b-中国移动网络跟信息安全体系培训课本.ppt

中移动网络与信息安全体系培训 （面向操作层） 网络安全处 2006年12月 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 安全事件分布 安全事件的损失 安全威胁方的分布 企业面临的主要信息安全问题 信息安全事件回放（一） 全国最大的网上盗窃通讯资费案 某合作方工程师，负责某电信运营商的设备安装。获得充值中心数据库最高系统权限 从2005年2月开始，复制出了14000个充值密码。获利380万。 2005年7月16日才接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。 无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思：目前是否有类似事件等待进一步发现 信息安全事件回放（二） 北京ADSL断网事件 2006年7月12日14:35左右，北京地区互联网大面积断网。 事故原因：路由器软件设置发生故障，直接导致了这次大面积断网现象。 事故分析：操作设备的过程中操作失误或软件不完善属于“天灾”，但问题出现后不及时恢复和弥补，这就涉及人为的因素了，实际上这也是可以控制的。 信息安全事件回放（三） 希腊总理手机被窃听，沃达丰总裁遭传唤 早在2004年雅典奥运会之前，希腊高官们的手机便已开始被第三方窃听 ，2006年3月份才被发现。 事故原因：沃达丰（希腊）公司的中央服务系统被安装了间谍软件 信息安全事件（四） 两名电信公司员工利用职务上的便利篡改客户资料，侵吞ADSL宽带用户服务费76.7万余元 事故原因：内部安全管理缺失 对信息安全问题产生过程的认识 威胁 方 中移动网络与信息安全体系建立紧迫性 李跃总的讲话 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒，只讲我们自身的工作安全。 从全球及我们自身看，网络安全的形式非常严峻 进入网管中心或者通过网管中心进入各生产网元，一定要实行有效的多次密码认证的管理，严格管理每一次进入。 对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。不能光管外人不管自己。（重在管理，其次是手段） 对外来人员的进入，我们一定要限人、限时、限范围，明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查，并做好记录，要承担起核心设备网元的管理权，出了问题要承担责任。 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 中移动网络与信息安全建设总体思路 基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验，结合公司现有的信息安全管理措施 以公司信息安全现状为基础，充分考虑了公司所存在的信息安全风险 参考国外业界最佳实践，同时考虑国内的管理和法制环境 中移动网络与信息安全的目标 为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控制措施落实到位，为各项业务的安全运行提供保障。 目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。 中移动信息安全建设原则与总体策略 安全管理流程、制度和安全控制措施的设计应基于风险分析，而不应基于信任管理 权限制衡和监督原则：安全管理人员和网络管理人员、主机管理人员相互制约 作为国家基础设施提供商，其网络与信息安全工作目前必须围绕公司业务目标开展； 网络与信息安全管理工作应以风险管理为基础，在安全、效率和成本之间均衡考虑； 全面防范，突出重点 中移动网络与信息安全策略架构 信息安全管理组织体系模型 中移动网络与信息安全组织体系 组织架构 信息安全管理框架 信息安全目标 中移动网络与信息安全体系总纲 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 信息资产分类与控制 根据信息资产的价值、保密性、可用性、弱点、威胁，对信息资产及其风险进行赋值，确定保护的优先级和强度 人员的安全管理体系架构 物理及其环境安全体系架构 系统运作管理体系架构 系统开发 业务连续性计划 审计监控体系 监控 信息流 人流、物流 审计 安全策略和控制措施中技术层面的落实情况 对制度、流程合理性和执行情况审计 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 角色责任与执行 NISS的执行 基于中移动网络与信息安全体系总纲，将形成一系列二层的信息安全管理规定。 帐号口令安全管理办法 终端安全管理办法 病毒防制相关规定 信息安全保密相关规定 …… 管理者的责任 责任清晰 各级部门的一把手是本部门信息安全的第一责任人 负责信息安全管理规定在本部门的推行和落实 对本部门人员的违规事件承担领导责任和连带处罚 如何管理 各部门主管首先需要以身作则，带头遵守公司各项信息安全