B-中国移动网络与信息安全体系培训教材.ppt

目标：目标：对涉及公司运营的所有信息资产（对通信网业务系统、各支撑系统网络、以及市场、财务、研发、人力的各类重要信息）进行保护，保障公司“新跨越战略”实施，保护公司的核心竞争力。指导思想：指导思想：以风险管理为核心，预防为主，技术手段为支撑，围绕信息和信息系统生命周期，逐步建立由安全组织、管理规定和技术指南、运行和技术防护手段构成的具有自主创新能力和拓展能力的安全体系，保障公司“做世界一流企业”新跨越战略的实施。网络与信息安全保障体系网络与信息安全保障体系网络与信息安全保障体系网络与信息安全保障体系 中国移动网络与信息安全保障体系中国移动网络与信息安全保障体系技术及防技术及防技术及防技术及防护支撑手段护支撑手段护支撑手段护支撑手段 安全安全安全安全运行运行运行运行管理规定管理规定管理规定管理规定和技术指南和技术指南和技术指南和技术指南安全安全安全安全组织架构组织架构组织架构组织架构制定执行支撑基于运用建立中移动网络与信息安全体系培训中移动网络与信息安全体系培训（面向操作层）（面向操作层）网络安全处网络安全处20062006年年1212月月目录目录信息安全：企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲安全事件分布安全事件分布安全事件的损失安全事件的损失安全威胁方的分布安全威胁方的分布 独立黑客：黑客攻击越来越频繁，直接 影响企业正常的业务运作！内部员工：1、信息安全意识薄弱的员工误用、滥用等；2、越权访问，如：系统管理员，应用管理员越权访问数据；3、政治言论发表、非法站点的访问等；4、内部不稳定、情绪不满的员工。如：员工离职带走企业秘密，尤其是企业内部高层流动、集体流动等！竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！企业面临的主要信息安全问题企业面临的主要信息安全问题人员问题：人员问题：信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等技术问题：技术问题：病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作法律方面法律方面网络滥用：员工发表政治言论、访问非法网站法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）信息安全事件回放（一）信息安全事件回放（一）全国最大的网上盗窃通讯资费案l某合作方工程师，负责某电信运营商的设备安装。获得充值中心数据库最高系统权限l从2005年2月开始，复制出了14000个充值密码。获利380万。l2005年7月16日才接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。l无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思：目前是否有类似事件等待进一步发现对第三方的有效安全管理规范缺失对第三方的有效安全管理规范缺失对第三方的有效安全管理规范缺失对第三方的有效安全管理规范缺失信息安全事件回放（二）信息安全事件回放（二）北京ADSL断网事件2006年7月12日14:35左右，北京地区互联网大面积断网。事故原因：路由器软件设置发生故障，直接导致了这次大面积断网现象。事故分析：操作设备的过程中操作失误或软件不完善属于“天灾”，但问题出现后不及时恢复和弥补，这就涉及人为的因素了，实际上这也是可以控制的。需制定实施的业务连续性管理体系需制定实施的业务连续性管理体系需制定实施的业务连续性管理体系需制定实施的业务连续性管理体系信息安全事件回放（三）信息安全事件回放（三）希腊总理手机被窃听，沃达丰总裁遭传唤早在2004年雅典奥运会之前，希腊高官们的手机便已开始被第三方窃听，2006年3月份才被发现。事故原因：沃达丰（希腊）公司的中央服务系统被安装了间谍软件 制定严格的核心操作系统访问控制流程制定严格的核心操作系统访问控制流程制定严格的核心操作系统访问控制流程制定严格的核心操作系统访问控制流程信息安全事件（四）信息安全事件（四）两名电信公司员工利用职务上的便利篡改客户资料，侵吞ADSL宽带用户服务费76.7万余元事故原因：内部安全管理缺失缺乏有效的内控措施和定期审计缺乏有效的内控措施和定期审计缺乏有效的内控措施和定期审计缺乏有效的内控措施和定期审计对信息安全问题产生过程的认识对信息安全问题产生过程的认识环环境境威胁威胁方方资产资产系统漏洞管理漏洞物理漏洞威胁（破坏或滥用）利用工具通过中移动网络与信息安全体系建立紧迫性中移动网络与信息安全体系建立紧迫性李跃总的讲话安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒，只讲我们自身的工作安全。