B-中国移动网络与信息安全体系培训教材
合集下载
网络信息安全培训ppt课件完整版
提高法律意识
提高法律意识是预防网络冒充公检法诈骗的基础。公众应了解法律常识, 特别是与公检法相关的基本程序和权利。当接到自称公检法人员的电话或 信息时,首先要判断其合法性。了解公检法的工作流程,例如,警方在调 查案件时不会通过电话要求转账或提供个人信息。通过法律知识的普及, 增强公众的自我保护能力。
பைடு நூலகம்轻信陌生来电
在接到陌生电话时,尤其是自称公检法 的来电,务必保持警惕。诈骗分子往往 利用人们的恐惧心理,声称涉及刑事案 件,要求立即采取行动。应避免在未核 实对方身份的情况下,随意提供个人信 息或进行转账。可以通过官方渠道核实 来电者的身份,例如拨打当地公检法机 关的电话进行确认。
讲述者:
日期:
第三部分
经济损失
电信诈骗直接导致个人和家庭的经济损 失,许多受害者在短时间内失去了大量 的积蓄。
这种损失不仅影响了受害者的生活质量, 还可能导致家庭经济的崩溃,甚至引发 家庭矛盾和社会问题。
心理创伤
受害者在经历电信诈骗后,常常会感到 极大的心理压力和恐惧。
他们可能会对未来的财务状况感到不安, 甚至出现焦虑、抑郁等心理问题。
第四部分
参与网络安全活动
积极参与学校或社区组织的网络安全活 动,可以增强学生的网络安全意识和防 范能力。
通过参与讲座、培训、演练等活动,学 生可以学习到更多的网络安全知识,提 升自身的防范能力。同时,学生也可以 与同龄人分享自己的经验,共同提高网 络安全意识。
培养批判性思维
培养批判性思维是预防网络交友诈骗的 重要能力。学生应学会对网络信息进行 分析和判断,不轻易相信表面现象。可 以通过讨论、辩论等方式,锻炼自己的 思维能力,增强对信息的辨别能力。在 面对网络交友时,保持理性和冷静,才 能有效避免被骗。
网络信息安全培训ppt课件完整版
第二部分
案例一
2023年9月21日,浙江省台州市天台县公安局 接报一起电信网络诈骗案件,受害人朱某系一 科技公司财会人员,被诈骗分子冒充公司老板 拉入微信群后转账1000余万元。案件发生以后, 浙江省市县三级公安机关联合成立专案组,紧 急开展资金止付和案件侦办等工作。接报后, 公安机关仅用6小时就抓捕到第1名涉案犯罪嫌 疑人,成功为该公司挽回损失600余万元。后经 专案组缜密侦查、深挖拓线,在全国多地成功 抓获涉及该案资金、通讯等环节的犯罪嫌疑人 41名,实现全链条打击。
这种信息的泄露不仅影响个人的隐私, 还可能被用于网络欺诈和其他犯罪活动。
社会工程攻击
黑客病毒常常与社会工程攻击结合使用,利用人们的信任和好奇心来获取 敏感信息。通过伪装成可信的实体,黑客可以诱使用户点击恶意链接或下 载病毒,从而进一步扩大攻击范围。这种攻击方式不仅依赖技术手段,还 利用了人类心理的弱点。
不轻信陌生来电
在接到陌生电话时,尤其是自称公检法 的来电,务必保持警惕。诈骗分子往往 利用人们的恐惧心理,声称涉及刑事案 件,要求立即采取行动。应避免在未核 实对方身份的情况下,随意提供个人信 息或进行转账。可以通过官方渠道核实 来电者的身份,例如拨打当地公检法机 关的电话进行确认。
讲述者:
日期:
冒充网购客服退款诈骗
通过非法渠道购买购物网站的买家信息及快 递信息后,冒充购物网站客服打电话给受害 人,称其购买物品质量有问题,可给予退款 补偿。随即提供二维码诱导受害人扫描,受 害人便根据提示输入银行卡、验证码等信息, 最终银行卡的钱便被转走。或者以系统升级 导致交易异常、订单失效为由,将冻结受害 人账户资金,让受害人将资金转入指定的安 全账户从而实施诈骗。
案例四
2024年3月21日,山东省烟台市公安局蓬莱分局 海港海岸派出所接到国家反诈中心下发的见面劝 阻指令:辖区内一公司存在被骗风险。接指令后, 派出所民警立即开展见面劝阻工作。据悉,该公 司工作人员迟某伟安装了一款在网上购买的激活 软件后,其电脑被植入木马病毒并被诈骗分子远 程控制,自动进行打字、发送消息等操作。随后, 诈骗分子利用伪装成公司工作人员的微信向会计 发送信息,要求向指定账户转账100万元。了解 情况后,民警迅速组织对该公司电脑进行木马病 毒查杀,同时对相关人员开展反诈知识宣传,成 功为企业避免财产损失。
中国移动安全培训教材
中国移动安全培训教材一、引言随着信息技术的迅猛发展,移动通信已经成为人们生活的重要组成部分。
然而,移动通信的快速普及也带来了种种安全隐患。
为了保障用户的信息安全和移动网络的稳定运行,中国移动决定制定一份安全培训教材,以帮助用户全面了解并掌握移动通信安全知识。
本教材将以简明扼要的方式介绍与移动通信安全相关的重要知识和技巧。
二、移动通信安全概述1. 移动通信的定义和特点移动通信是指人们通过无线方式进行的通信活动,具有无所不在、灵活便捷等特点。
