2024年1月2日发(作者:)
流程规范
第一节关于加强网络信息保护的决定
全国人民代表大会常务委员会为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,作出了相关决定。
一、网络服务提供者和其他企业事业单位在业务活动中如何保障个人隐私?
1.任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
2.在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
3.应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。
二、如何处理个人信息泄露问题?
1.任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。
2.有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。
国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
三、如何处理对于违反本决定的行为?
对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
第二节公共及商用服务信息系统个人信息保护指南
一、相关术语和定义
1.信息系统 information system
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
2.个人信息 personal information
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
3.个人信息主体 subject of personal information
个人信息指向的自然人。
4.个人信息管理者 administrator of personal information
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
5.个人信息获得者 receiver of personal information
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
6.第三方测评机构 third party testing and evaluation agency
独立于个人信息管理者的专业测评机构。
7.个人敏感信息 personal sensitive information
个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
8.个人一般信息 personal general information
除个人敏感信息以外的个人信息。
9.个人信息处理 personal information handling
处置个人信息的行为,包括收集、加工、转移、删除。
10.默许同意 tacit consent
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
11.明示同意 expressed consent
个人信息主体明确授权同意,并保留证据。
二、个人信息保护角色和职责
1.个人信息主体
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
2.个人信息管理者
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
3.个人信息获得者
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
4.第三方测评机构
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
三、个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则有:
1.目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
2.最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
3.公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
4.个人同意原则——处理个人信息前要征得个人信息主体的同意。
5.质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
6.安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
7.诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
8.责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
第三节中国移动网络与信息安全总纲
一、总体要求
1.网络与信息安全的基本概念
网络与信息安全包括下列三个基本属性:
机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。
完整性(Integrity):确保网络设施和信息及其处理的准确性和完整性。
可用性(Availability):确保被授权用户能够在需要时获取网络与信息资产。
需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。
2.安全标准综述
