返回
中国移动业务安全通用评估规范

中国移动业务安全通用评估规范

ID:44176335

大小:678.00 KB

页数:43页

时间:2019-10-19

中国移动业务安全通用评估规范_第1页
中国移动业务安全通用评估规范_第2页
中国移动业务安全通用评估规范_第3页
中国移动业务安全通用评估规范_第4页
中国移动业务安全通用评估规范_第5页
资源描述:

《中国移动业务安全通用评估规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、中国移动业务安全通用评估规范2012年3月目录第1章概述3第2章评估依据3第3章框架及模型33.1概述33.2安全评估模型43.3模型简介53.3.1网络结构安全53.3.2设备安全53.3.3平台及软件安全53.3.4业务流程安全53.3.5终端安全73.3.6安全管控73.3.7应用指导原则8第4章实施方案84.1网络结构安全84.2设备安全104.3平台及软件安全264.4业务流程安全314.4.1内容安全314.4.2计费安全344.4.3能力开放接口安全364.4.4客户信息安全374.4.5业务逻辑

2、安全414.4.6传播安全444.4.7营销安全454.5终端安全484.6安全管控514.6.1系统安全514.6.2人员安全534.6.3第三方安全管理54第1章概述为了加强中国移动业务安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务安全整体水平,降低业务安全风险,特制定本安全评估规范。本评估规范针对各业务类型的信息安全水平进行客观、综合评价,促进业务安全管理工作的开展,为业务发展提供良好支撑。本规范解释权归总部信息安全管理与运行中心。第2章评估依据1.《中国移动业务安全评估标准》

3、2.《中国移动账号口令管理办法》3.《中国移动设备通用安全功能和配置规范》4.《中国移动第三方管理办法》5.《中国移动帐号口令集中管理系统功能及技术规范》6.《中国移动业务支撑网4A安全技术规范》7.《中国移动客户信息安全保护管理规定》8.《中国移动安全域管理办法》第3章框架及模型3.1概述中国移动业务安全评估依据科学的安全风险评估方法,从业务所涉及的各类软硬件资产(网络、设备、通用平台及软件、业务实现程序、终端)出发,依据不同类型资产耦合度,划分为五个层次。根据不同层次常见以及高危安全风险,分别对不同风险进行

4、安全评估。本安全评估规范重点对与业务流程相关的内容、计费、协议接口、客户信息、业务逻辑、传播、营销等方面进行安全风险评估,旨在尝试深层次探索中国移动业务安全问题,相关评估结果亦可指导相关业务的建设和运维。1.1安全评估模型1.1模型简介1.1.1网络结构安全网络结构安全从网络拓扑、安全域方面进行安全评估,重点评估中国移动业务所涉及的物理链路、数据路径、流量控制、安全域划分及隔离防护策略等信息安全管控措施的落实及实施效果。1.1.2设备安全设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。重点评估中

5、国移动业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。1.1.3平台及软件安全平台及软件安全从数据库、中间件、4A三个方面进行安全评估。重点评估中国移动业务所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。1.1.4业务流程安全1.1.1.1内容安全内容安全从内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护四个方面进行安全评估。重点评估中国移动业务在内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。1.1.1.1计费安全

6、计费安全从计费流程方面进行安全评估。重点评估中国移动业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。1.1.1.2能力开放接口安全能力开放接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。重点评估中国移动业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。1.1.1.3客户信息安全客户信息安全从客户基本信息、客户数据信息两个方面进行安全评估。重点评估中国移动业务在客户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。1.1.1.4

7、业务逻辑安全业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。重点评估中国移动业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。1.1.1.1传播安全传播安全从业务传播方式方面进行安全评估。重点评估中国移动业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。1.1.1.2营销安全营销安全从营销渠道、营销防盗链两个方面进行安全评估。重点评估中国移动业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。1.1.2终端安全终端安全从PC客

8、户端和移动终端两个方面进行安全评估。重点评估中国移动业务相关的应用软件在身份认证、数据传输、异常功能处理等方面的信息安全管控措施的落实及实施效果。1.1.3安全管控1.1.3.1系统安全系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。重点评估中国移动业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果1.1.1.1人员安全人员安全从人员管理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。