企业开展网络信息安全工作的策略与方法概述.ppt

在新业务规划环节：新制定的业务规范中已明确网络安全要求，并在设备集采评分时有所体现； 在新签采购合同：以合同附件形式补充《保密协议》与《中国移动通用网络与信息安全责任条款》，通过对网络安全检查结果分析以及部分省的专项了解，目前各省已在新签合同中签署安全要求。 在设备入网环节：增加网络安全审核，进行设备安全功能、通用安全补丁兼容性测试，接入管控平台，端口进程、防护措施是否正常应用等项目的检查，促进设备安全功能的提高。 在系统运维环节：开展常态化安全评估扫描，针对发现的安全问题，及时进行安全加固。 安全运行体系—落实安全“三同步” 第二十八页，共三十七页。 建立监督检查工作机制，开展常规安全检查、第三方监测、事件稽查、业务安全评估，以查促建、以查促优，实现信息安全能力持续螺旋式提升。 风险发现 风险控制 风险评估 闭环管理 螺旋上升 网络层、业务层、端到端的全面防护 分公司 集团 第三方 按照通信网络安全防护要求，分系统安全等级，开展安全符合性评测和风险评估 开展常态化日常安全巡检 定期对各省互联网系统进行远程扫描，不定期组织现场专项检查 开展第三方安全监测，发现的风险及时要求省公司核查整改 检查发现问题通报相关单位，督促相关单位限期解决 邀请国家级安全专控队伍，对重点地区、重要系统进行安全风险排查 多层次的检查机制 安全运行体系—安全检查 第二十九页，共三十七页。 安全运行体系—应急响应 根据《互联网网络安全应急预案》等要求，定期发布安全预警，开展安全事件监测，建立健全公司应急预案体系。 第三十页，共三十七页。 目 录 当前形势 1 下一步展望 3 网络信息安全工作框架 2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系 第三十一页，共三十七页。 日 常检 测 每月开展互联网网站和设备开展远程安全扫描，协助各省公司发现安全漏洞，降低互联网入侵风险。 基础安全排查 选取重点省公司，邀请国家信息安全专控队伍，开展现场风险评估、渗透测试，改善整体防护水平。 现 场检 测 组织自有专家队伍，对省公司基础安全管理要求落实情况进行现场抽查。 远程 检测 在重要活动前期，对31省重要业务系统进行远程检测，规避安全风险。 针对不同安全等级的网络单元，特别是风险较高的系统，开展多层次的网络安全测评和风险评估，全面提升通信网络安全综合防护水平。 * 抓检测 第三十二页，共三十七页。 * * 谢 谢 谢 谢 ? 2012 中国移动版权所有 保留一切权利 中央企业开展网络信息安全工作的策略与方法 中国移动信息安全管理与运行中心 2013年6月 第一页，共三十七页。 目 录 当前形势 1 下一步展望 3 网络信息安全工作框架 2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系 第二页，共三十七页。 宏观形势 信息安全成为社会热点问题 出台相关法律！ 安全形势 国家高度重视 信息安全事关国家安全：2013年3月韩国遭网络恐怖袭击，电视台及部分银行网络瘫痪； 信息安全影响政治稳定：北京2012年3月19日谣言事件； 信息安全影响经济发展：2012年利用“火焰”病毒开展攻击，威胁国家、企业安全。 网络安全形势不容乐观 网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点； 网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危害公众利益； 高级可持续攻击（APT攻击）活动频现，对国家和企业的数据安全造成严重威胁。 * 国家出台网络信息安全保护法律：2012年12月28日，全国人大常委会通过了《关于加强网络信息保护的决定》，以法律形式保护公民个人及法人信息安全，对运营商提出更高要求。 党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从2013年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部《信息安全等级保护管理办法》、《信息安全等级保护备案实施细则》对等级保护提出明确要求。 第三页，共三十七页。 加快企业内部网络信息安全建设， 实现企业网络信息安全水平的整体提升 驱动力 上级部门 监管愈加 严格 外部安全 威胁日益 严峻 内部安全 体系有待 完善 员工安全 意识较为 薄弱 网络信息安全体系建设的驱动力 第四页，共三十七页。 目 录 当前形势 1 下一步展望 3 网络信息安全工作框架 2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系 第五页，共三十七页。 网络信息安全工作方法 信息安全的宗旨和目标 信息安全现状 信息安全体系框架 信息安全规划 体系运营 信息安全策略体系建设与推广 定期评估、检查、审计和持续改进 信息安全组织体系建立与