但同时也面临着网络攻击、信息泄露等风险。
2. 移动通信安全的重要性移动通信安全的保护既关乎个人隐私,也涉及商业机密和国家安全。
因此,了解和掌握移动通信安全知识至关重要。
三、移动通信安全的基本原则1. 用户自我保护原则- 设置强密码并定期更换,避免使用简单密码;- 尽量避免使用公共Wi-Fi,以免被黑客窃取信息;- 注意保护隐私,避免透露个人敏感信息。
2. 网络安全原则- 使用正版软件,避免下载和安装来源不明的应用;- 及时更新操作系统和应用程序,确保弥补已知漏洞;- 定期备份重要数据,以防数据丢失或被勒索。
四、常见移动通信安全威胁及防范1. 网络钓鱼攻击网络钓鱼是指攻击者通过伪造的网页、短信等手段获取用户的敏感信息。
防范措施包括:警惕可疑链接、不轻易透露个人信息等。
2. 病毒和恶意软件病毒和恶意软件可能导致数据丢失、泄露甚至设备崩溃。
为此,用户需要安装可靠的杀毒软件,并及时更新病毒库。
3. 网络入侵网络入侵指攻击者通过黑客技术入侵他人设备或网络。
用户需要加强设备的安全设置,如设置防火墙、关闭不必要的服务等。
五、移动通信安全技巧与建议1. 使用安全的移动通信应用- 选择正规厂商和受信任的应用程序;- 定期更新应用程序,确保安全补丁及时应用。
2. 加强网络身份认证- 启用多因素身份认证,如指纹识别、面部识别等;- 设置独特的账号密码,避免使用弱密码。
3. 定期备份重要数据- 选择云备份或本地备份,确保数据安全;- 定期测试数据恢复,确保备份可用性。
网络信息安全培训ppt课件完整版
低价购物诈骗
犯罪分子通过互联网、手机短信发布二 手车、二手电脑、海关没收的物品等转 让信息,一旦事主与其联系,即以“缴 纳定金”、“交易税手续费”等方式骗 取钱财。
第二部分
案例三
2024年5月7日,袁某来所报称:2024年5月6日14 时许,一名客人添加其微信,称需要下订装修的套 餐,对方要求用银行的转账二维码进行转账,随后 就发送了三张转账截图给其,分别是两笔两万元和 一笔一万元的。其便问其妻子是否有到账,妻子当 时称到账了。到了当晚的21时,对方微信联系其 称要进行退款,并给了两张银行卡信息给其,因为 当时是下班时间,其就先垫资给了对方,后其检查 收款金额时发现对方每笔付款金额是1分钱,后才 意识到对方发了转账给其公司7万元的付款证明照 片是PS出来的,现联系不上对方,一共被骗了 68750元人民币。
案例一
2024年5月9日,杨某来所报称:2024年5月2日,其在 闲鱼平台上看到一台苹果14pro手机,售价4400元, 其觉得价格合适,就联系了该商家,表达了购买意愿, 之后对方就让其添加微信联系,对方称如果其选择分 期购买,需要先付1200元作为定金,杨某当场就决定 购买该手机,于是就使用支付宝口令红包向对方提供 的支付宝账号转账3000元。对方收到钱后,表示会通 过顺丰快递给其发货,并给其发送了一条订单号。直 至2024年5月9日时,其查询快递订单号发现是虚假的, 再次联系商家发现被拉黑后,才发现被骗。共被骗 3000元。
不轻信陌生来电
在接到陌生电话时,尤其是自称公检法 的来电,务必保持警惕。诈骗分子往往 利用人们的恐惧心理,声称涉及刑事案 件,要求立即采取行动。应避免在未核 实对方身份的情况下,随意提供个人信 息或进行转账。可以通过官方渠道核实 来电者的身份,例如拨打当地公检法机 关的电话进行确认。
网络安全与信息保护培训手册
企业内部网络安全文化建设
制定安全政策
制定明确的企业网络安全政策,规定员工在网络 安全方面的责任和义务。
建立安全团队
成立专门的网络安全团队,负责监控网络威胁、 处理安全事件以及提供安全咨询和培训服务。
鼓励员工参与
鼓励员工积极参与企业网络安全建设,提供安全 建议和意见,共同维护企业的网络安全。
谢谢您的聆听
网络安全与信息保护培训手册
汇报人:XX
2024-01-14
CONTENTS
• 网络安全概述 • 信息保护基础 • 网络攻击防范策略 • 身份认证与访问控制机制 • 数据备份与恢复计划 • 网络安全意识培养与行为规范
01
网络安全概述
定义与重要性
网络安全定义
网络安全是指通过技术、管理和法律手段,保护计算机网络 系统及其中的信息不受未经授权的访问、攻击、破坏或篡改 的能力。
演练和测试
定期对灾难恢复计划进行 演练和测试,确保在实际 灾难发生时能够迅速响应 并有效执行计划。
06
网络安全意识培养与行为规范
员工网络安全意识培养途径
定期安全培训
组织定期的网络安全培训课程, 包括在线和线下形式,确保员工 了解最新的网络威胁和防护措施
。
安全知识宣传
通过企业内部通讯、公告板等渠 道,定期发布网络安全相关知识 和案例,提高员工的安全意识。
THANKS
