企业开展网络信息安全工作的策略与方法概述

中央企业开展网络信息安全工作

的策略与方法中国移动信息安全管理与运行中心2013年6月目录当前形势1下一步展望3网络信息安全工作框架2

2.1策略体系

2.2组织体系

2.3技术体系

2.4运行体系宏观形势信息安全成为社会热点问题出台相关法律！安全形势国家高度重视信息安全事关国家安全：2013年3月韩国遭网络恐怖袭击，电视台及部分银行网络瘫痪；信息安全影响政治稳定：北京2012年3月19日谣言事件；信息安全影响经济发展：2012年利用“火焰”病毒开展攻击，威胁国家、企业安全。网络安全形势不容乐观网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点；网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危害公众利益；高级可持续攻击（APT攻击）活动频现，对国家和企业的数据安全造成严重威胁。3国家出台网络信息安全保护法律：2012年12月28日，全国人大常委会通过了《关于加强网络信息保护的决定》，以法律形式保护公民个人及法人信息安全，对运营商提出更高要求。党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从2013年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部《信息安全等级保护管理办法》、《信息安全等级保护备案实施细则》对等级保护提出明确要求。加快企业内部网络信息安全建设，实现企业网络信息安全水平的整体提升驱动力上级部门监管愈加严格外部安全威胁日益严峻内部安全体系有待完善员工安全意识较为薄弱网络信息安全体系建设的驱动力目录当前形势1下一步展望3网络信息安全工作框架2

2.1策略体系

2.2组织体系

2.3技术体系

2.4运行体系网络信息安全工作方法信息安全的宗旨和目标信息安全现状信息安全体系框架信息安全规划体系运营信息安全策略体系建设与推广定期评估、检查、审计和持续改进信息安全组织体系建立与健全信息安全技术体系设计与建设信息安全建设与运行体系建设与推广信息安全体系总体框架——建立符合业界标准的目标架构依据ISO27001、COBIT等信息安全管理标准，从安全策略体系、安全组织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。一、安全策略

四、人员安全五.物理及环境安全

二、安全组织三、资产管理六.通信与操作管理八、信息系统获得、开发与维护七、访问控制十、业务持续性管理十一、符合性九、信息安全事件管理安全策略体系安全战略确定管理制度组织职责技术标准规范安全组织体系安全组织人员职责教育培训人员安全安全运行体系安全体系建设与推广项目建设的安全管理风险管理与定期评估日常安全运行与维护用户安全网络安全终端安全主机安全物理安全安全技术体系应用安全数据安全信息安全体系的有机组成通过分析ISF和ISO27000，安全工作由安全策略、安全组织、安全技术、安全运维四个基本要素构成，每一项信息安全工作都可以从这四个维度去考虑。安全组织安全运维安全技术安全策略依据什么规定和要求？

