073(2015) 中国联通业务信息安全评估基本规范 V1.0.doc

1、中 国 联 通 公 司 企 业 标 准QB/CU A32-073(2015)中国联通业务信息安全评估基本规范The General Specification for Service Systems Risk Assessment On Information Security of Chinaunicom(V1.0)2015-03-30 发布 2015-03-30 实施中 国 联 通 公 司 发 布QB/CU QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.0I目 次前言 .III1 范围 .12 规范性引用文件 .13 安全评估框架 .23.1 概述 .23.

2、2 安全评估框架 .23.3 安全评估框架简介 .23.3.1 设备安全 .23.3.2 平台及软件安全 .23.3.3 业务流程安全 .33.3.3.1 计费安全 .33.3.3.2 接口安全 .33.3.3.3 用户信息安全 .33.3.3.4 业务逻辑安全 .33.3.3.5 传播安全 .33.3.3.6 营销安全 .33.3.3.7 应急预案 .33.3.4 业务内容安全 .33.3.5 安全管控 .33.3.5.1 系统安全 .33.3.5.2 人员安全 .43.3.5.3 第三方管理安全 .43.4 应用指导原则 .44 安全评估实施要点和要求 .44.1 设备安全 .44.2 平

3、台及软件安全 134.3 业务流程安全 154.3.1 计费安全 154.3.2 接口安全 164.3.3 用户信息安全 174.3.4 业务逻辑安全 184.3.5 传播安全 204.3.6 营销安全 214.3.7 应急预案 224.4 业务内容安全 224.4.1 引入机制 224.4.2 提供流程 224.4.3 发布机制 234.4.4 操作记录 24QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.0II4.5 安全管控 244.5.1 系统安全 244.5.2 人员安全 254.5.3 第三方安全管理 26QB/CU A32-073(2015)中国联通

4、业务信息安全评估基本规范 V1.0III前 言为了加强中国联通业务信息安全管理，保证业务发展与信息安全措施同步规划、同步建设、同步运行，提升业务信息安全整体水平，降低业务安全风险，特制定本信息安全评估规范。本评估规范针对各业务类型的信息安全水平进行客观、综合的信息安全评价，促进业务安全评估工作的开展，为业务发展提供良好支撑。本规范解释权归总部信息安全部。本规范由中国联通公司信息安全部提出。本规范由中国联通公司技术部归口。本规范主要起草单位：中国联通公司信息安全部、中国联通研究院本规范主要起草人：李楠、张勇气、徐亮、毕强、杨静本规范修改和解释权属中国联合网络通信有限公司QB/CU A32-073

5、(2015)中国联通业务信息安全评估基本规范 V1.01中国联通业务信息安全评估基本规范1 范围本规范规定了中国联通业务在进行信息安全评估的基本要求。本规范所指业务是指本标准在公司范围内发布后，提供的具有新功能或新使用价值的业务及存量业务的新增功能。本规范适用于对中国联通业务上线前进行信息安全评估，也适用于当存量业务增减功能或当使用用户规模发生较大增长时进行信息安全评估。本规范是对业务进行信息安全评估的基本要求，对于不同类型的业务，可根据业务特点和使用环境在评估项上进行补充完善。2 规范性引用文件本规范编制依据下列文件：YD/T 2692-2014 电信和互联网用户个人电子信息保护通用技术要求

6、和管理要求YD/T 2694-2014 移动互联网联网应用安全防护要求YD/T 2698-2014 电信网和互联网安全防护基线配置要求及检测要求 网络设备YD/T 2699-2014 电信网和互联网安全防护基线配置要求及检测要求 安全设备YD/T 2700-2014 电信网和互联网安全防护基线配置要求及检测要求 数据库YD/T 2701-2014 电信网和互联网安全防护基线配置要求及检测要求 操作系统YD/T 2702-2014 电信网和互联网安全防护基线配置要求及检测要求 中间件YD/T 2703-2014 电信网和互联网安全防护基线配置要求及检测要求 web 应用系统中国联通 IT 系统

7、BSS 系统域业务支撑网管系统业务技术规范 安全管理分册 v1.0中国联通增值业务平台系统安全防护总体规范 v1.0中国联通商用产品业务平台安全防护系统技术规范 V1.0中国联通创新业务系统安全监测平台技术规范 V1.0中国联通门户类增值业务平台安全防护规范 V1.0中国联通云计算通用安全技术规范 V1.0中国联通应用数据安全管理技术规范 V1.0中国联通聚合类业务平台安全防护规范 V1.0中国联通 IT 系统企业内部网安全管理系统技术规范 v1.0中国联通电子渠道安全技术规范 v1.0中国联通双栈（IPv4IPv6）防火墙设备技术要求 V1.0中国联通信息系统 PaaS 平台数据库即服务技术

