中国移动网络与信息安全保障体系PPT课件.ppt

1、目目标：对涉及公司运营的所有信息资产（对通信网业务系统、各支撑系统网络、以及市场、财务、研发、人力的各类重要信息）进行保护，保障公司“新跨越战略”实施，保护公司的核心竞争力。指指导思想：思想：以风险管理为核心，预防为主，技术手段为支撑，围绕信息和信息系统生命周期，逐步建立由安全组织、管理规定和技术指南、运行和技术防护手段构成的具有自主创新能力和拓展能力的安全体系，保障公司“做世界一流企业”新跨越战略的实施。网网网网络络与信息安全保障体系与信息安全保障体系与信息安全保障体系与信息安全保障体系 中国移中国移动网网络与信息安全保障体系与信息安全保障体系技技技技术术及防及防及防及防护护支撑手段支撑手段

2、支撑手段支撑手段 安全安全安全安全运行运行运行运行管理管理管理管理规规定定定定和技和技和技和技术术指南指南指南指南安全安全安全安全组织组织架构架构架构架构制定执行支撑基于运用建立目目录信息安全：企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲安全事件分布安全事件分布安全事件的安全事件的损失失安全威安全威胁方的分布方的分布 独立黑客：黑客攻击越来越频繁，直接 影响企业正常的业务运作！内部员工：1、信息安全意识薄弱的员工误用、滥用等；2、越权访问，如：系统管理员，应用管理员越权访问数据；3、政治言论发表、非法站点的访问等；4、内部不稳定、情绪不满的员工。如：员工离职带走企业秘

3、密，尤其是企业内部高层流动、集体流动等！竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！企企业面面临的主要信息安全的主要信息安全问题人人员问题：信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等技技术问题：病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作法律方面法律方面网络滥用：员工发表政治言论、访问非法网站法

4、制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）信息安全事件回放（一）信息安全事件回放（一）全国最大的网上盗窃通讯资费案l某合作方工程师，负责某电信运营商的设备安装。获得充值中心数据库最高系统权限l从2005年2月开始，复制出了14000个充值密码。获利380万。l2005年7月16日才接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。l无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思：目前是否有类似事件等待进一步发现对对第三方的有效安全管理第三方的有效安全管理第三方的有效安全管理第三方的有效安全管理规规范缺失范缺失范缺失范缺失信息安全事件回放（二）信息安

5、全事件回放（二）北京ADSL断网事件2006年7月12日14:35左右，北京地区互联网大面积断网。事故原因：路由器软件设置发生故障，直接导致了这次大面积断网现象。事故分析：操作设备的过程中操作失误或软件不完善属于“天灾”，但问题出现后不及时恢复和弥补，这就涉及人为的因素了，实际上这也是可以控制的。需制定需制定需制定需制定实实施的施的施的施的业务连续业务连续性管理体系性管理体系性管理体系性管理体系信息安全事件回放（三）信息安全事件回放（三）希腊总理手机被窃听，沃达丰总裁遭传唤早在2004年雅典奥运会之前，希腊高官们的手机便已开始被第三方窃听，2006年3月份才被发现。事故原因：沃达丰（希腊）公司

6、的中央服务系统被安装了间谍软件 制定制定制定制定严严格的核心操作系格的核心操作系格的核心操作系格的核心操作系统访问统访问控制流程控制流程控制流程控制流程信息安全事件（四）信息安全事件（四）两名电信公司员工利用职务上的便利篡改客户资料，侵吞ADSL宽带用户服务费76.7万余元事故原因：内部安全管理缺失缺乏有效的内控措施和定期缺乏有效的内控措施和定期缺乏有效的内控措施和定期缺乏有效的内控措施和定期审计审计对信息安全信息安全问题产生生过程的程的认识环境境威威胁方方资产系统漏洞管理漏洞物理漏洞威胁（破坏或滥用）利用工具通过中移中移动网网络与信息安全体系建立与信息安全体系建立紧迫性迫性李跃总的讲话安全问

