中国移动设备通用安全功能和配置规范.docx
精品文档
中国移动设备
通用安全功能和配置规范
Sp e c i f i c a t i o n f o r Ge n e r a l
Se c u r i t y F u n c t i o n a n d
Co n f i g u r a t i o n o f De v i c e s Us e d
版本号: 2. 0. 0
╳ ╳ ╳ ╳ - ╳ ╳ - ╳ ╳发布╳ ╳ ╳ ╳ -╳ ╳ -╳ ╳ 实施
中国移动通信有限公司网络部
目录
1.范围 (1)
2.规范性引用文件 (1)
2.1.内部引用 (1)
2.2.外部引用 (1)
3.术语、定义和缩略语 (1)
4.设备安全要求框架 (2)
4.1.背景 (2)
4.2.设备安全要求框架说明 (2)
4.3.本框架内各规范的使用原则 (3)
4.4.设备安全要求编号原则 (3)
5.设备通用安全功能和配置要求 (4)
5.1.账号管理及认证授权要求 (4)
5.1.1.账号安全要求 (4)
5.1.2.口令安全要求 (5)
5.1.3.授权安全要求 (6)
5.2.日志安全要求 (6)
5.2.1.功能要求: (6)
5.2.2.配置要求: (7)
5.3.IP 协议安全要求 (7)
5.3.1.功能要求: (7)
5.3.2.配置要求: (8)
5.4.设备其他安全要求 (8)
5.4.1.功能要求: (8)
5.4.2.配置要求: (8)
6.编制历史 (8)
前言
为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本规范主要从账号管理及认证授权要求、日志安全要求、 IP 协议安全要求和
设备其他安全要求 4个方面,提出了 28项基本安全功能要求和 19项基本安全配置
要求。同时,结合实际情况,进一步将各项安全要求分为“必选”和“可选”两类,其中必选要求 31项,可选要求 16项。原则上,中国移动各类设备必须满足与其相
关的全部必选要求,有选择的满足可选要求。
本标准起草单位:中国移动通信有限公司网络部。
本标准解释单位:同提出单位。
本标准主要起草人:中国移动通信集团公司陈敏时、曹一生、徐海东、周智、杨永、魏来、李友国、陈欣。
1.范围
本规范适用于中国移动通信网、业务系统和支撑系统的各类设备。本规范对上述设备明确了
基本的安全要求。本规范作为编制设备技术规范、设备入网测试规范,工程验收手册,
局数据模板等文档的依据。供中国移动内部和厂商共同使用。
2.规范性引用文件
2.1.内部引用
本规范是编制其他设备安全功能和配置规范的基础。原则上,在相同方面,其他安全功能和配置规范的要求应不低于本规范要求。如特殊原因,需要降低要求,应在相应规范的此
部分予以解释说明。
2.2.外部引用
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标
准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
表 2-1
[1]《中国移动网络与信息安全总纲》中国移动通信有限公司
[2]《中国移动内部控制手册》中国移动通信有限公司
[3]《中国移动标准化控制矩阵》中国移动通信有限公司
3.术语、定义和缩略语
下列术语、定义和缩略语适用于本标准:
表 3-1
词语解释
设备功能要求描述规范适用范围内设备必须和推荐满足的最低安全功能要
求。可作为编制设备技术规范、设备测试规范的依据。在设备
入网测试时使用。
设备配置要求描述规范适用范围内设备必须和推荐采用的配置要求。可作为
编制工程验收手册、局数据模板的依据。在工程验收和运行维
护时采用。设备功能要求是实现设备配置要求的基础。
4.设备安全要求框架
4.1.背景
随着各类通信和IT 设备采用通用操作系统、数据库,及各类设备间越来越多的使用IP
协议进行通信,其网络安全问题日渐凸出。为了维持通信网、业务系统和支撑系统设备安全,
必须从设备选型、入网测试、工程验收和运行维护等,设备全生命周期各个阶段加强和落实
安全要求。
中国移动内部控制手册和控制矩阵对操作系统、数据库和应用系统的账号口令以及操作
日志记录等方面提出的具体的要求。相关要求的落实需要设备功能支持。
4.2.设备安全要求框架说明
中国移动设备安全要求框架(以下简称框架)由三个层面的设备安全规范组成。
本规范为框架的第一层面,其编制依据主要为中国移动网络与信息安全总纲、中国移动内部控制手册和控制矩阵,同时参考国际、国内相关标准规范。
第二层规范,按设备种类,分为主机设备类安全规范、数据库设备类安全规范、网络设
备类安全规范和互联网应用类安全规范等。每类规范又具体分为安全功能规范和安全配置规
范。第二层规范包含的设备种类可根据需要进行扩充。第二层规范的编制依据主要为本规范,同
时参考各类设备和产品相应的技术资料。
第三层面由具体通信网、业务系统、支撑系统中各类设备的安全要求组成。该类规范的编制依据主要为本规范、第二层面相关的规范以及通信网、业务系统、支撑系统已有的安全要求。
图4.1
通信网、业务系统、支撑系统
中国移网与信息安部内部控制手册,控制相关安全要求全矩
中国移通用安全功能和配置范
主机安全范数据安全范网安全范
主机操作系统安全功能规范数据库安全功能规范路由器安全功能规范
??Solaris 安全配置规范Oracle 数据库安全配置规范Juniper 路由器安全配置规范
Windows 安全配置规范
SQLServer 数据库安全配置规范CISCO 路由器安全配置规范
??????
