中国移动管理信息系统安全基线规范v10
中国移动通信企业标准
QB-╳╳-╳╳╳-╳╳╳╳
中国移动管理信息系统
安全基线技术规范
T e c h n i c a l S p e c i f i c a t i o n s f o r
S e c u r i t y B a s e l i n e o f C M C C M I S
版本号:1.0.0
╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布
前言
本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。
本规范由中国移动通信集团公司管理信息系统部提出并归口管理。
本规范的解释权属于中国移动通信集团公司管理信息系统部。
本规范起草单位:中国移动通信集团公司管理信息系统部
本规范主要起草人:起草人1姓名、起草人2姓名、……
目录
1概述 (4)
1.1目标和适用范围 (4)
1.2引用标准 (4)
1.3术语和定义 (4)
2安全基线框架 (5)
2.1背景 (5)
2.2安全基线制定的方法论 (6)
2.3安全基线框架说明 (6)
3安全基线范围及内容 (7)
3.1覆盖范围 (7)
3.2安全基线组织及内容 (8)
3.2.1 安全基线编号说明 (9)
3.2.2 Web应用安全基线示例 (9)
3.2.3 中间件、数据库、主机及设备示例 (9)
3.3安全基线使用要求 (10)
4评审与修订 (10)
1概述
1.1目标和适用范围
本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。
1.2引用标准
◆《中国移动网络与信息安全总纲》
◆《中国移动内部控制手册》
◆《中国移动标准化控制矩阵》
◆《中国移动操作系统安全功能和配置规范》
◆《中国移动路由器安全功能和配置规范》
◆《中国移动数据库安全功能和配置规范》
◆《中国移动网元通用安全功能和配置规范》
◆FIPS 199 《联邦信息和信息系统安全分类标准》
◆FIPS 200 《联邦信息系统最小安全控制标准》
1.3术语和定义
2安全基线框架
2.1背景
中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。为了保证整体安全水平,防止系统设备因为安全配置不到位而带来安全风险,有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固,则可以确保系统和设备安全符合性达到要求,杜绝大
部分的安全隐患。为此,制定各系统的安全基线,作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据,同时也是满足内控管理要求的依据。
此次系列安全基线规范覆盖了从应用层、中间件层、操作系统层以及网络层,并依据这些安全基线建立准入措施,从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下:
?覆盖面广,涵盖管理信息系统常见IT系统和设备,并涵盖Web应用和源代码的安全基线;
?可操作性强,针对每个检查项均有简洁的操作说明;
?定期更新,应当周期性的对基线进行补充和更新;
?成果可固化,基线可以被集成为检查工具;
?安全基线将作为系统和设备安全准入的必要条件。
2.2安全基线制定的方法论
安全基线制定主要基于以下方法:
1.参考产品原厂商的技术资料
2.参考安全服务及安全研究的成果
3.参考国内外大型研究机构及企业现行的安全基线
4.结合中国移动网络部下发的相关规范及管理信息系统部的实际情况2.3安全基线框架说明
管理信息系统安全基线框架(以下简称框架)由二个层面的安全规范组成。
本规范为框架的第一层面,其编制依据主要为中国移动网络与信息安全总纲、中国移动内部控制手册和控制矩阵、管理信息系统安全防护与安全加固技术要求,同时参考国际、国内相关标准规范。
第二层规范,按设备和系统种类,分为主机操作系统类安全基线、数据库类安全基线、网络设备类安全基线、中间件与应用类安全基线等。第二层规范包含的设备和系统种类可根据需要进行扩充。第二层规范的编制依据主要为本规范,同时参考各类设备和产品相应的技术资料。
3 安全基线范围及内容
3.1 覆盖范围
目前总部及各省公司管理信息系统中部署了数量众多的IT 设备和系统,主要包括网络设备、主机、数据库、中间件和应用系统等。此次安全基线制定的范围需要涵盖中国移动管理信息系统常见的IT 系统和设备,具体包括:
主机操作系统安全基线
……
数据库系统安全基线
……
网络设备安全基线
……
AIX 系统安全基线 Solaris 系统安全基线
Oracle 数据库安全基线
DB2数据库安全基线
华为网络设备安全基线
Juniper 网络设备安全基线 MIS 安全防护体系总
体技术要求
中国移动网络与信息
安全总纲
总部内部控制手册,
控制矩阵
Windows 系统安全基线
SQLServer 数据库安全基线
CISCO 网络设备安全基线 中间件和应用安全基线
……