8、规范 V1.0中国联通 IT 系统 ORACLE 数据库软件管理实施细则 v1.0QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.023 安全评估框架3.1 概述中国联通业务信息安全评估依据科学的安全风险评估方法，并结合中国联通的实际情况，从业务所涉及的各类软硬件资产（设备、平台及软件、业务流程、业务内容）及安全管控出发，依据不同类型资产耦合度，划分为五个层次。根据不同层次常见的安全风险，分别对不同风险进行信息安全评估。本信息安全评估规范重点对与业务流程相关的内容、用户信息、业务逻辑及安全管控等方面进行信息安全风险评估，旨在尝试深层次探索中国联通业务信息安全评估体

9、系，相关评估结果亦可指导相关业务的建设和运维。3.2 安全评估框架图1 安全评估框架图3.3 安全评估框架简介3.3.1 设备安全设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。重点评估中国联通业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.2 平台及软件安全QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.03业务平台及软件安全从数据库、中间件两个方面进行安全评估。重点评估中国联通业务平台所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。3.3.3 业务流程安全3.3.3.1 计费安全计费安

10、全从计费流程方面进行安全评估。重点评估中国联通业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。3.3.3.2 接口安全接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。重点评估中国联通业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。3.3.3.3 用户信息安全用户信息安全从用户基本信息（包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等信息）存储、用户数据信息（包括用户使用服务的时间、地点、通信内容等）保护两个方面进行安全评估。重点评估中国联通业务在用户信息保存、访问、保护等方面的信息安全管控措施的落实及

11、实施效果。3.3.3.4 业务逻辑安全业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。重点评估中国联通业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。3.3.3.5 传播安全传播安全从业务传播方式方面进行安全评估。重点评估中国联通业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。3.3.3.6 营销安全营销安全从营销渠道、营销防盗链两个方面进行安全评估。重点评估中国联通业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。3.3.3.7 应急预案应急预案主要从是否有应急预案、预案的可操作性及预案的有效性进行评

12、估。重点评估中国联通的业务上线后，因灾难或故障导致业务系统部分瘫痪时，将整个业务系统恢复到正常运行状态或部分正常运行状态、并将其支持的业务从灾难造成的不正常状态恢复到可接受状态，而需要采取的应对预案和措施备及实施效果。3.3.4 业务内容安全业务内容安全从内容审核、内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护五个方面进行安全评估。重点评估中国联通业务在内容安全、内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.043.3.5 安全管控3.3.5.1 系统安全系统安全对业务

13、相关的应用软件系统的访问控制措施进行安全评估。重点评估中国联通业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果。3.3.5.2 人员安全人员安全从人员管理方面进行安全评估。重点评估中国联通业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。3.3.5.3 第三方管理安全第三方安全管理从人员安全、物理安全两个方面进行安全评估。重点评估中国联通业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。3.4 应用指导原则本信息安全评估规范旨在建立基本的、体系化的中国联通业务安全风险评估基本要

14、求，不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化和补充以突出不同的重点。4 安全评估实施要点4.1 设备安全评估编号 AQSBAQ-WLSB 评估场景 设备安全网络设备评估要点对基础网络设备(包括交换机、路由器、负载均衡等)的基线配置进行以下评估：账号管理及认证授权；账户安全；口令安全；授权安全；日志安全；IP 协议安全；其他安全要求。评估方法检查网络单元中基础网络设备基线配置；漏洞扫描；渗透性测试。应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。是否其它：评估结果账号管理及认证鉴权账户安全应删除或锁定与设备运行、维护等工作无关 是否QB/C

15、U A32-073(2015)中国联通业务信息安全评估基本规范 V1.05的账号。 其它：限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。是否其它：对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。是否其它：对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。是否其它：对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5 次（含 5次）内已使用的口令。是否其它：口令安全对于采用静态口令认证技术的设备，应配置当用户连续认

16、证失败次数超过 6 次（不含 6次） ，锁定该用户使用的账号。是否其它：授权安全要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。是否其它：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。是否其它：设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。是否其它：设备应配置日志功能，记录对与设备相关的安全事件。 是否