本标准依据国际规范,参考业界的成熟经验,结合中国移动的实际情况,制定并描述了网络与信息安全管理必须遵守的基本原则和要求,将安全工作要点归结到以下八个方面:
(1)组织与人员
集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。安全领导机构必须明确划分安全职责并建立内部协调机制。公司必须设立专职安全队伍,建立安全事件响应流程和联络人制度。公司应与外部安全专家和其他相关组织加强沟通与协作。
中国移动的所有岗位职责中必须包含安全内容,并尽量实现职责分隔。公司应实施人员考察制度。公司的所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。中国移动的所有员工都应当接受网络与信息安全培训。
第三方访问和外包服务必须受到控制,应事先进行风险评估,分析安全影响并制订相应措施。同第三方和外包服务机构签订的合同中应包含双方认可的安全条款。
公司应与客户签署相关协议,明确双方在网络与信息安全方面的权利与义务及违约责任,保障客户与公司双方的利益。
(2)网络与信息资产管理
公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定“责任人”,分配其相应的安全管理职权,并由其承担相应的安全责任。“责任人”可以将具体的工作职责委派给“维护人”,但“责任人”仍必须承担资产安全的最终责任。
根据网络与信息资产的敏感度和重要性,必须对其进行分类和标注,并采取相应的管理措施。
(3)物理与环境安全
公司的关键或敏感的网络与信息处理设施应被放置在安全区域内,由指定的
安全边界予以保护。根据不同的安全需求等级,公司应划分不同的安全区域,例如:机房、办公区和第三方接入区。针对不同的安全区域,公司应采取不同等级的安全防护和访问控制措施,阻止非法访问、破坏和干扰。工程施工期间也应遵守相关规定,加强安全区域的保护。
公司必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处理设施的处置与转移应遵守相应的安全要求。
(4)通信与运营管理安全
公司应建立网络与信息处理设施的管理和操作的职责及流程,并尽可能地实现职责分离。开发、调测和运营环境应保持相对隔离。
公司应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、同步建设、同步运行”。新建或扩容系统的审批应包含安全内容,并在交付使用前做好测试和验收工作。涉及安全方面的审批工作应由安全机构人员负责。
公司应加强防范意识,采取有效措施,预防和控制恶意软件。
公司应采取相应技术手段,确保时钟和时间同步。
公司应建立严格的软件管理制度,及时加载安全补丁,定期进行系统安全漏洞评估,并执行系统加固解决方案。
公司应当制定备份制度,执行备份策略,并定期演练数据恢复过程。记录操作和故障日志。
公司必须采取多种控制措施,保护网络设备及其上信息的安全,尤其是网络边界和与公共网络交换的信息。可采取的控制措施如:访问控制技术、加密技术、网管技术、安全设备、安全协议等。
公司应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存储介质和系统文档的管理。
公司在与其他组织交换信息和软件时,应遵从相应的法律或合同规定,采取必要的控制措施。公司应制定相应的程序和标准,以保护传送过程中的信息和媒介安全,尤其要考虑电子商务、电子邮件等应用的安全控制需求。公司还应制定信息发布管理规定。
(5)访问控制
公司应基于业务和安全需求,制定访问控制策略,并明确用户职责,加强用
户访问控制管理。公司应加强对移动办公和远程办公的管理。
公司应加强对网络系统、操作系统、应用系统的访问控制,如在公司网络边界设置合适的接口,采取有效的用户和设备验证机制,控制用户访问,隔离敏感信息。同时应监控对系统的访问和使用,记录并审查事件日志。
公司应针对多用户网络与信息系统制定正式的注册和注销程序,必须通过正式的授权程序控制超级权限的分配。
口令是鉴别用户身份的通用方法,公司应建立正式的口令管理规定,口令的信息级别至少为机密,若口令被用来保护公司的绝密信息,则该口令的信息级别也为绝密;要求用户签署声明,保证自己能够妥善保管口令,并承担相应责任。
(6)开发与维护
新系统的开发,包括网络基础设施、支撑系统,必须遵循系统安全生命周期管理流程。在开发新系统之前,应确认安全需求。在设计中应采用合适的控制措施、审计跟踪记录和活动日志,包括输入数据、内部处理和输出数据的验证。应用系统不应在程序或进程中固化账户和口令,系统应具备对口令猜测的防范机制和监控手段。
公司应通过风险评估来确定加密策略,基于统一的标准和程序建立加密管理规范。
在系统开发及维护过程中,应严格执行系统开发流程管理,包括对开发、测试和生产环境的变更控制,以保证系统软硬件和数据的安全。
公司必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针,建立安全事件响应流程和奖惩机制。如有必要,应尽快收集相关证据。
公司应实施业务连续性管理,通过分析安全事件对业务系统的影响,制定并实施应急方案,并定期更新、维护和测试。
(7)安全审计
网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同规定的安全要求。
安全审计应遵循独立原则,定期检查网络与信息系统安全,检验安全政策和技术规范的执行情况。应采取有效的控制措施保护网络与信息系统及审计工具,使安全审计的效果最大化,影响最小化。
第四节中国移动客户信息保密管理规定
一、总体要求
本规定所指客户信息,是指客户位置信息、客户通话记录、话单信息、短信/(彩信)内容、客户身份信息、客户订购关系等所有涉及客户隐私的客户信息资料。
