中央企业开展网络安全工作策略和方式

1、中央企业开展网络安全工作策略和方式 目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系宏观形势 信息安全成为社会热点问题出台相关法律！ 安全形势 国家高度重视信息安全事关国家安全：2013年3月韩国遭网络恐怖袭击，电视台及部分银行网络瘫痪；信息安全影响政治稳定：北京2012年3月19日谣言事件；信息安全影响经济发展：2012年利用“火焰”病毒开展攻击，威胁国家、企业安全。 网络安全形势不容乐观网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点；网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危

2、害公众利益；高级可持续攻击（APT攻击）活动频现，对国家和企业的数据安全造成严重威胁。3国家出台网络信息安全保护法律：2012年12月28日，全国人大常委会通过了关于加强网络信息保护的决定，以法律形式保护公民个人及法人信息安全，对运营商提出更高要求。党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从2013年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部信息安全等级保护管理办法、信息安全等级保护备案实施细则对等级保护提出明确要求。加快企业内部网络信息安全建设，实现企业网络信息安全水平的整体提升驱动力上级部门监管愈加严格外部安全威胁日益严峻内部安全体系有待完善

3、员工安全意识较为薄弱 网络信息安全体系建设的驱动力 目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系网络信息安全工作方法信息安全的宗旨和目标信息安全现状信息安全体系框架信息安全规划体系运营信息安全策略体系建设与推广定期评估、检查、审计和持续改进信息安全组织体系建立与健全信息安全技术体系设计与建设信息安全建设与运行体系建设与推广信息安全体系总体框架建立符合业界标准的目标架构依据ISO27001、COBIT等信息安全管理标准，从安全策略体系、安全组织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。一、安全策略

4、 四、人员安全五.物理及环境安全 二、安全组织三、资产管理六.通信与操作管理八、信息系统获得、开发与维护七、访问控制十、业务持续性管理十一、符合性九、信息安全事件管理安全策略体系安全战略确定管理制度组织职责技术标准规范安全组织体系安全组织人员职责教育培训人员安全安全运行体系安全体系建设与推广项目建设的安全管理风险管理与定期评估日常安全运行与维护用户安全网络安全终端安全主机安全物理安全安全技术体系应用安全数据安全信息安全体系的有机组成通过分析ISF和ISO 27000，安全工作由安全策略、安全组织、安全技术、安全运维四个基本要素构成，每一项信息安全工作都可以从这四个维度去考虑。安全组织安全运维安

5、全技术安全策略依据什么规定和要求？ 信息安全策略 信息安全规范 信息安全操作流程和细则通过何种技术和手段？谁来做？ 安全组织 人员职责 教育培训 人员安全做什么事？目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系信息安全策略体系框架信息安全制度标准体系参考等级保护、ISO27000、电信网和互联网安全防护体系标准等行业和国际标准，建立了信息安全制度标准体系制度体系：制度方针、规范办法、作业指南3层次，共270余个；标准体系：涵盖通用安全技术、通信网安全、支撑网安全、业务安全、安全防护等方面，近100个技术标准 月报制度

6、：制定 信息安全评价指标，建立定报制度，每月下发信息安全通报，及时向省公司提出预警及管理要求。 专报制度：对影响公司发展的业务、技术、管理安全风险进行分析，向管理层提交信息安全专报，发出安全预警，降低风险。 整改工单：就信息安全风险、安全事件，向各单位下发整改工单。 制定信息安全定报制度、信息安全考核管理办法，是推动信息安全工作有效落实的重要手段。信息安全考核评价体系业务通报整改要求目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系信息安全决策机构：从企业高层的角度对于信息安全方面的工作进行指导和控制信息安全管理机构：整

7、个信息安全管理体系建立和维护的组织者和管理者信息安全执行机构：负责具体信息安全工作的执行和开展信息安全监管机构：对企业内信息安全工作的开展情况进行独立的审查和监督。信息安全组织体系框架2009.7客户信息安全保护委员会2008.4治理垃圾短信领导小组2001.10信息安全领导小组 贯彻执行政府相关部门信息安全政策、方针和各项工作要求，并下设信息安全办公室。 负责治理垃圾短信的相关工作； 贯彻落实国家相关法规；研究、制定客户信息安全管理工作有关制度与措施；2009.12打击利用手机传播淫秽色情信息专项工作领导小组 贯彻落实国家相关法规；研究、制定打击利用手机传播淫秽色情信息专项工作的总体方案；重

