通信网络信息安全保障体系

《通信网络信息安全保障体系》由会员分享，可在线阅读，更多相关《通信网络信息安全保障体系（41页珍藏版）》请在金锄头文库上搜索。

1、目标：对涉及公司运营的所有信息资产（对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息）进行保护， 保障公司“新跨越战略”实施，保护公司的核心竞争力。指导思想：以风险管理为核心， 预防为主，技术手段为支撑， 围绕信息和信息系统生命周期， 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段 构成的具有自主创新能力和拓展能 力的安全体系，保障公司“做世界一 流企业”新跨越战略的实施。网络与信息安全保障体系网络与信息安全保障体系通信网络信息安全保障体系指导文件技术及防技术及防护支撑手段护支撑手段 安全安全 运行运行管理规定管理规定 和技术指南和技术指南安全安全

2、组织架构组织架构制定执行支撑基于运用建立目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲安全事件分布安全事件的损失安全威胁方的分布 独立黑客：黑客攻击越来越频繁，直接 影响企 业正常的业务运作！ 内部员工：1、信息安全意识薄弱的员工误用、滥用等 ；2、越权访问，如：系统管理员，应用管理 员越权访问数据；3、政治言论发表、非法站点的访问等；4、内部不稳定、情绪不满的员工。如：员 工离职带走企业秘密，尤其是企业内部高层 流动、集体流动等！ 竞争对手：法制环境不健全，行业不正当竞争（ 如：窃取机密，破坏企业的业务服务）！ 国外政府或机构：法制环境不健全，行业

3、不正当 竞争（如：窃取机密，破坏企业的业务服务）！企业面临的主要信息安全问题人员问题：信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信 息泄漏等问题特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感 数据内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流 动等技术问题：病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务 运作法律方面网络滥用：员工发表政治言论、访问非法网站法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）信息安全事件回放（一）全国最大的网上盗窃通讯资费案 l 某合作方工程师，负责某电信运营商的设备安装。获得充值中 心

4、数据库最高系统权限 l 从2005年2月开始，复制出了14000个充值密码。获利380万 。 l 2005年7月16日才接到用户投诉说购买的充值卡无法充值，这 才发现密码被人盗窃并报警。 l 无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思：目前是否有类似事件等待进一步发现对第三方的有效安全管理规范缺失对第三方的有效安全管理规范缺失信息安全事件回放（二） 北京ADSL断网事件 2006年7月12日14:35左右，北京地区互联 网大面积断网。 事故原因：路由器软件设置发生故障，直接 导致了这次大面积断网现象。 事故分析：操作设备的过程中操作失误或软 件不完善属于“天灾”，但问题出现后

5、不及时 恢复和弥补，这就涉及人为的因素了，实际 上这也是可以控制的。 需制定实施的业务连续性管理体系需制定实施的业务连续性管理体系信息安全事件回放（三） 希腊总理手机被窃听，沃达丰总裁遭传唤 早在2004年雅典奥运会之前，希腊高官们的手 机便已开始被第三方窃听 ，2006年3月份才被 发现。 事故原因：沃达丰（希腊）公司的中央服务系 统被安装了间谍软件 制定严格的核心操作系统访问控制流程制定严格的核心操作系统访问控制流程信息安全事件（四） 两名电信公司员工利用职务上的便利篡 改客户资料，侵吞ADSL宽带用户服务费 76.7万余元 事故原因：内部安全管理缺失缺乏有效的内控措施和定期审计缺乏有效的

6、内控措施和定期审计对信息安全问题产生过程的认识 环 境威胁 方资产系统漏洞管理漏洞物理漏洞威胁（破坏或滥用）利用工具通过中移动网络与信息安全体系建立紧迫性 李跃总的讲话 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒， 只讲我们自身的工作安全。 从全球及我们自身看，网络安全的形式非常严峻 进入网管中心或者通过网管中心进入各生产网元，一定要实行有 效的多次密码认证的管理，严格管理每一次进入。 对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。 不能光管外人不管自己。（重在管理，其次是手段） 对外来人员的进入，我们一定要限人、限时、限范围，明确进入 的时间、进入的目的。谁放厂家的人进

7、去谁就要负责检查，并做 好记录，要承担起核心设备网元的管理权，出了问题要承担责任 。 信息安全是信息服务提供商的核心保证 一个不安全的网络，将不可能提供高质量 的信息服务 信息服务必须让客户可信任 解决信息安全问题的关键 建立一个完善的信息安全管理体系目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲中移动网络与信息安全建设总体思路l基于信息安全管理国际标准BS7799/ISO17799l综合顾问的管理和技术经验，结合公司现有的信息安全管理措施l以公司信息安全现状为基础，充分考虑了公司所存在的信息安全风险l参考国外业界最佳实践，同时考虑国内的管理和法制环

8、境中移动网络与信息安全的目标为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控 制措施落实到位，为各项业务的安全运行提供保障。 目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查 性。可用性保密性可审查性l确保被授权用户能够在需要时获取网络与信息资产。l关键信息资产的使用都必须经过授权，只有得到相应授 权的人员才可使用网络和保密信息l任何对公司业务运作的威胁和破坏行为都得到记录，并 能跟踪和追查中移动信息安全建设原则与总体策略安全管理流程、制度和安全控 制措施的设计应基于风险分析 ，而不应基于信任管理 权限制衡和监督原则：安全管 理人员和网络管理人员、主机 管理人员相互制约