客户信息保密管理涵盖客户信息产生、传输、存储、处理、消除等各个环节。客户信息载体包括电子和纸质两种形式。以电子方式承载客户信息的系统范围包括但不限于:传输以及利用中国移动客户信息提供业务或者进行业务运营管理的所有业务系统、支撑系统。纸质方式承载的客户信息保密要求参照第三、六、七章的相关规定执行。
二、客户信息管理
相关系统管理员应明确识别各系统中存储、传输的客户有关信息,并具体标注需要保护的客户信息。
各公司应按照本管理规定要求结合本公司的具体情况,制定本规定的实施细则及工作流程。
对于各相关系统中的客户信息,除因工作需要外,未经管理方的授权或许可,任何个人不得通过任何手段进行查询,更不能用于中国移动合法运营之外的其它商业用途。
对相关系统中的每一类客户信息,应有完整列表,列表应包括但不限于该类客户信息产生、存储、传输、使用等各个环节的情况,并定期更新。确保所采取的管理和技术措施以及覆盖范围的完整性。
三、系统安全功能
各相关系统应在信息获取、处理、存储、消除各环节保护客户信息的完整性、保密性、可用性,具备但不限于如下功能:
1.客户信息存储时应具备相应的安全要求,包括存储位置、存储方式等,对于重要的客户信息,应根据系统实际情况提供必要的加密手段。
2.应具备完善的权限管理策略,支持权限最小化原则、合理授权,对不能支持此原则的系统,应减少掌握该权限的人员数量,并加强人员管理。
3.具备完整的用户访问、处理、删除客户信息的操作记录能力,以备审计。
4.在传输客户信息时,经过不安全网络的(例如INTERNET网),需要对传输的客户信息提供加密和完整性校验。
5.新建系统必须满足本要求,对于不支持本要求的已建系统,应根据实际情况尽快落实,如系统升级改造。
四、系统管理
禁止在相关系统中安装、运行与生产无关的程序。
按照最小化原则配置账户权限,保证对客户信息的访问不得超过本身工作范围。
应对相关系统的对外接口(互联网、系统间、第三方系统、合营系统等)定期检查,避免出现不可控访问路径。
五、授权
各公司应建立客户信息授权查询制度和流程。具体授权审批流程,可由各公司根据实际情况自行制定。
六、用户管理
维护或使用各相关系统的人员因工作需要而获得的客户信息,未经许可不得告知他人,更不能作为商业用途使用。用户有严格保守客户信息秘密的义务和责任。
各公司应组织维护或使用各相关系统的人员签订保密协议,明确保密责任。
各公司应与第三方公司签订保密协议,在协议中明确第三方公司及其参与项目的员工的保密责任以及违约罚则。第三方公司及其员工有泄密行为者,依约追究其违约责任;泄密行为构成犯罪者,公司将依法移送司法机关处理。
第五节中国移动远程接入安全管理办法
一、组织及职责
1.总体原则
“谁主管、谁负责,谁接入、谁负责”原则。中国移动通信网、业务网和各支撑系统的维护部门作为第一责任人,分别直接负责所辖网络的远程接入管理工作;
2.“基于需求”原则
所有远程接入需求应符合中国移动业务发展、运维管理的实际需要,必须有明确的接入目的,接入所开放的访问权限(如访问时限、可访问时间段、可发起访问的地址段、需要访问的系统、操作权限等等)应以满足而且不超出实际需求为标准;
3.“集中化”原则
远程接入应尽量减少接入点,通过逐步设置集中的接入点,为实现对远程访问的集中控管奠定基础;
4.“可控”原则
所有远程接入必须通过申请、审批、备案及审计,确保在安全可控的前提下实现远程接入;
5.与维保方式改革思路相一致。
非代维方式的厂家支持人员,原则上应在每次接入前进行审批,并在接入完成后收回分配的帐号权限。
6.网络安全职能管理部门
如有限公司和各省公司网络与信息安全工作办公室、网络安全处或者负责本公司安全工作的具体职能部门等。主要负责:
落实上级主管部门宏观要求,配合上级部门完成必要的远程接入实施工作;
制定远程接入实施细则;
对远程接入情况,如所辖范围内设置的接入点数量、部署位置、用途、责任人等,进行备案;
对本公司或者下级部门远程接入管理办法执行情况进行定期审核、检查。
7.远程接入点管理部门
指中国移动所部署的拨号、VPN等远程接入手段的维护部门,如:负责维护BOSS、客服等系统的业务支撑部门;负责维护通信网、业务网和网管系统的网络部门;负责信息管理系统维护的管理信息系统部门;IT中心;实现了跨专业维护的综合维护部门或者集中接入点维护部门等等。主要负责:
落实上级主管部门宏观要求,并配合上级主管部门组织实施的接入工作;
制定本部门的远程接入实施细则;
接收、审批相关远程接入需求申请;
组织制定、审核接入技术方案;按照《中国移动支撑系统安全域划分与边界整合技术要求》、《中国移动防火墙部署总体技术要求》和具体的接入相关系统安全防护方案要求、尤其是边界访问控制相关要求,明确对接入点的安全防护技术要求及管理要求;
向远程接入需求人员提供接入能力,如发放接入设备中的帐号权限、VPN客户端软件、设置接入配置数据,提供接入咨询;
远程接入人员权限到期或者接入任务完成后,应及时删除相应帐号或者修改帐号口令;
负责审核本部门所辖网络的远程接入情况并产生审核情况记录。对每次接入进行实时监控,并定期审核远程操作记录,及时发现违规操作。
8.远程接入需求人员
指为实现业务、管理、维护等目的而提出接入需求的部门或人员,如中国移动各系统维护部门、业务部门、工程建设部门的相关人员,中国移动相关合作伙伴,如SP、CP、代维公司、银行、设备供应商的相关人员等等。主要职责包括:
按照接入审批要求,提出书面申请;
按照远程接入管理部门提出的安全技术要求和管理要求,配置用于访问的终端,确保安全接入;
访问结束后,如远程接入点管理部门有明确要求,应及时说明并终止接入;
不得将相关帐号、口令告诉其它人,或者用于其它目的,否则应承担由此引起的一切后果。
二、远程接入管理流程
1.远程接入申请阶段
