中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动管理信息系统安全基线技术规范称TechnicalSpecificationsforSecurityBaselineofCMCCMIS版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。本规范由中国移动通信集团公司管理信息系统部提出并归口管理。本规范的解释权属于中国移动通信集团公司管理信息系统部。本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc226304701"1概述PAGEREF_Toc226304701\h4HYPERLINK\l"_Toc226304702"1.1目标和适用范围PAGEREF_Toc226304702\h4HYPERLINK\l"_Toc226304703"1.2引用标准PAGEREF_Toc226304703\h4HYPERLINK\l"_Toc226304704"1.3术语和定义PAGEREF_Toc226304704\h4HYPERLINK\l"_Toc226304705"2安全基线框架PAGEREF_Toc226304705\h5HYPERLINK\l"_Toc226304706"2.1背景PAGEREF_Toc226304706\h5HYPERLINK\l"_Toc226304707"2.2安全基线制定的方法论PAGEREF_Toc226304707\h6HYPERLINK\l"_Toc226304708"2.3安全基线框架说明PAGEREF_Toc226304708\h6HYPERLINK\l"_Toc226304709"3安全基线范围及内容PAGEREF_Toc226304709\h7HYPERLINK\l"_Toc226304710"3.1覆盖范围PAGEREF_Toc226304710\h7HYPERLINK\l"_Toc226304711"3.2安全基线组织及内容PAGEREF_Toc226304711\h8HYPERLINK\l"_Toc226304712"3.2.1安全基线编号说明PAGEREF_Toc226304712\h9HYPERLINK\l"_Toc226304713"3.2.2Web应用安全基线示例PAGEREF_Toc226304713\h9HYPERLINK\l"_Toc226304714"3.2.3中间件、数据库、主机及设备示例PAGEREF_Toc226304714\h9HYPERLINK\l"_Toc226304715"3.3安全基线使用要求PAGEREF_Toc226304715\h10HYPERLINK\l"_Toc226304716"4评审与修订PAGEREF_Toc226304716\h10概述目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。引用标准《中国移动网络与信息安全总纲》《中国移动内部控制手册》《中国移动标准化控制矩阵》《中国移动操作系统安全功能和配置规范》《中国移动路由器安全功能和配置规范》《中国移动数据库安全功能和配置规范》《中国移动网元通用安全功能和配置规范》FIPS199《联邦信息和信息系统安全分类标准》FIPS200《联邦信息系统最小安全控制标准》术语和定义词语解释SecurityBaseline安全基线：是设备功能和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统，用于保障组织内IT系统安全水平。SHG安全加固手册SecurityHardenGuidelineSBL安全基线SecurityB