《信息安全管理体系及重点制度介绍课件.pptx》由会员分享,可在线阅读,更多相关《信息安全管理体系及重点制度介绍课件.pptx(46页珍藏版)》请在三一办公上搜索。
1、信息安全管理体系及重点制度介绍,信息安全管理体系及重点制度介绍,目 录,信息安全管理体系介绍,1,基础电信企业信息安全责任管理办法,2,基础信息安全要求,3,客户信息保护管理规定,4,信息安全三同步管理办法,5,业务安全风险评估标准,6,2,目 录信息安全管理体系介绍1 基础电信企业信息安全,ISO17799:2000,国际标准,BS7799-1:1999,BS7799-2:1999,英国标准,BS7799-2:2002,BS7799-1:2000,ISO17799:2005,ISO27001:2005,BS7799:1996,BS7799-3:2005,安全管理体系标准的发展历史,3,ISO
2、17799:2000国际标准BS7799-1:1999,ISO 27001的标准全称 Information technology-Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求,ISMS 信息安全管理体系-管理体系-信息安全相关-ISO 27001 的3 术语和定义-3.7Requirements 要求,ISO/IEC 27001介绍,4,ISO 27001的标准全称 ISMS 信息安全管理体系IS,建立方针和目标并实现这些目标的相互关联或相互作用的一
3、组要素。管理体系包括组织结构,策略,规划,角色,职责,流程,程序和资源等。(ISO 270013 术语和定义-3.7)管理的方方面面以及公司的所有雇员,均囊括在管理体系范围内。,什么是管理体系?,Quality management system(ISO 9001),Environmental management system(ISO 14001),Safety management system(OHSAS 18001),Human Food Safety management system(HACCP),IT Service Management System(ISO 20000),In
4、formation security management system(ISO 27001),5,什么是管理体系?Quality management sys,什么是信息安全?,保护信息的保密性、完整性和可用性(CIA);另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性(ISO 270013 术语和定义-3.4)机密性(Confidentiality)信息不能被未授权的个人,实体或者过程利用或知悉的特性(ISO 270013 术语和定义-3.3)完整性(Integrity)保护资产的准确和完整的特性(ISO 270013 术语和定义-3.8).确保信息在存储、使用、传输过程中不会被
5、非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。可用性(Availability)根据授权实体的要求可访问和利用的特性(ISO 270013 术语和定义-3.2).确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源,6,什么是信息安全?AlterationDestructionD,信息安全管理体系所涵盖的领域,7,信息安全管理体系所涵盖的领域安全策略合规性信息安全组织资产管,湖南移动信息安全管理体系,8,湖南移动信息安全管理体系8,湖南移动信息安全管理制度,已发布制度湖南移动信息安全管理办法和责任矩阵湖南移动
