中国移动网络与信息安全保障体系共42页
中国移动网络与信息安全责任条款
中国移动网络与信息安全责任条款
中国移动通用网络与信息安全责任条款
本条款所指的乙方,如无特别说明,专指承担中国移动工程建设项目的集成商或者提供维保服务的厂商
本条款所包含的安全责任如无特别说明,分别适用于设备到货、入场施工、项目验收以及系统运行维护整个过程的各个环节,集成商需要严格执行
向甲方提供维保服务的乙方在服务期间需要遵循条款2规定,如更换设备、升级软件或调整配置,需要遵循条款1、31
1、乙方应保证本工程新增设备符合中国移动《中国移动设备通用安全功能和配置规范》规定的安全配置要求
2、乙方应遵守中国移动相关安全管理规定要求,具体规定如下:
a) 《中国移动安全域管理办法》; b) 《中国移动帐号口令管理办法》;
c) 《中国移动远程接入安全管理办法》; d) 《中国移动网络互联安全管理办法》
3、乙方应保证本工程新增的设备安装操作系统、应用软件已经发布的所有安全补丁,关闭与业务无关端口,无关进程和服务,按照最小化的原则进行授权,并无重大安全漏洞、后门或者感染病毒
4、乙方提供的应用软件中账号所使用的口令应便于在维护中定期修改并已加密方式保存,不可固化在软件里
5、乙方在设备上线前,应参照《中国移动系统安全相关基础信息列表》格式,详细提供本工程新增设备和应用的进程、端口、账号等方面的情况
6、在工程实施期间,甲方有权通过安全扫描软件或者人工评估等手段,对本期工程新增设备和应用软件进行检查,并给出评估结果一旦发现有重大安全漏洞、后门或者病毒感染,由乙方进行立即修补、清除或者采用其他手段消除安全问题对于违反本规定导致的一切问题,由乙方负全部责任
1。
信息安全保障体系课件
国家四局办[2004]66号《关于信息安全等级保护工作的实施意见的通知》
等级
安全功能
保障/有效性
国家管理程度
对象
管理
技术
一级
基本
用户自主保护
基本保障
自主
中小企业
二级
必要
系统审计保护
计划跟踪
指导
一般信息系统
三级
体系化
安全标记保护
良好定义
监督
基础信息网络、政府、大型企业四级结构化源自护2.1.2 信息安全属性
可控性(Controlability)
指对信息和信息系统实施有效的安全监控管理,防止非法利用信息和信息系统保障(Assurance)
为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。
2.1.3 信息安全保障体系结构
机制
加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。
服务
鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。
管理
技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。
2.3.5 信息安全原则
安全是相对的,同时也是动态的,没有绝对的安全!安全是一个系统工程!信息安全技术原则最小化原则分权制衡原则安全隔离原则
小 结
本章从信息安全范畴、衡量信息安全的属性出发,介绍了信息安全保障体系,信息安全保障包括人、政策和技术工程方法,使用各类安全机制实现安全服务,满足安全功能需求。信息安全防御体系构建应该是动态和可适应的,以策略为核心,实施评估、保护、监测、响应和恢复等环节的闭环管理。最后介绍了等级保护、风险评估和安全测评的内容与方法,以及它们之间的关系。本章从整体上概括了信息系统安全保障体系和实施的工程方法。
中国移动网络与信息安全总纲
中国移动网络与信息安全总纲精品资料网()25万份精华管理资料,2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (2)目录 (3)总则 (13)1.网络与信息安全的基本概念 (13)2.网络与信息安全的重要性和普遍性 (13)3.中国移动网络与信息安全体系与安全策略 (14)4.安全需求的来源 (16)5.安全风险的评估 (17)6.安全措施的选择原则 (18)7.安全工作的起点 (18)8.关键性的成功因素 (19)9.安全标准综述 (20)10.适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261.领导机构 (26)2.工作组织 (27)3.安全职责的分配 (28)4.职责分散与隔离 (29)5.安全信息的获取和发布 (30)6.加强与外部组织之间的协作 (30)7.安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311.岗位职责中的安全内容 (31)2.人员考察 (32)3.保密协议 (33)4.劳动合同 (33)5.员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341.