中國移動網(wǎng)絡與信息安全保障體系

1、目標：對涉及公司運營的所有信息資產(chǎn)（對通信網(wǎng)業(yè)務系統(tǒng)、 各支撐系統(tǒng)網(wǎng)絡、以及市場、財務、研發(fā)、人力的各類重要信息）進行保護，保障公司“新跨越戰(zhàn)略”實施，保護公司的核心競爭力。指導思想：以風險管理為核心，預防為主，技術(shù)手段為支撐，圍繞信息和信息系統(tǒng)生命周期，逐步建立由安全組織、管理規(guī)定和技術(shù)指南、運行和技術(shù)防護手段構(gòu)成的具有自主創(chuàng)新能力和拓展能力的安全體系，保障公司“做世界一流企業(yè)”新跨越戰(zhàn)略的實施。,網(wǎng)絡與信息安全保

2、障體系,中國移動網(wǎng)絡與信息安全保障體系,建立,目錄,信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網(wǎng)絡與信息安全總綱,安全事件分布,,安全事件的損失,安全威脅方的分布,,獨立黑客：黑客攻擊越來越頻繁，直接 影響企業(yè)正常的業(yè)務運作！ 內(nèi)部員工：1、信息安全意識薄弱的員工誤用、濫用等；2、越權(quán)訪問，如：系統(tǒng)管理員，應用管理員越權(quán)訪問數(shù)據(jù)；3、政治言論發(fā)表、非法站點的訪問等；4、內(nèi)部不穩(wěn)定、情緒不滿的員工。如

3、：員工離職帶走企業(yè)秘密，尤其是企業(yè)內(nèi)部高層流動、集體流動等！ 競爭對手：法制環(huán)境不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）！ 國外政府或機構(gòu)：法制環(huán)境不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）！,企業(yè)面臨的主要信息安全問題,人員問題：信息安全意識薄弱的員工誤操作、誤設置造成系統(tǒng)宕機、數(shù)據(jù)丟失，信息泄漏等問題特權(quán)人員越權(quán)訪問，如：系統(tǒng)管理員，應用管理員越權(quán)訪問、傳播敏感數(shù)據(jù)內(nèi)部員工和即將離職員工

4、竊取企業(yè)秘密，尤其是骨干員工流動、集體流動等技術(shù)問題：病毒和黑客攻擊越來越多、爆發(fā)越來越頻繁，直接影響企業(yè)正常的業(yè)務運作法律方面網(wǎng)絡濫用：員工發(fā)表政治言論、訪問非法網(wǎng)站法制不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）,信息安全事件回放（一）,全國最大的網(wǎng)上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝。獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權(quán)限從2005年2月開始，復制出了14000個充值密碼。獲利380萬。

5、2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘記了修改有效日期 反思：目前是否有類似事件等待進一步發(fā)現(xiàn),,對第三方的有效安全管理規(guī)范缺失,信息安全事件回放（二）,北京ADSL斷網(wǎng)事件2006年7月12日14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因：路由器軟件設置發(fā)生故障，直接導致了這次大面積斷網(wǎng)現(xiàn)象。事故分析：操作設備的過程中操作失誤或軟件不完

6、善屬于“天災”，但問題出現(xiàn)后不及時恢復和彌補，這就涉及人為的因素了，實際上這也是可以控制的。,,需制定實施的業(yè)務連續(xù)性管理體系,信息安全事件回放（三）,希臘總理手機被竊聽，沃達豐總裁遭傳喚早在2004年雅典奧運會之前，希臘高官們的手機便已開始被第三方竊聽 ，2006年3月份才被發(fā)現(xiàn)。事故原因：沃達豐（希臘）公司的中央服務系統(tǒng)被安裝了間諜軟件,,制定嚴格的核心操作系統(tǒng)訪問控制流程,信息安全事件（四）,兩名電信公司員工利用職務上的便利篡