信息安全策略

信息安全规范

信息安全操作流程和细则通过何种技术和手段？谁来做？

安全组织

人员职责

教育培训

人员安全做什么事？目录当前形势1下一步展望3网络信息安全工作框架2

2.1策略体系

2.2组织体系

2.3技术体系

2.4运行体系信息安全全策略体体系框架架信息安全全制度标标准体系系参考等级保护护、ISO27000、电信网网和互联联网安全全防护体体系标准准等行业和和国际标标准，建建立了信信息安全全制度标标准体系系制度体系系：制度方针针、规范范办法、、作业指指南3层次，共共270余个；标准体系系：涵盖通用用安全技技术、通通信网安安全、支支撑网安安全、业业务安全全、安全全防护等等方面，，近100个技术标准准月报制度：：制定信息息安全评价价指标，建建立定报制制度，每月月下发信息息安全通报报，及时向向省公司提提出预警及及管理要求求。专报制度：：对影响公司司发展的业业务、技术术、管理安安全风险进进行分析，，向管理层层提交信息息安全专报报，发出安安全预警，，降低风险险。整改工单：：就信息安全全风险、安安全事件，，向各单位位下发整改改工单。制定信息安安全定报制制度、信息安全考考核管理办法，，是推动信信息安全工工作有效落落实的重要要手段。信息安全考考核评价体体系业务通报整改要求目录当前形势1下一步展望望3网络信息安安全工作框框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系信息安全决决策机构：：从企业高高层的角度度对于信息息安全方面面的工作进进行指导和和控制信息安全管管理机构：：整个信息息安全管理理体系建立立和维护的的组织者和和管理者信息安全执执行机构：：负责具体体信息安全全工作的执执行和开展展信息安全监监管机构：：对企业内内信息安全全工作的开开展情况进进行独立的的审查和监监督。信息安全组组织体系框框架2009.7客户信息安安全保护委委员会2008.4治理垃圾短短信领导小小组2001.10信息安全领领导小组贯彻执行政政府相关部部门信息安安全政策、、方针和各各项工作要要求，并下下设信息安安全办公室室。负责治理垃垃圾短信的的相关工作作；贯彻落实国国家相关法法规；研究、制定定客户信息息安全管理理工作有关关制度与措措施；2009.12打击利用手手机传播淫淫秽色情信信息专项工工作领导小小组贯彻落实国国家相关法法规；研究、制定定打击利用用手机传播播淫秽色情情信息专项项工作的总总体方案；；重大突发事事件应急处处置及对外外沟通协调调工作2011.11信息安全管管理与运行行中心两归口，两两集中：归归口信息安安全管理工工作、归口口不良信息息治理工作作，以及负负责开展不不良信息集集中治理、、开展信息息安全集中中运营工作作。2010.3信息安全管管理部对上承接、、对下监督督检查、横横向协调；；贯彻落实国国家要求；；组织制定管管理制度；；制订目标、、策略和标标准建立信息安安全管理体体系和监督督评价体系系；信息组织机机构-中国移动根据工信部部、国资委委信息安全全责任考核核要求，各各省公司要要成立专职职信息安全全管理机构构。信息安全组组织机构制定信息安安全责任矩矩阵，分解解安全责任任到各专业业部门。信息安全人人才队伍建建设专家队伍论坛交流：围绕安全工作重点，，每年开展论论坛交流论坛研讨：：各省人员就就论坛主题题进行交流，共享经验论坛交流定期培训开展网络安安全大比武武等形式，，选拔组建建内部红客客团队。组组织红客队队伍参与评评估、测试试、审计、、安全检查查及应急演演练，锻炼炼和提升专专家队伍能能力。网上培训：：通过网上大大学，进行行网络培训训；现场培训：：每季度组织织安全专业业人员技术术培训；宣传教育：通过宣传传片、橱窗窗等形式，，提升全员员安全意识识通过定期培培训、实战战演练、论论坛交流等等形式，培培养信息安安全专业人人才队伍，，支撑内部部信息安全全工作的开开展。根据工信部部、国资委委信息安全全责任考核核要求，配配备相应专专职人员，，大省15名、中省10人、小省5人。目录当前形势1下一步展望望3网络信息安安全工作框框架22.1策略体系2.2组织体系2.3技术体系2.4运行体体系安全战战略管管理应用安安全安全运运营管管理文档数数据安安全用户安安全基础设设施安安全战略编编制与与维护护安全差差距分分析网络安全安全域划分防火墙/VPN网络入侵检测网络准入控制异常流量管理网络应用安全身份帐号管理主帐号管理从帐号管理口令管理认证管理认证服务单点登录权限访问管理资源管理角色管理授权管理变更配置安全管理变更安全检查服务异常监控配置安全检查文档权限管理文档策略管理文档审计管理安全风风险管管理风险收收集识识别风险分分析计计算风险监监控告告警风险响响应处处理安全审审计管管理审计规规则