2014年H2网络安全管控要求V1.pptxVIP

2017-3-29 2014年H2网络安全管控要求重项目、抓管理、保安全 Page 2 目 录 Internet NodeB MGW MSC Server SGSN/MME GGSN/S/P GW HLR/HSS RNC BSC BTS eNodeB MME S/PGW CS域 PS域 PTN/IPRAN 安全风险－－场景复杂化、网络扁平化小操作导致大事故 4G 2/3G PTN/IPRAN 1、人员服务意识（网络安全意识、流程意识、责任心）薄弱； 2、日常维护管理（高危操作管控、应急场景演练、人员能力培养）不足。 网络安全行为红线 禁止条款 未经客户书面授权，访问客户系统，收集、持有、处理、修改客户网络中的任何数据和信息。 未经客户书面许可，使用个人便携设备、存储介质接入客户网络。 进行超出客户审批范围内的任何操作。 使用他人账号或非授权账号登录设备进行操作。 在提供的产品或服务中植入任何恶意代码、恶意软件、后门，预留任何未公开接口和账号。 攻击、破坏客户网络，破解客户账户密码。 泄漏和传播客户网络中的数据和信息。 未经客户书面许可，使用共享账号和密码。 商用或转维后，保留或使用管理员账号及其它非授权账号。 使用未经华为或华为客户书面授权的软件部署在客户网络上运行，或没有使用来自公司正式渠道的软件版本、补丁、License。 利用客户系统的信息和数据谋取个人利益或用于其它非法目的。 保护客户网络安全，避免因违法、违规行为导致客户网络安全危机或安全事件。 促使员工对安全法律、法规的遵从，从而保护员工因客户网络安全意识淡薄的违法、违规。 目标 Page 5 流程管理 工程师上岗前认证、出差工程师BTA安全承诺审批、合作方工程师规范认证评估 流程管控宣传 宣传卡、问题单/变更单、三授权、重大事故、高危操作等控制点 过程执行审计 通过过程审计促进各项服务行为规范的有效落实 现场走动管理 通过主管现场管理，审计规范执行、安全意识，优化管理措施。 例行审计 每双周审计，通报结果、考核应用 案例回溯 月度输出规范案例回溯，并组织学习、研讨 持续优化 审计执行效果，持续优化管理措施 强化流程 规范操作 3 4 1 2 重宣传、抓学习 1、每月组织服务规范性文件、典型案例学习 2、每月以考试、电话的方式，抽查掌握情况 3、每月签署“网络安全责任书”，持续警醒 重安全、抓授权 1、客户100％管理授权； 2、内部100％技术授权； 3、内部100％管理授权。 重客户、抓上岗 1、实时跟进运营商机房管理规定，组织学习 2、所有工程均参加运营商规范考试，并通过后才能上岗。 重准备、抓执行 1、方案细化到每一步操作动作及时间点； 2、现场严格按方案操作，不得擅自更改操作内容 3、重要操作1＋1配置，1人操作，1人审核。 网络安全流程规范－－提升安全意识，强化流程落实 对代表处支持工程师（包括实习）要求： 1、提前学习《代表处流程规范沙盘》，并签署《网络安全承诺书》出差电子流必须附上签字承诺书原件，同时LEADER要抽查其掌握效果； 2、产品Leader组织支持工程师进行流相应流程规范学习，通过后方可上岗。 对代表处自有工程师要求： 1、以AMS为平台，拉通全产品，统一进行流程规范管控； 2、统一组织流程规范、安全案例学习，认证上岗； 3、统一签署《网络安全承诺书》； 4、统一现场管理、规范审计、考核应用。 对合作单位工程师要求： 1、每月组织《代表处流程规范沙盘》学习； 2、每季度组织流程规范认证，获得认证许可，方可上岗； 3、对操作进行抽查，重点检查事前准备、过程执行，记录合作单位绩效考核。 重客户、抓上岗！重准备、抓执行！重宣传、抓学习！重安全，抓授权！ Page 6 重大操作管理－－强化重大操作管控，杜绝人为事故 分场景操作管控－－细化场景、明确要求、例行审视 全产品从“6大场景、5个纬度”深入梳理操作场景管控要求，做为中小型项目技术管控的输入。 管理要求： 每周日14点前，各产品根据操作场景管控要求组织输出该产品 本周所有操作自检报告；同时汇总区域TD重大操作方案 每周日下午14点AMS组织Leader例会，对本周操作合规性检查，同时 对下周重大操作方案统一审视。 当前问题识别： 1、操作风险识别存在盲区，易触雷区； 2、操作场景归类不清晰，缺乏统一指导； 3、不同场景操作要求不明确。 4、操作是否完全按照指导书操作，缺乏有效监控 5、结果不可回溯 重大事故快速恢复－－第一时间通报，快速集结资源 要点1：代表处负责事故定级，地区部RL通过定级工具辅助定级。 要点2：事故第一时间通报，杜绝隐瞒或延误通报；并同时创建iCare单，准确记录发生、申告、恢复时间点； 要点3：完成建单和事故级别确认后，