通信网、系、支撑系安全要求
HLR设备安全要求
智能网VC设备安全要求
??
4.3.本框架内各范的使用原
本框架包含的系列范作制入网范,工程收手册,局数据模板等文档
的依据,从而促在入网、工程收和运行落相关安全要求。在采用框架中范,具体明确相关安全要求,遵循全面、唯一的原。
全面原:具体的安全要求包括适用运行的操作系、数据、网和用
系的全部必安全要求,并依情况,有的足部分可要求。
唯一原:具体的安全要求,依次从第三、第二和第一与相关的范(要求)中,同一方
面内容不重复采用。
4.4.安全要求号原
本框架的系列范中包含的各安全要求采用以下格式行号。安全要
求 - -{XX ? X}-{ 功能,配置 }-{YY ? Y}-{ ,可 }
XX? X:用小于 6位(含 6位)文字表示的要求所属范(要求)的称。范称在本框架内唯
一。
{ 功能,配置 } :于功能要求,号本部分使用“功能”表示;于配置要求本部分使用“配置”
表示。
{YY? Y} :要求的阿拉伯数字序号,在同范中同要求的序号不能相同。
{ ,可 } :必要求此部分空,可要求本部分使用“可”表示。
5.设备通用安全功能和配置要求
本规范提出的安全功能要求和安全配置要求,在未特别说明的情况下,均适用于设备上运行
的操作系统、数据库、网络和应用系统。
本规范从账号管理及认证授权、日志以及 IP 协议和其他四个方面提出安全功能和配置要求。
5.1.账号管理及认证授权要求
认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、
动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限,并限制用户进行超越
其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。
对于存在字符或图形界面( WEB界面)的人机交互的设备,应提供账号管理及认证授权
功能,并应满足以下各项要求。
5.1.1. 账号安全要求
5.1.1.1.功能要求:
表 5-1
编号内容
安全要求- 设备 - 通用 - 功能支持按用户分配账号。
-1
安全要求- 设备 - 通用 - 功能与设备运行、维护等工作无关的账号,应能够删除或锁定。
-2
安全要求- 设备 - 通用 - 功能设备应能够限制允许远程登录的账号。
-3
安全要求- 设备 - 通用 - 功能对于应用程序,应支持基于角色的授权方式,并提供满足LDAP -30- 可选V3标准的账号管理接口。
5.1.1.2.配置要求:
表 5-2
编号内容
安全要求- 设备 - 通用 - 配置应按照用户分配账号。避免不同用户间共享账号。避免用户
-1账号和设备间通信使用的账号共享。
安全要求- 设备 - 通用 - 配置应删除或锁定与设备运行、维护等工作无关的账号。
-2
安全要求- 设备 - 通用 - 配置限制具备管理员权限的用户远程登录。远程执行管理员权限
-3- 可选操作,应先以普通权限用户远程登录后,再切换到管理员权
限账号后执行相应操作。
5.1.2. 口令安全要求
5.1.2.1.功能要求:
表 5-3
编号内容
安全要求 - 设备 - 通用 - 功能对于采用静态口令认证技术的设备,应支持数字、小写字母、-4大写字母和特殊符号 4类字符构成的口令。应支持配置口令复
杂度,限制口令的最短长度。在配置了复杂度后,设备自动
拒绝用户设置不符合复杂度要求的口令。
安全要求 - 设备 - 通用 - 功能对于采用静态口令认证技术的设备,应支持按天配置口令生
-5存期功能。在配置了口令生存期后,设备在口令超过生存期
的用户登录时,不允许其帐户登陆或提示并强迫该用户设置
新口令。
安全要求 - 设备 - 通用 - 功能对于采用静态口令技术认证的设备,应支持分帐户配置口令
-29- 可选生存期。支持设置口令生存期为“永久”。
安全要求 - 设备 - 通用 - 功能对于采用静态口令认证技术的设备,应支持配置用户不得重
-6- 可选复使用其最近已用口令的功能。当配置相应功能后,设备拒
绝用户重复使用在限制次数内的口令
安全要求 - 设备 - 通用 - 功能对于采用静态口令认证技术的设备,应支持配置用户连续认
-7- 可选证失败次数上限。当用户连续认证失败次数超过上限时,设