7、改客戶資料，侵吞ADSL寬帶用戶服務費76.7萬余元事故原因：內(nèi)部安全管理缺失,,缺乏有效的內(nèi)控措施和定期審計,對信息安全問題產(chǎn)生過程的認識,資產(chǎn),,,威脅（破壞或濫用）,中移動網(wǎng)絡與信息安全體系建立緊迫性,李躍總的講話安全問題已時不我待。我所講的安全問題還不是黑客和防病毒，只講我們自身的工作安全。 從全球及我們自身看，網(wǎng)絡安全的形式非常嚴峻進入網(wǎng)管中心或者通過網(wǎng)

8、管中心進入各生產(chǎn)網(wǎng)元，一定要實行有效的多次密碼認證的管理，嚴格管理每一次進入。 對內(nèi)部人員的登陸要有嚴格的管理規(guī)定，后臺操作要留有痕跡。不能光管外人不管自己。（重在管理，其次是手段） 對外來人員的進入，我們一定要限人、限時、限范圍，明確進入的時間、進入的目的。誰放廠家的人進去誰就要負責檢查，并做好記錄，要承擔起核心設備網(wǎng)元的管理權(quán)，出了問題要承擔責任。,信息安全是信息服務提供商的核心保證,一個不安全的網(wǎng)絡，將不可能提供高質(zhì)量的信息

9、服務信息服務必須讓客戶可信任解決信息安全問題的關(guān)鍵建立一個完善的信息安全管理體系,目錄,信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網(wǎng)絡與信息安全總綱,中移動網(wǎng)絡與信息安全建設總體思路,基于信息安全管理國際標準BS7799/ISO17799綜合顧問的管理和技術(shù)經(jīng)驗，結(jié)合公司現(xiàn)有的信息安全管理措施以公司信息安全現(xiàn)狀為基礎，充分考慮了公司所存在的信息安全風險參考國外業(yè)界最佳實踐，同時考慮國內(nèi)的管理和法制環(huán)境

10、,中移動網(wǎng)絡與信息安全的目標,為中國移動的網(wǎng)絡與信息安全管理工作建立科學的體系，確保安全控制措施落實到位，為各項業(yè)務的安全運行提供保障。目前公司網(wǎng)絡與信息安全工作的重點集中在可用性、保密性和可審查性。,可用性保密性可審查性,確保被授權(quán)用戶能夠在需要時獲取網(wǎng)絡與信息資產(chǎn)。關(guān)鍵信息資產(chǎn)的使用都必須經(jīng)過授權(quán)，只有得到相應授權(quán)的人員才可使用網(wǎng)絡和保密信息任何對公司業(yè)務運作的威脅和破壞行為都得到記錄，并能跟蹤和追查,中移動信息安

11、全建設原則與總體策略,安全管理流程、制度和安全控制措施的設計應基于風險分析，而不應基于信任管理權(quán)限制衡和監(jiān)督原則：安全管理人員和網(wǎng)絡管理人員、主機管理人員相互制約作為國家基礎設施提供商，其網(wǎng)絡與信息安全工作目前必須圍繞公司業(yè)務目標開展；網(wǎng)絡與信息安全管理工作應以風險管理為基礎，在安全、效率和成本之間均衡考慮；全面防范，突出重點,中移動網(wǎng)絡與信息安全策略架構(gòu),,國家政策要求,企業(yè)發(fā)展戰(zhàn)略,國內(nèi)外標準,安全評估結(jié)果,,技術(shù)規(guī)范,,管

12、理規(guī)范,,操作手冊和具體系統(tǒng)相結(jié)合,,流程、細則和具體系統(tǒng)相結(jié)合,第一層,第二層,第三層,,,,安全域劃分技術(shù)規(guī)范、IP專網(wǎng)接入安全要求、安全產(chǎn)品測試規(guī)范……,帳號口令安全管理辦法、終端安全管理辦法……,,網(wǎng)絡與信息安全體系總綱,,從宏觀方針到微觀操作, 建立了包含三個層面的安全制度體系,信息安全管理組織體系模型,信息安全決策層決策、規(guī)劃、保證機制,信息安全管理層安全管理、工程、保證管理,信息安全操作層運行、實施、保證,,,建

