《中国移动网络与信息安全体系培训教材(1).ppt》由会员分享,可在线阅读,更多相关《中国移动网络与信息安全体系培训教材(1).ppt(46页珍藏版)》请在三一办公上搜索。
1、,目标:对涉及公司运营的所有信息资产(对通信网业务系统、各支撑系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护,保障公司“新跨越战略”实施,保护公司的核心竞争力。指导思想:以风险管理为核心,预防为主,技术手段为支撑,围绕信息和信息系统生命周期,逐步建立由安全组织、管理规定和技术指南、运行和技术防护手段构成的具有自主创新能力和拓展能力的安全体系,保障公司“做世界一流企业”新跨越战略的实施。,网络与信息安全保障体系,中国移动网络与信息安全保障体系,建立,中移动网络与信息安全体系培训(面向操作层),网络安全处2006年12月,目录,信息安全:企业面临的巨大挑战中国移动信息安全管理体系介绍
2、中移动网络与信息安全总纲,安全事件分布,安全事件的损失,安全威胁方的分布,独立黑客:黑客攻击越来越频繁,直接 影响企业正常的业务运作!内部员工:1、信息安全意识薄弱的员工误用、滥用等;2、越权访问,如:系统管理员,应用管理员越权访问数据;3、政治言论发表、非法站点的访问等;4、内部不稳定、情绪不满的员工。如:员工离职带走企业秘密,尤其是企业内部高层流动、集体流动等!竞争对手:法制环境不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)!国外政府或机构:法制环境不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)!,企业面临的主要信息安全问题,人员问题:信息安全意识薄弱的员工误操作、
3、误设置造成系统宕机、数据丢失,信息泄漏等问题特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感数据内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流动等技术问题:病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务运作法律方面网络滥用:员工发表政治言论、访问非法网站法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务),信息安全事件回放(一),全国最大的网上盗窃通讯资费案某合作方工程师,负责某电信运营商的设备安装。获得充值中心数据库最高系统权限从2005年2月开始,复制出了14000个充值密码。获利380万。2005年7月16日才接到用户投诉说购买的充
4、值卡无法充值,这才发现密码被人盗窃并报警。无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思:目前是否有类似事件等待进一步发现,对第三方的有效安全管理规范缺失,信息安全事件回放(二),北京ADSL断网事件2006年7月12日14:35左右,北京地区互联网大面积断网。事故原因:路由器软件设置发生故障,直接导致了这次大面积断网现象。事故分析:操作设备的过程中操作失误或软件不完善属于“天灾”,但问题出现后不及时恢复和弥补,这就涉及人为的因素了,实际上这也是可以控制的。,需制定实施的业务连续性管理体系,信息安全事件回放(三),希腊总理手机被窃听,沃达丰总裁遭传唤早在2004年雅典奥运会之前,
5、希腊高官们的手机便已开始被第三方窃听,2006年3月份才被发现。事故原因:沃达丰(希腊)公司的中央服务系统被安装了间谍软件,制定严格的核心操作系统访问控制流程,信息安全事件(四),两名电信公司员工利用职务上的便利篡改客户资料,侵吞ADSL宽带用户服务费76.7万余元事故原因:内部安全管理缺失,缺乏有效的内控措施和定期审计,对信息安全问题产生过程的认识,威胁方,资产,威胁(破坏或滥用),中移动网络与信息安全体系建立紧迫性,李跃总的讲话安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒,只讲我们自身的工作安全。从全球及我们自身看,网络安全的形式非常严峻进入网管中心或者通过网管中心进入各生产网元
