中国移动设备通用安全功能和配置规范

中国移动设备

通用安全功能和配置规范

S p e c i f i c a t i o n f o r G e n e r a l

S e c u r i t y F u n c t i o n a n d

C o n f i g u r a t i o n o f

D e v i c e s U s e d

版本号：2.0.0

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部

目录

1. 范围 (1)

2. 规范性引用文件 (1)

2.1. 内部引用 (1)

2.2. 外部引用 (1)

3. 术语、定义和缩略语 (1)

4. 设备安全要求框架 (2)

4.1. 背景 (2)

4.2. 设备安全要求框架说明 (2)

4.3. 本框架内各规范的使用原则 (3)

4.4. 设备安全要求编号原则 (3)

5. 设备通用安全功能和配置要求 (4)

5.1. 账号管理及认证授权要求 (4)

5.1.1. 账号安全要求 (4)

5.1.2. 口令安全要求 (5)

5.1.3. 授权安全要求 (6)

5.2. 日志安全要求 (6)

5.2.1. 功能要求： (6)

5.2.2. 配置要求： (7)

5.3. IP协议安全要求 (7)

5.3.1. 功能要求： (7)

5.3.2. 配置要求： (8)

5.4. 设备其他安全要求 (8)

5.4.1. 功能要求： (8)

5.4.2. 配置要求： (8)

6. 编制历史 (8)

前言

为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面，提出了28项基本安全功能要求和19项基本安全配置要求。同时，结合实际情况，进一步将各项安全要求分为“必选”和“可选”两类，其中必选要求31项，可选要求16项。原则上，中国移动各类设备必须满足与其相关的全部必选要求，有选择的满足可选要求。

本标准起草单位：中国移动通信有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：中国移动通信集团公司陈敏时、曹一生、徐海东、周智、杨永、魏来、李友国、陈欣。

1.范围

本规范适用于中国移动通信网、业务系统和支撑系统的各类设备。本规范对上述设备明确了基本的安全要求。本规范作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。供中国移动内部和厂商共同使用。

2.规范性引用文件

2.1. 内部引用

本规范是编制其他设备安全功能和配置规范的基础。原则上，在相同方面，其他安全功能和配置规范的要求应不低于本规范要求。如特殊原因，需要降低要求，应在相应规范的此部分予以解释说明。

2.2. 外部引用

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

表2-1

[1] 《中国移动网络与信息安全总纲》中国移动通信有限公司

[2] 《中国移动内部控制手册》中国移动通信有限公司

[3] 《中国移动标准化控制矩阵》中国移动通信有限公司

3.术语、定义和缩略语

下列术语、定义和缩略语适用于本标准：

表3-1

词语解释

设备功能要求描述规范适用范围内设备必须和推荐满足的最低安全功能要

求。可作为编制设备技术规范、设备测试规范的依据。在设备

入网测试时使用。

设备配置要求描述规范适用范围内设备必须和推荐采用的配置要求。可作为

编制工程验收手册、局数据模板的依据。在工程验收和运行维

护时采用。设备功能要求是实现设备配置要求的基础。

4.设备安全要求框架

4.1. 背景

随着各类通信和IT设备采用通用操作系统、数据库，及各类设备间越来越多的使用IP 协议进行通信，其网络安全问题日渐凸出。为了维持通信网、业务系统和支撑系统设备安全，必须从设备选型、入网测试、工程验收和运行维护等，设备全生命周期各个阶段加强和落实安全要求。

中国移动内部控制手册和控制矩阵对操作系统、数据库和应用系统的账号口令以及操作日志记录等方面提出的具体的要求。相关要求的落实需要设备功能支持。

4.2. 设备安全要求框架说明

中国移动设备安全要求框架（以下简称框架）由三个层面的设备安全规范组成。

本规范为框架的第一层面，其编制依据主要为中国移动网络与信息安全总纲、中国移动内部控制手册和控制矩阵，同时参考国际、国内相关标准规范。

第二层规范，按设备种类，分为主机设备类安全规范、数据库设备类安全规范、网络设备类安全规范和互联网应用类安全规范等。每类规范又具体分为安全功能规范和安全配置规范。第二层规范包含的设备种类可根据需要进行扩充。第二层规范的编制依据主要为本规范，同时参考各类设备和产品相应的技术资料。

