中移动网络与信息安全体系培训教材
合集下载
网络与信息安全培训课件(PPT 33张)
• 这一级的系统必须对所有的用户进行分组;每个用户必
须注册后才能使用;系统必须记录每个用户的注册活动; 系统对可能破坏自身的操作将发出警告。 • 用户可保护自己的文件不被别人访问,如典型的多用户 系统。
Network Networkand andInformation InformationSecurity Security
•
• •
1988年 ,ISO发布了OSI安全体系结构—ISO7498-2标准,作为OSI基本参
考模型的补充。 这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类
安全服务、8种特定安全机制、五种普遍性安全机制。
它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配 置,还确定了OSI安全体系的安全管理。
Network and Information Security
第1章 第1章 网络信息安全综述
1.4 网络安全的评价标准
1.4.1 可信计算机系统评估准则
• 为了保障计算机系统的信息安全, 1985 年,美国国防部 发表了《可信计算机系统评估准则》,它依据处理的信 息等级采取相应的对策,划分了四类七个安全等级。 • 依照各类、级的安全要求从低到高,依次是D、C1、C2、 B1、B2、B3和A1级。
Network and Information Security
第1章 网络信息安全综述
• 木桶原理:一个木桶由许多块木板组成,如果组成木桶 的这些木板长短不一,那么木桶的最大容量不取决于 长的木板,而取决于最短的那块木板。 • 网络安全界广泛采用 “木桶理论” ,整个系统的安全 防护能力,取决于系统中安全防护能力最薄弱的环节。 • 信息从产生到销毁的生命周期过程中包括了产生、收 集、加工、交换、存储、检索、存档、销毁等多个事 件,表现形式和载体会发生各种变化,这些环节中的 任何一个都可能影响整体信息安全水平。 • 网络与信息安全是一个系统工程。
网络与信息安全培训讲课件
云南移动网管中心
案例分析二:不法SP利用WAP网关管理和技术漏洞进行业务强行定制
事件简介: 2006年10月至2007年6月,某SP利用WAP网关connect协议漏洞为 183737位客户强行定制了”业务,涉及金额918685元。 事件影响:该公司违规经营时间久,涉及金额巨大,性质恶劣,导致了大量用户投诉, 致使我公司计费的准确性和公司诚信受到用户质疑。 事件分析:武汉WAP网关被该SP收买的不法分子入侵,修改了其中一个节点封堵 connect协议漏洞补丁的配置文件,使该功能失效,从而给SP可乘之机。
常见安全事件类型-特洛伊木马
特洛伊木马攻击的计算机来自• 正向连接 • 反向连接Internet
攻击者的计算机
云南移动网管中心
特洛伊木马攻击的计算机
攻击者控制的服务器
生活中的安全事件分析
v 银行卡密码丢失 v 网银帐号被木马程序窃取 v 家庭被盗 v 用火不当引发火灾 v 个人隐秘信息未加密造成泄漏 v等
云南移动网管中心
案例分析四:不法SP利用MISC技术和业务漏洞进行业务强行定制
事件简介:2005年,全国各省均有大量用户投诉SP乱扣费问题,经查,不法SP利用 MISC的技术和业务漏洞进行业务强行定制。 事件影响:该事件导致了大量用户投诉,致使我公司计费的准确性和公司诚信受到用 户质疑,影响非常恶劣。 事件分析:不法SP在其应用内设置脚本程序,该程序在用户访问页面后下载到用户终 端,实现强行对用户进行非法业务定制的功能。不法SP还通过破解用户梦网密码的方式 利用网站等途径批量代替用户进行业务定制。
案例分析三:某国有特大型企业某司局级领导电脑被台湾黑客入侵,窃 取走约200份国家机密文件
云南移动网管中心
中国移动重大安全事件分析-外部入侵事件(1)
网络安全与信息保护培训课件
电信规则。
国家网络安全法律法规
中国网络安全法
加强对网络基础设施、网络信息数据和网络运行安全的管理,保障公民的合法权益。
美国计算机欺诈和滥用法 (CFAA)
针对非法侵入计算机系统和滥用计算机系统的行为进行处罚。
英国互联网安全法
要求网络服务提供商采取措施保护用户免受有害信息的侵害。
企业网络安全合规性要求
网络安全不仅涉及网络基础设施的安 全,还包括数据、应用程序和用户的 安全。
网络安全的重要性
01
随着信息技术的快速发展,网络 安全已成为国家安全、经济发展 和社会稳定的重要保障。
02
保护敏感信息和重要数据免受未 经授权的访问和泄露,对于维护 国家安全、企业利益和个人隐私 至关重要。
网络安全面临的威胁与挑战
加密技术
加密定义 加密是一种将明文信息转换为密 文信息的过程,以便只有授权用
