單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),2021/2/8,#,中央企業(yè)開展網(wǎng)絡(luò)信息安全工作的策略與方法,中國(guó)移動(dòng)信息安全管理與運(yùn)行中心,2013,年,6,月,目 錄,當(dāng)前形勢(shì),1,下一步展望,3,網(wǎng)絡(luò)信息安全工作框架,2,2.1,策略體系,2.2,組織體系,2.3,技術(shù)體系,2.4,運(yùn)行體系,宏觀形勢(shì),信息安全成為社會(huì)熱點(diǎn)問題,出臺(tái)相關(guān)法律！,安全形勢(shì),國(guó)家高度重視,信息安全事關(guān)國(guó)家安全：,2013年3月韓國(guó)遭網(wǎng)絡(luò)恐怖襲擊，電視臺(tái)及部分銀行網(wǎng)絡(luò)癱瘓,；,信息安全影響政治穩(wěn)定：,北京,2012,年,3,月,19,日謠言事件；,信息安全影響經(jīng)濟(jì)發(fā)展：,2012,年利用“火焰”病毒開展攻擊，威脅國(guó)家、企業(yè)安全,。,網(wǎng)絡(luò)安全形勢(shì)不容樂觀,網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長(zhǎng)態(tài)勢(shì)，網(wǎng)站用戶信息成為黑客竊取重點(diǎn)；,網(wǎng)絡(luò)釣魚日漸猖獗，嚴(yán)重影響在線金融服務(wù)和電子商務(wù)的發(fā)展，危害公眾利益；,高級(jí)可持續(xù)攻擊（,APT,攻擊）活動(dòng)頻現(xiàn)，對(duì)國(guó)家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。,3,國(guó)家出臺(tái)網(wǎng)絡(luò)信息安全保護(hù)法律：,2012,年,12,月,28,日，全國(guó)人大常委會(huì)通過了,關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定,，以法律形式保護(hù)公民個(gè)人及法人信息安全，對(duì)運(yùn)營(yíng)商提出更高要求。,黨的十八大報(bào)告明確指出要“健全信息安全保障體系”。工信部、國(guó)資委從,2013,年起將信息安全責(zé)任制落實(shí)情況納入到對(duì)運(yùn)營(yíng)商各省公司的績(jī)效考核。公安部,信息安全等級(jí)保護(hù)管理辦法,、,信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則,對(duì)等級(jí)保護(hù)提出明確要求。,加快企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全建設(shè)，,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全水平的整體提升,驅(qū)動(dòng)力,上級(jí)部門,監(jiān)管愈加,嚴(yán)格,外部安全,威脅日益,嚴(yán)峻,內(nèi)部安全,體系有待,完善,員工安全,意識(shí)較為,薄弱,網(wǎng)絡(luò)信息安全體系建設(shè)的驅(qū)動(dòng)力,目 