全验收的相关要求应在合同中明确。3. 工程安全验收内容本章主要描述业务平台安全验收的主要内容，主要包括如下几个方面：网络设备及网络架构、业务系统相关网元（含服务器、磁阵、信令接入设备等）、业务系统相关软件（操作系统、数据库、应用软件、第三方软件等）等方面的安全验收。3.1. 网络安全3.1.1. 结构安全说明：检查网络安全性要求，包括网络设备，网络拓扑图，网络配置数据。序号验收项目验收情况关键网络设备是否具备冗余空间保障的业务处理能力，满足业务高峰期需要；接入网络和核心网络的带宽是否满足业务高峰期需要；网络实际拓扑结构图，是否与当前运行情况相符；是

9、否根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。3.1.2. 访问控制说明：检查系统中相关网络设备和访问控制设备的访问控制策略。序号验收项目验收情况系统是否在网络边界部署访问控制设备，是否启用访问控制功能；是否能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度是否可为网段级； 用户访问控制配置数据是否按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度是否为单个用户；是否根据安全策略允许或者拒绝便携式和移动式设备的网络接入。3.1.3. 安全审计说明：检查网络设备，网络设备运行状况日志、网络流量日志、用户行为日志，

10、审计记录。序号验收项目验收情况是否对网络系统中的网络设备运行状况进行日志记录；是否对网络系统中的网络流量进行日志记录； 是否对网络系统中的用户行为进行日志记录；是否有审计记录；审计记录是否包括事件的日期、时间、用户以及事件类型。3.1.4. 边界安全审计 说明：检查边界网络设备的用户行为审计能力。序号验收项目验收情况是否有边界网络行为审计措施和记录； 检查审计记录是否包括事件的日期、时间、用户、事件类型、事件是否成功及其他与审计相关的信息。3.1.5. 入侵防护说明：检查系统针对入侵攻击的检测和防御能力。序号验收项目验收情况是否可在网络边界处监视网络入侵和攻击行为；是否具备端口扫描、暴力破解、

11、木马后门攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击的监控能力；是否具备拒绝服务攻击的监控能力；查看是否具备网络攻击监视记录。3.1.6. 网络设备防护说明：检查网络设备安全防护能力。序号验收项目验收情况是否对登录网络设备的用户进行身份鉴别；是否对网络设备的管理员登录地址进行限制；是否对网络设备用户做唯一标识；用户口令是否足够复杂，是否定期更换；是否具有登录失败处理功能，是否可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施，通过测试检验该功能；当对网络设备进行远程管理时，是否采取必要措施防止鉴别信息在网络传输过程中被窃听。3.2. 主机安全3.2.1. 身份鉴别说明：检查

12、主机设备，操作系统，数据库针对用户访问的身份进行鉴别的措施，鉴权措施是否充分。序号验收项目验收情况是否对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令是否有复杂度要求并定期更换；检查用户身份标识，检查口令更改记录；是否启用登录失败处理功能，是否采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行远程管理时，是否采取必要措施，防止鉴别信息在网络传输过程中被窃听；是否为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；对于存在关系型数据库的设备，检查设备是否能够为不同数据库用户或用户组分别授予针对特定

13、数据表的读取、修改权限。3.2.2. 访问控制说明：检查对相关主机系统的访问控制措施是否满足安全性要求。序号验收项目验收情况是否启用访问控制功能，依据安全策略控制用户对资源的访问；是否实现操作系统和数据库系统特权用户的权限分离；是否限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；是否及时删除多余的、过期的帐户，避免共享帐户的存在，对于具备consol口的设备，应配置consol口登录的密码保护功能，对于具备管理口的设备，比如惠普服务器的ILO口，IBM 小型机的HMC口，是否将系统默认登陆用户和口令更改或禁用。3.2.3. 安全审计说明：检查主机系统日志审计能力。序号验收项