第三方访问的安全 (34)2.外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381.资产清单 (38)2.资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421.信息的安全等级、标注及处置 (42)2.网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461.安全边界 (46)2.出入控制 (47)3.物理保护 (48)4.安全区域工作规章制度 (49)5.送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511.设备安置及物理保护 (51)2.电源保护 (52)3.线缆安全 (53)4.工作区域外设备的安全 (54)5.设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551.可移动存储媒介的管理 (55)2.存储媒介的处置 (55)3.信息处置程序 (56)4.系统文档的安全 (57)第四节............................................... 通用控制措施581.屏幕与桌面的清理 (58)2.资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601.规范操作细则 (60)2.设备维护 (61)3.变更控制 (62)4.安全事件响应程序 (62)5.开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641.系统规划和设计 (64)2.审批制度 (64)3.系统建设和验收 (65)4.设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701.维护作业计划管理 (70)2.数据与软件备份 (70)3.操作日志 (72)4.日志审核 (72)5.故障管理 (73)6.测试制度 (74)7.日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761.信息与软件交换协议 (76)2.交接过程中的安全 (76)3.电子商务安全 (77)4.电子邮件的安全 (78)5.电子办公系统的安全 (79)6.信息发布的安全 (80)7.其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841.用户注册 (84)2.超级权限的管理 (85)3.口令管理 (87)4.用户访问权限核查 (88)第三节..................................................... 用户职责881.口令的使用 (88)2.无人值守的用户设备 (89)第四节............................................... 网络访问控制901.网络服务使用策略 (91)2.逻辑安全区域的划分与隔离 (91)3.访问路径控制 (92)4.外部连接用户的验证 (93)5.网元节点验证 (93)6.端口保护 (94)7.网络互联控制 (94)8.网络路由控制 (95)9.网络服务的安全 (95)第五节...................................... 操作系统的访问控制951.终端自动识别 (96)2.终端登录程序 (96)3.用户识别和验证 (97)4.口令管理系统 (97)5.限制系统工具的使用 (98)6.强制警报 (99)7.终端超时关闭 (99)8.连接时间限制 (100)第六节............................................... 应用访问控制1001.信息访问限制 (100)2.隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011.事件记录 (102)2.监控系统使用情况 (102)第八节............................................ 移动与远程工作1041.移动办公 (104)2.远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091.输入数据验证 (109)2.内部处理控制 (110)3.消息认证 (111)4.输出数据验证 (112)第三节............................................ 系统文件的安全1121.操作系统软件的控制 (112)2.系统测试数据的保护 (113)3.系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151.