錄,當(dāng)前形勢(shì),1,下一步展望,3,網(wǎng)絡(luò)信息安全工作框架,2,2.1,策略體系,2.2,組織體系,2.3,技術(shù)體系,2.4,運(yùn)行體系,網(wǎng)絡(luò)信息安全工作方法,信息安全的宗旨和目標(biāo),信息安全現(xiàn)狀,信息安全體系框架,信息安全規(guī)劃,體系運(yùn)營(yíng),信息安全策略體系建設(shè)與推廣,定期評(píng)估、檢查、審計(jì)和持續(xù)改進(jìn),信息安全組織體系建立與健全,信息安全技術(shù)體系設(shè)計(jì)與建設(shè),信息安全建設(shè)與運(yùn)行體系建設(shè)與推廣,信息安全體系總體框架,建立符合業(yè)界標(biāo)準(zhǔn)的目標(biāo)架構(gòu),依據(jù),ISO27001,、,COBIT,等信息安全管理標(biāo)準(zhǔn)，從安全策略體系、安全組織體系、安全運(yùn)行體系、安全技術(shù)體系四個(gè)方面加強(qiáng)信息安全管理工作。,一,、安全策略,四、,人員安全,五,.,物理及環(huán)境安全,二、安全組織,三、資產(chǎn)管理,六,.,通信與操作管理,八,、,信息系統(tǒng)獲得、開發(fā)與維護(hù),七、訪問控制,十、業(yè)務(wù)持續(xù)性管理,十一、符合性,九、信息安全事件管理,安全策略體系,安全戰(zhàn)略確定,管理制度,組織職責(zé),技術(shù)標(biāo)準(zhǔn)規(guī)范,安全組織體系,安全,組織,人員,職責(zé),教育,培訓(xùn),人員,安全,安全運(yùn)行體系,安全體系建設(shè)與推廣,項(xiàng)目建設(shè)的安全管理,風(fēng)險(xiǎn)管理與定期評(píng)估,日常安全運(yùn)行與維護(hù),用戶,安全,網(wǎng)絡(luò),安全,終端,安全,主機(jī),安全,物理,安全,安全技術(shù)體系,應(yīng)用,安全,數(shù)據(jù),安全,信息安全體系的有機(jī)組成,通過分析,ISF,和,ISO 27000,，安全工作由安全策略、安全組織、安全技術(shù)、安全運(yùn)維四個(gè)基本要素構(gòu)成，每一項(xiàng)信息安全工作都可以從這四個(gè)維度去考慮。,安全組織,安全運(yùn)維,安全,技術(shù),安全策略,依據(jù)什么規(guī)定和要求？,信息安全策略,信息安全規(guī)范,信息安全操作流程和細(xì)則,通過何種技術(shù)和手段？,誰來做？,安全組織,人員職責(zé),教育培訓(xùn),人員安全,做什么事？,目 錄,當(dāng)前形勢(shì),1,下一步展望,3,網(wǎng)絡(luò)信息安全工作框架,2,2.1,策略體系,2.2,組織體系,2.3,技術(shù)體系,2.4,運(yùn)行體系,信息安,全,全策略,體,體系框,架,架,信息安,全,全制度,標(biāo),標(biāo)準(zhǔn)體,系,系,參考等級(jí)保,護(hù),護(hù)、,ISO27000,、電信,網(wǎng),網(wǎng)和互,聯(lián),聯(lián)網(wǎng)安,全,全防護(hù),體,體系標(biāo),準(zhǔn),準(zhǔn)等行業(yè),和,和國(guó)際,標(biāo),標(biāo)準(zhǔn)，,建,建立了,信,信息安,全,全制度,標(biāo),標(biāo)準(zhǔn)體,系,系,制度體,系,系：,制度方,針,針、規(guī),范,范辦法,、,、作業(yè),指,指南,3,層次，,共,共,270,余個(gè)；,標(biāo)準(zhǔn)體,系,系：,涵蓋通,用,用安全,技,技術(shù)、,通,通信網(wǎng),安,安全、,支,支撐網(wǎng),安,安全、,業(yè),業(yè)務(wù)安,全,全、安,全,全防護(hù),等,等方面,，,，近,100,個(gè)技術(shù)標(biāo),準(zhǔn),準(zhǔn),月報(bào)制度,：,：制定 信,息,息安全評(píng),價(jià),價(jià)指標(biāo)，,建,建立定報(bào),制,制度，每,月,月下發(fā)信,息,息安全通,報(bào),報(bào)，及時(shí),向,向省公司,提,提出預(yù)警,及,及管理要,求,求。