《[精选]中央企业开展网络安全工作的策略与方法》由会员分享,可在线阅读,更多相关《[精选]中央企业开展网络安全工作的策略与方法(37页珍藏版)》请在金锄头文库上搜索。
1、中央企业开展网络信息安全工作的策略与方法,中国移动信息安全管理与运行中心 2013年6月,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1 策略体系,2.2 组织体系,2.3 技术体系,2.4 运行体系,宏观形势,信息安全成为社会热点问题,出台相关法律!,安全形势,国家高度重视,信息安全事关国家安全:2013年3月韩国遭网络恐怖袭击,电视台及部分银行网络瘫痪; 信息安全影响政治稳定:北京2012年3月19日谣言事件; 信息安全影响经济发展:2012年利用“火焰”病毒开展攻击,威胁国家、企业安全。,网络安全形势不容乐观,网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息
2、成为黑客窃取重点; 网络钓鱼日渐猖獗,严重影响在线金融服务和电子商务的发展,危害公众利益; 高级可持续攻击(APT攻击)活动频现,对国家和企业的数据安全造成严重威胁。,3,国家出台网络信息安全保护法律:2012年12月28日,全国人大常委会通过了关于加强网络信息保护的决定,以法律形式保护公民个人及法人信息安全,对运营商提出更高要求。 党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从2013年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部信息安全等级保护管理办法、信息安全等级保护备案实施细则对等级保护提出明确要求。,加快企业内部网络信息安全建设, 实现企业网
3、络信息安全水平的整体提升,驱动力,上级部门 监管愈加 严格,外部安全 威胁日益 严峻,内部安全 体系有待 完善,员工安全 意识较为 薄弱,网络信息安全体系建设的驱动力,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1 策略体系,2.2 组织体系,2.3 技术体系,2.4 运行体系,网络信息安全工作方法,信息安全体系总体框架建立符合业界标准的目标架构,依据ISO27001、COBIT等信息安全管理标准,从安全策略体系、安全组织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。,安全策略体系,安全战略确定,管理制度,组织职责,技术标准规范,安全组织体系,安全 组织
4、,人员 职责,教育 培训,人员 安全,安全运行体系,安全体系建设与推广,项目建设的安全管理,风险管理与定期评估,日常安全运行与维护,用户 安全,网络 安全,终端 安全,主机 安全,物理 安全,安全技术体系,应用 安全,数据 安全,信息安全体系的有机组成,通过分析ISF和ISO 27000,安全工作由安全策略、安全组织、安全技术、安全运维四个基本要素构成,每一项信息安全工作都可以从这四个维度去考虑。,依据什么规定和要求? 信息安全策略 信息安全规范 信息安全操作流程和细则,通过何种技术和手段?,谁来做? 安全组织 人员职责 教育培训 人员安全,做什么事?,目 录,当前形势,1,下一步展望,3,网
5、络信息安全工作框架,2,2.1 策略体系,2.2 组织体系,2.3 技术体系,2.4 运行体系,信息安全策略体系框架,信息安全制度标准体系,参考等级保护、ISO27000、电信网和互联网安全防护体系标准等行业和国际标准,建立了信息安全制度标准体系 制度体系:制度方针、规范办法、作业指南3层次,共270余个; 标准体系:涵盖通用安全技术、通信网安全、支撑网安全、业务安全、安全防护等方面,近100个技术标准,月报制度:制定 信息安全评价指标,建立定报制度,每月下发信息安全通报,及时向省公司提出预警及管理要求。 专报制度:对影响公司发展的业务、技术、管理安全风险进行分析,向管理层提交信息安全专报,发