WEB 应用安全基线
WebSphere 安全基线
Domino 安全基线
3.2安全基线组织及内容
管理信息系统部制定的安全基线主要分为两大类,第一大类是应用层基线,由于此层的应用系统多为定制开发,因此重在考虑设计、开发、测试环节引入的安全问题。Web应用层安全基线通常包括以下九个范畴的要求:
1.身份与访问控制
2.会话管理
3.代码质量
4.内容管理
5.防钓鱼与防垃圾邮件
6.密码算法
7.系统日志
8.安装配置
9.安全维护
第二大类是通用的IT基础设施系统层基线,这类系统包括网络设备、操作系统、数据库,中间件等,它们多为非定制标准化产品,原厂商技术支持较好,资料完整,因此这类安全基线的内容主要关注帐号口令、安全策略,补丁
情况,网络协议,日志等问题。例如操作系统层的安全基线通常包括四个范畴的要求:
1.帐号管理,认证授权
2.日志配置操作
3.IP协议安全设置
4.设备其它配置操作
3.2.1安全基线编号说明
安全基线采用SBL-设备系统名称-数字-数字-数字的方式命名,设备系统名称是指此基线适用的设备或系统,例如windows、oracle等,后续的数字编号指基线要求的具体项目编号,例如SBL-WebAPP-02-02-01是指Web应用的安全基线,属于此基线第二章身份与访问控制第二小节登录用图片验证码的第一项要求,因此后续数字编号为 02-02-01。
3.2.2Web应用安全基线示例
3.2.3中间件、数据库、主机及设备示例
3.3安全基线使用要求
要求新系统上线时必须完成安全基线检查,符合基线要求才能上线,安全基线符合性将作为设备安全准入的依据。要求已上线系统在日常运维中也必须符合安全基线要求,可以使用专业的安全基线检查工具对基线各个要求项进行自动化的基线检查,并形成基线检查报告。
具体业务系统的安全要求应按照业务系统的组成,选择对应的安全基线集合进行检测,要求业务系统的网络设备、主机操作系统、数据库和应用系统必须通过安全基线的检测,对于确实因特殊业务需求无法达到的不符合项,应当做出合理说明。
4评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审查结果修订,并颁发执行。
中国移动统一信息平台技术规范
中国移动企业信息化一期工程统一信息平台技术规范 (v1.0) 中国移动通信集团公司
目录1总则1 1.1.概述1 1.2.适用范围1 1.3.起草单位1 1.4.解释权2 2应用体系架构3 2.1.两级架构3 2.2.统一信息平台的组成4 2.3.总体技术要求5 3展示平台6 3.1.域名规则6 3.2.登录流程7 3.3.访问安全控制7 3.3.1.认证8 3.3.2.加密9 3.3.3.授权9 3.4.个性化展现经管9 3.5.内容应用聚集10 3.6.系统性能要求10 4网络和接入平台11 4.1.全国互联广域网组织结构11 4.1.1.全国互联广域网拓扑结构11 4.1.2.广域网互联承载网络的选择12 4.1.3.全国互联广域网的路由13 4.1.4.全国互联广域网的网络安全13 4.2.集团公司统一信息平台的网络组织结构13 4.2.1.集团公司统一信息平台局域网13 4.2.2.集团公司统一信息平台接入15 4.3.省公司统一信息平台的网络组织结构16 4.3.1.省公司统一信息平台局域网16 4.3.2.省公司统一信息平台接入18 4.4.IP地址规划19 4.4.1.IP地址规划原则19 4.4.2.IP地址规划方法20 4.4.3.IP地址规划要求21 5安全经管平台21 5.1.网络经管及网络安全21 5.1.1.网络系统经管21 5.1.2.网络安全22
5.2.系统经管及系统安全23 5.2.1.系统经管23 5.2.2.系统安全24 5.2.3.数据经管和安全25 5.2.4.防病毒26 6系统和环境要求27 6.1.系统要求27 6.1.1.主机设备27 6.1.2.操作系统27 6.1.3.存储备份设备28 6.1.4.网络设备29 6.1.5.数据库31 6.1.6.展示平台软件33 6.1. 7.开发工具34 6.1.8.系统文档34 6.2.机房环境要求35 6.2.1.机房环境条件35 6.2.2.接地要求36 6.2.3.空调及电源36
Linux安全配置基线.doc
中国移动集团管理信息系统部安全加固项目 Linux系统安全配置基线 中国移动集团公司第1页共15页 备注:中国移动集团管理信息系统部安全加固项目 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月
中国移动集团管理信息系统部安全加固项目 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
中国XX业务支撑网4A安全技术规范
中国移动通信企业标准 中国移动业务支撑网 4A 安全技术规范 版本号:1.0.0 中国移动通信有限公司 发布 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 QB-W-016-2007