14、目验收情况审计范围是否覆盖到服务器上的每个操作系统用户和数据库用户；审计内容是否包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； 是否包括事件的日期、时间、类型、主体标识、客体标识和结果等；是否保护审计记录，避免受到未预期的删除、修改或覆盖等，日志是否有最小保留日期设定。3.2.4. 恶意代码防范说明：检查主机系统是否部署防恶意代码软件，防恶意代码软件更新记录，恶意代码库更新记录，安全防护措施是否全面。序号验收项目验收情况是否安装防恶意代码软件；是否支持防恶意代码软件的统一管理；是否及时更新防恶意代码软件版本和恶意代码库。3.2.5. 资源控制说明：检查信息

15、资源的访问控制措施。序号验收项目验收情况是否通过设定终端接入方式、网络地址范围等条件限制终端登录；是否根据安全策略设置登录终端的操作超时锁定；是否限制单个用户对系统资源的最大或最小使用限度。3.3. 应用安全3.3.1. 身份鉴别说明：检查应用系统针对用户访问的身份进行鉴别的措施，鉴权措施是否充分。序号验收项目验收情况是否提供专用的登录控制模块对登录用户进行身份标识和鉴别；是否提供用户身份标识唯一和鉴别信息复杂度检查功能，是否能保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；是否提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；是否启用身份鉴别、用户身份标识

16、唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能。应用是否在登陆或传递敏感信息时候采用加密技术（如链路采用加密技术或同等技术手段，该条可以视为通过）3.3.2. 访问控制说明：检查应用系统的访问控制措施是否满足安全性要求。序号验收项目验收情况是否提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围是否包括与资源访问相关的主体、客体及它们之间的操作；是否由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；是否授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系，检验设备系统是否具备对口令强度进行配置以及检查口令强度的功能；

17、检验设备系统是否能够删除或者锁定特定的账号，以避免与设备运维无关的账号被误用，从而导致不必要的风险；检验设备系统是否具备对口令的生存期进行配置以及检查的功能；检验设备系统是否具备对口令认证失败次数有限制的功能，并且在多次连续尝试认证失败后能够锁定账号；检验设备系统在静态口令认证工作方式下，是否支持账号登陆口令的修改功能，并且修改口令后不会导致业务无法正常使用；检验设备系统在静态口令认证工作方式下，静态口令在进行本地存储时是否进行了加密；对于用户可通过人机交互界面访问文件系统的设备，检查设备是否支持对文件系统中的目录和文件，为不同用户或用户组分别授予读、写、执行权限；记录设备是否能够对用户登录/

18、登出系统产生相应的日志；检查设备系统是否支持对用户操作信息产生详细日志记录的能力；检查设备是否支持日志远程输出功能，即设备是否至少支持一种通用的远程标准日志接口，如SYSLOG、FTP等，将日志输出至远程日志服务器；设备是否能够按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除；检查具备图形界面（含WEB界面）的设备是否支持手动和定时自动屏幕锁定。锁屏后需再次进行身份认证后才能解除屏幕锁定；检查设备的系统是否具备通过补丁升级来消除软件安全漏洞的能力；应用系统的帐户是否纳入帐户管理流程规范。3.3.3. 安全审计说明：检查应用系统的日志记录功能和安全审计能力。序号验收项目验

19、收情况是否提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；是否保证无法删除、修改或覆盖审计记录；审计记录的内容是否包括事件日期、时间、发起者信息、类型、描述和结果等。3.3.4. 通信完整性说明：检查应用系统模块设计中是否加入数据通信完整性措施。序号验收项目验收情况是否采用校验码技术保证通信过程中数据的完整性，查看软件设计文档是否具备该功能。3.3.5. 通信保密性说明：检查应用系统模块设计中是否加入数据通信完整性措施。序号验收项目验收情况查看软件使用手册或设计文档，在通信双方建立连接之前，应用系统是否利用密码技术进行会话初始化验证；是否对通信过程中的敏感信息字段进行加密或对

20、整个会话过程加密。3.3.6. 软件容错说明：检查应用系统设计是否具备容错性功能。序号验收项目验收情况是否提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。3.3.7. 资源控制说明：检查应用系统信息资源的访问控制措施。序号验收项目验收情况当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方是否能够自动结束会话；是否能够对应用系统的最大并发会话连接数进行限制；是否能够对单个帐户的多重并发会话进行限制；检查设备是否能够显示当前活动的TCP/UDP服务端口列表以及已建IP连接列表；检查对设备进行远程访问时是否支持通过SSH等功能保证通信数据的安