,專報(bào)制度,：,：對(duì)影響公,司,司發(fā)展的,業(yè),業(yè)務(wù)、技,術(shù),術(shù)、管理,安,安全風(fēng)險(xiǎn),進(jìn),進(jìn)行分析,，,，向管理,層,層提交信,息,息安全專,報(bào),報(bào)，發(fā)出,安,安全預(yù)警,，,，降低風(fēng),險(xiǎn),險(xiǎn)。,整改工單,：,：就信息安,全,全風(fēng)險(xiǎn)、,安,安全事件,，,，向各單,位,位下發(fā)整,改,改工單。,制定信息,安,安全定報(bào),制,制度、,信息安全,考,考核,管理辦法,，,，是推動(dòng),信,信息安全,工,工作有效,落,落實(shí)的重,要,要手段。,信息安全,考,考核評(píng)價(jià),體,體系,業(yè)務(wù)通報(bào),整改要求,目 錄,當(dāng)前形勢(shì),1,下一步展,望,望,3,網(wǎng)絡(luò)信息,安,安全工作,框,框架,2,2.1,策略體系,2.2,組織體系,2.3,技術(shù)體系,2.4,運(yùn)行體系,信息安全,決,決策機(jī)構(gòu),：,：從企業(yè),高,高層的角,度,度對(duì)于信,息,息安全方,面,面的工作,進(jìn),進(jìn)行指導(dǎo),和,和控制,信息安全,管,管理機(jī)構(gòu),：,：整個(gè)信,息,息安全管,理,理體系建,立,立和維護(hù),的,的組織者,和,和管理者,信息安全,執(zhí),執(zhí)行機(jī)構(gòu),：,：負(fù)責(zé)具,體,體信息安,全,全工作的,執(zhí),執(zhí)行和開,展,展,信息安全,監(jiān),監(jiān)管機(jī)構(gòu),：,：對(duì)企業(yè),內(nèi),內(nèi)信息安,全,全工作的,開,開展情況,進(jìn),進(jìn)行獨(dú)立,的,的審查和,監(jiān),監(jiān)督。,信息安全,組,組織體系,框,框架,2009.7,客戶信息,安,安全保護(hù),委,委員會(huì),2008.4,治理垃圾,短,短信領(lǐng)導(dǎo),小,小組,2001.10,信息安全,領(lǐng),領(lǐng)導(dǎo)小組,貫徹執(zhí)行,政,政府相關(guān),部,部門信息,安,安全政策,、,、方針和,各,各項(xiàng)工作,要,要求，并,下,下設(shè)信息,安,安全辦公,室,室。,負(fù)責(zé)治理,垃,垃圾短信,的,的相關(guān)工,作,作；,貫徹落實(shí),國(guó),國(guó)家相關(guān),法,法規(guī)；,研究、制,定,定客戶信,息,息安全管,理,理工作有,關(guān),關(guān)制度與,措,措施；,2009.12,打擊利用,手,手機(jī)傳播,淫,淫穢色情,信,信息專項(xiàng),工,工作領(lǐng)導(dǎo),小,小組,貫徹落實(shí),國(guó),國(guó)家相關(guān),法,法規(guī)；,研究、制,定,定打擊利,用,用手機(jī)傳,播,播淫穢色,情,情信息專,項(xiàng),項(xiàng)工作的,總,總體方案,；,；,重大突發(fā),事,事件應(yīng)急,處,處置及對(duì),外,外溝通協(xié),調(diào),調(diào)工作,2011.11,信息安全,管,管理與運(yùn),行,行中心,兩歸口，,兩,兩集中：,歸,歸口信息,安,安全管理,工,工作、歸,口,口不良信,息,息治理工,作,作，以及,負(fù),負(fù)責(zé)開展,不,不良信息,集,集中治理,、,、開展信,息,息安全集,中,中運(yùn)營(yíng)工,作,作。