中国移动网络与信息安全保障体系.ppt
中国移动网络与信息安全总纲
中国移动网络与信息安全总纲精品资料网()25万份精华管理资料,2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (2)目录 (3)总则 (13)1.网络与信息安全的基本概念 (13)2.网络与信息安全的重要性和普遍性 (13)3.中国移动网络与信息安全体系与安全策略 (14)4.安全需求的来源 (16)5.安全风险的评估 (17)6.安全措施的选择原则 (18)7.安全工作的起点 (18)8.关键性的成功因素 (19)9.安全标准综述 (20)10.适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261.领导机构 (26)2.工作组织 (27)3.安全职责的分配 (28)4.职责分散与隔离 (29)5.安全信息的获取和发布 (30)6.加强与外部组织之间的协作 (30)7.安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311.岗位职责中的安全内容 (31)2.人员考察 (32)3.保密协议 (33)4.劳动合同 (33)5.员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341.第三方访问的安全 (34)2.外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381.资产清单 (38)2.资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421.信息的安全等级、标注及处置 (42)2.网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461.安全边界 (46)2.出入控制 (47)3.物理保护 (48)4.安全区域工作规章制度 (49)5.送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511.设备安置及物理保护 (51)2.电源保护 (52)3.线缆安全 (53)4.工作区域外设备的安全 (54)5.设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551.可移动存储媒介的管理 (55)2.存储媒介的处置 (55)3.信息处置程序 (56)4.系统文档的安全 (57)第四节............................................... 通用控制措施581.屏幕与桌面的清理 (58)2.资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601.规范操作细则 (60)2.设备维护 (61)3.变更控制 (62)4.安全事件响应程序 (62)5.开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641.系统规划和设计 (64)2.审批制度 (64)3.系统建设和验收 (65)4.设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701.维护作业计划管理 (70)2.数据与软件备份 (70)3.操作日志 (72)4.日志审核 (72)5.故障管理 (73)6.测试制度 (74)7.日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761.信息与软件交换协议 (76)2.交接过程中的安全 (76)3.电子商务安全 (77)4.电子邮件的安全 (78)5.电子办公系统的安全 (79)6.信息发布的安全 (80)7.其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841.用户注册 (84)2.超级权限的管理 (85)3.口令管理 (87)4.用户访问权限核查 (88)第三节..................................................... 用户职责881.口令的使用 (88)2.无人值守的用户设备 (89)第四节............................................... 网络访问控制901.网络服务使用策略 (91)2.逻辑安全区域的划分与隔离 (91)3.访问路径控制 (92)4.外部连接用户的验证 (93)5.网元节点验证 (93)6.端口保护 (94)7.网络互联控制 (94)8.网络路由控制 (95)9.网络服务的安全 (95)第五节...................................... 操作系统的访问控制951.终端自动识别 (96)2.终端登录程序 (96)3.用户识别和验证 (97)4.口令管理系统 (97)5.限制系统工具的使用 (98)6.强制警报 (99)7.终端超时关闭 (99)8.连接时间限制 (100)第六节............................................... 应用访问控制1001.信息访问限制 (100)2.隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011.事件记录 (102)2.