1、提升安全意识提升安全意识 构建安全网络构建安全网络中国移动通信集团云南有限公司中国移动通信集团云南有限公司网管中心网管中心网网络络与与信信息息安安全全培培训训20082008年年6 6月月前言前言v提升提升部门员工对网络与信息安全工作的认识部门员工对网络与信息安全工作的认识v启发启发各专业从自身角度出发思考如何开展和各专业从自身角度出发思考如何开展和完善网络与信息安全工作完善网络与信息安全工作v构建构建安全可靠的通信网络安全可靠的通信网络提纲提纲网络与信息安全工作内容及分类网络与信息安全工作内容及分类1网络与信息安全体系建设网络与信息安全体系建设22008年重点工作年重点工作3提纲提纲网络与信
2、息安全工作内容及分类网络与信息安全工作内容及分类1网络与信息安全体系建设网络与信息安全体系建设22008年重点工作年重点工作3什么是网络与信息(什么是网络与信息(1 1)v信息:信息: 是一种资产 同其它重要的商业资产一样 对企业具有价值 需要适合的保护 以多种形式存在:纸、电子、影片、交谈等v网络网络 网络是信息的一种载体 是信息存放、使用、交互的重要途径 是一种容易识别的实体 是基础通信运营企业的有形资产什么是网络与信息(什么是网络与信息(2 2)v 网络与信息的关系:网络与信息的关系: 从理论角度理解 信息的范围更大,更广 网络只是信息使用过程的一种载体、一种方式 从实际工作角度 把信息
3、局限在网络上承载的内容、数据、业务 保障业务连续性、网络正常运行的配置数据等 比理论角度的信息范围要窄,但适合我们的工作实际 两种视角的相同点 信息是目标 网络是基础 网络与信息并重什么是网络与信息安全什么是网络与信息安全v信息安全:信息安全: 保护信息免受各种威胁 确保业务连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会v网络安全网络安全 网络、设备的安全 线路、设备、路由和系统的冗余备份 网络及系统的安全稳定运行 网络及系统资源的合理使用面临的挑战面临的挑战- -技术的发展技术的发展攻击多样化攻击多样化网络网络IP化化终端智能化终端智能化123黑客攻击、病毒、蠕虫、D
4、DOS攻击等互联网安全威胁依然存在,破坏力更加严重。如利用梦网业务、用户自服务平台等对互联网开放的网站和后台服务模块编码漏洞,修改他人业务订购关系和费用。 手机终端智能化,也引入了主要通过蓝牙、彩信以及其它移动新业务和手机新功能进行传播的恶意代码。话音网络IP化导致传统网络中出现了互联网常见的安全问题。面临的挑战面临的挑战- -威胁的变化威胁的变化内部威胁增大内部威胁增大攻击目的变化攻击目的变化不良信息传递不良信息传递123内部工作人员、第三方支持人员、SP利用对内部信息的了解、拥有的权限以及业务流程漏洞,实施信息安全犯罪。随着3G、数据业务的发展,移动信息内容和交互方式不断丰富,不法人员利用
5、移动数据业务传递不良信息,制约了公司业务推广。 外部黑客的恶意攻击也越来越多的趋向追求经济利益 。国内外重大安全事件综述国内外重大安全事件综述p事件简介:雅典奥运会期间,沃达丰爱立信交换机在希腊遭受不明身份人员的入侵,导致多名政要的通话被窃听。p事件影响:该事件导致包括希腊总理夫妇在内的至少100个政界要员的手机被窃听,沃达丰因此被政法罚款约8亿元人民币。p事件分析:犯罪分子通过修改几台交换机上的软件模块,在交换机上安装恶意软件,将需要监听的数据流传送给若干台“影子手机”。X 案例分析一:黑客入侵沃达丰交换机导致多名政要的通话被窃听案例分析一:黑客入侵沃达丰交换机导致多名政要的通话被窃听X 案