第三层面由具体通信网、业务系统、支撑系统中各类设备的安全要求组成。该类规范的编制依据主要为本规范、第二层面相关的规范以及通信网、业务系统、支撑系统已有的安全要求。

图4.1

4.3. 本框架内各规范的使用原则

本框架包含的系列规范作为编制设备入网测试规范，工程验收手册，局数据模板等文档的依据，从而促进在设备入网测试、工程验收和设备运行维护环节落实相关安全要求。在采用框架中规范时，对具体设备明确相关安全要求时，应遵循全面、唯一的原则。

全面原则：具体设备的安全要求应包括适用设备运行的操作系统、数据库、网络和应用系统的全部必选安全要求，并依实际情况，有选择的满足部分可选要求。

唯一原则：具体设备的安全要求，应依次从第三层、第二层和第一层与该设备相关的规范（要求）中选择，同一方面内容不重复采用。

4.4. 设备安全要求编号原则

本框架的系列规范中包含的各安全要求应采用以下格式进行编号。

安全要求-设备-{XX …X}-{功能，配置}-{YY …Y}-{ ，可选}

XX …X ：用小于6位（含6位）文字表示的该项要求所属规范（要求）的简称。规范简称在本框架内唯一。

{功能，配置}：对于功能要求，编号本部分使用“功能”表示；对于配置要求本部分使用“配置”表示。

{YY …Y}：该项要求的阿拉伯数字序号，在同规范中同类要求的序号不能相同。

{ ，可选}：必选要求此部分为空，可选要求本部分使用“可选”表示。

主机设备安全规范

…… 数据库设备安全规范 …… 网络设备安全规范 …… 主机操作系统安全功能规范 Solaris 安全配置规范 数据库安全功能规范 Oracle 数据库安全配置规范 路由器安全功能规范 Juniper 路由器安全配置规范 通信网、业务系统、支撑系统设备安全要求

……

ＨＬＲ设备安全要求 智能网ＶＣ设备安全要求 Windows 安全配置规范

SQLServer 数据库安全配置规范 CISCO 路由器安全配置规范 ……

5.设备通用安全功能和配置要求

本规范提出的安全功能要求和安全配置要求，在未特别说明的情况下，均适用于设备上运行的操作系统、数据库、网络和应用系统。

本规范从账号管理及认证授权、日志以及IP协议和其他四个方面提出安全功能和配置要求。

5.1. 账号管理及认证授权要求

认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。

对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。

5.1.1. 账号安全要求

5.1.1.1. 功能要求：

表5-1

5.1.1.2. 配置要求：

表5-2

5.1.2.1. 功能要求：

表5-3

5.1.2.2. 配置要求：

5.1.3.1. 功能要求：

表5-5

5.1.3.2. 配置要求

表5-6

5.2. 日志安全要求

5.2.1. 功能要求：

5.2.2. 配置要求：

5.3. IP协议安全要求

5.3.1. 功能要求：

表5-9

5.3.2. 配置要求：

表5-10

5.4. 设备其他安全要求

5.4.1. 功能要求：

表5-11

5.4.2. 配置要求：

6.编制历史

中国移动统一信息平台技术规范

中国移动企业信息化一期工程统一信息平台技术规范 （v1.0） 中国移动通信集团公司

目录1总则1 1.1.概述1 1.2.适用范围1 1.3.起草单位1 1.4.解释权2 2应用体系架构3 2.1.两级架构3 2.2.统一信息平台的组成4 2.3.总体技术要求5 3展示平台6 3.1.域名规则6 3.2.登录流程7 3.3.访问安全控制7 3.3.1.认证8 3.3.2.加密9 3.3.3.授权9 3.4.个性化展现经管9 3.5.内容应用聚集10 3.6.系统性能要求10 4网络和接入平台11 4.1.全国互联广域网组织结构11 4.1.1.全国互联广域网拓扑结构11 4.1.2.广域网互联承载网络的选择12 4.1.3.全国互联广域网的路由13 4.1.4.全国互联广域网的网络安全13 4.2.集团公司统一信息平台的网络组织结构13 4.2.1.集团公司统一信息平台局域网13 4.2.2.集团公司统一信息平台接入15 4.3.省公司统一信息平台的网络组织结构16 4.3.1.省公司统一信息平台局域网16 4.3.2.省公司统一信息平台接入18 4.4.IP地址规划19 4.4.1.IP地址规划原则19 4.4.2.IP地址规划方法20 4.4.3.IP地址规划要求21 5安全经管平台21 5.1.网络经管及网络安全21 5.1.1.网络系统经管21 5.1.2.网络安全22

