企業(yè)開展網(wǎng)絡信息安全工作的策略與方法概述

《企業(yè)開展網(wǎng)絡信息安全工作的策略與方法概述》由會員分享，可在線閱讀，更多相關《企業(yè)開展網(wǎng)絡信息安全工作的策略與方法概述（37頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,2021/2/8,#,中央企業(yè)開展網(wǎng)絡信息安全工作的策略與方法,中國移動信息安全管理與運行中心,2013,年,6,月,目 錄,當前形勢,1,下一步展望,3,網(wǎng)絡信息安全工作框架,2,2.1,策略體系,2.2,組織體系,2.3,技術體系,2.4,運行體系,宏觀形勢,信息安全成為社會熱點問題,出臺相關法律！,安全形勢,國家高度重視,信息安全事關國家安全：,2013年3月韓國遭網(wǎng)絡恐怖襲擊，電視臺及部分銀行網(wǎng)絡癱瘓,；,信息安全影響政治穩(wěn)定：,北京,2012,年,3,月,19,日謠言事件；,信息安全影響經(jīng)濟發(fā)展：,2

2、012,年利用“火焰”病毒開展攻擊，威脅國家、企業(yè)安全,。,網(wǎng)絡安全形勢不容樂觀,網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長態(tài)勢，網(wǎng)站用戶信息成為黑客竊取重點；,網(wǎng)絡釣魚日漸猖獗，嚴重影響在線金融服務和電子商務的發(fā)展，危害公眾利益；,高級可持續(xù)攻擊（,APT,攻擊）活動頻現(xiàn)，對國家和企業(yè)的數(shù)據(jù)安全造成嚴重威脅。,3,國家出臺網(wǎng)絡信息安全保護法律：,2012,年,12,月,28,日，全國人大常委會通過了,關于加強網(wǎng)絡信息保護的決定,，以法律形式保護公民個人及法人信息安全，對運營商提出更高要求。,黨的十八大報告明確指出要“健全信息安全保障體系”。工信部、國資委從,2013,年起將信息安全責任制落實情況納

3、入到對運營商各省公司的績效考核。公安部,信息安全等級保護管理辦法,、,信息安全等級保護備案實施細則,對等級保護提出明確要求。,加快企業(yè)內(nèi)部網(wǎng)絡信息安全建設，,實現(xiàn)企業(yè)網(wǎng)絡信息安全水平的整體提升,驅(qū)動力,上級部門,監(jiān)管愈加,嚴格,外部安全,威脅日益,嚴峻,內(nèi)部安全,體系有待,完善,員工安全,意識較為,薄弱,網(wǎng)絡信息安全體系建設的驅(qū)動力,目 錄,當前形勢,1,下一步展望,3,網(wǎng)絡信息安全工作框架,2,2.1,策略體系,2.2,組織體系,2.3,技術體系,2.4,運行體系,網(wǎng)絡信息安全工作方法,信息安全的宗旨和目標,信息安全現(xiàn)狀,信息安全體系框架,信息安全規(guī)劃,體系運營,信息安全策略體系建設與推廣,

4、定期評估、檢查、審計和持續(xù)改進,信息安全組織體系建立與健全,信息安全技術體系設計與建設,信息安全建設與運行體系建設與推廣,信息安全體系總體框架,建立符合業(yè)界標準的目標架構,依據(jù),ISO27001,、,COBIT,等信息安全管理標準，從安全策略體系、安全組織體系、安全運行體系、安全技術體系四個方面加強信息安全管理工作。,一,、安全策略,四、,人員安全,五,.,物理及環(huán)境安全,二、安全組織,三、資產(chǎn)管理,六,.,通信與操作管理,八,、,信息系統(tǒng)獲得、開發(fā)與維護,七、訪問控制,十、業(yè)務持續(xù)性管理,十一、符合性,九、信息安全事件管理,安全策略體系,安全戰(zhàn)略確定,管理制度,組織職責,技術標準規(guī)范,安全組