变更控制程序 (115)2.软件包的变更限制 (116)3.后门及特洛伊代码的防范 (117)4.软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181.加密技术使用策略 (119)2.使用加密技术 (119)3.数字签名 (120)4.不可否认服务 (121)5.密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241.及时发现与报告 (125)2.分析、协调与处理 (125)3.总结与奖惩 (127)第二节............................................ 业务连续性管理1271.建立业务连续性管理程序 (127)2.业务连续性和影响分析 (128)3.制定并实施业务连续性方案 (129)4.业务连续性方案框架 (130)5.维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341.识别适用的法律法规 (134)2.保护知识产权 (135)3.保护个人信息 (135)4.防止网络与信息处理设施的不当使用 (136)5.加密技术控制规定 (136)6.保护公司记录 (137)7.收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381.独立审计原则 (139)2.控制安全审计过程 (139)3.保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1:安全体系第二层项目清单(列表) (143)总则1.网络与信息安全的基本概念网络与信息安全包括下列三个基本属性:➢机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。
中国移动网络与信息安全概论
中国移动网络与信息安全概论介绍移动网络是指通过无线通信技术实现的获取和交换信息的网络。
中国移动网络发展迅速,如今已经成为全球最大的移动通信市场之一。
然而,随着移动网络的普及和应用范围的不断扩大,信息安全问题也逐渐凸显出来。
本文将介绍中国移动网络的发展现状,并探讨其中的信息安全挑战和解决方案。
中国移动网络的发展中国移动网络的发展可以分为以下几个阶段:1.第一代移动通信网络(1G):在上世纪80年代末和90年代初,中国引入了第一代模拟移动通信系统(AMPS)。
这一阶段的移动通信网络主要用于语音通信。
2.第二代移动通信网络(2G):在20世纪90年代中后期,中国引入了第二代数字移动通信系统(GSM)。
2G网络的出现使得短信服务成为可能,并且可以进行基本的数据传输。
3.第三代移动通信网络(3G):在2009年,中国推出了第三代移动通信网络(WCDMA和CDMA2000)。
3G网络实现了更快的数据传输速度,使得视频通话和高速互联网访问成为可能。
4.第四代移动通信网络(4G):在2013年,中国正式商用了第四代移动通信网络(LTE)。
4G网络具有更高的速度和更低的延迟,可以实现更高质量的音视频传输和互联网访问。
5.第五代移动通信网络(5G):目前,中国正在大力推进第五代移动通信网络的建设。
5G网络将具有更高的速度、更低的延迟和更大的容量,将进一步推动移动通信技术的发展。
中国移动网络的信息安全挑战随着中国移动网络的普及,信息安全问题也逐渐成为关注的焦点。
以下是中国移动网络面临的一些主要信息安全挑战:1.数据隐私泄漏:移动网络中的大量个人数据和敏感信息使得用户隐私面临风险,一旦数据被泄漏,可能导致恶意使用和身份盗窃。
2.病毒和恶意软件攻击:恶意软件和病毒的传播易于通过移动网络进行,这可能导致设备被感染、数据被损坏或盗取。
3.网络钓鱼和网络诈骗:移动网络为网络钓鱼和网络诈骗行为提供了更多的机会。
骗子可以通过伪装成合法机构或个人,以获取用户的敏感信息或欺骗他们付款。
国移动网络与信息安全风险评估管理办法
【最新资料,WORD文档,可编辑修改】第一章总则为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求风险评估内容及组织方式(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
中国移动网络安全
中国移动网络安全中国移动网络安全移动网络安全是指在移动通信网络中保护网络信息和用户隐私安全的技术和措施。
随着互联网的飞速发展和移动设备的普及,越来越多的人和组织将移动设备作为其主要的上网和办公工具,因此移动网络安全显得尤为重要。
中国作为全球最大的移动互联网市场之一,移动网络安全成为了一个重要的领域。
中国移动通信公司是中国最大的移动运营商,也是中国移动网络安全的主要承担者之一。
中国移动通过持续的技术创新和安全保护措施,保障了广大用户的移动网络环境安全。