5.2.系统经管及系统安全23 5.2.1.系统经管23 5.2.2.系统安全24 5.2.3.数据经管和安全25 5.2.4.防病毒26 6系统和环境要求27 6.1.系统要求27 6.1.1.主机设备27 6.1.2.操作系统27 6.1.3.存储备份设备28 6.1.4.网络设备29 6.1.5.数据库31 6.1.6.展示平台软件33 6.1. 7.开发工具34 6.1.8.系统文档34 6.2.机房环境要求35 6.2.1.机房环境条件35 6.2.2.接地要求36 6.2.3.空调及电源36

Linux安全配置基线.doc

中国移动集团管理信息系统部安全加固项目 Linux系统安全配置基线 中国移动集团公司第1页共15页 备注：中国移动集团管理信息系统部安全加固项目 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月

中国移动集团管理信息系统部安全加固项目 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

中国XX业务支撑网4A安全技术规范

中国移动通信企业标准 中国移动业务支撑网 4A 安全技术规范 版本号：1.0.0 中国移动通信有限公司 发布 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 QB-W-016-2007

目录 1概述 (7) 1.1范围 (7) 1.2规范性引用文件 (7) 1.3术语、定义和缩略语 (7) 2综述 (8) 2.1背景和现状分析 (8) 2.24A平台建设目标 (9) 2.34A平台管理范围 (10) 34A管理平台总体框架 (11) 44A管理平台功能要求 (14) 4.1帐号管理 (14) 4.1.1帐号管理的范围 (14) 4.1.2帐号管理的内容 (14) 4.1.3主帐号管理 (14) 4.1.4从帐号管理 (15) 4.1.5密码策略管理 (15) 4.2认证管理 (15) 4.2.1认证管理的范围 (16) 4.2.2认证管理的内容 (16) 4.2.3认证服务的管理 (16) 4.2.4认证枢纽的管理 (16) 4.2.5SSO的管理 (17) 4.2.6认证手段 (17) 4.2.7提供多种手段的组合使用 (17) 4.3授权管理 (17) 4.3.1授权管理的范围 (17) 4.3.2授权管理的内容 (18) 4.3.3资源管理 (18) 4.3.4角色管理 (18) 4.3.5资源授权 (19) 4.4审计管理 (20) 4.4.1审计管理范围 (20) 4.4.2审计信息收集与标准化 (21) 4.4.3审计分析 (21) 4.4.4审计预警 (22) 4.54A管理平台的自管理 (23)

4.5.2权限管理 (23) 4.5.3组件管理 (23) 4.5.4运行管理 (23) 4.5.5备份管理 (23) 4.64A管理平台接口管理 (24) 4.6.1帐号管理接口 (24) 4.6.2认证接口 (24) 4.6.3审计接口 (24) 4.6.4外部管理接口 (25) 54A管理平台技术要求 (25) 5.1总体技术框架 (25) 5.2P ORTAL层技术要求 (27) 5.3应用层技术要求 (27) 5.3.1前台应用层技术要求 (27) 5.3.2核心数据库技术要求 (28) 5.3.3后台服务层技术要求 (30) 5.3.4单点登录技术要求 (32) 5.3.5安全审计技术要求 (33) 5.4接口层技术要求 (35) 5.5非功能性技术要求 (35) 5.5.1业务连续性要求 (35) 5.5.2开放性和可扩展性要求 (38) 5.5.3性能要求 (38) 5.5.4安全性要求 (38) 64A管理平台接口规范 (40) 6.1应用接口技术规范 (40) 6.1.1总体描述 (40) 6.1.2登录类接口（①） (41) 6.1.3认证类接口 (42) 6.1.4帐号/角色接口（④） (43) 6.1.5审计类接口 (48) 6.2系统接口技术规范 (51) 6.2.1总体描述 (51) 6.2.2登录类接口（①） (52) 6.2.3认证类接口 (53) 6.2.4帐号接口（⑤） (55) 6.2.5审计类接口 (59) 6.3外部管理接口技术规范 (61) 7BOSS系统3.0的改造要求 (62)