6、信息安全三同步管理办法中国移动客户信息安全保护管理规定(试行)和控制矩阵中国移动业务信息安全评估标准(2011)中国移动基础信息安全管理通用要求(试行)和检查矩阵实践案例汇编“客户信息安全保护解决方案汇编”“基础信息安全案例汇编”计划完善的制度安全应急处置责任追究安全检查管理办法,9,湖南移动信息安全管理制度已发布制度9,目 录,信息安全管理体系介绍,1,基础电信企业信息安全责任管理办法,2,基础信息安全要求,3,客户信息保护管理规定,4,信息安全三同步管理办法,5,业务安全风险评估标准,6,10,目 录信息安全管理体系介绍1 基础电信企业信息安全,基础电信企业信息安全责任管理办法,互联网新技
7、术新业务的广泛,信息安全事件时有发生普遍存在“重市场发展、轻安全管理”的现象,甚至还有“只顾赚钱,漠视安全”的情况存在基础电信企业的信息安全责任和要求不尽明确。企业对自身应承担的信息安全责任重视不够、投入不足。行业监管机构对企业信息安全责任和义务缺乏有效监督和管理的方式方法。,企业信息安全责任,保障条件,总则,监督管理,基础电信企业信息安全责任管理办法(工信部保2009713号),11,基础电信企业信息安全责任管理办法互联网新技术新业务的广泛,信,基础电信企业信息安全责任管理办法-总则,第三条(信息安全)本办法所称信息安全指电信网络(包括固定网、移动网和互联网)上的公共信息内容安全。第四条(企
8、业信息安全责任)企业有义务维护国家安全、社会稳定和用户合法权益;应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信息安全责任制度,同步建设与企业网络、业务和用户发展相适应的信息安全保障体系和技术保障手段;保障必要的人员和资金投入。,总 则,12,基础电信企业信息安全责任管理办法-总则第三条(信息安全)本,基础电信企业信息安全责任管理办法企业信息安全责任,企业信息安全责任,规范合作经营,技术保障措施,配合监管,信息报备,网络建设,开办业务,日常监测,用户信息保护,接入责任,13,基础电信企业信息安全责任管理办法企业信息安全责任企业信息规,企业信息安全责任-(网络建设),企业
9、在电信网络的设计、建设和运行过程中,应做到与国家信息安全的需求同步规划,同步建设,同步运行。企业在系统规划、建设、升级、改造等环节应认真落实国家信息安全要求,同步配套相关信息安全设备和设施。企业在网络设备选型、采购和使用时,应遵守电信设备进网要求,满足信息安全管理需要。,14,企业信息安全责任-(网络建设)企业在电信网络的设计、建设和,企业信息安全责任-(开办业务),企业应履行信息安全承诺,按照电信业务经营许可的信息安全要求开展和经营相关电信业务。企业要在新产品立项、产品开发和业务上线(包括合作开办)的各环节:建立实施信息安全评估制度,同步配套与业务特点和用户规模相适应的信息安全保障措施,明确
10、业务的信息安全负责人,建立相应的管理制度和应急处置流程,按规定向电信监管机构进行业务信息报备。,15,企业信息安全责任-(开办业务)企业应履行信息安全承诺,按,企业信息安全责任-(日常监测),对本企业通信网络中发现的违法信息,企业应立即停止传输,保存相关记录,并向国家有关机关报告。对有关部门依法通知停止传输的违法信息,企业应配合执行。,16,企业信息安全责任-(日常监测)对本企业通信网络中发现的违,企业信息安全责任-(用户信息保护),电信用户依法使用电信的自由和通信秘密受法律保护。企业及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容(法律另有规定的除外)。对于本企业业务网络/
11、系统中保存的有关用户资料和信息,企业应依法予以保护,不得非法出售或者提供给其他组织和个人、不得用于与企业业务无关的用途。,17,企业信息安全责任-(用户信息保护)电信用户依法使用电信,企业信息安全责任-(接入责任),企业不得向未取得电信业务经营许可证的单位或个人提供用于经营性电信业务的电信资源、网络接入和业务接入;不得向未备案非经营性互联网站提供网络接入。企业应监督接入用户按照约定的用途使用电信资源或开展业务。发现擅自改变使用用途的,及时通知整改,涉及违法犯罪的,及时向有关部门报告。企业应定期检查接入内容。发现信息安全问题和隐患及时做出相应处理。,18,企业信息安全责任-(接入责任)企业不得向