9、 作为国家基础设施提供商，其 网络与信息安全工作目前必须 围绕公司业务目标开展； 网络与信息安全管理工作应以 风险管理为基础，在安全、效 率和成本之间均衡考虑； 全面防范，突出重点高层牵头领导负责全员参与专人管理中移动网络与信息安全策略架构国家政策要求企业发展战略国内外标准安全评估结果技术规范管理规范操作手册 和具体系统相结合流程、细则 和具体系统相结合第一层第二层第三层安全域划分技术规范 、IP专网接入安全 要求、安全产品测试 规范帐号口令安全管理办 法、终端安全管理办 法网络与信息安全体系总纲从宏从宏 观方观方 针到针到 微观微观 操作操作 , , 建建 立了立了 包含包含 三个三个 层面

10、层面 的安的安 全制全制 度体度体 系系信息安全管理组织体系模型信息安全决策层 决策、规划、保证机制信息安全管理层 安全管理、工程、保证管理信息安全操作层 运行、实施、保证建立垂直组织 明确岗位职责 贯彻分权制衡原则 提高任职资格 建立关键岗位人员选拔制度 加强安全绩效考核中移动网络与信息安全组织体系集团公司网络 信息安全领导小组集团公司网络 信息安全办公室集团网络信息 安全小组各省公司网络 信息安全领导小组各省公司网络 信息安全办公室各省网络信息 安全小组决策层决策层管理层管理层执行层执行层集团公司集团公司省公司省公司n 在总部和省公司建立了三层网络安全管理组织；n 集团副总裁为集团领导小组

11、组长，各部门总经理为小组成员；n 集团公司网络信息安全办公室设在网络部。集团公司组织架构网络与信息安 全领导小组网络部业务支撑系 统部管理信息系 统部网络安全办 公室网络部业务支撑 系统部管理信息 系统部集团集团省公司省公司为了进一步加强公司的网络安全工作，在网络部设立了网络安全处，负责推 动公司层面的各项网络安全工作落实。公司的安全管理，跨部门 工作协调，组织落实公司 范围的各项安全工作。.广西公司组织架构网络与信息安 全领导小组网络部信息系统部运营支撑中 心网络安全办 公室网络与信息安全办公室负责公司具体的网络与信息安全工作 ，落实公司层面 的各项网络安全政策，牵头部门为网络部。公司的安全

12、管理，跨部门 工作协调，组织落实公司 范围的各项安全工作。.网络运营中 心信息安全管理框架信息安全目标组织信息资产分类与控制职员的安全管理物理环境的安全业务连续性管理通信和操作 安全访问控制系统开发与 维护检 查总体策略监控与审计中移动网络与信息安全体系总纲物理及环境安全 网络与信息资产管理 通信和运营管理的安全网络与信息系统 的访问控制 系统开发 与软件维护的安全 安全事件响应 及业务连续性管理 安全审计组织与人员国家政策要求企业发展战略国内外标准安全评估结果技术规范管理规范操作手册 和具体系统相结合流程、细则 和具体系统相结合第一层第二层第三层安全域划分技术规范 、IP专网接入安全要 求、

13、安全产品测试规 范帐号口令安全管理办 法、终端安全管理办 法网络与信息安全体系总纲从从 宏宏 观观 方方 针针 到到 微微 观观 操操 作作, , 建建 立立 了了 包包 含含 三三 个个 层层 面面 的的 安安 全全 制制 度度 体体 系系目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲组织与人员 集团公司和各省公司应建立公司级别的网络与信息安全常 设领导机构。 设立专职安全队伍，建立安全事件响应流程。 所有岗位职责中必须包含安全内容，并实现职责分隔。 所有员工及使用中国移动网络与信息资产的其他组织人员 都应当签署保密协议。 所有员工都应当接受网络与

14、信息安全培训。 对第三方访问需求应严格审核，进行风险分析，并采取相 应控制措施。 应与客户签署相关协议，明确双方在网络与信息安全方面 的权利、义务及违约责任，保障客户与公司双方的利益。 网络与信息资产管理网络和信息资产包括实物资产、信息资产和软件资产 。 实物资产：计算机设备、数据网络通信设备（路由器、交换机等 ）；磁性媒介（磁带和磁盘等）、其他技术设备（电源以及空调 装置等）等； 信息资产：技术文档、配置数据、拓扑图等； 软件资产：应用软件、系统软件以及开发工具等； 要求：对所有网络与信息资产进行登记，形成资产清单。 明确责任人及安全保护级别，建立严格资产责任制度。 “谁主管，谁负责”。物理

15、及其环境安全体系架构物理及环境安全介质安全设备安全场地安全场地安全保 障区域划分出入控制工作区办公物流人流设备维护电源线缆设备选址销毁使用存放介质申请系统运作管理体系架构权限管理转产安全管理变更管理问题管理监控系统维护管理系统人员设备系统开发安全事件响应及业务连续性管理安全事件响应：建立安全事件报告流程，制定安全预警信息的 授权审批发布流程。确保及时、准确地报告安全事件。 业务连续性管理制定并实施业务连续性管理体系，将风险降至可以接受的水平 。根据业务影响分析和风险评估的结果，制定业务连续性计划与 策略。根据业务连续性计划与策略，制定相应业务连续性方案及框架 。应定期测试、评审和更新业务连续性

16、方案，保障方案的时效性 。定期进行紧急事件响应演练。安全审计 从管理和技术两个方面定期检查安全策略 、控制措施的执行情况，发现安全隐患。 网络与信息系统的设计、操作、使用和管 理不仅要遵从公司本身的安全方针，而且 要符合国家法律法规、管理条例及合同的 要求，以及符合美国萨班斯法案的要求。 安全审计管理：独立审计、最大程度降低 对正常运营的影响、审计记录完好保存。目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 角色责任与执行关键成功因素网络与信息安全工作必须是高层牵头，领 导负责，全员参与，专人管理； 必须全员参与。 建立全面、均衡、可行的评估、考核体系 ，以衡量网络与