XXXX农商银行信息系统安全基线技术规范

XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。 管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标

中国移动技术规范

中国移动技术规范

中国移动技术规范 文档编号： 中国移动PTN资源自动分析优化功能需求规范书 文档版本：Version 1.0 版权声明：版权归中国移动通信集团公司所有，未经中国移动通信集团公司书面许可，任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期：2020年4月 发布单位：中国移动通信集团公司

前言 本技术规范根据中国移动PTN网络维护效能提升管理需求而制定，随着网络管理需求的不断深化，本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起草单位：中国移动通信集团公司网络部 本技术规范主要起草人： 集团公司：邓春胜、邓宇 省公司：田志坚、黄垣森、杨彬、张剑、夏志超、李勇、娄文科、梁静海、张跃明、彭鹏、党志俊

目录 PTN资源自动分析优化功能需求规范书.................... 错误!未定义书签。前言........................................................................... 错误!未定义书签。目录........................................................................... 错误!未定义书签。 一、PTN资源分析优化概述 ...................................... 错误!未定义书签。 二、功能需求说明 ..................................................... 错误!未定义书签。 2.1 ............................................................................. 物理资源分析 错误!未定义书签。 2.2逻辑资源分析 .................................................... 错误!未定义书签。 2.3流量监控及资源预警功能................................. 错误!未定义书签。 2.4资源优化分析报告功能..................................... 错误!未定义书签。

Microsoft SQL Server安全配置基线

Microsoft SQL Server数据库系 统安全配置基线 中国移动通信公司管理信息系统部 2012年 4月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1口令安全 (5) 2.1.1删除不必要的帐号* (5) 2.1.2SQLServer用户口令安全 (5) 2.1.3根据用户分配帐号避免帐号共享* (6) 2.1.4分配数据库用户所需的最小权限* (6) 2.1.5网络访问限制* (7) 第3章日志 (8) 3.1日志审计 (8) 3.1.1SQLServer登录审计* (8) 3.1.2SQLServer安全事件审计* (8) 第4章其他 (10) 4.1安全策略 (10) 4.1.1通讯协议安全策略* (10) 4.2更新补丁 (10) 4.2.1补丁要求* (10) 4.3存储保护 (11) 4.3.1停用不必要存储过程* (11) 第5章评审与修订 (13)

第1章概述 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。 1.2 适用版本 SQL Server系列数据库。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

CMCC_v22_中国移动条码识别业务终端技术规范

中国移动通信企业标准 QB-╳╳-╳╳╳-╳╳╳╳ 中国移动条码识别业务终端技术规范 C h i n a M o b i l e B a r c o d e R e c o g n i t i o n S e r v i c e T e r m i n a l S p e c i f i c a t i o n 版本号： 1.1.0（报批稿） ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布

1. 适用范围 (44) 2. 引用标准 (44) 3. 相关术语 (44) 4. 缩略语解释 (44) 5. 业务描述 (55) 5.1. 业务定义 (55) 5.2. 业务模型 (55) 6. 终端功能要求 (55) 6.1. QR码符号取景及采集 (55) 6.2. 终端解码 (66) 6.2.1. QR码符号到数据字符 (66) 6.2.2. 数据字符到应用信息 (77) 6.3. 打开和保存文件 (88) 6.3.1. 保存文件 (88) 6.3.2. 打开文件 (88) 7. 终端业务应用要求 (88) 7.1. 属性操作要求 (88) 7.2. 应用操作要求 (1010) 7.2.1. 名片应用 (1010) 7.2.2. 短信应用 (1010) 7.2.3. 邮件应用 (1010) 7.2.4. 文本应用 (1111) 7.2.5. 业务营销应用WAP业务 (1111) 7.2.6. 业务营销应用SMS业务 (1212) 7.2.7. 业务营销应用IVR业务 (1212) 8. 终端异常处理要求 (1313) 8.1. 终端解码异常事件处理要求 (1313) 8.2. 其它异常事件处理要求 (1313) 9. 终端性能要求 (1313) 10. 终端界面要求 (1414) 11. 终端硬件要求（推荐） (1414) 11.1. 摄像头 (1414) 11.2. CPU (1414) 11.3. 存储器 (1414) 12. 编制历史 (1414) 附录A 中国移动条码识别业务终端界面规范 (1515)

