企业开展网络信息安全工作的策略与方法概述

《企业开展网络信息安全工作的策略与方法概述》由会员分享，可在线阅读，更多相关《企业开展网络信息安全工作的策略与方法概述（37页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/2/8,#,中央企业开展网络信息安全工作的策略与方法,中国移动信息安全管理与运行中心,2013,年,6,月,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,宏观形势,信息安全成为社会热点问题,出台相关法律！,安全形势,国家高度重视,信息安全事关国家安全：,2013年3月韩国遭网络恐怖袭击，电视台及部分银行网络瘫痪,；,信息安全影响政治稳定：,北京,2012,年,3,月,19,日谣言事件；,信息安全影响经济发展：,2

2、012,年利用“火焰”病毒开展攻击，威胁国家、企业安全,。,网络安全形势不容乐观,网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点；,网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危害公众利益；,高级可持续攻击（,APT,攻击）活动频现，对国家和企业的数据安全造成严重威胁。,3,国家出台网络信息安全保护法律：,2012,年,12,月,28,日，全国人大常委会通过了,关于加强网络信息保护的决定,，以法律形式保护公民个人及法人信息安全，对运营商提出更高要求。,党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从,2013,年起将信息安全责任制落实情况纳

3、入到对运营商各省公司的绩效考核。公安部,信息安全等级保护管理办法,、,信息安全等级保护备案实施细则,对等级保护提出明确要求。,加快企业内部网络信息安全建设，,实现企业网络信息安全水平的整体提升,驱动力,上级部门,监管愈加,严格,外部安全,威胁日益,严峻,内部安全,体系有待,完善,员工安全,意识较为,薄弱,网络信息安全体系建设的驱动力,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,网络信息安全工作方法,信息安全的宗旨和目标,信息安全现状,信息安全体系框架,信息安全规划,体系运营,信息安全策略体系建设与推广,

4、定期评估、检查、审计和持续改进,信息安全组织体系建立与健全,信息安全技术体系设计与建设,信息安全建设与运行体系建设与推广,信息安全体系总体框架,建立符合业界标准的目标架构,依据,ISO27001,、,COBIT,等信息安全管理标准，从安全策略体系、安全组织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。,一,、安全策略,四、,人员安全,五,.,物理及环境安全,二、安全组织,三、资产管理,六,.,通信与操作管理,八,、,信息系统获得、开发与维护,七、访问控制,十、业务持续性管理,十一、符合性,九、信息安全事件管理,安全策略体系,安全战略确定,管理制度,组织职责,技术标准规范,安全组

5、织体系,安全,组织,人员,职责,教育,培训,人员,安全,安全运行体系,安全体系建设与推广,项目建设的安全管理,风险管理与定期评估,日常安全运行与维护,用户,安全,网络,安全,终端,安全,主机,安全,物理,安全,安全技术体系,应用,安全,数据,安全,信息安全体系的有机组成,通过分析,ISF,和,ISO 27000,，安全工作由安全策略、安全组织、安全技术、安全运维四个基本要素构成，每一项信息安全工作都可以从这四个维度去考虑。,安全组织,安全运维,安全,技术,安全策略,依据什么规定和要求？,信息安全策略,信息安全规范,信息安全操作流程和细则,通过何种技术和手段？,谁来做？,安全组织,人员职责,教育

6、培训,人员安全,做什么事？,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,信息安,全,全策略,体,体系框,架,架,信息安,全,全制度,标,标准体,系,系,参考等级保,护,护、,ISO27000,、电信,网,网和互,联,联网安,全,全防护,体,体系标,准,准等行业,和,和国际,标,标准，,建,建立了,信,信息安,全,全制度,标,标准体,系,系,制度体,系,系：,制度方,针,针、规,范,范办法,、,、作业,指,指南,3,层次，,共,共,270,余个；,标准体,系,系：,涵盖通,用,用安全,技,技术、,通,通信

7、网,安,安全、,支,支撑网,安,安全、,业,业务安,全,全、安,全,全防护,等,等方面,，,，近,100,个技术标,准,准,月报制度,：,：制定 信,息,息安全评,价,价指标，,建,建立定报,制,制度，每,月,月下发信,息,息安全通,报,报，及时,向,向省公司,提,提出预警,及,及管理要,求,求。,专报制度,：,：对影响公,司,司发展的,业,业务、技,术,术、管理,安,安全风险,进,进行分析,，,，向管理,层,层提交信,息,息安全专,报,报，发出,安,安全预警,，,，降低风,险,险。,整改工单,：,：就信息安,全,全风险、,安,安全事件,，,，向各单,位,位下发整,改,改工单。,制定信息,安,

8、安全定报,制,制度、,信息安全,考,考核,管理办法,，,，是推动,信,信息安全,工,工作有效,落,落实的重,要,要手段。,信息安全,考,考核评价,体,体系,业务通报,整改要求,目 录,当前形势,1,下一步展,望,望,3,网络信息,安,安全工作,框,框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,信息安全,决,决策机构,：,：从企业,高,高层的角,度,度对于信,息,息安全方,面,面的工作,进,进行指导,和,和控制,信息安全,管,管理机构,：,：整个信,息,息安全管,理,理体系建,立,立和维护,的,的组织者,和,和管理者,信息安全,执,执行机构,：,：负责具,体,

9、体信息安,全,全工作的,执,执行和开,展,展,信息安全,监,监管机构,：,：对企业,内,内信息安,全,全工作的,开,开展情况,进,进行独立,的,的审查和,监,监督。,信息安全,组,组织体系,框,框架,2009.7,客户信息,安,安全保护,委,委员会,2008.4,治理垃圾,短,短信领导,小,小组,2001.10,信息安全,领,领导小组,贯彻执行,政,政府相关,部,部门信息,安,安全政策,、,、方针和,各,各项工作,要,要求，并,下,下设信息,安,安全办公,室,室。,负责治理,垃,垃圾短信,的,的相关工,作,作；,贯彻落实,国,国家相关,法,法规；,研究、制,定,定客户信,息,息安全管,理,理工

10、作有,关,关制度与,措,措施；,2009.12,打击利用,手,手机传播,淫,淫秽色情,信,信息专项,工,工作领导,小,小组,贯彻落实,国,国家相关,法,法规；,研究、制,定,定打击利,用,用手机传,播,播淫秽色,情,情信息专,项,项工作的,总,总体方案,；,；,重大突发,事,事件应急,处,处置及对,外,外沟通协,调,调工作,2011.11,信息安全,管,管理与运,行,行中心,两归口，,两,两集中：,归,归口信息,安,安全管理,工,工作、归,口,口不良信,息,息治理工,作,作，以及,负,负责开展,不,不良信息,集,集中治理,、,、开展信,息,息安全集,中,中运营工,作,作。,2010.3,信息安

11、全,管,管理部,对上承接,、,、对下监,督,督检查、,横,横向协调,；,；,贯彻落实,国,国家要求,；,；,组织制定,管,管理制度,；,；,制订目标,、,、策略和,标,标准,建立信息,安,安全管理,体,体系和监,督,督评价体,系,系；,信息组织,机,机构,-,中国移动,根据工信,部,部、国资,委,委信息安,全,全责任考,核,核要求，,各,各省公司,要,要成立专,职,职信息安,全,全管理机,构,构。,信息安全,组,组织机构,制定信息,安,安全责任,矩,矩阵，分,解,解安全责,任,任到各专,业,业部门。,信息安全,人,人才队伍,建,建设,专家队伍,论坛交流,：围绕,安全,工作重点,，,，,每年开展