6、例分析二:网络信息安全问题导致用户信息泄露案例分析二:网络信息安全问题导致用户信息泄露p事件简介:2008年1月,美国一家媒体通过翻阅无线运营商SkyTel为底特律市政部门提供的无线寻呼服务的用户文本信息存档,发现并曝光了底特律市长与女助手之间的隐私。p事件影响:该事件导致该运营商提供服务的安全性和公司诚信受到质疑,对事件当事人也产生了很大的负面影响。p事件分析:该运营商的客户资料存储管理上存在漏洞,导致了未授权的访问。X 案例分析三:案例分析三:某某国有特大型企业某司局级领导电脑被台湾黑客国有特大型企业某司局级领导电脑被台湾黑客入侵,入侵,窃窃取取走走约约200200份国家机密文件份国家机密
7、文件中国移动重大安全事件分析中国移动重大安全事件分析- -外部入侵事件(外部入侵事件(1 1)p事件简介:2007年12月,部分省公司陆续接到用户投诉手机被盗用定制了联动优势的购买游戏点卡业务,经查证为用户TMSI号码被犯罪分子盗用。p事件影响:该事件导致了大量用户投诉,致使我公司移动通信服务的安全性和计费的准确性受到用户质疑,影响非常恶劣。p事件分析:犯罪分子利用现网呼叫鉴权时间间隔较长的漏洞,盗用用户的TMSI号码,并使用话音、短信等业务,从而实现仿冒主叫号码定制梦网业务。X 案例分析一:犯罪分子利用呼叫鉴权漏洞仿冒主叫号码定制梦网短信业务案例分析一:犯罪分子利用呼叫鉴权漏洞仿冒主叫号码定
8、制梦网短信业务X 案例分析二:不法案例分析二:不法SPSP利用利用WAPWAP网关管理和技术漏洞进行业务强行定制网关管理和技术漏洞进行业务强行定制p事件简介: 2006年10月至2007年6月,某SP利用WAP网关connect协议漏洞为183737位客户强行定制了WAP“1945”业务,涉及金额918685元。p事件影响:该公司违规经营时间久,涉及金额巨大,性质恶劣,导致了大量用户投诉,致使我公司计费的准确性和公司诚信受到用户质疑。p事件分析:武汉WAP网关被该SP收买的不法分子入侵,修改了其中一个节点封堵connect协议漏洞补丁的配置文件,使该功能失效,从而给SP可乘之机。中国移动重大安
9、全事件分析中国移动重大安全事件分析- -外部入侵事件(外部入侵事件(2 2)p事件简介:2005年,全国各省均有大量用户投诉SP乱扣费问题,经查,不法SP利用MISC的技术和业务漏洞进行业务强行定制。p事件影响:该事件导致了大量用户投诉,致使我公司计费的准确性和公司诚信受到用户质疑,影响非常恶劣。p事件分析:不法SP在其应用内设置脚本程序,该程序在用户访问页面后下载到用户终端,实现强行对用户进行非法业务定制的功能。不法SP还通过破解用户梦网密码的方式利用网站等途径批量代替用户进行业务定制。X 案例分析四:不法案例分析四:不法SPSP利用利用MISCMISC技术和业务漏洞进行业务强行定制技术和业
10、务漏洞进行业务强行定制p事件简介:2006年9月集团公司门户网站首页被黑客篡改。p事件影响:该事件发生后各大媒体争相报道,对中国移动的社会形象造成了较大的影响。p事件分析:由于集团公司门户网站的部分程序脚本存在安全问题,被黑客扫描到之后恶意利用并篡改了网站页面。X 案例分析三:集团公司门户网站首页被黑客篡改案例分析三:集团公司门户网站首页被黑客篡改中国移动重大安全事件分析中国移动重大安全事件分析- -内部人员做案内部人员做案p事件简介:2006年2月至11月,上海公司三名员工盗用同事密码,私自进入积分调整系统,为亲友的手机账户虚增活动积分,兑换成价值50余万元的购物卡。p事件影响:该事件给我公