17、其它：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。是否其它：日志安全需求设备应配置权限，控制对日志文件读取、修改和删除权限操作。是否其它：IP 协议安全对于具备 TCP/UDP 协议功能的设备，设备应根据业务需要，配置基于源 IP 地址、通信协议 TCP 或 UDP、是否其它：QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.06目的 IP 地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加密协议。是否其它：对于具备字符交互界面的设备，应配置定时账户自动登出。是否其它

18、：对于具备图形界面（含 WEB 界面）的设备，应配置定时自动屏幕锁定。是否其它：设备其他安全需求对于具备 consol 口的设备，应配置 consol 口密码保护功能。是否其它：当前风险评估建议评估编号 AQSBAQAQSB评估场景 设备安全安全设备评估要点对安全设备（包括防火墙、入侵检测设备等）基线配置安全评估，以为例进行以下评估：账号管理及认证授权；账户安全；口令安全；授权安全；日志安全；告警配置安全；安全策略配置；攻击防护安全；虚拟防火墙安全；IP 协议安全；其他安全要求。评估方法检查网络单元中网络安全设备(防火墙、入侵检测等)基线配置；漏洞扫描；渗透性测试。应按照用户分配账号。避免不同

19、用户间共享账号。避免用户账号和设备间通信使用的账号共享。是否其它：评估结果账号管理及认证鉴权账户安全应删除或锁定与设备运行、维护等工作无关的账号。是否其它：QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.07对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。是否其它：对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。是否其它：口令安全对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6次） ，锁定该用户使用的账号。是否其它：授权安全要求在设备权限配置能

20、力内，根据用户的业务需要，配置其所需的最小权限。是否其它：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。是否其它：设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。是否其它：设备应配置日志功能，记录对与设备相关的安全事件。 是否其它：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。是否其它：设备应配置权限，控制

21、对日志文件读取、修改和删除权限操作。是否其它：记录防火墙与防火墙相关的安全事件。是否其它：设备应配置 NAT 日志记录功能，记录转换前后 IP 地址的对应关系。防火墙如果开启 vpn 功能，应配置记录 vpn 日志记录功能，记录 vpn 访问登陆、退出等信息。是否其它：设备应配置流量日志记录功能。是否其它：日志安全需求在防火墙设备的日志容量达到 75%时，防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服是否其它：QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.08务器。防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息。是否

22、其它：设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。是否其它：告警信息应被保留，直到被确认为止。是否其它：设备应配置告警功能，报告网络流量中对 TCP/IP 协议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置。是否其它：设备应配置告警功能，报告网络流量中对 TCP/IP 应用层协议异常进行攻击的相关告警，对每一个告警项是否告警可由用户配置。是否其它：应打开 DOS 和 DDOS 攻击防护功能。对攻击告警。DDOS 的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。是否其它：可打开扫描攻击检

23、测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。是否其它：防火墙应具备关键字内容过滤功能，可打开该功能，在 HTTP，SMTP，POP3 等协议中对用户设定的关键字进行过滤。是否其它：告警配置安全如防火墙具备网络病毒防护功能。可打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵。是否其它：所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。是否其它：在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。是否其它

24、：对于访问规则的排列，应当遵从范围由小到大的排列规则。应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。是否其它：安全策略配置在进行重大配置修改前，必须对当前配置进行备份。 是否QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.09其它：对于 VPN 用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。是否其它：访问规则必须按照一定的规则进行分组。是否其它：配置 NAT，对公网隐藏局域网主机的实际地址。是否其它：隐藏防火墙字符管理界面的 banner 信息。是否其它：应用代理服务器，将从内网到外网的

25、访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。是否其它：防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。是否其它：对于常见系统漏洞对应端口，应当进行端口的关闭配置。是否其它：限制 ICMP 包的大小，以及一段时间内同一 IP 地址主机发送 ICMP ECHO Request 报文的次数。是否其它：对于防火墙各逻辑接口需要开启防源地址欺骗功能。是否其它：对于有固定模式串的攻击，在应急时可开启基于正则表达式的模式匹配的功能

26、。是否其它：攻击防范安全回环地址（lookback address）一般用于本机的 IPC通讯，防火墙必须阻断含有回环地址(lookback address)的流量。是否其它：虚拟防火墙安全可划分成多个虚拟防火墙系统，每个虚拟系统都是一个唯一的安全域，拥有其自己的管理员进行管理，管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口。是否其它：IP 协议 对于具备 TCP/UDP 协议功能的设备，设备应根据业务 是否QB/CU A32-073(2015)中国联通业务信息安全评估基本规范

