目標(biāo)： 對涉及公司運(yùn)營的所有信息資產(chǎn)（對通信網(wǎng)業(yè)務(wù)系統(tǒng)、 各支撐系統(tǒng)網(wǎng)絡(luò)、以及市場、財務(wù)、研發(fā)、人力的各類重要信息）進(jìn)行保護(hù)，保障公司 “ 新跨越戰(zhàn)略 ” 實(shí)施，保護(hù)公司的核心競爭力。 指導(dǎo)思想： 以風(fēng)險管理為核心， 預(yù)防為主，技術(shù)手段為支撐， 圍繞信息和信息系統(tǒng)生命周期， 逐步建立由安全組織、管理規(guī)定 和技術(shù)指南、運(yùn)行和技術(shù)防護(hù)手段 構(gòu)成的具有自主創(chuàng)新能力和拓展能 力的安全體系，保障公司 “ 做世界一 流企業(yè) ” 新跨越戰(zhàn)略的實(shí)施。 網(wǎng)絡(luò)與信息安全保障體系 中國移動網(wǎng)絡(luò)與信息安全保障體系 技術(shù)及防 護(hù)支撐手段 安全 運(yùn)行 管理規(guī)定 和技術(shù)指南 安全 組織架構(gòu) 制定 執(zhí)行 支撐 基于 運(yùn)用 建立 中移動網(wǎng)絡(luò)與信息安全體系培訓(xùn) （面向操作層） 網(wǎng)絡(luò)安全處 2006年 12月 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動信息安全管理體系介紹 中移動網(wǎng)絡(luò)與信息安全總綱 安全事件分布 安全事件的損失 安全威脅方的分布 獨(dú)立黑客：黑客攻擊越來越頻繁，直接 影響企業(yè)正常的業(yè)務(wù)運(yùn)作！ 內(nèi)部員工： 1、信息安全意識薄弱的員工誤用、濫用等； 2、越權(quán)訪問，如：系統(tǒng)管理員，應(yīng)用管理員越權(quán)訪問數(shù)據(jù)； 3、政治言論發(fā)表、非法站點(diǎn)的訪問等； 4、內(nèi)部不穩(wěn)定、情緒不滿的員工。如：員工離職帶走企業(yè)秘密，尤其是企業(yè)內(nèi)部高層流動、集體流動等！ 競爭對手：法制環(huán)境不健全，行業(yè)不正當(dāng)競爭（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）！ 國外政府或機(jī)構(gòu)：法制環(huán)境不健全，行業(yè)不正當(dāng)競爭（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）！ 企業(yè)面臨的主要信息安全問題 人員問題： 信息安全意識薄弱的員工誤操作、誤設(shè)置造成系統(tǒng)宕機(jī)、數(shù)據(jù)丟失，信息泄漏等問題 特權(quán)人員越權(quán)訪問，如：系統(tǒng)管理員，應(yīng)用管理員越權(quán)訪問、傳播敏感數(shù)據(jù) 內(nèi)部員工和即將離職員工竊取企業(yè)秘密，尤其是骨干員工流動、集體流動等 技術(shù)問題： 病毒和黑客攻擊越來越多、爆發(fā)越來越頻繁，直接影響企業(yè)正常的業(yè)務(wù)運(yùn)作 法律方面 網(wǎng)絡(luò)濫用：員工發(fā)表政治言論、訪問非法網(wǎng)站 法制不健全，行業(yè)不正當(dāng)競爭（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)） 信息安全事件回放（一） 全國最大的網(wǎng)上盜竊通訊資費(fèi)案 某合作方工程師，負(fù)責(zé)某電信運(yùn)營商的設(shè)備安裝。獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權(quán)限 從 2005年 2月開始，復(fù)制出了 14000個充值密碼。獲利 380萬。 2005年 7月 16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。 