中央企业开展网络安全工作的策略与方法

中央企业开展网络信息安全工作的策略与方法中国移动信息安全管理与运行中心2013年6月2目录当前形势1下一步展望3网络信息安全工作框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系3宏观形势信息安全成为社会热点问题安全形势国家高度重视信息安全事关国家安全：2013年3月韩国遭网络恐怖袭击，电视台及部分银行网络瘫痪；信息安全影响政治稳定：北京2012年3月19日谣言事件；信息安全影响经济发展：2012年利用“火焰”病毒开展攻击，威胁国家、企业安全。网络安全形势不容乐观网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点；网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危害公众利益；高级可持续攻击（APT攻击）活动频现，对国家和企业的数据安全造成严重威胁。3国家出台网络信息安全保护法律：2012年12月28日，全国人大常委会通过了《关于加强网络信息保护的决定》，以法律形式保护公民个人及法人信息安全，对运营商提出更高要求。党的十八大报告明确指出要“健全信息安全保障体系”。工信部、国资委从2013年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部《信息安全等级保护管理办法》、《信息安全等级保护备案实施细则》对等级保护提出明确要求。4加快企业内部网络信息安全建设，实现企业网络信息安全水平的整体提升驱动力上级部门监管愈加严格外部安全威胁日益严峻内部安全体系有待完善员工安全意识较为薄弱网络信息安全体系建设的驱动力5目录当前形势1下一步展望3网络信息安全工作框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系6网络信息安全工作方法信息安全的宗旨和目标信息安全现状信息安全体系框架信息安全规划体系运营信息安全策略体系建设与推广定期评估、检查、审计和持续改进信息安全组织体系建立与健全信息安全技术体系设计与建设信息安全建设与运行体系建设与推广7信息安全体系总体框架——建立符合业界标准的目标架构依据ISO27001、COBIT等信息安全管理标准，从安全策略体系、安全组织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。一、安全策略四、人员安全五.物理及环境安全二、安全组织三、资产管理六.通信与操作管理八、信息系统获得、开发与维护七、访问控制十、业务持续性管理十一、符合性九、信息安全事件管理安全策略体系安全战略确定管理制度组织职责技术标准规范安全组织体系安全组织人员职责教育培训人员安全安全运行体系安全体系建设与推广项目建设的安全管理风险管理与定期评估日常安全运行与维护用户安全网络安全终端安全主机安全物理安全安全技术体系应用安全数据安全8信息安全体系的有机组成通过分析ISF和ISO27000，安全工作由安全策略、安全组织、安全技术、安全运维四个基本要素构成，每一项信息安全工作都可以从这四个维度去考虑。安全组织安全运维安全技术安全策略依据什么规定和要求？•信息安全策略•信息安全规范•信息安全操作流程和细则通过何种技术和手段？谁来做？•安全组织•人员职责•教育培训•人员安全做什么事？9目录当前形势1下一步展望3网络信息安全工作框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系10信息安全策略体系框架·信息资产分类和分级·管理员角色分配和职责·第三方安全控制要求·防病毒管理·信息安全日志管理·用户账号管理·信息安全保密管理·信息系统备份管理办法·业务持续计划·信息安全检查和审计·信息安全培训与教育管理办法·信息安全通报及预警·信息系统风险评估管理办法·信息系统安全管理办法·员工信息安全守则·变更管理流程·业务持续与灾难恢复步骤·安全事件管理流程·信息系统应急预案·安全维护管理流程·安全补丁管理流程·安全