中國移動(dòng)網(wǎng)絡(luò)與信息安全保障體系

目標(biāo)： 對(duì)涉及公司運(yùn)營的所有信息資產(chǎn)（對(duì)通信網(wǎng)業(yè)務(wù)系統(tǒng)、 各支撐系統(tǒng)網(wǎng)絡(luò)、以及市場、財(cái)務(wù)、研發(fā)、人力的各類重要信息）進(jìn)行保護(hù)，保障公司 “ 新跨越戰(zhàn)略 ” 實(shí)施，保護(hù)公司的核心競爭力。 指導(dǎo)思想： 以風(fēng)險(xiǎn)管理為核心， 預(yù)防為主，技術(shù)手段為支撐， 圍繞信息和信息系統(tǒng)生命周期， 逐步建立由安全組織、管理規(guī)定 和技術(shù)指南、運(yùn)行和技術(shù)防護(hù)手段 構(gòu)成的具有自主創(chuàng)新能力和拓展能 力的安全體系，保障公司 “ 做世界一 流企業(yè) ” 新跨越戰(zhàn)略的實(shí)施。 網(wǎng)絡(luò)與信息安全保障體系 中國移動(dòng)網(wǎng)絡(luò)與信息安全保障體系 技術(shù)及防 護(hù)支撐手段 安全 運(yùn)行 管理規(guī)定 和技術(shù)指南 安全 組織架構(gòu) 制定 執(zhí)行 支撐 基于 運(yùn)用 建立 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動(dòng)信息安全管理體系介紹 中移動(dòng)網(wǎng)絡(luò)與信息安全總綱 安全事件分布 安全事件的損失 安全威脅方的分布 獨(dú)立黑客：黑客攻擊越來越頻繁，直接 影響企業(yè)正常的業(yè)務(wù)運(yùn)作！ 內(nèi)部員工： 1、信息安全意識(shí)薄弱的員工誤用、濫用等； 2、越權(quán)訪問，如：系統(tǒng)管理員，應(yīng)用管理員越權(quán)訪問數(shù)據(jù)； 3、政治言論發(fā)表、非法站點(diǎn)的訪問等； 4、內(nèi)部不穩(wěn)定、情緒不滿的員工。如：員工離職帶走企業(yè)秘密，尤其是企業(yè)內(nèi)部高層流動(dòng)、集體流動(dòng)等！ 競爭對(duì)手：法制環(huán)境不健全，行業(yè)不正當(dāng)競爭（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）！ 國外政府或機(jī)構(gòu)：法制環(huán)境不健全，行業(yè)不正當(dāng)競爭（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）！ 企業(yè)面臨的主要信息安全問題 人員問題： 信息安全意識(shí)薄弱的員工誤操作、誤設(shè)置造成系統(tǒng)宕機(jī)、數(shù)據(jù)丟失，信息泄漏等問題 特權(quán)人員越權(quán)訪問，如：系統(tǒng)管理員，應(yīng)用管理員越權(quán)訪問、傳播敏感數(shù)據(jù) 內(nèi)部員工和即將離職員工竊取企業(yè)秘密，尤其是骨干員工流動(dòng)、集體流動(dòng)等 技術(shù)問題： 病毒和黑客攻擊越來越多、爆發(fā)越來越頻繁，直接影響企業(yè)正常的業(yè)務(wù)運(yùn)作 法律方面 網(wǎng)絡(luò)濫用：員工發(fā)表政治言論、訪問非法網(wǎng)站 法制不健全，行業(yè)不正當(dāng)競爭（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)） 信息安全事件回放（一） 全國最大的網(wǎng)上盜竊通訊資費(fèi)案 某合作方工程師，負(fù)責(zé)某電信運(yùn)營商的設(shè)備安裝。獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權(quán)限 從 2005年 2月開始，復(fù)制出了 14000個(gè)充值密碼。獲利 380萬。 2005年 7月 16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報(bào)警。 