12、,论,论坛交流,论坛研讨,：,：各省人员,就,就论坛主,题,题,进行,交流，,共享,经验,论坛交流,定期培训,开展网络,安,安全大比,武,武等形式,，,，选拔组,建,建内部红,客,客团队。,组,组织红客,队,队伍参与,评,评估、测,试,试、审计,、,、安全检,查,查及应急,演,演练，锻,炼,炼和提升,专,专家队伍,能,能力。,网上培训,：,：通过网上,大,大学，进,行,行网络培,训,训；,现场培训,：,：每季度组,织,织安全专,业,业人员技,术,术培训；,宣传教育：通过宣,传,传片、橱,窗,窗等形式,，,，提升全,员,员安全意,识,识,通过定期,培,培训、实,战,战演练、,论,论坛交流,等,等

13、形式，,培,培养信息,安,安全专业,人,人才队伍,，,，支撑内,部,部信息安,全,全工作的,开,开展。,根据工信,部,部、国资,委,委信息安,全,全责任考,核,核要求，,配,配备相应,专,专职人员,，,，大省,15,名、中省,10,人、小省,5,人。,目 录,当前形势,1,下一步展,望,望,3,网络信息,安,安全工作,框,框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行,体,体系,安全,战,战略,管,管理,应用,安,安全,安全,运,运营,管,管理,文档,数,数据,安,安全,用户,安,安全,基础,设,设施,安,安全,战略,编,编制,与,与维,护,护,安全,差,差距,分

14、,分析,网络安全,安全域划分,防火墙,/VPN,网络入侵检测,网络准入控制,异常流量管理,网络应用安全,身份帐号管理,主帐号管理,从帐号管理,口令管理,认证管理,认证服务,单点登录,权限访问管理,资源管理,角色管理,授权管理,变更配置安全管理,变更安全检查,服务异常监控,配置安全检查,文档权限管理,文档策略管理,文档审计管理,安全,风,风险,管,管理,风险,收,收集,识,识别,风险,分,分析,计,计算,风险,监,监控,告,告警,风险,响,响应,处,处理,安全,审,审计,管,管理,审计,规,规则,定,定义,安全,战,战略,确,确定,安全,基,基线,管,管理,资产,分,分级,分,分类,资产,基,基

15、线,定,定义,安全,审,审计,预,预警,行为,审,审计,分,分析,KPI,指标,定,定义,安全架构与策略,组织架构保障,策略规范编制,系统架构设计,交易,与,与传,输,输管,理,理,应用,数,数据,权,权限,数据,接,接口,控,控制,数据,传,传输,控,控制,应用安全需求分析,安全威胁分析,安全设计模式,编码安全及评估,安全编码,静态代码分析,渗透测试,战略,维,维护,更,更新,存储,与,与访,问,问管,理,理,数据,存,存储,保,保护,数据,库,库权,限,限管,理,理,敏感,数,数据,加,加密,数据输,入,入验证,数据归,档,档销毁,战略,流程控,制,制,管理,公共安,全,全服务,物理安,全

16、,全,机房物理安,全,全,环境监控安,全,全,办公环境安,全,全,主机安全,主机安全加,固,固,主机入侵检,测,测,防病毒,/,垃圾邮件,补丁管理,终端安全,系统配置检,查,查,补丁管理,上网行为控,制,制,防病毒,/,恶意软件,19,信息安全技,术,术体系框架,安全防护体,系,系,安全管控平,台,台,持续推进网,络,络安全管控,平,平台应用，,使,使管控平台,成,成为日常维,护,护的主要通,道,道,管控平台,维护人员,终端,采集被管设备的登录日志，用于发现绕行行为,智能网,MISC,彩信,短信,语音,交换,WAP,通信网和业务系统,位置,服务,CMNET,其它运营商,出口路由器,网络流量恶意代码检测系统,四均分,分光器,不良信息,监测系统,僵木蠕监测,系,系统,流量清洗系,统,统,在互联网网,间,间互连链路,部,部署流量清,洗,洗系统和僵,木,木蠕监测系,统,统，为重要,系,系统提供集,中,中安全防护,，,，减少僵木,蠕,蠕、,DDOS,等攻击。,覆盖范围：,互联网国际,国,国内互联节,点,点,主要功能：,发现蠕虫、,木,木马、僵尸,网,网络流量，,识,识别蠕虫、,木,木马和僵尸,网