远程接入需求人员按照远程接入管理部门制定的远程接入申请表格式要求,填写申请表,申请方填写内容至少包括:申请单位、申请单位联系人、申请单位负责人、拟接入的系统、申请目的描述(如访问哪些数据、进行什么维护等等)、申请开通时间、接入有效期,如果申请人为第三方,单位负责人需要签字盖章,并提交与中国移动签署的保密协议复印件或者协议序号;提交远程接入管理部门。
2.接入需求审批阶段
远程接入管理部门联合远程接入需求拟访问系统的维护人员,对接入申请进行评估审核,对于信息不全、描述不够清晰的申请,应要求提供者补充完善;对于需求目的不合理的申请,应予以拒绝,并对其说明理由;
对合理的远程接入申请,应分配并配置相应接入点设备及拟访问系统中的帐号,并通知需求人员;远程接入管理部门对接入情况进行备案,以备查询、审计。
3.远程接入阶段
需求人员按照接入管理规定具体要求,访问中国移动相关系统;远程接入管理部门及所访问系统维护人员应在需求人员接入过程中,监控其重点或者高危操作情况,及时发现违规操作。
4.远程接入终止阶段
访问完毕后,远程接入应按照远程接入点管理部门要求,及时声明并终止接入;如出现违反权限规定的操作,应及时终止该接入人员的连接,并对其提出警告或者处理要求。
5.特殊情况处理方法
为提高效率,对于中国移动员工、代维人员,可在严格管理的前提下,采用长期授权方式进行授权,并按照《中国移动帐号口令管理办法》,指定开设的帐号责任人;系统交维之前,可采用代维人员模式管理长期且固定的厂家维护人员的接入,交维之后,应按照按次审批的方式进行管理。
在出现重大故障等紧急情况时,可在向接入需求人员及其公司、内部系统维护人员简单核实人员身份和目的后,允许接入,但需要在事后及时补办手续。
三、审核管理
远程接入管理部门应定期组织审核远程接入设备以及接入双方设备的运行情况,及时发现违反远程接入技术要求和管理要求的问题,并提出整改要求、监督落实。如发现存在严重违反相关要求的情况,应向网络安全职能管理部门和主管领导汇报。
网络安全职能管理部门应采用定期或者抽查方式,检查、审计、监督远程接入管理各项要求、远程接入访问策略的执行情况,对违反本管理办法的行为要及时指正,对严重违反或者导致重大安全事件者要立即上报。
第六节中国移动网络互联安全管理办法
一、组织及职责
“谁主管、谁负责,谁接入、谁负责”原则。中国移动通信网、业务网和各支撑系统的维护部门作为第一责任人,分别直接负责所辖网络的网络互联管理工作。
“基于需求”原则。所有网络互联需求应符合中国移动业务发展、运维管理的实际需要,必须有明确的互联目的,互联所开放的访问权限应以满足而且不超出实际需求为标准。
“集中化”原则。网络互联应尽量减少互联接口,通过设置集中的互联接口,为实现集中管理、集中防护奠定基础。
“可控”原则。所有网络互联必须通过申请、审批、备案及审计,确保在安全可控的前提下实现网络互联。
二、网络互联管理流程
(一)网络互联需求提出阶段
互联需求部门按照网络互联管理部门制定的网络互联申请表格式要求,填写申请表,申请方填写内容至少包括:申请单位、申请单位联系人、申请单位负责人、两侧互联系统描述(包括互联双方系统名称、IP地址或者地址段、申请方端口协议等相关信息)、申请目的描述(如访问哪些数据、进行什么维护等等)、申请开通时间、互联有效期、负责人签字盖章;
提交网络互联管理部门。
(二)互联需求审批阶段
网络互联管理部门对互联申请进行评估审核,对于信息不全、描述不够清晰的申请,应要求提供者补充完善;对于需求不合理的申请,应予以拒绝,并说明理由;
对合理的网络互联或者变更申请,应组织制定具体的互联方案,同时明确对互联双方相关系统的相应安全防护要求和管理要求;
组织网络互联管理、方案实施、互联双方系统维护等相关人员对互联方案、防护方案及管理要求进行审核;
对互联相关文档进行备案,以备检索、审计。
(三)方案实施阶段
网络互联实施部门在接到网络互联或者变更方案以及对网络互联相关内部系统的安全防护要求和管理要求后,组织制定具体的实施方案、实施过程应急预案。;
互联需求部门同时按照网络互联管理部门制定的互联方案、安全防护技术要求和管理要求,组织制定本部门一侧的实施方案和管理流程、职责落实细则;
网络互联验收及投入运行阶段
实施完毕后,由网络需求管理、网络安全职能管理等相关部门对互联双方的实施情况进行联合验收,验收合格后方可投入正式运行;
验收合格后,实施部门负责将新的网络互联信息反馈网络互联管理部门,并由后者反馈网络互联需求部门;
网络互联管理部门负责将实施结果入库,并向网络安全职能管理部门备案、同时负责更新安全域管理的相关信息。
(四)网络互联变更或终止阶段
当互联需求发生变化或者不再需要互联是,互联需求部门应按照网络互联管理部门制定的网络互联变更申请表格式要求,填写申请表,申请方填写内容至少包括:申请单位、申请单位联系人、申请单位负责人、两侧互联系统描述(包括互联双方系统名称、IP地址、端口协议等)、申请目的描述(如调整互联、取消网络互联等等)、申请变更时间、负责人签字盖章;
如发现违反本管理规定或者与互联需求不符的情况,应及时终止连接或者提出限时整改要求。
网络互联管理部门审核变更需求,制定实施方案。实施完成后,如属于互联需求变化情况,需要双方确认实施结果;
网络互联管理部门应更新网络互联相关数据。
三、审核管理
网络互联管理部门应定期组织审核网络互联设备以及互联双方设备的运行情况,及时发现违反网络互联技术要求和管理要求的问题,并提出整改要求、监督落实。如发现存在严重违反相关要求的情况,应向网络安全职能管理部门和主管领导汇报。
网络安全职能管理部门应采用定期或者抽查方式,检查、审计、监督网络互联管理各项要求、网络互联访问策略的执行情况,对违反本管理办法的行为要及时指正,对严重违反或者导致重大安全事件者要立即上报。
第七节中国移动网络运维帐号口令管理办法
一、总体要求
