2015年7月网络安全培训材料

1、2015年网络安全培训 四川省通信管理局 2015年7月,一、工业和信息化部11号令（2010年） 通信网络安全防护管理办法 二、网络与信息安全工作考核 工业和信息化部办公厅关于印发的通知（工信厅保2015 5号）。,工作 依据,一、工作制度 二、实施原则 三、风险评估报告,要点,-针对已正式投入运行的通信网络单元 -按照遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度 -定级从低到高分为1-5级,最低1级，最高5级。 省内网元，重要3.1级，一般2级,三项工作制度 通信网络安全防护管理办法11号令,1 定级备案,三级及三级以上通信网络单元 应当每年符合性评测 二级通信网络单元

2、 应当每两年符合性评测,三项工作制度 通信网络安全防护管理办法11号令,2 符合性评测,三级及三级以上通信网络单元 应当每年风险评估 二级通信网络单元 应当每两年风险评估,三项工作制度 通信网络安全防护管理办法11号令,3 风险评估,传统电话网 固定通信网、移动通信网、接入网、传送网、IP承载网、信令网、同步网、支撑网等，以及增值业务网（消息网、智能网等）。 互联网 互联网接入服务、数据中心、域名服务、企业门户网站等。 非核心网络 企业办公系统（文件管理系统、员工邮件系统、人事管理系统等）、客服呼叫中心等。,定级备案对象,总体原则 定级对象受到破坏后对 -国家安全 -社会秩序、经济运行、公共利

3、益、 -运营商合法权益 的损害程度。,安全等级划分,第5级 定级对象受到破坏后，会对国家安全造成特别严重的损害。 第4级 定级对象受到破坏后，会对 社会秩序、经济运行和公共利益造成特别严重的损害， 或者对国家安全造成严重的损害。,第3.2级 定级对象受到破坏后，会对 运营商的合法权益产生特别严重的损害， 或者对社会秩序、经济运行和公共利益造成严重的损害， 或者对国家安全造成较大损害。 第3.1级 定级对象受到破坏后，会对 运营商的合法权益产生很严重的损害， 或者对社会秩序、经济运行和公共利益造成较大损害， 或者对国家安全造成轻微损害。,第2级 定级对象受到破坏后，会对 网络和业务运营商的合法权

4、益产生严重损害， 或者对社会秩序、经济运行和公共利益造成轻微损害， 但不损害国家安全。 第1级 定级对象受到破坏后，会对 运营商的合法权益造成轻微损害， 但不损害国家安全、社会秩序、经济运行和公共利益。,安全等级根据3个独立要素计算: a)社会影响程度（15分） b)规模和服务范围（15分） c)所提供服务的重要性（15分）,安全等级计算,对社会影响力、规模服务范围和所提供服务的重要性 三个要素赋值后，计算公式如下：,-省级系统 3.1级,-市州重要系统 3.1级,-市州一般系统 2级,企业对标自查 通过工信部 “通信网络安全防护管理系统”（https:/www.mii- 省局抽查 逐项检查企

5、业符合性评测表自查情况，存在的问题以及整改措施。,符合性评测,一、工作制度 二、实施原则 三、风险评估,要点,网络安全防护六项实施原则： 适度安全原则 最小影响原则 标准性原则 可控性原则 完备性原则 保密性原则,领导,管理员,为迎接国家庆典活动， 确保网络系统绝对安全，万无一失,全力以赴，全面加固网络系统,今年预算缩减，只有五十万,？！ .,领导,管理员,适度安全原则：安全防护工作的根本性原则。 根据网络单元安全等级，平衡效益与成本，采取适度的安全技术和管理措施，集中资源优先保护关键系统。 绝对安全 适度安全,今年重点做好IDC数据中心安全防护,有什么标准和规范可以参考？,领导,管理员,标准

6、性原则：安全防护应遵循相关行业标准。 工业和信息化部 发布 通信行业标准 YD/T # 中国通信标准化协会 发布 协会标准 YDB #,要网络安全系统升级，准备好了吗？,不能影响系统运行，做好数据保密,领导,管理员,最小影响原则：从项目管理层面和技术管理层面，将安全防护工作对电信网和互联网正常运行影响降至最低。 保密性原则：安全防护工作人员应签署协议，承诺对所进行的安全防护工作保密，确保不泄露重要和敏感信息。,今年网络安全防护全面完成了吗？,应该差不过了，域名、数据中心、网上营业厅都自查整改过了，就剩内网办公系统，应该没什么问题。,领导,管理员,完备性原则：安全防护工作要覆盖电信网和互联网的安

7、全范围。 传统电话网 固定通信网、移动通信网、接入网、传送网、IP承载网、信令网、同步网、支撑网等，以及增值业务网。 互联网 互联网接入服务、数据中心、域名服务、企业门户网站等。 非核心网络 企业办公系统（文件管理系统、员工邮件系统、人事管理系统等）、客服呼叫中心等。,今年虽然预算少，但工作成效还不错，有什么心得体会？,网络安全，三分建系统，七分抓管理，要让管理各环节可控。,领导,管理员,哦？往年请外包公司花钱不少，但安全系统没法一步到位，功能模块得逐年增加。,虽然外包公司专业实力强，但功能模块增加和升级都花费不菲，没个三五年，根本无法具备所有基本功能，更别提增强功能。,领导,管理员,实际上今

8、年外包费用还削减了些，看来真得向管理要效益。,网络安全管理可不比普通管理，对人员素质和专业技术要求很高，除了用心、上心，专业技能提升也必不可少，多点投入在人员培养上哦,领导,管理员,可控性原则 人员可控性：安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。 切实落实网络安全管理制度，加强外包公司人员管理。 工具可控性：要充分了解安全防护工作中所使用的技术工具，并进行一些实验，确保这些技术工具能被正确地使用。 提高专业技术人员素质，加强企业内部培训交流。 项目过程可控性：安全防护项目建设、实施、运行阶段，企业加强管理和监督，不能全靠外包就高枕无忧。（外包公司不承担安全责任） 加强企业主体安全责任，加强对外包公司管控能力。,一、工作制度 二、实施原则 三、风险评估,要点,风险评估生命周期 安全风险评估应贯穿于业务系统生命周期的各阶段中，业务上线前、业务运营中（每年或每2年），直至业务下线。其风险评估原则和方法是一致的。,白盒 符合性评测 -已知测试要求和指标，对标检查、自我评测 黑盒 第三方检测 -专业漏洞扫