中国电信CTG-MBOSS安全规范总册

中国电信集团公司CＴＧ-MBOＳS平安规范总册目录TOC＼ｏ＂1-3＂\h＼zＨYPERＬINＫ＼ｌ"＿Tｏc1６４８432３8"第1章文档说明PAＧEＲEF_Ｔoc1６48432３8\h１HＹPERLINK\ｌ"_Ｔｏc１64８43239"1．1编制说明PAGEREF＿Toｃ16484３239\h1HYＰERLINK\l＂_Tｏc１6484３24０"1.2适用范围４８4324０＼h１ＨYPERＬＩＮK＼ｌ"_Toｃ１6484３241＂1.3起草单位PAGEＲEF_Toc１64843241\h1HYPERＬINＫ\l"＿Toc164８43２42"１.４解释权PAGEREF_Tｏｃ１648４324２＼h1ＨYPERLINＫ＼l＂＿Toc1６4８4324３"1.５版权PAGEＲEF＿Toc1６４8４３２43\h1HYPＥRLINＫ\ｌ"_Toc1648432４4"第2章综述PAＧERＥF_Toｃ164843２４4\h2HYＰERLＩＮK＼l"_Tｏc１64８4３245"2.1MBOSS所面临的平安挑战ＰAGEＲEＦ_Ｔoc164843245\ｈ2HYＰERＬＩＮＫ\l"_Toｃ１６4８4324６"平安组织管理PAＧＥREF＿Toｃ1６4８43246＼h2HYＰERLIＮK\l"＿Toc1648４32４７"人员平安管理PＡGEREＦ_Toc164８4３247＼h2HYＰERＬINK＼l＂_Toc１648432４8"应用开发平安管理ＰＡGEREF_Ｔoc１648４32４8\h２HYPERLＩＮK\l＂_Toc１6４843249"运维平安管理PAGＥREF_Tｏc164８４3２４9\h2ＨYPERLIＮK＼l＂_Toｃ16４8432５0＂用户管理PAＧＥREF_Toｃ16４8４3250＼ｈ２HＹPERLINＫ\l"_Toc１6484３251"访问认证授权PAＧEREF_Ｔoc１648432５1\h3HYPERLＩNK\l"_Toc164８４325２＂网络平安ＰAGEREF＿Toｃ16４84３２52\h3HYPERLINK＼l"_Ｔoc16４8４3253"主机平安６4８４32５3\h3HYＰEＲＬＩNK\l"_Tｏc１64８4３２54"终端平安ＰＡＧEREＦ_Tｏc１6４8４325４\h4HYPＥRLINK\l"_Tｏc16484325５"平安审计ＰＡGEＲEF_Ｔoc164８43255\h4HYPＥＲLINK＼l"_Toc１6484３25６"容灾平安PＡGＥＲEF_Toc１6４84３2５6\h4HＹPＥRLＩNK\l＂_Ｔoc16４84３257"2.2ＭBOSS平安规范的目标愿景PAＧＥREＦ_Toc16４8432５７\h4HYPERＬＩNK＼ｌ"_Ｔoc16４8４3２５8"2．3改进ＭBOSS信息平安的关键步骤PAGＥREF_Tｏc１64843２58\h4HYPＥRLINK\l"_Tｏc16４843２59"２．4MＢOSS平安规范设计依据PAGERＥＦ_Tｏc16４8４3２５9\ｈ5HYPERLIＮK\ｌ＂_Toc164843260"第3章平安规范体系说明PＡＧEＲＥF＿Tｏc1648４3260\h6HYPERLＩNK\l＂＿Toc16４８４3２６1＂３．１平安规范指导原则PAGEREＦ_Toc1648４3261\h9HYPEＲLＩNK＼l"_Ｔｏc１648432６2"3.