户才能解密并读取原始信息。
加密类型
常见的加密类型包括对称加密(使 用相同的密钥进行加密和解密)和 非对称加密(使用不同的密钥进行 加密和解密)。
加密算法
常见的加密算法包括AES、RSA和 DES等,每种算法都有其特点和适 用场景。
对应急响应计划进行定期更新 和演练,确保计划的时效性和
可操作性。
应急响应资源准备与调度
人力资源准备
组建专业的应急响应团队,包括技术 专家、管理人员等,确保团队具备足 够的经验和能力。
技术资源准备
准备充足的网络安全技术和工具,包 括防火墙、入侵检测系统、数据备份 和恢复工具等。
物资资源准备
储备必要的应急物资,如备用服务器 、网络设备、存储设备等。
外部资源调度
在必要时,协调外部资源进行支援, 如与相关机构、专家合作,共同应对 网络安全事件。
国家网络安全法律法规
中国网络安全法
加强对网络基础设施、网络信息数据和网络运行安全的管理,保障公民的合法权益。
美国计算机欺诈和滥用法 (CFAA)
针对非法侵入计算机系统和滥用计算机系统的行为进行处罚。
英国互联网安全法
要求网络服务提供商采取措施保护用户免受有害信息的侵害。
企业网络安全合规性要求
网络安全不仅涉及网络基础设施的安 全,还包括数据、应用程序和用户的 安全。
网络安全的重要性
01
随着信息技术的快速发展,网络 安全已成为国家安全、经济发展 和社会稳定的重要保障。
02
保护敏感信息和重要数据免受未 经授权的访问和泄露,对于维护 国家安全、企业利益和个人隐私 至关重要。
网络安全面临的威胁与挑战
加密技术
加密定义 加密是一种将明文信息转换为密 文信息的过程,以便只有授权用
户才能解密并读取原始信息。
加密类型
常见的加密类型包括对称加密(使 用相同的密钥进行加密和解密)和 非对称加密(使用不同的密钥进行 加密和解密)。
加密算法
常见的加密算法包括AES、RSA和 DES等,每种算法都有其特点和适 用场景。
对应急响应计划进行定期更新 和演练,确保计划的时效性和
可操作性。
应急响应资源准备与调度
人力资源准备
组建专业的应急响应团队,包括技术 专家、管理人员等,确保团队具备足 够的经验和能力。
技术资源准备
准备充足的网络安全技术和工具,包 括防火墙、入侵检测系统、数据备份 和恢复工具等。
物资资源准备
储备必要的应急物资,如备用服务器 、网络设备、存储设备等。
外部资源调度
在必要时,协调外部资源进行支援, 如与相关机构、专家合作,共同应对 网络安全事件。
信息安全知识培训教材
信息安全知识培训教材信息安全是当今社会中不可忽视的重要议题。
随着互联网的普及和信息技术的快速发展,各个行业都面临着不同形式的信息安全风险。
为了提高员工对信息安全的认知和理解,本教材将系统介绍信息安全的基本知识,帮助读者建立正确的信息安全意识和保护自身信息安全的能力。
第一章信息安全概述1.1 信息安全的定义和重要性介绍信息安全的含义和在现代社会中的重要性,引发读者对信息安全问题的关注,并认识到信息安全的紧迫性。
1.2 信息安全的目标和原则阐述信息安全的目标,如保密性、完整性、可用性等,并介绍信息安全的基本原则,如最小权限原则、分层防御原则等,为后续章节的学习打下基础。
第二章常见的信息安全威胁与攻击方式2.1 病毒与恶意软件介绍常见的病毒、蠕虫、木马等恶意软件,以及它们的传播途径和危害,帮助读者了解并避免恶意软件的感染。
2.2 网络钓鱼和社交工程解释网络钓鱼和社交工程的定义和原理,举例说明这些攻击方式的特点和常见手段,以便读者能够识别和避免遭受钓鱼和社交工程攻击。
2.3 数据泄露和信息窃取分析数据泄露和信息窃取的风险,指出造成这些问题的原因和后果,并提供相应的防范措施,以保护个人和组织的敏感信息。
第三章信息安全管理体系及法律法规3.1 信息安全管理体系介绍信息安全管理体系的概念和构成要素,详细解释信息安全相关的政策、流程和控制措施,以帮助读者认识和建立科学有效的信息安全管理体系。
3.2 信息安全法律法规介绍信息安全领域的相关法律法规,如《网络安全法》、《个人信息保护法》等,指导读者了解个人和组织在信息安全方面应遵守的法律法规,并明确责任和义务。
第四章信息安全意识和教育4.1 信息安全意识的培养强调个人信息安全意识的重要性,指导读者如何建立正确的信息安全观念,并提供相应的培养方法和技巧。
4.2 信息安全教育的实施探讨信息安全教育的内容和方法,包括定期培训、案例分享、模拟演练等,帮助读者有效提高信息安全保护的能力。
B-中国移动网络与信息安全体系培训教材
B-中国移动网络与信息 安全体系培训教材
2020年5月30日星期六
• 中国移动网络与信息安全保障体 系
•目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