27、V1.010需要，配置基于源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。其它：安全对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加密协议。是否其它：对于具备字符交互界面的设备，应配置定时账户自动登出。是否其它：对于具备图形界面（含 WEB 界面）的设备，应配置定时自动屏幕锁定。是否其它：对于具备 consol 口的设备，应配置 consol 口密码保护功能。是否其它：对于外网口地址，关闭对 ping 包的回应。建议通过VPN 隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑。是否其

28、它：使用 SNMP V3 以上的版本对防火墙做远程管理。去除SNMP 默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写） 。是否其它：设备其他安全需求对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置 ACL。是否其它：当前风险评估建议评估编号 AQSBAQCZXT评估场景 设备安全主机操作系统评估要点对主机操作系统（包括 AIX、windows 等）基线配置进行以下评估：采用国家许可的正版操作系统，保证版本的有效更新；遵循最小安装的原则，仅安装需要的组件和应用程序；账号管理及认证授权

29、；账户安全；口令安全；授权安全；日志安全；IP 协议安全；IP 协议安全；QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.011路由协议安全；其他安全要求。评估方法核查主机操作系统基线配置；漏洞扫描；渗透性测试。采用国家许可的正版操作系统，版本能有效更新。是否其它：遵循最小安装的原则，仅安装了需要的组件和应用程序。是否其它：应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。是否其它：应删除或锁定与设备运行、维护等工作无关的账号。是否其它：限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再

30、切换到超级管理员权限账号后执行相应操作。是否其它：根据系统要求及用户的业务需求，建立多账户组，将用户账号分配到相应的账户组。是否其它：账户安全对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。是否其它：对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。是否其它：对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。是否其它：对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5 次（含 5次）内已使用的口令。是否

31、其它：口令安全对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6次） ，锁定该用户使用的账号。是否其它：评估结果账号管理及认证鉴权授权 在设备权限配置能力内，根据用户的业务需 是否QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.012要，配置其所需的最小权限。 其它：控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。是否其它：安全要求控制 FTP 进程缺省访问权限 ，当通过 FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访

32、问允许权限。是否其它：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。是否其它：设备应配置日志功能，记录对与设备相关的安全事件。 是否其它：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。是否其它：启用系统记账（System accounting） ，记录系统数据，比如 CPU 利用率，磁盘的 I/O 信息等。是否其它：日志安全需求启用内核级审核。是否其它：对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加密协议，并安全配置 SSHD 的设置。是否其它：设备应支持列出对外开

33、放的 IP 服务端口和设备内部进程的对应表。是否其它：IP 协议安全对于通过 IP 协议进行远程维护的设备，设备应支持对允许登陆到该设备的 IP 地址范围进行设定。是否其它：主机系统应该禁止 ICMP 重定向，采用静态路由。是否其它：路由协议安全 对于不做路由功能的系统，应该关闭数据包转发功能。 是否其它：对于具备字符交互界面的设备，应配置定时账户自动登出。是否其它：对于具备图形界面（含 WEB 界面）的设备，应配置定时自动屏幕锁定。是否其它：涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。是否其它：设备其他安全需求应该从应用层面进行必要的安全访问控制，比如

34、FTP 是否QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.013服务器应该限制 ftp 可以使用的目录范围。 其它：在系统安装时建议只安装基本的 OS 部份，其余的软件包则以必要为原则，非必需的包就不装。是否其它：应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。是否其它：列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。是否其它：如果网络中存在信任的 NTP 服务器，应该配置系统使用 NTP 服务保持时间同步。是否其它：NFS 服务：如果没有必要，需要停止 NFS 服务；如果需要 NFS 服务，需要限制能够访问 NFS 服务的 IP

35、 范围。是否其它：防止堆栈缓冲溢出。是否其它：列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。是否其它：关闭系统串行口（serial port） ，避免未授权用户通过调制解调器、终端或其他远程访问设备连接到这些物理端口，从而获得系统控制权。系统 console 的gettyprocess 使用/dev/console 相当于一个/dev/tty。是否其它：当前风险评估建议4.2 平台及软件安全评估编号 AQPTRJ-SJKA评估场景 平台及软件安全数据库评估要点对数据库基线配置安全评估，以 MSSQL 为例，进行以下评估：账号安全；口令安全；日志安全；其他安全要求。评估方法核查数据