从全球及我们自身看，网络安全的形式非常严峻进入网管中心或者通过网管中心进入各生产网元，一定要实行有效的多次密码认证的管理，严格管理每一次进入。对对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。不能光管外人不管自己。（重在管理，其次是手段）对外来人员的进入，我们一定要限人、限时、限范围，明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查，并做好记录，要承担起核心设备网元的管理权，出了问题要承担责任。目录目录信息安全：企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲中移动网络与信息安全建设总体思路中移动网络与信息安全建设总体思路l基于信息安全管理国际标准BS7799/ISO17799l综合顾问的管理和技术经验，结合公司现有的信息安全管理措施l以公司信息安全现状为基础，充分考虑了公司所存在的信息安全风险l参考国外业界最佳实践，同时考虑国内的管理和法制环境中移动网络与信息安全的目标中移动网络与信息安全的目标为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控制措施落实到位，为各项业务的安全运行提供保障。目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。可用性可用性完整性完整性保密性保密性防抵赖性防抵赖性可审查性可审查性l保证公司业务运作的连续性，即使在遭受意外的情况下也可迅速恢复l关键信息资产的使用都必须经过授权，只有得到相应授权的人员才可使用网络和保密信息l任何对公司业务运作的威胁和破坏行为都得到记录，并能跟踪和追查中移动信息安全建设原则与总体策略中移动信息安全建设原则与总体策略安全管理流程、制度和安全控制措施的设计应基于风险分析，而不应基于信任管理权限制衡和监督原则：安全管理人员和网络管理人员、主机管理人员相互制约作为国家基础设施提供商，其网络与信息安全工作目前必须围绕公司业务目标开展；网络与信息安全管理工作应以风险管理为基础，在安全、效率和成本之间均衡考虑；全面防范，突出重点高层牵头高层牵头领导负责领导负责全员参与全员参与专人管理专人管理中移动网络与信息安全策略架构中移动网络与信息安全策略架构国家政策要求国家政策要求企业发展战略企业发展战略国内外标准国内外标准安全评估结果安全评估结果技术规范技术规范管理规范管理规范操作手册操作手册和具体系统相结合和具体系统相结合流程、细则流程、细则和具体系统相结合和具体系统相结合第一层第一层第二层第二层第三层第三层安全域划分技术规范、安全域划分技术规范、IP专网接入安全要专网接入安全要求、安全产品测试规求、安全产品测试规范范帐号口令安全管理办帐号口令安全管理办法、终端安全管理办法、终端安全管理办法法网络与信息安全体系总纲网络与信息安全体系总纲从宏从宏从宏从宏观方观方观方观方针到针到针到针到微观微观微观微观操作操作操作操作,建立建立建立建立了包了包了包了包含三含三含三含三个层个层个层个层面的面的面的面的安全安全安全安全制度制度制度制度体系体系体系体系信息安全管理组织体系模型信息安全管理组织体系模型信息安全决策层信息安全决策层决策、规划、保证机制信息安全管理层信息安全管理层安全管理、工程、保证管理信息安全操作层信息安全操作层运行、实施、保证建立垂直组织明确岗位职责贯彻分权制衡原则提高任职资格建立关键岗位人员选拔制度加强安全绩效考核中移动网络与信息安全组织体系中移动网络与信息安全组织体系集团公司网络集团公司网络信息安全领导小组信息安全领导小组集团公司网络集团公司网络信息安全办公室信息安全办公室集团网络信息集团网络信息安全小组安全小组各省公司网络各省公司网络信息安全领导小组信息安全领导小组各省公司网络各省公司网络信息安全办公室信息安全办公室各省网络信息各省网络信息安全小组安全小组决策层决策层决策层决策层管理层管理层管理层管理层执行层执行层执行层执行层集团公司集团公司集团公司集团公司省公司省公司省公司省公司n 在总部和省公司建立了三层网络安全管理组织；n 集团副总裁为集团领导小组组长，各部门总经理为小组成员；n 集团公司网络信息安全办公室设在网络部。