11、司造成直接经济损失约50余万元。p事件分析:由于账号口令管理不善,上海公司三名员工盗取了系统管理员权限入侵公司的客户积分调整系统,为各自亲友的手机账户内虚增积分并兑换成购物卡。X 案例分析一:上海公司三名员工盗用口令虚增积分兑换购物卡案例分析一:上海公司三名员工盗用口令虚增积分兑换购物卡p事件简介:2007年6月至7月,宁夏公司内部短信群发系统被利用以北京移动的名义向北京用户发送诈骗短信。p事件影响:该事件导致了大量用户投诉,致使我公司企业形象收到了很大的损害,影响非常恶劣。p事件分析:由于该系统在日常管理和维护过程中未严格落实账号口令管理规定,导致内部人员登录该系统发送诈骗短信。X 案例分析
12、二:宁夏公司内部短信群发系统被利用发送诈骗短信案例分析二:宁夏公司内部短信群发系统被利用发送诈骗短信中国移动重大安全事件分析中国移动重大安全事件分析- -内部人员做案内部人员做案p事件简介:2005年,华为公司维护人员利用西藏智能网远程拨号系统跳转到北京智能网系统,利用之前维护过程中记录的账号口令入侵充值中心的数据库,将充值过的卡号进行重新激活,并在某C2C互联网网站上出售,非法获利约四百万元。p事件影响:该事件给我公司造成直接经济损失约400万元。p事件分析:西藏和北京公司存在远程接入管理不严、未落实账号口令管理制度等问题,导致不法分子轻易入侵智能网系统并伪造了大量充值卡。X 案例分析三:不
13、法分子利用账号口令管理漏洞入侵智能网案例分析三:不法分子利用账号口令管理漏洞入侵智能网VCVC伪造充值卡伪造充值卡牟利牟利常见安全事件类型常见安全事件类型- -特洛伊木马特洛伊木马Internet攻击者的计算机攻击者控制的服务器特洛伊木马攻击的计算机特洛伊木马攻击的计算机 正向连接 反向连接生活中的安全事件分析生活中的安全事件分析v银行卡密码丢失银行卡密码丢失v网银帐号被木马程序窃取网银帐号被木马程序窃取v家庭被盗家庭被盗v用火不当引发火灾用火不当引发火灾v个人隐秘信息未加密造成泄漏个人隐秘信息未加密造成泄漏v等等思考思考v安全意识对于企业的发展、对我们每个人的工安全意识对于企业的发展、对我们
14、每个人的工作和生活会产生重大的影响,我们还能不关心、作和生活会产生重大的影响,我们还能不关心、不重视安全问题吗?不重视安全问题吗?网络与信息安全工作涉及内容网络与信息安全工作涉及内容传统通传统通信安全信安全业务安业务安全全内容安内容安全全物理物理安全安全信息安信息安全全网络与网络与系统安系统安全全物理层面物理层面网络层面网络层面应用层面应用层面思考思考v我们日常工作中哪些方面是与网络与信息安全我们日常工作中哪些方面是与网络与信息安全相关的?这些工作分属于网络与信息安全的哪相关的?这些工作分属于网络与信息安全的哪个方面?个方面? 1、物理安全、物理安全 2、传统通信安全、传统通信安全 3、网络与
15、系统安全、网络与系统安全 4、业务安全、业务安全 5、信息安全、信息安全 6、内容安全、内容安全网络与信息安全工作分类网络与信息安全工作分类- -物理安全物理安全v 物理安全物理安全 目的 保障人身、财产及通信设施的安全。 保护对象 员工; 机房; 办公场所; 通信设施; 等。 主要威胁 通信设施的人为破坏(盗窃,蓄意破坏等); 传输线路的意外中断(人为挖断、自然灾害所致等); 机房及办公场所的安全隐患(火灾、鼠灾、水灾等); 威胁人身及财物的安全问题(地震、财物失窃等); 影响动力环境的安全(水、电供应等); 员工的人身安全; 等。网络与信息安全工作分类网络与信息安全工作分类- -传统通信安