無法充值的原因是他最后盜取的那批密碼忘記了修改有效日期 反思：目前是否有類似事件等待進(jìn)一步發(fā)現(xiàn) 對(duì)第三方的有效安全管理規(guī)范缺失 信息安全事件回放（二） 北京 ADSL斷網(wǎng)事件 2006年 7月 12日 14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。 事故原因：路由器軟件設(shè)置發(fā)生故障，直接導(dǎo)致了這次大面積斷網(wǎng)現(xiàn)象。 事故分析：操作設(shè)備的過程中操作失誤或軟件不完善屬于“天災(zāi)”，但問題出現(xiàn)后不及時(shí)恢復(fù)和彌補(bǔ)，這就涉及人為的因素了，實(shí)際上這也是可以控制的。 需制定實(shí)施的業(yè)務(wù)連續(xù)性管理體系 信息安全事件回放（三） 希臘總理手機(jī)被竊聽，沃達(dá)豐總裁遭傳喚 早在 2004年雅典奧運(yùn)會(huì)之前，希臘高官們的手機(jī)便已開始被第三方竊聽 ， 2006年 3月份才被發(fā)現(xiàn)。 事故原因：沃達(dá)豐（希臘）公司的中央服務(wù)系統(tǒng)被安裝了間諜軟件 制定嚴(yán)格的核心操作系統(tǒng)訪問控制流程 信息安全事件（四） 兩名電信公司員工利用職務(wù)上的便利篡改客戶資料，侵吞 ADSL寬帶用戶服務(wù)費(fèi) 76.7萬余元 事故原因：內(nèi)部安全管理缺失 缺乏有效的內(nèi)控措施和定期審計(jì) 對(duì)信息安全問題產(chǎn)生過程的認(rèn)識(shí) 環(huán)境 威脅 方 資產(chǎn) 系統(tǒng)漏洞 管理漏洞 物理漏洞 威脅（破壞或?yàn)E用） 利用 工具 通過 中移動(dòng)網(wǎng)絡(luò)與信息安全體系建立緊迫性 李躍總的講話 安全問題已時(shí)不我待。我所講的安全問題還不是黑客和防病毒，只講我們自身的工作安全。 從全球及我們自身看，網(wǎng)絡(luò)安全的形式非常嚴(yán)峻 進(jìn)入網(wǎng)管中心或者通過網(wǎng)管中心進(jìn)入各生產(chǎn)網(wǎng)元，一定要實(shí)行有效的多次密碼認(rèn)證的管理，嚴(yán)格管理每一次進(jìn)入。 對(duì) 內(nèi)部人員的登陸要有嚴(yán)格的管理規(guī)定，后臺(tái)操作要留有痕跡。不能光管外人不管自己。（重在管理，其次是手段） 對(duì)外來人員的進(jìn)入，我們一定要限人、限時(shí)、限范圍，明確進(jìn)入的時(shí)間、進(jìn)入的目的。誰放廠家的人進(jìn)去誰就要負(fù)責(zé)檢查，并做好記錄，要承擔(dān)起核心設(shè)備網(wǎng)元的管理權(quán)，出了問題要承擔(dān)責(zé)任。 信息安全是信息服務(wù)提供商的核心保證 一個(gè)不安全的網(wǎng)絡(luò)，將不可能提供高質(zhì)量的信息服務(wù) 信息服務(wù)必須讓客戶可信任 解決信息安全問題的關(guān)鍵 建立一個(gè)完善的信息安全管理體系 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動(dòng)信息安全管理體系介紹 中移動(dòng)網(wǎng)絡(luò)與信息安全總綱 中移動(dòng)網(wǎng)絡(luò)與信息安全建設(shè)總體思路 基于信息安全管理國際標(biāo)準(zhǔn) BS7799/ISO17799 綜合顧問的管理和技術(shù)經(jīng)驗(yàn)，結(jié)合公司現(xiàn)有的信息安全管理措施 以公司信息安全現(xiàn)狀為基礎(chǔ)，充分考慮了公司所存在的信息安全風(fēng)險(xiǎn) 參考國外業(yè)界最佳實(shí)踐，同時(shí)考慮國內(nèi)的管理和法制環(huán)境 中移動(dòng)網(wǎng)絡(luò)與信息安全的目標(biāo) 為中國移動(dòng)的網(wǎng)絡(luò)與信息安全管理工作建立科學(xué)的體系，確保安全控制措施落實(shí)到位，為各項(xiàng)業(yè)務(wù)的安全運(yùn)行提供保障。 目前公司網(wǎng)絡(luò)與信息安全工作的重點(diǎn)集中在可用性、保密性和可審查性。 可用性 保密性 可審查性 確保被授權(quán)用戶能夠在需要時(shí)獲取網(wǎng)絡(luò)與信息資產(chǎn)。 