２平安管理规范综述ＰAGEREF_Tｏc１64８4326２＼h9ＨYPERLINK\l"＿Toc１64８432６３"3.3平安技术规范综述PAGＥREF_Tｏc1648432６３\h10HYＰＥRLINＫ\ｌ"_Tｏc1６4８43264"第4章CTＧ－MBOSS平安规范实施PAGＥREF_Toｃ16484３264\h13HYＰERLINK\l"_Ｔｏc1６48４３265"４.1ＭBOSS平安规范演进方案PAGEREF_Tｏc１648４3265\ｈ13ＨYPERLINＫ\ｌ"_Toｃ１64８４3266"第一阶段：建立MBOSS平安服务平台基础设施PAGEREF_Toｃ16484３２６6\h13HYPEＲLＩNK＼ｌ"_Tｏc１648４3２67"其次阶段：扩充MＢOSS平安服务平台的功能PAGEＲＥF_Ｔoc1６４843267\h14HYPERLINＫ＼l"_Toc1６４84３268"第三阶段:完善MBOＳS平安体系ＰAGEＲEＦ_Toc1648４3268\h１５HYPＥRLINK\l＂_Ｔoc164８43269"４.2CTG-MBOSS平安架构的部署建议PAGEREF_Tｏｃ1６４84326９\ｈ15HYＰERLＩNＫ＼ｌ＂＿Toc164８43２7０"4.3CTG－ＭBOSS容灾备份PAGEＲＥF_Tｏc16484327０＼h16ＨＹPERLINK＼l"＿Tｏｃ1648432７1"第5章平安规范演进风险及应对ＰAＧEREF_Toc164843２71\h１7HＹPERＬＩNK\l"_Ｔｏc1６4８4327２"5.１IT平安组织的建立PＡGＥRＥF_Toc1６４８43272\h17HYPEＲLIＮK＼l"＿Toc1６48432７3"5.2实施范围的把握PAGEREF_Toｃ1648432７３\ｈ１7HＹPEＲＬINK\l"_Toc1648432７4＂5.３人力资源支配PＡGＥREF＿Toｃ16４８４３274＼h1８5.4员工对平安管理制度的接受PAＧＥREF_Toc1６4８4３２７5\h1８HYPERLIＮＫ\l＂＿Toc164８4327６"附录1.附录PAGERＥF_Ｔoｃ1６48４327６\h１9HYPＥＲLIＮK\l"＿Tｏc164８4３２7７"附录1.1.规范编制人员名单PＡGEＲEＦ_Tｏc164８43277\h１9HYPＥRLINＫ\l"_Ｔｏc16４8４３2７8＂附录１.2.名词定义PＡGEREF＿Toｃ16484３278\h19ＨYPEＲLIＮK＼l"_Toｃ１６484３27９"附录1.3．参考文献PAGEREF_Tｏc164843２79\ｈ2０文档说明编制说明本规范作为中国电信CＴG-MBOSS规范的重要组成部分，为中国电信集团建设MBＯSS信息平安体系供应依据。本规范的编制是在《ＣTG－MBOＳS总体规范V2．0》的总体框架体系指导下,参考了已有的中国电信集团下发的平安政策文件，继承和吸取了原有平安管理实践的阅历成果,并充分考虑了各省电信公司的现状和行业最佳实践与平安新技术的引入。本规范是MBＯSS总体规范的组成部分,全面、概括地阐述了平安架构、平安管理、平安技术以及实施演进策略等内容。适用范围本规范适用于中国电信集团公司及下属省（市）电信公司进行MBＯSS信息平安的规划和建设，为MBＯSS系统相关的平安建设、升级改造、系统演进供应指导和依据。起草单位本规范的起草单位是中国电信集团公司。解释权本规范的解释权属于中国电信集团公司。版权综述ＭＢＯSS所面临的平安挑战平安组织管理随着中国电信MＢＯSＳ的建设和进展,如何准时制定出信息平安的指导方针，争辩和分析信息平安建设对中国电信业务进展的价值和影响,更好适应不断变化的组织形式，明确组织内部人员职责,以保障中国电信业务系统平平稳定地运行成为平安管理机构面临的最大挑战。人员平安管理据调查大部分的平安大事都来自公司的内部,商业间谍的存在，员工有意无意透露公司商业信息，员工在离职后泄露公司商业隐秘及从事与公司有竞争利益的商业活动等，都暴露出公司在人员平安管理方面存在的问题。定期进行员工平安意识培训已经刻不容缓。应用开发平安管理随着中国电信MＢＯSS的进展，应用系统将面临诸多的平安威逼。身份认证的哄骗、用户权限的滥用、输入数据校验的特别、跨站点的代码攻击、缓冲区溢出等等，都对我们的应用开发提出了新的平安设计和防护要求。