12、未取得电信业务经,企业信息安全责任-(规范合作经营),企业在开展业务合作前,要对合作方的经营资质、业务许可等信息进行审核,并在合同中明确各方的信息安全责任。企业应当对合作提供的各类业务进行规范和监督,建立违法信息发现、监测和处置制度。对合作中出现的信息安全问题和隐患,企业应督促合作单位及时整改,或者按照合同约定进行处理,对违反法律的,报送相关部门查处。,19,企业信息安全责任-(规范合作经营)企业在开展业务合作前,,企业信息安全责任-(技术保障措施),企业应当建立并完善事前防范、事中阻断、事后追溯的信息安全技术保障体系。企业应当建立必要的技术手段,加强对重要电信资源(如电信码号、网络带宽、IP
13、地址、域名等)的管理。企业应当认真落实接入责任,建全信息安全管理和公共信息服务内容日常核查手段。,20,企业信息安全责任-(技术保障措施)企业应当建立并完善事前,企业信息安全责任-(配合监管),企业应当认真配合电信监管机构开展信息安全监督管理工作,保证相关工作顺利实施。企业应当依法记录并妥善保存用户使用电信网络的有关信息,相关信息应当至少保存60日。对存在的信息安全问题和隐患,企业应当严格按照电信监管机构的处理意见进行整改。因涉及国家安全或处置紧急事件的需要,电信监管机构根据国家的有关规定和要求组织实施通信管制,企业应当配合执行。,21,企业信息安全责任-(配合监管)企业应当认真配合电信监管机
14、,企业信息安全责任-(信息报备),企业应当遵照有关信息安全要求和规定,执行信息安全信息上报、备案制度,接受并配合电信监管机构的监督检查。可能引发信息安全隐患的网络调整、扩容、电信基础资源使用变更等;可能引发信息安全隐患的新开展业务;企业信息安全责任人或联系人信息变更;企业业务网络/系统内发生的各类信息安全事件。企业应保证相关报备信息的及时、准确、完整。,22,企业信息安全责任-(信息报备)企业应当遵照有关信息安全要,基础电信企业信息安全责任管理办法通报整改制度,电信监管机构对企业落实信息安全责任情况建立日常监测机制,实行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企业,电信监管机构向
15、企业提出书面整改意见,责成企业限期整改,并视情况在一定范围内予以通报。电信监管机构定期或不定期对企业落实信息安全责任的情况进行专项监督检查。企业应当将每年落实信息安全责任的有关情况形成书面报告报电信监管机构。对在新产品立项、产品开发和业务上线(包括合作开办)各环节未同步开展信息安全评估、未同步配套与该业务相适应的信息安全保障措施、未按规定要求向电信监管机构进行业务信息报备,而造成特(重)大信息安全事件(或被有关部门通报并经电信监管机构组织专家研究认定该业务存在严重信息安全隐患)的,由电信监管机构责令相关企业限期整改,未经整改合格的,不得开展该业务。,监督管理,23,基础电信企业信息安全责任管理
16、办法通报整改制度电信监管机构对,基础电信企业信息安全责任管理办法通报整改制度,对因自身管理原因造成信息安全事件,由电信监管机构追究相关企业责任。(一)企业在一年内,发生1次特大信息安全事件的,或累计发生3次(及3次以上)重大信息安全事件的,由电信监管机构予以通报批评,对相关责任人提出处理意见或建议,通报相关管理部门,并视情况向社会通告。(二)企业在一年内,发生1次重大信息安全事件的,或累计发生5次(及5次以上)一般信息安全事件的,由电信监管机构予以通报批评,对相关责任人提出处理意见或建议,并通报相关管理部门。(三)企业在一年内,发生5次以下一般信息安全事件的,由电信监管机构在电信行业内进行通报
17、。(四)企业存在信息安全问题或隐患,未按要求在规定期限内进行相应整改的,由电信监管机构予以通报批评,对相关责任人提出处理意见或建议,并视情况通报相关管理部门。构成犯罪的,移送司法机关依法追究刑事责任。,监督管理,24,基础电信企业信息安全责任管理办法通报整改制度对因自身管理原,基础电信企业信息安全责任管理办法 重点(一),落实基础企业领导人问责制明确和落实企业领导责任。对工作不落实、措施不到位、被电信主管部门通报批评的,追究企业信息安全责任人的领导责任。对整改不力、屡改屡犯、故意违规的,通报批评相应企业信息安全责任人,并函告其上级主管部门追究企业信息安全责任人的领导责任。,25,基础电信企业信