目录 1概述 (7) 1.1范围 (7) 1.2规范性引用文件 (7) 1.3术语、定义和缩略语 (7) 2综述 (8) 2.1背景和现状分析 (8) 2.24A平台建设目标 (9) 2.34A平台管理范围 (10) 34A管理平台总体框架 (11) 44A管理平台功能要求 (14) 4.1帐号管理 (14) 4.1.1帐号管理的范围 (14) 4.1.2帐号管理的内容 (14) 4.1.3主帐号管理 (14) 4.1.4从帐号管理 (15) 4.1.5密码策略管理 (15) 4.2认证管理 (15) 4.2.1认证管理的范围 (16) 4.2.2认证管理的内容 (16) 4.2.3认证服务的管理 (16) 4.2.4认证枢纽的管理 (16) 4.2.5SSO的管理 (17) 4.2.6认证手段 (17) 4.2.7提供多种手段的组合使用 (17) 4.3授权管理 (17) 4.3.1授权管理的范围 (17) 4.3.2授权管理的内容 (18) 4.3.3资源管理 (18) 4.3.4角色管理 (18) 4.3.5资源授权 (19) 4.4审计管理 (20) 4.4.1审计管理范围 (20) 4.4.2审计信息收集与标准化 (21) 4.4.3审计分析 (21) 4.4.4审计预警 (22) 4.54A管理平台的自管理 (23)
4.5.2权限管理 (23) 4.5.3组件管理 (23) 4.5.4运行管理 (23) 4.5.5备份管理 (23) 4.64A管理平台接口管理 (24) 4.6.1帐号管理接口 (24) 4.6.2认证接口 (24) 4.6.3审计接口 (24) 4.6.4外部管理接口 (25) 54A管理平台技术要求 (25) 5.1总体技术框架 (25) 5.2P ORTAL层技术要求 (27) 5.3应用层技术要求 (27) 5.3.1前台应用层技术要求 (27) 5.3.2核心数据库技术要求 (28) 5.3.3后台服务层技术要求 (30) 5.3.4单点登录技术要求 (32) 5.3.5安全审计技术要求 (33) 5.4接口层技术要求 (35) 5.5非功能性技术要求 (35) 5.5.1业务连续性要求 (35) 5.5.2开放性和可扩展性要求 (38) 5.5.3性能要求 (38) 5.5.4安全性要求 (38) 64A管理平台接口规范 (40) 6.1应用接口技术规范 (40) 6.1.1总体描述 (40) 6.1.2登录类接口(①) (41) 6.1.3认证类接口 (42) 6.1.4帐号/角色接口(④) (43) 6.1.5审计类接口 (48) 6.2系统接口技术规范 (51) 6.2.1总体描述 (51) 6.2.2登录类接口(①) (52) 6.2.3认证类接口 (53) 6.2.4帐号接口(⑤) (55) 6.2.5审计类接口 (59) 6.3外部管理接口技术规范 (61) 7BOSS系统3.0的改造要求 (62)
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
中国移动技术规范
中国移动技术规范
中国移动技术规范 文档编号: 中国移动PTN资源自动分析优化功能需求规范书 文档版本:Version 1.0 版权声明:版权归中国移动通信集团公司所有,未经中国移动通信集团公司书面许可,任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期:2020年4月 发布单位:中国移动通信集团公司
前言 本技术规范根据中国移动PTN网络维护效能提升管理需求而制定,随着网络管理需求的不断深化,本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起草单位:中国移动通信集团公司网络部 本技术规范主要起草人: 集团公司:邓春胜、邓宇 省公司:田志坚、黄垣森、杨彬、张剑、夏志超、李勇、娄文科、梁静海、张跃明、彭鹏、党志俊
目录 PTN资源自动分析优化功能需求规范书.................... 错误!未定义书签。前言........................................................................... 错误!未定义书签。目录........................................................................... 错误!未定义书签。 一、PTN资源分析优化概述 ...................................... 错误!未定义书签。 二、功能需求说明 ..................................................... 错误!未定义书签。 2.1 ............................................................................. 物理资源分析 错误!未定义书签。 2.2逻辑资源分析 .................................................... 错误!未定义书签。 2.3流量监控及资源预警功能................................. 错误!未定义书签。 2.4资源优化分析报告功能..................................... 错误!未定义书签。