最小权限原则
基于属性的访问控制
仅授予用户完成任务所需的最小权限 ,降低潜在风险。
根据用户、资源、环境等属性动态确 定访问权限。
角色基础访问控制
根据用户角色分配权限,简化权限管 理过程。
权限管理最佳实践
定期审查权限
定期评估用户权限,确保权限分配与业务 需求保持一致。
网络安全教育培训教材
2024/1/25
《网络安全等级保护制度》
要求企业对不同等级的网络系统采取相应的安全保护措施,确保数据的安全性和保密性。
21
跨境数据传输合规性要求
《中华人民共和国数据安全法》
规定了跨境数据传输的合规性要求,包括数据传输的合法性、正当性和必要性等方面。
《关于开展数据安全管理认证工作的公告》
明确了跨境数据传输的安全评估和认证要求,确保数据传输符合相关法律法规和标准规范。
2024/1/25
防火墙技术
01
通过配置安全策略,控制网络访问权限,防止未经授权的访问
和数据泄露。
入侵检测系统(IDS)
02
实时监测网络流量和用户行为,发现异常行为并报警,以便及
时采取应对措施。
入侵防御系统(IPS)
03
在IDS的基础上,主动拦截并阻断恶意攻击和入侵行为,保护网
络安全。
12
虚拟专用网络(VPN)技术
常见网络协议漏洞
详细分析HTTP、HTTPS 、SSH等协议存在的安全 漏洞及风险。
网络协议安全加固
探讨如何通过配置优化、 协议升级、加密传输等手 段提高网络协议的安全性 。
9
操作系统与应用程序安全
操作系统安全机制
安全编程实践
深入剖析Windows、Linux等操作系 统的安全机制,如用户权限管理、访 问控制列表(ACL)、安全审计等。
强化密码安全意识
要求员工使用强密码,并定期更换密码,避免使用弱密码或默认密 码,以减少密码泄露的风险。
防范网络钓鱼和诈骗
教育员工识别网络钓鱼和诈骗邮件、网站等信息,避免上当受骗或泄 露个人信息。
2024/1/25
24
遵守网络道德和伦理规范
网络信息安全培训ppt课件完整版
扰乱社会秩序
大量的电信诈骗活动会给社会带来不良影响。一方面,相关部门需要投入 大量资源进行打击和防范,这分散了社会资源的投入。另一方面,电信诈 骗可能会引发受害者之间的矛盾和冲突,影响社会的稳定与和谐。
损害公众心理健康
电信诈骗往往会给受害者带来巨大的心 理压力和焦虑。
一些人可能因为受骗而产生自责、沮丧 等情绪,甚至出现心理疾病,严重影响 生活质量。
讲述者:
日期:
第一章 常见的网络安全问题 第二章 网络问题案例 第三章 网络问题的危害 第四章 预防措施有哪些
第一部分
网络兼职诈骗
犯罪分子在求职信息、招聘信息类网站、 论坛、微博、相关通讯群组上发布利用 网络进行兼职工作的信息,要求事主在 指定的违法购物网站购买手机充值卡、 游戏点卡、购物卡等虚拟物品,以刷单 返利为诱惑骗取事主支付购买,并将所 购买虚拟物品低价转卖处理。
盗号与网络游戏交易诈骗
这种类型的诈骗主要通过盗取用户账号 和利用网络游戏内的交易系统进行。 犯罪分子盗取玩家账号后,以出售或交 换游戏物品为名,诱导玩家进行非法交 易。
第二部分
虚假贷款类诈骗
2024年5月,江苏无锡男子王某在家中 收到一条低息贷款的短信,王某点击其 中的链接,根据操作指引下载了一款 APP。王某在该贷款APP上填写个人信息 注册后,便想将贷款提现至银行卡。此 时该贷款APP显示银行卡有误,平台客 服称贷款金额被冻结需要交解冻费。随 后,王某向其提供的银行账户转账6万余 元,但始终无法将贷款提现,遂意识到 被骗。
网络游戏产品虚假交易类诈骗
2023年2月,江苏镇江男子王某通过手 机游戏交易APP出售自己手游账号时, 收到一诈骗分子冒充的“买家”添加好 友,双方私聊后商定以830元交易该账 号。随后,诈骗分子发送一张含有二维 码的虚假交易截图,谎称已经下单成功, 让王某扫码联系官方客服确认。王某扫 码进入虚假平台后,被所谓客服以缴纳 交易保证金的方式诈骗6000元。
网络信息安全培训ppt课件完整版
游戏币交易进行诈骗
一是低价销售游戏装备,让玩家通过线下银 行汇款;二是在游戏论坛上发表提供代练信 息,代练一两天后连同账号一起侵吞;三是 在交易账号时,虽提供了比较详细的资料, 待玩家交易结束玩了几天后,账号就被盗了 过去,造成经济损失。
积分兑换诈骗
犯罪分子冒充各大银行、移动、联通、电信等产品具有积分功能的企业, 给事主发送积分兑换短信、微信等,要求事主下载客户端或点击链接,套 取事主身份证号码、银行卡号码和银行卡密码等个人信息,利用上述信息 在网上消费或划转事主银行卡内金额。。
讲述者:
日期:
第一章 常见的网络安全问题 第二章 网络问题案例 第三章 网络问题的危害 第四章 预防措施有哪些
第一部分
冒充即时通讯好友借钱