21、全性；检查设备是否支持列出对外开放的IP服务端口和设备内部进程的对应关系的功能。3.4. 数据安全及备份恢复3.4.1. 数据完整性说明：检测重要业务系统中数据传输过程中完整性控制措施。序号验收项目验收情况是否能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。3.4.2. 数据保密性说明：检测重要业务系统中数据传输、存储和备份过程中对保密性控制措施。序号验收项目验收情况1、是否采用加密或其他保护措施实现鉴别信息的存储保密性。3.4.3. 备份和恢复说明：检查重要信息的备份和恢复记录，关键网络设备，通信线路，数据处理系统。序号验收项目验收情况是否对重要信息进行备份和恢复；检查重要信息备

22、份和恢复记录；对于重要信息的备份，是否采用异地保存；对于重要信息的备份，是否考虑保存环境温湿度，灰尘 ；对于重要信息的备份，是否考虑保存环境防火，防水，防磁；对于重要信息的备份，是否考虑保存环境不易被无关人员轻易进入；对于重要信息的备份，是否有机制或流程保证重要信息的备份的有效性；对于重要信息的备份的使用，是否有相关流程并有记录查询；对于重要信息的备份，如采用异地保存，是否在传输过程中考虑安全运输；是否提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。3.5. 灾难备份及恢复检测要求3.5.1. 冗余系统、冗余设备及冗余链路说明：检查业务系统设计/验收文档，存储备份设计文档

23、，演练文档。序号验收项目验收情况1检查重要服务器、重要部件、重要数据库是否采用本地双机备份的方式进行容灾保护；2检查演练文档，查看业务系统网络灾难演练的恢复时间是否满足行业管理和企业应急预案的相关要求；3检查重要服务器是否配备双电源模块，双电源模块不宜由同一路电源供电。3.5.2. 数据备份说明：业检查务系统设计/验收文档，业务系统备份记录。序号验收项目验收情况1访谈业务系统安全管理人员，询问系统的关键数据（如网络拓扑配置数据、业务支撑系统的用户资料 、费率表）是否提供本地备份和异地备份；2检查设计/验收文档，查看业务系统是否支持关键数据定期备份，查看数据备份日志，记录备份周期。3.5.3.

24、人员和技术支持能力说明：检查机房管理人员，技术支持人员，安全管理人员，历史值班记录，培训记录。序号验收项目验收情况1检查是否有安全管理人员，应访谈安全管理人员，询问并察看历史值班记录，是否安排机房管理人员、数据备份人员和相关的软硬件支持人员（不要求是专职人员）；2检查培训记录，查看技术人员是否定期得到灾难备份及恢复方面的技能培训；3检查是否支持人员知道自己在灾难发生时的职责；4检查是否有在灾难发生时候联络表及呼叫树。3.5.4. 运行维护管理能力说明：检查管理制度，安全管理人员。序号验收项目验收情况1访谈安全管理人员，询问是否有相应的介质存取、验证和转储管理制度，是否可确保备份数据授权访问；

25、2检查业务系统相关管理制度，查看其是否按介质特性对备份数据进行定期的有效性验证；3检查业务系统相关管理制度，查看其是否具有相关服务器设备的灾难备份及恢复的管理制度；4是否有同关键设备支持厂商的协议在灾难发生时优先提供服务。3.5.5. 灾难恢复预案说明：检查灾难恢复预案，设计/验收文档，演练记录，管理制度，安全管理人员。序号验收项目验收情况1检查业务系统灾难恢复预案设计/验收文档，查看其是否具备完整的业务系统灾难恢复预案；2检查业务系统灾难恢复教育和培训计划，访谈相关人员是否具备实际操作能力；3检查业务系统灾难恢复预案演练记录，查看其是否已经过灾难恢复预案演练以及灾难恢复预案演练的效果是否达到设计要求。