Microsoft SQL Server安全配置基线
Microsoft SQL Server数据库系 统安全配置基线 中国移动通信公司管理信息系统部 2012年 4月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1口令安全 (5) 2.1.1删除不必要的帐号* (5) 2.1.2SQLServer用户口令安全 (5) 2.1.3根据用户分配帐号避免帐号共享* (6) 2.1.4分配数据库用户所需的最小权限* (6) 2.1.5网络访问限制* (7) 第3章日志 (8) 3.1日志审计 (8) 3.1.1SQLServer登录审计* (8) 3.1.2SQLServer安全事件审计* (8) 第4章其他 (10) 4.1安全策略 (10) 4.1.1通讯协议安全策略* (10) 4.2更新补丁 (10) 4.2.1补丁要求* (10) 4.3存储保护 (11) 4.3.1停用不必要存储过程* (11) 第5章评审与修订 (13)
第1章概述 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。 1.2 适用版本 SQL Server系列数据库。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
CMCC_v22_中国移动条码识别业务终端技术规范
中国移动通信企业标准 QB-╳╳-╳╳╳-╳╳╳╳ 中国移动条码识别业务终端技术规范 C h i n a M o b i l e B a r c o d e R e c o g n i t i o n S e r v i c e T e r m i n a l S p e c i f i c a t i o n 版本号: 1.1.0(报批稿) ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布
1. 适用范围 (44) 2. 引用标准 (44) 3. 相关术语 (44) 4. 缩略语解释 (44) 5. 业务描述 (55) 5.1. 业务定义 (55) 5.2. 业务模型 (55) 6. 终端功能要求 (55) 6.1. QR码符号取景及采集 (55) 6.2. 终端解码 (66) 6.2.1. QR码符号到数据字符 (66) 6.2.2. 数据字符到应用信息 (77) 6.3. 打开和保存文件 (88) 6.3.1. 保存文件 (88) 6.3.2. 打开文件 (88) 7. 终端业务应用要求 (88) 7.1. 属性操作要求 (88) 7.2. 应用操作要求 (1010) 7.2.1. 名片应用 (1010) 7.2.2. 短信应用 (1010) 7.2.3. 邮件应用 (1010) 7.2.4. 文本应用 (1111) 7.2.5. 业务营销应用WAP业务 (1111) 7.2.6. 业务营销应用SMS业务 (1212) 7.2.7. 业务营销应用IVR业务 (1212) 8. 终端异常处理要求 (1313) 8.1. 终端解码异常事件处理要求 (1313) 8.2. 其它异常事件处理要求 (1313) 9. 终端性能要求 (1313) 10. 终端界面要求 (1414) 11. 终端硬件要求(推荐) (1414) 11.1. 摄像头 (1414) 11.2. CPU (1414) 11.3. 存储器 (1414) 12. 编制历史 (1414) 附录A 中国移动条码识别业务终端界面规范 (1515)
(完整版)Linux安全配置基线
Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月
版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器; 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动网络门户系统技术规范
中国移动网络门户系统技术规范
中国移动通信企业标准 QB-W-028- 中国移动网络门户系统技术规范(第一版) NMS Portal Technical Specification 版本号 1.0.0 -××-××发布 -××-××实施 中国移动通信有限公司发布