16、全传统通信安全v 传统通信安全传统通信安全 目的 保证设备可用、线路通畅。 保护对象 设备; 线路; 等。 主要威胁 设备单点故障(容灾备份、负荷分担不足等); 网络单点故障(缺少安全路由等); 配置数据出错(局数据配置错误等); 超负荷运行(带宽容量不够、设备性能不足等); 应急通信(突发事件、大型赛事、大型政治经济活动等) 等。网络与信息安全工作分类网络与信息安全工作分类- -网络与系统安全网络与系统安全v 网络与系统安全网络与系统安全 目的 保障通信网、业务系统、各支撑系统的安全稳定运行,避免网络及业务中断。 保护对象 移动通信网、IP承载网、CMNet、智能网、等; 短信、彩信、彩铃、
17、等; 业务支撑系统、网管系统、企业信息化系统。 主要威胁 网络的拥塞、阻断(蠕虫病毒等); 系统及网络设备的宕机(黑客攻击等); 系统及网络的资源耗尽(拒绝服务攻击等); 系统及网络资源的滥用(BT、非法VOIP等); 对系统和网络的恶意控制(僵尸网络等); 等。网络与信息安全工作分类网络与信息安全工作分类- -业务安全业务安全v 业务安全业务安全 目的 保证各类业务服务的合法合规提供,避免对客户利益造成损害。 保护对象 业务流程的合法; 业务流程的合规; 业务流程的可控。 主要威胁 业务流程设计漏洞,或配置漏洞带来的安全问题( SP利用WAP系统漏洞实施强行定购等); 服务提供商的欺诈行为(
18、用含糊内容诱骗客户定购业务等); 服务提供商的违规经营(提供经营许可范围之外的服务等); 等。网络与信息安全工作分类网络与信息安全工作分类- -信息安全信息安全v 信息安全信息安全 目的 保证信息的机密性、完整性及可用性。保护信息数据在传送、存储、访问或修改的过程中不受到破坏,在设备退网时保证敏感信息彻底消除等。 保护对象 公司机密数据(侧重机密性):财务数据、战略决策、技术体制、业务运营数据、招投标信息等; 客户敏感信息(侧重机密性) :客户身份资料、客户短信/彩信内容、账单、通话记录、位置信息等; 各类配置数据(侧重可用性) :局数据、路由控制策略等; 公共信息内容(侧重完整性) :SP提
19、供的服务信息内容、企业对外门户网站内容; 等。 主要威胁 内容的恶意篡改; 机密信息泄露; 对信息非法和越权的访问; 配置信息的未授权更改; 等。网络与信息安全工作分类网络与信息安全工作分类- -内容安全内容安全v 内容安全内容安全 目的 防止通过电信网络,传播危害国家安全、社会稳定、公共利益的信息内容。 保护对象 各类承载信息的系统。如:彩铃系统、短信系统、彩信系统、邮件系统、网站等。 主要威胁 反动信息; 色情信息; 垃圾信息; 骚扰电话; 其它非法信息。网络与信息安全的原则和重要意义网络与信息安全的原则和重要意义v谁主管谁负责;谁运营谁负责;谁接入谁负责谁主管谁负责;谁运营谁负责;谁接入
20、谁负责 设备及系统的维护单位是安全工作的主体; 网络、设备、系统的安全责任落实到人。v以安全保发展,以发展促安全以安全保发展,以发展促安全 安全不是增加成本负担、挑刺找麻烦的工作 安全是“服务性”、“保障性”、“增效性”工作v统一管理、协调处理、分工实施统一管理、协调处理、分工实施 安全不是孤立、分散和无续的工作 安全是“全局性”、“统一性”、“细节性”工作安全是在统一领导下的安全是在统一领导下的“全民性工作全民性工作”!思考思考v网络与信息安全与用户业务感知、网络质量的网络与信息安全与用户业务感知、网络质量的关系?关系?v做好网络与信息安全工作如何同做好网络与信息安全工作如何同5S和和QC在
