单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,谢 谢,谢 谢,2012,中国移动版权所有 保留一切权利,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,谢 谢,谢 谢,2012,中国移动版权所有 保留一切权利,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,中央企业开展网络信息安全工作的策略与方法,中国移动信息安全管理与运行中心,2013,年,6,月,中央企业开展网络信息安全工作的策略与方法中国移动信息安全管,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,目 录当前形势 1下一步展望3网络信息安全工作框架2 2.,宏观形势,信息安全成为社会热点问题,出台相关法律!,安全形势,国家高度重视,信息安全事关国家安全:,2013年3月韩国遭网络恐怖袭击,电视台及部分银行网络瘫痪,;,信息安全影响政治稳定:,北京,2012,年,3,月,19,日谣言事件;,信息安全影响经济发展:,2012,年利用“火焰”病毒开展攻击,威胁国家、企业安全,。,网络安全形势不容乐观,网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取重点;,网络钓鱼日渐猖獗,严重影响在线金融服务和电子商务的发展,危害公众利益;,高级可持续攻击(,APT,攻击)活动频现,对国家和企业的数据安全造成严重威胁。,3,国家出台网络信息安全保护法律:,2012,年,12,月,28,日,全国人大常委会通过了,关于加强网络信息保护的决定,,以法律形式保护公民个人及法人信息安全,对运营商提出更高要求。,党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从,2013,年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部,信息安全等级保护管理办法,、,信息安全等级保护备案实施细则,对等级保护提出明确要求。,宏观形势 信息安全成为社会热点问题出台相关法律!安全形势,加快企业内部网络信息安全建设,,实现企业网络信息安全水平的整体提升,驱动力,上级部门,监管愈加,严格,外部安全,威胁日益,严峻,内部安全,体系有待,完善,员工安全,意识较为,薄弱,网络信息安全体系建设的驱动力,加快企业内部网络信息安全建设,驱动力上级部门外部安全内部安全,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,目 录当前形势 1下一步展望3网络信息安全工作框架2 2.,网络信息安全工作方法,信息安全的宗旨和目标,信息安全现状,信息安全体系框架,信息安全规划,体系运营,信息安全策略体系建设与推广,定期评估、检查、审计和持续改进,信息安全组织体系建立与健全,信息安全技术体系设计与建设,信息安全建设与运行体系建设与推广,网络信息安全工作方法信息安全的宗旨和目标信息安全现状信息安全,信息安全体系总体框架,建立符合业界标准的目标架构,依据,ISO27001,、,COBIT,等信息安全管理标准,从安全策略体系、安全组织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。,一,、安全策略,四、,人员安全,五,.,物理及环境安全,二、安全组织,三、资产管理,六,.,通信与操作管理,八,、,信息系统获得、开发与维护,七、访问控制,十、业务持续性管理,十一、符合性,九、信息安全事件管理,安全策略体系,安全战略确定,管理制度,组织职责,技术标准规范,安全组织体系,安全,组织,人员,职责,教育,培训,人员,安全,安全运行体系,安全体系建设与推广,项目建设的安全管理,风险管理与定期评估,日常安全运行与维护,用户,安全,网络,安全,终端,安全,主机,安全,物理,安全,安全技术体系,应用,安全,数据,安全,信息安全体系总体框架建立符合业界标准的目标架构依据ISO,信息安全体系的有机组成,通过分析,ISF,和,ISO 27000,,安全工作由安全策略、安全组织、安全技术、安全运维四个基本要素构成,每一项信息安全工作都可以从这四个维度去考虑。,安全组织,安全运维,安全,技术,安全策略,依据什么规定和要求?,信息安全策略,信息安全规范,信息安全操作流程和细则,通过何种技术和手段?,谁来做?,安全组织,人员职责,教育培训,人员安全,做什么事?,信息安全体系的有机组成通过分析ISF和ISO 27000,安,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1,信息安全策略体系框架,信息安全策略体系框架,信息安全制度标准体系,参考,等级保护,、,ISO27000,、电信网和互联网安全防护体系标准,等行业和国际标准,建立了信息安全制度标准体系,制度体系:,制度方针、规范办法、作业指南,3,层次,共,270,余个;,标准体系:,涵盖通用安全技术、通信网安全、支撑网安全、业务安全、安全防护等方面,近,100,个技术标准,信息安全制度标准体系参考等级保护、ISO27000、电信网和,月报制度:,制定 信息安全评价指标,建立定报制度,每月下发信息安全通报,及时向省公司提出预警及管理要求。,专报制度:,对影响公司发展的业务、技术、管理安全风险进行分析,向管理层提交信息安全专报,发出安全预警,降低风险。