中国移动在移动网络安全方面,采取了一系列措施,从硬件设备、网络架构到安全培训等各个方面进行保障。
首先,在硬件设备方面,中国移动采用了多重防护措施,包括网络墙、流量审计系统、入侵检测系统等,以提供全面的网络安全防护。
其次,在网络架构方面,中国移动采取了分层安全防护策略,确保了数据的加密传输和不同层次的访问权限控制。
此外,中国移动还为用户提供了多种安全措施,如手机流量安全检测、病毒查杀和手机定位等,以保护用户的个人信息和隐私安全。
最后,中国移动通过开展网络安全培训和宣传,提高用户的安全意识和技能,帮助用户远离网络诈骗和攻击。
中国移动网络安全的取得的成绩是显著的。
首先,中国移动已经建立了庞大的网络安全技术团队,不断开展安全技术研究和创新,提供了高效的移动网络安全服务。
其次,中国移动的网络安全水平得到了肯定,已经通过了国家相关安全审查,并获得了国家重要信息基础设施安全保护认证。
再次,中国移动网络安全的关键技术已经实现了自主创新,并取得了多项国家专利,为国内移动网络安全的发展提供了重要支持。
然而,中国移动网络安全还面临一些挑战。
首先,随着移动设备的日益普及和互联网应用的火爆,移动网络威胁不断增多。
不法分子可以通过网络攻击、恶意软件等手段窃取用户的个人信息,对移动网络安全构成威胁。
其次,用户的安全意识和自我保护能力普遍较低,容易成为网络攻击的目标。
此外,移动网络跨境使用的问题也给移动网络安全带来了新的挑战。
移动客户信息安全保障措施
移动客户信息安全保障措施为了保障移动客户信息的安全,需要采取多种措施。
下面将介绍七个方面的安全保障措施。
首先,加密传输:所有与客户相关的数据传输应采用加密技术,如SSL/TLS协议,以确保数据在传输过程中不受未经授权的访问或篡改。
同时,需要使用强大的密码学算法,防止被破解。
其次,身份验证:为了防止未经授权的访问,移动客户端应该采用有效的身份验证机制。
比如双因素身份验证,用户需要提供多个身份凭证才能登录。
第三,访问控制:只有经过授权的人员才能访问客户信息。
通过使用访问控制列表,可以限制对敏感数据的访问权限,并记录所有的访问操作。
同时,需要限制不同人员的权限,防止恶意行为。
第四,数据备份和恢复:定期进行数据备份,并确保备份数据的安全性。
在发生数据丢失或损坏的情况下,能够及时恢复客户信息,以避免对客户造成不必要的损失。
第五,防火墙和安全系统:部署防火墙和安全系统,监控移动客户端的网络流量,检测和拦截潜在的攻击和恶意软件。
及时更新安全系统的规则和防护策略,确保其对最新的安全威胁具有有效的防护能力。
第六,安全培训和教育:为所有与移动客户信息有关的员工提供安全培训和教育,使其了解和遵守安全规定和最佳实践。
员工应该被告知有关客户信息保护的责任和重要性,并知道如何应对安全事件和威胁。
最后,风险评估和漏洞管理:定期进行风险评估,识别潜在的安全风险和漏洞,并及时修复。
对于已知的安全漏洞,应该采取措施进行修补或升级,以减少潜在攻击的风险。
综上所述,移动客户信息的安全保障是一个系统性的工作,需要从多个方面着手。
只有采取综合性的安全措施,才能更有效地保护客户信息的安全。
应对挑战,健全安全保障体系
响 网 络 的 运 行 效 率 和 产 生 其 他 的 网 络 安
全 『题 。 口 J
・业 务 多 媒 体 化 带 来 的 挑 战 :基 于 I P 的 数 据 业 务 越 来 越 多 样 化 , 语 音 业 务 和
1 电 信 业 所 面 临 的 安 全 挑 战
1 1 信 息 通 信 技 术 发 展 带 来 的 挑 战 . 信 息 通 信 技 术 (CT) 发 腱 ,使 新 的 移 I 的 动 通 信 网有 别 于传 统 的 2 G通 信 网络 , 网络 的 数 据 化 、终 端 的 智 能 化 以 及 业 务 的 多 媒 体 化 ,部 给 网 络 安 全 运 营 带 来 新 的 挑 战 。 ・ 络 数 据 化 带 来 的 挑 战 :通 信 网 已
(1 )安 全 组 织 架 构
安 全 工 作 “ 分 靠技 术 ,七 分 三 靠 管 理 ” 建 立 有 效 的 组 织 机 构 是 , 安 全 管 理 的 基 础 。 中 国 移 动 在 集 公 一 设 立 了 网 络 与 信 息 安 全 领 J 导 小 组 , 由 公 一 领 导 层 和 各 业 务 J 部 f 主 管 组 成 ,领 导 小 组 是 中 国 J 移 动 网 络 与 信 息 安 全 管 理 的 最 高
维普资讯
瞅 忠
中 国 移 动 通 信 集 团 公 司
.
I京 L
10 3 0 0 2
来 越 快 。 但 网 络 的 I 化 在 带 来 开 放 性 P 擅 |:首 先 分 析 7 电 信 业 所 面 临 的 安 全 挑 战 I然 后 介 绍 7 中 国 移 与 互 联 性 的 同 时 , 也 带 来 更 多 的 网 络 安
系统也是基 于 I P网 络 。 综 合 考 虑 ,