本办法以下内容中的“系统”字样均指由网络部门负责维护的各通信网、业务网和支撑系统。
系统维护部门主管领导负责系统帐号审批及授权管理,推动制定帐号审批流程等并落实责任人,监督落实帐号申请表、用户帐号登记表的维护管理。
系统维护部门主管领导负责建立系统帐号审批、创建及删除、权限管理以及口令管理要求执行情况审核机制,接受上级或者职能管理部门的定期审核。同时,应根据本公司部门设置、分工及维护模式等具体情况,明确指定审核责任人。
系统管理员负责本系统账号的日常管理,包括账号的创建、权限变更、冻结和删除等。对于接入管控平台的系统,该系统的管理员通过管控平台完成该系统账号日常管理工作。网络安全管控平台的管理员负责管控平台上人员账号的日常管理。
账号必须确定责任人。原则上,账号的使用人作为该账号的责任人。对于非人员使用的账号,如程序账号,原则上由账号所在系统的管理员作为该账号的责任人。
账号的责任人需按照帐号审批流程申请所需帐号、修改权限或者撤销帐号。在帐号审批成功并创建后,应按照本办法第六章要求对帐号口令进行定期修改。系统用户应严格保护帐号的认证凭据,如口令,并承担因人为原因泄露而导致安全问题的责任。
二、用户及账号管理
中国移动系统用户应通过劳动合同等形式与总部或相关省公司签订保密协议。
第三方公司人员为向中国移动提供系统维护、调测、技术支持服务,需要使用系统帐号时,第三方公司应首先与总部或相关省公司签订保密协议。保密协议
应明确对第三方人员及归属单位提出执行本办法及《中国移动客户信息保密管理规定》相关要求。
为便于审计和追查事故原因,要求第三方人员相对固定。
(一)帐号管理原则
1.帐号管理贯穿帐号创建、权限变更及帐号撤销或者冻结全过程;
2.帐号设置应与岗位职责相容;
3.坚持最小授权原则,避免超出工作职责的过度授权;
4.应制定严格的审批和授权流程,规范帐号申请、修改、删除等工作,授权审批应记录工单号、留档;
5.帐号创建、调整和删除申请审批通过后,应及时更新系统中的帐号状态,确保与审批结论保持一致;
6.原则上,除较低权限的帐号外,各系统不允许存在其它共享帐号。
7.在完成特定任务后,系统管理员应立即收回临时帐号。
系统管理员权限帐号由主管领导以授权的方式授予具体的人员,授权书至少应包括系统名称、超级帐号名、授予人姓名、职责描述、有效期等;
(二)账号的创建流程
通常情况下,账号的创建流程如下:账号的责任人提出申请,由责任人的主管领导审批,由系统管理员创建账号并根据申请的职责按照授权最小化原则授权。
对于因集团人员访问省公司需求而要求省公司创建的账号,按照以下流程创建:访问需求申请人经其主管领导同意后将访问需求下发至省公司,由省公司被访问业务系统管理员根据申请的职责按照授权最小化原则授权。
对于因外省人员访问需求而要求被访问省创建的账号,按照以下流程创建:访问需求申请人由其主管领导同意后提出申请至集团公司相应处室审批,审批通过后由集团下发至被访问省,由被访问省的相应系统管理员进行根据申请的职责按照授权最小化原则授权。
(三)账号的权限变更流程
通常情况下,账号的权限变更流程如下:账号的责任人提出申请,由责任人的主管领导审批,由系统管理员根据申请的职责按照授权最小化原则变更权限。
对于因集团人员访问省公司需求而要求省公司创建的账号,按照以下流程创
建:访问需求申请人经其主管领导同意后将变更需求下发至省公司,由省公司被访问业务系统管理员根据申请的职责按照授权最小化原则变更权限。
对于因外省人员访问需求而要求被访问省创建的账号,按照以下流程创建:访问需求申请人由其主管领导同意后提出申请至集团公司相应处室审批,审批通过后由集团下发至被访问省,由被访问省的相应系统管理员进行根据申请的职责按照授权最小化原则变更权限。
(四)账号的冻结和删除
账号的审批人、责任人和系统管理员有权根据情况对该账号进行冻结和删除。对于网络安全管控平台的人员帐号,冻结连续3个月未使用的账号,对于冻结状态超过1年的账号,直接删除。在冻结账号前,可提醒该帐号责任人。对于反馈结果为“不再使用”或连续提醒3次未反馈结果的(每次提醒间隔大于2天),则冻结该帐号。对于多次在提醒时回复“使用”,但实际连续1年未使用的账号进行冻结。如果责任人是集团和外省人员,因提醒存在困难,可延长为连续6个月未使用的账号设为冻结。账号的使用人可以按照权限变更流程申请解除账号的冻结。
如因系统能力或者管理原因无法按用户创建帐号时,应采取如下管理措施:
1.明确共享帐号责任人,责任人负责按照上述流程要求提出共享帐号审批申请,并在审批表中注明该共享帐号的所有用户名单;
2.限制共享帐号的使用人数,建立相关管理制度保证系统的每项操作均可以对应到执行操作的具体人员;
3.限定使用范围和使用环境;
4.建立完善的操作记录制度,对交接班记录、重要操作记录表等等;
5.定期更新共享帐号密码。
对于程序运行或者程序自身由于管理需要访问其它系统所使用的专用帐号,应符合如下要求:
1.只允许系统和设备之间通信使用,不得作为用户登录帐号使用;
2.将此类帐号的维护管理权限统一授权给该系统的系统管理员,由后者归口管理。
三、金库模式管理
“金库模式”也称为“双人操作”或“多人操作”模式,指对某些维护操作,强制要求必须由两人共同协作完成,一人操作,一人审批,用于防止部分拥有权限的人员滥用权限违规操作。
对于关键系统的高风险操作要纳入金库模式管理,对于网络部门负责维护的网络和系统需要纳入金库模式管理的包括但不限于MSC/VLR、HLR、WAP网关、智能网VC、网管支撑客户系统、信令监测系统和网络安全管控平台。
审批人和操作人不允许为同一个自然人,审批人对其授权执行的高风险操作行为负有监督的责任。
金库模式管理可以在进行高风险操作前触发或者在使用具有高风险操作权限的账号登录时触发。金库模式授权的有效期不得超过24小时,不得自动循环授权。
四、口令管理原则