13、立垂直組織明確崗位職責貫徹分權(quán)制衡原則提高任職資格建立關(guān)鍵崗位人員選拔制度加強安全績效考核,,中移動網(wǎng)絡與信息安全組織體系,集團公司網(wǎng)絡信息安全領導小組,集團公司網(wǎng)絡信息安全辦公室,集團網(wǎng)絡信息安全小組,各省公司網(wǎng)絡信息安全領導小組,各省公司網(wǎng)絡信息安全辦公室,各省網(wǎng)絡信息安全小組,,決策層,管理層,執(zhí)行層,,,,,,,集團公司,省公司,在總部和省公司建立了三層網(wǎng)絡安全管理組織； 集團副總裁為集團領導小組組長，各

14、部門總經(jīng)理為小組成員； 集團公司網(wǎng)絡信息安全辦公室設在網(wǎng)絡部。,,,,集團公司組織架構(gòu),網(wǎng)絡與信息安全領導小組,網(wǎng)絡部,業(yè)務支撐系統(tǒng)部,管理信息系統(tǒng)部,網(wǎng)絡安全辦公室,,網(wǎng)絡部,業(yè)務支撐系統(tǒng)部,管理信息系統(tǒng)部,,,,,集團,省公司,,,為了進一步加強公司的網(wǎng)絡安全工作，在網(wǎng)絡部設立了網(wǎng)絡安全處，負責推動公司層面的各項網(wǎng)絡安全工作落實。,公司的安全管理，跨部門工作協(xié)調(diào)，組織落實公司范圍的各項安全工作。,….,….,廣西公司組織架構(gòu),網(wǎng)絡

15、與信息安全領導小組,網(wǎng)絡部,信息系統(tǒng)部,運營支撐中心,網(wǎng)絡安全辦公室,,,,,,,網(wǎng)絡與信息安全辦公室負責公司具體的網(wǎng)絡與信息安全工作 ，落實公司層面的各項網(wǎng)絡安全政策，牽頭部門為網(wǎng)絡部。,公司的安全管理，跨部門工作協(xié)調(diào)，組織落實公司范圍的各項安全工作。,….,….,….,網(wǎng)絡運營中心,,信息安全管理框架,信息安全目標,中移動網(wǎng)絡與信息安全體系總綱,,安全審計,,組織與人員,,國家政策要求,企業(yè)發(fā)展戰(zhàn)略,國內(nèi)外標準,安全評估結(jié)果,,技術(shù)

16、規(guī)范,,管理規(guī)范,,操作手冊和具體系統(tǒng)相結(jié)合,,流程、細則和具體系統(tǒng)相結(jié)合,第一層,第二層,第三層,,,,安全域劃分技術(shù)規(guī)范、IP專網(wǎng)接入安全要求、安全產(chǎn)品測試規(guī)范……,帳號口令安全管理辦法、終端安全管理辦法……,,網(wǎng)絡與信息安全體系總綱,,從宏觀方針到微觀操作, 建立了包含三個層面的安全制度體系,目錄,信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網(wǎng)絡與信息安全總綱,組織與人員,集團公司和各省公司應建立公司級別

17、的網(wǎng)絡與信息安全常設領導機構(gòu)。設立專職安全隊伍，建立安全事件響應流程。 所有崗位職責中必須包含安全內(nèi)容，并實現(xiàn)職責分隔。 所有員工及使用中國移動網(wǎng)絡與信息資產(chǎn)的其他組織人員都應當簽署保密協(xié)議。所有員工都應當接受網(wǎng)絡與信息安全培訓。對第三方訪問需求應嚴格審核，進行風險分析，并采取相應控制措施。應與客戶簽署相關(guān)協(xié)議，明確雙方在網(wǎng)絡與信息安全方面的權(quán)利、義務及違約責任，保障客戶與公司雙方的利益。,網(wǎng)絡與信息資產(chǎn)管理,網(wǎng)絡和信息資產(chǎn)