(完整版)Linux安全配置基线

Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器； 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

中国移动网络门户系统技术规范

中国移动网络门户系统技术规范

中国移动通信企业标准 QB-W-028- 中国移动网络门户系统技术规范(第一版) NMS Portal Technical Specification 版本号 1.0.0 -××-××发布 -××-××实施 中国移动通信有限公司发布

目录 1 范围........................................ 错误!未定义书签。 2 引用标准.................................... 错误!未定义书签。 3 术语定义和缩略语............................ 错误!未定义书签。 4 系统概述与建设范围.......................... 错误!未定义书签。 5 ”总部-省”两级架构......................... 错误!未定义书签。 6 组网与设备配置要求.......................... 错误!未定义书签。 7 系统功能要求................................ 错误!未定义书签。 7.1 单点登录.............................. 错误!未定义书签。 7.1.1 基本要求 ........................... 错误!未定义书签。 7.1.2 具备4A的情况 ...................... 错误!未定义书签。 7.1.3 对于未接入4A的情况 ................ 错误!未定义书签。 7.2 接入服务.............................. 错误!未定义书签。 7.2.1 B/S与C/S应用统一接入.............. 错误!未定义书签。 7.2.2 公网接入 ........................... 错误!未定义书签。 7.2.3 移动接入 ........................... 错误!未定义书签。 7.3 界面集成.............................. 错误!未定义书签。 7.3.1 界面集成的技术方式 ................. 错误!未定义书签。 7.3.2 界面集成的基本功能—展现管理 ....... 错误!未定义书签。 7.3.3 界面集成的基本业务需求 ............. 错误!未定义书签。

Microsoft Windows安全配置基线

Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)

5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)

中国移动技术规范

中国移动技术规范 文档编号： 中国移动PTN故障智能辅助定位 功能需求规范书 文档版本：Version 1.0 版权声明：版权归中国移动通信集团公司所有，未经中国移动通信集团公司书面许可，任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期：2020年10月 发布单位：中国移动通信集团公司

前言 本技术规范根据中国移动PTN网络维护效能提升管理需求而制定，随着网络管理需求的不断深化，本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起草单位：中国移动通信集团公司网络部 本技术规范主要起草人： 集团公司：邓春胜、邓宇 省公司：党志俊、娄文科、田志坚、黄垣森、杨彬、张剑、夏志超、李勇、梁静海、张跃明、彭鹏

目录 前言 (2) 目录 (3) 1．概述 (4) 2. 术语、定义和缩略语 (4) 2.1术语和定义 (4) 2.2缩略语 (4) 3.功能需求 (5) 3.1告警相关性分析 (5) 3.1.1告警根源性分析 (5) 3.1.2告警相关性原则 (6) 3.2业务相关性分析 (6) 3.3故障辅助分析及定位 (6) 3.3.1用户界面 (7) 3.3.2故障定位手段 (7) 3.3.3故障定位结果 (8)

1．概述 研究各种典型场景下PTN网络故障诊断定位方法，包括业务故障、光缆故障、设备故障、时钟故障、DCN故障、业务性能劣化等，开发出故障智能辅助定位工具，实现一键式故障智能诊断及故障原因智能输出，并给出常见故障处理建议，提高运维人员现场维护效率及能力。该辅助定位功能具备以下模块： ―告警相关性分析 ―业务相关性分析 ―故障智能分析和定位 2. 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本技术规范： 网元管理系统 Element Management System 简称EMS，由设备供应商提供，是为了管理一个或多个传送网网元所使用的软硬件系统。网元管理系统管理由单一设备供应商提供的网元。 2.2 缩略语 下列缩略语适用于本技术规范：

