中国电信IPTV增值业务合作伙伴安全评估技术规范v21

1、中国电信中国电信 XX 公司公司 IPTV 增值业务合增值业务合作伙伴安全评估技术规范作伙伴安全评估技术规范 文档编号文档编号 密级密级 版本编号版本编号V2.1 日期日期2015-02-06中国电信中国电信 XX 公司公司 - 0 -目录目录一. 网络安全评估.21.1 结构安全.21.2 访问控制.21.3 性能安全.21.4 安全审计级要求.21.5 网络设备防护.3二. 主机安全评估.32.1 身份鉴别.32.2 漏洞检查及修复.32.3 安全配置核查及整改 .42.4 访问控制.42.5 安全审计级要求.42.6 恶意代码防范.42.7 资源控制级要求.5三. 应用安全评估.53.1

2、 身份鉴别.53.2 访问控制.53.3 安全审计级要求.63.4 通信完整性.63.5 通信保密性级要求 .63.6 软件容错.73.7 资源控制级要求.7四. 数据安全评估.74.1 数据完整性.74.2 数据保密性.74.3 备份及恢复.7五. 冗余备份及应急预案.85.1 冗余系统、冗余设备及冗余链路级要求.85.2 数据备份.85.3 人员和技术支持能力级要求 .85.4 运行维护管理能力级要求 .95.5 应急恢复预案.9 - 1 -一一. 网络安全评估网络安全评估1.1 结构安全结构安全关键网络设备是否具备冗余空间保障的业务处理能力，满足业务高峰期需要；接入网络和核心网络的带宽是

3、否满足业务高峰期需要；网络实际拓扑结构图，是否与当前运行情况相符；是否根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。1.2 访问控制访问控制是否在网络边界部署访问控制设备，是否启用访问控制功能；是否能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度是否可为网段级；用户访问控制配置数据是否按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度是否为单个用户；是否根据安全策略允许或者拒绝便携式和移动式设备的网络接入。1.3 性能安全性能安全关键重要设备的性能监控机制和技术手段设备性能指标之一达到 70%时，必须密切关注设

4、备运行状况，进行安全分析，定位故障点，排除问题；设备性能指标之一达到 90%时，必须召集人员相关进行安全及流量分析，确认问题原因，并实施紧急响应方案。 - 2 -1.4 安全审计安全审计要求要求是否对网络系统中的网络设备运行状况进行日志记录；是否对网络系统中的网络流量进行日志记录；是否对网络系统中的用户行为进行日志记录；是否有审计记录；检查审计记录是否包括事件的日期、时间、用户、事件类型、事件是否成功及其他与审计相关的信息。1.5 网络设备防护网络设备防护是否对登录网络设备的用户进行身份鉴别；是否对网络设备的管理员登录地址进行限制；是否对网络设备用户做唯一标识；用户口令是否足够复杂，是否定期更

5、换；是否具有登录失败处理功能，是否可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施，通过测试检验该功能；当对网络设备进行远程管理时，是否采取必要措施防止鉴别信息在网络传输过程中被窃听。二二. 主机安全评估主机安全评估2.1 身份鉴别身份鉴别是否对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令是否有复杂度要求并定期更换；检查用户身份标识，检查口令更改记录；是否启用登录失败处理功能，是否采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行远程管理时，是否采取必要措施，防止鉴别信息在网络传输过程中被窃听；

6、是否为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性； - 3 -对于存在关系型数据库的设备，检查设备是否能够为不同数据库用户或用户组分别授予针对特定数据表的读取、修改权限。2.2 漏洞检查及修复漏洞检查及修复是否对主机设备，操作系统、数据库的漏洞进行检查；2.3 安全配置核查及整改安全配置核查及整改是否按照中国电信集团公司关于印发网络设备等安全配置要求及 2011 版规范修订表的通知（中国电信2014528 号）和关于印发操作系统等安全配置要求的通知（中国电信2011555 号）相关要求执行操作系统、数据库、应用中间件、防火墙、路由器、交换机通用安全配置规范2.4 访问

7、控制访问控制是否启用访问控制功能，依据安全策略控制用户对资源的访问；是否实现操作系统和数据库系统特权用户的权限分离；是否对敏感信息外泄做了访问控制。如 snmp；是否限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；是否及时删除多余的、过期的帐户，避免共享帐户的存在;对于具备 consol 口的设备，应配置 consol 口登录的密码保护功能;对于具备管理口的设备，比如惠普服务器的 ILO 口，IBM 小型机的 HMC 口，是否将系统默认登陆用户和口令更改或禁用。2.5 安全审计安全审计审计范围是否覆盖到服务器上的每个操作系统用户和数据库用户；审计内容是否包括重要用户行为、系

8、统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；是否包括事件的日期、时间、类型、主体标识、客体标识和结果等；是否保护审计记录，避免受到未预期的删除、修改或覆盖等，日志是否有最小保留日期设定。 - 4 -2.6 恶意代码防范恶意代码防范是否安装防恶意代码软件；是否支持防恶意代码软件的统一管理；是否及时更新防恶意代码软件版本和恶意代码库。2.7 资源控制资源控制 A 级要求级要求是否通过设定终端接入方式、网络地址范围等条件限制终端登录；是否根据安全策略设置登录终端的操作超时锁定；是否限制单个用户对系统资源的最大或最小使用限度。三三. 应用安全评估应用安全评估3.1 身份鉴别身份鉴别