5、織體系,安全,組織,人員,職責,教育,培訓,人員,安全,安全運行體系,安全體系建設與推廣,項目建設的安全管理,風險管理與定期評估,日常安全運行與維護,用戶,安全,網(wǎng)絡,安全,終端,安全,主機,安全,物理,安全,安全技術體系,應用,安全,數(shù)據(jù),安全,信息安全體系的有機組成,通過分析,ISF,和,ISO 27000,，安全工作由安全策略、安全組織、安全技術、安全運維四個基本要素構成，每一項信息安全工作都可以從這四個維度去考慮。,安全組織,安全運維,安全,技術,安全策略,依據(jù)什么規(guī)定和要求？,信息安全策略,信息安全規(guī)范,信息安全操作流程和細則,通過何種技術和手段？,誰來做？,安全組織,人員職責,教育

6、培訓,人員安全,做什么事？,目 錄,當前形勢,1,下一步展望,3,網(wǎng)絡信息安全工作框架,2,2.1,策略體系,2.2,組織體系,2.3,技術體系,2.4,運行體系,信息安,全,全策略,體,體系框,架,架,信息安,全,全制度,標,標準體,系,系,參考等級保,護,護、,ISO27000,、電信,網(wǎng),網(wǎng)和互,聯(lián),聯(lián)網(wǎng)安,全,全防護,體,體系標,準,準等行業(yè),和,和國際,標,標準，,建,建立了,信,信息安,全,全制度,標,標準體,系,系,制度體,系,系：,制度方,針,針、規(guī),范,范辦法,、,、作業(yè),指,指南,3,層次，,共,共,270,余個；,標準體,系,系：,涵蓋通,用,用安全,技,技術、,通,通信

7、網(wǎng),安,安全、,支,支撐網(wǎng),安,安全、,業(yè),業(yè)務安,全,全、安,全,全防護,等,等方面,，,，近,100,個技術標,準,準,月報制度,：,：制定 信,息,息安全評,價,價指標，,建,建立定報,制,制度，每,月,月下發(fā)信,息,息安全通,報,報，及時,向,向省公司,提,提出預警,及,及管理要,求,求。,專報制度,：,：對影響公,司,司發(fā)展的,業(yè),業(yè)務、技,術,術、管理,安,安全風險,進,進行分析,，,，向管理,層,層提交信,息,息安全專,報,報，發(fā)出,安,安全預警,，,，降低風,險,險。,整改工單,：,：就信息安,全,全風險、,安,安全事件,，,，向各單,位,位下發(fā)整,改,改工單。,制定信息,安,

8、安全定報,制,制度、,信息安全,考,考核,管理辦法,，,，是推動,信,信息安全,工,工作有效,落,落實的重,要,要手段。,信息安全,考,考核評價,體,體系,業(yè)務通報,整改要求,目 錄,當前形勢,1,下一步展,望,望,3,網(wǎng)絡信息,安,安全工作,框,框架,2,2.1,策略體系,2.2,組織體系,2.3,技術體系,2.4,運行體系,信息安全,決,決策機構,：,：從企業(yè),高,高層的角,度,度對于信,息,息安全方,面,面的工作,進,進行指導,和,和控制,信息安全,管,管理機構,：,：整個信,息,息安全管,理,理體系建,立,立和維護,的,的組織者,和,和管理者,信息安全,執(zhí),執(zhí)行機構,：,：負責具,體,

9、體信息安,全,全工作的,執(zhí),執(zhí)行和開,展,展,信息安全,監(jiān),監(jiān)管機構,：,：對企業(yè),內(nèi),內(nèi)信息安,全,全工作的,開,開展情況,進,進行獨立,的,的審查和,監(jiān),監(jiān)督。,信息安全,組,組織體系,框,框架,2009.7,客戶信息,安,安全保護,委,委員會,2008.4,治理垃圾,短,短信領導,小,小組,2001.10,信息安全,領,領導小組,貫徹執(zhí)行,政,政府相關,部,部門信息,安,安全政策,、,、方針和,各,各項工作,要,要求，并,下,下設信息,安,安全辦公,室,室。,負責治理,垃,垃圾短信,的,的相關工,作,作；,貫徹落實,國,國家相關,法,法規(guī)；,研究、制,定,定客戶信,息,息安全管,理,理工