8、大突发事件应急处置及对外沟通协调工作2011.11信息安全管理与运行中心两归口，两集中：归口信息安全管理工作、归口不良信息治理工作，以及负责开展不良信息集中治理、开展信息安全集中运营工作。2010.3信息安全管理部对上承接、对下监督检查、横向协调；贯彻落实国家要求；组织制定管理制度；制订目标、策略和标准建立信息安全管理体系和监督评价体系；信息组织机构-中国移动根据工信部、国资委信息安全责任考核要求，各省公司要成立专职信息安全管理机构。信息安全组织机构 制定信息安全责任矩阵，分解安全责任到各专业部门。信息安全人才队伍建设专家队伍论坛交流：围绕安全工作重点，每年开展论坛交流论坛研讨：各省人员就论坛

9、主题进行交流，共享经验论坛交流定期培训 开展网络安全大比武等形式，选拔组建内部红客团队。组织红客队伍参与评估、测试、审计、安全检查及应急演练，锻炼和提升专家队伍能力。网上培训：通过网上大学，进行网络培训；现场培训：每季度组织安全专业人员技术培训；宣传教育：通过宣传片、橱窗等形式，提升全员安全意识 通过定期培训、实战演练、论坛交流等形式，培养信息安全专业人才队伍，支撑内部信息安全工作的开展。 根据工信部、国资委信息安全责任考核要求，配备相应专职人员，大省15名、中省10人、小省5人。目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4

10、 运行体系安全战略管理应用安全安全运营管理文档数据安全用户安全基础设施安全战略编制与维护安全差距分析网络安全安全域划分防火墙/VPN网络入侵检测网络准入控制异常流量管理网络应用安全身份帐号管理主帐号管理从帐号管理口令管理认证管理认证服务单点登录权限访问管理资源管理角色管理授权管理变更配置安全管理变更安全检查服务异常监控配置安全检查文档权限管理文档策略管理文档审计管理安全风险管理风险收集识别风险分析计算风险监控告警风险响应处理安全审计管理审计规则定义安全战略确定安全基线管理资产分级分类资产基线定义安全审计预警行为审计分析KPI指标定义安全架构与策略组织架构保障策略规范编制系统架构设计交易与传输管

11、理应用数据权限数据接口控制数据传输控制应用安全需求分析安全威胁分析安全设计模式编码安全及评估安全编码静态代码分析渗透测试战略维护更新存储与访问管理数据存储保护数据库权限管理敏感数据加密数据输入验证数据归档销毁战略流程控制管理公共安全服务物理安全机房物理安全环境监控安全办公环境安全主机安全主机安全加固主机入侵检测防病毒/垃圾邮件补丁管理终端安全系统配置检查补丁管理上网行为控制防病毒/恶意软件19信息安全技术体系框架安全防护体系安全管控平台持续推进网络安全管控平台应用，使管控平台成为日常维护的主要通道管控平台维护人员终端采集被管设备的登录日志，用于发现绕行行为智能网MISC彩信短信语音交换WAP通

12、信网和业务系统位置服务CMNET其它运营商出口路由器网络流量恶意代码检测系统四均分分光器不良信息监测系统僵木蠕监测系统流量清洗系统 在互联网网间互连链路部署流量清洗系统和僵木蠕监测系统，为重要系统提供集中安全防护，减少僵木蠕、DDOS等攻击。覆盖范围：互联网国际国内互联节点主要功能：发现蠕虫、木马、僵尸网络流量，识别蠕虫、木马和僵尸网络的具体种类，对感染主机IP地址、木马/僵尸网络的受控端和控制端IP地址等信息产生告警，便于管理员组织处理覆盖范围：互联网国际国内互联节点主要功能：具备结合动态基线、异常流量模型和异常报文特征，对流量型拒绝服务攻击(Dos/DDos等)进行清洗过滤，保证网络的安全

13、运行安全技术体系互联网安全集中防护安全技术体系网站纵深安全防护脆弱性检测基于网络爬虫的主动扫描技术，检测网站状况，并输出包含风险分析及解决方案的监控数据。篡改检测使用数字水印技术及页面框架比对等技术，智能的检测出网站页面上是否出现了不寻常的新链接。挂马检测采用 “脚本沙箱”技术，能够完全模拟所有的脚本层交互行为。脆弱性 检测挂马检测可用性检测攻击 检测篡改 检测健康指数网站安全监控平台可用性检测可用性检测是针对网站连接性能的监控功能，透过监控引擎对网站页面载入性能的分析，记录详细的网站可用性数据。攻击检测通过日志分析，流量采集，检测对网站主机上的入侵尝试信息。健康指数支持通过一个健康指数全面反