7、题已时不我待。我所讲的安全问题还不是黑客和防病毒，只讲我们自身的工作安全。从全球及我们自身看，网络安全的形式非常严峻进入网管中心或者通过网管中心进入各生产网元，一定要实行有效的多次密码认证的管理，严格管理每一次进入。对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。不能光管外人不管自己。（重在管理，其次是手段）对外来人员的进入，我们一定要限人、限时、限范围，明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查，并做好记录，要承担起核心设备网元的管理权，出了问题要承担责任。信息安全是信息服信息安全是信息服务提供商的核心保提供商的核心保证一个不安全的网络，将不可能提供高质量的信息服务信

8、息服务必须让客户可信任解决信息安全问题的关键建立一个完善的信息安全管理体系目目录信息安全：企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲中移中移动网网络与信息安全建与信息安全建设总体思路体思路l基于信息安全管理国际标准BS7799/ISO17799l综合顾问的管理和技术经验，结合公司现有的信息安全管理措施l以公司信息安全现状为基础，充分考虑了公司所存在的信息安全风险l参考国外业界最佳实践，同时考虑国内的管理和法制环境中移中移动网网络与信息安全的目与信息安全的目标为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控制措施落实到位，为各项业务的安全运行提供保障。目前

9、公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。可用性可用性保密性保密性可可审查性性l确保被授权用户能够在需要时获取网络与信息资产。l关键信息资产的使用都必须经过授权，只有得到相应授权的人员才可使用网络和保密信息l任何对公司业务运作的威胁和破坏行为都得到记录，并能跟踪和追查中移中移动信息安全建信息安全建设原原则与与总体策略体策略安全管理流程、制度和安全控制措施的设计应基于风险分析，而不应基于信任管理权限制衡和监督原则：安全管理人员和网络管理人员、主机管理人员相互制约作为国家基础设施提供商，其网络与信息安全工作目前必须围绕公司业务目标开展；网络与信息安全管理工作应以风险管理为基础，在

10、安全、效率和成本之间均衡考虑；全面防范，突出重点高高层牵头领导负责全全员参与参与专人管理人管理中移中移动网网络与信息安全策略架构与信息安全策略架构国家政策要求国家政策要求企企业发展展战略略国内外国内外标准准安全安全评估估结果果技技术规范范管理管理规范范操作手册操作手册和具体系和具体系统相相结合合流程、流程、细则和具体系和具体系统相相结合合第一第一层第二第二层第三第三层安全域划分技安全域划分技术规范、范、IP专网接入安全要网接入安全要求、安全求、安全产品品测试规范范帐号口令安全管理号口令安全管理办法、法、终端安全管理端安全管理办法法网网络与信息安全体系与信息安全体系总纲从宏从宏从宏从宏观观方方方

11、方针针到到到到微微微微观观操作操作操作操作,建立建立建立建立了包了包了包了包含三含三含三含三个个个个层层面的面的面的面的安全安全安全安全制度制度制度制度体系体系体系体系信息安全管理信息安全管理组织体系模型体系模型信息安全决策信息安全决策层决策、规划、保证机制信息安全管理信息安全管理层安全管理、工程、保证管理信息安全操作信息安全操作层运行、实施、保证建立垂直组织明确岗位职责贯彻分权制衡原则提高任职资格建立关键岗位人员选拔制度加强安全绩效考核中移中移动网网络与信息安全与信息安全组织体系体系集集团公司网公司网络信息安全信息安全领导小小组集集团公司网公司网络信息安全信息安全办公室公室集集团网网络信息信

12、息安全小安全小组各省公司网各省公司网络信息安全信息安全领导小小组各省公司网各省公司网络信息安全信息安全办公室公室各省网各省网络信息信息安全小安全小组决策决策决策决策层层管理管理管理管理层层执执行行行行层层集集集集团团公司公司公司公司省公司省公司省公司省公司n 在总部和省公司建立了三层网络安全管理组织；n 集团副总裁为集团领导小组组长，各部门总经理为小组成员；n 集团公司网络信息安全办公室设在网络部。集集团公司公司组织架构架构网络与信息安全领导小组网络部业务支撑系统部管理信息系统部网络安全办公室网络部业务支撑系统部管理信息系统部集集集集团团省公司省公司省公司省公司为了了进一步加一步加强公司的网公

