企业开展网络信息安全工作的策略与方法概述课件

目目 录录当前形势当前形势 1 1下一步展望下一步展望3 3网络信息安全工作框架网络信息安全工作框架2 2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系宏观形势宏观形势n 信息安全成为社会热点问题信息安全成为社会热点问题出台相关法律！出台相关法律！安全形势安全形势n 国家高度重视国家高度重视l信息安全事关国家安全：信息安全事关国家安全：2013年3月韩国遭网络恐怖袭击，电视台及部分银行网络瘫痪；l信息安全影响政治稳定：信息安全影响政治稳定：北京2012年3月19日谣言事件；l信息安全影响经济发展：信息安全影响经济发展：2012年利用“火焰”病毒开展攻击，威胁国家、企业安全。n 网络安全形势不容乐观网络安全形势不容乐观l网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点；l网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危害公众利益；l高级可持续攻击（APT攻击）活动频现，对国家和企业的数据安全造成严重威胁。2l国家出台网络信息安全保护法律：2012年12月28日，全国人大常委会通过了关于加强网络关于加强网络信息保护的决定信息保护的决定，以法律形式保护公民个人及法人信息安全，对运营商提出更高要求。l党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从2013年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部信息安全等级保护管理办法、信息安全等级保护备案实施细则对等级保护提出明确要求。3加快企业内部网络信息安全建设，实现企业网络信息安全水平的整体提升驱动力上级部门监管愈加严格外部安全威胁日益严峻内部安全体系有待完善员工安全意识较为薄弱 网络信息安全体系建设的驱动力网络信息安全体系建设的驱动力4 目目 录录当前形势当前形势 1 1下一步展望下一步展望3 3网络信息安全工作框架网络信息安全工作框架2 2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系5网络信息安全工作方法网络信息安全工作方法信息安全的宗旨和目标信息安全现状信息安全体系框架信息安全规划体系运营信息安全策略体系建设与推广定期评估、检查、审计和持续改进信息安全组织体系建立与健全信息安全技术体系设计与建设信息安全建设与运行体系建设与推广6信息安全体系总体框架信息安全体系总体框架建立符合业界标准的目标架构建立符合业界标准的目标架构依据ISO27001、COBIT等信息安全管理标准，从安全策略体系、安全组织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。一、安全策略 四、人员安全五.物理及环境安全 二、安全组织三、资产管理六.通信与操作管理八、信息系统获得、开发与维护七、访问控制十、业务持续性管理十一、符合性九、信息安全事件管理安全策略体系安全战略确定管理制度组织职责技术标准规范安全组织体系安全组织人员职责教育培训人员安全安全运行体系安全体系建设与推广项目建设的安全管理风险管理与定期评估日常安全运行与维护用户安全网络安全终端安全主机安全物理安全安全技术体系应用安全数据安全7信息安全体系的有机组成信息安全体系的有机组成通过分析ISF和ISO 27000，安全工作由安全策略、安全组织、安全技术、安全运维四个基本要素构成，每一项信息安全工作都可以从这四个维度去考虑。安全组织安全运维安全技术安全策略依据什么规定和要求？信息安全策略 信息安全规范 信息安全操作流程和细则通过何种技术和手段？谁来做？安全组织 人员职责 教育培训 人员安全做什么事？