18、息安全责任管理办法 重点(一)落实基础企业领,基础电信企业信息安全责任管理办法(二),加强业务推广、合作经营的管理对业务推广渠道中业务合作的建立、合作内容的规范、合作问题的发现和监督、业务推广模式的实现等相关细节明确制度化、规范化的要求。监督合作单位相关责任和义务落实情况,确保实效。对合作中出现的信息安全问题和隐患,企业应督促合作单位及时整改;发现存在违规的,立即暂停或终止合作;发现违反法律的,报送相关部门查处。,26,基础电信企业信息安全责任管理办法(二)加强业务推广、合作,基础电信企业信息安全责任管理办法(三),落实接入环节管理责任为无证服务商提供接入、为未取得经营许可或备案的网站接入的,
19、追究相关人员责任。与接入服务商、网站签订信息安全管理协议。监督接入服务商、网站的日常活动,配合相关主管部门对接入服务商、网站接入的查处。对发现涉及违法犯罪的,应及时停止接入、保存记录,并向有关部门报告。对无法判定的涉嫌违规内容,应保存记录,并向有关部门报告,配合有关部门的研判和处置。,27,基础电信企业信息安全责任管理办法(三)落实接入环节管理责,目 录,信息安全管理体系介绍,1,基础电信企业信息安全责任管理办法,2,基础信息安全要求,3,客户信息保护管理规定,4,信息安全三同步管理办法,5,业务安全风险评估标准,6,28,目 录信息安全管理体系介绍1 基础电信企业信息安全,基础信息安全管理通
20、用要求,29,基础信息安全管理通用要求29,基础信息安全管理通用要求安全预警,预警信息分为一级、二级、三级、四级,一级为最高级。集团公司信息安全管理责任部门负责面向全网发布预警信息,各省公司或专业部门向所辖地域与专业发布预警信息。各单位接到预警信息后,应依据上级主管部门要求落实,及时跟踪预警项进展,预警内容出现变化应及时上报,必要时调高预警级别并采取更严格防范措施。各单位可根据预警信息对系统的影响情况调高预警级别,但不允许调低预警级别;对安全补丁类预警,应根据设备所处位置和重要性采取不同的加载策略。在设备没打补丁期间,要采取相应的加固措施,保证设备不易被攻击。对于安全预警信息,应在预警信息规定
21、时限内向预警信息发布主体反馈处理结果。安全预警处理结果反馈内容应包括预警的影响范围、防范措施实施范围、防范措施实施效果、进一步计划等内容。,30,基础信息安全管理通用要求安全预警预警信息分为一级、二级、三,基础信息安全管理通用要求安全监控,要由监控专业或相应专业人员实施对各专业网络与系统的集中化安全监控。重点监控范围包括安全等级三级及以上的IT系统,以及基地业务、彩信、OA、ERP、邮件系统、对外网站、IDC、WLAN、DNS、LSP等系统。细化安全监控内容,包括但不限于:内网系统:帐号登录信息,帐号、权限、口令的变更,服务与端口的启用,系统日志是否正常;互联网系统:除了满足内网系统监控内容要
22、求外,还应包括网站页面是否被篡改,系统可用性;安全设备:防病毒系统、入侵检测系统、防火墙等安全告警信息。针对各监控对象细化制定安全监控的各项控制基线与量化指标,基线与指标的数值应至少设定正常,一般告警,紧急告警三个等级。应完善和优化安全监控手段,提升监控的效率与覆盖面。应制定细化的安全监控作业计划,实施对重点监控对象的724小时监控。对于监控中发现的安全问题,及时进行详细记录并形成监控日志,监控日志应留存3个月以上。要及时对监控中发现的问题进行识别、分析与处置。按照安全事件管理相关要求对监控中发现的安全事件进行处置。,31,基础信息安全管理通用要求安全监控 要由监控专业或相应专业人,基础信息安