,2010.3,信息安全,管,管理部,對(duì)上承接,、,、對(duì)下監(jiān),督,督檢查、,橫,橫向協(xié)調(diào),；,；,貫徹落實(shí),國(guó),國(guó)家要求,；,；,組織制定,管,管理制度,；,；,制訂目標(biāo),、,、策略和,標(biāo),標(biāo)準(zhǔn),建立信息,安,安全管理,體,體系和監(jiān),督,督評(píng)價(jià)體,系,系；,信息組織,機(jī),機(jī)構(gòu),-,中國(guó)移動(dòng),根據(jù)工信,部,部、國(guó)資,委,委信息安,全,全責(zé)任考,核,核要求，,各,各省公司,要,要成立專,職,職信息安,全,全管理機(jī),構(gòu),構(gòu)。,信息安全,組,組織機(jī)構(gòu),制定信息,安,安全責(zé)任,矩,矩陣，分,解,解安全責(zé),任,任到各專,業(yè),業(yè)部門。,信息安全,人,人才隊(duì)伍,建,建設(shè),專家隊(duì)伍,論壇交流,：圍繞,安全,工作重點(diǎn),，,，,每年開展,論,論壇交流,論壇研討,：,：各省人員,就,就論壇主,題,題,進(jìn)行,交流，,共享,經(jīng)驗(yàn),論壇交流,定期培訓(xùn),開展網(wǎng)絡(luò),安,安全大比,武,武等形式,，,，選拔組,建,建內(nèi)部紅,客,客團(tuán)隊(duì)。,組,組織紅客,隊(duì),隊(duì)伍參與,評(píng),評(píng)估、測(cè),試,試、審計(jì),、,、安全檢,查,查及應(yīng)急,演,演練，鍛,煉,煉和提升,專,專家隊(duì)伍,能,能力。,網(wǎng)上培訓(xùn),：,：通過網(wǎng)上,大,大學(xué)，進(jìn),行,行網(wǎng)絡(luò)培,訓(xùn),訓(xùn)；,現(xiàn)場(chǎng)培訓(xùn),：,：每季度組,織,織安全專,業(yè),業(yè)人員技,術(shù),術(shù)培訓(xùn)；,宣傳教育：通過宣,傳,傳片、櫥,窗,窗等形式,，,，提升全,員,員安全意,識(shí),識(shí),通過定期,培,培訓(xùn)、實(shí),戰(zhàn),戰(zhàn)演練、,論,論壇交流,等,等形式，,培,培養(yǎng)信息,安,安全專業(yè),人,人才隊(duì)伍,，,，支撐內(nèi),部,部信息安,全,全工作的,開,開展。,根據(jù)工信,部,部、國(guó)資,委,委信息安,全,全責(zé)任考,核,核要求，,配,配備相應(yīng),專,專職人員,，,，大省,15,名、中省,10,人、小省,5,人。,目 錄,當(dāng)前形勢(shì),1,下一步展,望,望,3,網(wǎng)絡(luò)信息,安,安全工作,框,框架,2,2.1,策略體系,2.2,組織體系,2.3,技術(shù)體系,2.4,運(yùn)行,體,體系,安全,戰(zhàn),戰(zhàn)略,管,管理,應(yīng)用,安,安全,安全,運(yùn),運(yùn)營(yíng),管,管理,文檔,數(shù),數(shù)據(jù),安,安全,用戶,安,安全,基礎(chǔ),設(shè),設(shè)施,安,安全,戰(zhàn)略,編,編制,與,與維,護(hù),護(hù),安全,差,差距,分,分析,網(wǎng)絡(luò)安全,安全域劃分,防火墻,/VPN,網(wǎng)絡(luò)入侵檢測(cè),網(wǎng)絡(luò)準(zhǔn)入控制,異常流量管理,網(wǎng)絡(luò)應(yīng)用安全,身份帳號(hào)管理,主帳號(hào)管理,從帳號(hào)管理,口令管理,認(rèn)證管理,認(rèn)證服務(wù),單點(diǎn)登錄,權(quán)限訪問管理,資源管理,角色管理,授權(quán)管理,變更配置安全管理,變更安全檢查,服務(wù)異常監(jiān)控,配置安全檢查,文檔權(quán)限管理,文檔策略管理,文檔審計(jì)管理,安全,風(fēng),風(fēng)險(xiǎn),管,管理,風(fēng)險(xiǎn),收,收集,識(shí),識(shí)別,風(fēng)險(xiǎn),分,分析,計(jì),計(jì)算,風(fēng)險(xiǎn),監(jiān),監(jiān)控,告,告警,風(fēng)險(xiǎn),響,響應(yīng),處,處理,安全,審,審計(jì),管,管理,審計(jì),規(guī),規(guī)則,定,定義,安全,戰(zhàn),戰(zhàn)略,確,確定,安全,基,基線,管,管理,資產(chǎn),分,分級(jí),分,分類,資產(chǎn),基,基線,定,定義,安全,審,審計(jì),預(yù),預(yù)警,行為,審,審計(jì),分,分析,KPI,指標(biāo),定,定義,安全架構(gòu)與策略,組織架構(gòu)保障,策略規(guī)范編制,系統(tǒng)架構(gòu)設(shè)計(jì),交易,與,與傳,輸,輸管,理,理,應(yīng)用,數(shù),數(shù)據(jù),權(quán),權(quán)限,數(shù)據(jù),接,接口,控,控制,數(shù)據(jù),傳,傳輸,控,控制,應(yīng)用安全需求分析,安全威脅分析,安全設(shè)計(jì)模式,編碼安全及評(píng)估,安全編碼,靜態(tài)代碼分析,滲透測(cè)試,戰(zhàn)略,維,維護(hù),更,更新,存儲(chǔ),與,與訪,問,問管,理,理,數(shù)據(jù),存,存儲(chǔ),保,保護(hù),數(shù)據(jù),庫(kù),庫(kù)權(quán),限,限管,理,理,敏感,數(shù),數(shù)據(jù),加,加密,數(shù)據(jù)輸,入,入驗(yàn)證,數(shù)據(jù)歸,檔,檔銷毀,戰(zhàn)略,流程控,制,制,管理,公共安,全,全服務(wù),物理安,全,全,機(jī)房物理安,全,全,環(huán)境監(jiān)控安,全,全,辦公環(huán)境安,全,全,主機(jī)安全,主機(jī)安全加,固,固,主機(jī)入侵檢,測(cè),測(cè),防病毒,/,垃圾郵件,補(bǔ)丁管理,終端安全,系統(tǒng)配置檢,查,查,補(bǔ)丁管理,上網(wǎng)行為控,制,制,防病毒,/,惡意軟件,19,信息安全技,術(shù),術(shù)體系框架,安全防護(hù)體,系,系,安全管控平,臺(tái),臺(tái),持續(xù)推進(jìn)網(wǎng),絡(luò),絡(luò)安全管控,平,平臺(tái)應(yīng)用，,使,使管控平臺(tái),成,成為日常維,護(hù),護(hù)的主要通,道,道,管控平臺(tái),維護(hù)人員,終端,采集被管設(shè)備的登錄日志，用于發(fā)現(xiàn)繞行行為,智能網(wǎng),MISC,彩信,短信,語音,交換,WAP,通信網(wǎng)和業(yè)務(wù)系統(tǒng),位置,服務(wù),CMNET,其它運(yùn)營(yíng)商,出口路由器,網(wǎng)絡(luò)流量惡意代碼檢測(cè)系統(tǒng),四均分,分光器,不良信息,監(jiān)測(cè)系統(tǒng),僵木蠕監(jiān)測(cè),系,系統(tǒng),流量清洗系,統(tǒng),統(tǒng),在互聯(lián)網(wǎng)網(wǎng),間,間互連鏈路,部,部署流量清,洗,洗系統(tǒng)和僵,木,木蠕監(jiān)測(cè)系,統(tǒng),統(tǒng)，為重要,系,系統(tǒng)提供集,中,中安全防護(hù),，,，減少僵木,蠕,蠕、,DDOS,等攻擊。,覆蓋范圍：,互聯(lián)網(wǎng)國(guó)際,國(guó),國(guó)內(nèi)互聯(lián)節(jié),點(diǎn),點(diǎn),主要功能：,發(fā)現(xiàn)蠕蟲、,木,木馬、僵尸,網(wǎng),網(wǎng)絡(luò)流量，,識(shí),識(shí)別蠕蟲、,木,木馬和僵尸,網(wǎng)