10、作有,關,關制度與,措,措施；,2009.12,打擊利用,手,手機傳播,淫,淫穢色情,信,信息專項,工,工作領導,小,小組,貫徹落實,國,國家相關,法,法規(guī)；,研究、制,定,定打擊利,用,用手機傳,播,播淫穢色,情,情信息專,項,項工作的,總,總體方案,；,；,重大突發(fā),事,事件應急,處,處置及對,外,外溝通協(xié),調(diào),調(diào)工作,2011.11,信息安全,管,管理與運,行,行中心,兩歸口，,兩,兩集中：,歸,歸口信息,安,安全管理,工,工作、歸,口,口不良信,息,息治理工,作,作，以及,負,負責開展,不,不良信息,集,集中治理,、,、開展信,息,息安全集,中,中運營工,作,作。,2010.3,信息安

11、全,管,管理部,對上承接,、,、對下監(jiān),督,督檢查、,橫,橫向協(xié)調(diào),；,；,貫徹落實,國,國家要求,；,；,組織制定,管,管理制度,；,；,制訂目標,、,、策略和,標,標準,建立信息,安,安全管理,體,體系和監(jiān),督,督評價體,系,系；,信息組織,機,機構,-,中國移動,根據(jù)工信,部,部、國資,委,委信息安,全,全責任考,核,核要求，,各,各省公司,要,要成立專,職,職信息安,全,全管理機,構,構。,信息安全,組,組織機構,制定信息,安,安全責任,矩,矩陣，分,解,解安全責,任,任到各專,業(yè),業(yè)部門。,信息安全,人,人才隊伍,建,建設,專家隊伍,論壇交流,：圍繞,安全,工作重點,，,，,每年開展

12、,論,論壇交流,論壇研討,：,：各省人員,就,就論壇主,題,題,進行,交流，,共享,經(jīng)驗,論壇交流,定期培訓,開展網(wǎng)絡,安,安全大比,武,武等形式,，,，選拔組,建,建內(nèi)部紅,客,客團隊。,組,組織紅客,隊,隊伍參與,評,評估、測,試,試、審計,、,、安全檢,查,查及應急,演,演練，鍛,煉,煉和提升,專,專家隊伍,能,能力。,網(wǎng)上培訓,：,：通過網(wǎng)上,大,大學，進,行,行網(wǎng)絡培,訓,訓；,現(xiàn)場培訓,：,：每季度組,織,織安全專,業(yè),業(yè)人員技,術,術培訓；,宣傳教育：通過宣,傳,傳片、櫥,窗,窗等形式,，,，提升全,員,員安全意,識,識,通過定期,培,培訓、實,戰(zhàn),戰(zhàn)演練、,論,論壇交流,等,等

13、形式，,培,培養(yǎng)信息,安,安全專業(yè),人,人才隊伍,，,，支撐內(nèi),部,部信息安,全,全工作的,開,開展。,根據(jù)工信,部,部、國資,委,委信息安,全,全責任考,核,核要求，,配,配備相應,專,專職人員,，,，大省,15,名、中省,10,人、小省,5,人。,目 錄,當前形勢,1,下一步展,望,望,3,網(wǎng)絡信息,安,安全工作,框,框架,2,2.1,策略體系,2.2,組織體系,2.3,技術體系,2.4,運行,體,體系,安全,戰(zhàn),戰(zhàn)略,管,管理,應用,安,安全,安全,運,運營,管,管理,文檔,數(shù),數(shù)據(jù),安,安全,用戶,安,安全,基礎,設,設施,安,安全,戰(zhàn)略,編,編制,與,與維,護,護,安全,差,差距,分