6、,一定要实行有效的多次密码认证的管理,严格管理每一次进入。对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。不能光管外人不管自己。(重在管理,其次是手段)对外来人员的进入,我们一定要限人、限时、限范围,明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查,并做好记录,要承担起核心设备网元的管理权,出了问题要承担责任。,目录,信息安全:企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲,中移动网络与信息安全建设总体思路,基于信息安全管理国际标准BS7799/ISO17799综合顾问的管理和技术经验,结合公司现有的信息安全管理措施以公司信息安全现状为基础,充分考虑了
7、公司所存在的信息安全风险参考国外业界最佳实践,同时考虑国内的管理和法制环境,中移动网络与信息安全的目标,为中国移动的网络与信息安全管理工作建立科学的体系,确保安全控制措施落实到位,为各项业务的安全运行提供保障。目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。,可用性完整性保密性防抵赖性可审查性,保证公司业务运作的连续性,即使在遭受意外的情况下也可迅速恢复关键信息资产的使用都必须经过授权,只有得到相应授权的人员才可使用网络和保密信息任何对公司业务运作的威胁和破坏行为都得到记录,并能跟踪和追查,中移动信息安全建设原则与总体策略,安全管理流程、制度和安全控制措施的设计应基于风险分析,
8、而不应基于信任管理权限制衡和监督原则:安全管理人员和网络管理人员、主机管理人员相互制约作为国家基础设施提供商,其网络与信息安全工作目前必须围绕公司业务目标开展;网络与信息安全管理工作应以风险管理为基础,在安全、效率和成本之间均衡考虑;全面防范,突出重点,中移动网络与信息安全策略架构,国家政策要求,企业发展战略,国内外标准,安全评估结果,技术规范,管理规范,操作手册和具体系统相结合,流程、细则和具体系统相结合,第一层,第二层,第三层,安全域划分技术规范、IP专网接入安全要求、安全产品测试规范,帐号口令安全管理办法、终端安全管理办法,网络与信息安全体系总纲,从宏观方针到微观操作,建立了包含三个层面
9、的安全制度体系,信息安全管理组织体系模型,信息安全决策层决策、规划、保证机制,信息安全管理层安全管理、工程、保证管理,信息安全操作层运行、实施、保证,建立垂直组织明确岗位职责贯彻分权制衡原则提高任职资格建立关键岗位人员选拔制度加强安全绩效考核,中移动网络与信息安全组织体系,集团公司网络信息安全领导小组,集团公司网络信息安全办公室,集团网络信息安全小组,各省公司网络信息安全领导小组,各省公司网络信息安全办公室,各省网络信息安全小组,决策层,管理层,执行层,集团公司,省公司,在总部和省公司建立了三层网络安全管理组织;集团副总裁为集团领导小组组长,各部门总经理为小组成员;集团公司网络信息安全办公室设
10、在网络部。,组织架构,网络与信息安全领导小组,网络部,业务支撑系统部,管理信息系统部,网络安全办公室,网络部,业务支撑系统部,管理信息系统部,集团,省公司,为了进一步加强公司的网络安全工作,在网络部设立了网络安全处,负责推动公司层面的各项网络安全工作落实。,公司的安全管理,跨部门工作协调,组织落实公司范围的各项安全工作。,.,.,信息安全管理框架,信息安全目标,中移动网络与信息安全体系总纲,安全审计,组织与人员,国家政策要求,企业发展战略,国内外标准,安全评估结果,技术规范,管理规范,操作手册和具体系统相结合,流程、细则和具体系统相结合,第一层,第二层,第三层,安全域划分技术规范、IP专网接入
11、安全要求、安全产品测试规范,帐号口令安全管理办法、终端安全管理办法,网络与信息安全体系总纲,从宏观方针到微观操作,建立了包含三个层面的安全制度体系,目录,信息安全:企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲,信息资产分类与控制,根据信息资产的价值、保密性、可用性、弱点、威胁,对信息资产及其风险进行赋值,确定保护的优先级和强度,人员的安全管理体系架构,物理及其环境安全体系架构,物理及环境安全,系统运作管理体系架构,系统开发,业务连续性计划,根据业务重要程度、优先级制订灾难恢复计划建立安全事故处理流程对关键的业务系统要建立异地数据备份对关键业务系统建立热备份定期检查备份