目录 1 范围........................................ 错误!未定义书签。 2 引用标准.................................... 错误!未定义书签。 3 术语定义和缩略语............................ 错误!未定义书签。 4 系统概述与建设范围.......................... 错误!未定义书签。 5 ”总部-省”两级架构......................... 错误!未定义书签。 6 组网与设备配置要求.......................... 错误!未定义书签。 7 系统功能要求................................ 错误!未定义书签。 7.1 单点登录.............................. 错误!未定义书签。 7.1.1 基本要求 ........................... 错误!未定义书签。 7.1.2 具备4A的情况 ...................... 错误!未定义书签。 7.1.3 对于未接入4A的情况 ................ 错误!未定义书签。 7.2 接入服务.............................. 错误!未定义书签。 7.2.1 B/S与C/S应用统一接入.............. 错误!未定义书签。 7.2.2 公网接入 ........................... 错误!未定义书签。 7.2.3 移动接入 ........................... 错误!未定义书签。 7.3 界面集成.............................. 错误!未定义书签。 7.3.1 界面集成的技术方式 ................. 错误!未定义书签。 7.3.2 界面集成的基本功能—展现管理 ....... 错误!未定义书签。 7.3.3 界面集成的基本业务需求 ............. 错误!未定义书签。
Microsoft Windows安全配置基线
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
中国移动技术规范
中国移动技术规范 文档编号: 中国移动PTN故障智能辅助定位 功能需求规范书 文档版本:Version 1.0 版权声明:版权归中国移动通信集团公司所有,未经中国移动通信集团公司书面许可,任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期:2020年10月 发布单位:中国移动通信集团公司
前言 本技术规范根据中国移动PTN网络维护效能提升管理需求而制定,随着网络管理需求的不断深化,本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起草单位:中国移动通信集团公司网络部 本技术规范主要起草人: 集团公司:邓春胜、邓宇 省公司:党志俊、娄文科、田志坚、黄垣森、杨彬、张剑、夏志超、李勇、梁静海、张跃明、彭鹏
目录 前言 (2) 目录 (3) 1.概述 (4) 2. 术语、定义和缩略语 (4) 2.1术语和定义 (4) 2.2缩略语 (4) 3.功能需求 (5) 3.1告警相关性分析 (5) 3.1.1告警根源性分析 (5) 3.1.2告警相关性原则 (6) 3.2业务相关性分析 (6) 3.3故障辅助分析及定位 (6) 3.3.1用户界面 (7) 3.3.2故障定位手段 (7) 3.3.3故障定位结果 (8)
1.概述 研究各种典型场景下PTN网络故障诊断定位方法,包括业务故障、光缆故障、设备故障、时钟故障、DCN故障、业务性能劣化等,开发出故障智能辅助定位工具,实现一键式故障智能诊断及故障原因智能输出,并给出常见故障处理建议,提高运维人员现场维护效率及能力。该辅助定位功能具备以下模块: ―告警相关性分析 ―业务相关性分析 ―故障智能分析和定位 2. 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本技术规范: 网元管理系统 Element Management System 简称EMS,由设备供应商提供,是为了管理一个或多个传送网网元所使用的软硬件系统。网元管理系统管理由单一设备供应商提供的网元。 2.2 缩略语 下列缩略语适用于本技术规范:
Sybase数据库安全配置基线
Sybase数据库安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.2口令 (5) 2.2.1修改sa默认密码 (5) 2.2.2修改dba默认密码 (5) 2.2.3修改mon_user默认密码 (6) 2.2.4修改jagadmin默认密码 (6) 2.2.5修改entldbdbo默认密码 (7) 2.2.6修改PIAdmin默认密码 (7) 2.2.7修改PortalAdmin默认密码 (8) 2.2.8修改pkiuser默认密码 (8) 2.2.9修改pso默认密码 (9) 2.2.10密码复杂度 (10) 2.2.11最大错误登录次数* (10) 第3章其他安全要求 (12) 3.1其他安全配置 (12) 3.1.1补丁版本* (12) 3.1.2系统通用配置* (12) 第4章评审与修订 (15)
