中国移动信息安全管理体系说明(ppt 40页)
合集下载
信息安全管理体系
ISO/IEC27001知识体系ISO/IEC27001知识体系 (1)1.ISMS概述231.1什么是ISMS23信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
(23)在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下: (23)ISMS(信息安全管理体系):是整个管理体系的一部分。
它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
(23)这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。
(23)ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
(23)单纯从定义理解,可能无法立即掌握ISMS的实质,我们可以把ISMS理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括ISMS 管理机构、ISMS文件以及资源等,ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。
09X017 中国移动管理信息系统安全防护体系总体技术要求V1.0.0
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
信息安全管理体系(ISMS)培训PPT
5
第一部分 ISMS体系概念综述
• 1.1 ISMS概念
• 1.2 ISMS定位 • 1.3 ISMS方法 • 1.4 ISMS过程 • 1.5 ISMS内容 • 1.6 ISMS关键 • 1.7 ISMS全貌
2009年12月28日 信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
6
1
信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
(ICT)。
2009年12月28日 信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
11
1.1 ISMS概念
• 信息(续)
– 信息系统(续)
• 计算机信息系统定义:“由计算机及其相关的和配套 的设备、设施(含网络)构成的,按照一定的应用 目标和规则对信息进行采集、加工、存储、传输、 检索等处理的人机系统。” (引自《中华人民共和国 计算机信息系统安全保护条例》[国务院令第147号 1994年2月18日]第二条)
16
1.1 ISMS概念
• 管理(续)
– 管理定义:通过规划、组织、领导、沟通和控 制等环节来协调人力、物力、财力等资源,以 期有效达成组织目标的过程。
– 管理特征:在群体活动中,在特定环境下,针 对给定对象,遵循确定原则,运用恰当方法, 按照规定程序,利用可用资源,进行一组活动 (包括规划、组织、指导、沟通和控制等), 完成各项任务,评价执行成效,实现既定目标。
14
1.1 ISMS概念
• 安全(Security/Safety)
– 任何有价值的事物(即资产)都存在安全问题。 – 两个近似的安全概念:“Security”和“Safety”。 – Security:事物保持不受损害的一种能力属性。 – Safety:事物处于不受损害的一种状态属性。
B-中国移动网络与信息安全体系培训教材
B-中国移动网络与信息 安全体系培训教材
2020年5月30日星期六
• 中国移动网络与信息安全保障体 系
•目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
•网络与信息安全保障体系
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
•制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析 ,而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
•流企业”新跨越战略的实施。
• 技术及防
• 安全
• 护支撑手段
• 运行
•运
用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
2020年5月30日星期六
• 中国移动网络与信息安全保障体 系
•目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
•网络与信息安全保障体系
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
•制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析 ,而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
•流企业”新跨越战略的实施。
• 技术及防
• 安全
• 护支撑手段
• 运行
•运
用
中移动网络与信息安全体系培训
(面向操作层)
网络安全处 2006年12月
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
• 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
信息安全管理体系ppt课件
ppt课件2.1
21
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化
❖ 保护信息免受各种威 胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能。
ppt课件2.2
22
风险评估主要对ISMS范围内的信息资产进行 鉴定和估价,然后对信息资产面对的各种威 胁和脆弱性进行评估,同时对已存在的或规 划的安全控制措施进行界定。
ppt课件.
1
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
ppt课件.
2
知识子域: 信息安全管理的作用
› 理解信息安全“技管并重”原则的意义 › 理解成功实施信息安全管理工作的关键因素
ppt课件4.8
48
管理 技术 因素 因素
人的因素
在信息安全问题上,要综合考虑人员与管理、技术与产品、 流程与体系。信息安全管理体系是人员、管理与技术三者 的互动。
ppt课件2.6
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
ppt课件.