21、方在方法论上进行结合?法论上进行结合?网络与信息安全工作风险管理思想网络与信息安全工作风险管理思想v风险管理包括八个相互关联的构成要素,这些构成要素是:风险管理包括八个相互关联的构成要素,这些构成要素是:v 内部环境内部环境内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。内部环境因素包括风险管理理念、风有其他构成要素的基础,为其他要素提供约束和结构。内部环境因素包括风险管理理念、风险偏好、董事会的监督、组织中人员的诚信、道德价值观和胜任能力、组织结构、权力和职
22、险偏好、董事会的监督、组织中人员的诚信、道德价值观和胜任能力、组织结构、权力和职责分配和人力资源准则。责分配和人力资源准则。v 目标设定目标设定企业管理层需采取适当的程序去设定目标,确保所选定的目标支持和切合企业企业管理层需采取适当的程序去设定目标,确保所选定的目标支持和切合企业的使命,并且与它的风险偏好相符。的使命,并且与它的风险偏好相符。v 事件识别事件识别必须识别影响企业目标实现的内部和外部事件,区分风险和机会。机会被反馈必须识别影响企业目标实现的内部和外部事件,区分风险和机会。机会被反馈到管理层的战略和目标制定过程中。事件识别方法可以包含各种技术的组合,例如事件目录、到管理层的战略和目
23、标制定过程中。事件识别方法可以包含各种技术的组合,例如事件目录、过程流动分析、首要事件指标和损失事件数据方法等。此外,还需注意事件之间的相互依赖过程流动分析、首要事件指标和损失事件数据方法等。此外,还需注意事件之间的相互依赖性,这样才能确定风险管理活动的最终指向。性,这样才能确定风险管理活动的最终指向。v 风险评估风险评估分析风险的可能性和影响,并以此作为管理风险的依据。风险评估应立足于固分析风险的可能性和影响,并以此作为管理风险的依据。风险评估应立足于固有风险和剩余风险,采用定量和定性结合的方法。风险评估包括风险辨识和诊断。有风险和剩余风险,采用定量和定性结合的方法。风险评估包括风险辨识和诊
24、断。v 风险应对风险应对管理层选择风险应对管理层选择风险应对回避、承受、降低或者分担风险回避、承受、降低或者分担风险采取一系列行动采取一系列行动以便把风险控制在企业的风险承受度和风险偏好以内。以便把风险控制在企业的风险承受度和风险偏好以内。v 控制活动控制活动制定、执行政策与程序以确保风险应对得以有效实施。控制活动贯穿于整个组制定、执行政策与程序以确保风险应对得以有效实施。控制活动贯穿于整个组织,包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及织,包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。鉴于企业在满足报告和合规目标方面对
25、信息系统的普遍依赖,需要对重要的信息职责分离。鉴于企业在满足报告和合规目标方面对信息系统的普遍依赖,需要对重要的信息系统进行一般控制和应用控制,在必要时候与人工控制结合起来,以确保信息的完整性、准系统进行一般控制和应用控制,在必要时候与人工控制结合起来,以确保信息的完整性、准确性和有效性。确性和有效性。v 信息与沟通信息与沟通以合适的方式和时机识别、获取和沟通相关信息,以确保员工能履行其职责。以合适的方式和时机识别、获取和沟通相关信息,以确保员工能履行其职责。有效沟通的含义比较广泛,包括信息在企业中的向下、平行和向上流动。有效沟通的含义比较广泛,包括信息在企业中的向下、平行和向上流动。v 监控