组织架构组织架构网络与信息安全领导小组网络部业务支撑系统部管理信息系统部网络安全办公室网络部业务支撑系统部管理信息系统部集团集团集团集团省公司省公司省公司省公司为了进一步加强公司的网络安全工作，在网络部设立了网络安全处，负责推为了进一步加强公司的网络安全工作，在网络部设立了网络安全处，负责推动公司层面的各项网络安全工作落实。动公司层面的各项网络安全工作落实。公司的安全管理，跨部门公司的安全管理，跨部门工作协调，组织落实公司工作协调，组织落实公司范围的各项安全工作。范围的各项安全工作。.信息安全管理框架信息安全管理框架信息安全目标组织 信息资产分类与控制 职员的安全管理 物理环境的安全 业务连续性管理通信和操作安全访问控制系统开发与维护 检 查总体策略监控与审计中移动网络与信息安全体系总纲中移动网络与信息安全体系总纲物理及环境安全物理及环境安全 网络与信息资产管理网络与信息资产管理 通信和运营管理的安全通信和运营管理的安全 网络与信息系统网络与信息系统的访问控制的访问控制 系统开发系统开发与软件维护的安全与软件维护的安全 安全事件响应安全事件响应及业务连续性管理及业务连续性管理 安全审计安全审计组织与人员组织与人员国家政策要求国家政策要求企业发展战略企业发展战略国内外标准国内外标准安全评估结果安全评估结果技术规范技术规范管理规范管理规范操作手册操作手册和具体系统相结合和具体系统相结合流程、细则流程、细则和具体系统相结合和具体系统相结合第一层第一层第二层第二层第三层第三层安全域划分技术规范、安全域划分技术规范、IP专网接入安全要求、专网接入安全要求、安全产品测试规范安全产品测试规范帐号口令安全管理办帐号口令安全管理办法、终端安全管理办法、终端安全管理办法法网络与信息安全体系总纲网络与信息安全体系总纲从从从从宏宏宏宏观观观观方方方方针针针针到到到到微微微微观观观观操操操操作作作作,建建建建立立立立了了了了包包包包含含含含三三三三个个个个层层层层面面面面的的的的安安安安全全全全制制制制度度度度体体体体系系系系目录目录信息安全：企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲信息资产分类与控制信息资产分类与控制根据信息资产的价值、保密性、可用性、弱点、威胁，对信息资产及其风险进行赋值，确定保护的优先级和强度人员的安全管理体系架构人员的安全管理体系架构人员选拔员工外部人员培训奖惩法律宣传物理控制技术保障物理及其环境安全体系架构物理及其环境安全体系架构物理及环境安全介质安全设备安全场地安全场地安全保障区域划分出入控制工作区办公物流人流设备维护电源线缆设备选址销毁使用存放介质申请系统运作管理体系架构系统运作管理体系架构权限管理转产安全管理变更管理问题管理监控系统维护管理系统人员设备系统开发系统开发业务连续性计划业务连续性计划根据业务重要程度、优先级制订灾难恢复计划建立安全事故处理流程对关键的业务系统要建立异地数据备份对关键业务系统建立热备份定期检查备份系统和设备进行紧急事故响应演练审计监控体系审计监控体系监控监控信息流信息流人流、物流人流、物流审计审计安全策略和控制措施安全策略和控制措施中技术层面的落实情中技术层面的落实情况况对制度、流程合理性对制度、流程合理性和执行情况审计和执行情况审计信息监控信息监控将信息流的出口及关键节点设立为监控点把监控点上的信息访问、信息流动等记录集中上报到信息安全监控中心信息安全监控中心集中分析，区分不同性质的行为，分别启动预警、紧急处理、事后追踪处理等程序由人工“前台”检查转为后台自动监控人工的审计监控作为集中自动监控的补充目录目录信息安全：企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲角色责任与执行NISS的执行的执行基于中移动网络与信息安全体系总纲，将形成一系列二层的信息安全管理规定。帐号口令安全管理办法帐号口令安全管理办法终端安全管理办法终端安全管理办法病毒防制相关规定信息安全保密相关规定信息安全保密相关规定管理者的责任管理者的责任责任清晰责任清晰各级部门的一把手是本部门信息安全的第一责任人各级部门的一把手是本部门信息安全的第一责任人负责信息安全管理规定在本部门的推行和落实负责信息安全管理规定在本部门的推行和落实对本部门人员的违规事件承担领导责任和连带处罚对本部门人员的违规事件承担领导责任和连带处罚如何管理如何管理各部门主管首先需要以身作则，带头遵守公司各项信息安全规定各部门主管首先需要以身作则，带头遵守公司各项信息安全规定要在部门的各种场合向部门强调和灌输信息安全保密意识要在部门的各种场合向部门强调和