监控系统使用情况 (102)第八节............................................ 移动与远程工作1041.移动办公 (104)2.远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091.输入数据验证 (109)2.内部处理控制 (110)3.消息认证 (111)4.输出数据验证 (112)第三节............................................ 系统文件的安全1121.操作系统软件的控制 (112)2.系统测试数据的保护 (113)3.系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151.变更控制程序 (115)2.软件包的变更限制 (116)3.后门及特洛伊代码的防范 (117)4.软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181.加密技术使用策略 (119)2.使用加密技术 (119)3.数字签名 (120)4.不可否认服务 (121)5.密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241.及时发现与报告 (125)2.分析、协调与处理 (125)3.总结与奖惩 (127)第二节............................................ 业务连续性管理1271.建立业务连续性管理程序 (127)2.业务连续性和影响分析 (128)3.制定并实施业务连续性方案 (129)4.业务连续性方案框架 (130)5.维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341.识别适用的法律法规 (134)2.保护知识产权 (135)3.保护个人信息 (135)4.防止网络与信息处理设施的不当使用 (136)5.加密技术控制规定 (136)6.保护公司记录 (137)7.收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381.独立审计原则 (139)2.控制安全审计过程 (139)3.保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1:安全体系第二层项目清单(列表) (143)总则1.网络与信息安全的基本概念网络与信息安全包括下列三个基本属性:➢机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。
中国移动网络互联安全管理办法(v1.0)
中国移动网络互联安全管理办法第一章总则第一条为加强中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络互联安全管理,保障在安全可控的前提下满足不同网络之间的互访需求,根据《中华人民共和国计算机信息系统安全保护条例》、《中国移动网络与信息安全保障体系(NISS)总纲》等国家和公司相关规定,制定本办法。
第二条网络互联应符合“谁主管、谁负责,谁接入、谁负责”总体原则,遵从“基于需求”、“集中化”及“可控”等具体原则。
通过规范申请、审批等过程,实现安全的网络互联。
第三条本办法由中国移动通信有限公司网络部制定、监督实施和解释。
第四条本办法自发布之日起执行,各省公司应制定具体实施细则。
第二章适用范围第五条本办法适用于有限公司及各省公司的建设部门,通信网、业务网和各支撑系统维护部门以及与中国移动相关的所有合作伙伴,如SP、CP、代维公司、银行、设备供应商等等。
第六条CMNet专线用户的管理以业务部门相关规定为准,不在本办法管理范围内。
第七条电信运营商之间网络的互联管理不在本办法规定范围内,可参见信息产业部《电信管理条例》、《公用电信网间互联管理规定》(信息产业部第9号令)以及《中国移动互联互通管理办法》等。
第八条本办法所指“网络互联”仅限于两个需要建立长期连接的网络之间的互联。
其它连接类型的管理要求可参见《中国移动远程接入管理办法》。
网络互联可分为两大类:(一)内部网络互联:指中国移动内部各安全域之间的互联,包括各支撑系统之间、支撑系统与业务系统之间、业务系统之间以及总部和各省公司两级安全域之间的互联等;(二)内部与外部网络互联:指中国移动网络与与第三方网络之间的互联,第三方网络包括但不限于合作伙伴、客户网络、设备提供商等等。
第三章组织及职责第九条总体原则(一)“谁主管、谁负责,谁接入、谁负责”原则。
中国移动通信网、业务网和各支撑系统的维护部门作为第一责任人,分别直接负责所辖网络的网络互联管理工作。
网络安全宣传ppt课件课件
某被给予党纪政纪处分。
数据文件安全口诀
信息密级有区别,商业秘密和机密 敏感信息加密传,共享文件要关闭 重要文件锁进柜,废弃文档碎纸机 复印打印快取走,公司数据不回家
网络安全宣传ppt课件
10
内部信息资产的数据文件管理
Yes
✓ 统一管理各类数据文件资料,专人负责, 分类登记;
✓ 涉密等重要文件要加密保存,相应纸质文 档锁入专用柜或保险柜;
个人办公移动存储介质要尽量避免在网 吧、文印店等公共场所使用;
不采用U盘自动运行功能,不要用双击方 式打开U盘,应使用右键点击U盘盘符, 选择“资源管理器”选项打开U盘;
不要在移动介质上存储过量资料,与其 他人进行文件交流时请确保移动存储介 质中没有其他文件信息;
网络安全宣传ppt课件
15
对个人账号的安全保护