中国移动全业务培训材料
案例:海陵蓝波湾、阳西沙 扒尚柏假日酒店、阳西南国商 务酒店、海韵大酒店、蓝岛大 酒店等采用该方式。
市核心机房
IP城域网
BRAS路由器
GE
GE
SR路由器
海陵综合楼
县区综合楼汇聚交换机
图例:
BRAS路由器
SR路由器 IP城域网汇聚交换机 PTN设备 PBX设备
本期新增PTN6100
县区PTN 6300
方都能开通GPON宽带。
3、对于集团宽带项目,在前期洽谈时要明确客户需要布放的网线数量等项目需求,对于已 经完工的项目,建议不再为个别客户增加零星的布线;客户自己布放的电缆或网线,我公司 不负责帮忙调测、修复等配套工作。 4、对于没有光缆覆盖的站点,工期为28天、有光缆覆盖的站点,工期为18天,以网服中心收 到建设通知为准,售前人员需预留时间。 5、一般来说,三台电脑共享4M带宽时,客户体验感觉还可以,如果电脑台数过多,必须 增加带宽来增强客户的体验感觉,建议为每台电脑带宽为512kb/s以上。 6、上述图示中的设备是我公司红线内主要设备,但是例如防火墙、网关等设备属于开 通业务外的增强功能型设备,我公司不提供此类设备。请不要随意承诺给客户安装此类 设备。
宽,IP地址。其他设备、布线
客户自备。
案例:阳江海关招待所、阳 江千里程沐足城、阳东木 森日用有限公司等。
市核心机房
IP城域网
BRAS路由器
GE
GE
SR路由器
阳东综合楼
县区综合楼汇聚交换机
图例:
BRAS路由器
SR路由器 IP城域网汇聚交换机 OLT 本期新增分光器 本期新增ONU(HG850)
县区综合楼OLT
GPON承载网
千里程沐足城
中国移动信息安全管理体系说明
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
中 国移动网络与信息安全保障体系
中国移动网络与信息安全保障体系在当今数字化的时代,中国移动网络已经成为人们生活、工作和社会运转不可或缺的一部分。
从日常的通信交流到重要的金融交易,从便捷的在线购物到关键的政务服务,几乎所有领域都依赖于稳定、高效且安全的移动网络。
然而,随着网络技术的飞速发展和应用场景的不断拓展,信息安全问题也日益凸显。
构建一个强大而有效的中国移动网络与信息安全保障体系,不仅是保障用户权益和社会稳定的需要,也是推动中国移动通信产业持续健康发展的关键。
中国移动网络面临着多种多样的安全威胁。
其中,网络攻击是最为常见和严重的问题之一。
黑客可能通过各种手段入侵网络系统,窃取用户的个人信息、企业的商业机密,甚至破坏关键的基础设施。
此外,恶意软件的传播也给移动网络带来了巨大的风险,这些软件可能会导致设备故障、数据泄露、通信中断等严重后果。
再者,随着物联网的兴起,大量的智能设备接入移动网络,由于这些设备的安全防护能力相对较弱,容易成为攻击者的突破口,进而威胁整个网络的安全。
为了应对这些威胁,中国移动构建了一套全面的网络与信息安全保障体系。
在技术层面,采用了先进的加密技术来保护通信数据的机密性和完整性。
无论是语音通话还是短信、数据传输,都经过严格的加密处理,确保只有授权的用户能够访问和理解这些信息。
同时,通过建立强大的防火墙和入侵检测系统,实时监控网络流量,及时发现并阻止潜在的攻击行为。
此外,还加强了对移动应用的安全审核和管理,从源头上减少恶意软件的传播和危害。
在管理层面,中国移动制定了完善的安全策略和规章制度。
明确了各级员工在网络与信息安全方面的职责和义务,建立了严格的权限管理制度,确保只有经过授权的人员能够访问和操作敏感信息。
同时,加强了对员工的安全培训和教育,提高他们的安全意识和防范能力。
定期进行安全审计和风险评估,及时发现并整改存在的安全隐患,不断完善安全保障体系。
在应急响应方面,中国移动建立了高效的应急响应机制。
一旦发生网络安全事件,能够迅速启动应急预案,采取有效的措施进行处置,将损失和影响降到最低。
基础信息安全综合管理体系
1 安全体系简介
1 1体系设计 目标 .
网络安全现状和下一步建 设的安全需求 ,补充 、完善安 全体系中的流程和要求 ,设定本年度安全工作 目标 ,将 安全 目标落实到各个部门 ; ()执行 。公司各部 门根据 已经确定 的安全 目标 , 2 落实工作 ; ()检查。各维护部 门、公司安全职能管理部门根 3
基础安全维护工作包括多个方面多个程序 ,各类工 作互相关联或重叠。通过安全基础数据 、安全域、账号 口令 、服 务与端 口、网络互联 、生产 终端、办公终端 、
险评估计划,部门内定期开展系统漏洞扫描、安全配置
检查等 自检工作 ,并对发现的问题进行加固。
移动存储介质、远程接人、客户信息保密、日志审计、
对于验收中的不合规问题, 由相关责任人进行整改。
原则上 ,正式入 网前 ,所有要求均必须满足。对于短时
间内无法解决的问题,写入验收结果备忘录,由厂商和
建设部 门在约定 的期限前完成整改 。 屠 24 运行维护安全管理 .