灌输信息安全保密意识在本部门指定专门的人员负责信息安全工作在本部门指定专门的人员负责信息安全工作在部门内持续不断的进行信息安全宣传、检查在部门内持续不断的进行信息安全宣传、检查对本部门人员的违规行为应严肃对待，不姑息，不袒护对本部门人员的违规行为应严肃对待，不姑息，不袒护普通员工的责任普通员工的责任严格遵守和执行公司各类信息安全管理规定和严格遵守和执行公司各类信息安全管理规定和流程制度以及安全方面的有关措施流程制度以及安全方面的有关措施有义务制止他人违规行为或及时向信息安全部有义务制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患反馈可能造成泄密、窃密或其他安全隐患如何避免信息安全违规如何避免信息安全违规首先需要每个员工有强烈的安全意识首先需要每个员工有强烈的安全意识积极学习公司的各类信息安全管理规定和安全措施，将遵积极学习公司的各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中守安全规定融入自己的日常工作行为中信息安全违规的处理原则信息安全违规的处理原则根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级级对违反信息安全管理规定者，如其主管明显管理和指导不力须承担连带对违反信息安全管理规定者，如其主管明显管理和指导不力须承担连带责任责任对在信息安全管理制度和措施上贯彻、监控不力、权限审核不当，造成对在信息安全管理制度和措施上贯彻、监控不力、权限审核不当，造成安全制度和措施难以落实、部门安全管理工作混乱的部门主管，须承担安全制度和措施难以落实、部门安全管理工作混乱的部门主管，须承担领导责任领导责任常用信息安全管理规定举例（一）常用信息安全管理规定举例（一）签署签署保密保密协议协议进进入入公公司司个人计个人计算机安算机安全管理全管理网络连网络连接接信息系信息系统使用统使用外部人外部人员安全员安全管理规管理规定定对外接对外接待管理待管理规定规定xxxx.办公环境办公环境安全管理安全管理信息安信息安全保密全保密管理规管理规定定病毒病毒防治防治管理管理离离职职协协议议会议信会议信息安全息安全管理规管理规定定中的帐中的帐号和口号和口令标准令标准病毒防制相关规定病毒防制相关规定普通用户要求普通用户要求必须安装公司规定的防毒软件实时运行，定期查杀不得安装标准之外的防毒软件任何个人不得私自发布计算机病毒疫情收到来历不明的邮件处理方法收到来历不明的邮件处理方法EMAILEMAILEMAILEMAIL这邮件是谁发的？不知是这邮件是谁发的？不知是什么东东？管他的，先打什么东东？管他的，先打开看看。开看看。不要打开，不要打开，可能有病可能有病毒！毒！来历不明邮件立刻报告网络安全处网络安全处时间联系方式经过损失地点安全工作组安全工作组来统一来统一 处理处理报告时请注意以下几方面：报告时请注意以下几方面：常用信息安全管理规定举例（二）常用信息安全管理规定举例（二）签署签署保密保密协议协议进进入入公公司司个人计个人计算机安算机安全管理全管理网络连网络连接接信息系信息系统使用统使用外部人外部人员安全员安全管理规管理规定定对外接对外接待管理待管理规定规定xxxx.办公环境办公环境安全管理安全管理信息安信息安全保密全保密管理规管理规定定病毒病毒防治防治管理管理离离职职协协议议会议信会议信息安全息安全管理规管理规定定中的帐中的帐号和口号和口令标准令标准信息资产分类与控制信息资产分类与控制保密信息密级保密信息密级保密信息根据其内容、价值、敏感程度不同，划分为绝密、机密、秘密、内部公开四个级别“绝密绝密”信息：信息：是指包含公司最重要和最敏感的信息，关系公司未来发展的前途命运，对公司根本利益有着决定性影响的信息“机密机密”信息：信息：是指包含公司的重要秘密，其泄露会使公司的安全和利益遭受严重损害的保密信息“秘密秘密”信息：信息：是指包含公司一般性信息，其泄露会使公司的安全和利益受到损害的保密信息“内部公开内部公开”信息：信息：是指仅在公司内部或在公司某一部门内部公开，向外扩散有可能对公司的利益造成损害的保密信息什么样的文件是绝密、机密、秘密和内部公开?信息安全保密相关规定信息安全保密相关规定保密信息的访问和授权原则保密信息的访问和授权原则n工作相关性原则工作相关性原则n最小授权原则最小授权原则n审批、受控原则审批、受控原则关键成功因素关键成功因素网络与信息安全工作必须是高层牵头，领导负责，全员参与，专人管理；必须全员参与。建立全面、均衡、可行的评估、考核体系，以衡量网络与信息安全管理工作的水平；