23、全管理通用要求访问控制1,内网接入安全要求严禁任何设备以双网卡方式同时连接互联网和公司内网;严禁向任何未经防火墙隔离的对外网站等互联网系统分配公司内网IP地址;接入公司内网的终端设备必须通过802.1X认证,安全网关认证,MAC地址绑定等方式之一实现网络接入认证,只有通过接入认证的设备才可访问局域网资源;如因系统限制暂时无法在系统中实现网络登录认证,任何外来设备只能在接入申请批准后方可接入,并由局域网的维护人员对接入终端进行登记;原则上不应采用无线AP方式接入内网,如遇特殊情况,依据“谁接入、谁负责”的原则,管理上必须经主管领导审批授权,技术上必须采用MAC地址绑定,强安全认证,强加密算法保护
24、的安全传输,配置隐藏SSID,保证AP口令强度等配置;各单位要维护一份已使用内网IP地址清单,清单内容包括但不限于每个IP地址的使用单位、设备用途、责任人(使用人)和联系方式等信息。远程接入 远程接入指从外部网络接入公司内网;各单位要制定远程接入的实施细则、远程接入审批和授权流程,规范帐号权限的申请、变更与删除等工作,审批与授权记录应予以归档留存;各单位对远程接入应做到系统集中管控(接入4A系统),采用短信动态口令,令牌等强认证方式,并对远程接入用户的登录过程、操作行为进行记录(记录内容包括但不限于:用户名、操作内容、登陆方式、登入时间、登出时间);远程接入帐号只能授予内部员工,厂家人员需要使
25、用远程维护时,按次授权,用毕收回;远程接入帐号的创建、调整和删除申请审批通过后,应及时更新系统中的帐号状态,确保与审批结果保持一致;定期(每半年至少一次)检查远程接入帐号与权限,清除过期或者未授权的访问帐号与权限。,32,基础信息安全管理通用要求访问控制1 内网接入安全要求32,基础信息安全管理通用要求访问控制2,防火墙配置管理各单位应制定防火墙策略管理的实施细则、防火墙策略变更审批和授权流程,规范防火墙策略新建、更新与删除工作,审批与授权记录应予以归档留存;防火墙配置应满足中国移动防火墙功能和配置规范要求,做好日志、告警、安全策略、攻击防护的配置;系统管理员应遵循“最小化”原则,根据系统内外
26、部互联需求,建立细化到连接双方的IP、端口、有效时间范围、承载信息、信息敏感性等内容在内的网络连接信息表,并据此配置防火墙策略,禁止出现非业务需要的大段IP、连续端口开放的配置;除数据网管、安全管控平台等因业务需要外,互联网边界防火墙从外网至内网的方向仅允许业务应用端口,严禁开放维护管理和数据库服务端口;内网不同区域之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点访问策略,严禁开放大段IP地址的访问策略;内部核心区不允许开放到互联网的访问权限。建立维护作业计划,定期(至少每周一次)对非永久有效的临时防火墙策略进行清理。定期审核防火墙策略,确保网络连接信息、防火墙策略与实际情况的一致
27、性,确保防火墙策略满足公司安全要求。第三方访问控制管理第三方是指与中国移动在业务上具有合作关系,或是向中国移动提供开发、维护等服务的公司及其员工;各单位要与第三方公司签订保密协议,在协议中明确第三方公司及其参与服务的员工的保密责任以及违约罚则;第三方人员的开发、维护的接入区域要与中国移动的生产、内部办公、维护区域分离,并采用更严格的访问控制策略和管控手段;第三方工作区域的终端接入中国移动的内部网络时要满足内网接入要求,严格限制U盘等外设拷贝,禁止使用无线上网,必须安装防病毒软件;通过接入4A系统等方式对第三方人员的登录过程、操作行为进行记录(记录内容包括但不限于:用户名、操作内容、登录方式、登
28、入时间、登出时间),日志记录至少保留6个月。严格禁止第三方人员拥有重要系统管理员权限,创建系统帐号权限,查询客户敏感信息或者超出工作范围的高级权限的帐号。各单位应至少每3个月对第三方的帐号权限进行一次审核清理。,33,基础信息安全管理通用要求访问控制2 防火墙配置管理33,基础信息安全管理通用要求访问控制3,帐号口令管理各单位要制定帐号口令管理办法,帐号口令管理满足:帐号管理遵循职责匹配、最小授权原则,规范帐号创建、变更、删除审批流程,严格限制程序帐号的使用;口令设置满足字母、数字组合等复杂度要求,不得以明文方式保存或者传输,口令长度不得小于8位,至少每90天更换一次,且5次以内不得设置相同的