無法充值的原因是他最后盜取的那批密碼忘記了修改有效日期 反思：目前是否有類似事件等待進(jìn)一步發(fā)現(xiàn) 對第三方的有效安全管理規(guī)范缺失 信息安全事件回放（二） 北京 ADSL斷網(wǎng)事件 2006年 7月 12日 14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。 事故原因：路由器軟件設(shè)置發(fā)生故障，直接導(dǎo)致了這次大面積斷網(wǎng)現(xiàn)象。 事故分析：操作設(shè)備的過程中操作失誤或軟件不完善屬于“天災(zāi)”，但問題出現(xiàn)后不及時恢復(fù)和彌補(bǔ)，這就涉及人為的因素了，實(shí)際上這也是可以控制的。 需制定實(shí)施的業(yè)務(wù)連續(xù)性管理體系 信息安全事件回放（三） 希臘總理手機(jī)被竊聽，沃達(dá)豐總裁遭傳喚 早在 2004年雅典奧運(yùn)會之前，希臘高官們的手機(jī)便已開始被第三方竊聽 ， 2006年 3月份才被發(fā)現(xiàn)。 事故原因：沃達(dá)豐（希臘）公司的中央服務(wù)系統(tǒng)被安裝了間諜軟件 制定嚴(yán)格的核心操作系統(tǒng)訪問控制流程 信息安全事件（四） 兩名電信公司員工利用職務(wù)上的便利篡改客戶資料，侵吞 ADSL寬帶用戶服務(wù)費(fèi) 76.7萬余元 事故原因：內(nèi)部安全管理缺失 缺乏有效的內(nèi)控措施和定期審計 對信息安全問題產(chǎn)生過程的認(rèn)識 環(huán)境 威脅 方 資產(chǎn) 系統(tǒng)漏洞 管理漏洞 物理漏洞 威脅（破壞或?yàn)E用） 利用 工具 通過 中移動網(wǎng)絡(luò)與信息安全體系建立緊迫性 李躍總的講話 安全問題已時不我待。我所講的安全問題還不是黑客和防病毒，只講我們自身的工作安全。 從全球及我們自身看，網(wǎng)絡(luò)安全的形式非常嚴(yán)峻 進(jìn)入網(wǎng)管中心或者通過網(wǎng)管中心進(jìn)入各生產(chǎn)網(wǎng)元，一定要實(shí)行有效的多次密碼認(rèn)證的管理，嚴(yán)格管理每一次進(jìn)入。 對 內(nèi)部人員的登陸要有嚴(yán)格的管理規(guī)定，后臺操作要留有痕跡。不能光管外人不管自己。（重在管理，其次是手段） 對外來人員的進(jìn)入，我們一定要限人、限時、限范圍，明確進(jìn)入的時間、進(jìn)入的目的。誰放廠家的人進(jìn)去誰就要負(fù)責(zé)檢查，并做好記錄，要承擔(dān)起核心設(shè)備網(wǎng)元的管理權(quán)，出了問題要承擔(dān)責(zé)任。 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動信息安全管理體系介紹 中移動網(wǎng)絡(luò)與信息安全總綱 中移動網(wǎng)絡(luò)與信息安全建設(shè)總體思路 基于信息安全管理國際標(biāo)準(zhǔn) BS7799/ISO17799 綜合顧問的管理和技術(shù)經(jīng)驗(yàn)，結(jié)合公司現(xiàn)有的信息安全管理措施 以公司信息安全現(xiàn)狀為基礎(chǔ)，充分考慮了公司所存在的信息安全風(fēng)險 參考國外業(yè)界最佳實(shí)踐，同時考慮國內(nèi)的管理和法制環(huán)境 中移動網(wǎng)絡(luò)與信息安全的目標(biāo) 為中國移動的網(wǎng)絡(luò)與信息安全管理工作建立科學(xué)的體系，確保安全控制措施落實(shí)到位，為各項業(yè)務(wù)的安全運(yùn)行提供保障。 目前公司網(wǎng)絡(luò)與信息安全工作的重點(diǎn)集中在可用性、保密性和可審查性。 