移动规范介绍-20110808-v1.1分析.pptx

移动历年规范介绍;本次沟通目的 以梳理移动安全规划、建设、运维思路为主 整体介绍移动系列规范，期望大家可以“按图索骥” 重要规范解读汇总 数据来源 中国移动历年发布的技术规范、管理办法及内部公函 公司行业通报 行业营销中心《中国移动重要安全技术规范解读-1005-v1》 行业营销中心《2008移动运营商行业研究报 行业营销中心《移动集团业支安全运营管理平台技术规范介绍》 其他：下述内容中有*号标记的，具体参见备注部分说明。;几点个人思考;目录;中国移动安全规划发展历程;信息安全管理部：公司的统一安全管理、指导和检查部门 网络部、业务、管理信息系统部：积极推进安全建设 技术部：参与规范评审 移动研究院：成立安全所，强化安全支撑能力;各部门规范概览;规范背后的“故事”;绿盟科技@移动;目录;网络部规范编写思路概览;部门定位;网络部主要规范概览;中国移动规划的安全防护体系;NISS总纲;网络与信息安全体系（NISS）;中国移动网络与信息安全体系;安全体系第二层项目清单;网络与信息安全规范框架（2007）;中国移动网络与信息安全管理框架1;中国移动网络与信息安全管理框架2;中国移动网络与信息安全管理框架3;网络安全防护体系;网络安全防护体系总体框架;（I）安全域划分及边界整合;（I）安全域划分进展情况;中国移动通信和IT设备安全要求规范;（II）中国移动设备安全功能和配置系列规范;（III） 4A-安全管控平台;（III）4A-安全管控平台（Cont.);（IV）ISMP;WEB安全;中国移动门户网站安全技术规范;中国移动WEB安全规范概述;风险分析（脆弱性、威胁） 防护要求（安全域划分和边界整合、安全功能及配置和应用系统要求） 安全防护 《中国移动设备通用安全功能和配置规范》合规 基础安全技术防护（防火墙、IDS、AV、ADS、4A） 应用安全防护（Web应用漏洞扫描系统，Web应用防护） 安全管理 培训 评估与加固 值守 演练 ;中国移动IDC安全防护技术要求;09年8月5日3个规范编写工作同时启动，由移动设计院牵头，组织绿盟、华为、Macfee、亿阳、诺西、中兴等厂商编写 我司行业技术部参与该规范的编写； 09年12月底设计院完成最终稿提交集团安全处;IDC特点 IDC基本架构 威胁分析和脆弱性分析 IDC安全域 安全防护要求;IDC安全域;物理安全要求 IDC的资源管理 参照《中国移动IDC总体技术要求》中”资源管理”部分 组网安全及边界防护要求 针对各个域做不同的防护部署 设备安全和软件安全配置 参考“中国移动设备通用安全功能和配置规范” 内容合法性检查 针对移动侧业务进行双向流量监测：在待监测对象所处网络的出口链路上部署检测设备进行内容合法性检查。;安全防护要求 -- 组网安全及边界防护要求;中国移动互联网安全防护技术要求;时间 2009年8月初规范启动 基本上两周一次会议或者邮件组讨论 当前规范已经完成初稿，集团正在征求意见 人员 牵头部门，集团安全处周智、曹一生 执行部门：移动设计院研究所，杜雪涛、李刚、段伟希等 参与厂商：绿盟科技、爱立信、诺西、中兴、华为、亿阳信通;《中国移动互联网安全防护体系技术要求》 当前中国移动互联网规模和容量相对落后，不能满足全业务的快速发展，正在大规模的扩容 在互联网中泛滥的各种问题对中国移动互联网产生了极大的冲击，因此急需进行总体安全规划和部署 中国移动互联网安全防护系统规划、开发、建设以及维护各阶段组网和实施的依据;适用范围：中国移动互联网安全防护系统网络规划、系统分析、系统设计、工程建设、系统评价、开发、运行维护等环节同步进行安全防护工作的依据。 业务范围 骨干网：骨干层、省网 接入网：城域网、GPRS 基础服务：DNS、RADIUS;核心内容介绍;目录;部门定位;业支安全规范概览;中国移动业务支撑网4A安全技术规范;4A管理平台总体框架v1.0-v2.0;中国移动门户网站安全技术规范;;统一门户介绍;规范概述;整体框架;统一门户带来的机会与风险;移动集团业支安全运营管理平台技术规范介绍;基层安全管理员日常安全运维压力大，工作繁琐，效果和价值不能有效体现； 集团的各项安全要求不能有效落地； 安全考核以及合规检查缺乏技术手段； 从集团到省公司缺乏一个统一的安全管理平台，把资产、事件、组织、管理以及具体的安全运维统一起来集中管理和控制；;背景2--BOMC规范的推动;规范参与人员和厂商及分工;面向基层运维，解决人员不足和工作压力大的现实问题 以策略为核心，摒弃传统SIEM（SOC）的条条框框，一切从实用出发 主动安全自动化，被动安全智能化 （策略、脚本、接口）能写死的尽量写死，最大化降低操作的难度 分期建设，分步实施;总体框架;策略为核心;规范由运营商主导，集团和省