重
露
图 2 多维 多 层次 的 安全 审计 与 风 险评 估 工作
4 2
・
2 1 年 第1 期 ・ 01 0
TELECO M EN GI NEER I NG TECH ' l N CS AND S T NDAR DI A ZA TI ON
全风险。
重要手段 ,是解决 问题 的重要前提。安全检查分为手段
在系统入网验收时, 根据采购书的内容, 对系统进
中图分类号
T 98 N 1
文献标识码A 来自文章编号10- 59(0 1 0 04 - 4 08 59 21 )1— 02 0
中国移动北京公司 以电信网和互联 网安全等级保护 工作为思路 ,以 “ 适度安全原则、标准性原则、可控性 原则、完备性 原则 、最小影响原则 、保密性原则、三 同 步原则 ”为原则 ,以保护 “ 机密性 、完整性 、可用性” 为基本点 ,建 立了分 阶层、多维度 、全周期的网络与信 息安全综合管理体系 。
国移动网络与信息安全风险评估管理规定
【最新资料,WORD文档,可编辑修改】第一章总则为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求风险评估内容及组织方式(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
中国移动客户信息安全保护管理规定
中国移动客户信息安全保护管理规定目录中国移动客户信息安全保护管理规定 (1)第一章总则 (4)第二章客户信息保护原则 (4)第三章组织与职责 (6)第四章客户信息的内容及等级划分 (8)第一节客户信息的内容 (8)第二节客户信息等级划分 (9)第三节存储及处理客户信息的系统 (9)第五章岗位角色与权限 (10)第一节业务部门岗位角色与权限 (10)第二节运维支撑部门岗位角色与权限 (14)第六章帐号与授权管理 (16)第七章客户信息全生命周期管理 (17)第一节客户信息的收集 (17)第二节客户信息的传输 (18)第三节客户信息的存储 (19)第四节客户信息的使用 (20)第五节客户信息的共享 (25)第六节客户信息的销毁 (25)第八章金库模式管控 (26)第一节管控系统范围 (27)第二节场景管理 (27)第三节实现方式 (28)第四节策略管理 (29)第九章第三方管理 (29)第十章客户信息系统的技术管控 (32)第一节系统安全防护 (32)第二节集中4A管控要求 (33)第三节远程接入管控 (34)第四节客户信息泄密防护 (35)第五节系统间接口管理 (36)第六节数据脱敏 (37)第十一章敏感操作日志管理 (37)第一节操作日志记录 (38)第二节操作日志集中化 (38)第三节操作日志审核 (39)第十二章客户信息安全审核 (40)第一节合规性审核 (40)第二节日常例行安全审核与风险评估 (41)第十三章安全事件应急响应 (41)第十四章事后问责 (42)第十五章附则 (43)附录1 (44)客户信息分类表 (44)附录2 (46)客户信息分级及管控原则 (46)附录3 (47)业务部门和支撑部门岗位角色 (47)附录4 (49)客户信息模糊化参考规则 (49)附录5 (52)客户信息开放规则 (52)第一章总则第一条为加强中国移动客户信息安全管理,规范客户信息访问流程、用户访问权限以及承载客户信息的环境,防范客户信息被违法使用和传播的风险,根据国家《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规及制度要求,特制定本规定。
信息安全与网络信任体系PPT
实用文档
(4) 安全保密部门
▪ 非法的、有害的或涉及国家机密的信 息进行过滤和防堵
▪ 避免通过网络泄漏 ▪ 避免信息的泄密对社会的危害、对国
家造成巨大的损失
实用文档
(5)文化安全(内容安全)
作用点:有害信息的传播对我国的政治制 度及文化传统的威胁,主要表现在舆论宣 传方面。
Server
注解:防火墙类似一堵城墙,将服务器与客户主机进行物理隔 离 通等,并功在 能此 。基础上实现服务器与客户主机之间的实授用文权档互访、互
Client
防火墙概念
防火墙是指设置在不同网络或网络安全域(公 共网和企业内部网)之间的一系列部件的组合。 它是不同网络(安全域)之间的唯一出入口,能 根据企业的安全政策控制(允许 、拒绝 、 监测) 出入网络的信息流,且本身具有很高的抗攻击能 力,它是提供信息安全服务,实现网络和信息安 全的基础设施。
用户资源
实用文档
工作人员用户 应用系统用户 操作系统用户 访问服务器用户 远程登陆用户 远程管理用户
大规模业务网络常见的安全事件
网站被黑 数据被篡改 数据被偷窃 秘密泄漏
越权浏览 非法删除 被病毒感染 系统自身故障
实用文档
指内部和外部人员有意通过物理手段
破坏信息系统而影响信息的机密性、
大规模业务网络安全隐患完整性、可用性和可控性。比如:有 意破坏基础设施、扩散计算机病毒、 电子欺骗等。
Internet
入侵检测系统 风险评估系统 病毒防护系统 防火墙和VPN体系
公众用户
办事处
实用文档
分公司 分公司
防火墙及VPN策略
分公司