Sybase数据库安全配置基线

Sybase数据库安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.2口令 (5) 2.2.1修改sa默认密码 (5) 2.2.2修改dba默认密码 (5) 2.2.3修改mon_user默认密码 (6) 2.2.4修改jagadmin默认密码 (6) 2.2.5修改entldbdbo默认密码 (7) 2.2.6修改PIAdmin默认密码 (7) 2.2.7修改PortalAdmin默认密码 (8) 2.2.8修改pkiuser默认密码 (8) 2.2.9修改pso默认密码 (9) 2.2.10密码复杂度 (10) 2.2.11最大错误登录次数* (10) 第3章其他安全要求 (12) 3.1其他安全配置 (12) 3.1.1补丁版本* (12) 3.1.2系统通用配置* (12) 第4章评审与修订 (15)

第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Sybase数据库的安全配置。 1.2 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。 1.3 适用版本 Sybase数据库。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

中国移动浙江公司移动室外UPS技术规范

浙江移动通信有限责任公司户外通信用一体化UPS电源系统技术规范书 二零零五年十一月

一、概述 (1) 本文件为浙江移动户外通信用一体化UPS电源系统设备招标文件的技术规范书。 (2) 本技术规范书的编制依据是根据中国信息产业部“通信局(站)电源系统的总技术要求”等有关规定编制。 (3) 参与选型及报价的设备必须符合本技术规范书的要求，如相关要求低于本技术规范书的要求应论述其理由。 (4) 设备必须具有入网证，并能提供设备技术数据和电原理图及安装图。 (5) 本技术的解释权属于浙江移动通信有限责任公司。 二、范围 本技术规范规定了户外通信用一体化不间断电源——UPS的技术要求、标志、包装、运输存储。 本技术规范适用于各类户外干放、直放站、微蜂窝等通信用静止型不间断电源。 三、定义 户外通信用一体化UPS电源系统在构成上，主要有五部分组成，包括户外专用UPS主机、蓄电池组、输入输出配电、防雷保护和一体化户外机柜。几部分相互配合，实现在市电正常时使用市电能量向通信设备提供纯净稳压的交流电，市电故障时使用蓄电池能量向通信设备提供纯净稳压的交流电。各部分可集成安装在一体化机柜内或蓄电池组独立安装。 参与报价设备厂家需详列一体化电源柜体尺寸、质量，电池柜尺寸、质量以及各组成部分主要技术指标。 四、一体化户外机柜技术要求 1、柜体采用热镀锌钢板、需防锈处理，表面喷塑。满足室外安装和室外工作的防雨、防尘、 防潮、防盗要求，外观美观。 2、防护等级：IP55。 3、温度范围：-25℃~+55℃。 4、湿度范围：5%~95%。 5、挡阳棚要求：能够挡住30度角的太阳光。 6、安装/维护方便：提供多种可选安装配件，可以满足抱大杆、抱小杆、壁挂和落地等多 种安装要求。 7、振动运输实验:按照GB/T14715－93中5.3.2条 高低温储存实验:贮存条件：YD/T1059-200 测试标准：YD/T1059-2000 8、内部合理布局，可满足UPS立式、卧式等各种安装方式。电池仓外置时，其电池仓柜体 需满足上述要求。

中国移动机顶盒软探针北向接口技术规范v1.0.0

中国移动通信企业标准 中国移动机顶盒软探针北向接口技术规范 Te c h n i c a l S p e c i f i c a t i o n s f o r S e t To p B o x S o f t P r o b e a n d N o r t h -I n t e r f a c e 版本号：1.0.0 中国移动通信集团公司 发布 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 QB-╳╳-╳╳╳-╳╳╳╳

目录 1前言 (2) 2范围 (2) 3规范性引用文件 (2) 4术语、定义和缩略语 (2) 5软探针与监测平台接口 (3) 6接口协议定义 (4) 6.1.BOOT接口（IF1） (4) 6.1.1.BOOT请求 (4) 6.1.2.BOOT响应 (6) 6.2.PERIODIC接口（IF2） (9) 6.2.1.PERIODIC请求 (9) 6.2.2.PERIODIC响应 (11) 6.3.PROGRAM INFO接口（IF3） (12) 6.3.1.PROGRAM INFO请求 (12) 6.3.2.PROGRAM INFO响应 (15) 6.4.ALARM接口（IF4） (16) 6.4.1.ALARM请求 (16) 6.4.2.ALARM响应 (20) 6.5.CONNECTION REQUEST之网络测试接口（IF5） (21) 6.5.1.网络测试任务下发 (21) 6.5.2.网络测试数据上报请求 (23) 6.6.常量表 (25) 6.6.1.EventCode (25) 6.6.2.AlarmCode (25) https://www.wendangku.net/doc/7811973295.html,workTestCode (26) 6.6.4.ProgramInfoCode (26) 6.6.5.Result (26) 6.6.6.OperationCode (27)