备自动锁定该用户账号。必须由其他账号,通常为具有管理
员权限的账号,才可以解除该账号锁定
安全要求 - 设备 - 通用 - 功能对于采用静态口令认证技术的设备,必须支持口令修改,口
-21令修改后不影响设备中业务的正常使用。
安全要求 - 设备 - 通用 - 功能对于采用静态口令认证技术的设备,支持静态口令加密存放。-22
5.1.2.2.配置要求:
表 5-4
编号内容
安全要求 - 设备 - 通用 - 配置对于采用静态口令认证技术的设备,口令长度至少 8位,并包-4括数字、小写字母、大写字母和特殊符号4类中至少 2类。
安全要求 - 设备 - 通用 - 配置对于采用静态口令认证技术的设备,维护人员使用的账户口
-5令的生存期不长于 90天。
安全要求 - 设备 - 通用 - 配置对于采用静态口令认证技术的设备,设备间通信使用的账户
-29- 可选口令的生存期不长于 180天。
安全要求 - 设备 - 通用 - 配置对于采用静态口令认证技术的设备,应配置设备,使用户不
-6- 可选能重复使用最近 5次(含 5次)内已使用的口令。
安全要求 - 设备 - 通用 - 配置对于采用静态口令认证技术的设备,应配置当用户连续认证
-7- 可选失败次数超过 6次(不含 6次),锁定该用户使用的账号。
5.1.3. 授权安全要求
5.1.3.1.功能要求:
表 5-5
编号内容
安全要求- 设备 - 通用 - 功能设备应支持对不同用户授予不同权限。
-9
安全要求- 设备 - 通用 - 功能对于用户可通过人机交互界面访问文件系统的设备,设备应
-10支持对文件系统中的目录和文件,给不同用户或用户组分别
授予读、写、执行权限。
安全要求- 设备 - 通用 - 功能对于存在关系型数据库的设备,设备应支持对数据库表,给
-11不同数据库用户或用户组分别授予读取、修改的权限。
5.1.3.2.配置要求
表 5-6
编号内容
安全要求- 设备 - 通用 - 配置在设备权限配置能力内,根据用户的业务需要,配置其所需
-9的最小权限。
5.2.日志安全要求
5.2.1. 功能要求:
表 5-7
编号内容
安全要求 - 设备 - 通用 - 功能 -12设备日志应支持对用户登录 / 登出进行记录。记录内容包括
用户登录使用的账号,登录是否成功,登录时间,以及远
程登录时,用户使用的 IP 地址。
安全要求 - 设备 - 通用 - 功能 -13设备日志应支持记录用户对设备的操作,包括但不限于以
下内容:账号创建、删除和权限修改,口令修改,读取和
修改设备配置,读取和修改业务用户的话费数据、身份数
据、涉及通信隐私数据。记录需要包含用户账号,操作时
间,操作内容以及操作结果。
安全要求 - 设备 - 通用 - 功能 -24设备日志应支持记录与设备相关的安全事件。
安全要求 - 设备 - 通用 - 功能 -14设备应支持远程日志功能。所有设备日志均能通过远程日
志功能传输到日志服务器。设备应支持至少一种通用的远
程标准日志接口,如 SYSLOG、 FTP等。
安全要求 - 设备 - 通用 - 功能 -31人员对设备的操作日志存储时间至少3个月。
安全要求 - 设备 - 通用 - 功能 -28设备应能够按账号分配日志文件读取、修改和删除权限,
从而防止日志文件被篡改或非法删除。
5.2.2. 配置要求:
表 5-8
编号内容
安全要求 - 设备 - 通用 - 配置 -12设备应配置日志功能,对用户登录进行记录,记录内容包
括用户登录使用的账号,登录是否成功,登录时间,以及
远程登录时,用户使用的IP 地址。
安全要求 - 设备 - 通用 - 配置设备应配置日志功能,记录用户对设备的操作,包括但不
-13- 可选限于以下内容:账号创建、删除和权限修改,口令修改,
读取和修改设备配置,读取和修改业务用户的话费数据、
身份数据、涉及通信隐私数据。记录需要包含用户账号,
操作时间,操作内容以及操作结果。
安全要求 - 设备 - 通用 - 配置设备应配置日志功能,记录与设备相关的安全事件。
-24- 可选
安全要求 - 设备 - 通用 - 配置设备配置远程日志功能,将需要重点关注的日志内容传输
-14- 可选到日志服务器。
安全要求 - 设备 - 通用 - 配置 -28设备应配置权限,控制对日志文件读取、修改和删除等操