8目目 录录当前形势当前形势 1 1下一步展望下一步展望3 3网络信息安全工作框架网络信息安全工作框架2 2 2.1 2.1 策略体系策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系9信息安全策略体系框架信息安全策略体系框架10信息安全制度标准体系信息安全制度标准体系参考参考等级保护等级保护、ISO27000ISO27000、电信网和互联网安全防护体系标准、电信网和互联网安全防护体系标准等行业和国际标准，建立了信息安全制度标准体等行业和国际标准，建立了信息安全制度标准体系系制度体系：制度体系：制度方针、规范办法、作业指南3层次，共270余个；标准体系：标准体系：涵盖通用安全技术、通信网安全、支撑网安全、业务安全、安全防护等方面，近100个技术标准11n 月报制度：月报制度：制定制定 信息安全评价指标，建立定报制度，每月下发信息安全通报，及时向省公信息安全评价指标，建立定报制度，每月下发信息安全通报，及时向省公司提出预警及管理要求。司提出预警及管理要求。n 专报制度：专报制度：对影响公司发展的业务、技术、管理安全风险进行分析，向管理层提交信息安对影响公司发展的业务、技术、管理安全风险进行分析，向管理层提交信息安全专报，发出安全预警，降低风险。全专报，发出安全预警，降低风险。n 整改工单：整改工单：就信息安全风险、安全事件，向各单位下发整改工单。就信息安全风险、安全事件，向各单位下发整改工单。制定信息安全定报制度、制定信息安全定报制度、信息安全考核信息安全考核管理办法，是推动信息安全工作有效落实的管理办法，是推动信息安全工作有效落实的重要手段。重要手段。信息安全考核评价体系信息安全考核评价体系业务通报整改要求12目目 录录当前形势当前形势 1 1下一步展望下一步展望3 3网络信息安全工作框架网络信息安全工作框架2 2 2.1 策略体系 2.2 2.2 组织体系组织体系 2.3 技术体系 2.4 运行体系13信息安全决策机构：从企业高层的角度对于信息安全方面的工作进行指导和控制信息安全决策机构：从企业高层的角度对于信息安全方面的工作进行指导和控制信息安全管理机构：整个信息安全管理体系建立和维护的组织者和管理者信息安全管理机构：整个信息安全管理体系建立和维护的组织者和管理者信息安全执行机构：负责具体信息安全工作的执行和开展信息安全执行机构：负责具体信息安全工作的执行和开展信息安全监管机构：对企业内信息安全工作的开展情况进行独立的审查和监督。信息安全监管机构：对企业内信息安全工作的开展情况进行独立的审查和监督。信息安全组织体系框架信息安全组织体系框架142009.72009.7客户信息安客户信息安全保护委员全保护委员会会2008.42008.4治理垃圾治理垃圾短信领导短信领导小组小组2001.102001.10信息安全领信息安全领导小组导小组n 贯彻执行政府相关部门信息安全政策、方针和各项工作要求，并下设信息安全办公室。n 负责治理垃圾短信的相关工作；n 贯彻落实国家相关法规；n研究、制定客户信息安全管理工作有关制度与措施；2009.122009.12打击利用手打击利用手机传播淫秽机传播淫秽色情信息专色情信息专项工作领导项工作领导小组小组n 贯彻落实国家相关法规；n研究、制定打击利用手机传播淫秽色情信息专项工作的总体方案；n重大突发事件应急处置及对外沟通协调工作2011.112011.11信息安全管理与信息安全管理与运行中心运行中心n两归口，两集中：归两归口，两集中：归口信息安全管理工作、口信息安全管理工作、归口不良信息治理工作，归口不良信息治理工作，以及负责开展不良信息以及负责开展不良信息集中治理、开展信息安集中治理、开展信息安全集中运营工作。全集中运营工作。2010.32010.3信息安全信息安全管理部管理部n对上承接、对下监督检查、横向协调；n贯彻落实国家要求；n组织制定管理制度；n制订目标、策略和标准n建立信息安全管理体系和监督评价体系；信息组织机构信息组织机构-中国移动中国移动根据工信部、国资委信息安全责任考核要求，各省公司要成立专职信息安全管理机构。15信息安全组织机构信息安全组织机构 制定信息安全责任矩阵，分解安全责任到各专业部门。16信息安全人才队伍建设信息安全人才队伍建设专家队伍专家队伍n论坛交流论坛交流：围绕围绕安全安全工作重工作重点，点，每年开展论坛交流每年开展论坛交流n论坛研讨：论坛研讨：各省人员就论坛各省人员就论坛主题主题进行进行交流，交流，共享共享经验经验论坛交流论坛交流定期培训定期培训 开展网络安全大比武等形式，开展网络安全大比武等形式，选拔组建内部红客团队。