29、口令;定期(至少每半年一次)对帐号申请审批、权限变更等流程执行情况进行审核,避免出现非法创建帐号、无主帐号以及权限与职责不相容的帐号。要通过系统功能强制实现口令策略管理,防止出现弱口令设置。重要系统要采用短信动态口令、证书等强认证登录方式。,34,基础信息安全管理通用要求访问控制3 帐号口令管理34,基础信息安全管理通用要求安全分析,各单位要建立安全分析制度,定期对基础信息安全工作情况进行分析通报。分析内容包括:基础信息安全相关的安全形势与威胁变化,安全事件,安全预警、安全监控、风险评估、合规性检查等发现的安全问题,部署相关整改工作,追踪安全问题整改情况,对重大安全事项进行专题研究等。对于分析
30、中形成的信息安全工作决议,工作部署等记录归档,并追踪落实。,35,基础信息安全管理通用要求安全分析 各单位要建立安全分析制度,基础信息安全管理通用要求安全合规性检查,各省信息安全归口管理部门要制定合规性检查制度,配备必要的检查工具,建立内部检查机制。信息安全归口管理部门每年年初要组织相关单位共同制定安全合规性检查计划,并按照计划开展检查工作。在计划中要明确检查的方式、方法,抽调各单位安全力量,以自查或交叉检查方式进行。安全合规性检查范围与频次要求:每年至少对各IT系统组织完成一次全面检查;各单位应结合自身情况开展不定期的自查。安全运营管理和基础IT设施安全防护的合规性检查应依据本要求执行;单点
31、设备安全配置的合规性检查建议采用设备安全配置审核工具进行。合规性检查的方法包括但不限于:抽样检查、全面检查、现场检测、日志审核、人员访谈、工具自动检查等。每次检查结束后检查小组要及时编制安全合规性检查报告、安全合规性检查问题整改计划及实施方案。被检查单位要及时向本省信息安全归口管理部门上报整改进度与成果及安全合规性检查问题整改工作总结。,36,基础信息安全管理通用要求安全合规性检查 各省信息安全归口管,基础信息安全管理通用要求安全事件管理1,安全事件分为特别重大、重大、较大和一般四个级别。系统(含内网系统)安全事件信息分级定义参照互联网网络安全信息通报实施办法规定,及集团相关部门要求。安全事件
32、组织分为三级,一级管理组织是集团公司,负责跨省、跨专业事件的协调处置。二级管理组织为各省公司,负责辖区内事件的协调处置。三级管理组织由省公司各部门的安全小组组成,负责事件的具体处置。各级组织应负责执行所主管IT系统与网络的安全事件管理工作,并接受上一级组织的统筹与指导。国家重大活动保障时期发生的安全事件的级别应在原有级别上提升一级,特别重大安全事件级别不再向上提升。各级组织对于安全监控发现的安全事件,要及时对安全事件的影响范围和级别进行判断并决定是否需要上报;对于省内跨专业的安全事件应及时上报二级事件管理组织协调处理,对于跨省的安全事件应及时上报一级事件管理组织协调处理。上报模板参见附录一。各
33、级组织收到安全事件投诉后应及时对投诉内容进行核实,并协调做好投诉的处理。特别重大安全事件发生时,二级管理组织应立即上报集团公司,经审批后,上报当地安全分中心。特别重大安全事件确认至上报集团不得超过1小时。重大安全事件发生时,二级管理组织应及时上报集团公司。重大安全事件确认至上报到集团公司不得超过2小时。较大或一般安全事件由二级管理组织汇总后于次月5个工作日内报送当地通信管理局和CNCERT/CC当地分中心,并在每月安全报表中向集团公司上报。二级管理组织应记录安全事件的审计核查结果,进行汇总分析,总结存在的问题并归档形成安全事件案例库,并上报集团公司。,37,基础信息安全管理通用要求安全事件管理
34、1安全事件分为特别重大,基础信息安全管理通用要求安全事件管理2,安全事件发生后应立即启动响应机制。按照“谁下达任务,谁结束任务”的原则,重大活动保障任务下达单位或部门应明确安全响应任务的结束时间。在网络入侵事件的处理过程中,应保护被入侵设备现场,尽可能进行离线封存问题设备,交二级管理组织处理,禁止擅自重装、删除系统,为将来的取证或者分析入侵行为提供证据。做好事件恢复后的安全检查工作,避免设备上线后再次出现同类问题。各级组织应定期完善安全事件预案,对安全人员进行培训,每年至少执行一次信息安全演练。应定期检查、补充安全事件处理所用的硬件及软件工具,相关支撑文档资料等,做到有备无患。应完善安全事件响