口令至少由8位及以上大小写字母、数字及特殊符号等混合、随机组成,尽量不要以姓名、电话号码以及出生日期等作为口令或者口令的组成部分;应以HASH或者加密技术保存口令,不得以明文方式保存或者传输;静态口令至少每90天更换一次。修改静态口令时,须保留静态口令修改记录,包含帐号、修改时间、修改原因等,以备审计;5次以内不得设置相同的口令。
由于员工离职等原因,原帐号不能删除或者需要重新赋予另一个人时,应修改相应帐号的口令。
如系统能力支持,应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数;对于无法建立口令规则强制检查的系统,帐号用户应在每次口令修改后留有记录。
对于无法进行定期修改口令的帐号,如内置帐号、专用帐号等,由系统管理员负责在系统升级或重启时督促落实口令修改工作,负责督促落实调用该帐号的程序与所访问系统两侧的口令同步工作。
当发生下述情况时,应立即撤销帐号或更改帐号口令,并做好记录:
1.帐号使用者由于岗位职责变动、离职等原因,不再需要原有访问权限时;
2.临时性或阶段性使用的帐号,在工作结束后;
3.帐号使用者违反了有关口令管理规定;
4.有迹象表明口令可能已经泄露等。
五、审核管理
账号的使用人要定期对使用该账号进行的操作进行审核并确认,对于发现异常情况要及时向安全审计人员反映。审核责任人应按照《中国移动内控手册》等相关规定,对相关系统用户帐户口令至少每半年进行一次定期审核,对不符合要求的及时进行整改。
审核责任人应定期对下辖系统进行角色设置不相容检查。审核责任人应定期对相关系统维护部门帐号申请审批、权限变更等流程执行情况进行审核,避免非法创建帐号、无主帐号和权限与职责不相容帐号的出现。
审核责任人应定期对相关系统维护部门口令修改执行情况进行审核,避免口令过期、不符合复杂度要求等问题。
第八节安全维护作业
一、安全维护作业的主要内容
系统日志安全检查、安全设备网络连通性维护、入侵监测系统告警监控、入侵检测系统健康性检查、防火墙健康巡检、网络异常流量监控、检查应用系统端口、服务情况、检查各防火墙访问控制策略、病毒代码更新检查、重要操作日志检查、入侵系统版本维护、windows系统安装安全补丁、防火墙配置备份、病毒杀毒策略定制、更改账号口令、防火墙权限检查、收集安全预警信息、垃圾邮件隐患扫描、远程系统漏洞扫描、安全事件处理演练、安全审计。
二、各项工作执行内容
系统日志安全检查: 无异常日志
安全设备网络连通性维护: 各设备网络连接正常
入侵监测系统告警监控: 正常,无异常告警
入侵检测系统健康性检查: 各IDS运行正常,CPU占用率<70%
防火墙健康巡检: 各防火墙运行正常,CPU占用率<70%
网络异常流量监控: 各网络接口流量正常,无异常流量
检查应用系统端口、服务情况: 各应用系统端口、服务正常
检查各防火墙访问控制策略: 各防火墙策略应用正确合理,严格有效
病毒代码更新检查: 已完成更新
重要操作日志检查: 完成日志检查,无异常操作
入侵系统版本维护: 已完成版本更新
windows系统安装安全补丁: 已完成本月安全补丁更新
防火墙配置备份: 已完成备份
病毒杀毒策略定制: 已对防病毒系统进行策略检查
更改账号口令: 已完成相关用户口令更新
防火墙权限检查: 已完成防火墙权限管理
收集安全预警信息: 根据集团预警完成安全信息收集
垃圾邮件隐患扫描:完成扫描,对隐患主机进行处理(需要上载扫描结果)
远程系统漏洞扫描: 完成扫描,对隐患主机进行处理(需要上载扫描结果)
安全事件处理演练: 按计划顺利完成.
安全审计: 检查安全规范的执行落实情况(需要检查报告)
第九节中国移动安全审计管理办法
一、 安全审计的目的
审计目的主要为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作。安全审计内容可分为管理和技术两个方面,管理方面的审计侧重检查安全流程、管理要求的执行情况;技术方面的审计侧重检查通信网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以及其它技术规范的情况。
二、 安全审计的组织发起
发起网络与信息安全审计工作的主体包括:总部及各省的网络与信息安全工作办公室、网络部门、业务支撑部门、管理信息系统部门等。网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全审计工作
三、 安全审计主要内容
安全审计主要依据公司已发布的各项安全管理规定和技术要求,检查具体要求的
落实情况。根据审计目的、关注点不同,如在某个时间段、针对某些管理规定、技术规范要求检查落实情况,突出相应审计内容的侧重点。审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场观察、访问、凭证检查等。可以采用人工和技术手段两种方式进行。
四、 安全审计工作步骤
(一)制定计划阶段
在针对特定目的、启动某特定审计工作之前,应首先制订具体的安全审计计划,确定本次审计工作的范围、审计重点、时间安排、审计人员及配合人员安排、采用的技术手段、主要风险及规避方案等等。
(二)准备阶段
1.细化审计内容。
如:审计的系统范围,检查的重点项,各个系统中增删改等重点操作的指令、关键词等等;
2.编写《安全审计检查表》等工作底稿。检查表应包含安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等;
3.重点培训审计人员,说明审计内容、检查方法、注意事项、表格填写要求、问题处理方法等等;
4.配置必要的技术手段。如合规检查工具、漏洞扫描工具等等。
(三)实施阶段