制定严格的编程规范和管理手段成为不能回避的问题。运维平安管理随着中国电信MBOSS系统各项业务对信息系统依靠程度渐渐提高,信息系统的简单度急剧增加，从规划建设到系统运维阶段的平安建设都应遵循系统的生命周期进行设计,另一方面信息系统在运维过程中的平安问题变得更加突出，因此也提出了越来越高的平安运维要求;同时简单的业务系统和异构的网络环境,增加了系统平安运维的难度。传统的单一、孤立的平安运维管理已越来越不适应中国电信ＣTG－MBＯSＳ系统平安运维管理的需求,CＴG-MBＯSS系统平安运维管理应向综合平安运维阶段进行深刻转变。用户管理随着中国电信MBＯＳS系统的进展,用户数量的不断增加，网络规模快速扩大，信息平安问题愈见突出,原有的用户管理措施已不能满足中国电信目前及将来业务进展的要求。主要表现在以下方面：假如MBOSS每个系统均拥有独立的用户管理系统，将会给同时维护多个应用系统的维护人员带来巨大工作量；缺乏账号生命周期管理机制，存在大量孤立账号，增加信息系统平安风险；存在多人共用一账号现象,难以把握账号集中范围，平安管理存在漏洞。且平安事故发生后,难以审计并定位到实际使用者；帐号审计没有很好的流程来规范，进行帐号的生命周期管理，保证帐号平安。访问认证授权随着网络攻击技术的快速进展,ＣＴG-MBOSS的访问认证授权面临着严峻的挑战,具体来说存在着可能导致较严峻平安大事的几类问题，具体如下：１.认证功能分散在各设备和系统中难以统一管理。2．授权功能分散在各设备和系统中难以与业务要求相协调。3．未建立统一的访问认证管理流程。上述三个方面的问题可能导致较严峻的平安大事，是CTＧ-MBＯSS在访问认证授权方面的主要问题，会带来巨大的挑战。网络平安由于以往建设的网络系统在平安建设和平安互联方面考虑较少,随着信息技术、网络技术的快速进展,网络系统面临的平安威逼日益增加。依据调研,CTG-MBOSS网络系统所面临的主要威逼除了物理攻击破坏外,还包括恶意软件攻击、内部员工误用、黑客入侵破坏等几类。因此,迫切需要开展网络平安争辩，从整体平安防护、边界防护、网络平安架构及性能规划与ＭBOSS需求相适应、系统内部平安防护、平安审计等不同角度动身，制定平安防护原则和优化改造方案。使网络平安与网络系统“同步规划、同步建设、同步维护”。主机平安ＣTG-MBＯSS中的主机系统作为信息存储、传输、应用处理的基础设施，其自身平安性涉及到系统平安、数据平安、网络平安等各个方面。作为CTＧ-MBOSS系统中重要的组成部分,各种业务系统主机数量众多，资产价值高,面临的平安风险极大。一方面，主机是ＣＴG-ＭBＯSＳ系统各类业务系统数据的主要载体,这些业务数据是系统信息资产的重要组成部分;另一方面，病毒、木马等平安威逼很简洁通过访问主机系统的终端渗透到后台各种业务应用和服务主机中,从而对CTＧ-MBOSＳ系统的整体平安带来危害。为此需要在终端和主机平安领域建立一套平安技术体系来保障其平安，从而进一步完善ＣＴG-MBOＳS的平安技术体系。终端平安终端作为一种比较分散的资产，长期以来难以进行集中的有效的管理；作为CTG-MBOＳS的一个基本组件，面临病毒、蠕虫、木马、恶意代码的泛滥,担忧全的终端可能成为一个被动的攻击源,对整个MBＯSS系统构成威逼。企业内部应制定统一的终端平安策略、终端平安接入ＭＢOＳＳ策略,包括补丁管理、终端审计等流程。平安审计随着中国电信ＣTG-ＭBOSS系统建设和进展,同时为满足萨班斯法案对于IT系统内部把握的要求，平安审计将成为一项重要的技术手段。但在具体的平安运维工作中，平安审计面临诸多挑战,主要体现在内部人员操作、第三方维护人员操作以及最高权限用户使用过程中。要建立一套完备的审计机制。容灾平安随着中国电信CTG-MBOSS系统建设和进展，需要依据国家的规定与电信MＢＯSS集中的特点考虑容灾的需求。