•网络与信息安全保障体系
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
•制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析 ,而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
•流企业”新跨越战略的实施。
• 技术及防
• 安全
• 护支撑手段
• 运行
•运
用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
2020年5月30日星期六
• 中国移动网络与信息安全保障体 系
•目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
•网络与信息安全保障体系
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
•制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析 ,而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
•流企业”新跨越战略的实施。
• 技术及防
• 安全
• 护支撑手段
• 运行
•运
用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
网络安全知识培训教材
网络安全知识培训教材第一章:网络安全的重要性随着互联网的普及和信息化的深入发展,网络安全已经成为当今社会的一个重要议题。
本章将介绍网络安全的重要性,并为读者提供一些案例来突出网络安全对个人和组织的影响。
第一节:网络安全的定义与背景网络安全是指保护计算机网络以及与互联网相关的系统和数据免受未经授权访问、使用、改变、泄露、破坏或者滥用的威胁。
随着网络技术的快速发展和应用范围的扩大,网络安全问题日益突出。
网络安全的背景是现代社会高度信息化、全球化的特征。
一方面,越来越多的人和组织依赖互联网进行日常生活、工作和业务交流。
另一方面,网络犯罪活动也在不断增加,给个人和组织的财产、隐私和声誉带来了巨大威胁。
第二节:网络安全案例分析本节将通过几个真实的案例,展示网络安全对个人和组织的影响。
案例一:个人隐私泄露某大型社交网络平台的用户数据被黑客入侵,导致数百万用户的账号信息、个人资料以及聊天记录等被公开发布。
用户面临着身份被盗用和个人隐私泄露的风险,给他们带来了极大的困扰和损失。
案例二:企业信息安全事故某跨国公司的内部网络被黑客入侵,大量机密商业文件被窃取,导致公司的商业机密和竞争优势遭到泄露。
公司不得不面对重大的经济损失、声誉受损以及法律诉讼的风险。
以上案例充分表明网络安全对个人和组织的重要性,不管是个人还是组织,都需要加强网络安全意识和措施,以应对潜在的威胁。
第二章:网络安全的基本概念与原理本章将介绍网络安全的基本概念与原理,包括常见的网络威胁类型、攻击技术和防御措施。
第一节:常见的网络威胁类型网络威胁是指网络中可能会对计算机系统、网络设备或者网络通信造成损害或者危害的行为。
常见的网络威胁类型包括计算机病毒、网络钓鱼、勒索软件、拒绝服务攻击等。
第二节:网络攻击技术网络攻击技术是指黑客或恶意人员使用的攻击手段和工具,旨在获取非法利益或者破坏网络服务。
常见的网络攻击技术包括端口扫描、密码破解、社会工程学攻击等。
第三节:网络安全防御措施网络安全防御措施是指用于保护计算机网络和系统免受各种网络威胁和攻击的技术和方法。
网络信息安全知识培训ppt课件ppt
网络攻击类型
主动攻击:攻击者通过各种手段对目标进行主动攻击,例如渗透、篡改、窃取等。
被动攻击:攻击者通过监听、拦截等方式获取目标信息,但不会对目标进行修改或破 坏。
分布式拒绝服务攻击:攻击者利用网络中的多个节点向目标发送大量无效请求,导致 目标无法正常响应。
社交工程攻击:攻击者利用人类的心理和社会行为特征,通过欺骗、诱导等方式获取 目标信息或权限。
《网络安全法》
《互联网信息服务管理办法》 《个人信息安全保护法》
网络道德规范的重要性
遵守法律法规,保 护网络安全
维护网络秩序,促 进和谐发展
尊重他人隐私,避 免网络欺诈
增强自律意识,树 立良好形象
网络道德规范的内容
尊重他人,保护他人隐私 不传播病毒、恶意软件和色情内容 不进行网络欺诈和黑客攻击 不侵犯他人知识产权和版权 遵守网络礼仪和规则,维护网络秩序
应用场景:防火墙广泛应用于各种规模的企业、机构和家庭网络中,可以有效地保护内部网络的数据安全,防止未经 授权的访问和数据泄露。
密码学基础知识
密码学的基本概念
密码学是研究如何保护信息安 全的学问