13、司的网络安全工作，在网安全工作，在网络部部设立了网立了网络安全安全处，负责推推动公司公司层面的各面的各项网网络安全工作落安全工作落实。公司的安全管理，跨部公司的安全管理，跨部门工作工作协调，组织落落实公司公司范范围的各的各项安全工作。安全工作。.广西公司广西公司组织架构架构网络与信息安全领导小组网络部信息系统部运营支撑中心网络安全办公室网网络与信息安全与信息安全办公室公室负责公司具体的网公司具体的网络与信息安全工作与信息安全工作 ，落，落实公司公司层面面的各的各项网网络安全政策，安全政策，牵头部部门为网网络部。部。公司的安全管理，跨部公司的安全管理，跨部门工作工作协调，组织落落实公司公司范范围

14、的各的各项安全工作。安全工作。.网络运营中心信息安全管理框架信息安全管理框架信息安全目标组织 信息资产分类与控制 职员的安全管理 物理环境的安全 业务连续性管理通信和操作安全访问控制系统开发与维护 检 查总体策略监控与审计中移中移动网网络与信息安全体系与信息安全体系总纲物理及物理及环境安全境安全 网网络与信息与信息资产管理管理 通信和运通信和运营管理的安全管理的安全 网网络与信息系与信息系统的的访问控制控制 系系统开开发与与软件件维护的安全的安全 安全事件响安全事件响应及及业务连续性管理性管理 安全安全审计组织与人与人员国家政策要求国家政策要求企企业发展展战略略国内外国内外标准准安全安全评估估

15、结果果技技术规范范管理管理规范范操作手册操作手册和具体系和具体系统相相结合合流程、流程、细则和具体系和具体系统相相结合合第一第一层第二第二层第三第三层安全域划分技安全域划分技术规范、范、IP专网接入安全要求、网接入安全要求、安全安全产品品测试规范范帐号口令安全管理号口令安全管理办法、法、终端安全管理端安全管理办法法网网络与信息安全体系与信息安全体系总纲从从从从宏宏宏宏观观方方方方针针到到到到微微微微观观操操操操作作作作,建建建建立立立立了了了了包包包包含含含含三三三三个个个个层层面面面面的的的的安安安安全全全全制制制制度度度度体体体体系系系系目目录信息安全：企业面临的巨大挑战中国移动信息安全管

16、理体系介绍中移动网络与信息安全总纲组织与人与人员集团公司和各省公司应建立公司级别的网络与信息安全常设领导机构。设立专职安全队伍，建立安全事件响应流程。所有岗位职责中必须包含安全内容，并实现职责分隔。所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。所有员工都应当接受网络与信息安全培训。对第三方访问需求应严格审核，进行风险分析，并采取相应控制措施。应与客户签署相关协议，明确双方在网络与信息安全方面的权利、义务及违约责任，保障客户与公司双方的利益。网网络与信息与信息资产管理管理网络和信息资产包括实物资产、信息资产和软件资产。实物资产：计算机设备、数据网络通信设备（路由器、交换机

17、等）；磁性媒介（磁带和磁盘等）、其他技术设备（电源以及空调装置等）等；信息资产：技术文档、配置数据、拓扑图等；软件资产：应用软件、系统软件以及开发工具等；要求：对所有网络与信息资产进行登记，形成资产清单。明确责任人及安全保护级别，建立严格资产责任制度。“谁主管，谁负责”。物理及其物理及其环境安全体系架构境安全体系架构物理及环境安全介质安全设备安全场地安全场地安全保障区域划分出入控制工作区办公物流人流设备维护电源线缆设备选址销毁使用存放介质申请系系统运作管理体系架构运作管理体系架构权限管理转产安全管理变更管理问题管理监控系统维护管理系统人员设备系系统开开发安全事件响安全事件响应及及业务连续性管理

18、性管理安全事件响应：建立安全事件报告流程，制定安全预警信息的授权审批发布流程。确保及时、准确地报告安全事件。业务连续性管理 制定并实施业务连续性管理体系，将风险降至可以接受的水平。根据业务影响分析和风险评估的结果，制定业务连续性计划与策略。根据业务连续性计划与策略，制定相应业务连续性方案及框架。应定期测试、评审和更新业务连续性方案，保障方案的时效性。定期进行紧急事件响应演练。安全安全审计从管理和技术两个方面定期检查安全策略、控制措施的执行情况，发现安全隐患。网络与信息系统的设计、操作、使用和管理不仅要遵从公司本身的安全方针，而且要符合国家法律法规、管理条例及合同的要求，以及符合美国萨班斯法案的

