某網絡與信息安全保障體系課件

1、中國移動網絡與信息安全保障體系2022/7/27中國移動網絡與信息安全保障體系目錄信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網絡與信息安全總綱中國移動網絡與信息安全保障體系安全事件分布中國移動網絡與信息安全保障體系安全事件的損失中國移動網絡與信息安全保障體系安全威脅方的分布 獨立黑客：黑客攻擊越來越頻繁，直接 影響企業(yè)正常的業(yè)務運作！ 內部員工：1、信息安全意識薄弱的員工誤用、濫用等；2、越權訪問，如：系統(tǒng)管理員，應用管理員越權訪問數(shù)據(jù)；3、政治言論發(fā)表、非法站點的訪問等；4、內部不穩(wěn)定、情緒不滿的員工。如：員工離職帶走企業(yè)秘密，尤其是企業(yè)內部高層流動、集體流動等！ 競爭對

2、手：法制環(huán)境不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）！ 國外政府或機構：法制環(huán)境不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）！中國移動網絡與信息安全保障體系企業(yè)面臨的主要信息安全問題人員問題：信息安全意識薄弱的員工誤操作、誤設置造成系統(tǒng)宕機、數(shù)據(jù)丟失，信息泄漏等問題特權人員越權訪問，如：系統(tǒng)管理員，應用管理員越權訪問、傳播敏感數(shù)據(jù)內部員工和即將離職員工竊取企業(yè)秘密，尤其是骨干員工流動、集體流動等技術問題：病毒和黑客攻擊越來越多、爆發(fā)越來越頻繁，直接影響企業(yè)正常的業(yè)務運作法律方面網絡濫用：員工發(fā)表政治言論、訪問非法網站法制不健全，行業(yè)不正當競爭（如：竊取機密，破壞

3、企業(yè)的業(yè)務服務）中國移動網絡與信息安全保障體系信息安全事件回放（一）全國最大的網上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝。獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權限從2005年2月開始，復制出了14000個充值密碼。獲利380萬。2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘記了修改有效日期 反思：目前是否有類似事件等待進一步發(fā)現(xiàn)對第三方的有效安全管理規(guī)范缺失中國移動網絡與信息安全保障體系信息安全事件回放（二）北京ADSL斷網事件2006年7月12日14:35左右，北京地區(qū)互聯(lián)網大面積斷網。事故原因：路由器軟件

4、設置發(fā)生故障，直接導致了這次大面積斷網現(xiàn)象。事故分析：操作設備的過程中操作失誤或軟件不完善屬于“天災”，但問題出現(xiàn)后不及時恢復和彌補，這就涉及人為的因素了，實際上這也是可以控制的。 需制定實施的業(yè)務連續(xù)性管理體系中國移動網絡與信息安全保障體系信息安全事件回放（三）希臘總理手機被竊聽，沃達豐總裁遭傳喚早在2004年雅典奧運會之前，希臘高官們的手機便已開始被第三方竊聽 ，2006年3月份才被發(fā)現(xiàn)。事故原因：沃達豐（希臘）公司的中央服務系統(tǒng)被安裝了間諜軟件 制定嚴格的核心操作系統(tǒng)訪問控制流程中國移動網絡與信息安全保障體系信息安全事件（四）兩名電信公司員工利用職務上的便利篡改客戶資料，侵吞ADSL寬帶

5、用戶服務費76.7萬余元事故原因：內部安全管理缺失缺乏有效的內控措施和定期審計中國移動網絡與信息安全保障體系對信息安全問題產生過程的認識環(huán)境威脅方資產系統(tǒng)漏洞管理漏洞物理漏洞威脅（破壞或濫用）利用工具通過中國移動網絡與信息安全保障體系中移動網絡與信息安全體系建立緊迫性李躍總的講話安全問題已時不我待。我所講的安全問題還不是黑客和防病毒，只講我們自身的工作安全。 從全球及我們自身看，網絡安全的形式非常嚴峻進入網管中心或者通過網管中心進入各生產網元，一定要實行有效的多次密碼認證的管理，嚴格管理每一次進入。 對內部人員的登陸要有嚴格的管理規(guī)定，后臺操作要留有痕跡。不能光管外人不管自己。（重在管理，其次

6、是手段） 對外來人員的進入，我們一定要限人、限時、限范圍，明確進入的時間、進入的目的。誰放廠家的人進去誰就要負責檢查，并做好記錄，要承擔起核心設備網元的管理權，出了問題要承擔責任。 中國移動網絡與信息安全保障體系信息安全是信息服務提供商的核心保證一個不安全的網絡，將不可能提供高質量的信息服務信息服務必須讓客戶可信任解決信息安全問題的關鍵建立一個完善的信息安全管理體系中國移動網絡與信息安全保障體系目錄信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網絡與信息安全總綱中國移動網絡與信息安全保障體系中移動網絡與信息安全建設總體思路基于信息安全管理國際標準BS7799/ISO17799綜