關(guān)鍵信息資產(chǎn)的使用都必須經(jīng)過授權(quán)，只有得到相應(yīng)授權(quán)的人員才可使用網(wǎng)絡(luò)和保密信息 任何對(duì)公司業(yè)務(wù)運(yùn)作的威脅和破壞行為都得到記錄，并能跟蹤和追查 中移動(dòng)信息安全建設(shè)原則與總體策略 安全管理流程、制度和安全控制措施的設(shè)計(jì)應(yīng)基于風(fēng)險(xiǎn)分析，而不應(yīng)基于信任管理 權(quán)限制衡和監(jiān)督原則：安全管理人員和網(wǎng)絡(luò)管理人員、主機(jī)管理人員相互制約 作為國家基礎(chǔ)設(shè)施提供商，其網(wǎng)絡(luò)與信息安全工作目前必須圍繞公司業(yè)務(wù)目標(biāo)開展； 網(wǎng)絡(luò)與信息安全管理工作應(yīng)以風(fēng)險(xiǎn)管理為基礎(chǔ)，在安全、效率和成本之間均衡考慮； 全面防范，突出重點(diǎn) 高層牽頭 領(lǐng)導(dǎo)負(fù)責(zé) 全員參與 專人管理 中移動(dòng)網(wǎng)絡(luò)與信息安全策略架構(gòu) 國家政策要求 企業(yè)發(fā)展戰(zhàn)略 國內(nèi)外標(biāo)準(zhǔn) 安全評(píng)估結(jié)果 技術(shù)規(guī)范 管理規(guī)范 操作手冊 和具體系統(tǒng)相結(jié)合 流程、細(xì)則 和具體系統(tǒng)相結(jié)合 第一層 第二層 第三層 安全域劃分技術(shù)規(guī)范、IP專網(wǎng)接入安全要求、安全產(chǎn)品測試規(guī)范 帳號(hào)口令安全管理辦法、終端安全管理辦法 網(wǎng)絡(luò)與信息安全體系總綱 從宏觀方針到微觀操作, 建立了包含三個(gè)層面的安全制度體系 信息安全管理組織體系模型 信息安全決策層 決策、規(guī)劃、保證機(jī)制 信息安全管理層 安全管理、工程、保證管理 信息安全操作層 運(yùn)行、實(shí)施、保證 建立垂直組織 明確崗位職責(zé) 貫徹分權(quán)制衡原則 提高任職資格 建立關(guān)鍵崗位人員選拔制度 加強(qiáng)安全績效考核 中移動(dòng)網(wǎng)絡(luò)與信息安全組織體系 集團(tuán)公司網(wǎng)絡(luò) 信息安全領(lǐng)導(dǎo)小組 集團(tuán)公司網(wǎng)絡(luò) 信息安全辦公室 集團(tuán)網(wǎng)絡(luò)信息 安全小組 各省公司網(wǎng)絡(luò) 信息安全領(lǐng)導(dǎo)小組 各省公司網(wǎng)絡(luò) 信息安全辦公室 各省網(wǎng)絡(luò)信息 安全小組 決策層 管理層 執(zhí)行層 集團(tuán)公司 省公司 在總部和省公司建立了三層網(wǎng)絡(luò)安全管理組織； 集團(tuán)副總裁為集團(tuán)領(lǐng)導(dǎo)小組組長，各部門總經(jīng)理為小組成員； 集團(tuán)公司網(wǎng)絡(luò)信息安全辦公室設(shè)在網(wǎng)絡(luò)部。 集團(tuán)公司組織架構(gòu) 網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組 網(wǎng)絡(luò)部 業(yè)務(wù)支撐系統(tǒng)部 管理信息系統(tǒng)部 網(wǎng)絡(luò)安全辦公室 網(wǎng)絡(luò)部 業(yè)務(wù)支撐系統(tǒng)部 管理信息系統(tǒng)部 集團(tuán) 省公司 為了進(jìn)一步加強(qiáng)公司的網(wǎng)絡(luò)安全工作，在網(wǎng)絡(luò)部設(shè)立了網(wǎng)絡(luò)安全處，負(fù)責(zé)推動(dòng)公司層面的各項(xiàng)網(wǎng)絡(luò)安全工作落實(shí)。 公司的安全管理，跨部門工作協(xié)調(diào)，組織落實(shí)公司范圍的各項(xiàng)安全工作。 . . 廣西公司組織架構(gòu) 網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組 網(wǎng)絡(luò)部 信息系統(tǒng)部 運(yùn)營支撐中心 網(wǎng)絡(luò)安全辦公室 網(wǎng)絡(luò)與信息安全辦公室負(fù)責(zé)公司具體的網(wǎng)絡(luò)與信息安全工作 ，落實(shí)公司層面的各項(xiàng)網(wǎng)絡(luò)安全政策，牽頭部門為網(wǎng)絡(luò)部。 