MBＯSS平安规范的目标愿景MＢＯSS平安规范的制定主要有以下三大目标愿景：定义中国电信ＣTＧ-MBOＳＳ平安管理体系的愿景,确保中国电信“从传统的固网运营商向综合信息服务供应商”的成功转型。供应演进路线，在３-５年把中国电信建设成以风险管理为导向的成熟型企业。 实行管理与技术相结合的方法,促进CTG－ＭBOSS平安规划及规范的贯彻。改进MBOSS信息平安的关键步骤中国电信MBＯSS系统平安需要解决的关键问题，首先,平安建设必需符合中国电信企业的战略转型和业务进展,必需保证业务进展;其次,平安体系应符合国家各种法律法规中对于平安的要求，尤其是满足内控的要求，并且对其中有针对性的要求进行重点建设；再次，充分考虑MBOＳS系统在目前运行中对于平安建设的要求和需求；最终,系统平安应规避和降低目前系统存在的威逼和风险。综上所述，中国电信MBOSS系统平安规范需要解决的问题如下：1.ﻩ在中国电信内部把握手册的基础上,建立完善的CTG－MBOSＳ系统的整体平安规划，实现平安基础设施建设有序地建设，确保用于ＩT平安的投资应不少于IＴ投资的10％。2. 建立专职的信息平安管理组织,建立平安岗位，明确平安管理职责，结束目前的“权力分散,缺乏统一，兼职为主”的局面。3.ﻩ依据集团和各省公司具体状况,制定各省公司的MBOＳS企业平安架构和实施方案，彻底转变以往孤立部署各种平安产品的状况。4. CTG－ＭBＯSＳ系统中信息平安的要求，加强对系统用户的管理、用户的访问认证、授权、访问把握。5. 建立集中IT平安服务、监控平台，供应技术手段固化平安政策、标准和流程，准时监控IＴ平安状况。明确该平台做为企业负责IT平安的对内对外的接口。6.ﻩ加强CTＧ-MBOSS系统边界访问方式、平安区域内部、平安区域间的防护;对现有的ＩT基础设施进行IT平安加固,消退平安隐患。特殊是对应用的定期平安检查。７. 加强CＴＧ－MBＯＳS系统与客户自服务平安交互访问接口的平安性；在省公司统一规划和建设与公网的接口,堵截平安漏洞。8． 在系统开发过程中,加入平安管控点,确保新实施的系统能满足平安规范。9. 加强CＴG-MBＯSＳ系统的平安集中管理的力量，实现全面的平安集中运维管理。10.ﻩ建立ＣTG－ＭＢOＳS系统容灾建设，建立业务系统连续性进展和建设方案、步骤和具体保障手段。ＭBＯＳＳ平安规范设计依据定义ＣTG-MBOSS平安体系的愿景：实行管理与技术相结合的方法，在3-5年内把中国电信建设成以风险为导向的成熟型企业，确保中国电信的成功转型。ＣTG-MBOSS平安规范的设计依据主要来源在五个方面：中国电信的战略转型的驱动，中国电信IT内控的要求,MBOＳS的平安现状和评估,法律法规对信息平安的要求，信息平安的最佳实践和实施阅历。平安规范体系说明CTＧ-ＭBOSS是支撑中国电信企业运营和管理的信息化架构,是集团和各省公司企业信息化建设的愿景,由方法论、功能和系统架构、管控架构以及规范体系等部分构成。平安规范是ＣTＧ-ＭBOSＳ规范体系的扩充。图STYLEREF1＼s3SEQ图\＊ARABIC\s11CＴＧ-MBOSS平安规范与CＴＧ-MBOSS规范体系的关系CＴG-MBOＳS平安规范是对现有的CＴG－ＭBＯSS规范体系的扩充。平安规范是由两个部分组成,分别对平安管理规范和平安技术规范两个方面进行了设计。在平安管理体系方面，制定了平安策略，包括组织平安管理架构，人员平安管理、应用开发平安管理和运维平安管理等四个方面所需遵循的IT平安标准和指导方针，挂念中国电信不断提高IT平安管理力量。ＣTG-MBOSS平安规范将建立在中国电信企业信息平安架构模型，该模型将企业平安力量划分成7个层次。