大旗培训移动转正考试8.湖南移动信息安全管理培训预案.pptx

湖南移动信息安全培训（员工普及篇）湖南移动信息安全管理部2015.7携程泄露门事件请思考什么是网络与信息安全？什么是网络与信息（1）强调信息：是一种资产同其它重要的商业资产一样对企业具有价值需要适合的保护以多种形式存在：纸、电子、影片、交谈等强调网络网络是信息的一种载体是信息存放、使用、交互的重要途径是一种容易识别的实体是基础通信运营企业的有形资产什么是网络与信息安全信息安全：保护信息免受各种威胁确保业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会网络安全网络、设备的安全线路、设备、路由和系统的冗余备份网络及系统的安全稳定运行网络及系统资源的合理使用安全的相关属性Confidentiality保密性Dataconfidentiality数据保密性Communicationsecurity通信安全Integrity完整性Dateintegrity数据完整性Availability可用性Non-repudiation抗抵赖性Accountability可核查性Authenticity真实性Reliability可靠性AccessControl访问控制Authentication鉴别Privacy私密性13335:200417799:2005X.800X.805ISO17799:2000信息系统等级保护安全的相关属性请思考企业为什么要投入大量成本实现网络与信息安全？网络与信息安全的重要性网络与信息安全是国家的需要保障国家安全、社会稳定胡总书记提出“三个坚决”：坚决防止发生危害国家安全和社会稳定的重大政治事件；坚决防止发生暴力恐怖事件；坚决防止发生大规模群体性事件。企业生存和发展必须遵循外部网络与信息安全强制要求国家及行业的要求：《电信法》、《增值电信业务网络信息安全保障基本要求》、电信网络安全等级保护等；资本市场：《萨班斯法案》。网络与信息安全的重要性网络与信息安全是企业的需要企业战略转变做世界一流企业，成为移动信息专家，网络与信息安全是必要条件：体现了中国移动企业核心观正德厚生：旨于服务和谐社会，保障客户利益臻于至善：打造中国移动安全健康的精品网络实现中国移动对客户及社会的承诺对客户的承诺：提供卓越品质的移动信息专家对社会的承诺：承担社会责任做优秀企业公民体现企业持续发展市场需求驱动安全发展安全服务已成为新的业务增长点。如绿色上网、电子商务等安全服务竞争优势，树立品牌企业正常运营的需求避免名誉、信誉受损避免直接经济损失避免正常工作中断或受到干扰避免效率下降网络与信息安全的重要性网络与信息安全是用户的需要保护个人隐私与财产威胁信息私秘性直接影响用户对信息交互的信任度满足用户业务使用需求客户在业务使用中，对安全的需求越来越强烈。如政府、银行等集团客户对网络运营商提出更高的安全保障要求网络与信息安全的基本特征相对性只有相对的安全，没有绝对的安全系统时效性新的漏洞与攻击方法不断发现相关性日常管理中的不同配置会引入新的问题（安全测评只证明特定环境与特定配置下的安全）新的系统组件会引入新的问题不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复等必要性网络与信息安全必须是企业重点并持续关注和解决的网络与信息安全的目标“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”国际标准化组织ISO发布的信息安全管理标准ISO/IEC17799:2005Codeofpracticeforinformationsecuritymanagement（信息安全管理实用规则）中做了如下定义：网络与信息安全的思考威胁永远不会消失！漏洞/脆弱性客观存在！客观上无法避免的因素技术发展的局限，系统在设计之初不能认识到所有问题，如Tcp/ip协议人类的能力有限，失误和考虑不周在所难免，如在编码会引入Bug主观上没有避免的因素采用了默认配置而未定制和安全优化新的漏洞补丁跟踪、使用不及时组织、管理和技术体系不完善技术发展和环境变化的动态性……国家间的竞争与敌对势力永远不会消失企业间谍、攻击者、欺诈与偷窃内部系统的误用、滥用问题长期存在新的威胁不断出现使原有防护措施失效或新的威胁产生……随着信息化建设，信息资产的价值在迅速增长资产的无形价值，如商业情报、声誉、品牌等等已远远超过了