26、监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。个别评价或者两者结合来完成。提纲提纲网络与信息安全工作内容及分类网络与信息安全工作内容及分类1网络与信息安全体系建设网络与信息安全体系建设22008年重点工作年重点工作3NISSNISS总纲总纲明确总的工作要求明确总的工作要求v适用范围 总部各部门、各省公司v内容和目标 遵循国际安全管理标准,引入业界安全最佳实践。 说明为什么要开展安全工作。 指出需要开展那些安全工作。物理及环境安全物理及环境安全网络与信息资产管理网络与
27、信息资产管理通信和运营管理的安全通信和运营管理的安全网络与信息系统网络与信息系统的访问控制的访问控制系统开发系统开发与软件维护的安全与软件维护的安全安全事件响应安全事件响应及业务连续性管理及业务连续性管理安全审计安全审计组织与人员组织与人员网络与信息安全体系架构网络与信息安全体系架构安全生产维护体系安全生产维护体系安全技术防护体系安全技术防护体系网络信息安全体系组成网络信息安全体系组成安全生产维护体系安全技术防护体系安全管理体系执行执行核心核心基础基础保障保障安全管理体系安全管理体系安全标准安全标准组织架构组织架构安全基础管理安全基础管理安全考核安全考核管理办法技术规范决策层、管理层和执行层职
28、责人员配备落实安全责任安全区域划分口令管理漏洞补丁管理用户管理系统规划与设备入网指标量化统计分析安全标准安全基础管理安全基础管理组织架构安全考核安全管理体系安全管理体系规范的安全管理体系规范的安全管理体系明确安全域的管理组织、管理人员及其安全职责!在安全域内部执行统一的安全管理和维护策略!在安全域内部落实具体的管理制度和流程!安全生产维护体系安全生产维护体系v安全生产的十六字方针:安全生产的十六字方针:安全生产维护日常工作内容安全生产维护日常工作内容安全技术体系技术防护体系安全技术体系技术防护体系v通过安全域划分和安全管控技术的实现,提高系统边界的安全性,优化系统之间的安全访问能力,从而进一步
29、提高网络和系统的安全防护水平。安全技术防护体系总体架构安全技术防护体系总体架构ISMPv 实现全网分层次的集中安全管理、实现全网分层次的集中安全管理、集中配置、集中监控、集中派单、集中配置、集中监控、集中派单、集中支援。集中支援。v 满足特定安全需求的安全技术防护满足特定安全需求的安全技术防护手段,如实现边界访问控制的防火手段,如实现边界访问控制的防火墙;支持墙;支持ISMP实现集中管理、集实现集中管理、集中监控、集中配置。中监控、集中配置。v 具备网元自身的账号、权限、日志具备网元自身的账号、权限、日志记录等安全功能;支持记录等安全功能;支持ISMP以及以及部分基础安全技术防护手段的集中部分
30、基础安全技术防护手段的集中监控、集中管理的能力。监控、集中管理的能力。v 依据等级化、集中化等原则建立清依据等级化、集中化等原则建立清晰的网络架构,确定安全域、整合晰的网络架构,确定安全域、整合防护边界。防护边界。安全技术防护体系部署示意图安全技术防护体系部署示意图CMNet核心生产区核心生产区本地操作维护区本地操作维护区核心交换核心交换半安全区(半安全区(DMZ)省网管中心省网管中心防病毒防病毒集中控管集中控管远程维护远程维护接入网关接入网关安全漏洞安全漏洞扫描器扫描器入侵检测入侵检测1、安全域划分和边界整合、安全域划分和边界整合根据分等级集中防护原则确定安全域和防护边界。业务系统设备根据防