公司的安全管理，跨部門工作協(xié)調(diào)，組織落實(shí)公司范圍的各項(xiàng)安全工作。 . . . 網(wǎng)絡(luò)運(yùn)營中 心 信息安全管理框架 信息安全目標(biāo) 組 織 信息資產(chǎn)分類與控制 職員的安全管理 物理環(huán)境的安全 業(yè)務(wù)連續(xù)性管理 通信和操作安全 訪問控制 系統(tǒng)開發(fā)與維護(hù) 總體策略 中移動(dòng)網(wǎng)絡(luò)與信息安全體系總綱 物理及環(huán)境安全 網(wǎng)絡(luò)與信息資產(chǎn)管理 通信和運(yùn)營管理的安全 網(wǎng)絡(luò)與信息系統(tǒng) 的訪問控制 系統(tǒng)開發(fā) 與軟件維護(hù)的安全 安全事件響應(yīng) 及業(yè)務(wù)連續(xù)性管理 安全審計(jì) 組織與人員 國家政策要求 企業(yè)發(fā)展戰(zhàn)略 國內(nèi)外標(biāo)準(zhǔn) 安全評(píng)估結(jié)果 技術(shù)規(guī)范 管理規(guī)范 操作手冊 和具體系統(tǒng)相結(jié)合 流程、細(xì)則 和具體系統(tǒng)相結(jié)合 第一層 第二層 第三層 安全域劃分技術(shù)規(guī)范、IP專網(wǎng)接入安全要求、安全產(chǎn)品測試規(guī)范 帳號(hào)口令安全管理辦法、終端安全管理辦法 網(wǎng)絡(luò)與信息安全體系總綱 從宏觀方針到微觀操作 , 建立了包含三個(gè)層面的安全制度體系 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動(dòng)信息安全管理體系介紹 中移動(dòng)網(wǎng)絡(luò)與信息安全總綱 組織與人員 集團(tuán)公司和各省公司應(yīng)建立公司級(jí)別的網(wǎng)絡(luò)與信息安全常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)。 設(shè)立專職安全隊(duì)伍，建立安全事件響應(yīng)流程。 所有崗位職責(zé)中必須包含安全內(nèi)容，并實(shí)現(xiàn)職責(zé)分隔。 所有員工及使用中國移動(dòng)網(wǎng)絡(luò)與信息資產(chǎn)的其他組織人員都應(yīng)當(dāng)簽署保密協(xié)議。 所有員工都應(yīng)當(dāng)接受網(wǎng)絡(luò)與信息安全培訓(xùn)。 對(duì)第三方訪問需求應(yīng)嚴(yán)格審核，進(jìn)行風(fēng)險(xiǎn)分析，并采取相應(yīng)控制措施。 應(yīng)與客戶簽署相關(guān)協(xié)議，明確雙方在網(wǎng)絡(luò)與信息安全方面的權(quán)利、義務(wù)及違約責(zé)任，保障客戶與公司雙方的利益。 網(wǎng)絡(luò)與信息資產(chǎn)管理 網(wǎng)絡(luò)和信息資產(chǎn)包括實(shí)物資產(chǎn)、信息資產(chǎn)和軟件資產(chǎn) 。 實(shí)物資產(chǎn)：計(jì)算機(jī)設(shè)備、數(shù)據(jù)網(wǎng)絡(luò)通信設(shè)備（路由器、交換機(jī)等）；磁性媒介（磁帶和磁盤等）、其他技術(shù)設(shè)備（電源以及空調(diào)裝置等）等； 信息資產(chǎn)：技術(shù)文檔、配置數(shù)據(jù)、拓?fù)鋱D等； 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件以及開發(fā)工具等； 要求： 對(duì)所有網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行登記，形成資產(chǎn)清單。 明確責(zé)任人及安全保護(hù)級(jí)別，建立嚴(yán)格資產(chǎn)責(zé)任制度。 “誰主管，誰負(fù)責(zé)”。 