35、应的技术支撑体系,提升事件处置能力。对于安全事件处理中关键节点的访问与操作日志应建立备份机制,在线日志至少应保存三个月,离线日志至少应保存半年。,38,基础信息安全管理通用要求安全事件管理2 安全事件发生后应,基础信息安全管理通用要求人员与资产安全管理,各省应与合作第三方、关键岗位员工单独签订保密协议,在协议中明确其保密责任以及违约罚则。各省应建立所辖系统中有IP地址的基础设备资产管理清单,并集中建立与互联网接口的资产清单,必须详细记录信息资产的状态、IP地址、系统类型与版本、功能与用途、所处位置、相关责任人等。各省应确保资产清单与在线系统状态、责任人员信息一致。应定期通过IP段扫描或者人工检
36、查的方式比对审计资产清单与现网资产信息,对于未经登记的无主设备一经发现立即处理,对于资产信息发生变化的应予以更新。各省每半年应对省内所有公网IP设备的潜在安全高危端口(如远程登录,网站服务,数据库服务,网管服务等)进行一次扫描,每年应对所有公网IP完成一次全面漏洞扫描,及时对自有业务和系统存在的安全风险进行整改。各省应建立完善资产退服管理流程。定期清查盘点,确保退服系统及时下线并移出机房。对于退服设备的数据,要彻底清除。,39,基础信息安全管理通用要求人员与资产安全管理 各省应与合作第,基础信息安全管理通用要求系统安全,单点设备安全要求:单点设备包括IT系统与网络中的终端、主机、中间件、数据库
37、、网络设备等;单点设备在规划建设、工程验收、运行维护各个环节中,必须严格遵守中国移动设备安全功能和配置规范相关要求。规范清单参见附录二。业务和应用安全要求:业务和应用在规划、建设、上线阶段应满足以下安全要求:在业务和应用规划阶段,应当根据应用系统面临的安全威胁以及业务、管理与维护上的需要,遵循“基础IT设施安全防护要求”以及公司相关业务安全规范和标准,提出相应的安全要求;在业务和应用在规划设计阶段,应组织需求单位、建设单位、运维管理单位及安全管理部门对规划设计方案的安全性进行会审,确保方案的合理性,避免在规划设计阶段引入安全风险;在系统后续的开发建设、测试交付以及运行期间需要验证安全要求是否得
38、到满足;应对第三方开源组件在开发中的使用进行管控,不得采用已知存在安全漏洞的组件版本。Web应用软件安全应遵循WEB类应用系统安全防护技术要求,在身份验证、会话管理、权限管理、敏感数据保护、输入输出校验、内容安全等方面必须具备一定的安全功能,保证系统本身不易被攻击;,40,基础信息安全管理通用要求系统安全 单点设备安全要求:40,基础信息安全管理通用要求系统安全,生产环境安全要求:生产环境中的工具软件安装与使用要求应对生产环境中工具软件进行统一管理,不得安装与生产无关的软件;严禁安装能够穿透防火墙,从互联网访问和控制内网设备的软件,如Teamviewer等;除部门领导授权外,任何非安全专用设备
39、严禁安装漏洞扫描、网络嗅探等安全工具;及时修补Serv-U、VNC等常用第三方工具软件存在的安全漏洞。移动存储介质使用安全要求各单位应完善本单位内移动存储介质使用管理办法,并指定专人负责对存储介质的使用进行指导、监督和检查;各单位应明确允许使用移动存储介质的人员、系统与网络范围,对于不允许使用的,应实施控制策略、物理封闭或端口封禁等手段;对准许接入系统与网络的存储介质进行严格控制,在接入前必须进行病毒查杀;未经授权,严禁使用移动存储设备(如移动硬盘、U盘等)处理涉密数据或文件;涉密信息的移动存储介质的管理应按照国家、公司相关保密制度执行。应做到办公终端与维护生产终端的专机专用,原则上要求实现两