加密规范·应用备份和恢复管理办法·应用开发安全管理·各类企业通用应用安全配置标准：数据库，电子邮件，门户，WEB等·系统备份管理规范·操作系统安全配置标准·安全补丁管理办法·网络安全规范·远程访问安全管理办法·网络互连管理办法·终端安全配置标准·桌面系统安全管理规范·应用用户账号管理流程·数据库安全配置手册·门户系统安全配置手册·电子邮件系统安全配置手册·Web服务器安全配置手册·应用备份及恢复步骤·信息分级及信息门户授权规则·操作系统安全配置手册·操作系统账号管理流程·系统备份及恢复步骤·交换机、路由器安全配置手册·防火墙安全配置手册·网络账号管理流程·VPN安全配置手册·机房出入管理·终端安全配置手册·物理安全要求·机房安全管理办法·介质安全管理办法安全流程/细则/操作手册安全规范安全策略通用安全管理办法应用安全规范系统安全规范网络安全规范物理安全规范终端安全规范安全策略定义安全组织和责任划分通用安全管理流程应用安全流程系统安全流程网络安全流程物理安全流程终端安全流程11信息安全制度标准体系参考等级保护、ISO27000、电信网和互联网安全防护体系标准等行业和国际标准，建立了信息安全制度标准体系制度体系：制度方针、规范办法、作业指南3层次，共270余个；标准体系：涵盖通用安全技术、通信网安全、支撑网安全、业务安全、安全防护等方面，近100个技术标准12月报制度：制定信息安全评价指标，建立定报制度，每月下发信息安全通报，及时向省公司提出预警及管理要求。专报制度：对影响公司发展的业务、技术、管理安全风险进行分析，向管理层提交信息安全专报，发出安全预警，降低风险。整改工单：就信息安全风险、安全事件，向各单位下发整改工单。制定信息安全定报制度、信息安全考核管理办法，是推动信息安全工作有效落实的重要手段。信息安全考核评价体系业务通报整改要求13目录当前形势1下一步展望3网络信息安全工作框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系14信息安全决策机构：从企业高层的角度对于信息安全方面的工作进行指导和控制信息安全管理机构：整个信息安全管理体系建立和维护的组织者和管理者信息安全执行机构：负责具体信息安全工作的执行和开展信息安全监管机构：对企业内信息安全工作的开展情况进行独立的审查和监督。信息安全组织体系框架决策机构管理机构监管机构执行机构开发开发运行运行使用使用…………决策机构管理机构监管机构执行机构开发开发运行运行使用使用…………152009.7客户信息安全保护委员会2008.4治理垃圾短信领导小组2001.10信息安全领导小组贯彻执行政府相关部门信息安全政策、方针和各项工作要求，并下设信息安全办公室。负责治理垃圾短信的相关工作；贯彻落实国家相关法规；研究、制定客户信息安全管理工作有关制度与措施；2009.12打击利用手机传播淫秽色情信息专项工作领导小组贯彻落实国家相关法规；研究、制定打击利用手机传播淫秽色情信息专项工作的总体方案；重大突发事件应急处置及对外沟通协调工作2011.11信息安全管理与运行中心两归口，两集中：归口信息安全管理工作、归口不良信息治理工作，以及负责开展不良信息集中治理、开展信息安全集中运营工作。2010.3信息安全管理部对上承接、对下监督检查、横向协调；贯彻落实国家要求；组织制定管理制度；制订目标、策略和标准建立信息安全管理体系和监督评价体系；信息组织机构-中国移动根据工信部、国资委信息安全责任考核要求，各省公司要成立专职信息安全管理机构。16信息安全组织机构制定信息安全责任矩阵，分解安全责任到各专业部门。17信息安全人才队伍建设专家队伍论坛交流：围绕安全工作重点，每年开展论坛交流论坛研讨：各省人员就论坛主题进行交流，共享经验论坛交流定期培训开展网络安全大比武等形式，选拔组建内部红客团队。组织红客队伍参与评估、测试、审计、安全检查及应急演练，锻炼和提升专家队伍能力。网上培训：通过网上大学，进行网络培训；现场培训：每季度组织安全专业人员技术培训；宣传教育：通过宣传片、橱窗等形式，提升全员安全意识通过定期培训、实战演练、论坛交流等形式，培养信息安全专业人才队伍，支撑内部信息安全工作的开展。