物理及其環(huán)境安全體系架構(gòu) 物理及環(huán)境安全 介質(zhì)安全 設(shè)備安全 場地安全 場地安全保障 區(qū)域劃分 出入控制 工作區(qū)辦公 物流 人流 設(shè)備維護(hù) 電源 線纜 設(shè)備選址 銷毀 使用 存放 介質(zhì)申請(qǐng) 系統(tǒng)運(yùn)作管理體系架構(gòu) 權(quán)限管理 轉(zhuǎn)產(chǎn)安全管理 變更管理 問題管理 監(jiān)控 系統(tǒng)維護(hù)管理 系統(tǒng) 人員 設(shè)備 系統(tǒng)開發(fā) 安全事件響應(yīng)及業(yè)務(wù)連續(xù)性管理 安全事件響應(yīng)：建立安全事件報(bào)告流程，制定安全預(yù)警信息的授權(quán)審批發(fā)布流程。確保及時(shí)、準(zhǔn)確地報(bào)告安全事件。 業(yè)務(wù)連續(xù)性管理 制定并實(shí)施業(yè)務(wù)連續(xù)性管理體系，將風(fēng)險(xiǎn)降至可以接受的水平。 根據(jù)業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定業(yè)務(wù)連續(xù)性計(jì)劃與策略。 根據(jù)業(yè)務(wù)連續(xù)性計(jì)劃與策略，制定相應(yīng)業(yè)務(wù)連續(xù)性方案及框架。 應(yīng)定期測試、評(píng)審和更新業(yè)務(wù)連續(xù)性方案，保障方案的時(shí)效性。 定期進(jìn)行緊急事件響應(yīng)演練。 安全審計(jì) 從管理和技術(shù)兩個(gè)方面定期檢查安全策略、控制措施的執(zhí)行情況，發(fā)現(xiàn)安全隱患。 網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理不僅要遵從公司本身的安全方針，而且要符合國家法律法規(guī)、管理?xiàng)l例及合同的要求，以及符合美國薩班斯法案的要求。 安全審計(jì)管理：獨(dú)立審計(jì)、最大程度降低對(duì)正常運(yùn)營的影響、審計(jì)記錄完好保存。 目錄 信息安全：企業(yè)面臨的巨大挑戰(zhàn) 中國移動(dòng)信息安全管理體系介紹 中移動(dòng)網(wǎng)絡(luò)與信息安全總綱 角色責(zé)任與執(zhí)行 關(guān)鍵成功因素 網(wǎng)絡(luò)與信息安全工作必須是高層牽頭，領(lǐng)導(dǎo)負(fù)責(zé)，全員參與，專人管理； 必須全員參與。 建立全面、均衡、可行的評(píng)估、考核體系，以衡量網(wǎng)絡(luò)與信息安全管理工作的水平； 安全工作的具體實(shí)施必須同公司的企業(yè)文化相兼容； 組織，政策、支援。 NISS的執(zhí)行 基于中移動(dòng)網(wǎng)絡(luò)與信息安全體系總綱，將形成一系列二層的信息安全管理規(guī)定。 帳號(hào)口令安全管理辦法 終端安全管理辦法 病毒防制相關(guān)規(guī)定 信息安全保密相關(guān)規(guī)定 管理者的責(zé)任 責(zé)任清晰 各級(jí)部門的一把手是本部門信息安全的第一責(zé)任人 負(fù)責(zé)信息安全管理規(guī)定在本部門的推行和落實(shí) 對(duì)本部門人員的違規(guī)事件承擔(dān)領(lǐng)導(dǎo)責(zé)任和連帶處罰 如何管理 各部門主管首先需要以身作則，帶頭遵守公司各項(xiàng)信息安全規(guī)定 要在部門的各種場合向部門強(qiáng)調(diào)和灌輸信息安全保密意識(shí) 在本部門指定專門的人員負(fù)責(zé)信息安全工作 在部門內(nèi)持續(xù)不斷的進(jìn)行信息安全宣傳、檢查 對(duì)本部門人員的違規(guī)行為應(yīng)嚴(yán)肅對(duì)待，不姑息，不袒護(hù) 普通員工的責(zé)任 嚴(yán)格遵守和執(zhí)行公司各類信息安全管理規(guī)定和流程制度以及安全方面的有關(guān)措施 有義務(wù)制止他人違規(guī)行為或及時(shí)向信息安全部反饋可能造成泄密、竊密或其他安全隱患 如何避免信息安全違規(guī) 首先需要每個(gè)員工有強(qiáng)烈的安全意識(shí) 積極學(xué)習(xí)公司的各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己的日常工作行為中 員工的保密義務(wù)和責(zé)任 保密信息密級(jí) （一）不準(zhǔn)利用工作