27
1、信息安全管理的作用
应
对
风
险
需
要
人
为
信息安全管理体系培训课件ppt全文精品模板分享(带动画)
金融机构信息安全管理体系建设案例分享
案例名称:某大型银行 背景介绍:该银行在信息安全管理体系建设方面面临的问题和挑战 解决方案:采用哪些技术和方法来解决这些问题 实践效果:通过实施这些解决方案,该银行取得了哪些成果和效益
其他行业信息安全管理体系建设案例分享
金融行业:信息安全管理体系建设是金融行业的重中之重,银行、证券、保险等机构需要严格遵守相关法规和标 准,确保客户信息和交易数据的安全。
培训内容:信息安全知识、 意识、技能
培训周期:每年至少一次
培训对象:全体员工
宣传推广方式:海报、宣传 册、内部网站等
信息安全管理体系与其他管理体系的融合与协同
信息安全管理体系与ISO27001的关系 信息安全管理体系与ISO9001的关系 信息安全管理体系与ISO14001的关系 信息安全管理体系与业务连续性管理的融合与协同
信息安全培训:提高员工的信息 安全意识和技能,防止信息泄露 和攻击。
添加标题
添加标题
添加标题
添加标题
信息安全组织:负责协调、管理、 监督信息安全工作的人员或部门, 确保信息安全的顺利实施。
物理安全:保护信息系统硬件和 设施,防止未经授权的访问和破 坏。
信息安全运行管理体系
定义:确保信息安全的全面、协 调、可持续的过程
制造业:制造业是国民经济的重要支柱产业,其信息安全管理体系建设对于保障企业核心技术和生产数 据的安全至关重要。制造业需要加强生产过程的信息安全管理,防范工业控制系统的攻击和破坏。
总结与展望
07
信息安全管理体系的发展趋势与展望
信息安全管理体系的未来发展趋势 信息安全管理体系的未来技术发展 信息安全管理体系的未来应用场景 信息安全管理体系的未来挑战与机遇
信息安全技术培训PPT课件( 46页)
基于云服务器的自动化攻击、彩虹表、入侵Android、 WIFI的MS-CHAPv2身份验证协议的攻击
网络安全损失日趋严重,影响程度将进一步加剧
2013年十大信息安全趋势预测
1国家级网络信息安全战略有望出台 2中国网络安全产业与国外差距缩小 3运营商安全防护走向集中化 4云计算安全防护方案逐步落地 5云安全SaaS市场将爆发式增长 6移动智能终端恶意程序逐渐增加 7企业级移动安全市场进入“井喷期” 8大数据与安全技术走向融合 9社会工程攻击威胁增多 10增值业务安全成新难点
对称密码技术具有加密速度快、运行时占用资源少等 特点。但需要在一个受限组内共享密钥并同时维护其 保密性
非对称密码技术加密速度慢、占用资源多。一般来说, 并不直接使用非对称加密算法加密明文,而仅用它保 护实际加密明文的对称密钥,即所谓的数字信封 (Digital Envelope)技术。
信息安全技术
信息安全就在我们身边! 信息安全需要我们每个人的参与!
如何实现信息安全?
✓ 物理安全 ✓ 计算机使用的安全 ✓ 网络访问的安全 ✓ 社会工程学 ✓ 病毒和恶意代码 ✓ 账号安全 ✓ 电子邮件安全 ✓ 重要信息的保密 ✓ 应急响应
✓ 文件分类分级 ✓ 使用过的重要文件及时销毁,不要扔
在废纸篓里,也不要重复利用 ✓ 不在电话中说工作敏感信息,电话回
✓ 公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储设备, 除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动存储设备。
✓ 公司内严禁使用盗版软件和破解工具,如有工作需要,应通过公司采购正版软件或使用免费 软件
✓ 不经批准,严禁在公司内部架设FTP,DHCP,DNS等服务器 ✓ 研发用机未经批准,严禁转移到公司办公网络、或将办公电脑转移到研发内网使用。 ✓ 《研发规定》 ✓ 任何部门和个人不得私自将包括HUB、交换机、路由器等的网络设备接入公司网络中。 ✓ 原则上不得使用网络共享,如因工作原因需要使用的,必须遵循最小化授权原则,删除给所
网络安全损失日趋严重,影响程度将进一步加剧
2013年十大信息安全趋势预测
1国家级网络信息安全战略有望出台 2中国网络安全产业与国外差距缩小 3运营商安全防护走向集中化 4云计算安全防护方案逐步落地 5云安全SaaS市场将爆发式增长 6移动智能终端恶意程序逐渐增加 7企业级移动安全市场进入“井喷期” 8大数据与安全技术走向融合 9社会工程攻击威胁增多 10增值业务安全成新难点
对称密码技术具有加密速度快、运行时占用资源少等 特点。但需要在一个受限组内共享密钥并同时维护其 保密性
非对称密码技术加密速度慢、占用资源多。一般来说, 并不直接使用非对称加密算法加密明文,而仅用它保 护实际加密明文的对称密钥,即所谓的数字信封 (Digital Envelope)技术。
信息安全技术
信息安全就在我们身边! 信息安全需要我们每个人的参与!