第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Sybase数据库的安全配置。 1.2 适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。 1.3 适用版本 Sybase数据库。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动浙江公司移动室外UPS技术规范
浙江移动通信有限责任公司户外通信用一体化UPS电源系统技术规范书 二零零五年十一月
一、概述 (1) 本文件为浙江移动户外通信用一体化UPS电源系统设备招标文件的技术规范书。 (2) 本技术规范书的编制依据是根据中国信息产业部“通信局(站)电源系统的总技术要求”等有关规定编制。 (3) 参与选型及报价的设备必须符合本技术规范书的要求,如相关要求低于本技术规范书的要求应论述其理由。 (4) 设备必须具有入网证,并能提供设备技术数据和电原理图及安装图。 (5) 本技术的解释权属于浙江移动通信有限责任公司。 二、范围 本技术规范规定了户外通信用一体化不间断电源——UPS的技术要求、标志、包装、运输存储。 本技术规范适用于各类户外干放、直放站、微蜂窝等通信用静止型不间断电源。 三、定义 户外通信用一体化UPS电源系统在构成上,主要有五部分组成,包括户外专用UPS主机、蓄电池组、输入输出配电、防雷保护和一体化户外机柜。几部分相互配合,实现在市电正常时使用市电能量向通信设备提供纯净稳压的交流电,市电故障时使用蓄电池能量向通信设备提供纯净稳压的交流电。各部分可集成安装在一体化机柜内或蓄电池组独立安装。 参与报价设备厂家需详列一体化电源柜体尺寸、质量,电池柜尺寸、质量以及各组成部分主要技术指标。 四、一体化户外机柜技术要求 1、柜体采用热镀锌钢板、需防锈处理,表面喷塑。满足室外安装和室外工作的防雨、防尘、 防潮、防盗要求,外观美观。 2、防护等级:IP55。 3、温度范围:-25℃~+55℃。 4、湿度范围:5%~95%。 5、挡阳棚要求:能够挡住30度角的太阳光。 6、安装/维护方便:提供多种可选安装配件,可以满足抱大杆、抱小杆、壁挂和落地等多 种安装要求。 7、振动运输实验:按照GB/T14715-93中5.3.2条 高低温储存实验:贮存条件:YD/T1059-200 测试标准:YD/T1059-2000 8、内部合理布局,可满足UPS立式、卧式等各种安装方式。电池仓外置时,其电池仓柜体 需满足上述要求。
中国移动机顶盒软探针北向接口技术规范v1.0.0
中国移动通信企业标准 中国移动机顶盒软探针北向接口技术规范 Te c h n i c a l S p e c i f i c a t i o n s f o r S e t To p B o x S o f t P r o b e a n d N o r t h -I n t e r f a c e 版本号:1.0.0 中国移动通信集团公司 发布 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 QB-╳╳-╳╳╳-╳╳╳╳
目录 1前言 (2) 2范围 (2) 3规范性引用文件 (2) 4术语、定义和缩略语 (2) 5软探针与监测平台接口 (3) 6接口协议定义 (4) 6.1.BOOT接口(IF1) (4) 6.1.1.BOOT请求 (4) 6.1.2.BOOT响应 (6) 6.2.PERIODIC接口(IF2) (9) 6.2.1.PERIODIC请求 (9) 6.2.2.PERIODIC响应 (11) 6.3.PROGRAM INFO接口(IF3) (12) 6.3.1.PROGRAM INFO请求 (12) 6.3.2.PROGRAM INFO响应 (15) 6.4.ALARM接口(IF4) (16) 6.4.1.ALARM请求 (16) 6.4.2.ALARM响应 (20) 6.5.CONNECTION REQUEST之网络测试接口(IF5) (21) 6.5.1.网络测试任务下发 (21) 6.5.2.网络测试数据上报请求 (23) 6.6.常量表 (25) 6.6.1.EventCode (25) 6.6.2.AlarmCode (25) https://www.360docs.net/doc/bd1549119.html,workTestCode (26) 6.6.4.ProgramInfoCode (26) 6.6.5.Result (26) 6.6.6.OperationCode (27)
Linux安全配置基线