组织选拔组建内部红客团队。组织红客队伍参与评估、测试、审红客队伍参与评估、测试、审计、安全检查及应急演练，锻计、安全检查及应急演练，锻炼和提升专家队伍能力。炼和提升专家队伍能力。n网上培训：网上培训：通过网上大学，通过网上大学，进行网络培训；进行网络培训；n现场培训：现场培训：每季度组织安全每季度组织安全专业人员技术培训；专业人员技术培训；n宣传教育宣传教育：通过宣传片、橱：通过宣传片、橱窗等形式，提升全员安全意识窗等形式，提升全员安全意识 通过定期培训、实战演练、论坛交流等形式，培养信息安全专业人才队伍，支撑内部信息安全工作的开展。根据工信部、国资委信息安全责任考核要求，配备相应专职人员，大省15名、中省10人、小省5人。17目目 录录当前形势当前形势 1 1下一步展望下一步展望3 3网络信息安全工作框架网络信息安全工作框架2 2 2.1 策略体系 2.2 组织体系 2.3 2.3 技术体系技术体系 2.4 运行体系18安全战略管理应用安全安全运营管理文档数据安全用户安全基础设施安全战略编制与维护战略编制与维护安全差距分析网络安全网络安全安全域划分防火墙/VPN网络入侵检测网络准入控制异常流量管理网络应用安全身份帐号管理身份帐号管理主帐号管理从帐号管理口令管理认证管理认证管理认证服务单点登录权限访问管理权限访问管理资源管理角色管理授权管理变更配置安全管理变更配置安全管理变更安全检查服务异常监控配置安全检查文档权限管理文档权限管理文档策略管理文档审计管理安全风险管理安全风险管理风险收集识别风险分析计算风险监控告警风险响应处理安全审计管理安全审计管理审计规则定义安全战略确定安全基线管理安全基线管理资产分级分类资产基线定义安全审计预警行为审计分析KPI指标定义安全架构与策略安全架构与策略组织架构保障策略规范编制系统架构设计交易与传输管理交易与传输管理应用数据权限数据接口控制数据传输控制应用安全需求分析应用安全需求分析安全威胁分析安全设计模式编码安全及评估编码安全及评估安全编码静态代码分析渗透测试战略维护更新存储与访问管理存储与访问管理数据存储保护数据库权限管理敏感数据加密数据输入验证数据归档销毁战略流程控制管理公共安全服务物理安全物理安全机房物理安全环境监控安全办公环境安全主机安全主机安全主机安全加固主机入侵检测防病毒/垃圾邮件补丁管理终端安全终端安全系统配置检查补丁管理上网行为控制 防病毒/恶意软件信息安全技术体系框架信息安全技术体系框架1819安全防护体系安全防护体系安全管控平台安全管控平台持续推进网络安全管控平台应用，使管控平台成为日常维护的主要通道管控平台管控平台维护人员维护人员终端终端采集被管设备的登录日志，用于发现绕行行为智能网MISC彩信短信语音交换WAP通信网和业务系统通信网和业务系统位置服务20僵木蠕监测系统流量清洗系统 在互联网网间互连链路部署流量清洗系统和僵木蠕监测系统，为重要系统提供集中安全防护，减少僵木蠕、DDOS等攻击。u覆盖范围：覆盖范围：互联网国际国内互联节点u主要功能：主要功能：发现蠕虫、木马、僵尸网络流量，识别蠕虫、木马和僵尸网络的具体种类，对感染主机IP地址、木马/僵尸网络的受控端和控制端IP地址等信息产生告警，便于管理员组织处理u覆盖范围：覆盖范围：互联网国际国内互联节点u主要功能：主要功能：具备结合动态基线、异常流量模型和异常报文特征，对流量型拒绝服务攻击(Dos/DDos等)进行清洗过滤，保证网络的安全运行安全技术体系安全技术体系互联网安全集中防护互联网安全集中防护21安全技术体系安全技术体系网站纵深安全防护网站纵深安全防护22脆弱性检测基于网络爬虫的主动扫描技术，检测网站状况，并输出包含风险分析及解决方案的监控数据。篡改检测使用数字水印技术及页面框架比对等技术，智能的检测出网站页面上是否出现了不寻常的新链接。挂马检测采用“脚本沙箱”技术，能够完全模拟所有的脚本层交互行为。