图STYLERＥF1\s3SEQ图\*ARABIC\s12CTG－MBOＳＳ平安规范信息平安架构模型原则：描述信息平安的业务需求价值政策:描述信息平安的目地、方向、愿景及责任平安标准：信息平安实施规章，包括技术、方法及其它细节流程:跨部门实施政策标准的活动、工作及程序作业指南：描述个人在流程上的具体工作架构：信息平安技术如何结合的细节产品建议:信息平安解决方案所选的产品及工具基于以上MＢOSS面临的ＩＴ平安挑战,MBＯＳS平安规范将参考ＩSO1７7９９主要在IT平安管理体系，IT平安技术架构两个方面进行了考虑。图ＳTＹＬEＲEF１\s3SＥQ图\*ＡＲABIC\s13CTG-MBOSS平安规范文档结构管理规范的设计思路：从MBＯSＳ应用的开发、维护考虑平安方面的管理要求动身,考虑如下:组织架构：结合企业信息化部当前的组织架构及职责,定义负责MＢOSS平安的组织架构设置原则,指导机构的设置，及相关的岗位职能。人员平安：考虑对MBOＳS运维人员的管理及考核，对MBOSS的第三方开发人员的管理与监督应用开发平安：应用开发过程中的平安要求运维平安:针对ＭBOSS在运维中的平安需求,为规范日常运维工作而定义了相关的工作流程,其中工作流程按技术体系进行分类。技术规范的设计思路:从用户对MBOSS数据的访问流程考虑平安方面的技术要求动身，考虑如下：用户管理：对访问ＭBOＳS用户的集中管理访问认证：对访问MＢOSＳ用户的集中授权网络平安：承载MＢＯSS的DＣN、中间件、数据库的平安要求主机平安:承载MＢOSS的主机与数据存储的平安要求终端平安:访问MBOSS的终端及其接入DＣN的平安要求(含VPN方式）平安审计:定义ＭＢOSＳ在运维过程中的平安检测点及要求容灾备份：对MBOSS的应用及与数据存储的备份要求平安规范指导原则在平安规范的具体编制过程中，充分考虑了以下平安指导原则:集中管理、集中审计MBＯＳＳ应实行以省为单位的集中平安管理和集中平安审计设计原则，以提高系统平安运行的效率和效果。最少的特权在确保能完成其工作任务时,赐予用户（包括个人、应用或其它主体)最少的特权和必需的权限。提倡分层分区的防卫ＭBOSS的平安不能建立在单一的平安机制上。网络应依据所承载的系统进行分层分区，分区域后的网络能得到额外的平安爱护和把握。削减最弱环节在设计中要识别、避开或监视任何可能的弱点,并定期进行弱点扫描与评估。MBＯSＳ的平安程度取决于系统的最薄弱环节，黑客往往查找企业的最弱点进行攻击。简洁的平安解决方案实施平安解决方案,一个简单的系统往往增加了平安漏洞存在的可能性。防外和防内并重在全部攻击中,内部攻击占据了很大的一部分,平安解决方案应能同时担当内部和外部威逼的防范,平安设施的实施应不考虑威逼源的差异-不管来自何方的访问，关键信息资源需要供应额外的认证和授权。考虑系统的实际生产状态ＭBＯSS系统平安规范建设涉及多方面的平安策略及内容,因此依据各系统实际的生产状态，实行对应的规范。平安管理规范综述本平安管理规范给出了CTG-BOSS系统启动、实施、保持和改进信息平安管理体系的指南和一般原则。本规范列出的目标为系统通常所接受的信息平安管理供应了指导。本管理规范的把握目标和把握措施的实施旨在满足以风险为导向所识别的平安要求。本标准可作为建立CＴG-ＢOSＳ系统平安准则和有效平安管理的有用指南,可认为是CTＧ-BOSS系统开发其具体指南的起点。对CTＧ-BOSS系统来说,虽然本平安管理规范中的全部把握措施都是重要的并且是应被考虑的,但是省公司应依据其ＣＴG-BOSS系统所面临的具体风险来确定任何一种把握措施是否合适,不能取代基于系统风险评估而选择的把握措施。本规范由四个部分组成：组织平安管理分册、人员平安管理分册、运维平安管理分册、应用开发平安管理分册。其中组织平安管理分册和人员平安管理分册是本平安管理规范的基础。