6、出安全预警,降低风险。 整改工单:就信息安全风险、安全事件,向各单位下发整改工单。,制定信息安全定报制度、信息安全考核管理办法,是推动信息安全工作有效落实的重要手段。,信息安全考核评价体系,业务通报,整改要求,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1 策略体系,2.2 组织体系,2.3 技术体系,2.4 运行体系,信息安全决策机构:从企业高层的角度对于信息安全方面的工作进行指导和控制 信息安全管理机构:整个信息安全管理体系建立和维护的组织者和管理者 信息安全执行机构:负责具体信息安全工作的执行和开展 信息安全监管机构:对企业内信息安全工作的开展情况进行独立的审查和
7、监督。,信息安全组织体系框架,2009.7 客户信息安全保护委员会,2008.4 治理垃圾短信领导小组,2001.10 信息安全领导小组,贯彻执行政府相关部门信息安全政策、方针和各项工作要求,并下设信息安全办公室。,负责治理垃圾短信的相关工作;,贯彻落实国家相关法规; 研究、制定客户信息安全管理工作有关制度与措施;,2009.12 打击利用手机传播淫秽色情信息专项工作领导小组,贯彻落实国家相关法规; 研究、制定打击利用手机传播淫秽色情信息专项工作的总体方案; 重大突发事件应急处置及对外沟通协调工作,2011.11 信息安全管理与运行中心,两归口,两集中:归口信息安全管理工作、归口不良信息治理工
8、作,以及负责开展不良信息集中治理、开展信息安全集中运营工作。,2010.3 信息安全管理部,对上承接、对下监督检查、横向协调; 贯彻落实国家要求; 组织制定管理制度; 制订目标、策略和标准 建立信息安全管理体系和监督评价体系;,信息组织机构-中国移动,根据工信部、国资委信息安全责任考核要求,各省公司要成立专职信息安全管理机构。,信息安全组织机构,制定信息安全责任矩阵,分解安全责任到各专业部门。,信息安全人才队伍建设,专家队伍,论坛交流:围绕安全工作重点,每年开展论坛交流 论坛研讨:各省人员就论坛主题进行交流,共享经验,论坛交流,定期培训,开展网络安全大比武等形式,选拔组建内部红客团队。组织红客
9、队伍参与评估、测试、审计、安全检查及应急演练,锻炼和提升专家队伍能力。,网上培训:通过网上大学,进行网络培训; 现场培训:每季度组织安全专业人员技术培训; 宣传教育:通过宣传片、橱窗等形式,提升全员安全意识,通过定期培训、实战演练、论坛交流等形式,培养信息安全专业人才队伍,支撑内部信息安全工作的开展。,根据工信部、国资委信息安全责任考核要求,配备相应专职人员,大省15名、中省10人、小省5人。,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1 策略体系,2.2 组织体系,2.3 技术体系,2.4 运行体系,安全战略管理,应用安全,安全运营管理,文档数据安全,用户安全,基础
10、设施安全,战略编制与维护,安全差距分析,安全风险管理,风险收集识别,风险分析计算,风险监控告警,风险响应处理,安全审计管理,审计规则定义,安全战略确定,安全基线管理,资产分级分类,资产基线定义,安全审计预警,行为审计分析,KPI指标定义,交易与传输管理,应用数据权限,数据接口控制,数据传输控制,战略维护更新,存储与访问管理,数据存储保护,数据库权限管理,敏感数据加密,数据输入验证,数据归档销毁,战略,流程控制,管理,公共安全服务,物理安全,机房物理安全,环境监控安全,办公环境安全,主机安全,主机安全加固,主机入侵检测,防病毒/垃圾邮件,补丁管理,终端安全,系统配置检查,补丁管理,上网行为控制,
11、防病毒/恶意软件,19,信息安全技术体系框架,安全防护体系安全管控平台,持续推进网络安全管控平台应用,使管控平台成为日常维护的主要通道,僵木蠕监测系统,流量清洗系统,在互联网网间互连链路部署流量清洗系统和僵木蠕监测系统,为重要系统提供集中安全防护,减少僵木蠕、DDOS等攻击。,覆盖范围:互联网国际国内互联节点 主要功能:发现蠕虫、木马、僵尸网络流量,识别蠕虫、木马和僵尸网络的具体种类,对感染主机IP地址、木马/僵尸网络的受控端和控制端IP地址等信息产生告警,便于管理员组织处理,覆盖范围:互联网国际国内互联节点 主要功能:具备结合动态基线、异常流量模型和异常报文特征,对流量型拒绝服务攻击(Dos