40、者的物理隔离,严禁采用双网卡(包括无线网卡)跨接不同网络。开发测试系统的安全要求:开发测试环境应与生产环境隔离,不得在现网生产环境上进行开发与测试;开发测试过程中不得使用真实生产数据,仅能使用经过模糊化处理的数据;应对开发测试环境采取适当的保护措施,防止被互联网区域渗透。,41,基础信息安全管理通用要求系统安全 生产环境安全要求:41,基础信息安全管理通用要求安全域划分,安全域指具有相同或相近的安全需求、相互信任的网络区域或网络实体的集合。安全域的划分应依据业务保障、结构简化、等级保护、生命周期四项原则执行。网管、业务支撑、信息化3大支撑系统应分别依据中国移动支撑系统安全域划分与边界整合技术要
41、求、中国移动业务支撑网安全域划分和边界整合技术要求、中国移动管理信息系统安全域划分技术要求划分安全域;数据业务系统应依据中国移动数据业务系统集中化安全防护技术要求划分安全域。各单位可结合自身安全需求,通过安全域风险分析,制订更细粒度的安全域划分方案,进一步定义相关安全子域。,42,基础信息安全管理通用要求安全域划分 安全域指具有相同或相近,基础信息安全管理通用要求边界整合与域间互联,在保证业务系统的互联需求的前提下,应对安全域的边界进行合理的整合,对系统接口进行整理和归并,实现重点防护。安全域的边界整合包括但不限于以下内容:与互联网的边界整合:省内支撑系统与互联网边界应整合到省公司一级,地市单
42、位支撑系统不应设置互联网出口;数据业务系统应根据物理位置,设置集中的互联网出口;与合作伙伴的边界整合:应梳理各类业务系统、合作伙伴的安全要求,合并整合后采取对应安全措施进行防护;与第三方厂商的边界整合:对第三方的远程接入进行统一整合,纳入第三方远程接入安全子域,并采取远程接入集中控制、防火墙、4A系统等措施实施安全管控。对第三方现场支持纳入第三方现场维护子域进行安全管控;各系统之间的边界整合:将有相近安全防护需求的业务系统安全子域进行整合,避免各系统之间安全防护手段的重复投资。,43,基础信息安全管理通用要求边界整合与域间互联 在保证业务系统,基础信息安全管理通用要求安全域防护,根据各安全域的
43、威胁等级、保护等级,部署各业务系统的保护方式:内部区域与外部区域间应进行物理或逻辑隔离;内部区域间应采用防火墙、入侵检测、病毒防护等设备,对安全子域进行隔离与安全防护;在安全域的边界上除了上述的防护措施,还应综合考虑病毒墙、补丁管理、漏洞扫描、入侵检测、访问控制网关、双因素认证、信息加密等其他防护措施的统一部署,并实施集中的实时监控。各单位应完善安全域日常安全防护工作的管理制度,工作流程与支撑手段,组织开展安全域防护工作:应定期(至少每年)执行安全域评估,检查策略设置、整体防护能力,确保符合安全域防护要求;应严格执行申请、审批、实施、核查等流程,在安全域中的新设备部署、设备变更、设备移出等工作
44、中落实安全域相关要求。安全域管理责任部门应定期组织审核安全域内设备部署和调整情况,及时发现违反管理要求的问题,并提出整改要求、监督落实。如发现存在严重违反相关要求的情况,应向信息安全归口管理部门与领导汇报。,44,基础信息安全管理通用要求安全域防护 根据各安全域的威胁等级,基础信息安全管理通用要求集中安全管控要求,集中安全管控系统(如4A、堡垒主机等方式)是系统运维的统一入口。集中安全管控系统要求:重要的支撑系统与网络、业务平台原则上应纳入集中安全管控系统,后台操作必须通过集中安全管控系统登录;集中安全管控系统应实现基于主帐号的强身份认证,保存用户的完整操作日志,能对异常操作告警;应定期审核集中安全管控系统上的帐号、权限与日志,清除过期帐号与权责不相容的权限;禁止在集中管控系统正常运行的状况下,绕过该系统直接访问后台系统。应以省为单位,实施病毒防护手段的集中管理,实现病毒库、病毒防护策略,病毒预警与处置的统一管理。,45,基础信息安全管理通用要求集中安全管控要求 集中安全管控系统,目 录,信息安全管理体系介绍,1,基础电信企业信息安全责任管理办法,2,基础信息安全要求,3,客户信息保护管理规定,4,信息安全三同步管理办法,5,业务安全风险评估标准,6,46,目 录信息安全管理体系介绍1 基础电信企业信息安全,