Linux 系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年 3月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 ....................................................................................................... 错误!未定义书签。 1.2适用范围 ............................................................................................... 错误!未定义书签。 1.3适用版本 ............................................................................................... 错误!未定义书签。 1.4实施 ....................................................................................................... 错误!未定义书签。 1.5例外条款 ............................................................................................... 错误!未定义书签。第2章账号管理、认证授权 . (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
中国移动室内分布系统技术规范
中国移动室内分布系统 技术规范 四川移动通信有限责任公司 2001年7月
目录 一、建设室内分布系统的必要性 (1) 二、中国移动室内覆盖目标要求 (1) 三、室内分布系统技术 (1) 1、室内分布系统的含义与作用 (1) 2、室内分布系统的信号源 (2) 2.1. 直放站 (2) 2.2. 宏蜂窝或微蜂窝 (3) 3、无源室内分布系统 (4) 3.2. 电缆式 (4) 3.2. 泄漏电缆式 (5) 3.3. 光纤式 (6) 4、有源室内分布系统 (7) 5、电梯覆盖的解决方案 (8) 四、900/1800M在室内分布系统中的应用 (10) 五、室内分布系统选型要求 (11) 1、厂商资质要求 (11) 2、各配件、器件、缆线技术指标 (11) 2.1. 无源天馈分布设备 (11) 2.2. 室内覆盖有源天线分布设备(系统指标) (14) 2.3. 干线放大器 (15) 3、具备或部分具备系统监控 (15) 4、设计施工能力 (16) 六、室内分布系统验收标准 (16) 1、安装工艺要求 (16) 1.1. 有源设备安装 (16) 1.2. 室内天线安装 (16) 1.3. 馈线及相关设施 (16) 1.4. 无源器件安装 (17) 1.5. 接地 (17) 1.6. 标签 (17) 2、网络质量要求 (18) 2.1. 覆盖达标 (18) 2.2. 质量标准 (18) 2.3. 网络运行指标 (18) 2.4. 监控系统 (19)
一、建设室内分布系统的必要性 随着我国经济的发展,人民生活水平的不断提高,移动通信事业得到了长足的进步。中国移动的GSM 蜂窝移动通信系统自1994年投入商业运行以来,一直以极高的速度发展。截至2000年底,全国GSM移动用户数量已突破6000万,网络规模容量及用户数已居世界第三位。与此相适应,中国移动的网络建设规模也在不断扩大,网络覆盖日益完善。 在此基础上,室内覆盖已成为今后网络覆盖的重点。完善室内覆盖,是为用户提供优质服务的需要,是竞争的需要。随着网络的发展,用户的要求也在不断提高,几年前用户满足于能够打电话,现在则要求随时随地可以通话,室内话务已占相当大的比重。在此情况下,必须加强室内覆盖,满足用户需求,提供优质服务。另外,竞争对手经过几年的发展,已具备相当规模,并且具有资费优势,与其相较,中国移动的核心竞争力在于网络质量,实现室内覆盖是体现差异,增强竞争力的重要手段。 室内分布系统是实现室内覆盖的主要方法,作好室内分布系统建设具有现实的重要意义。 二、中国移动室内覆盖目标要求 中国移动通信集团公司在2001年西安网络工作会议中对室内信号覆盖提出了明确的要求: “加强城市室内覆盖建设不仅是吸收话务量、提高通话质量的有力手段,还应该认识到,室内覆盖站址作为一种稀缺资源,及早抢占,将对企业的长远发展具有战略意义。各省要结合2-3年的无线网络规划,确定必须建设室内覆盖的建筑,力争在2001年完成建设。2001年要求以下重要场所实现覆盖(即室内面积95%以上信号强度大于-94db):移动用户在10万户以上城市的政府办公场所、新闻中心;飞机场候机楼、火车站候车厅;地铁;三星级以上酒店(北京、上海、广州为四星级)、高档商业办公楼、娱乐中心;营业面积超过2万平方米的大型商场;其他移动运营商有覆盖的场所;话务量大或用户投诉多的地方。” 三、室内分布系统技术 1、室内分布系统的含义与作用 室内分布系统是一套无线信号传播设备的总称,它利用电缆或光缆,辅以功分器、耦合器,将信号
DB数据库安全配置基线
