中国移动网络与信息安全体系培训教材

目标： 对涉及公司运营的所有信息资产（对通信网业务系统、 各支撑系统网络、以及市场、财务、研发、人力的各类重要信息）进行保护，保障公司 “ 新跨越战略 ” 实施，保护公司的核心竞争力。 指导思想： 以风险管理为核心， 预防为主，技术手段为支撑， 围绕信息和信息系统生命周期， 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段 构成的具有自主创新能力和拓展能 力的安全体系，保障公司 “ 做世界一 流企业 ” 新跨越战略的实施。 网络与信息安全保障体系 中国移动网络与信息安全保障体系 技术及防 护支撑手段 安全 运行 管理规定 和技术指南 安全 组织架构 制定 执行 支撑 基于 运用 建立 中移动网络与信息安全体系培训 （面向操作层） 网络安全处 2006年 12月 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 安全事件分布 安全事件的损失 安全威胁方的分布 独立黑客：黑客攻击越来越频繁，直接 影响企业正常的业务运作！ 内部员工： 1、信息安全意识薄弱的员工误用、滥用等； 2、越权访问，如：系统管理员，应用管理员越权访问数据； 3、政治言论发表、非法站点的访问等； 4、内部不稳定、情绪不满的员工。如：员工离职带走企业秘密，尤其是企业内部高层流动、集体流动等！ 竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！ 国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！ 企业面临的主要信息安全问题 人员问题： 信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题 特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据 内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等 技术问题： 病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作 法律方面 网络滥用：员工发表政治言论、访问非法网站 法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务） 信息安全事件回放（一） 全国最大的网上盗窃通讯资费案 某合作方工程师，负责某电信运营商的设备安装。获得充值中心数据库最高系统权限 从 2005年 2月开始，复制出了 14000个充值密码。获利 380万。 2005年 7月 16日才接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。 无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思：目前是否有类似事件等待进一步发现 对第三方的有效安全管理规范缺失 信息安全事件回放（二） 北京 ADSL断网事件 2006年 7月 12日 14:35左右，北京地区互联网大面积断网。 事故原因：路由器软件设置发生故障，直接导致了这次大面积断网现象。 事故分析：操作设备的过程中操作失误或软件不完善属于“天灾”，但问题出现后不及时恢复和弥补，这就涉及人为的因素了，实际上这也是可以控制的。 需制定实施的业务连续性管理体系 信息安全事件回放（三） 希腊总理手机被窃听，沃达丰总裁遭传唤 早在 2004年雅典奥运会之前，希腊高官们的手机便已开始被第三方窃听 ， 2006年 3月份才被发现。 事故原因：沃达丰（希腊）公司的中央服务系统被安装了间谍软件 制定严格的核心操作系统访问控制流程 信息安全事件（四） 两名电信公司员工利用职务上的便利篡改客户资料，侵吞 ADSL宽带用户服务费 76.7万余元 事故原因：内部安全管理缺失 缺乏有效的内控措施和定期审计 对信息安全问题产生过程的认识 环境 威胁 方 资产 系统漏洞 管理漏洞 物理漏洞 威胁（破坏或滥用） 利用 工具 通过 中移动网络与信息安全体系建立紧迫性 李跃总的讲话 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒，只讲我们自身的工作安全。 从全球及我们自身看，网络安全的形式非常严峻 进入网管中心或者通过网管中心进入各生产网元，一定要实行有效的多次密码认证的管理，严格管理每一次进入。 