根据工信部、国资委信息安全责任考核要求，配备相应专职人员，大省15名、中省10人、小省5人。18目录当前形势1下一步展望3网络信息安全工作框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系19安全战略管理应用安全安全运营管理文档数据安全用户安全基础设施安全战略编制与维护安全差距分析网络安全安全域划分防火墙/VPN网络入侵检测网络准入控制异常流量管理网络应用安全身份帐号管理主帐号管理从帐号管理口令管理认证管理认证服务单点登录权限访问管理资源管理角色管理授权管理变更配置安全管理变更安全检查服务异常监控配置安全检查文档权限管理文档策略管理文档审计管理安全风险管理风险收集识别风险分析计算风险监控告警风险响应处理安全审计管理审计规则定义安全战略确定安全基线管理资产分级分类资产基线定义安全审计预警行为审计分析KPI指标定义安全架构与策略组织架构保障策略规范编制系统架构设计交易与传输管理应用数据权限数据接口控制数据传输控制应用安全需求分析安全威胁分析安全设计模式编码安全及评估安全编码静态代码分析渗透测试战略维护更新存储与访问管理数据存储保护数据库权限管理敏感数据加密数据输入验证数据归档销毁战略流程控制管理公共安全服务物理安全机房物理安全环境监控安全办公环境安全主机安全主机安全加固主机入侵检测防病毒/垃圾邮件补丁管理终端安全系统配置检查补丁管理上网行为控制防病毒/恶意软件19信息安全技术体系框架20安全防护体系—安全管控平台持续推进网络安全管控平台应用，使管控平台成为日常维护的主要通道管控平台维护人员终端采集被管设备的登录日志，用于发现绕行行为智能网MISC彩信短信语音交换WAP通信网和业务系统位置服务21CMNET其它运营商出口路由器网络流量恶意代码检测系统四均分分光器不良信息监测系统僵木蠕监测系统流量清洗系统在互联网网间互连链路部署流量清洗系统和僵木蠕监测系统，为重要系统提供集中安全防护，减少僵木蠕、DDOS等攻击。覆盖范围：互联网国际国内互联节点主要功能：发现蠕虫、木马、僵尸网络流量，识别蠕虫、木马和僵尸网络的具体种类，对感染主机IP地址、木马/僵尸网络的受控端和控制端IP地址等信息产生告警，便于管理员组织处理覆盖范围：互联网国际国内互联节点主要功能：具备结合动态基线、异常流量模型和异常报文特征，对流量型拒绝服务攻击(Dos/DDos等)进行清洗过滤，保证网络的安全运行安全技术体系—互联网安全集中防护22安全技术体系—网站纵深安全防护23脆弱性检测基于网络爬虫的主动扫描技术，检测网站状况，并输出包含风险分析及解决方案的监控数据。篡改检测使用数字水印技术及页面框架比对等技术，智能的检测出网站页面上是否出现了不寻常的新链接。挂马检测采用“脚本沙箱”技术，能够完全模拟所有的脚本层交互行为。脆弱性检测挂马检测可用性检测攻击检测篡改检测健康指数网站安全监控平台可用性检测可用性检测是针对网站连接性能的监控功能，透过监控引擎对网站页面载入性能的分析，记录详细的网站可用性数据。攻击检测通过日志分析，流量采集，检测对网站主机上的入侵尝试信息。健康指数支持通过一个健康指数全面反映网站的健康状况和态势。安全技术体系—网站安全监控24安全运行管理系统以风险管理为核心，以资产信息库为基础，主要包括安全事件管理、安全预警管理、安全风险管理、安全对象管理、安全策略管理、安全工作流程管理等各功能模块，全面支持安全运行管理工作，逐步实现动态、可量化的安全管理。安全技术体系—安全运行管理25目录当前形势1下一步展望3网络信息安全工作框架22.1策略体系2.2组织体系2.3技术体系2.4运行体系26根据公安部《信息安全等级保护管理办法》、《信息安全等级保护备案实施细则》和工业和信息化部《通信网络安全管理办法》（部第11号令），开展等级保护工作。定级备案符合性评测风险评估安全检查对正式投入运行的通信网络进行单元划分，按照遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高划分为五级，并将划