36、库基线配置；漏洞扫描；渗透性测试。评估结果 账号安 应按照用户分配账号，避免不同用户间共享账号。 是否QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.014其它：应删除与数据库运行、维护等工作无关的账号。是否其它：在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。是否其它：全使用数据库角色来管理对象的权限。是否其它：口令安全对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有账号的口令，确认为强口令。特别是 sa 账号，需要设置至少 10 位的强口令。是否其它：数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、

37、登录是否成功、登录时间。是否其它：数据库应配置日志功能，记录对与数据库相关的安全事件。是否其它：日志安全审计级别调整为“全部” ，身份验证调整为“SQL Server 和 Windows”。是否其它：停用不必要的存储过程。是否其它：使用通讯协议加密。是否其它：其他安全为系统打最新的补丁包。是否其它：当前风险评估建议评估编号 AQPTRJ-ZJJA评估场景 平台及软件安全中间件评估要点对中间件基线配置安全评估，以 tomcat 为例，进行以下评估：账号管理及认证授权；账户安全；口令安全；授权安全；日志安全；IP 协议安全；其他安全要求。QB/CU A32-073(2015)中国联通业务信息安全评

38、估基本规范 V1.015评估方法核查网络单元中间件基线配置（包括 TOMCAT、WEBLOGIC 等） ；漏洞扫描；渗透性测试。应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。是否其它：账户安全应删除或锁定与设备运行、维护等工作无关的账号。是否其它：口令安全对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。是否其它：账号管理及认证鉴权授权安全要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。是否其它：日志安全需求设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使

39、用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。是否其它：IP 协议安全对于通过 HTTP 协议进行远程维护的设备，设备应支持使用 HTTPS 等加密协议。是否其它：对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。是否其它：更改 tomcat 服务器默认端口。是否其它：禁止 tomcat 列表显示文件。评估结果设备其他安全需求Tomcat 错误页面重定向。是否其它：评估建议当前风险4.3 业务流程安全4.3.1 计费安全评估编号 AQJFAQJFLC评估场景 计费安全计费流程安全评估要点 计费流程安全评估方法 核实是否制定并实施了

40、严格的计费流程；QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.016核实是否采用有效技术手段防止计费点被套用；核实对于 WAP 和 WWW 订购方式，是否采用动态码验证、短信验证码等技术手段对计费点进行防护；核实对于短信订购方式，是否采用有效技术手段进行计费点防护；核实是否采取技术手段实现业务信息费异常有效监控，及时发现问题；核实业务定制时是否进行资费提示；技术测试验证上述各点，是否还存在其它安全问题。是否制定并实施了严格的计费流程。是否其它：是否采用有效技术手段防止计费点被套用。是否 其它：对于 WAP 和 WWW 订购方式，是否采用动态码验证、短信验证码等技

41、术手段进行计费点防护。是否其它：对于短信订购方式，是否采用有效技术手段进行计费点防护。是否其它：是否采取技术手段实现业务信息费异常有效监控，及时发现问题。是否其它：是否业务定制时进行资费提示。是否其它：评估结果是否存在其它安全问题。是否其它：当前风险加固建议4.3.2 接口安全评估编号 AQJKAQJKAQ评估场景 接口安全系统平台与外部平台之间评估要点 系统平台与外部平台之间协议与接口安全评估方法核实是否制定并实施了系统平台与外部平台接口之间的安全管控措施；核实技术实现是否符合协议操作规范(公有和私有协议，应注释协议实现功能及各接口传递参数的含义)核实是否对协议与接口进行安全测试；核实是否对

42、相关代码进行安全审计；现场测试时至少采用以下方式验证上述各点，是否还存在其它安全问题；代码安全审计；接口是否可对输入来源进行白/黑名单判段；接口是否对设计范围以外的非正常参数进行过滤，并提供统一的不泄露内部敏感信息QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.017的提示。是否制定并实施了系统平台与外部平台接口之间的安全管控措施。是否其它：技术实现是否符合协议操作规范(公有和私有协议，应注释协议实现功能及各接口传递参数的含义)。是否其它：是否对相关代码进行安全审计。是否其它：评估结果是否还存在其它安全问题。是否其它：当前风险评估建议4.3.3 用户信息安全评估编

43、号 AQKHXXJBXX评估场景 用户信息安全基本信息评估要点 用户基本信息保护评估方法核实业务系统是否存放用户基本信息，包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等信息；核实是否采用技术手段对用户基本信息进行加密存储；核实是否对用户基本信息进行有效备份；核实存放用户基本信息的设备，是否严格限制网络端口、数据库端口、操作系统的用户访问权限；核实用户基本信息是否存储在专门的数据主机或存储介质中，保证信息存储安全；核实是否加强对移动介质的管理，应禁止在存放用户基本信息的数据主机或存储介质使用移动介质；核实对用户基本信息的访问、修改等敏感操作是否采用金库安全模式；技术测试验证上