组织平安管理分册明确指出CＴG-BOＳS系统应建立起决策层、管理层和执行层三层工作关系，建立由各单位主要负责人组成的信息平安领导小组，目标是明确信息平安主管领导,落实信息平安管理部门，建立信息平安执行岗位,明确职责;管理的本质是对人的监管,人员平安分册从信息平安的角度对CTG－MBOSS系统的使用用户行为进行了规范，该分册从人员入职、在职、离职以及第三方人员平安管理四个方面管理和把握ＣＴG-MBOSS系统使用用户的担忧全行为,预防平安大事的发生。在前两个分册的基础上，结合ＣTG-MBOSS系统现阶段的防护重点、平安现状,平安管理规范从系统运维平安和应用开发平安两个方面对CTG－MBＯS系统进行了系统规范，系统运维平安分册从信息资产、口令、电子文档、系统应急、平安审计、风险评估等方面对运维过程中的重要管理问题进行了阐述,期望通过该分册的制定和执行,建立CTＧ-MBOSS系统内部平安运维螺旋上升的PＤCA循环;应用开发平安分册从应用系统平安基本需求动身，对系统承载的业务数据和应用系统本身提出了平安管理要求,并从系统开发、对外把握、平安性测试、系统部署几个方面对应用系统开发过程中遇到的平安管理问题的把握进行了规范。平安技术规范综述平安技术规范的设计是从中国电信平安需求动身,依据项目总体原则、最佳实践及IＴ平安架构设计原则,以平安力量、平安服务满足需求。通过对平安服务模块及其功能模块的设计和实施,建立中国电信平安技术架构,供应整个企业的ＩT平安服务和力量。中国电信总体平安技术架构依据中国电信的需求、以及平安架构设计原则及最佳实践,本项目所设计的中国电信平安技术架构将包括以下的服务模块及功能模块。图STYLEREF1\ｓ3﻾SEQ图\*AＲABIC\s14CＴG－MBOSＳ平安技术架构中国电信IT平安架构将具备以下功能:集中的用户管理:通过用户帐号管理系统，实行统一的的用户管理策略。依据用户组别及用户管理策略，可集中授予用户对各应用、系统的的访问权限。集中用户身份管理将供应企业级的用户名目数据库。它的任何变化（如更改、删除）都会被同步到其他系统的用户名目中。集中的用户身份管理功能为实施统一用户管理政策供应了可能。集中认证授权:通过集中认证平台实现对各应用访问的集中认证和访问授权。认证平台基于访问用户的宏观属性(用户识别符、目标应用系统名称、认证所接受信任度）和访问政策实现对各应用访问的集中认证和应用的入口级的访问授权。并供应了多应用系统的单点登录的功能。集中平安审计：通过集中的大事管理平台为监测及处理平安大事供应有效的工具。通过采集应用、系统、网络中稽查记录以及收集所部署的平安检测设备的大事来实现对日志、大事的集中收集、集中处理、集中分析、报告。网络平安改造:目的是实现信息资产的爱护。为了爱护资产免于可能受到的威逼，在资产和不被信任的机构之间设立爱护机制,将资产与那些危急的代理隔离。对于期望使用相同平安把握的一组资产，可以把他们划为一个“域”。通过平安域的设计，限制除通过可接受的平安接口之外的访问。主机平安改进:为服务器的平安符合性检查和把握供应手段。集中检查服务器的平安符合性状况,并依据平安策略接受后续的手段来限制主机的访问和操作。终端平安改进：为终端的平安符合性检查和把握供应手段。集中检查终端设备的平安符合性状况,并依据平安策略接受后续的手段来限制终端对网络的访问(网络的准入把握)。通过集中的补丁管理供应终端符合性的手段。容灾备份中心:为CTG-MＢOSS系统供应风险预防机制和灾难恢复措施，在确保数据平安的基础上提高业务连续运行力量，降低企业运营风险，将业务损失降低到可接受的程度,提升服务质量和服务水平,增加企业竞争力。下图描述了MBOSS平安服务平台域ＭSS、ＢＳS、OSS的整合,和它们之间的信息传递关系:图STYLEＲEF1\ｓ3SEＱ图＼*AＲAＢIＣ\ｓ1５CTＧ－ＭBOSS与MSＳ、BSS、OSS的整合ＣTG-ＭBＯSS平安规范实施CTＧ-MBOＳS平安规范实施演进方案图SＴYLEREＦ1\s４﻾ＳEQ图＼*ARＡBＩC＼s11CTG-MBＯSＳ平安规范演进规划第一阶段:建立MBＯSS平安服务平台基础设施通过第一阶段的实施,建立起MBOSS平安服务体系的基础设施。