按照《安全审计检查表》,采用人工和技术手段相结合的方式,进行记录抽样检查、系统检查、现场观察、访问、凭证检查等,并逐一记录结果,在审计过程中,如果发现不符合项,经确认无误后,被审计单位负责人在报告书中签字认可,审计人员与配合审计人员签字确认。
(四)总结和改进阶段
审计责任主体参照附件格式要求编写《安全审计报告》(参见附件二,各部门可自行修订),总结审计情况,分析主要问题,提出改进意见及下次审计重点等建议。
第十节中国移动设备入网安全验收管理办法
一、 设备入网安全验收的目的
设备入网前做安全验收是为了加强设备入网安全管理,在设备入网前减少和消除安全隐患,防止系统“带病入网”,有效预防和规避安全事故的发生,按照工信部《基础电信企业信息安全责任管理办法》中关于“三同步”的安全管理要求。设备包括通信网、业务系统和各支撑系统的设备,如各种应用服务器、网络设备、交换机以及网络安全设备等。
二、 设备入网安全验收的组织
按照“谁主管谁负责,谁维护谁负责,谁使用谁负责,谁接入谁负责”原则,通信网、业务系统和各支撑系统的维护管理部门应安排专人负责所辖系统安全验收工作。
三、 设备入网安全验收的主要内容
1.系统入网安全验收应对入网设备进行安全检查和测试,包括:网络安全架构检查、帐号安全检查、服务端口检查、防火墙策略检查、防病毒软件检查、系统日志安全检查、漏洞扫描检查、安全配置检查、弱口令检查和渗透测试。其中防病毒软件检查仅针对Windows系统设备,渗透检查可根据实际情况选择进行。
2.网络安全架构检查的主要检查项包括对安全域及防火墙、路由器配置进行检查,检验其是否依照建设方案建设(设计方案应符合安全域要求),安全域拓扑、安全域内资产情况、VLAN访问控制策略、边界互联情况。
3.内容包括但不限于网络结构评估、设备配置检查、帐号口令核查、设备安全功能检验、外部渗透测试等,过程包括评估、验收、问题的整改和处理。
4.帐号安全检查的主要检查项包括是否存在无主帐号、内置帐号。
5.服务端口检查的主要检查项包括检查设备是否已按《中国移动服务与端口管理办法》要求,对系统的端口和服务等基础安全信息进行备案。所有必须开放的端口其对应的应用软件和功用必须列表登记,不允许存在非必要的开放端口。
6.防火墙策略检查的主要检查项包括检查防火墙的策略是否有详细的用途说明,要求防火墙进行双向访问控制并且已按照最小化权限的原则配置防护墙策略。
7.防病毒软件检查的主要检查项包括检查windows设备是否已经安装指定
授权的防病毒软件,并且检查病毒库是否已更新到最新。
8.系统日志安全检查的主要检查项包括检查设备的系统层、数据库和应用层是否已为用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改或其他异常事件具备日志记录功能,如不能具备相关日志记录功能必须备案。
9.漏洞扫描检查主要通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对象目标存在的安全漏洞,不允许存在已被CVE定义的高风险漏洞和中风险漏洞。
10.安全配置检查主要依据入网设备所属设备类别的配置规范进行,根据安全基线检查,如果没有对应设备类型的规范,则参照类似设备规范或《中国移动设备通用安全功能和配置规范》进行检查。
11.弱口令检查主要对口令复杂度进行检查(对于采用静态口令认证技术的设备,口令至少由6位及以上大小写字母、数字及特殊符号等混合、随机组成,不能以姓名、电话号码以及出生日期等作为口令或者口令的组成部分)。
12.具有对外提供服务的系统,如网站应用等,可以通过渗透测试,漏洞扫描等,检查深层次安全问题,如缓冲区溢出、跨站脚本攻击、SQL注入等编程漏洞、业务流程和通信协议中存在的漏洞等。
第十一节中国移动网络与信息安全事件处理指南
一、 安全事件处理指南的目的
本规范的目的在于提高中国移动网络与信息安全事件应急响应能力,规范相关应急响应技术和流程。
计算机安全事件响应已经成为信息技术的一个重要组成部分,安全威胁种类越来越多,而且变化多端并更具破坏性,新型的安全相关事件频繁出现。基于风险评估结果的预防行为能够降低事件的数量,但不是所有的安全事件都能够做到完全预防的,高效的事件响应能力对检测IT系统安全事件,降低损失和破坏,减少暴露出来的弱点,迅速恢复系统服务尤其重要。
二、 安全事件判别、分级与预防
(一)安全事件的定级:
根据系统重要性以及安全事件对系统可用性(即传统的网络可用性故障,具体故障级别由《中国移动通信数据网维护规程》、《中国移动全网重大故障定义》等相关规定进行定义)、完整性、保密性的影响程度,安全事件可分为紧急(一级)、重大(二级)、较大(三级)和一般(四级)四个级别,在特殊时期,建议根据安全事件的原有严重程度进行进一步调整,以满足特殊时期的响应需求:
1.紧急安全事件(一级)指以下安全事件:
(1)导致2级系统出现紧急故障的安全事件;
(2)导致3级或4级系统出现重大故障的安全事件;
(3)导致4级系统完整性或保密性被破坏的安全事件;
2.重大安全事件(二级)指以下安全事件:
(1)导致2级系统出现重大故障的安全事件;
(2)导致3级或4级系统出现严重故障的安全事件;
(3)导致3级系统完整性或保密性被破坏的安全事件;
3.较大安全事件(三级):
(1)导致2级系统出现严重故障的安全事件;
(2)导致3级或4级系统出现一般故障的安全事件;
(3)影响2级系统完整性或保密性被破坏的安全事件;
4.一般安全事件(四级):指三级以下的或未对系统运行产生影响的安全事件。
特殊时期(如重大活动、重大赛事等)发生的安全事件的级别应在原有级别上提升一级,特别重大安全事件级别不再向上提升。
(二)安全事件的判别
根据上述基于事件影响的分类原则,目前常见的安全事件由于可能影响到其中的多个方面,因此可以归结为三大类当中的一类或者几类:
1、影响系统可用性的安全事件
2、影响系统完整性的安全事件