如何实现信息安全?
✓ 物理安全 ✓ 计算机使用的安全 ✓ 网络访问的安全 ✓ 社会工程学 ✓ 病毒和恶意代码 ✓ 账号安全 ✓ 电子邮件安全 ✓ 重要信息的保密 ✓ 应急响应
✓ 文件分类分级 ✓ 使用过的重要文件及时销毁,不要扔
在废纸篓里,也不要重复利用 ✓ 不在电话中说工作敏感信息,电话回
✓ 公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储设备, 除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动存储设备。
✓ 公司内严禁使用盗版软件和破解工具,如有工作需要,应通过公司采购正版软件或使用免费 软件
✓ 不经批准,严禁在公司内部架设FTP,DHCP,DNS等服务器 ✓ 研发用机未经批准,严禁转移到公司办公网络、或将办公电脑转移到研发内网使用。 ✓ 《研发规定》 ✓ 任何部门和个人不得私自将包括HUB、交换机、路由器等的网络设备接入公司网络中。 ✓ 原则上不得使用网络共享,如因工作原因需要使用的,必须遵循最小化授权原则,删除给所
信息安全管理体系介绍PPT课件
系统资源
用户
非用户 级访问
外部资源
用户认
合法
证模块
用户
安 全 检 查 / 加 解 密
外部资源 访问控制
规则集
用户级服 务资源 内部 资源 访问 控制 非用户级 服务资源
系统资源 控制文件
用户资源 控制文件
信息安全技术
• 技术体系 – 信息安全防护 – 信息安全检测 – 信息安全响应 – 信息安全恢复 – 信息安全审计
应用层安全分析
• 网上浏览应用安全 • 电子邮件应用安全 • WWW应用的安全 • FTP应用的安全 • Telnet的安全性 • 网络管理协议(SNMP) • 应用层的身份识别
管理层安全分析
• 内部人员信息泄漏风险; • 机房没有任何限制,任何人都可以进出; • 内部工作人员因误操作而带来安全风险; • 内部员工在未经允许在内部网上做攻击测试; • 建立各种网络安全规范。
校园网服务器群
语音教室网段 教学网段5
数字图书馆网段
内部办公 网段1
内部办公N 财务网段
人事商务网段 多媒体教室网段 OA网段
领导网段
网管网段
教学网段4 教学网段3
教学网段2
采取的解决办法四
对于系统统一管理、信息分析、事件分析 响应
-----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心
对于内部信息泄露、非法外联、内部攻击 类
-----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
兼容; ▪ 组织,政策、支援。
NISS的执行
▪ 基于中移动网络与信息安全体系总纲,将形成 一系列二层的信息安全管理规定。
– 帐号口令安全管理办法 – 终端安全管理办法 – 病毒防制相关规定 – 信息安全保密相关规定 – ……
管理者的责任
▪ 责任清晰
– 各级部门的一把手是本部门信息安全的第一责任人 – 负责信息安全管理规定在本部门的推行和落实 – 对本部门人员的违规事件承担领导责任和连带处罚
国家政策要求 企业发展战略 国内外标准 安全评估结果
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
网络与信息安全体系总纲
技术规范
安全域划分技术规范、 IP专网接入安全要 求、安全产品测试规 范……
管理规范
帐号口令安全管理办 法、终端安全管理办 法……
操作手册
和具体系统相结合
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
流程、细则
和具体系统相结合
第一层 第二层 第三层
信息安全管理组织体系模型
信息安全决策层 决策、规划、保证机制
信息安全管理层 安全管理、工程、保证管理
信息安全操作层 运行、实施、保证
•建立垂直组织 •明确岗位职责 •贯彻分权制衡原则 •提高任职资格 •建立关键岗位人员选拔制度 •加强安全绩效考核
中移动网络与信息安全组织体系
▪ 安全事件响应:建立安全事件报告流程,制定安全预警信息的 授权审批发布流程。确保及时、准确地报告安全事件。
▪ 业务连续性管理 制定并实施业务连续性管理体系,将风险降至可以接受的水平。 根据业务影响分析和风险评估的结果,制定业务连续性计划与 策略。 根据业务连续性计划与策略,制定相应业务连续性方案及框架。 应定期测试、评审和更新业务连续性方案,保障方案的时效性。 定期进行紧急事件响应演练。
安全审计
▪ 从管理和技术两个方面定期检查安全策略、控 制措施的执行情况,发现安全隐患。
▪ 网络与信息系统的设计、操作、使用和管理不 仅要遵从公司本身的安全方针,而且要符合国 家法律法规、管理条例及合同的要求,以及符 合美国萨班斯法案的要求。