可用性 完整性 保密性 防抵賴性 可審查性 保證公司業(yè)務(wù)運(yùn)作的連續(xù)性，即使在遭受意外的情況下也可迅速恢復(fù) 關(guān)鍵信息資產(chǎn)的使用都必須經(jīng)過授權(quán)，只有得到相應(yīng)授權(quán)的人員才可使用網(wǎng)絡(luò)和保密信息 任何對公司業(yè)務(wù)運(yùn)作的威脅和破壞行為都得到記錄，并能跟蹤和追查 中移動信息安全建設(shè)原則與總體策略 安全管理流程、制度和安全控制措施的設(shè)計應(yīng)基于風(fēng)險分析，而不應(yīng)基于信任管理 權(quán)限制衡和監(jiān)督原則：安全管理人員和網(wǎng)絡(luò)管理人員、主機(jī)管理人員相互制約 作為國家基礎(chǔ)設(shè)施提供商，其網(wǎng)絡(luò)與信息安全工作目前必須圍繞公司業(yè)務(wù)目標(biāo)開展； 網(wǎng)絡(luò)與信息安全管理工作應(yīng)以風(fēng)險管理為基礎(chǔ)，在安全、效率和成本之間均衡考慮； 全面防范，突出重點(diǎn) 高層牽頭 領(lǐng)導(dǎo)負(fù)責(zé) 全員參與 專人管理 中移動網(wǎng)絡(luò)與信息安全策略架構(gòu) 國家政策要求 企業(yè)發(fā)展戰(zhàn)略 國內(nèi)外標(biāo)準(zhǔn) 安全評估結(jié)果 技術(shù)規(guī)范 管理規(guī)范 操作手冊 和具體系統(tǒng)相結(jié)合 流程、細(xì)則 和具體系統(tǒng)相結(jié)合 第一層 第二層 第三層 安全域劃分技術(shù)規(guī)范、IP專網(wǎng)接入安全要求、安全產(chǎn)品測試規(guī)范 帳號口令安全管理辦法、終端安全管理辦法 網(wǎng)絡(luò)與信息安全體系總綱 從宏觀方針到微觀操作 , 建立了包含三個層面的安全制度體系 信息安全管理組織體系模型 信息安全決策層 決策、規(guī)劃、保證機(jī)制 信息安全管理層 安全管理、工程、保證管理 信息安全操作層 運(yùn)行、實(shí)施、保證 建立垂直組織 明確崗位職責(zé) 貫徹分權(quán)制衡原則 提高任職資格 建立關(guān)鍵崗位人員選拔制度 加強(qiáng)安全績效考核 中移動網(wǎng)絡(luò)與信息安全組織體系 集團(tuán)公司網(wǎng)絡(luò) 信息安全領(lǐng)導(dǎo)小組 集團(tuán)公司網(wǎng)絡(luò) 信息安全辦公室 集團(tuán)網(wǎng)絡(luò)信息 安全小組 各省公司網(wǎng)絡(luò) 信息安全領(lǐng)導(dǎo)小組 各省公司網(wǎng)絡(luò) 信息安全辦公室 各省網(wǎng)絡(luò)信息 安全小組 決策層 管理層 執(zhí)行層 集團(tuán)公司 省公司 在總部和省公司建立了三層網(wǎng)絡(luò)安全管理組織； 集團(tuán)副總裁為集團(tuán)領(lǐng)導(dǎo)小組組長，各部門總經(jīng)理為小組成員； 集團(tuán)公司網(wǎng)絡(luò)信息安全辦公室設(shè)在網(wǎng)絡(luò)部。 組織架構(gòu) 網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組 網(wǎng)絡(luò)部 業(yè)務(wù)支撐系統(tǒng)部 管理信息系統(tǒng)部 網(wǎng)絡(luò)安全辦公室 網(wǎng)絡(luò)部 業(yè)務(wù)支撐系統(tǒng)部 管理信息系統(tǒng)部 集團(tuán) 省公司 為了進(jìn)一步加強(qiáng)公司的網(wǎng)絡(luò)安全工作，在網(wǎng)絡(luò)部設(shè)立了網(wǎng)絡(luò)安全處，負(fù)責(zé)推動公司層面的各項網(wǎng)絡(luò)安全工作落實(shí)。 公司的安全管理，跨部門工作協(xié)調(diào)，組織落實(shí)公司范圍的各項安全工作。 . . 信息安全管理框架 信息安全目標(biāo) 組 織 信息資產(chǎn)分類與控制 職員的安全管理 物理環(huán)境的安全 業(yè)務(wù)連續(xù)性管理 通信和操作安全 訪問控制 系統(tǒng)開發(fā)與維護(hù) 總體策略 中移動網(wǎng)絡(luò)與信息安全體系總綱 物理及環(huán)境安全 網(wǎng)絡(luò)與信息資產(chǎn)管理 通信和運(yùn)營管理的安全 網(wǎng)絡(luò)與信息系統(tǒng) 的訪問控制 系統(tǒng)開發(fā) 與軟件維護(hù)的安全 安全事件響應(yīng) 及業(yè)務(wù)連續(xù)性管理 安全審計 組織與人員 國家政策要求 企業(yè)發(fā)展戰(zhàn)略 國內(nèi)外標(biāo)準(zhǔn) 安全評估結(jié)果 技術(shù)規(guī)范 管理規(guī)范 操作手冊 和具體系統(tǒng)相結(jié)合 流程、細(xì)則 和具體系統(tǒng)相結(jié)合 第一層 第二層 第三層 安全域劃分技術(shù)規(guī)范、IP專網(wǎng)接入安全要求、安全產(chǎn)品測試規(guī)范 帳號口令安全管理辦法、終端安全管理辦法 網(wǎng)絡(luò)與信息安全體系總綱 從宏觀方針到微觀操作 , 建立了包含三個層面的安全制度體系 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動信息安全管理體系介紹 中移動網(wǎng)絡(luò)與信息安全總綱 信息資產(chǎn)分類與控制 根據(jù)信息資產(chǎn)的價值、保密性、可用性、弱點(diǎn)、威脅，對信息資產(chǎn)及其風(fēng)險進(jìn)行賦值，確定保護(hù)的優(yōu)先級和強(qiáng)度 信息的銷毀公共場所會議的安全傳真與電話信息發(fā)布 傳送對外提供存儲和備份拷貝和打印授權(quán)使用密級標(biāo)識信息人員的安全管理體系架構(gòu) 人員選拔 員工 外部人員 培訓(xùn) 獎懲 法律 宣傳 物理控制 技術(shù)保障 物理及其環(huán)境安全體系架構(gòu) 物理及環(huán)境安全 介質(zhì)安全 設(shè)備安全 場地安全 場地安全保障 區(qū)域劃分 出入控制 工作區(qū)辦公 物流 人流 設(shè)備維護(hù) 電源 線纜 設(shè)備選址 銷毀 使用 存放 介質(zhì)申請 系統(tǒng)運(yùn)作管理體系架構(gòu) 權(quán)限管理 轉(zhuǎn)產(chǎn)安全管理 變更管理 問題管理 監(jiān)控 系統(tǒng)維護(hù)管理 系統(tǒng) 人員 設(shè)備 系統(tǒng)開發(fā) 業(yè)務(wù)連續(xù)性計劃 建 立 數(shù) 據(jù) 中 心的 異 地 備 份建 立 I T 的 災(zāi) 難恢 復(fù) 程 序業(yè) 務(wù) （ 生 產(chǎn) 、 采購 、 研 發(fā) 等 ） 的 應(yīng)急 和 恢 復(fù) 計 劃緊 急演 練 根據(jù)業(yè)務(wù)重要程度、優(yōu)先級制訂災(zāi)難恢復(fù)計劃 建立安全事故處理流程 對關(guān)鍵的業(yè)務(wù)系統(tǒng)要建立異地數(shù)據(jù)備份 對關(guān)鍵業(yè)務(wù)系統(tǒng)建立熱備份 定期檢查備份系統(tǒng)和設(shè)備 進(jìn)行緊急事故響應(yīng)演練 審計監(jiān)控體系 監(jiān)控 信息流 人流、物流 審計 安全策略和控制措施中技術(shù)層面的落實(shí)情況 對制度、流程合理性和執(zhí)行情況審計 信息監(jiān)控 將信息流的出口及關(guān)鍵節(jié)點(diǎn)設(shè)立為監(jiān)控點(diǎn) 把監(jiān)控點(diǎn)上的信息訪問、信息流動等記錄集中上報到信息安全監(jiān)控中心 信息安全監(jiān)控中心集中分析，區(qū)分不同性質(zhì)的行為，分別啟動預(yù)警、緊急處理、事后追蹤處理等程序 由人工“前臺”檢查轉(zhuǎn)為后臺自動監(jiān)控 人工的審計監(jiān)控作為集中自動監(jiān)控的補(bǔ)充 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動信息安全管理體系介紹 中移動網(wǎng)絡(luò)與信息安全總綱 角色責(zé)任與執(zhí)行 NISS的執(zhí)行 基于中移動網(wǎng)絡(luò)與信息安全體系總綱，將形成一系列二層的信息安全管理規(guī)定。 