19、要求。安全审计管理：独立审计、最大程度降低对正常运营的影响、审计记录完好保存。目目录信息安全：企业面临的巨大挑战中国移动信息安全管理体系介绍中移动网络与信息安全总纲角色责任与执行关关键成功因素成功因素网络与信息安全工作必须是高层牵头，领导负责，全员参与，专人管理；必须全员参与。建立全面、均衡、可行的评估、考核体系，以衡量网络与信息安全管理工作的水平；安全工作的具体实施必须同公司的企业文化相兼容；组织，政策、支援。NISS的的执行行基于中移动网络与信息安全体系总纲，将形成一系列二层的信息安全管理规定。帐号口令安全管理号口令安全管理办法法终端安全管理端安全管理办法法病毒防制相关规定信息安全保密相关

20、信息安全保密相关规定定管理者的管理者的责任任责任清晰任清晰各各级部部门的一把手是本部的一把手是本部门信息安全的第一信息安全的第一责任人任人负责信息安全管理信息安全管理规定在本部定在本部门的推行和落的推行和落实对本部本部门人人员的的违规事件承担事件承担领导责任和任和连带处罚如何管理如何管理各部各部门主管首先需要以身作主管首先需要以身作则，带头遵守公司各遵守公司各项信息安全信息安全规定定要在部要在部门的各种的各种场合向部合向部门强调和灌和灌输信息安全保密意信息安全保密意识在本部在本部门指定指定专门的人的人员负责信息安全工作信息安全工作在部在部门内持内持续不断的不断的进行信息安全宣行信息安全宣传、检

21、查对本部本部门人人员的的违规行行为应严肃对待，不姑息，不袒待，不姑息，不袒护普通普通员工的工的责任任严格遵守和格遵守和执行公司各行公司各类信息安全管理信息安全管理规定和定和流程制度以及安全方面的有关措施流程制度以及安全方面的有关措施有有义务制止他人制止他人违规行行为或及或及时向信息安全部向信息安全部反反馈可能造成泄密、窃密或其他安全可能造成泄密、窃密或其他安全隐患患如何避免信息安全如何避免信息安全违规首先需要每个首先需要每个员工有工有强烈的安全意烈的安全意识积极学极学习公司的各公司的各类信息安全管理信息安全管理规定和安全措施，将遵定和安全措施，将遵守安全守安全规定融入自己的日常工作行定融入自己

22、的日常工作行为中中员工的保密工的保密义务和和责任任保密信息密保密信息密级公司商业秘密的密级可视情况分为商密A（绝密级事项），商密B（机密级事项）、商密C（秘密级事项）（一）不准利用工作中的便利条件窃取国家及公司的秘密；（二）不准在工作中泄露国家及公司秘密；（三）不准在私人交往和通信中泄露国家及公司秘密；（四）不准在公共场所议论国家及公司秘密；（五）不准在非保密本上记录国家及公司秘密。公司员工保密五不准：信息安全保密相关信息安全保密相关规定定保密信息的保密信息的访问和授和授权原原则n工作相关性原工作相关性原则：依据个人工作相关性：依据个人工作相关性给个人分配个人分配权限限。n最小授最小授权原原则：将数据的分：将数据的分发限制在最小范限制在最小范围内；内；访问列表列表应控制在最小范控制在最小范围，并由，并由应用用责任人授任人授权。n审批、受控原批、受控原则：只有：只有经上上级明确授明确授权后才能后才能获得得权限，否限，否则在缺省情况下一律禁止。使用唯一用在缺省情况下一律禁止。使用唯一用户标识（用（用户IDID），以确保可），以确保可审查性性 中国移中国移动网网络与信息安全与信息安全总纲（NISS）已上已上载至网至网络学学习平台。平台。请登登陆学学习。登登陆方法：方法：通通过OA网网络登登录：http:/edu.gx.cmcc 通通过互互联网登网登陆：http:/