✓ 在出现掌握密码的使用人员离岗、因工作需要 第三方使用了账号及密码后、存在迹象表明密 码可能被泄漏等情况下,必须在12小时内更换 密码;
在一定时间或次数内不能循环使用同一 密码,定期更改个人密码,同一账号前 后密码的相似度应该较低
网络安全宣传ppt课件
17
接入企业信息网
你知道吗
终端用户登陆进入各个系统后,系统将对用户的权限做严格划分,同时也确 定了用户在系统内的个人工作内容,特别是如:OA,ERP等对权限有特别 严格的审查和划分。
时,必须经IT部门确认、登记。
网络安全宣传ppt课件 个人不得擅自重装电脑操作系统。 13
移动存储介质的使用
你知道吗
移动存储介质包括U盘、光盘、移动硬盘、MP3播放器、数码相机和智能手机的扩展 存储卡等可接入计算机的外来存储设备; 外来移动存储介质必须来自可信任机构和个人;外来移动存储介质的提供者必须能够 明确提供介质所包含的内容。
中国移动网络与信息安全概论
中国移动网络与信息安全概论介绍移动网络是指通过无线通信技术实现的获取和交换信息的网络。
中国移动网络发展迅速,如今已经成为全球最大的移动通信市场之一。
然而,随着移动网络的普及和应用范围的不断扩大,信息安全问题也逐渐凸显出来。
本文将介绍中国移动网络的发展现状,并探讨其中的信息安全挑战和解决方案。
中国移动网络的发展中国移动网络的发展可以分为以下几个阶段:1.第一代移动通信网络(1G):在上世纪80年代末和90年代初,中国引入了第一代模拟移动通信系统(AMPS)。
这一阶段的移动通信网络主要用于语音通信。
2.第二代移动通信网络(2G):在20世纪90年代中后期,中国引入了第二代数字移动通信系统(GSM)。
2G网络的出现使得短信服务成为可能,并且可以进行基本的数据传输。
3.第三代移动通信网络(3G):在2009年,中国推出了第三代移动通信网络(WCDMA和CDMA2000)。
3G网络实现了更快的数据传输速度,使得视频通话和高速互联网访问成为可能。
4.第四代移动通信网络(4G):在2013年,中国正式商用了第四代移动通信网络(LTE)。
4G网络具有更高的速度和更低的延迟,可以实现更高质量的音视频传输和互联网访问。
5.第五代移动通信网络(5G):目前,中国正在大力推进第五代移动通信网络的建设。
5G网络将具有更高的速度、更低的延迟和更大的容量,将进一步推动移动通信技术的发展。
中国移动网络的信息安全挑战随着中国移动网络的普及,信息安全问题也逐渐成为关注的焦点。
以下是中国移动网络面临的一些主要信息安全挑战:1.数据隐私泄漏:移动网络中的大量个人数据和敏感信息使得用户隐私面临风险,一旦数据被泄漏,可能导致恶意使用和身份盗窃。
2.病毒和恶意软件攻击:恶意软件和病毒的传播易于通过移动网络进行,这可能导致设备被感染、数据被损坏或盗取。
3.网络钓鱼和网络诈骗:移动网络为网络钓鱼和网络诈骗行为提供了更多的机会。
骗子可以通过伪装成合法机构或个人,以获取用户的敏感信息或欺骗他们付款。
国移动网络与信息安全风险评估管理办法
【最新资料,WORD文档,可编辑修改】第一章总则为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求风险评估内容及组织方式(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
移动互联网安全课件完整
2.1 密码学的基本概念
➢ 2.1.1 保密通信模型 ➢ 2.1.2 密码算法分类 ➢ 2.1.3 古典密码简介 ➢ 2.1.4 密码算法的安全性
2.1.1 保密通信模型
在不安全的信道上实 现安全的通信是密码学研 究的基本问题。消息发送 者对需要传送的消息进行 数学变换处理,然后可以 在不安全的信道上进行传 输,接收者在接收端通过 相应的数学变换处理可以 得到信息的正确内容,而 信道上的消息截获者,虽 然可能截获到数学变换后 的消息,但无法得到消息 本身。图2-1展示了一个 最基本的保密通信模型。
第1章 移动互联网安全入门
1.1 移动互联网简介 1.2 移动互联网架构与关键技术 1.3 移动互联网安全
1.1 移动互联网简介
➢ 1.1.1 移动互联网的概念 ➢ 1.1.2 移动互联网的组成 ➢ 1.1.3 移动互联网的特点
1.1.1 移动互联网的概念
从狭义的角度来说,移动互联网是一个以宽带IP为技术核心, 可同时提供语音、传真、图像、多媒体等高品质电信服务的新 一代开放的电信基础网络。而从广义的角度来说,移动互联网 是指利用互联网提供的技术、平台、应用以及商业模式,与移 动通信技术相结合并用于实践活动的统称。
移动性 个性化 私密性 融合性
1.1.3 移动互联网的特点
移动终端体积小、重量轻、便于随身携带,并且 可以随时随地接入互联网。
对于不同用户群体和个人的不同爱好和需求,为 他们量身定制出多种差异化的信息,并通过不受 时空地域限制的渠道,随时随地传送给用户。
移动通信与互联网的结合使得每个用户可以在其 私有的移动终端上获取互联网服务,因此移动互 联网业务也具有一定的私密性。
移动互联网安全移动互联网安全第11章移动互联网安全入门第22章密码学基础知识第33章认证理论基础第44章安全协议第55章移动通信网安全第66章无线局域网安全第77章移动终端安全第88章移动应用软件安全第99章基于移动互联网的相关应用安全第10章移动云计算安全第11章移动大数据安全第12章移动互联网的安全管理目录?11移动互联网简介?12移动互联网架构与关键技术?13移动互联网安全第11章移动互联网安全入门?111移动互联网的概念?112移动互联网的组成?113移动互联网的特点11移动互联网简介111移动互联网的概念从狭义的角度来说移动互联网是一个以宽带ip为技术核心可同时提供语音传真图像多媒体等高品质电信服务的新一代开放的电信基础网络