7、合顧問的管理和技術經驗，結合公司現(xiàn)有的信息安全管理措施以公司信息安全現(xiàn)狀為基礎，充分考慮了公司所存在的信息安全風險參考國外業(yè)界最佳實踐，同時考慮國內的管理和法制環(huán)境中國移動網絡與信息安全保障體系中移動網絡與信息安全的目標為中國移動的網絡與信息安全管理工作建立科學的體系，確保安全控制措施落實到位，為各項業(yè)務的安全運行提供保障。目前公司網絡與信息安全工作的重點集中在可用性、保密性和可審查性。可用性保密性可審查性確保被授權用戶能夠在需要時獲取網絡與信息資產。關鍵信息資產的使用都必須經過授權，只有得到相應授權的人員才可使用網絡和保密信息任何對公司業(yè)務運作的威脅和破壞行為都得到記錄，并能跟蹤和追查中國移

8、動網絡與信息安全保障體系中移動信息安全建設原則與總體策略安全管理流程、制度和安全控制措施的設計應基于風險分析，而不應基于信任管理權限制衡和監(jiān)督原則：安全管理人員和網絡管理人員、主機管理人員相互制約作為國家基礎設施提供商，其網絡與信息安全工作目前必須圍繞公司業(yè)務目標開展；網絡與信息安全管理工作應以風險管理為基礎，在安全、效率和成本之間均衡考慮；全面防范，突出重點高層牽頭領導負責全員參與專人管理中國移動網絡與信息安全保障體系中移動網絡與信息安全策略架構國家政策要求企業(yè)發(fā)展戰(zhàn)略國內外標準安全評估結果技術規(guī)范管理規(guī)范操作手冊和具體系統(tǒng)相結合流程、細則和具體系統(tǒng)相結合第一層第二層第三層安全域劃分技術規(guī)范

9、、IP專網接入安全要求、安全產品測試規(guī)范帳號口令安全管理辦法、終端安全管理辦法網絡與信息安全體系總綱從宏觀方針到微觀操作, 建立了包含三個層面的安全制度體系中國移動網絡與信息安全保障體系信息安全管理組織體系模型信息安全決策層決策、規(guī)劃、保證機制信息安全管理層安全管理、工程、保證管理信息安全操作層運行、實施、保證建立垂直組織明確崗位職責貫徹分權制衡原則提高任職資格建立關鍵崗位人員選拔制度加強安全績效考核中國移動網絡與信息安全保障體系中移動網絡與信息安全組織體系集團公司網絡信息安全領導小組集團公司網絡信息安全辦公室集團網絡信息安全小組各省公司網絡信息安全領導小組各省公司網絡信息安全辦公室各省網絡信

10、息安全小組決策層管理層執(zhí)行層集團公司省公司 在總部和省公司建立了三層網絡安全管理組織； 集團副總裁為集團領導小組組長，各部門總經理為小組成員； 集團公司網絡信息安全辦公室設在網絡部。中國移動網絡與信息安全保障體系集團公司組織架構網絡與信息安全領導小組網絡部業(yè)務支撐系統(tǒng)部管理信息系統(tǒng)部網絡安全辦公室網絡部業(yè)務支撐系統(tǒng)部管理信息系統(tǒng)部集團省公司為了進一步加強公司的網絡安全工作，在網絡部設立了網絡安全處，負責推動公司層面的各項網絡安全工作落實。公司的安全管理，跨部門工作協(xié)調，組織落實公司范圍的各項安全工作。.中國移動網絡與信息安全保障體系廣西公司組織架構網絡與信息安全領導小組網絡部信息系統(tǒng)部運營支撐

11、中心網絡安全辦公室網絡與信息安全辦公室負責公司具體的網絡與信息安全工作 ，落實公司層面的各項網絡安全政策，牽頭部門為網絡部。公司的安全管理，跨部門工作協(xié)調，組織落實公司范圍的各項安全工作。.網絡運營中心中國移動網絡與信息安全保障體系信息安全管理框架信息安全目標組織 信息資產分類與控制 職員的安全管理 物理環(huán)境的安全 業(yè)務連續(xù)性管理通信和操作安全訪問控制系統(tǒng)開發(fā)與維護 檢 查總體策略監(jiān)控與審計中國移動網絡與信息安全保障體系中移動網絡與信息安全體系總綱物理及環(huán)境安全 網絡與信息資產管理 通信和運營管理的安全 網絡與信息系統(tǒng)的訪問控制 系統(tǒng)開發(fā)與軟件維護的安全 安全事件響應及業(yè)務連續(xù)性管理 安全審計

12、組織與人員國家政策要求企業(yè)發(fā)展戰(zhàn)略國內外標準安全評估結果技術規(guī)范管理規(guī)范操作手冊和具體系統(tǒng)相結合流程、細則和具體系統(tǒng)相結合第一層第二層第三層安全域劃分技術規(guī)范、IP專網接入安全要求、安全產品測試規(guī)范帳號口令安全管理辦法、終端安全管理辦法網絡與信息安全體系總綱從宏觀方針到微觀操作, 建立了包含三個層面的安全制度體系中國移動網絡與信息安全保障體系目錄信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網絡與信息安全總綱中國移動網絡與信息安全保障體系組織與人員集團公司和各省公司應建立公司級別的網絡與信息安全常設領導機構。設立專職安全隊伍，建立安全事件響應流程。 所有崗位職責中必須包含安全內