,整改工单:,就信息安全风险、安全事件,向各单位下发整改工单。,制定信息安全定报制度、,信息安全考核,管理办法,是推动信息安全工作有效落实的重要手段。,信息安全考核评价体系,业务通报,整改要求,月报制度:制定 信息安全评价指标,建立定报制度,每月下发信,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1,信息安全决策机构:从企业高层的角度对于信息安全方面的工作进行指导和控制,信息安全管理机构:整个信息安全管理体系建立和维护的组织者和管理者,信息安全执行机构:负责具体信息安全工作的执行和开展,信息安全监管机构:对企业内信息安全工作的开展情况进行独立的审查和监督。,信息安全组织体系框架,信息安全决策机构:从企业高层的角度对于信息安全方面的工作进行,2009.7,客户信息安全保护委员会,2008.4,治理垃圾短信领导小组,2001.10,信息安全领导小组,贯彻执行政府相关部门信息安全政策、方针和各项工作要求,并下设信息安全办公室。,负责治理垃圾短信的相关工作;,贯彻落实国家相关法规;,研究、制定客户信息安全管理工作有关制度与措施;,2009.12,打击利用手机传播淫秽色情信息专项工作领导小组,贯彻落实国家相关法规;,研究、制定打击利用手机传播淫秽色情信息专项工作的总体方案;,重大突发事件应急处置及对外沟通协调工作,2011.11,信息安全管理与运行中心,两归口,两集中:归口信息安全管理工作、归口不良信息治理工作,以及负责开展不良信息集中治理、开展信息安全集中运营工作。,2010.3,信息安全管理部,对上承接、对下监督检查、横向协调;,贯彻落实国家要求;,组织制定管理制度;,制订目标、策略和标准,建立信息安全管理体系和监督评价体系;,信息组织机构,-,中国移动,根据工信部、国资委信息安全责任考核要求,各省公司要成立专职信息安全管理机构。,2009.72008.42001.10 贯彻执行政府相关部门,信息安全组织机构,制定信息安全责任矩阵,分解安全责任到各专业部门。,信息安全组织机构 制定信息安全责任矩阵,分解安全责任,信息安全人才队伍建设,专家队伍,论坛交流,:,围绕,安全,工作重点,,每年开展论坛交流,论坛研讨:,各省人员就论坛主题,进行,交流,,共享,经验,论坛交流,定期培训,开展网络安全大比武等形式,选拔组建内部红客团队。组织红客队伍参与评估、测试、审计、安全检查及应急演练,锻炼和提升专家队伍能力。,网上培训:,通过网上大学,进行网络培训;,现场培训:,每季度组织安全专业人员技术培训;,宣传教育,:通过宣传片、橱窗等形式,提升全员安全意识,通过定期培训、实战演练、论坛交流等形式,培养信息安全专业人才队伍,支撑内部信息安全工作的开展。,根据工信部、国资委信息安全责任考核要求,配备相应专职人员,大省,15,名、中省,10,人、小省,5,人。,信息安全人才队伍建设专家队伍论坛交流:围绕安全工作重点,每年,目 录,当前形势,1,下一步展望,3,网络信息安全工作框架,2,2.1,策略体系,2.2,组织体系,2.3,技术体系,2.4,运行体系,目 录当前形势 1下一步展望3网络信息安全工作框架2 2.1,安全战略管理,应用安全,安全运营管理,文档数据安全,用户安全,基础设施安全,战略编制与维护,安全差距分析,网络安全,安全域划分,防火墙,/VPN,网络入侵检测,网络准入控制,异常流量管理,网络应用安全,身份帐号管理,主帐号管理,从帐号管理,口令管理,认证管理,认证服务,单点登录,权限访问管理,资源管理,角色管理,授权管理,变更配置安全管理,变更安全检查,服务异常监控,配置安全检查,文档权限管理,文档策略管理,文档审计管理,安全风险管理,风险收集识别,风险分析计算,风险监控告警,风险响应处理,安全审计管理,审计规则定义,安全战略确定,安全基线管理,资产分级分类,资产基线定义,安全审计预警,行为审计分析,KPI,指标定义,安全架构与策略,组织架构保障,策略规范编制,系统架构设计,交易与传输管理,应用数据权限,数据接口控制,数据传输控制,应用安全需求分析,安全威胁分析,安全设计模式,编码安全及评估,安全编码,静态代码分析,渗透测试,战略维护更新,存储与访问管理,数据存储保护,数据库权限管理,敏感数据加密,数据输入验证,数据归档销毁,战略,流程控制,管理,公共安全服务,物理安全,机房物理安全,环境监控安全,办公环境安全,主机安全,主机安全加固,主机入侵检测,防病毒,/,垃圾邮件,补丁管理,终端安全,系统配置检查,补丁管理,上网行为控制,防病毒,/,恶意软件,19,信息安全技术体系框架,安全战略管理应用安全安全运营管理文档数据安全用户安全基础设施,安全防护体系,安全管控平台,持续推进网络安全管控平台应用,使管控平台成为日常维护的主要通道,管控平台,维护人员,终端,采集被管设备的登录日志,用于发现绕行行为,智能网,MISC,彩信,短信,语音,交换,WAP,通信网和业务系统,位置,服务,安全防护体系安全管控平台持续推进网络安全管控平台应用,使管,CMNET,其它运营商,出口路由器,网络流量恶意代码检测系统,四均分,分光器,不良信息,监测系统,僵木蠕监测系统,流量清洗系统,在互联网网间互连链路部署流量清洗系统和僵木蠕监测系统,为重要系统提供集中安全防护,减少僵木蠕、,DDOS,等攻击。,覆盖范围:,互联网国际国内互联节点,主要功能:,发现蠕虫、木马、僵尸网络流量,识别蠕虫、木马和僵尸网络的具体种类,对感染主机,IP,