20150611 MONICAZHANG

续上

7.10      BOMC系统安全管理的技术要求

7.10.1      安全信息收集和统计                      ITSS软件

为了保障业务支撑系统和业务支撑网运营管理系统的安全有效运行，对系统中任何模块的错误操作都会影响系统的运行，安全信息可以按照对系统影响的程度进行分类收集和统计。

         配置信息                 ITSS体系

目录结构的变动，会使系统崩溃，对于系统的目录配置，能够定期扫描。对于流程模块的定义，如数据的流向、程序的启动方法、配置参数，能够做到定期扫描对比。

         安全审计

审计对利用他人设备、恶意攻击业务系统的记录；尝试与自身权限设置不相符的操作记录等。        ITSS团购

         操作信息

实时记录业务支撑网运营管理系统的操作过程，便于日后分析查找安全隐患。

7.10.2      业务支撑网运营管理系统自身的安全

业务支撑网运营管理系统应保证自身运行的安全。

7.10.2.1   业务支撑网运营管理系统数据传输的安全

在本章节中，业务支撑网运营管理系统的核心设备所在的网络称为内网，业务网、OA网等与业务支撑网运营管理系统有关联的网络称为外网。          ITSS工具

         内网全部采用二层以上设备组网，所有设备间隔离冲突域。

所有关键主机等设备应采用静态IP地址分配，之间进行广播域的隔离。

         在关键网络设备上对传输数据流进行过滤（二层、三层或更高层），阻止非期望的数据流。

         对于SNMP、Netflow、Syslog等方式，应能对联网设备的路由发布进行控制，防止数据被错误导向。

         对于使用Agent进行数据采集的方式，Agent端和Server端之间能够提供包括加密措施在内的安全通信手段。

         禁止主机设备的root口令等信息在内网上的（明文）传输。             ITSS考试

7.10.2.2   与外网之间的网络隔断

内网和外网之间应进行网络隔断，隔断之后的网络分为外部网、内部网和非军事区（DMZ）；内部网中放置业务支撑系统业务支撑网运营管理系统的大多数被管对象，非军事区中放置可供外网访问的设备。    ISO20000培训

非军事区对外呈现一定限度的安全性，内部网对外呈现最高程度的安全性，外部网对外不呈现安全性；外部网和非军事区禁止访问内部网，外部网可有限度地访问非军事区，内部网可访问外部网。

为了进一步增强内网的安全性，可以在网络边缘激活网络地址翻译（NAT）或者端口地址翻译（PAT）。

7.10.2.3   访问控制                     ITIL培训

访问控制业务防止对资源的非授权使用，它包括不允许以非授权的方式使用已授权的资源。当一个用户（通信进程、应用或人员）的身份被识别以后（通常是通过认证来实现的），访问控制将决定什么样的资源能够被该用户所访问。                           ITSS培训

对于某些特别关键的被管对象，可通过一次性口令的技术、PKI（Public Key Infrastructure）等相关技术实现对设备的访问控制。

7.10.2.4   WEB安全                               ITSS认证

供业务支撑网运营管理系统内部用户和外部用户访问的Web服务器应保持被访问的主要页面和文件的安全性，一旦Web服务器的主要页面和文件被非法篡改，应能提供一定的手段进行恢复，并作相应的安全记录。

待续http://ITIL-foundation.cn/thread-49061-1-1.html

本帖关键字：ITSS ISO20000

20150611 MONICAZHANG

续上

7.10      BOMC系统安全管理的技术要求

7.10.1      安全信息收集和统计                      ITSS软件

为了保障业务支撑系统和业务支撑网运营管理系统的安全有效运行，对系统中任何模块的错误操作都会影响系统的运行，安全信息可以按照对系统影响的程度进行分类收集和统计。

         配置信息                 ITSS体系

目录结构的变动，会使系统崩溃，对于系统的目录配置，能够定期扫描。对于流程模块的定义，如数据的流向、程序的启动方法、配置参数，能够做到定期扫描对比。

         安全审计

审计对利用他人设备、恶意攻击业务系统的记录；尝试与自身权限设置不相符的操作记录等。        ITSS团购

         操作信息

实时记录业务支撑网运营管理系统的操作过程，便于日后分析查找安全隐患。

7.10.2      业务支撑网运营管理系统自身的安全

业务支撑网运营管理系统应保证自身运行的安全。

7.10.2.1   业务支撑网运营管理系统数据传输的安全

在本章节中，业务支撑网运营管理系统的核心设备所在的网络称为内网，业务网、OA网等与业务支撑网运营管理系统有关联的网络称为外网。          ITSS工具

         内网全部采用二层以上设备组网，所有设备间隔离冲突域。

所有关键主机等设备应采用静态IP地址分配，之间进行广播域的隔离。

         在关键网络设备上对传输数据流进行过滤（二层、三层或更高层），阻止非期望的数据流。

         对于SNMP、Netflow、Syslog等方式，应能对联网设备的路由发布进行控制，防止数据被错误导向。

         对于使用Agent进行数据采集的方式，Agent端和Server端之间能够提供包括加密措施在内的安全通信手段。

         禁止主机设备的root口令等信息在内网上的（明文）传输。             ITSS考试

7.10.2.2   与外网之间的网络隔断

内网和外网之间应进行网络隔断，隔断之后的网络分为外部网、内部网和非军事区（DMZ）；内部网中放置业务支撑系统业务支撑网运营管理系统的大多数被管对象，非军事区中放置可供外网访问的设备。    ISO20000培训

非军事区对外呈现一定限度的安全性，内部网对外呈现最高程度的安全性，外部网对外不呈现安全性；外部网和非军事区禁止访问内部网，外部网可有限度地访问非军事区，内部网可访问外部网。

为了进一步增强内网的安全性，可以在网络边缘激活网络地址翻译（NAT）或者端口地址翻译（PAT）。

7.10.2.3   访问控制                     ITIL培训

访问控制业务防止对资源的非授权使用，它包括不允许以非授权的方式使用已授权的资源。当一个用户（通信进程、应用或人员）的身份被识别以后（通常是通过认证来实现的），访问控制将决定什么样的资源能够被该用户所访问。                           ITSS培训

对于某些特别关键的被管对象，可通过一次性口令的技术、PKI（Public Key Infrastructure）等相关技术实现对设备的访问控制。

7.10.2.4   WEB安全                               ITSS认证

供业务支撑网运营管理系统内部用户和外部用户访问的Web服务器应保持被访问的主要页面和文件的安全性，一旦Web服务器的主要页面和文件被非法篡改，应能提供一定的手段进行恢复，并作相应的安全记录。

待续http://ITIL-foundation.cn/thread-49061-1-1.html

本帖关键字：ITSS ISO20000