网络安全解剖.ppt

中国移动的信息分级、标注和处置举例如屏幕上的表中所示。 一般信息、内部信息、机密信息、绝密信息 * 网络信息的等级分为以下几类： 从公司客户的角度来衡量业务系统故障所造成的影响。 经济损失：可以根据影响营业收入的程度或者无法满足财务目标来评估业务系统的重要性。 法律影响：可以根据法律、合同、政府的监管要求来评估业务系统的重要性。 由于信息资产损失而导致的公司形象受损也应被评估。此类损失能够严重影响公司的声誉和股东的信心。重大损失可能导致整个公司或者业务部门无法正常运转。 所以，中国移动的业务和支撑网络可分为关键系统和一般系统两个安全等级。如果实际情况需要，也可进一步细分。 这是对前面这部分内容的一个小结。 所有资产都需要考虑保密性、可用性和风险。 同时，根据信息资产的价值、保密性、可用性、弱点、威胁，从而对信息资产及其风险进行赋值，以此来确定保护的优先级和强度。 * 第3点，物理及环境安全。 在本节中，我们会从以下几个方面来考虑物理及环境的安全问题。 1.安全区域 2.设备安全 3.存储媒介的安全 4.通用控制措施 中国移动网络与信息安全策略架构，按照国家政策要求、企业发展战略、国内外标准和安全评估结果，并依据宏观方针到微观操作的标准, 我们分成了三个层面的安全制度体系。 第1层：网络与信息安全体系总纲 第2层：技术规范、管理规范 第3层：操作手册、流程、细则 体系总纲的主要内容是，明确总的工作要求。 首先要面向整个集团，包括总部各个部门，各省公司。 另外，体系总纲要遵循国际安全管理标准，引入业界安全最佳实践。说明为什么要开展安全工作。指出需要开展那些安全工作。 前面谈到，中国移动的安全标准体系包括三层： 第1层：网络与信息安全标准总纲 第2层：技术指南和管理规定 第3层：操作手册、工作细则、实施流程。 前面谈到，中国移动的安全标准体系包括三层： 第1层：网络与信息安全标准总纲 第2层：技术指南和管理规定 第3层：操作手册、工作细则、实施流程。 接下来我们看一下NISS安全策略架构。 NISS定位于安全体系第一层，整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。 这些安全策略主要包括： 被管理者批准及认可 正式宣布 全员宣贯 定期审核 配套的策略体系（标准、规定、流程、指南） 网络与信息安全管理框架如下： 目标：要注重保密性、可用性、完整性。 具体的组织管理框架如图。 查出的最大僵尸网络案例。 框架图中的组织与人员，主要从以下4个方面进行讲述。 1 组织机构 2 人员考察及岗位职责 3 第三方访问及外包安全 4 客户使用业务的安全 框架图中的组织与人员，主要从以下4个方面进行讲述。 1 组织机构 2 人员考察及岗位职责 3 第三方访问及外包安全 4 客户使用业务的安全 * * * 框架图中的组织与人员，主要从以下4个方面进行讲述。 1 组织机构 2 人员考察及岗位职责 3 第三方访问及外包安全 4 客户使用业务的安全 合适的组织，合适的人 首先来看组织机构。 这里面包括信息安全决策层、信息安全管理层、信息安全执行层。 这里的具体要求包括： 建立垂直组织 明确岗位职责 贯彻分权制衡原则 提高任职资格 建立关键岗位人员选拔制度 加强安全绩效考核 如图：中国移动网络与信息安全组织体系包括： 在总部和省公司建立了三层网络安全管理组织； 集团副总裁为集团领导小组组长，各部门总经理为小组成员； 集团公司网络信息安全办公室设在网络部。 组织架构： 1.网络安全办公室作为公司的安全管理归口部门，需要跨部门工作协调，组织落实公司范围的各项安全工作。 2.为了进一步加强公司的网络安全工作，在网络部设立了网络安全处，负责推动公司层面的各项网络安全工作落实。 信息安全责任的落实包括以下内容： 1. 中国移动的所有岗位职责中必须包含安全内容，并尽量实现职责分隔。 2. 建立“谁主管，谁负责”的安全责任制度。 3. 公司应尽量分解、隔离相应职责，以减少误用或滥用职责带来风险的概率。 4. 集团公司网络部网络安全处作为安全信息的权威发布机构，须建立有效可靠的渠道，收集和整理并向各省发布安全信息。各省负责省内发布及信息上报。 查出的最大僵尸网络案例。 网络安全预警工作流程分为横向发布和纵向发布两大类。 首先是CNCERT/CC、预警服务商和设备原厂商、企业内部判断出总部的网络安全问题，然后横向发布到总部各部门以及纵向发布给各省公司。 这是一个安全预警的实例，震荡波蠕虫病毒的预警情况。 震荡波的爆发情况如大屏幕上大家看到的流程。 病毒爆发期间，中国移动各级骨干网络均未出现异常。 针对少量终端感染病毒现象，总部及时提供了手工清除病毒方法和病毒专杀工具。 人员及岗位职责考察，需要对员工及外部人员进行分别对待。 主要需要从