脆弱性脆弱性 检测检测挂马挂马检测检测可用性可用性检测检测攻击攻击 检测检测篡改篡改 检测检测健康健康指数指数网站安全网站安全监控平台监控平台可用性检测可用性检测可用性检测是针对网站连可用性检测是针对网站连接性能的监控功能，透过接性能的监控功能，透过监控引擎对网站页面载入监控引擎对网站页面载入性能的分析，记录详细的性能的分析，记录详细的网站可用性数据。网站可用性数据。攻击检测攻击检测通过日志分析，流量采集，通过日志分析，流量采集，检测对网站主机上的入侵检测对网站主机上的入侵尝试信息。尝试信息。健康指数健康指数支持通过一个健康指数全支持通过一个健康指数全面反映网站的健康状况和面反映网站的健康状况和态势。态势。安全技术体系安全技术体系网站安全监控网站安全监控23安全运行管理系统以风险管理为核心，以资产信息库为基础，主要包括安全事件管理、安全预警管理、安全风险管理、安全对象管理、安全策略管理、安全工作流程管理等各功能模块，全面支持安全运行管理工作，逐步实现动态、可量化的安全管理。安全技术体系安全技术体系安全运行管理安全运行管理24目目 录录当前形势当前形势 1 1下一步展望下一步展望3 3网络信息安全工作框架网络信息安全工作框架2 2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 2.4 运行体系运行体系25根据公安部信息安全等级保护管理办法、信息安全等级保护备案实施细则和工业和信息化部通信网络安全管理办法（部第11号令），开展等级保护工作。定级备案符合性评测风险评估安全检查对正式投入运行的通信网络进行单元划分，按照遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高划分为五级，并将划分和定级情况向电信管理机构备案。按照相应级别标准，落实安全防护措施，进行符合性评测。三级及以上通信网络单元每年进行一次符合性评测，二级通信网络单元每两年进行一次符合性评测。组织安全风险评估，及时发现并消除重大网络安全隐患。三级及以上通信网络单元每年进行一次安全风险评估，二级通信网络单元每两年进行一次安全风险评估。每年对通信网络运行单位开展通信网络安全防护工作的情况进行检查，并明确了检查工作方式和有关要求。安全运行体系安全运行体系等级保护等级保护26安全运行体系安全运行体系将安全生产融入日常运维将安全生产融入日常运维规划规划规划规划人员人员人员人员规划管理人员、需求管理人员等。负责在业务需求规划、应用规划设计、系统规划设计中落实应用系统、基础设施的安全要求建设建设建设建设人员人员人员人员设计管理人员、建设实施人员、开发管理人员、测试管理人员、项目管理人员等负责在设计管理、项目管理、项目实施建设、开发测试、上线发布中落实安全要求运维运维运维运维人员人员人员人员应用管理人员、系统管理人员、网络管理人员、数据库管理人员、备份管理人员等 负责在应用系统、基础设施日常运行维护中落实安全要求安全安全安全安全人员人员人员人员安全管理人员（安全主管和安全管理员）和安全审核人员1、安全管理人员负责组织制定并落实安全管理实施细则，指导和监督其他人员的安全工作，负责项目规划、设计、开发、测试、上线发布等安全评审，负责评估加固、配置变更、应急响应等。2、安全审核人员负责定期对安全状况、安全管理工作落实情况进行审核，提交审核报告。n明确信息安全责任，将网络与信息安全工作重点从“事后处理”转移到“事前预防”和“事中监督”，从源头上加以防范。27n在新业务规划环节：在新业务规划环节：新制定的业务规范中已明确网络安全要求，并在设备集采评分时有所体现；n在新签采购合同：在新签采购合同：以合同附件形式补充保密协议与中国移动通用网络与信息安全责任条款，通过对网络安全检查结果分析以及部分省的专项了解，目前各省已在新签合同中签署安全要求。n在设备入网环节在设备入网环节：增加网络安全审核，进行设备安全功能、通用安全补丁兼容性测试，接入管控平台，端口进程、防护措施是否正常应用等项目的检查，促进设备安全功能的提高。n在系统运维环节：在系统运维环节：开展常态化安全评估扫描，针对发现的安全问题，及时进行安全加固。安全运行体系安全运行体系落实安全落实安全“三同步三同步”28 建立监督检查工作机制，开展常规安全检查、第三方监测、事件稽查、业务安建立监督检查工作机制，开展常规安全检查、第三方监测、事件稽查、业务安全评估，以查促建、以查促优，实现信息安全能力持续螺旋式提升。全评估，以查促建、以查促优，实现信息安全能力持续螺旋式提升。闭环管理螺旋上升网络层、业务层、端到端的全面防护分公司集团第三方按照通信网络安全防护要求，分系统安全等级，开展安全符合性评测和风险评估开展常态化日常安全巡检定期对各省互联网系统进行远程扫描，不定期组织现场专项检查开展第三方安全监测，发现的风险及时要求省公司核查整改检查发现问题通报相关单位，督促相关单位限期解决邀请国家级安全专控队伍，对重点地区、重要系统进行安全风险排查多层次的检查机制安全运行体系安全运行体系安全检查安全检查29安全运行体系安全运行体系应急响应应急响应 根据根据互联网网络安全应急预案互联网网络安全应急预案等要求，定期发布安全预警，开展安全事件等要求，定期发布安全预警，开展安全事件监测，建立健全公司应急预案体系。监测，建立健全公司应急预案体系。30目目 录录当前形势当前形势 1 1下一步展望下一步展望3 3网络信息安全工作框架网络信息安全工作框架2 2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系31日日 常常检检 测测每月开展互联网网站和设备开展远程安全扫描，协助各省公司发现安全漏洞，降低互联网入侵风险。基础安基础安全排查全排查选取重点省公司，邀请国家信息安全专控队伍，开展现场风险评估、渗透测试，改善整体防护水平。现现 场场检检 测测组织自有专家队伍，对省公司基础安全管理要求落实情况进行现场抽查。远程远程检测检测在重要活动前期，对31省重要业务系统进行远程检测，规避安全风险。针对不同安全等级的网络单元，特别是风险较高的系统，开展多层次的网络安全测评和风险评估，全面提升通信网络安全综合防护水平。31抓检测抓检测32 通过信息安全合规管理平台，实现管理要求发布、任务执行、安全检查、整改跟踪的管理闭环，提升日常安全运营工作标准化和信息化水平。要求发布任务执行安全检查整改跟踪n总部下发信息安全任务n省公司上传安全执行结果n固化管理制度和流程n安全要求落实到人n检查任务下发n自动化安全检查n检查结果量化评价初步打造一套完整的、技管结合的、覆盖全国的合规管理体系。n跟踪整改样本和结果n对检查结果进行复核32促合规促合规33 强化新业务安全评估、业务安全实时监测、不知情定制研判，促进业务流程与安全流程有机统一。u新业务安全评估：对各省重要新业务上线开展安全评估，及时发现和消除安全风险，严防“带病上线”u业务安全实时监测：对各类业务信息安全风险进行实时监测，及时预警、消除隐患u恶意软件研判：以客户投诉为牵引，开展恶意软件违规定制的研判处置，及时进行用户反馈，提高客户满意度33降低业务降低业务安全风险安全风险强业务强业务34建队伍建队伍 大力与专业机构合作，注重实际操练，大力与专业机构合作，注重实际操练，“以查代练以查代练”；形成；形成总部与省公司两总部与省公司两集中，部省联动集中，部省联动机制。打造机制。打造“精英化精英化”安全专家队伍，安全专家队伍，集中优势力量解决重大问题集中优势力量解决重大问题 。34主要做法主要做法培养方式培养方式开展专业认证培训开展专业认证培训组织组织安全人员安全人员进行进行安全认证安全认证培训。培训。组织渗透测试技术培训组织渗透测试技术培训邀请专业公司培训重大活动远程安全检查、安全评邀请专业公司培训重大活动远程安全检查、安全评估、渗透测试的方法。估、渗透测试的方法。组织安全专家参与现场检查组织安全专家参与现场检查组织全网专家对部分省公司进行现场安全检查，通组织全网专家对部分省公司进行现场安全检查，通过现场安全检查提高安全专家的动手能力，并通过过现场安全检查提高安全专家的动手能力，并通过现场安全检查提高省公司的安全水平。现场安全检查提高省公司的安全水平。开展安全攻防演练开展安全攻防演练部署必要的安全工具与系统，开展安全攻防演练，部署必要的安全工具与系统，开展安全攻防演练，锻炼实操能力锻炼实操能力。1 12 23 34 4谢谢谢 谢 2012 中国移动版权所有 保留一切权利