中国移动网络与信息安全保障体系
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全事件回放(一)
全国最大的网上盗窃通讯资费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限 从2005年2月开始,复制出了14000个充值密码。获利380 万。 2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。 无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
▪ 两名电信公司员工利用职务上的便利篡改客户 资料,侵吞ADSL宽带用户服务费76.7万余元 ▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
通过 工具 威胁(破坏或滥用)
威胁 方
• 环 境
利用
系统漏洞
管理漏洞 物理漏洞
资产
中移动网络与信息安全体系建立紧迫性
中国移动网络与信息安全保障体系
目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。
网络与信息安全保障体系
指导思想:以风险管理为核心, 预防为主,技术手段为支撑, 围绕信息和信息系统生命周期, 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段 构成的具有自主创新能力和拓展能 力的安全体系,保障公司“做世界一 流企业”新跨越战略的实施。
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。 – 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
wenku.baidu.com
信息安全事件(四)
高层牵头 领导负责 全员参与 专人管理
管理规定 和技术指南
支撑 制定 建立
技术及防
基于
安全 执行 组织架构
安全 运行 运用
护支撑手段
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 业正常的业务运作! • 内部员工:
企业面临的主要信息安全问题
•人员问题:
•信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题
•特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据
•内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
•技术问题: •病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作 •法律方面 •网络滥用:员工发表政治言论、访问非法网站 •法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
基于信息安全管理国际标准BS7799/ISO17799
综合顾问的管理和技术经验,结合公司现有的信息安
全管理措施
以公司信息安全现状为基础,充分考虑了公司所存在
的信息安全风险
参考国外业界最佳实践,同时考虑国内的管理和法制
环境
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。 ▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
信息安全是信息服务提供商的核心保证
▪ 一个不安全的网络,将不可能提供高质量的信 息服务 ▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。 – 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。 – 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。
▪ 李跃总的讲话
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒, 只讲我们自身的工作安全。 – 从全球及我们自身看,网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元,一定要实行 有效的多次密码认证的管理,严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。 不能光管外人不管自己。(重在管理,其次是手段) – 对外来人员的进入,我们一定要限人、限时、限范围,明确进 入的时间、进入的目的。谁放厂家的人进去谁就要负责检查, 并做好记录,要承担起核心设备网元的管理权,出了问题要承 担责任。
影响企
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等! • 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
可用性 保密性 可审查性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并 能跟踪和追查
中移动信息安全建设原则与总体策略
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析, 而不应基于信任管理 • 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约 ▪ 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展; ▪ 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑; • 全面防范,突出重点