返回
自动单验平台安全规范

自动单验平台安全规范

ID:46943511

大小:151.63 KB

页数:27页

时间:2019-11-30

自动单验平台安全规范_第1页
自动单验平台安全规范_第2页
自动单验平台安全规范_第3页
自动单验平台安全规范_第4页
自动单验平台安全规范_第5页
资源描述:

《自动单验平台安全规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、数据安全保护制度1.1.通用安全1.1.1.帐号系统支持自动的帐户密码策略,实现对密码长度,复杂度,可用时间,修改频度等参数的灵活配置,并根据配置实现对用户修改密码等账户管理行为的自动控制,并留下日志记录,便于审计。密码修改等账户管理应有统一的界面或接口,可以实现批量操作,降低重复工作量。帐户认证具体要求主要包括:1、设备支持按用户分配账号,支持用户组分类2、设备支持增加、删除、锁定、修改账号功能3、设备应能够支持使用外部认证服务器实现集中认证4、对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号5、对于采用静态口令认证技术的

2、设备,帐户口令的生存期不长于90天6、对于采用静态口令认证技术的设备,当用户连续认证失败次数超过5次(含5次),锁定该用户使用的账号7、设备中所有账号均支持口令修改的功能,无固化账号8、对于采用静态口令认证技术的设备,支持静态口令加密存放9、设备支持对不同用户和用户组授予不同权限10、对于用户可通过人机交互界面访问文件系统的设备,设备应支持对文件系统中的目录和文件,给不同用户或用户组分别授予读、写、执行权限11、对于存在关系型数据库的设备,设备应支持对数据库表,给不同数据库用户或用户组分别授予读取、修改的权限1.1.1.权限系统可以通过功能控制点和角色的方式来实现权

3、限控制。安全的控制要满足下面两个公式:when+who+where=是否可以接入;if可以接入+how=是否可以操作;权限应按照最小化权限的原则,尽量实现细粒度划分,除一般的系统登录、目录访问、文件操作之外还应实现模块、进程操作级别的权限控制,并进行日志记录。权限管理也应提供对外标准接口。1.1.2.角色由若干功能控制点构成一定的操作权限定义为角色。角色是系统用户操作类型的集合。1.1.3.审计系统在开发过程中,考虑各功能模块的操作、调用过程,特别是对帐户管理、权限管理、系统关键操作、关键状态信息等都有详细的日志信息进行记录,并提交给其他安全系统进行分析,以便及时发

4、现系统风险及对问题进行回溯。信息的审计应支持分级,不同级别的系统维护人员可以依职责范围对信息进行审计,审计信息支持灵活的呈现和导出。支持细粒度权限的审计,并能够按部门职能分开审计1.1.4.接口安全系统的客户端及主机进行通信时,使用安全接口或进行加密,保证信息不被窃取及篡改,禁止未经允许的客户端或假冒客户端访问系统,防止认证平台受到攻击。系统建设时,仅仅允许与存在明确互联需求的系统互联,系统验收时需建立细化到连接双方的IP、端口、承载信息、信息敏感性等内容在内的网络连接信息表。三级系统与基于互联网的系统(如数据业务系统、门户网站等)通过接口传送数据时,必须由三级系统

5、主动向外传送数据,禁止基于互联网的系统访问三级系统获得数据。任何业务接口(包括ftp、webservice等)必须采取认证手段,防止未授权的业务连接,用户名密码复杂度必须满足公司安全要求,不得写死到程序中,可以在需要时进行修改。在跨网络(如MDCN与MDN之间、MDCN与数据业务系统之间、MDN与生产网之间)传送客户信息等敏感数据时,不得使用协议的默认端口,必须采取1024以上的端口传送(例如使用10021端口传送ftp数据)。如果客户信息等敏感数据经由互联网、系统外部专线、公司以外网络等传输,必须采取加密措施,加密算法必须采用128位以上的密钥,且不能被轻易破解。

6、1.1.1.端口管理加强工程建设期间对设备服务端口管理,要求每一个端口用途有明确说明,对于无用的端口要关闭。项目验收时需提供确切的项目端口与服务列表。不是给用户提供服务的对外开放服务端口,要求使用1024以上的端口。禁止使用默认端口。1.1.2.补丁管理1、新入网系统应满足所涉及设备的最新安全版本,并具备最低每季度升级更新一次的能力;2、现网系统应满足所涉及设备的最新安全版本,并具备最低每季度升级更新一次的能力;3、软件版本升级,补丁应该满足涉及设备和通用软件满足到最新安全补丁列表中的版本。1.2.系统安全系统安全策略是指从操作系统,数据库,软件,备份,恢复,日志的

7、记录,审计以及系统冗余等方面为系统的安全运行提供保障的策略。l系统上线前必须按照《中国移动北京公司安全验收管理实施细则》进行系统安全评估和安全加固,经过安全检查合格后方可上线。l通过技术手段及时发现主机、网络设备的安全漏洞。通过漏洞扫描设备对新建系统内的重要设备进行定期的安全脆弱性扫描评估,及时发现安全漏洞和隐患。l对重要业务主机进行定期的的安全修补和加固。通过定期安全加固的方式及时解决业务系统内发现的安全漏洞,提高系统的健壮性和抗攻击型,使系统的安全状况始终保持在较高水平。l业务安全保障级别在二级(1.5级)及以上的业务系统应当加入4A和SOC保护。l维护终端

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。