DB2数据库系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1帐号 (5) 2.1.1删除不必要的帐号* (5) 2.1.2分配数据库用户所需的最小权限* (5) 2.2口令 (6) 2.2.1DB2用户口令安全 (6) 第3章数据库权限 (7) 3.1从PUBLIC撤销隐式的权限和特权 (7) 3.1.1从PUBLIC撤销隐式的权限和特权 (7) 3.2跟踪隐式的特权 (9) 3.2.1跟踪隐式的特权 (9) 3.3检查用户许可和特权 (9) 3.3.1检查用户许可和特权* (9) 第4章DB2认证 (11) 4.1为SYS XXX_GROUP参数使用显式值 (11) 4.1.1为SYSxxx_GROUP 参数使用显式值 (11) 4.2使用加密的AUTHENTICATION模式 (11) 4.2.1使用加密的AUTHENTICATION模式 (11) 第5章DB2审计 (13) 5.1执行随机安全审计 (13) 5.1.1执行随机安全审计* (13) 第6章评审与修订 (14)
第1章概述 本文档规定了中国移动管理信息系统部所维护管理的DB2数据库系统应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的DB2数据库系统。 1.2 适用版本 DB2数据库系统。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动技术规范
中国移动技术规范 文档编号: 中国移动PTN故障智能辅助定位 功能需求规范书 文档版本:Version 1.0 版权声明:版权归中国移动通信集团公司所有,未经中国移动通信集团公 司书面许可,任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期:2019年10月发布单位:中国移动通信集团公司
本技术规范根据中国移动PTN网络维护效能提升管理需求而制定,随着网络管理需求的 不断深化,本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起早单位:中国移动通信集团公司网络部 本技术规范主要起草人: 集团公司:邓春胜、邓宇 省公司:党志俊、娄文科、田志坚、黄垣森、杨彬、张剑、夏志超、李勇、梁静海、张跃明、彭鹏 刖言 (2) 目录 (3) 1?概述 (4) 2.术语、定义和缩略语 (4) 2.1术语和定义 (4) 2.2缩略语 (4) 3.功能需求 (5) 3.1 告警相关性分析 (5) 3.1.1告警根源性分析 (5) 3.1.2告警相关性原则 (6) 3.2业务相关性分析 (6) 3.3故障辅助分析及定位 (6) 3.3.1用户界面 (7) 3.3.2故障定位手段 (7) 3.3.3故障定位结果 (8)
1 ?概述 研究各种典型场景下PTN网络故障诊断定位方法,包括业务故障、光缆故障、设备故 障、时钟故障、DCN故障、业务性能劣化等,开发出故障智能辅助定位工具,实现一键式故障智能诊断及故障原因智能输出,并给出常见故障处理建议,提高运维人员现场维护效 率及能力。该辅助定位功能具备以下模块: —告警相关性分析 —业务相关性分析 —故障智能分析和定位 2.术语、定义和缩略语 2.1术语和定义 下列术语和定义适用于本技术规范: 网元管理系统 Element Management System 简称EMS,由设备供应商提供,是为了管理一个或多个传送网网元所使用的软硬件系统。 网元管理系统管理由单一设备供应商提供的网元。 2.2缩略语 F
安全基线
安全基线项目 项目简介: 安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。安全基准项目在NIST、CIS、OVAL等相关技术的基础上,形成了一系列以最佳安全实践为标准的配置安全基准。 二. 安全基线的定义 2.1 安全基线的概念 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题 的先决条件。 2.2 安全基线的框架 在充分考虑行业的现状和行业最佳实践,并参考了运营商下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业务系统的基线安全模型 如图2.1所示:
图 2.1 基线安全模型 基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构: 1. 第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安 全防护的要求,是一个比较宏观的要求。 2. 第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块,这些模块针对业务层定义的安全防护 要求细化为此层不同模块应该具备的要求。 3. 第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,如将操作系统可分解为Windows、Solaris等系统模块,网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为Windows安全基线、华为路由器安全基线等。 下面以运营商的WAP系统为例对模型的应用进行说明: