業(yè)務支撐系統(tǒng)信息安全保障措施交流 中國移動江蘇公司 2016年 7月 11日 目 錄 2 信息安全保障的意義 1 規(guī)范管理，固化流程 3 建立健全審計體系 信息安全整治效果 4 提升信息安全保障能力的探討 5 信息安全保障形勢 今年 4月，央視多個欄目播出了有關手機用戶信息泄露的報道，矛頭直指電信運營商的信息安全管理。 關于移動電話 “ 新聞 30分 ” 記者調(diào)查：是誰泄露了手機用戶個人信息 “ 朝聞天下 ” 誰泄露了手機用戶個人信息 信息安全保障形勢 近年來，移動業(yè)務快速發(fā)展，業(yè)務支撐系統(tǒng)和用戶數(shù)量不斷增加，網(wǎng)絡規(guī)模迅速擴大，信息安全保障方面的措施也急需進一步加強。信息安全工作的完善與否，將 對客戶利益、客戶感知、企業(yè)利益和企業(yè)形象等產(chǎn)生重大影響 。加強業(yè)務支撐系統(tǒng)的數(shù)據(jù)安全管理工作、防止信息泄露事件、保障企業(yè)核心數(shù)據(jù)的安全性，對企業(yè)的發(fā)展有著重要的意義。 客戶感知 客戶利益 企業(yè)利益 企業(yè)形象 信息安全 信息安全保障形勢 針對嚴峻信息安全保障形勢，江蘇公司于 4月份開展了業(yè)務支撐系統(tǒng)信息安全月活動，對業(yè)務支撐系統(tǒng)的各個方面進行了信息安全自查。 信息安全自查 1 2 3 4 從主機、數(shù)據(jù)庫、網(wǎng)絡、應用系統(tǒng)、用戶信息（包括客戶資料、清單、帳單、積分、位置信息等）多個層次進行梳理，列出分、客服等系統(tǒng)中涉及信息安全的方面 分析主機、數(shù)據(jù)庫、網(wǎng)絡、應用系統(tǒng)、用戶信息多個層次的賬號口令管理安全隱患 分析主機、數(shù)據(jù)庫、網(wǎng)絡、應用系統(tǒng)、用戶信息多個層次的外圍接口安全隱患 梳理主機、數(shù)據(jù)庫、網(wǎng)絡、應用系統(tǒng)、用戶信息多個層次日志，查找缺漏部分，加強審計稽核，確保所有操作留痕 信息安全保障形勢 通過自查，我們發(fā)現(xiàn)系統(tǒng)的信息安全隱患突出表現(xiàn)在以下兩個方面： 賬號口令管理存在漏洞 部分用戶所擁有的賬號權限超出了其職責范圍 賬號 審計工作有待加強 對數(shù)據(jù)庫關鍵表的所有用戶未進行 對用戶操作的審計未能及時通報 目 錄 1 信息安全保障的意義 2 規(guī)范管理，固化流程 3 建立健全審計體系 信息安全整治效果 4 提升信息安全保障能力的探討 5 規(guī)范管理，固化流程 為了保障整個業(yè)務支撐系統(tǒng)達到一定的安全管理水平，保證其信息的完整性和機密性，使得任何系統(tǒng)的使用、軟件或者數(shù)據(jù)修改都在系統(tǒng)安全管理人員控制和管理范圍之內(nèi)，我們修訂了 中國移動江蘇公司 ，詳細規(guī)定了賬號管理各相關人員的職責和及賬號審批流程等。 部門領導職責： 負責審批用戶賬號權限的申請、登記和備案工作是否完備，并負責將申請報告轉交給系統(tǒng)管理員進行處理 各 方 職 責 賬號管理員職責： 執(zhí)行部門副經(jīng)理安排的賬號口令維護和管理工作，并負責管理賬號的創(chuàng)建、變更、修改以及撤銷的文檔備案工作 安全審計員職責： 對所有 通報審計結果 用戶職責： 負責對其所使用的賬號提出申請創(chuàng)建、變更、修改和撤消工作 用戶室主任職責： 審核本室申請使用賬號的權限范圍與申請人工作職責相符 操作系統(tǒng)和數(shù)據(jù)庫管理員： 