13、容，并實現(xiàn)職責分隔。 所有員工及使用中國移動網絡與信息資產的其他組織人員都應當簽署保密協(xié)議。所有員工都應當接受網絡與信息安全培訓。對第三方訪問需求應嚴格審核，進行風險分析，并采取相應控制措施。應與客戶簽署相關協(xié)議，明確雙方在網絡與信息安全方面的權利、義務及違約責任，保障客戶與公司雙方的利益。 中國移動網絡與信息安全保障體系網絡與信息資產管理網絡和信息資產包括實物資產、信息資產和軟件資產 。實物資產：計算機設備、數(shù)據(jù)網絡通信設備（路由器、交換機等）；磁性媒介（磁帶和磁盤等）、其他技術設備（電源以及空調裝置等）等；信息資產：技術文檔、配置數(shù)據(jù)、拓撲圖等；軟件資產：應用軟件、系統(tǒng)軟件以及開發(fā)工具等；

14、要求：對所有網絡與信息資產進行登記，形成資產清單。明確責任人及安全保護級別，建立嚴格資產責任制度?！罢l主管，誰負責”。中國移動網絡與信息安全保障體系物理及其環(huán)境安全體系架構物理及環(huán)境安全介質安全設備安全場地安全場地安全保障區(qū)域劃分出入控制工作區(qū)辦公物流人流設備維護電源線纜設備選址銷毀使用存放介質申請中國移動網絡與信息安全保障體系系統(tǒng)運作管理體系架構權限管理轉產安全管理變更管理問題管理監(jiān)控系統(tǒng)維護管理系統(tǒng)人員設備中國移動網絡與信息安全保障體系系統(tǒng)開發(fā)中國移動網絡與信息安全保障體系安全事件響應及業(yè)務連續(xù)性管理安全事件響應：建立安全事件報告流程，制定安全預警信息的授權審批發(fā)布流程。確保及時、準確地報

15、告安全事件。業(yè)務連續(xù)性管理 制定并實施業(yè)務連續(xù)性管理體系，將風險降至可以接受的水平。 根據(jù)業(yè)務影響分析和風險評估的結果，制定業(yè)務連續(xù)性計劃與策略。 根據(jù)業(yè)務連續(xù)性計劃與策略，制定相應業(yè)務連續(xù)性方案及框架。 應定期測試、評審和更新業(yè)務連續(xù)性方案，保障方案的時效性。 定期進行緊急事件響應演練。中國移動網絡與信息安全保障體系安全審計從管理和技術兩個方面定期檢查安全策略、控制措施的執(zhí)行情況，發(fā)現(xiàn)安全隱患。網絡與信息系統(tǒng)的設計、操作、使用和管理不僅要遵從公司本身的安全方針，而且要符合國家法律法規(guī)、管理條例及合同的要求，以及符合美國薩班斯法案的要求。安全審計管理：獨立審計、最大程度降低對正常運營的影響、審

16、計記錄完好保存。中國移動網絡與信息安全保障體系目錄信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網絡與信息安全總綱角色責任與執(zhí)行中國移動網絡與信息安全保障體系關鍵成功因素網絡與信息安全工作必須是高層牽頭，領導負責，全員參與，專人管理；必須全員參與。建立全面、均衡、可行的評估、考核體系，以衡量網絡與信息安全管理工作的水平；安全工作的具體實施必須同公司的企業(yè)文化相兼容；組織，政策、支援。中國移動網絡與信息安全保障體系NISS的執(zhí)行基于中移動網絡與信息安全體系總綱，將形成一系列二層的信息安全管理規(guī)定。帳號口令安全管理辦法終端安全管理辦法病毒防制相關規(guī)定信息安全保密相關規(guī)定中國移動網絡

17、與信息安全保障體系管理者的責任責任清晰各級部門的一把手是本部門信息安全的第一責任人負責信息安全管理規(guī)定在本部門的推行和落實對本部門人員的違規(guī)事件承擔領導責任和連帶處罰如何管理各部門主管首先需要以身作則，帶頭遵守公司各項信息安全規(guī)定要在部門的各種場合向部門強調和灌輸信息安全保密意識在本部門指定專門的人員負責信息安全工作在部門內持續(xù)不斷的進行信息安全宣傳、檢查對本部門人員的違規(guī)行為應嚴肅對待，不姑息，不袒護中國移動網絡與信息安全保障體系普通員工的責任嚴格遵守和執(zhí)行公司各類信息安全管理規(guī)定和流程制度以及安全方面的有關措施有義務制止他人違規(guī)行為或及時向信息安全部反饋可能造成泄密、竊密或其他安全隱患中國移動網絡與信息安全保障體系如何避免信息安全違規(guī)首先需要每個員工有強烈的安全意識積極學習公司的各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己