骗子使用黑客程序破解用户密码,然后 冒名顶替向事主的聊天好友借钱。
特别要当心的是犯罪分子通过盗取图像 的方式用“视频”聊天诈骗,遇上这种 情况,最好先与朋友通过打电话等途径 取得联系,防止被骗。
求职招聘诈骗
一些不法分子在招聘网站上发布虚假招聘信息,以高薪、优厚待遇为诱饵 吸引求职者,在面试过程中以各种理由收取费用,如培训费、服装费、押 金等,最后以各种理由拒绝录用或卷款跑路。
虚假购物服务类诈骗
2024年4月,四川攀枝花女子王某在浏 览网站时发现一家售卖测绘仪器的公司, 各方面都符合自己需求,遂通过对方预 留的联系方式与客服人员取得联系,客 服称私下交易可以节省四分之一的费用。 王某信以为真,与之签订所谓的“购买 合同”。王某预付定金1.3万余元后, 对方却迟迟不肯发货并称还需缴纳手续 费、仓储费等费用,遂意识到被骗。
冒充客服诈骗
犯罪分子通过非法手段获取网民购物信 息和个人信息,以订单异常等理由,要 求事主登录假冒的购物网站或银行网站 进行操作,套取事主银行卡号码和密码, 向事主索要验证码后,将事主卡内资金 划走或消费。另一种经常出现的案例有, 事主因网购或转账不成功,在网上搜索 相关公司客服电话,搜索到假冒客服电 话后,按照假客服的要求进行操作被骗
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
B-中国移动网络与信息 安全体系培训教材
2020年5月30日星期六
• 中国移动网络与信息安全保障体 系
•目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
•网络与信息安全保障体系
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
•制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析 ,而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
•流企业”新跨越战略的实施。
• 技术及防
• 安全
• 护支撑手段
• 运行
•运
用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
• 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
• 全面防范,突出重点
•1、信息安全意识薄弱的员工误用、滥用等 ; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
• 竞争对手:法制环境不健全,行业不正当竞争( 如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的 。
•需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
•可用性 •完整性 •保密性 •防抵赖性
•可审查性
保证公司业务运作的连续性,即使在遭受意外的情况下 也可迅速恢复
入的时间、进入的目的。谁放厂家的人进去谁就要负责检查, 并做好记录,要承担起核心设备网元的管理权,出了问题要承 担责任。
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
•对第三方的有效安全管理规范缺失
信息安全事件回放(二)
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 从全球及我们自身看,网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元,一定要实行
有效的多次密码认证的管理,严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹
。不能光管外人不管自己。(重在管理,其次是手段) – 对外来人员的进入,我们一定要限人、限时、限范围,明确进
▪ 事故原因:内部安全管理缺失
•缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
•通过
方
•工具
•威胁(破坏或滥用)
•环
境
•利用
•系统漏洞
•管理漏洞
•资产
•物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒 ,只讲我们自身的工作安全。
•法律方面 •网络滥用:员工发表政治言论、访问非法网站 •法制不健全,行业不正当竞争(如:窃取机密,破坏企业费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限