对 内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。不能光管外人不管自己。（重在管理，其次是手段） 对外来人员的进入，我们一定要限人、限时、限范围，明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查，并做好记录，要承担起核心设备网元的管理权，出了问题要承担责任。 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 中移动网络与信息安全建设总体思路 基于信息安全管理国际标准 BS7799/ISO17799 综合顾问的管理和技术经验，结合公司现有的信息安全管理措施 以公司信息安全现状为基础，充分考虑了公司所存在的信息安全风险 参考国外业界最佳实践，同时考虑国内的管理和法制环境 中移动网络与信息安全的目标 为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控制措施落实到位，为各项业务的安全运行提供保障。 目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。 可用性 完整性 保密性 防抵赖性 可审查性 保证公司业务运作的连续性，即使在遭受意外的情况下也可迅速恢复 关键信息资产的使用都必须经过授权，只有得到相应授权的人员才可使用网络和保密信息 任何对公司业务运作的威胁和破坏行为都得到记录，并能跟踪和追查 中移动信息安全建设原则与总体策略 安全管理流程、制度和安全控制措施的设计应基于风险分析，而不应基于信任管理 权限制衡和监督原则：安全管理人员和网络管理人员、主机管理人员相互制约 作为国家基础设施提供商，其网络与信息安全工作目前必须围绕公司业务目标开展； 网络与信息安全管理工作应以风险管理为基础，在安全、效率和成本之间均衡考虑； 全面防范，突出重点 高层牵头 领导负责 全员参与 专人管理 中移动网络与信息安全策略架构 国家政策要求 企业发展战略 国内外标准 安全评估结果 技术规范 管理规范 操作手册 和具体系统相结合 流程、细则 和具体系统相结合 第一层 第二层 第三层 安全域划分技术规范、IP专网接入安全要求、安全产品测试规范 帐号口令安全管理办法、终端安全管理办法 网络与信息安全体系总纲 从宏观方针到微观操作 , 建立了包含三个层面的安全制度体系 信息安全管理组织体系模型 信息安全决策层 决策、规划、保证机制 信息安全管理层 安全管理、工程、保证管理 信息安全操作层 运行、实施、保证 建立垂直组织 明确岗位职责 贯彻分权制衡原则 提高任职资格 建立关键岗位人员选拔制度 加强安全绩效考核 中移动网络与信息安全组织体系 集团公司网络 信息安全领导小组 集团公司网络 信息安全办公室 集团网络信息 安全小组 各省公司网络 信息安全领导小组 各省公司网络 信息安全办公室 各省网络信息 安全小组 决策层 管理层 执行层 集团公司 省公司 在总部和省公司建立了三层网络安全管理组织； 集团副总裁为集团领导小组组长，各部门总经理为小组成员； 集团公司网络信息安全办公室设在网络部。 组织架构 网络与信息安全领导小组 网络部 业务支撑系统部 管理信息系统部 网络安全办公室 网络部 业务支撑系统部 管理信息系统部 集团 省公司 为了进一步加强公司的网络安全工作，在网络部设立了网络安全处，负责推动公司层面的各项网络安全工作落实。 公司的安全管理，跨部门工作协调，组织落实公司范围的各项安全工作。 . . 信息安全管理框架 信息安全目标 组 织 信息资产分类与控制 职员的安全管理 物理环境的安全 业务连续性管理 通信和操作安全 访问控制 系统开发与维护 总体策略 中移动网络与信息安全体系总纲 物理及环境安全 网络与信息资产管理 通信和运营管理的安全 网络与信息系统 的访问控制 系统开发 与软件维护的安全 安全事件响应 及业务连续性管理 安全审计 组织与人员 国家政策要求 企业发展战略 国内外标准 安全评估结果 技术规范 管理规范 操作手册 和具体系统相结合 流程、细则 和具体系统相结合 第一层 第二层 第三层 安全域划分技术规范、IP专网接入安全要求、安全产品测试规范 帐号口令安全管理办法、终端安全管理办法 网络与信息安全体系总纲 从宏观方针到微观操作 , 建立了包含三个层面的安全制度体系 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 信息资产分类与控制 