中国移动设备通用安全功能和配置规范V200-1.doc

目 录 1. 范围 1 2. 规范性引用文件 1 2.1. 内部引用 1 2.2. 外部引用 1 3. 术语、定义和缩略语 1 4. 设备安全要求框架 2 4.1. 背景 2 4.2. 设备安全要求框架说明 2 4.3. 本框架内各规范的使用原则 3 4.4. 设备安全要求编号原则 3 5. 设备通用安全功能和配置要求 4 5.1. 账号管理及认证授权要求 4 5.1.1. 账号安全要求 4 5.1.2. 口令安全要求 5 5.1.3. 授权安全要求 6 5.2. 日志安全要求 6 5.2.1. 功能要求： 6 5.2.2. 配置要求： 7 5.3. IP协议安全要求 7 5.3.1. 功能要求： 7 5.3.2. 配置要求： 8 5.4. 设备其他安全要求 8 5.4.1. 功能要求： 8 5.4.2. 配置要求： 8 6. 编制历史 8 前 言 为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。 本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面，提出了28项基本安全功能要求和19项基本安全配置要求。同时，结合实际情况，进一步将各项安全要求分为“必选”和“可选”两类，其中必选要求31项，可选要求16项。原则上，中国移动各类设备必须满足与其相关的全部必选要求，有选择的满足可选要求。 本标准由中移号文件印发。 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位：中国移动通信有限公司网络部 本标准解释单位：同提出单位 本标准主要起草人：中国移动通信集团公司 陈敏时、曹一生、周智、杨永、魏来、李友国、陈欣。 范围 本规范适用于中国移动通信网、业务系统和支撑系统的各类设备。本规范对上述设备明确了基本的安全要求。本规范作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。供中国移动内部和厂商共同使用 《中国移动内部控制手册》 中国移动通信有限公司 [3] 《中国移动标准化控制矩阵》 中国移动通信有限公司 术语、定义和缩略语 下列术语定义适用于本标准 本框架内各规范的使用原则 本框架包含的系列规范作为编制设备入网测试规范，工程验收手册，局数据模板等文档的依据，从而促进在设备入网测试、工程验收和设备运行维护环节落实相关安全要求。在采用框架中规范时，对具体设备明确相关安全要求时，应遵循全面、唯一的原则。 全面原则：具体设备的安全要求应包括适用设备运行的操作系统、数据库、网络和应用系统的全部必选安全要求，并依实际情况，有选择的满足部分可选要求。 唯一原则：具体设备的安全要求，应依次从第三层、第二层和第一层与该设备相关的规范（要求）中选择，同一方面内容不重复采用。 设备安全要求编号原则 本框架的系列规范中包含的各安全要求应采用以下格式进行编号。 安全要求-设备-{XX…X}-{功能，配置}-{YY…Y}-{ ，可选} XX…X：用小于6位（含6位）文字表示的该项要求所属规范（要求）的简称。规范简称在本框架内唯一。 {功能，配置}：对于功能要求，编号本部分使用“功能”表示；对于配置要求本部分使用“配置”表示。 {YY…Y}：该项要求的阿拉伯数字序号，在同规范中同类要求的序号不能相同。 { ，可选}：必选要求此部分为空，可选要求本部分使用“可选”表示。 设备通用安全功能和配置要求 本规范提出的安全功能要求和安全配置要求，在未特别说明的情况下，均适用于设备上运行的操作系统、数据库、网络和应用系统。 本规范从账号管理及认证授权、日志以及IP协议和其他四个方面提出安全功能和配置要求。 账号管理及认证授权要求 认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。 对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。 账号安全要求 功能要求： 编号 内容 安全要求-设备-通用-功能-1 支持按用户分配账号。 安全要求-设备-通用-功能-2 与设备运行、维护等工作无关的账号，应能够删除或锁定。 安全要求-设备-通用-功能-3 设备应能够限制允许远程登录的账号