Linux安全配置基线

Linux 系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年 3月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 ....................................................................................................... 错误！未定义书签。 1.2适用范围 ............................................................................................... 错误！未定义书签。 1.3适用版本 ............................................................................................... 错误！未定义书签。 1.4实施 ....................................................................................................... 错误！未定义书签。 1.5例外条款 ............................................................................................... 错误！未定义书签。第2章账号管理、认证授权 . (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

中国移动室内分布系统技术规范

中国移动室内分布系统 技术规范 四川移动通信有限责任公司 2001年7月

目录 一、建设室内分布系统的必要性 (1) 二、中国移动室内覆盖目标要求 (1) 三、室内分布系统技术 (1) 1、室内分布系统的含义与作用 (1) 2、室内分布系统的信号源 (2) 2.1. 直放站 (2) 2.2. 宏蜂窝或微蜂窝 (3) 3、无源室内分布系统 (4) 3.2. 电缆式 (4) 3.2. 泄漏电缆式 (5) 3.3. 光纤式 (6) 4、有源室内分布系统 (7) 5、电梯覆盖的解决方案 (8) 四、900/1800M在室内分布系统中的应用 (10) 五、室内分布系统选型要求 (11) 1、厂商资质要求 (11) 2、各配件、器件、缆线技术指标 (11) 2.1. 无源天馈分布设备 (11) 2.2. 室内覆盖有源天线分布设备（系统指标） (14) 2.3. 干线放大器 (15) 3、具备或部分具备系统监控 (15) 4、设计施工能力 (16) 六、室内分布系统验收标准 (16) 1、安装工艺要求 (16) 1.1. 有源设备安装 (16) 1.2. 室内天线安装 (16) 1.3. 馈线及相关设施 (16) 1.4. 无源器件安装 (17) 1.5. 接地 (17) 1.6. 标签 (17) 2、网络质量要求 (18) 2.1. 覆盖达标 (18) 2.2. 质量标准 (18) 2.3. 网络运行指标 (18) 2.4. 监控系统 (19)

一、建设室内分布系统的必要性 随着我国经济的发展，人民生活水平的不断提高，移动通信事业得到了长足的进步。中国移动的GSM 蜂窝移动通信系统自1994年投入商业运行以来，一直以极高的速度发展。截至2000年底，全国GSM移动用户数量已突破6000万，网络规模容量及用户数已居世界第三位。与此相适应，中国移动的网络建设规模也在不断扩大，网络覆盖日益完善。 在此基础上，室内覆盖已成为今后网络覆盖的重点。完善室内覆盖，是为用户提供优质服务的需要，是竞争的需要。随着网络的发展，用户的要求也在不断提高，几年前用户满足于能够打电话，现在则要求随时随地可以通话，室内话务已占相当大的比重。在此情况下，必须加强室内覆盖，满足用户需求，提供优质服务。另外，竞争对手经过几年的发展，已具备相当规模，并且具有资费优势，与其相较，中国移动的核心竞争力在于网络质量，实现室内覆盖是体现差异，增强竞争力的重要手段。 室内分布系统是实现室内覆盖的主要方法，作好室内分布系统建设具有现实的重要意义。 二、中国移动室内覆盖目标要求 中国移动通信集团公司在2001年西安网络工作会议中对室内信号覆盖提出了明确的要求： “加强城市室内覆盖建设不仅是吸收话务量、提高通话质量的有力手段，还应该认识到，室内覆盖站址作为一种稀缺资源，及早抢占，将对企业的长远发展具有战略意义。各省要结合2-3年的无线网络规划，确定必须建设室内覆盖的建筑，力争在2001年完成建设。2001年要求以下重要场所实现覆盖（即室内面积95%以上信号强度大于-94db）：移动用户在10万户以上城市的政府办公场所、新闻中心；飞机场候机楼、火车站候车厅；地铁；三星级以上酒店（北京、上海、广州为四星级）、高档商业办公楼、娱乐中心；营业面积超过2万平方米的大型商场；其他移动运营商有覆盖的场所；话务量大或用户投诉多的地方。” 三、室内分布系统技术 1、室内分布系统的含义与作用 室内分布系统是一套无线信号传播设备的总称，它利用电缆或光缆，辅以功分器、耦合器，将信号

