中国移教材资料动网络跟信息安全保障体系.pptVIP

目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 安全事件分布 安全事件的损失 安全威胁方的分布 企业面临的主要信息安全问题 信息安全事件回放（一） 全国最大的网上盗窃通讯资费案 某合作方工程师，负责某电信运营商的设备安装。获得充值中心数据库最高系统权限 从2005年2月开始，复制出了14000个充值密码。获利380万。 2005年7月16日才接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。 无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思：目前是否有类似事件等待进一步发现 信息安全事件回放（二） 北京ADSL断网事件 2006年7月12日14:35左右，北京地区互联网大面积断网。 事故原因：路由器软件设置发生故障，直接导致了这次大面积断网现象。 事故分析：操作设备的过程中操作失误或软件不完善属于“天灾”，但问题出现后不及时恢复和弥补，这就涉及人为的因素了，实际上这也是可以控制的。 信息安全事件回放（三） 希腊总理手机被窃听，沃达丰总裁遭传唤 早在2004年雅典奥运会之前，希腊高官们的手机便已开始被第三方窃听 ，2006年3月份才被发现。 事故原因：沃达丰（希腊）公司的中央服务系统被安装了间谍软件 信息安全事件（四） 两名电信公司员工利用职务上的便利篡改客户资料，侵吞ADSL宽带用户服务费76.7万余元 事故原因：内部安全管理缺失 对信息安全问题产生过程的认识 威胁 方 中移动网络与信息安全体系建立紧迫性 李跃总的讲话 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒，只讲我们自身的工作安全。 从全球及我们自身看，网络安全的形式非常严峻 进入网管中心或者通过网管中心进入各生产网元，一定要实行有效的多次密码认证的管理，严格管理每一次进入。 对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。不能光管外人不管自己。（重在管理，其次是手段） 对外来人员的进入，我们一定要限人、限时、限范围，明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查，并做好记录，要承担起核心设备网元的管理权，出了问题要承担责任。 信息安全是信息服务提供商的核心保证 一个不安全的网络，将不可能提供高质量的信息服务 信息服务必须让客户可信任 解决信息安全问题的关键 建立一个完善的信息安全管理体系 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 中移动网络与信息安全建设总体思路 基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验，结合公司现有的信息安全管理措施 以公司信息安全现状为基础，充分考虑了公司所存在的信息安全风险 参考国外业界最佳实践，同时考虑国内的管理和法制环境 中移动网络与信息安全的目标 为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控制措施落实到位，为各项业务的安全运行提供保障。 目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。 中移动信息安全建设原则与总体策略 安全管理流程、制度和安全控制措施的设计应基于风险分析，而不应基于信任管理 权限制衡和监督原则：安全管理人员和网络管理人员、主机管理人员相互制约 作为国家基础设施提供商，其网络与信息安全工作目前必须围绕公司业务目标开展； 网络与信息安全管理工作应以风险管理为基础，在安全、效率和成本之间均衡考虑； 全面防范，突出重点 中移动网络与信息安全策略架构 信息安全管理组织体系模型 中移动网络与信息安全组织体系 集团公司组织架构 广西公司组织架构 信息安全管理框架 信息安全目标 中移动网络与信息安全体系总纲 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 组织与人员 集团公司和各省公司应建立公司级别的网络与信息安全常设领导机构。 设立专职安全队伍，建立安全事件响应流程。 所有岗位职责中必须包含安全内容，并实现职责分隔。 所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。 所有员工都应当接受网络与信息安全培训。 对第三方访问需求应严格审核，进行风险分析，并采取相应控制措施。 应与客户签署相关协议，明确双方在网络与信息安全方面的权利、义务及违约责任，保障客户与公司双方的利益。 网络与信息资产管理 网络和信息资产包括实物资产、信息资产和软件资产 。 实物资产：计算机设备、数据网络通信设备（路由器、交换机等）；磁性媒介（磁带和磁盘等）、其他技术设备（电源以及空调装置等）等； 信息资产：技术文档、配置数据、拓扑图等； 软件资产：应用软件、系统软件以及开发工具等；