44、述各点，是否还存在其它安全问题。业务系统是否存放用户基本信息，包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等信息。是否其它：是否采用技术手段对用户基本信息进行加密存储。 是否其它：是否对用户基本信息进行有效备份。 是否其它：存放用户基本信息的设备，是否严格限制网络端口、数据库端口、操作系统的用户访问权限。是否其它：用户基本信息是否存储在专门的数据主机或存储介质中，保证信息存储安全。是否其它：是否加强对移动介质的管理，应禁止在存放用户基本信息的数据主机或存储介质使用移动介质。是否其它：评估结果对用户基本信息的访问、修改等敏感操作是否采用金库 是否QB/CU A32-073(2

45、015)中国联通业务信息安全评估基本规范 V1.018安全模式。 其它：是否存在其它安全问题。 是否其它：当前风险评估建议评估编号 AQKHXXSJXX评估场景 用户信息安全数据信息评估要点 用户数据保护评估方法核实业务系统是否存放用户数据信息，包括用户使用服务的时间、地点、通信内容等；核实是否采用技术手段对用户数据信息进行加密存储；核实是否对用户数据信息进行备份，备份机制是否满足安全需求核实存放用户数据信息的设备，是否严格限制设备存放地点、限制网络接入路径、数据库端口、操作系统的用户访问权限；核实用户数据信息是否存储在专门的数据主机或存储介质中，保证信息存储安全；核实是否采用技术手段禁止移动

46、介质在用户数据信息存储服务器上的使用；核实对用户数据信息的访问、修改等敏感操作是否采用金库安全模式；技术测试验证上述各点，是否还存在其它安全问题。业务系统是否存放用户数据信息，包括用户使用服务的时间、地点、通信内容等。是否其它：是否采用技术手段对用户数据信息进行加密存储。 是否其它：是否对用户数据信息进行备份，备份机制是否满足安全需求。是否其它：存放用户数据信息的设备，是否严格限制设备存放地点、限制网络接入路径、数据库端口、操作系统的用户访问权限。是否其它：用户数据信息是否存储在专门的数据主机或存储介质中，保证信息存储安全。是否其它：是否采用技术手段禁止移动介质在用户数据信息存储服务器上的使用

47、。是否其它：对用户数据信息的访问、修改等敏感操作是否采用金库安全模式。是否其它：评估结果是否还存在其它安全问题。 是否其它：当前风险评估建议4.3.4 业务逻辑安全评估编号 AQYWLJYWDG评估场景 业务逻辑安全业务订购评估要点 业务订购；QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.019业务开通、变更、退订流程及安全需求；业务开通、变更、退订与计费功能是否采取安全管控措施，保证计费安全。评估方法核实是否制定并实施了业务订购(开通、变更、退订)安全管控制度；核实业务订购是否需“认证码” ；核实业务订购是否需“二次认证” ；核实是否限定同一手机号码每日业务订

48、购次数；技术测试验证上述各点，是否还存在其它安全问题。是否制定并实施了业务订购(开通、变更、退订)安全管控制度。是否其它：业务订购是否需“认证码” 。是否其它：业务订购是否需“二次认证” 。是否其它：是否限定同一手机号码每日业务订购次数。是否其它：评估结果是否存在其它安全问题。是否其它：当前风险评估建议评估编号 AQYWLJYWRZ评估场景 业务逻辑安全业务认证评估要点 业务认证方式评估方法核实用户业务认证口令强度是否需满足复杂度要求；核实是否设置用户业务认证登录策略，如限定失败登录次数、锁定时间、解锁方式、同时在线限制等；核实用户业务认证过程数据传输是否加密；核实采用的认证数据加密算法等技术手段是否能够保证用户业务认证过程数据安全，保证不被非授权利用或篡改；技术测试验证上述各点，是否还存在其它安全问题。用户业务认证口令强度是否需满足复杂度要求。是否其它：是否设置用户业务认证登录策略，如限定失败登录次数、锁定时间、解锁方式、同时在线限制等。是否其它：评估结果用户业务认证过程数据传输是否加密。是否其它：QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.020采用的认证数据加密算法等技术手段是否能够保证用户业务认证过程数据安全，保证不被非授权