12、/DDos等)进行清洗过滤,保证网络的安全运行,安全技术体系互联网安全集中防护,安全技术体系网站纵深安全防护,脆弱性检测 基于网络爬虫的主动扫描技术,检测网站状况,并输出包含风险分析及解决方案的监控数据。 篡改检测 使用数字水印技术及页面框架比对等技术,智能的检测出网站页面上是否出现了不寻常的新链接。 挂马检测 采用 “脚本沙箱”技术,能够完全模拟所有的脚本层交互行为。,可用性检测 可用性检测是针对网站连接性能的监控功能,透过监控引擎对网站页面载入性能的分析,记录详细的网站可用性数据。 攻击检测 通过日志分析,流量采集,检测对网站主机上的入侵尝试信息。 健康指数 支持通过一个健康指数全面反映网
13、站的健康状况和态势。,安全技术体系网站安全监控,安全运行管理系统以风险管理为核心,以资产信息库为基础,主要包括安全事件管理、安全预警管理、安全风险管理、安全对象管理、安全策略管理、安全工作流程管理等各功能模块,全面支持安全运行管理工作,逐步实现动态、可量化的安全管理。,安全技术体系安全运行管理,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1 策略体系,2.2 组织体系,2.3 技术体系,2.4 运行体系,根据公安部信息安全等级保护管理办法、信息安全等级保护备案实施细则和工业和信息化部通信网络安全管理办法(部第11号令),开展等级保护工作。,定级备案,符合性评测,风险评估
14、,安全检查,对正式投入运行的通信网络进行单元划分,按照遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高划分为五级,并将划分和定级情况向电信管理机构备案。,按照相应级别标准,落实安全防护措施,进行符合性评测。三级及以上通信网络单元每年进行一次符合性评测,二级通信网络单元每两年进行一次符合性评测。,组织安全风险评估,及时发现并消除重大网络安全隐患。三级及以上通信网络单元每年进行一次安全风险评估,二级通信网络单元每两年进行一次安全风险评估。,每年对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确了检查工作方式和有关要求。,安全运行体系等级保护,安全运行体系将安
15、全生产融入日常运维,明确信息安全责任,将网络与信息安全工作重点从“事后处理”转移到“事前预防”和“事中监督”,从源头上加以防范。,在新业务规划环节:新制定的业务规范中已明确网络安全要求,并在设备集采评分时有所体现; 在新签采购合同:以合同附件形式补充保密协议与中国移动通用网络与信息安全责任条款,通过对网络安全检查结果分析以及部分省的专项了解,目前各省已在新签合同中签署安全要求。 在设备入网环节:增加网络安全审核,进行设备安全功能、通用安全补丁兼容性测试,接入管控平台,端口进程、防护措施是否正常应用等项目的检查,促进设备安全功能的提高。 在系统运维环节:开展常态化安全评估扫描,针对发现的安全问题
16、,及时进行安全加固。,安全运行体系落实安全“三同步”,建立监督检查工作机制,开展常规安全检查、第三方监测、事件稽查、业务安全评估,以查促建、以查促优,实现信息安全能力持续螺旋式提升。,网络层、业务层、端到端的全面防护,分公司,集团,第三方,按照通信网络安全防护要求,分系统安全等级,开展安全符合性评测和风险评估 开展常态化日常安全巡检,定期对各省互联网系统进行远程扫描,不定期组织现场专项检查 开展第三方安全监测,发现的风险及时要求省公司核查整改 检查发现问题通报相关单位,督促相关单位限期解决,邀请国家级安全专控队伍,对重点地区、重要系统进行安全风险排查,多层次的检查机制,安全运行体系安全检查,安全运行体系应急响应,根据互联网网络安全应急预案等要求,定期发布安全预警,开展安全事件监测,建立健全公司应急预案体系。,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1 策略体系,2.2 组织体系,2.3 技术体系,2.4 运行体系,日 常检 测,每月开展互联网网站和设备开展远程安全扫描,协助各省公司发现安全漏洞,降低互联网入侵风险。,基础安全排查,选取重点省公司,邀请国家信息