3、影响系统机密性的安全事件
三、 安全事件监控
在安全事件监控方面,建议在基于现有各类安全手段、设备自身安全能力进行人工检测之外,结合自动化工具进行监控并实时告警,如:
1.使用流量分析工具进行正常情况下的网络流量进行分析和建模,出现异常流量时立即触发告警并启动相关工单和响应流程;
2.使用各类安全手段的集中管控系统(OMC),如防火墙的控制端、防病毒系统的集中控制端、IDS的集中日志分析系统等,进行较为集中的安全监控;
3.利用部分网管系统,如IP数据网管,对各业务系统工作状态进行实时监控,出现安全相关异常时立即触发安全告警并启动相关工单和响应流程;
4.建设安全运营中心(SOC),实现安全事件进行全局监控预警和响应。
四、 安全事件应急处理
安全事件应急响应6阶段方法论:
准备阶段/Prepairing
检测阶段/Detection
抑制阶段/Control
根除阶段/Eradicate
恢复阶段/Restore
跟进阶段/Follow
(一)准备阶段
准备阶段是安全事件响应的第一个阶段,即在事件真正发生前为事件响应做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多的事物,如果没有足够的准备,那么将无法正确的完成响应工作。在准备阶段请关注以下信息:
1.基于威胁建立合理的安全保障措施;
2.建立有针对性的安全事件应急响应预案,并进行应急演练;
3.为安全事件应急响应提供足够的资源和人员;
4.建立支持事件响应活动管理体系。
(二)检测阶段
检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲,事件响应过程中所有的后续阶段都依赖于检测,如果没有检测,就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。
(三)抑制阶段
抑制阶段的目的是限制攻击/破坏所波及的范围。同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。抑制策略可能包含以下内容:
1.完全关闭所有系统;
2.从网络上断开主机或部分网络;
3.修改所有的防火墙和路由器的过滤规则;
4.封锁或删除被攻击的登陆账号;
5.加强对系统或网络行为的监控;
6设置诱饵服务器进一步获取事件信息;
7关闭受攻击系统或其他相关系统的部分服务;
(四)根除阶段
在准确的抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果。
(五)恢复阶段
将事件的根源根除后,将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。
(六)跟进阶段
跟进阶段其目标是回顾并整合发生事件的相关信息。跟进阶段也是6个阶段中最可能被忽略的阶段,但这一步也是非常关键的。该阶段需要完成的原因有以下几点:
1.有助于从安全事件中吸取经验教训,提高技能;
2.有助于评判应急响应组织的事件响应能力;
第十二节中国移动重大故障和重大安全事件上报管理办法
一、 上报管理办法的目的
为规范中国移动重大故障和网络安全信息上报工作,依据《电信网络运行监督管理办法》(工信部电管[2009]187号印发)、《互联网网络安全信息通报实施办法》(工信部保[2009]156号印发)、《中国移动网络运行维护规程》(2008版)制定本办法。
二、 工业和信息化部重大故障上报职责、流程和时限要求
1.工业和信息化部所定义的特别重大故障和重大故障的上报流程:
②铁通公司网络及业务支撑系统故障铁通总部集团公司业务支撑系统部门②移动公司业务支撑系统故障集团公司网络部④工业和信息化部①铁通公司网络及业务支撑系统故障①移动公司业务支撑系统故障①移动公司③核实网络故障报告内容铁通省公司省移动公司业务支撑系统部门①移动公司业务支撑系统故障省移动公司网络维护部门④当地通信管理局①铁通公司网络及业务支撑系统故障
2.工业和信息化部所定义的较大故障和一般故障的上报流程:
集团公司网络部移动公司网络故障省移动公司业务支撑系统部门移动公司业务支撑系统故障省移动公司网络维护部门当地通信管理局铁通省公司铁通公司网络及业务支撑系统故障
三、 工业和信息化部互联网安全事件上报职责、流程和时限要求
1.工业和信息化部所定义的特别重大事件、重大事件、跨省的较大事件的上报流程:
②铁通总部集团公司市场部、数据部、集团客户部、业务支撑系统部②集团公司网络部④工业和信息化部、CNCERT①①①③核实报告内容铁通省公司省移动公司市场部、数据部、集团客户部、业务支撑系统部①省移动公司网络维护部门④当地通信管理局①
2.工业和信息化部所定义的较大事件和一般事件的上报流程:
集团公司网络部月度汇总信息CNCERT省移动公司市场部、数据部、集团客户部、业务支撑系统部省移动公司网络维护部门省通信管理局和CNCERT铁通省公司
四、 中国移动网络运行重大故障报告细则
中国移动网络运行重大故障报告流程:
集团公司网络部工业和信息化部地市移动公司网络维护部门省移动公司网络维护部门当地通信管理局
1、中国移动各省级公司网络维护部门在故障达到附件定义的上报标准后的1小时内通过EOMS重大故障及重大安全事件上报工单(故障上报时间以EOMS派单时间为准)和电话方式向集团公司网络部上报重大故障,并在故障处理过程中与集团公司网络部随时保持信息沟通。一旦发现故障级别达到工业和信息化部所规定的上报标准,中国移动各省级公司网络维护部门应立刻启动第十三条或第十四条所规定的上报流程。
2、故障处理完毕后,中国移动各省级公司网络维护部门应在2日(48小时)内通过该故障的EOMS重大故障及重大安全事件上报工单以附件形式(提交时间以工单处理流程中“上传附件”环节的“完成时间”为准)向集团公司网络部提交专题书面报告。
发布评论