9、是否提供专用的登录控制模块对登录用户进行身份标识和鉴别；是否提供用户身份标识唯一和鉴别信息复杂度检查功能，是否能保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；是否提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；是否启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能。应用是否在登陆或传递敏感信息时候采用加密技术。3.2 访问控制访问控制是否提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围是否包括与资源访问相关的主体、客体及它们之间的操作；是否由授权主体配置访问控制策略，并严格限制默认帐

10、户的访问权限； - 5 -是否授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；检验设备系统是否具备对口令强度进行配置以及检查口令强度的功能；检验设备系统是否能够删除或者锁定特定的账号，以避免与设备运维无关的账号被误用，从而导致不必要的风险；检验设备系统是否具备对口令的生存期进行配置以及检查的功能；检验设备系统是否具备对口令认证失败次数有限制的功能，并且在多次连续尝试认证失败后能够锁定账号；检验设备系统在静态口令认证工作方式下，是否支持账号登陆口令的修改功能，并且修改口令后不会导致业务无法正常使用；检验设备系统在静态口令认证工作方式下，静态口令在进行本地存储时是否进

11、行了加密；对于用户可通过人机交互界面访问文件系统的设备，检查设备是否支持对文件系统中的目录和文件，为不同用户或用户组分别授予读、写、执行权限；记录设备是否能够对用户登录/登出系统产生相应的日志；检查设备系统是否支持对用户操作信息产生详细日志记录的能力；检查设备是否支持日志远程输出功能，即设备是否至少支持一种通用的远程标准日志接口，如 SYSLOG、FTP 等，将日志输出至远程日志服务器；设备是否能够按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除；检查具备图形界面（含 WEB 界面）的设备是否支持手动和定时自动屏幕锁定。锁屏后需再次进行身份认证后才能解除屏幕锁定；检查设

12、备的系统是否具备通过补丁升级来消除软件安全漏洞的能力；应用系统的帐户是否纳入帐户管理流程规范。3.3 安全审计安全审计是否提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；是否保证无法删除、修改或覆盖审计记录；审计记录的内容是否包括事件日期、时间、发起者信息、类型、描述和结果等。 - 6 -3.4 通信完整性通信完整性是否采用校验码技术保证通信过程中数据的完整性，查看软件设计文档是否具备该功能。3.5 通信保密性通信保密性要求要求查看软件使用手册或设计文档，在通信双方建立连接之前，应用系统是否利用密码技术进行会话初始化验证；是否对通信过程中的敏感信息字段进行加密或对整个会话过程

13、加密。3.6 软件容错软件容错是否提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。3.7 资源控制资源控制当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方是否能够自动结束会话；是否能够对应用系统的最大并发会话连接数进行限制；是否能够对单个帐户的多重并发会话进行限制；检查设备是否能够显示当前活动的 TCP/UDP 服务端口列表以及已建 IP 连接列表；检查对设备进行远程访问时是否支持通过 SSH 等功能保证通信数据的安全性；检查设备是否支持列出对外开放的 IP 服务端口和设备内部进程的对应关系的功能。 - 7 -四四. 数据安全评估数据

14、安全评估4.1 数据完整性数据完整性是否能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。4.2 数据保密性数据保密性是否采用加密或其他保护措施实现鉴别信息的存储保密性。4.3 备份及恢复备份及恢复是否对重要信息进行备份和恢复；检查重要信息备份和恢复记录；对于重要信息的备份，是否采用异地保存；对于重要信息的备份，是否考虑保存环境温湿度，灰尘 ；对于重要信息的备份，是否考虑保存环境防火，防水，防磁；对于重要信息的备份，是否考虑保存环境不易被无关人员轻易进入；对于重要信息的备份，是否有机制或流程保证重要信息的备份的有效性；对于重要信息的备份的使用，是否有相关流程并有记录查询；对于重要信息

15、的备份，如采用异地保存，是否在传输过程中考虑安全运输；是否提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。五五. 冗余备份及应急预案冗余备份及应急预案5.1 冗余系统、冗余设备及冗余链路冗余系统、冗余设备及冗余链路要求要求查重要服务器、重要部件、重要数据库是否采用本地双机备份的方式进行容灾保护；检查演练文档，查看业务系统网络应急演练的恢复时间是否满足行业管理和企业应急预案的相关要求；检查重要服务器是否配备双电源模块，双电源模块不宜由同一路电源供电。 - 8 -5.2 数据备份数据备份访谈业务系统安全管理人员，询问系统的关键数据（如网络拓扑配置数据、业务支撑系统的用户资料 、费率表）是否提供本地备份和异地备份；检查设计文档，查看业务系统是否支持关键数据定期备份，查看数据备份日志，记录备份周期。5.3 人员和技术支持能力人员和技术支持能力检查是否有安全管理人员，应访谈安全管理人员，询问并察看历史值班记录，是否安排机房管理人员、数据备份人员和相关的软硬件支持人员检查培训记录，查看技术人员是否定期得到应急备份及恢复方面的技能培训；检查是否支持人员知道自己的应急职责；检查是否有应急联络表及呼叫树。5.4 运行维护管理能力运行维护管理能力访谈安全管理人员，询问是否有相应的介质存取、验证和转储管理制度，是否可确保备份数据授权访问；检查业务系统相