密码学涉及加密、解密、密钥 管理等
密码学的基本目的是确保信息 的机密性、完整性和可用性
密码学的发展历程包括了古典 密码、近代密码和现代密码三 个阶段
数据备份与恢复
数据备份的意义
保护数据安全,避免数据丢失或损坏 确保业务连续性,减少停机时间 合规性要求,满足监管机构对数据备份的规定 提高员工对数据备份的重视程度,降低人为因素导致的数据丢失风险
数据备份的方法
完全备份 增量备份 差异备份 镜像备份
数据恢复的方法
直接恢复:从 备份中直接恢
复数据。
网络安全与信息保护培训课件
网络安全的重要性
网络安全对于个人、企业以及国家都至关重要。它涉及到信 息保护、财产安全、社会稳定等多个方面。随着互联网的普 及和数字化进程的加快,网络安全问题日益突出,需要引起 足够的重视。
常见网络攻击手段与防范
常见网络攻击手段
包括病毒攻击、黑客攻击、钓鱼攻击、勒索软件攻击等。这些攻击手段可能导 致数据泄露、系统瘫痪、财产损失等严重后果。
核实信息来源
通过其他途径核实邮件或电话中提到的信息,如直接联系相关机构 或人员确认。
密码管理最佳实践分享
设置复杂且不易猜测的密码
采用大小写字母、数字和特殊字符组 合的密码,提高密码强度。
定期更换密码
每隔一段时间更换一次密码,避免长 期使用同一密码带来的安全风险。
不要共享密码
避免与他人共享密码,防止密码泄露 带来的安全隐患。
传播虚假信息。
定期清理个人信息
定期清理在社交媒体上发布的 个人信息,删除不必要的内容
,降低信息泄露的风险。
06
应急响应与事件处理 流程
应急预案制定和演练实施
确定可能的安全事件类型和等级
根据历史数据、行业趋势和技术漏洞等信息,明确可能发生的安全事件类型(如恶意攻击 、数据泄露、系统瘫痪等)和等级(一般、重要、紧急)。
总结经验教训,持续改进
总结经验教训
对安全事件处理过程进行全面 总结,分析成功经验和不足之 处,提炼出有价值的经验教训
。
完善应急预案
根据总结的经验教训,对应急 预案进行修订和完善,提高预 案的针对性和实用性。
加强技术防范
针对发现的技术漏洞和薄弱环 节,加强技术防范措施,提高 系统的安全性和稳定性。
开展培训教育
溯源调查、责任追究机制
网络安全对于个人、企业以及国家都至关重要。它涉及到信 息保护、财产安全、社会稳定等多个方面。随着互联网的普 及和数字化进程的加快,网络安全问题日益突出,需要引起 足够的重视。
常见网络攻击手段与防范
常见网络攻击手段
包括病毒攻击、黑客攻击、钓鱼攻击、勒索软件攻击等。这些攻击手段可能导 致数据泄露、系统瘫痪、财产损失等严重后果。
核实信息来源
通过其他途径核实邮件或电话中提到的信息,如直接联系相关机构 或人员确认。
密码管理最佳实践分享
设置复杂且不易猜测的密码
采用大小写字母、数字和特殊字符组 合的密码,提高密码强度。
定期更换密码
每隔一段时间更换一次密码,避免长 期使用同一密码带来的安全风险。
不要共享密码
避免与他人共享密码,防止密码泄露 带来的安全隐患。
传播虚假信息。
定期清理个人信息
定期清理在社交媒体上发布的 个人信息,删除不必要的内容
,降低信息泄露的风险。
06
应急响应与事件处理 流程
应急预案制定和演练实施
确定可能的安全事件类型和等级
根据历史数据、行业趋势和技术漏洞等信息,明确可能发生的安全事件类型(如恶意攻击 、数据泄露、系统瘫痪等)和等级(一般、重要、紧急)。
总结经验教训,持续改进
总结经验教训
对安全事件处理过程进行全面 总结,分析成功经验和不足之 处,提炼出有价值的经验教训
。
完善应急预案
根据总结的经验教训,对应急 预案进行修订和完善,提高预 案的针对性和实用性。
加强技术防范
针对发现的技术漏洞和薄弱环 节,加强技术防范措施,提高 系统的安全性和稳定性。
开展培训教育
溯源调查、责任追究机制
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•技术问题: •病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作
•法律方面 •网络滥用:员工发表政治言论、访问非法网站 •法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
信息安全事件回放(一)
全国最大的网上盗窃通讯资费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限
不能光管外人不管自己。(重在管理,其次是手段) – 对外来人员的进入,我们一定要限人、限时、限范围,明确进
入的时间、进入的目的。谁放厂家的人进去谁就要负责检查, 并做好记录,要承担起核心设备网元的管理权,出了问题要承 担责任。
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