18、包括實物資產(chǎn)、信息資產(chǎn)和軟件資產(chǎn) 。實物資產(chǎn)：計算機設備、數(shù)據(jù)網(wǎng)絡通信設備（路由器、交換機等）；磁性媒介（磁帶和磁盤等）、其他技術(shù)設備（電源以及空調(diào)裝置等）等；信息資產(chǎn)：技術(shù)文檔、配置數(shù)據(jù)、拓撲圖等；軟件資產(chǎn)：應用軟件、系統(tǒng)軟件以及開發(fā)工具等；要求：對所有網(wǎng)絡與信息資產(chǎn)進行登記，形成資產(chǎn)清單。明確責任人及安全保護級別，建立嚴格資產(chǎn)責任制度?！罢l主管，誰負責”。,物理及其環(huán)境安全體系架構(gòu),,物理及環(huán)境安全,系統(tǒng)運作管理體系架

19、構(gòu),系統(tǒng)開發(fā),,安全事件響應及業(yè)務連續(xù)性管理,安全事件響應：建立安全事件報告流程，制定安全預警信息的授權(quán)審批發(fā)布流程。確保及時、準確地報告安全事件。業(yè)務連續(xù)性管理 制定并實施業(yè)務連續(xù)性管理體系，將風險降至可以接受的水平。 根據(jù)業(yè)務影響分析和風險評估的結(jié)果，制定業(yè)務連續(xù)性計劃與策略。 根據(jù)業(yè)務連續(xù)性計劃與策略，制定相應業(yè)務連續(xù)性方案及框架。 應定期測試、評審和更新業(yè)務連續(xù)性方案，保障方案的時效性。

20、 定期進行緊急事件響應演練。,安全審計,,從管理和技術(shù)兩個方面定期檢查安全策略、控制措施的執(zhí)行情況，發(fā)現(xiàn)安全隱患。網(wǎng)絡與信息系統(tǒng)的設計、操作、使用和管理不僅要遵從公司本身的安全方針，而且要符合國家法律法規(guī)、管理條例及合同的要求，以及符合美國薩班斯法案的要求。安全審計管理：獨立審計、最大程度降低對正常運營的影響、審計記錄完好保存。,目錄,信息安全：企業(yè)面臨的巨大挑戰(zhàn)中國移動信息安全管理體系介紹中移動網(wǎng)絡與信息安全總綱角色責任與執(zhí)

21、行,關(guān)鍵成功因素,網(wǎng)絡與信息安全工作必須是高層牽頭，領導負責，全員參與，專人管理；必須全員參與。建立全面、均衡、可行的評估、考核體系，以衡量網(wǎng)絡與信息安全管理工作的水平；安全工作的具體實施必須同公司的企業(yè)文化相兼容；組織，政策、支援。,NISS的執(zhí)行,基于中移動網(wǎng)絡與信息安全體系總綱，將形成一系列二層的信息安全管理規(guī)定。帳號口令安全管理辦法終端安全管理辦法病毒防制相關(guān)規(guī)定信息安全保密相關(guān)規(guī)定……,管理者的責任,責任清晰

22、各級部門的一把手是本部門信息安全的第一責任人負責信息安全管理規(guī)定在本部門的推行和落實對本部門人員的違規(guī)事件承擔領導責任和連帶處罰如何管理各部門主管首先需要以身作則，帶頭遵守公司各項信息安全規(guī)定要在部門的各種場合向部門強調(diào)和灌輸信息安全保密意識在本部門指定專門的人員負責信息安全工作在部門內(nèi)持續(xù)不斷的進行信息安全宣傳、檢查對本部門人員的違規(guī)行為應嚴肅對待，不姑息，不袒護,普通員工的責任,嚴格遵守和執(zhí)行公司各類信息安全管理規(guī)

23、定和流程制度以及安全方面的有關(guān)措施有義務制止他人違規(guī)行為或及時向信息安全部反饋可能造成泄密、竊密或其他安全隱患,如何避免信息安全違規(guī),首先需要每個員工有強烈的安全意識積極學習公司的各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己的日常工作行為中,員工的保密義務和責任,保密信息密級,（一）不準利用工作中的便利條件竊取國家及公司的秘密；（二）不準在工作中泄露國家及公司秘密；（三）不準在私人交往和通信中泄露國家及公司秘密；