定定义安全战战略确确定安全基基线管管理资产分分级分分类资产基基线定定义安全审审计预预警行为审审计分分析KPI指标定定义安全架构与策略组织架构保障策略规范编制系统架构设计交易与与传输输管理理应用数数据权权限数据接接口控控制数据传传输控控制应用安全需求分析安全威胁分析安全设计模式编码安全及评估安全编码静态代码分析渗透测试战略维维护更更新存储与与访问问管理理数据存存储保保护数据库库权限限管理理敏感数数据加加密数据输入入验证数据归档档销毁战略流程控制制管理公共安全全服务物理安全全机房物理安全全环境监控安全全办公环境安全全主机安全主机安全加固固主机入侵检测测防病毒/垃圾邮件补丁管理终端安全系统配置检查查补丁管理上网行为控制制防病毒/恶意软件19信息安全技术术体系框架安全防护体系系—安全管控平台台持续推进网络络安全管控平平台应用，使使管控平台成成为日常维护护的主要通道道管控平台维护人员终端采集被管设备的登录日志，用于发现绕行行为智能网MISC彩信短信语音交换WAP通信网和业务系统位置服务CMNET其它运营商出口路由器网络流量恶意代码检测系统四均分分光器不良信息监测系统僵木蠕监测系系统流量清洗系统统在互联网网间间互连链路部部署流量清洗洗系统和僵木木蠕监测系统统，为重要系系统提供集中中安全防护，，减少僵木蠕蠕、DDOS等攻击。覆盖范围：互联网国际国国内互联节点点主要功能：发现蠕虫、木木马、僵尸网网络流量，识识别蠕虫、木木马和僵尸网网络的具体种种类，对感染染主机IP地址、木马/僵尸网络的受受控端和控制制端IP地址等信息产产生告警，便便于管理员组组织处理覆盖范围：互联网国际国国内互联节点点主要功能：具备结合动态态基线、异常常流量模型和和异常报文特特征，对流量量型拒绝服务务攻击(Dos/DDos等)进行清洗过滤滤，保证网络络的安全运行行安全技术体系系—互联网安全集集中防护安全技术体系系—网站纵深安全全防护脆弱性检测基于网络爬虫虫的主动扫描描技术，检测测网站状况，，并输出包含含风险分析及及解决方案的的监控数据。。篡改检测使用数字水印印技术及页面面框架比对等等技术，智能能的检测出网网站页面上是是否出现了不不寻常的新链链接。挂马检测采用“脚本本沙箱”技术术，能够完全全模拟所有的的脚本层交互互行为。脆弱性检测挂马检测可用性检测攻击检测篡改检测健康指数网站安全监控平台可用性检测可用性检测是是针对网站连连接性能的监监控功能，透透过监控引擎擎对网站页面面载入性能的的分析，记录录详细的网站站可用性数据据。攻击检测通过日志分析析，流量采集集，检测对网网站主机上的的入侵尝试信信息。健康指数支持通过一个个健康指数全全面反映网站站的健康状况况和态势。安全技术体系系—网站安全监控控安全运行管理理系统以风险险管理为核心心，以资产信信息库为基础础，主要包括括安全事件管管理、安全预预警管理、安安全风险管理理、安全对象象管理、安全全策略管理、、安全工作流流程管理等各各功能模块，，全面支持安安全运行管理理工作，逐步步实现动态、、可量化的安安全管理。安全技术体系系—安全运行管理理目录当前形势1下一步展望3网络信息安全全工作框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系根据公安部《信息安全等级级保护管理办办法》、《信息安全等级级保护备案实实施细则》和工业和信息化化部《通信网络安全全管理办法》（部第11号令），开展展等级保护工工作。定级备案符合性评测风险评估安全检查对正式投入运运行的通信网网络进行单元元划分，按照照遭到破坏后后可能对国家家安全、经济济运行、社会会秩序、公众众利益的危害害程度，由低到高划分分为五级，并并将划分和定定级情况向电电信管理机构构备案。按照相应级别别标准，落实实安全防护措措施，进行符符合性评测。。三级及以上通通信网络单元元每年进行一一次符合性评评测，二级通通信网络单元元每两年进行行一次符合性性评测。组织安全风险险评估，及时时发现并消除除重大网络安安全隐患。三级及以上通通信网络单元元每年进行一一次安全风险险评估，二级级通信网络单单元每两年进进行一次安全全风险评估。每年对通信网网络运行单位位开展通信网网络安全防护护工作的情况况进行检查，，并明确了检检查工作方式式和有关要求求。安全运行体系系—等级保护安全运行体系系—将安全生产融融入日常运维维规划人员规划管理人员、需求管理人员等。负责在业务需求规划、应用规划设计、系统规划设计中落实应用系统、基础设施的安全要求建设人员设计管理人员、建设实施人员、开发管理人员、测试管理人员、项目管理人员等负责在设计管理、项目管理、项目实施建设、开发测试、上线发布中落实安全要求运维人员应用管理人员、系统管理人员、网络管理人员、数据库管理人员、备份管理人员等