12、系统和设备进行紧急事故响应演练,审计监控体系,监控信息流人流、物流审计安全策略和控制措施中技术层面的落实情况对制度、流程合理性和执行情况审计,信息监控将信息流的出口及关键节点设立为监控点把监控点上的信息访问、信息流动等记录集中上报到信息安全监控中心信息安全监控中心集中分析,区分不同性质的行为,分别启动预警、紧急处理、事后追踪处理等程序由人工“前台”检查转为后台自动监控人工的审计监控作为集中自动监控的补充,目录,信息安全:企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲角色责任与执行,NISS的执行,基于中移动网络与信息安全体系总纲,将形成一系列二层的信息安全管理规定。帐号
13、口令安全管理办法终端安全管理办法病毒防制相关规定信息安全保密相关规定,管理者的责任,责任清晰各级部门的一把手是本部门信息安全的第一责任人负责信息安全管理规定在本部门的推行和落实对本部门人员的违规事件承担领导责任和连带处罚如何管理各部门主管首先需要以身作则,带头遵守公司各项信息安全规定要在部门的各种场合向部门强调和灌输信息安全保密意识在本部门指定专门的人员负责信息安全工作在部门内持续不断的进行信息安全宣传、检查对本部门人员的违规行为应严肃对待,不姑息,不袒护,普通员工的责任,严格遵守和执行公司各类信息安全管理规定和流程制度以及安全方面的有关措施有义务制止他人违规行为或及时向信息安全部反馈可能造成
14、泄密、窃密或其他安全隐患,如何避免信息安全违规,首先需要每个员工有强烈的安全意识积极学习公司的各类信息安全管理规定和安全措施,将遵守安全规定融入自己的日常工作行为中,信息安全违规的处理原则,根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级,对违反信息安全管理规定者,如其主管明显管理和指导不力须承担连带责任,对在信息安全管理制度和措施上贯彻、监控不力、权限审核不当,造成安全制度和措施难以落实、部门安全管理工作混乱的部门主管,须承担领导责任,常用信息安全管理规定举例(一),签署保密协议,进入公司,个人计算机安全管理,网络连接,信息系统使用,外部人员安全管理规定,对外接待管理规定,x
15、x,.,.,办公环境安全管理,信息安全保密管理规定,病毒防治管理,离职协议,会议信息安全管理规定,中的帐号和口令标准,病毒防制相关规定,普通用户要求,必须安装公司规定的防毒软件实时运行,定期查杀不得安装标准之外的防毒软件任何个人不得私自发布计算机病毒疫情,收到来历不明的邮件处理方法,EMAIL,这邮件是谁发的?不知是什么东东?管他的,先打开看看。,不要打开,可能有病毒!,来历不明邮件,立刻报告,网络安全处,时间,联系方式,经过,损失,地点,安全工作组来统一 处理,报告时请注意以下几方面:,常用信息安全管理规定举例(二),签署保密协议,进入公司,个人计算机安全管理,网络连接,信息系统使用,外部人
16、员安全管理规定,对外接待管理规定,xx,.,.,办公环境安全管理,信息安全保密管理规定,病毒防治管理,离职协议,会议信息安全管理规定,中的帐号和口令标准,信息资产分类与控制,保密信息密级,“绝密”信息:是指包含公司最重要和最敏感的信息,关系公司未来发展的前途命运,对公司根本利益有着决定性影响的信息“机密”信息:是指包含公司的重要秘密,其泄露会使公司的安全和利益遭受严重损害的保密信息“秘密”信息:是指包含公司一般性信息,其泄露会使公司的安全和利益受到损害的保密信息“内部公开”信息:是指仅在公司内部或在公司某一部门内部公开,向外扩散有可能对公司的利益造成损害的保密信息,信息安全保密相关规定,保密信息的访问和授权原则,工作相关性原则最小授权原则审批、受控原则,关键成功因素,网络与信息安全工作必须是高层牵头,领导负责,全员参与,专人管理;必须全员参与。建立全面、均衡、可行的评估、考核体系,以衡量网络与信息安全管理工作的水平;,