中国移动网络与信息安全风险评估管理办法V1.0
中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
第三条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第五条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求第六条风险评估内容及组织方式1(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
移动网络基础知识培训PPT课件
智能机
智能机的特点
智能机的特点
1、具备普通手机的全部功能,能够进行正常的通话,收发短信等 手机功能的应用。 2、具备无线接入互联网的能力,即需要支持GSM网络下的GPRS 或者CDMA网络下的CDMA 1X或者3G网络。 3、具备PDA的功能,包括PIM(个人信息管理),日程记事,任 务安排,多媒体应用,浏览网页。 4、具备一个具有开放性的操作系统,在这个操作系统平台上,可 以安装更多的应用程序,从而使智能手机的功能可以得到无限的 扩充。 5、具有人性化的一面,可以根据个人需要扩展机器的功能。 6、功能强大,扩展性能强,第三方软件支持多。
28 主讲:郎亮 国家注册高级企业培训师
智能机
智能机的硬件要求(理论)
智能机的硬件要求
1.高速度处理芯片。 2.大存储芯片和存储扩展能力。 3.面积大、标准化、可触摸的显示屏。 4.支持播放式的手机电视。 5.支持GPS导航。 6.操作系统必须支持新应用的安装。 7 .良好的人机交互界面。
29 主讲:郎亮 国家注册高级企业培训师
3G互联网手机
终端操作培训课程
主讲:郎亮 国家注册高级企业培训师1
主讲:郎亮 国家注册高级企业培训师
目录
1
移动通信网络基础知识
2
3G概念和3G与2G区别
3
3G都能做什么
4
智能机与非智能机的区别
2
主讲:郎亮 国家注册高级企业培训师
学习目标
• 了解移动通信网络基础知识 • 了解3G的概念和3G与2G的区别 • 理解3G给客户带来的价值 • 理解手机智能手机给用户带来的价值
你能回答以下问题吗?
3G手机和2G手机有哪些区别? 智能手机和非智能手机有哪些区别? 3G手机都是智能手机吗? 智能手机=Android手机? 你用过智能手机的哪些“智能”功能?
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 全面防范,突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
国家政策要求 企业发展战略 国内外标准 安全评估结果
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
中国移动网络与信息安全保障体系
目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
网络与信息安全保障体系
指导思想:以风险管理为核心,
管理规定
预防为主,技术手段为支撑, 围绕信息和信息系统生命周期, 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
•技术问题: •病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作
•法律方面 •网络滥用:员工发表政治言论、访问非法网站 •法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
信息安全事件回放(一)
全国最大的网上盗窃通讯资费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
可审查性
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析, 而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
▪ 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒, 只讲我们自身的工作安全。
– 从全球及我们自身看,网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元,一定要实行
有效的多次密码认证的管理,严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。
支撑
和技术指南 制定
基于
构成的具有主创新能力和拓展能 力的安全体系,保障公司“做世界一
建立 安全 组织架构
执行
流企业”新跨越战略的实施。
技术及防
安全
护支撑手段
运行
运用
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
不能光管外人不管自己。(重在管理,其次是手段) – 对外来人员的进入,我们一定要限人、限时、限范围,明确进
入的时间、进入的目的。谁放厂家的人进去谁就要负责检查, 并做好记录,要承担起核心设备网元的管理权,出了问题要承 担责任。
信息安全是信息服务提供商的核心保证
▪ 一个不安全的网络,将不可能提供高质量的信 息服务