14、,分析,網(wǎng)絡安全,安全域劃分,防火墻,/VPN,網(wǎng)絡入侵檢測,網(wǎng)絡準入控制,異常流量管理,網(wǎng)絡應用安全,身份帳號管理,主帳號管理,從帳號管理,口令管理,認證管理,認證服務,單點登錄,權限訪問管理,資源管理,角色管理,授權管理,變更配置安全管理,變更安全檢查,服務異常監(jiān)控,配置安全檢查,文檔權限管理,文檔策略管理,文檔審計管理,安全,風,風險,管,管理,風險,收,收集,識,識別,風險,分,分析,計,計算,風險,監(jiān),監(jiān)控,告,告警,風險,響,響應,處,處理,安全,審,審計,管,管理,審計,規(guī),規(guī)則,定,定義,安全,戰(zhàn),戰(zhàn)略,確,確定,安全,基,基線,管,管理,資產(chǎn),分,分級,分,分類,資產(chǎn),基,基

15、線,定,定義,安全,審,審計,預,預警,行為,審,審計,分,分析,KPI,指標,定,定義,安全架構與策略,組織架構保障,策略規(guī)范編制,系統(tǒng)架構設計,交易,與,與傳,輸,輸管,理,理,應用,數(shù),數(shù)據(jù),權,權限,數(shù)據(jù),接,接口,控,控制,數(shù)據(jù),傳,傳輸,控,控制,應用安全需求分析,安全威脅分析,安全設計模式,編碼安全及評估,安全編碼,靜態(tài)代碼分析,滲透測試,戰(zhàn)略,維,維護,更,更新,存儲,與,與訪,問,問管,理,理,數(shù)據(jù),存,存儲,保,保護,數(shù)據(jù),庫,庫權,限,限管,理,理,敏感,數(shù),數(shù)據(jù),加,加密,數(shù)據(jù)輸,入,入驗證,數(shù)據(jù)歸,檔,檔銷毀,戰(zhàn)略,流程控,制,制,管理,公共安,全,全服務,物理安,全

16、,全,機房物理安,全,全,環(huán)境監(jiān)控安,全,全,辦公環(huán)境安,全,全,主機安全,主機安全加,固,固,主機入侵檢,測,測,防病毒,/,垃圾郵件,補丁管理,終端安全,系統(tǒng)配置檢,查,查,補丁管理,上網(wǎng)行為控,制,制,防病毒,/,惡意軟件,19,信息安全技,術,術體系框架,安全防護體,系,系,安全管控平,臺,臺,持續(xù)推進網(wǎng),絡,絡安全管控,平,平臺應用，,使,使管控平臺,成,成為日常維,護,護的主要通,道,道,管控平臺,維護人員,終端,采集被管設備的登錄日志，用于發(fā)現(xiàn)繞行行為,智能網(wǎng),MISC,彩信,短信,語音,交換,WAP,通信網(wǎng)和業(yè)務系統(tǒng),位置,服務,CMNET,其它運營商,出口路由器,網(wǎng)絡流量惡意代碼檢測系統(tǒng),四均分,分光器,不良信息,監(jiān)測系統(tǒng),僵木蠕監(jiān)測,系,系統(tǒng),流量清洗系,統(tǒng),統(tǒng),在互聯(lián)網(wǎng)網(wǎng),間,間互連鏈路,部,部署流量清,洗,洗系統(tǒng)和僵,木,木蠕監(jiān)測系,統(tǒng),統(tǒng)，為重要,系,系統(tǒng)提供集,中,中安全防護,，,，減少僵木,蠕,蠕、,DDOS,等攻擊。,覆蓋范圍：,互聯(lián)網(wǎng)國際,國,國內(nèi)互聯(lián)節(jié),點,點,主要功能：,發(fā)現(xiàn)蠕蟲、,木,木馬、僵尸,網(wǎng),網(wǎng)絡流量，,識,識別蠕蟲、,木,木馬和僵尸,網(wǎng)