总部 部署防火墙和VPN在网 络边界处,0对101进0101出010边1 界 的信息做访问控制,同 时采用VPN对网络中传 输的信息进Inter行net 加密处理, 以保证数据在传输过程
网络和信息安全体系建设和完善
网络和信息安全体系建设和完善1 前言中国移动通信网络是国家基础信息网络和重要信息系统的组成部分,更是中国移动赖以生存和发展的基本条件,随着网络IP化进程、终端智能化以及业务、服务多样化趋势的加快,移动通信网络面临的威胁和攻击也越来越多,网络与信息安全工作日趋重要。
为了确保网络安全,现在很多企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品,提高了本企业的网络安全水平,但是这些改善仍没有达到理想的目标,病毒、黑客和计算机犯罪依然猖獗,这给信息安全的理论界、厂商和用户提出了一系列问题,促使人们开始对安全体系进行思考和研究。
在网络安全建设时,不单单是考虑某一项安全技术或者某一种安全产品,而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络和信息安全体系,全面营造一个良好的网络安全运行环境。
2 网络与信息安全体系概述一个完整的信息安全体系应该是安全管理和安全技术实施的结合,两者缺一不可。
为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国外安全保障理论也在不断的发展之中,美国国家安全局从1998年以来开展了信息安全保障技术框架(IATF)的研究工作,并在2000年10月发布了IATF 3.1版本,在IATF中提出信息安全保障的深度防御战略模型,将防御体系分为策略、组织、技术和操作4个要素,强调在安全体系中进行多层保护。
安全机制的实现应具有以下相对固定的模式,即“组织(或人)在安全策略下借助于一定的安全技术手段进行持续的运作”。
图1 信息安全保障体系在建设中国移动通信集团西藏有限公司(以下简称为西藏移动)网络安全体系时,从横向主要包含安全管理和安全技术两个方面的要素,在采用各种安全技术控制措施的同时,制定层次化的安全策略,完善安全管理组织机构和安全管理人员配备,提高系统管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和安全管理实现对网络和系统的多层保护,减小其受到攻击的可能性,防范安全事件的发生,提高对安全事件的应急响应能力,在发生安全事件时尽量减少因事件造成的损失。
中国移动基础信息安全管理通用要求
中国移动基础信息安全管理通用要求一、总则为加强中国移动基础信息安全管理,保障移动通信信息系统及相关资源的安全性、可靠性和完整性,依据《中华人民共和国网络安全法》等相关法律法规,制定本通用要求。
二、信息安全管理机构1.设立信息安全管理机构,明确信息安全管理组织机构与管理层之间的职责及权限关系。
2.信息安全管理机构应配备足够的专业人员,负责信息安全管理工作的组织、协调、监督和指导。
3.信息安全管理机构应定期组织信息安全培训,提高全员信息安全意识和技能。
三、信息安全政策1.制定信息安全政策,明确信息安全目标、原则和体系。
2.信息安全政策应体现法律法规要求,保障用户隐私权和信息安全。
3.信息安全政策应经管理层审核、批准并向全员公布。
四、信息资产管理1.建立信息资产清单,对信息资产进行分类、归档和保护。
2.制定信息资产管理规范,明确信息资产的保密、完整性和可用性要求。
3.定期审核信息资产管理规范,保证其有效性和持续改进。
五、风险管理1.建立风险评估和风险处理制度,对关键信息系统和网络进行风险评估。
2.定期开展风险评估,根据评估结果制定风险处理计划和措施。
3.建立应急预案,做好信息安全事件的应急处置工作。
六、系统安全管理1.建立系统安全管理规范,对系统硬件、软件和网络进行安全管理。
2.对系统进行安全加固,保护系统的稳定性和可靠性。
3.建立系统审计机制,对系统操作进行监控和审计。
七、网络安全管理1.建立网络安全管理规范,保护网络的安全性和可靠性。
2.加强边界防护,确保网络的畅通和安全。
3.加密网络通信,防止网络数据泄露和窃听。
八、身份认证和访问控制1.建立用户身份认证机制,确保用户访问的合法性和安全性。
2.细化访问控制策略,根据不同用户权限控制其访问的范围和权限。
3.定期审核用户权限,避免权限滥用和泄露。
九、安全培训和教育1.定期开展信息安全培训,提高员工信息安全意识和技能。
2.加强安全意识教育,防范社会工程和网络攻击。
中国移动网络与信息安全保障体系
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
中国移动网络与信息安全保障体系
中国移动网络与信息安全保障体系
信息安全是信息服务提供商的核心保证
▪ 一个不安全的网络,将不可能提供高质量的信 息服务
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
中国移动网络与信息安全保障体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
网络与信息安 全领导小组
网络安全办 公室
网络部
….
信息系统部
….