负责在应用系统、基础设施日常运行维护中落实安全要求安全人员安全管理人员（安全主管和安全管理员）和安全审核人员1、安全管理人员——负责组织制定并落实安全管理实施细则，指导和监督其他人员的安全工作，负责项目规划、设计、开发、测试、上线发布等安全评审，负责评估加固、配置变更、应急响应等。2、安全审核人员负责定期对安全状况、安全管理工作落实情况进行审核，提交审核报告。明确信息安全全责任，将网网络与信息安安全工作重点点从“事后处处理”转移到到“事前预防防”和“事中中监督”，从从源头上加以以防范。在新业务规划划环节：新制定的业务务规范中已明明确网络安全全要求，并在在设备集采评评分时有所体体现；在新签采购合合同：以合同附件形形式补充《保密协议》与《中国移动通用用网络与信息息安全责任条条款》，通过对网络络安全检查结结果分析以及及部分省的专专项了解，目目前各省已在在新签合同中中签署安全要要求。在设备入网环环节：增加网络安安全审核，进进行设备安全全功能、通用用安全补丁兼兼容性测试，，接入管控平平台，端口进进程、防护措措施是否正常常应用等项目目的检查，促促进设备安全全功能的提高高。在系统运维环环节：开展常态化安安全评估扫描描，针对发现现的安全问题题，及时进行行安全加固。。安全运行体系系—落实安全“三三同步”建立监督检查查工作机制，，开展常规安安全检查、第第三方监测、、事件稽查、、业务安全评评估，以查促促建、以查促促优，实现信信息安全能力力持续螺旋式式提升。风险发现风险控制风险评估闭环管理螺旋上升网络层、业务务层、端到端端的全面防护护分公司集团第三方按照通信网络络安全防护要要求，分系统统安全等级，，开展安全符符合性评测和和风险评估开展常态化日日常安全巡检检定期对各省互互联网系统进进行远程扫描描，不定期组组织现场专项项检查开展第三三方安全全监测，，发现的的风险及及时要求求省公司司核查整整改检查发现现问题通通报相关关单位，，督促相相关单位位限期解解决邀请国家家级安全全专控队队伍，对对重点地地区、重重要系统统进行安安全风险险排查多层次的的检查机机制安全运行行体系—安全检查查安全运行行体系—应急响应根据《互联网网络络安全应急急预案》等要求，定定期发布安安全预警，，开展安全全事件监测测，建立健健全公司应应急预案体体系。目录当前形势1下一步展望望3网络信息安安全工作框框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系日常检测每月开展互互联网网站站和设备开开展远程安安全扫描，，协助各省省公司发现现安全漏洞洞，降低互互联网入侵侵风险。基础安全排排查选取重点省省公司，邀邀请国家信信息安全专专控队伍，，开展现场场风险评估估、渗透测测试，改善善整体防护护水平。现场检测组织自有专专家队伍，，对省公司司基础安全全管理要求求落实情况况进行现场场抽查。远程检测在重要活动动前期，对对31省重要业务务系统进行行远程检测测，规避安安全风险。。针对不同安安全等级的的网络单元元，特别是是风险较高高的系统，，开展多层层次的网络络安全测评评和风险评评估，全面面提升通信信网络安全全综合防护护水平。32抓检测通过信息安安全合规管管理