評估賬號變動對系統(tǒng)的影響及用戶賬號的具體操作 賬號管理員室主任職責 : 對申請賬號使用的權限范圍進行評估，確保該賬號使用的安全性 規(guī)范管理，固化流程 賬號審批流程 用戶與所屬部門室主任確定賬號在別及權限，填寫 信息技術系統(tǒng)賬號權限申請表 相關內(nèi)容； 所屬室主任審核批復 信息技術系統(tǒng)賬號權限申請表 ； 賬號管理員室主任審核批復； 系統(tǒng)管理員審核并執(zhí)行相應操作； 信息技術中心領導審核； 賬號管理員嚴格按照審核批復的申請內(nèi)容進行賬號授權和文檔備案。 申 請 人 提 出 賬 號 創(chuàng) 建 申 請賬 號 管 理 員 室 經(jīng) 理 審 批賬 號 管 理 員 審 核系 統(tǒng) 管 理 員 備 案郵 件 通 知 賬 號 申 請 人申 請 人 所 在 室 經(jīng) 理 審 批系 統(tǒng) 管 理 員 創(chuàng) 建 賬 號流 程 結 束申 請 不 合 理申 請 不 合 理申 請 不 規(guī) 范通 過通 過通 過用 戶 賬 號 創(chuàng) 建 流 程規(guī)范管理，固化流程 目前，江蘇公司業(yè)務支撐系統(tǒng)涉及生產(chǎn)主機近 200臺，數(shù)據(jù)庫 80余個，為了更好地對這些主機和數(shù)據(jù)庫上的賬號進行管理，我們在 業(yè)務支撐網(wǎng)網(wǎng)管系統(tǒng)中建立了賬號管理系統(tǒng) ，對賬號審批流程進行電子化管理。用戶只需在賬號管理系統(tǒng)中填寫 信息技術系統(tǒng)賬號權限申請表 并提交申請，該申請就會流轉到相應管理人員處進行審批、授權。 規(guī)范管理，固化流程 申請賬號創(chuàng)建的審批表 可以看到審批的各個環(huán)節(jié)，如果未通過審批則會在相應的環(huán)節(jié)有說明 規(guī)范管理，固化流程 當申請通過審批后，就能在 “ 賬號總攬 ” 的樹形結構圖中看到該賬號，點擊賬號名，在右側的頁面中就可以看到該賬號的相關屬性：賬號名稱、賬號類型、賬號描述、創(chuàng)建時間和鎖定情況，賬號使用者情況也在 “ 賬號使用者列表 ” 中一目了然。 目 錄 1 信息安全保障的意義 3 規(guī)范管理，固化流程 2 建立健全審計體系 信息安全整治效果 4 提升信息安全保障能力的探討 5 建立健全審計體系 在信息安全保障中，僅僅保證了登錄系統(tǒng)的都是授權用戶還是不夠的，我們還保證授權用戶的操作是合理的。 江蘇公司建立了安全審計平臺系統(tǒng)，要登陸所有的生產(chǎn)主機和數(shù)據(jù)庫都必須通過審計平臺登陸， 由審計平臺記錄登陸用戶的操作。 安全審計平臺的賬號實行實名制，登陸方式為 “ 用戶名 ” +“用戶指紋 ” ，確保登陸的用戶為用戶本人。 建立健全審計體系 審計平臺可以配置受限命令，如 操作系統(tǒng)： 數(shù)據(jù)庫： 審計平臺可以記錄登陸用戶的所有操作，如 操作系統(tǒng)： 數(shù)據(jù)庫： 建立健全審計體系 檢查重點： 針對關鍵表的數(shù)據(jù)庫訪問 審計報告： 分別按數(shù)據(jù)庫對象和組織統(tǒng)計數(shù)據(jù)庫表的被訪問情況和人員對數(shù)據(jù)庫表的訪問情況 ，檢查結果報告通過 各相關專業(yè)室審閱審計報告，確認專業(yè)室人員的操作與職責相符。 頻次： 每旬一次檢查 1 2 3 審計日志審查 建立健全審計體系 針對關鍵表的數(shù)據(jù)庫訪問審計總體情況： 建立健全審計體系 按數(shù)據(jù)庫對象統(tǒng)計操作： 建立健全審計體系 按人員統(tǒng)計操作： 建立健全審計體系 檢查結果報告通過相關專業(yè)室審閱審計報告，確認專業(yè)室人員的操作與職責相符。 