▪ 安全审计管理:独立审计、最大程度降低对正 常运营的影响、审计记录完好保存。
人员都应当签署保密协议。 ▪ 所有员工都应当接受网络与信息安全培训。 ▪ 对第三方访问需求应严格审核,进行风险分析,并采
取相应控制措施。 ▪ 应与客户签署相关协议,明确双方在网络与信息安全
方面的权利、义务及违约责任,保障客户与公司双方 的利益。
网络与信息资产管理
▪ 网络和信息资产包括实物资产、信息资产和软件资 产。
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。
– 实物资产:计算机设备、数据网络通信设备(路由器、交换 机等);磁性媒介(磁带和磁盘等)、其他技术设备(电源 以及空调装置等)等;
– 信息资产:技术文档、配置数据、拓扑图等; – 软件资产:应用软件、系统软件以及开发工具等;
要求:
对所有网络与信息资产进行登记,形成资产清单。 明确责任人及安全保护级别,建立严格资产责任制度。 “谁主管,谁负责”。
支撑
和技术指南 制定
基于
构成的具有自主创新能力和拓展能 力的安全体系,保障公司“做世界一
建立 安全 组织架构
执行
流企业”新跨越战略的实施。
技术及防
安全
护支撑手段
运行
运用
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
总体策略
信息资产分类与控制
职员的安全管理
组
物理环境的安全
织
业务连续性管理
通信和操作 访问控制 系统开发与
安全
维护
信息安全目标
中移动网络与信息安全体系总纲
国家政策要求
企业发展战略
国内外标准
安全评估结果
从
宏
观 方
网络与信息安全体系总纲
针
到
微
观
技术规范
管理规范
操
作,
建
立
安全域划分技术规范、
帐号口令安全管理办
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安
物理及其环境安全体系架构
物理及环境安全
场 地 安 全
设
介
备
质
安
安
全
全
工 区 出 障场
作
域
入
地
区 办
划 分
控 制
安
公
全
保
设 电 线 设 介使 存 销
备 源 缆 备 质用 放 毁
选
维申
址
护请
物人 流流
系统运作管理体系架构
权限管理
问题管理
系统
人员
转产安全管理 设备
变更管理
系统维护管理
监控
系统开发
安全事件响应及业务连续性管理
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲 ▪ 角色责任与执行
关键成功因素
▪ 网络与信息安全工作必须是高层牵头,领导负 责,全员参与,专人管理;
▪ 必须全员参与。 ▪ 建立全面、均衡、可行的评估、考核体系,以
衡量网络与信息安全管理工作的水平; ▪ 安全工作的具体实施必须同公司的企业文化相
全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在
的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制
环境
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
安全审计
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
组织与人员
▪ 集团公司和各省公司应建立公司级别的网络与信息安 全常设领导机构。
▪ 设立专职安全队伍,建立安全事件响应流程。 ▪ 所有岗位职责中必须包含安全内容,并实现职责分隔。 ▪ 所有员工及使用中国移动网络与信息资产的其他组织
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
▪ 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
▪ 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
• 全面防范,突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
广西公司组织架构
公司的安全管理,跨部门 工作协调,组织落实公司 范围的各项安全工作。
网络与信息安 全领导小组
网络安全办 公室
网络部
….
信息系统部
….
网络运营中 …. 心
运营支撑中 心
网络与信息安全办公室负责公司具体的网络与信息安全工作 ,落实公司层面 的各项网络安全政策,牵头部门为网络部。
信息安全管理框架
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
可审查性 任何对公司业务运作的威胁和破坏行为都得到记录,并