中国移动通信企业标准QB-XX-XXX-XXXX中国移动管理信息系统安全基线技术规范TechnicalSpecificationsforSecurityBaselineofCMCCMIS版本号:1.0.0XXXX-XX-XX 发布XXXX-XX-XX 实施中国移动通信集团公司发布中国移动通信CHINAMOBILE本规范是针对操作系统、网络设备、数据库、中间件和 WEB 应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。本规范由中国移动通信集团公司管理信息系统部提出并归口管理。本规范的解释权属于中国移动通信集团公司管理信息系统部。本规范起草单位:中国移动通信集团公司管理信息系统部本规范主要起草人:起草人 1 姓名、起草人 2 姓名、……1 概述 41.1 目标和适用范围 41.2 引用标准 41.3 术语和定义 42 安全基线框架 52.1 背景 52.2 安全基线制定的方法论 62.3 安全基线框架说明 63 安全基线范围及内容 73.1 覆盖范围 73.2 安全基线组织及内容 83.2.1 安全基线编号说明 93.2.2 Web 应用安全基线示例 93.2.3 中间件、数据库、主机及设备示例 93.3 安全基线使用要求 104 评审与修订 101 概述1.1 目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和 WEB 应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和 WEB 应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。1.2 引用标准♦《中国移动网络与信息安全总纲》♦《中国移动内部控制手册》♦《中国移动标准化控制矩阵》♦《中国移动操作系统安全功能和配置规范》♦《中国移动路由器安全功能和配置规范》♦《中国移动数据库安全功能和配置规范》♦《中国移动网元通用安全功能和配置规范》♦FIPS199《联邦信息和信息系统安全分类标准》♦FIPS200《联邦信息系统最小安全控制标准》1.3 术语和定义词语解释SecurityBaseline安全基线:是设备功能和配置方面的基本安全要求,是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统,用于保障组织内 IT 系统安全水平。SHG安全加固手册 SecurityHardenGuidelineSBL安全基线 SecurityBaseline安全风险人为或自然的威胁可能利用 IT 系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。安全风险评估指运用科学...