DB数据库安全配置基线

DB2数据库系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1帐号 (5) 2.1.1删除不必要的帐号* (5) 2.1.2分配数据库用户所需的最小权限* (5) 2.2口令 (6) 2.2.1DB2用户口令安全 (6) 第3章数据库权限 (7) 3.1从PUBLIC撤销隐式的权限和特权 (7) 3.1.1从PUBLIC撤销隐式的权限和特权 (7) 3.2跟踪隐式的特权 (9) 3.2.1跟踪隐式的特权 (9) 3.3检查用户许可和特权 (9) 3.3.1检查用户许可和特权* (9) 第4章DB2认证 (11) 4.1为SYS XXX_GROUP参数使用显式值 (11) 4.1.1为SYSxxx_GROUP 参数使用显式值 (11) 4.2使用加密的AUTHENTICATION模式 (11) 4.2.1使用加密的AUTHENTICATION模式 (11) 第5章DB2审计 (13) 5.1执行随机安全审计 (13) 5.1.1执行随机安全审计* (13) 第6章评审与修订 (14)

第1章概述 本文档规定了中国移动管理信息系统部所维护管理的DB2数据库系统应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的DB2数据库系统。 1.2 适用版本 DB2数据库系统。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

中国移动技术规范

中国移动技术规范 文档编号: 中国移动PTN故障智能辅助定位 功能需求规范书 文档版本：Version 1.0 版权声明：版权归中国移动通信集团公司所有，未经中国移动通信集团公 司书面许可，任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期：2019年10月发布单位：中国移动通信集团公司

本技术规范根据中国移动PTN网络维护效能提升管理需求而制定，随着网络管理需求的 不断深化，本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起早单位:中国移动通信集团公司网络部 本技术规范主要起草人： 集团公司：邓春胜、邓宇 省公司：党志俊、娄文科、田志坚、黄垣森、杨彬、张剑、夏志超、李勇、梁静海、张跃明、彭鹏 刖言 (2) 目录 (3) 1?概述 (4) 2.术语、定义和缩略语 (4) 2.1术语和定义 (4) 2.2缩略语 (4) 3.功能需求 (5) 3.1 告警相关性分析 (5) 3.1.1告警根源性分析 (5) 3.1.2告警相关性原则 (6) 3.2业务相关性分析 (6) 3.3故障辅助分析及定位 (6) 3.3.1用户界面 (7) 3.3.2故障定位手段 (7) 3.3.3故障定位结果 (8)

1 ?概述 研究各种典型场景下PTN网络故障诊断定位方法，包括业务故障、光缆故障、设备故 障、时钟故障、DCN故障、业务性能劣化等，开发出故障智能辅助定位工具，实现一键式故障智能诊断及故障原因智能输出，并给出常见故障处理建议，提高运维人员现场维护效 率及能力。该辅助定位功能具备以下模块： —告警相关性分析 —业务相关性分析 —故障智能分析和定位 2.术语、定义和缩略语 2.1术语和定义 下列术语和定义适用于本技术规范： 网元管理系统 Element Management System 简称EMS，由设备供应商提供，是为了管理一个或多个传送网网元所使用的软硬件系统。 网元管理系统管理由单一设备供应商提供的网元。 2.2缩略语 F

安全基线

安全基线项目 项目简介： 安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。安全基准项目在NIST、CIS、OVAL等相关技术的基础上，形成了一系列以最佳安全实践为标准的配置安全基准。 二. 安全基线的定义 2.1 安全基线的概念 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题 的先决条件。 2.2 安全基线的框架 在充分考虑行业的现状和行业最佳实践，并参考了运营商下发的各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果等基础上，构建出基于业务系统的基线安全模型 如图2.1所示：

图 2.1 基线安全模型 基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构： 1. 第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安 全防护的要求，是一个比较宏观的要求。 2. 第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安全防护 要求细化为此层不同模块应该具备的要求。 3. 第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作系统可分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线、华为路由器安全基线等。 下面以运营商的WAP系统为例对模型的应用进行说明：