作。
5.3. IP 协议安全要求
5.3.1. 功能要求:
表 5-9
编号内容
安全要求 - 设备 - 通用 - 功能 -15对于具备 TCP/UDP协议功能的设备,应支持列出当前开放端
口列表以及设备和其他设备连接情况。
安全要求 - 设备 - 通用 - 功能 -16对于具备 TCP/UDP协议功能的设备,应支持配置基于源 IP 地
址、目的 IP 地址、通信协议类型(如TCP、 UDP、 ICMP)、
源端口、目的端口的流量过滤。
安全要求 - 设备 - 通用 - 功能对于通过 IP 协议进行远程维护的设备,设备应支持使用 SSH -17- 可选等加密协议。
安全要求 - 设备 - 通用 - 功能设备应支持列出对外开放的IP 服务端口和设备内部进程的
-18- 可选对应表。
安全要求 - 设备 - 通用 - 功能 -22对于通过IP协议进行远程维护的设备,设备应支持对允
许登陆到该设备的 IP 地址范围进行设定。
5.3.2. 配置要求:
表 5-10
编号内容
安全要求 - 设备 - 通用 - 配置对于具备TCP/UDP协议功能的设备,设备应根据业务需要,
-16- 可选配置基于源IP地址、通信协议TCP或 UDP、目的 IP 地址、源
端口、目的端口的流量过滤,过滤所有和业务不相关的流
量。
安全要求 - 设备 - 通用 - 配置对于使用IP协议进行远程维护的设备,设备应配置使用SSH -17- 可选等加密协议。
5.4.设备其他安全要求
5.4.1. 功能要求:
表 5-11
编号内容
安全要求 - 设备 - 通用 - 功能 -19对于具备字符交互界面的设备,应支持定时账户自动登出。
登出后用户需再次登录才能进入系统。
安全要求 - 设备 - 通用 - 功能 -20对于具备图形界面(含WEB界面)的设备,应支持手动和定
时自动屏幕锁定。锁屏后需再次进行身份认证后才能解除
屏幕锁定。
安全要求 - 设备 - 通用 - 功能 -26设备应具备通过补丁升级消除软件安全漏洞的能力。
安全要求 - 设备 - 通用 - 功能 -27对于具备consol口的设备,应配置consol口密码保护功能。5.4.2. 配置要求:
编号
安全要求 - 设备 - 通用 - 配置 -19 安全要求 - 设备 - 通用 - 配置
-20- 可选
安全要求 - 设备 - 通用 - 配置 -27 6.编制历史
版本号更新时间
2.0.02008-10
表5-12
内容
对于具备字符交互界面的设备,应配置定时账户自动登出。对于具备图形界面(含 WEB界面)的设备,应配置定时自动屏幕锁定。
对于具备 consol 口的设备,应配置 consol 口密码保护功能。
主要内容或重大修改
1、新增以下要求:
安全要求 - 设备 - 通用 - 功能 -29- 可选
安全要求 - 设备 - 通用 - 功能 -31
安全要求 - 设备 - 通用 - 配置 -29- 可选安全要求 - 设备 - 通用 - 功能 -30- 可选2、将下列要求由“可选”改为“必选”安全要求 - 设备 - 通用 - 功能 -3
安全要求 - 设备 - 通用 - 配置 -1
安全要求 - 设备 - 通用 - 配置 -2
安全要求 - 设备 - 通用 - 功能 -10
安全要求 - 设备 - 通用 - 功能 -11
安全要求 - 设备 - 通用 - 功能 -13
安全要求 - 设备 - 通用 - 功能 -24
安全要求 - 设备 - 通用 - 功能 -14
安全要求 - 设备 - 通用 - 功能 -28
安全要求 - 设备 - 通用 - 配置 -28
安全要求 - 设备 - 通用 - 功能 -16
安全要求 - 设备 - 通用 - 功能 -22
安全要求 - 设备 - 通用 - 功能 -19
安全要求 - 设备 - 通用 - 功能 -20
安全要求 - 设备 - 通用 - 功能 -26
安全要求 - 设备 - 通用 - 功能 -27
安全要求 - 设备 - 通用 - 配置 -19
安全要求 - 设备 - 通用 - 配置 -27
3、对以下要求内容进行了修改
安全要求 - 设备 - 通用 - 功能 -4
安全要求 - 设备 - 通用 - 功能 -5
安全要求 - 设备 - 通用 - 配置 -5
安全要求 - 设备 - 通用 - 配置 -28