网络运营中 …. 心
运营支撑中 心
网络与信息安全办公室负责公司具体的网络与信息安全工作 ,落实公司层面 的各项网络安全政策,牵头部门为网络部。
中国移动网络与信息安全保障体系
信息安全管理框架
总体策略
信息资产分类与控制
职员的安全管理
组
物理环境的安全
中 国移动网络与信息安全保障体系
中国移动网络与信息安全保障体系在当今数字化的时代,中国移动网络已经成为人们生活和工作中不可或缺的一部分。
从日常的通信交流到重要的金融交易,从便捷的在线购物到高效的远程办公,中国移动网络承载着海量的信息和关键的业务。
然而,随着网络的不断发展和应用的日益广泛,信息安全问题也日益凸显。
构建一个强大、有效的中国移动网络与信息安全保障体系,不仅关乎个人的隐私和权益,更关系到国家的安全和社会的稳定。
一、中国移动网络面临的信息安全挑战(一)网络攻击手段多样化如今,网络攻击的手段愈发复杂多样。
黑客可以利用漏洞进行恶意软件植入、拒绝服务攻击(DDoS)、网络钓鱼等,以获取用户的个人信息、破坏网络服务或实施敲诈勒索。
(二)移动设备的安全隐患智能手机、平板电脑等移动设备的普及带来了便捷,但也增加了安全风险。
设备操作系统的漏洞、恶意应用程序的存在以及用户安全意识的薄弱,都可能导致信息泄露。
(三)数据隐私保护问题大量的个人数据在中国移动网络中传输和存储,包括姓名、身份证号、银行卡号等敏感信息。
如何确保这些数据的合法收集、使用和保护,防止数据被滥用或泄露,是一个严峻的挑战。
(四)新兴技术带来的风险5G 网络、物联网、云计算等新兴技术的应用,在推动中国移动网络发展的同时,也引入了新的安全隐患。
例如,物联网设备的安全防护相对薄弱,容易成为攻击者的突破口。
二、中国移动网络与信息安全保障体系的构成要素(一)技术手段1、加密技术通过对数据进行加密,确保在传输和存储过程中的保密性和完整性,即使数据被窃取,也难以被解读。
2、身份认证与访问控制严格的身份认证机制和访问控制策略,确保只有合法用户能够访问相应的网络资源和数据。
3、防火墙与入侵检测系统防火墙用于阻挡外部非法访问,入侵检测系统则实时监测网络中的异常活动,及时发现并阻止潜在的攻击。
4、漏洞管理与修复定期对网络系统进行漏洞扫描,及时发现并修复安全漏洞,降低被攻击的风险。
(二)管理措施1、安全策略与制度制定完善的安全策略和制度,明确安全责任和流程,规范员工的网络行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2019年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2019年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
不能光管外人不管自己。(重在管理,其次是手段) – 对外来人员的进入,我们一定要限人、限时、限范围,明确进
入的时间、进入的目的。谁放厂家的人进去谁就要负责检查, 并做好记录,要承担起核心设备网元的管理权,出了问题要承 担责任。
信息安全是信息服务提供商的核心保证
▪ 一个不安全的网络,将不可能提供高质量的信 息服务
从2019年2月开始,复制出了14000个充值密码。获利380 万。
2019年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
▪ 北京ADSL断网事件
– 2019年7月12日14:35左右,北京地区互联网大面 积断网。
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒, 只讲我们自身的工作安全。
– 从全球及我们自身看,网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元,一定要实行
有效的多次密码认证的管理,严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。
信息安全操作层 运行、实施、保证
•建立垂直组织 •明确岗位职责 •贯彻分权制衡原则 •提高任职资格 •建立关键岗位人员选拔制度 •加强安全绩效考核
网络与信息安全体系总纲
技术规范
安全域划分技术规范、 IP专网接入安全要 求、安全产品测试规 范……
管理规范
帐号口令安全管理办 法、终端安全管理办 法……
操作手册
和具体系统相结合
流程、细则
和具体系统相结合
第一层 第二层 第三层
信息安全管理组织体系模型
信息安全决策层 决策、规划、保证机制
信息安全管理层 安全管理、工程、保证管理
•技术问题: •病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作
•法律方面 •网络滥用:员工发表政治言论、访问非法网站 •法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
信息安全事件回放(一)
全国最大的网上盗窃通讯资费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限
▪ 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
• 全面防范,突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
国家政策要求 企业发展战略 国内外标准 安全评估结果
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
可审查性
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
ห้องสมุดไป่ตู้
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析, 而不应基于信任管理
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
▪ 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;