• 全面防范,突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
国家政策要求 企业发展战略 国内外标准 安全评估结果
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
中国移动网络与信息安全保障体系
目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
网络与信息安全保障体系
指导思想:以风险管理为核心,
管理规定
预防为主,技术手段为支撑, 围绕信息和信息系统生命周期, 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒, 只讲我们自身的工作安全。
– 从全球及我们自身看,网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元,一定要实行
有效的多次密码认证的管理,严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。
支撑
和技术指南 制定
基于
构成的具有自主创新能力和拓展能 力的安全体系,保障公司“做世界一
建立 安全 组织架构
执行
流企业”新跨越手段
运行
运用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析, 而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
• 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
可用性 完整性 保密性 防抵赖性
可审查性
保证公司业务运作的连续性,即使在遭受意外的情况下 也可迅速恢复
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。
•法律方面 •网络滥用:员工发表政治言论、访问非法网站 •法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
信息安全事件回放(一)
全国最大的网上盗窃通讯资费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限
不能光管外人不管自己。(重在管理,其次是手段) – 对外来人员的进入,我们一定要限人、限时、限范围,明确进
入的时间、进入的目的。谁放厂家的人进去谁就要负责检查, 并做好记录,要承担起核心设备网元的管理权,出了问题要承 担责任。
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
• 全面防范,突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
国家政策要求 企业发展战略 国内外标准 安全评估结果
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
中国移动网络与信息安全保障体系
目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
网络与信息安全保障体系
指导思想:以风险管理为核心,
管理规定
预防为主,技术手段为支撑, 围绕信息和信息系统生命周期, 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒, 只讲我们自身的工作安全。
– 从全球及我们自身看,网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元,一定要实行
有效的多次密码认证的管理,严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。
支撑
和技术指南 制定
基于
构成的具有自主创新能力和拓展能 力的安全体系,保障公司“做世界一
建立 安全 组织架构
执行
流企业”新跨越手段
运行
运用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析, 而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
• 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
可用性 完整性 保密性 防抵赖性
可审查性
保证公司业务运作的连续性,即使在遭受意外的情况下 也可迅速恢复
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。