从2005年2月开始,复制出了14000个充值密码。获利380 万。
•指导思想:以风险管理为核心,
• 管理规定
•预防为主,技术手段为支撑, •围绕信息和信息系统生命周期, •逐步建立由安全组织、管理规定 •和技术指南、运行和技术防护手段
• 和技术指南
• 支撑
• 基于 • 制定
•构成的具有自主创新能力和拓展能 •力的安全体系,保障公司“做世界一
• 建• 立•组安织架全构• 执行
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
•技术问题: •病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作
2020年5月30日星期六
• 中国移动网络与信息安全保障体 系
•目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
•网络与信息安全保障体系
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
•制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析 ,而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
•流企业”新跨越战略的实施。
• 技术及防
• 安全
• 护支撑手段
• 运行
•运
用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
• 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
• 全面防范,突出重点
•1、信息安全意识薄弱的员工误用、滥用等 ; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
• 竞争对手:法制环境不健全,行业不正当竞争( 如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的 。
•需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
•可用性 •完整性 •保密性 •防抵赖性
•可审查性
保证公司业务运作的连续性,即使在遭受意外的情况下 也可迅速恢复
入的时间、进入的目的。谁放厂家的人进去谁就要负责检查, 并做好记录,要承担起核心设备网元的管理权,出了问题要承 担责任。
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
•对第三方的有效安全管理规范缺失
信息安全事件回放(二)
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 从全球及我们自身看,网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元,一定要实行
有效的多次密码认证的管理,严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹
。不能光管外人不管自己。(重在管理,其次是手段) – 对外来人员的进入,我们一定要限人、限时、限范围,明确进
▪ 事故原因:内部安全管理缺失
•缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
•通过
方
•工具
•威胁(破坏或滥用)
•环
境
•利用
•系统漏洞
•管理漏洞
•资产
•物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒 ,只讲我们自身的工作安全。
•法律方面 •网络滥用:员工发表政治言论、访问非法网站 •法制不健全,行业不正当竞争(如:窃取机密,破坏企业费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限
从2005年2月开始,复制出了14000个充值密码。获利380 万。
•指导思想:以风险管理为核心,
• 管理规定
•预防为主,技术手段为支撑, •围绕信息和信息系统生命周期, •逐步建立由安全组织、管理规定 •和技术指南、运行和技术防护手段
• 和技术指南
• 支撑
• 基于 • 制定
•构成的具有自主创新能力和拓展能 •力的安全体系,保障公司“做世界一
• 建• 立•组安织架全构• 执行
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
•技术问题: •病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作