14、映网站的健康状况和态势。安全技术体系网站安全监控安全运行管理系统以风险管理为核心，以资产信息库为基础，主要包括安全事件管理、安全预警管理、安全风险管理、安全对象管理、安全策略管理、安全工作流程管理等各功能模块，全面支持安全运行管理工作，逐步实现动态、可量化的安全管理。安全技术体系安全运行管理目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系根据公安部信息安全等级保护管理办法、信息安全等级保护备案实施细则和工业和信息化部通信网络安全管理办法（部第11号令），开展等级保护工作。定级备案符合性评测风险评估安全检查对正式投入运行

15、的通信网络进行单元划分，按照遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高划分为五级，并将划分和定级情况向电信管理机构备案。按照相应级别标准，落实安全防护措施，进行符合性评测。三级及以上通信网络单元每年进行一次符合性评测，二级通信网络单元每两年进行一次符合性评测。组织安全风险评估，及时发现并消除重大网络安全隐患。三级及以上通信网络单元每年进行一次安全风险评估，二级通信网络单元每两年进行一次安全风险评估。每年对通信网络运行单位开展通信网络安全防护工作的情况进行检查，并明确了检查工作方式和有关要求。安全运行体系等级保护安全运行体系将安全生产融入日常运维规划人员规划管理人

16、员、需求管理人员等。负责在业务需求规划、应用规划设计、系统规划设计中落实应用系统、基础设施的安全要求建设人员设计管理人员、建设实施人员、开发管理人员、测试管理人员、项目管理人员等负责在设计管理、项目管理、项目实施建设、开发测试、上线发布中落实安全要求运维人员应用管理人员、系统管理人员、网络管理人员、数据库管理人员、备份管理人员等 负责在应用系统、基础设施日常运行维护中落实安全要求安全人员安全管理人员（安全主管和安全管理员）和安全审核人员1、安全管理人员负责组织制定并落实安全管理实施细则，指导和监督其他人员的安全工作，负责项目规划、设计、开发、测试、上线发布等安全评审，负责评估加固、配置变更、应

17、急响应等。 2、安全审核人员负责定期对安全状况、安全管理工作落实情况进行审核，提交审核报告。明确信息安全责任，将网络与信息安全工作重点从“事后处理”转移到“事前预防”和“事中监督”，从源头上加以防范。在新业务规划环节：新制定的业务规范中已明确网络安全要求，并在设备集采评分时有所体现；在新签采购合同：以合同附件形式补充保密协议与中国移动通用网络与信息安全责任条款，通过对网络安全检查结果分析以及部分省的专项了解，目前各省已在新签合同中签署安全要求。在设备入网环节：增加网络安全审核，进行设备安全功能、通用安全补丁兼容性测试，接入管控平台，端口进程、防护措施是否正常应用等项目的检查，促进设备安全功能的

18、提高。在系统运维环节：开展常态化安全评估扫描，针对发现的安全问题，及时进行安全加固。安全运行体系落实安全“三同步” 建立监督检查工作机制，开展常规安全检查、第三方监测、事件稽查、业务安全评估，以查促建、以查促优，实现信息安全能力持续螺旋式提升。风险发现风险控制风险评估闭环管理螺旋上升网络层、业务层、端到端的全面防护分公司集团第三方按照通信网络安全防护要求，分系统安全等级，开展安全符合性评测和风险评估开展常态化日常安全巡检定期对各省互联网系统进行远程扫描，不定期组织现场专项检查开展第三方安全监测，发现的风险及时要求省公司核查整改检查发现问题通报相关单位，督促相关单位限期解决邀请国家级安全专控队伍

19、，对重点地区、重要系统进行安全风险排查多层次的检查机制安全运行体系安全检查安全运行体系应急响应 根据互联网网络安全应急预案等要求，定期发布安全预警，开展安全事件监测，建立健全公司应急预案体系。目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1 策略体系 2.2 组织体系 2.3 技术体系 2.4 运行体系日 常检 测每月开展互联网网站和设备开展远程安全扫描，协助各省公司发现安全漏洞，降低互联网入侵风险。基础安全排查选取重点省公司，邀请国家信息安全专控队伍，开展现场风险评估、渗透测试，改善整体防护水平。现 场检 测组织自有专家队伍，对省公司基础安全管理要求落实情况进行现场抽查。远程检测在重要活动前期，对31省重要业务系统进行远程检测，规避安全风险。针对不同安全等级的网络单元，特别是风险较高的系统，开展多层次的网络安全测评和风险评估，全面提升通信网络安全综合防护水平。32