网络和信息安全培训讲稿.ppt

提升安全意识 构建安全网络 中国移动通信集团云南有限公司 网管中心 前言 提升部门员工对网络与信息安全工作的认识 启发各专业从自身角度出发思考如何开展和完善网络与信息安全工作 构建安全可靠的通信网络 提纲 提纲 什么是网络与信息（1） 信息： 是一种资产 同其它重要的商业资产一样 对企业具有价值 需要适合的保护 以多种形式存在：纸、电子、影片、交谈等 网络 网络是信息的一种载体 是信息存放、使用、交互的重要途径 是一种容易识别的实体 是基础通信运营企业的有形资产 什么是网络与信息（2） 网络与信息的关系： 从理论角度理解 信息的范围更大，更广 网络只是信息使用过程的一种载体、一种方式 从实际工作角度 把信息局限在网络上承载的内容、数据、业务 保障业务连续性、网络正常运行的配置数据等 比理论角度的信息范围要窄，但适合我们的工作实际 两种视角的相同点 信息是目标 网络是基础 网络与信息并重 什么是网络与信息安全 信息安全： 保护信息免受各种威胁 确保业务连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会 网络安全 网络、设备的安全 线路、设备、路由和系统的冗余备份 网络及系统的安全稳定运行 网络及系统资源的合理使用 常见安全事件类型-特洛伊木马 生活中的安全事件分析 银行卡密码丢失 网银帐号被木马程序窃取 家庭被盗 用火不当引发火灾 个人隐秘信息未加密造成泄漏 等 思考 安全意识对于企业的发展、对我们每个人的工作和生活会产生重大的影响，我们还能不关心、不重视安全问题吗？？？ 网络与信息安全工作涉及内容 思考 我们日常工作中哪些方面是与网络与信息安全相关的？这些工作分属于网络与信息安全的哪个方面？ 1、物理安全 2、传统通信安全 3、网络与系统安全 4、业务安全 5、信息安全 6、内容安全 网络与信息安全工作分类-物理安全 物理安全 目的 保障人身、财产及通信设施的安全。 保护对象 员工； 机房； 办公场所； 通信设施； 等。 主要威胁 通信设施的人为破坏（盗窃，蓄意破坏等）； 传输线路的意外中断（人为挖断、自然灾害所致等）； 机房及办公场所的安全隐患（火灾、鼠灾、水灾等）； 威胁人身及财物的安全问题（地震、财物失窃等）； 影响动力环境的安全（水、电供应等）； 员工的人身安全； 等。 网络与信息安全工作分类-传统通信安全 传统通信安全 目的 保证设备可用、线路通畅。 保护对象 设备； 线路； 等。 主要威胁 设备单点故障（容灾备份、负荷分担不足等）； 网络单点故障（缺少安全路由等）； 配置数据出错（局数据配置错误等）； 超负荷运行（带宽容量不够、设备性能不足等）； 应急通信（突发事件、大型赛事、大型政治经济活动等） 等。 网络与信息安全工作分类-网络与系统安全 网络与系统安全 目的 保障通信网、业务系统、各支撑系统的安全稳定运行，避免网络及业务中断。 保护对象 移动通信网、IP承载网、CMNet、智能网、等； 短信、彩信、彩铃、等； 业务支撑系统、网管系统、企业信息化系统。 主要威胁 网络的拥塞、阻断（蠕虫病毒等）； 系统及网络设备的宕机（黑客攻击等）； 系统及网络的资源耗尽（拒绝服务攻击等）； 系统及网络资源的滥用（BT、非法VOIP等）； 对系统和网络的恶意控制（僵尸网络等）； 等。 网络与信息安全工作分类-业务安全 业务安全 目的 保证各类业务服务的合法合规提供，避免对客户利益造成损害。 保护对象 业务流程的合法； 业务流程的合规； 业务流程的可控。 主要威胁 业务流程设计漏洞，或配置漏洞带来的安全问题（ SP利用WAP系统漏洞实施强行定购等）； 服务提供商的欺诈行为（用含糊内容诱骗客户定购业务等）； 服务提供商的违规经营（提供经营许可范围之外的服务等）； 等。 网络与信息安全工作分类-信息安全 信息安全 目的 保证信息的机密性、完整性及可用性。保护信息数据在传送、存储、访问或修改的过程中不受到破坏，在设备退网时保证敏感信息彻底消除等。 保护对象 公司机密数据（侧重机密性）：财务数据、战略决策、技术体制、业务运营数据、招投标信息等； 客户敏感信息（侧重机密性） ：客户身份资料、客户短信/彩信内容、账单、通话记录、位置信息等； 各类配置数据（侧重可用性） ：局数据、路由控制策略等； 公共信息内容（侧重完整性） ：SP提供的服务信息内容、企业对外门户网站内容； 等。 主要威胁 内容的恶意篡改； 机密信息泄露； 对信息非法和越权的访问； 配置信息的未授权更改； 等。 网络与信息安全工作分类-内容安全 内容安全 目的 防止通过电信网络，传播危害国家安全、社会稳定、公共利益的信息内容。 保护对象 各类承载信息的系统。如：彩铃系统、短信系统、彩信系统、