要求达到以下目标：建立MBOSS的平安管理体系:建立MＢＯＳS平安管理组织，实施人员平安管理规范、对员工进行个人平安教育,推广实施ＭBOSS运维平安管理规范，推广并实施MＢOSＳ应用开发平安管理规范。制定各省公司的ＭBOＳS平安架构与总体解决方案（EnterpｒｉｓeSecuｒityAｒchitecture)网络平安改进-网络改进要求取得以下的结果：依据网络平安规范的要求,依据不同的平安要求,建立相应的平安区域。网络平安区域的划分,要与MBOSＳ应用数据流相结合不同的平安区域要用接受相应的隔离手段，并在网络上部署入侵检测或防备手段。建立统一的外网访问出口,逐步关闭部门自主部署的互联网访问出口。主机平安管理：建设主机平安管理基础设施，定义主机平安策略,实施对MＳS、ＢSＳ、OSS系统主机的平安管理。实施基于主机的系统补丁管理实施基于主机的主机加固和审计系统、防病毒系统、防恶意代码工具,及相应平安代理的部署实施基于主机的攻击防护系统的部署集中平安审计平台:建设集中平安审计平台实现对BSS关键系统的平安审计整合，包括BSS应用、服务器操作系统和数据库，DCN关键网络设备。能对BSＳ关键系统(应用、操作系统和数据库)平安进行监控和统计报告。集中用户管理平台：建设集中用户管理平台，建立企业级的名目服务实现对ＭSS系统的用户管理整合,制定和实施MSS应用系统用户管理流程，实现对MSS系统的用户管理。终端平安管理:实施终端平安管理基础设施，实施省公司终端的防火墙和防病毒软件的部署,实施对省公司终端的网络准入把握,与企业的名目服务结合,实现授权准入。容灾中心设计容灾方案确定,容灾选址完成,容灾架构设计完成其次阶段：扩充MＢＯＳＳ平安服务平台的功能通过扩充MBOSS信息平安服务平台的功能,要求达到以下目标:连续第一阶段的工作,完善ＭBOSS的平安管理体系。集中用户管理平台:将集中用户管理平台与ＢSS和ＯSS系统整合,制定和实施BSS和OSS系统的用户管理流程,实现BSＳ和OSS系统用户的集中管理。集中访问认证平台:将集中访问认证平台与BSS和OSＳ系统整合,制定和实施BSS和ＯSS系统的用户管理流程，实现BSＳ和ＯSS系统用户的集中访问把握。集中平安审计平台:以实现对MＳS和OSS关键系统的平安审计整合，包括应用、操作系统和数据库。能对MSS和OＳＳ关键系统(应用、操作系统和数据库)平安进行监控和统计报告。终端平安管理:实施对本地网用户终端的平安管理。容灾中心建设:容灾中心建设完成,能接受各分公司ＢSＳ关键系统的容灾和数据备份。第三阶段：完善ＭBＯSS平安体系通过MBOSS平安体系的完善，要求达到以下目标:连续其次阶段的工作，完善ＭＢOSS的平安管理体系。集中访问认证平台:实施对非B/Ｓ架构系统的访问认证容灾中心扩充:对容灾中心的容量逐步扩充，使之所爱护的对应的省公司关键业务系统,可容纳MSS、BSＳ、OＳS关键系统的备份和容灾。CＴＧ-ＭBOＳS平安架构的部署建议平安服务平台将部署在集团、省公司和本地网三个层次。集团和省公司的部署基本上是相同的,本地网尽部署少量的模块。CＴG－MBOSS容灾备份CＴG-MBOSＳ容灾系统是业务运营支撑系统的有机组成部分，容灾备份时ＣTＧ－MBOＳＳ平安规范的一个不行缺省的部分。各省公司要确保MBOSS关键系统的业务连续性。由于容灾备份中心的建设费用格外髙,中国电信总部将依据ＩTSP2．0,统一建设和部署、建设6个容灾中心。平安规范演进风险及应对结合中国电信MBOＳS的实际状况,规范编写组认为解决方案的推广实施可能会存在如下的风险