信息安全-管理体系及重点制度介绍.ppt

信息安全管理体系及重点制度介绍 信息系统部 2011年5月4日 湖南移动信息安全管理体系 湖南移动信息安全管理制度 已发布制度 《湖南移动信息安全管理办法》和责任矩阵 《湖南移动信息安全三同步管理办法》 《中国移动客户信息安全保护管理规定（试行）》和控制矩阵 《中国移动业务信息安全评估标准》（2011） 《中国移动基础信息安全管理通用要求（试行）》和检查矩阵 实践案例汇编 “客户信息安全保护解决方案汇编” “基础信息安全案例汇编” 计划完善的制度 安全应急处置 责任追究 安全检查管理办法 …… 基础电信企业信息安全责任管理办法—企业信息安全责任 基础信息安全管理通用要求 基础信息安全管理通用要求—安全预警 预警信息分为一级、二级、三级、四级，一级为最高级。 集团公司信息安全管理责任部门负责面向全网发布预警信息，各省公司或专业部门向所辖地域与专业发布预警信息。 各单位接到预警信息后，应依据上级主管部门要求落实，及时跟踪预警项进展，预警内容出现变化应及时上报，必要时调高预警级别并采取更严格防范措施。 各单位可根据预警信息对系统的影响情况调高预警级别，但不允许调低预警级别； 对安全补丁类预警，应根据设备所处位置和重要性采取不同的加载策略。在设备没打补丁期间，要采取相应的加固措施，保证设备不易被攻击。 对于安全预警信息，应在预警信息规定时限内向预警信息发布主体反馈处理结果。 安全预警处理结果反馈内容应包括预警的影响范围、防范措施实施范围、防范措施实施效果、进一步计划等内容。 基础信息安全管理通用要求—安全监控 要由监控专业或相应专业人员实施对各专业网络与系统的集中化安全监控。 重点监控范围包括安全等级三级及以上的IT系统，以及基地业务、彩信、OA、ERP、邮件系统、对外网站、IDC、WLAN、DNS、LSP等系统。 细化安全监控内容，包括但不限于： 内网系统：帐号登录信息，帐号、权限、口令的变更，服务与端口的启用，系统日志是否正常； 互联网系统：除了满足内网系统监控内容要求外，还应包括网站页面是否被篡改，系统可用性； 安全设备：防病毒系统、入侵检测系统、防火墙等安全告警信息。 针对各监控对象细化制定安全监控的各项控制基线与量化指标，基线与指标的数值应至少设定正常，一般告警，紧急告警三个等级。 应完善和优化安全监控手段，提升监控的效率与覆盖面。 应制定细化的安全监控作业计划，实施对重点监控对象的7×24小时监控。 对于监控中发现的安全问题，及时进行详细记录并形成监控日志，监控日志应留存3个月以上。 要及时对监控中发现的问题进行识别、分析与处置。 按照安全事件管理相关要求对监控中发现的安全事件进行处置。 基础信息安全管理通用要求—访问控制1 内网接入安全要求 严禁任何设备以双网卡方式同时连接互联网和公司内网；严禁向任何未经防火墙隔离的对外网站等互联网系统分配公司内网IP地址； 接入公司内网的终端设备必须通过802.1X认证，安全网关认证，MAC地址绑定等方式之一实现网络接入认证，只有通过接入认证的设备才可访问局域网资源； 如因系统限制暂时无法在系统中实现网络登录认证，任何外来设备只能在接入申请批准后方可接入，并由局域网的维护人员对接入终端进行登记； 原则上不应采用无线AP方式接入内网，如遇特殊情况，依据“谁接入、谁负责”的原则，管理上必须经主管领导审批授权，技术上必须采用MAC地址绑定，强安全认证，强加密算法保护的安全传输，配置隐藏SSID，保证AP口令强度等配置； 各单位要维护一份已使用内网IP地址清单，清单内容包括但不限于每个IP地址的使用单位、设备用途、责任人（使用人）和联系方式等信息。 远程接入 远程接入指从外部网络接入公司内网； 各单位要制定远程接入的实施细则、远程接入审批和授权流程，规范帐号权限的申请、变更与删除等工作，审批与授权记录应予以归档留存； 各单位对远程接入应做到系统集中管控（接入4A系统），采用短信动态口令，令牌等强认证方式，并对远程接入用户的登录过程、操作行为进行记录（记录内容包括但不限于：用户名、操作内容、登陆方式、登入时间、登出时间）； 远程接入帐号只能授予内部员工，厂家人员需要使用远程维护时，按次授权，用毕收回； 远程接入帐号的创建、调整和删除申请审批通过后，应及时更新系统中的帐号状态，确保与审批结果保持一致； 定期（每半年至少一次）检查远程接入帐号与权限，清除过期或者未授权的访问帐号与权限。 基础信息安全管理通用要求—访问控制2 防火墙配置管理 各单位应制定防火墙策略管理的实施细则、防火墙策略变更审批和授权流程，规范防火墙策略新建、更新与删除工作，审批与授权记录应予以归档留存； 防火墙配置应满足《中国移动防火墙功能和配置规范》要求，做好日志、告警、安全策略、攻击防护的配置；