目 錄 1 信息安全保障的意義 4 規(guī)范管理，固化流程 2 建立健全審計體系 信息安全整治效果 3 提升信息安全保障能力的探討 5 信息安全整治效果 江蘇公司主機和數(shù)據(jù)庫賬號實現(xiàn)了電子化的管理，申請、審批和授權均有相應的電子化流程，對賬號的使用人做到了有效的管理。 通過審計平臺的建設，對主機和數(shù)據(jù)庫賬號用戶的操作做到了有效監(jiān)控，對預防授權用戶的非法操作起到了良好的作用。 對自查中發(fā)現(xiàn)的其他問題，均制定了相應的改進計劃，有相應的專業(yè)室牽頭改進。對梳理出來的 48各改進點，完成了 30個子項的改進目標，其余 18個子項的后繼改進計劃也正在實行中。 信息安全整治效果 針對梳理出來的需要完善和加固的改進點，各專業(yè)室明確了牽頭負責人及相關配合人員，制定了具體的實施計劃。 目 錄 1 信息安全保障的意義 5 規(guī)范管理，固化流程 2 建立健全審計體系 信息安全整治效果 3 提升信息安全保障能力的探討 4 提升信息安全保障能力的探討 隨著移動業(yè)務的發(fā)展，業(yè)務支撐系統(tǒng)也是在不斷變化之中的，信息安全所面臨的問題也會隨之變化； 公司 “ 正德厚生，臻于至善 ” 的核心價值觀，也要求我們在信息安全領域不斷完善保障措施。 提升信息安全保障能力的探討 一、大量賬號的管理 江蘇公司業(yè)務支撐系統(tǒng)中 主機和數(shù)據(jù)庫賬號的規(guī)模在 4500左右 （該數(shù)目還在增長中），如何保證所有的賬號均納入管理、保證每個生產(chǎn)賬號都有責任人負責？ 目前我們的做法是 在賬號管理系統(tǒng)中增加賬號比對功能，將系統(tǒng)中的賬號與納入管理的賬號進行比對 ，從而保證無私自開設的賬號。該功能已能實現(xiàn)逐臺主機和逐個數(shù)據(jù)庫的賬號撈取，依靠人工進行比對， 批量撈取與比對正在開發(fā)中 。 用戶登陸審計平臺后，輸入賬號口令即可登陸相應的主機和數(shù)據(jù)庫，存在賬號口令被未授權的審計平臺用戶使用的隱患。 目前， 我們公司正計劃推廣審計平臺的 “ 單點登陸 ” 系統(tǒng)，用戶在審計平臺中只可使用 “ 應用程序資源列表 ” 中列出的工具（如 且可訪問的資源均已由賬號管理員根據(jù)審批表進行了配置 。這樣，對用戶而言， 申請了賬號后無需知道賬號口令就可以訪問相應的系統(tǒng) ，將有效避免賬號口令泄露造成的安全隱患。 提升信息安全保障能力的探討 二、授權用戶的登陸控制 提升信息安全保障能力的探討 三、系統(tǒng)功能上線時的信息安全保障 由于業(yè)務發(fā)展的需要，業(yè)務支撐系統(tǒng)需要不時地進行功能上線，上線時需要廠方人員做配合， 如何控制廠方人員的權限以避免信息安全事故 ，一直是我們所關心的。 上 線 負 責 人通 過 O V S D 工 單 提 出 申 請使 用 期 限 到 ？賬 號 管 理 室 經(jīng) 理 審 批 賬 號 管 理 員 提 供 賬 號賬 號 管 理 員修 改 密 碼 ， 回 收 賬 號申 請 不 合 理通 過是上 線 臨 時 賬 號 申 請 過 程通 知 賬 號 負 責 人上 線 負 責 人 使 用 賬 號否大規(guī)模功能上線時，賬號的申請、授權和回收的工作量就會變得很大，由于涉及密碼的修改，當需要回退時會對業(yè)務的處理產(chǎn)生一定影響。 提升信息安全保障能力