根据信息资产的价值、保密性、可用性、弱点、威胁，对信息资产及其风险进行赋值，确定保护的优先级和强度 信息的销毁公共场所会议的安全传真与电话信息发布 传送对外提供存储和备份拷贝和打印授权使用密级标识信息人员的安全管理体系架构 人员选拔 员工 外部人员 培训 奖惩 法律 宣传 物理控制 技术保障 物理及其环境安全体系架构 物理及环境安全 介质安全 设备安全 场地安全 场地安全保障 区域划分 出入控制 工作区办公 物流 人流 设备维护 电源 线缆 设备选址 销毁 使用 存放 介质申请 系统运作管理体系架构 权限管理 转产安全管理 变更管理 问题管理 监控 系统维护管理 系统 人员 设备 系统开发 业务连续性计划 建 立 数 据 中 心的 异 地 备 份建 立 I T 的 灾 难恢 复 程 序业 务 （ 生 产 、 采购 、 研 发 等 ） 的 应急 和 恢 复 计 划紧 急演 练 根据业务重要程度、优先级制订灾难恢复计划 建立安全事故处理流程 对关键的业务系统要建立异地数据备份 对关键业务系统建立热备份 定期检查备份系统和设备 进行紧急事故响应演练 审计监控体系 监控 信息流 人流、物流 审计 安全策略和控制措施中技术层面的落实情况 对制度、流程合理性和执行情况审计 信息监控 将信息流的出口及关键节点设立为监控点 把监控点上的信息访问、信息流动等记录集中上报到信息安全监控中心 信息安全监控中心集中分析，区分不同性质的行为，分别启动预警、紧急处理、事后追踪处理等程序 由人工“前台”检查转为后台自动监控 人工的审计监控作为集中自动监控的补充 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 角色责任与执行 NISS的执行 基于中移动网络与信息安全体系总纲，将形成一系列二层的信息安全管理规定。 帐号口令安全管理办法 终端安全管理办法 病毒防制相关规定 信息安全保密相关规定 管理者的责任 责任清晰 各级部门的一把手是本部门信息安全的第一责任人 负责信息安全管理规定在本部门的推行和落实 对本部门人员的违规事件承担领导责任和连带处罚 如何管理 各部门主管首先需要以身作则，带头遵守公司各项信息安全规定 要在部门的各种场合向部门强调和灌输信息安全保密意识 在本部门指定专门的人员负责信息安全工作 在部门内持续不断的进行信息安全宣传、检查 对本部门人员的违规行为应严肃对待，不姑息，不袒护 普通员工的责任 严格遵守和执行公司各类信息安全管理规定和流程制度以及安全方面的有关措施 有义务制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患 如何避免信息安全违规 首先需要每个员工有强烈的安全意识 积极学习公司的各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中 信息安全违规的处理原则 根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级 对违反信息安全管理规定者，如其主管明显管理和指导不力须承担连带责任 对在信息安全管理制度和措施上贯彻、监控不力、权限审核不当，造成安全制度和措施难以落实、部门安全管理工作混乱的部门主管，须承担领导责任 常用信息安全管理规定举例（一） 签署保密协议 进入公司 个人计算机安全管理 网络连接 信息系统使用 外部人员安全管理规定 对外接待管理规定 xx . . 办公环境安全管理 信息安全保密管理规定 病毒防治管理 离职协议 会议信息安全管理规定 中的帐号和口令标准 病毒防制相关规定 普通用户要求 必须安装公司规定的防毒软件 实时运行，定期查杀 不得安装标准之外的防毒软件 任何个人不得私自发布计算机病毒疫情 收到来历不明的邮件处理方法 EMAIL EMAIL EMAIL EMAIL 这邮件是谁发的？不知是什么东东？管他的，先打开看看。 不要打开，可能有病毒！ 来历不 明邮件 立刻报告 网络安全处 时间 联系方式 经过 损失 地点 安全工作组来统一 处理 报告时请注意以下几方面： 常用信息安全管理规定举例（二） 签署保密协议 进入公司 个人计算机安全管理 网络连接 信息系统使用 外部人员安全管理规定 对外接待管理规定 xx . . 办公环境安全管理 信息安全保密管理规定 病毒防治管理 离职协议 会议信息安全管理规定 中的帐号和口令标准 信息资产分类与控制 保密信息密级 “ 绝密 ” 信息： 是指包含公司最重要和最敏感的信息，关系公司未来发展的前途命运，对公司根本利益有着决定性影响的信息 “ 机密 ” 信息： 是指包含公司的重要秘密，其