帳號口令安全管理辦法 終端安全管理辦法 病毒防制相關(guān)規(guī)定 信息安全保密相關(guān)規(guī)定 管理者的責(zé)任 責(zé)任清晰 各級部門的一把手是本部門信息安全的第一責(zé)任人 負(fù)責(zé)信息安全管理規(guī)定在本部門的推行和落實(shí) 對本部門人員的違規(guī)事件承擔(dān)領(lǐng)導(dǎo)責(zé)任和連帶處罰 如何管理 各部門主管首先需要以身作則，帶頭遵守公司各項信息安全規(guī)定 要在部門的各種場合向部門強(qiáng)調(diào)和灌輸信息安全保密意識 在本部門指定專門的人員負(fù)責(zé)信息安全工作 在部門內(nèi)持續(xù)不斷的進(jìn)行信息安全宣傳、檢查 對本部門人員的違規(guī)行為應(yīng)嚴(yán)肅對待，不姑息，不袒護(hù) 普通員工的責(zé)任 嚴(yán)格遵守和執(zhí)行公司各類信息安全管理規(guī)定和流程制度以及安全方面的有關(guān)措施 有義務(wù)制止他人違規(guī)行為或及時向信息安全部反饋可能造成泄密、竊密或其他安全隱患 如何避免信息安全違規(guī) 首先需要每個員工有強(qiáng)烈的安全意識 積極學(xué)習(xí)公司的各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己的日常工作行為中 信息安全違規(guī)的處理原則 根據(jù)違規(guī)行為的后果、性質(zhì)以及違規(guī)人的主觀意愿對違規(guī)行為和處罰分級 對違反信息安全管理規(guī)定者，如其主管明顯管理和指導(dǎo)不力須承擔(dān)連帶責(zé)任 對在信息安全管理制度和措施上貫徹、監(jiān)控不力、權(quán)限審核不當(dāng)，造成安全制度和措施難以落實(shí)、部門安全管理工作混亂的部門主管，須承擔(dān)領(lǐng)導(dǎo)責(zé)任 常用信息安全管理規(guī)定舉例（一） 簽署保密協(xié)議 進(jìn)入公司 個人計算機(jī)安全管理 網(wǎng)絡(luò)連接 信息系統(tǒng)使用 外部人員安全管理規(guī)定 對外接待管理規(guī)定 xx . . 辦公環(huán)境安全管理 信息安全保密管理規(guī)定 病毒防治管理 離職協(xié)議 會議信息安全管理規(guī)定 中的帳號和口令標(biāo)準(zhǔn) 病毒防制相關(guān)規(guī)定 普通用戶要求 必須安裝公司規(guī)定的防毒軟件 實(shí)時運(yùn)行，定期查殺 不得安裝標(biāo)準(zhǔn)之外的防毒軟件 任何個人不得私自發(fā)布計算機(jī)病毒疫情 收到來歷不明的郵件處理方法 EMAIL EMAIL EMAIL EMAIL 這郵件是誰發(fā)的？不知是什么東東？管他的，先打開看看。 不要打開，可能有病毒！ 來歷不 明郵件 立刻報告 網(wǎng)絡(luò)安全處 時間 聯(lián)系方式 經(jīng)過 損失 地點(diǎn) 安全工作組來統(tǒng)一 處理 報告時請注意以下幾方面： 常用信息安全管理規(guī)定舉例（二） 簽署保密協(xié)議 進(jìn)入公司 個人計算機(jī)安全管理 網(wǎng)絡(luò)連接 信息系統(tǒng)使用 外部人員安全管理規(guī)定 對外接待管理規(guī)定 xx . . 辦公環(huán)境安全管理 信息安全保密管理規(guī)定 病毒防治管理 離職協(xié)議 會議信息安全管理規(guī)定 中的帳號和口令標(biāo)準(zhǔn) 信息資產(chǎn)分類與控制 保密信息密級 “ 絕密 ” 信息： 是指包含公司最重要和最敏感的信息，關(guān)系公司未來發(fā)展的前途命運(yùn)，對公司根本利益有著決定性影響的信息 “ 機(jī)密 ” 信息： 是指包含公司的重要秘密，其