31、护需求放入相应的安全域。2、网元安全功能和配置、网元安全功能和配置加强网元的安全功能要求,规范网元的安全配置,从而提高网元自身的安全防护能力。3、基础安全技术防护手段、基础安全技术防护手段4、ISMP在1、2的基础上,根据系统安全防护的实际需求,进一步部署防火墙、入侵检测、防病毒等各类基础安全防护技术手段。建设信息安全管理平台(ISMP),实现跨产品的安全集中管理、集中配置、集中监控、集中派单、集中支援计划计划执行执行检查检查改进改进全网整体:安全目标 基础平台业务系统:局部控制公司:制定标准、提出要求部门:细化要求系统:安全建设、日常操作部门内部自检公司巡检定期更新流程建设流程建设 根据根据
32、PDCAPDCA模型,梳理公司内部的安全流程模型,梳理公司内部的安全流程流程建设流程建设v 结合卓越运维体系,梳理安全工作流程,将安全工作体现在信息系统生命周期中。1、规划2、设计3、开发4、测试5、采购6、施工7、运行监控8、应急事件处理9、日常安全维护10、等支撑手段建设支撑手段建设v 原则:以用户访问的过程和步骤为研究对象,按照对用户访问全过程实现“事先授权,事中监控,事后审计”的目标进行手段建设。v 目前根据集中运维的思路,综合维护接入平台项目、账号口令管理系统项目、日志集中管理与审计系统是实现集中安全运维的三个重点项目;外部用户外部用户内部用户内部用户日志记录日志记录接口管理接口管理
33、系统管理系统管理接入管理接入管理安全管理安全管理资源控制资源控制功能结构日志采集日志采集审计分析审计分析审计策略审计策略综合维护接入平台(项目)综合维护接入平台(项目)审计报警审计报警日志集中管理与日志集中管理与审计系统审计系统(项目)(项目)安全监控安全监控统一分析统一分析统一报表统一报表帐号口令集中管理系统帐号口令集中管理系统(项目)(项目)核心功能层核心功能层接口适配层接口适配层通用的帐号、认证接口通用的帐号、认证接口自定义帐号、认证接口自定义帐号、认证接口管理员管理员Portal管理员管理管理员管理系统自身权限管理系统自身权限管理普通用户普通用户Portal 自服务自服务集中资源展现集
34、中资源展现运行管理运行管理 备份管理备份管理 告警管理告警管理资源管理资源管理用户管理用户管理报表管理报表管理集中展现层(中央管理平台)集中展现层(中央管理平台)安全防护对象安全防护对象集中安全建设项目总体框架集中安全建设项目总体框架思考思考v网络与信息安全体系是较为全面系统的体系框网络与信息安全体系是较为全面系统的体系框架,那么在所包含的架,那么在所包含的5部分内容中,哪个是主部分内容中,哪个是主要的,哪些是辅助的?要的,哪些是辅助的?(安全管理体系、安全生产维护(安全管理体系、安全生产维护体系、安全技术防护体系、流程建设、支撑手段建设)体系、安全技术防护体系、流程建设、支撑手段建设)我省网
35、络与信息安全现状我省网络与信息安全现状p 安全责任有待落实安全责任有待落实l安全责任分解还未完全做到落实到人,安全责任分解还未完全做到落实到人,每个专业的人员应是自己系统的安全责任每个专业的人员应是自己系统的安全责任人。人。l对待安全工作要有责任心,不能抱着可对待安全工作要有责任心,不能抱着可做可不做的心态。做可不做的心态。v 黑客产业链初具规模黑客产业链初具规模l员工安全意识需进一步加强,应本着对员工安全意识需进一步加强,应本着对工作负责的态度形成安全第一的思维模式。工作负责的态度形成安全第一的思维模式。l意识决定行为。意识决定行为。p 安全意识有待加强安全意识有待加强p 网络与信息安全管理
36、网络与信息安全管理体系建设仍需完善体系建设仍需完善l安全管理制度落实不到位,缺乏具体的实安全管理制度落实不到位,缺乏具体的实施细则;施细则;l安全工作流程还未规范化(僵化优化安全工作流程还未规范化(僵化优化固化的思路);固化的思路);l人员的安全技术培训欠缺。人员的安全技术培训欠缺。l网络网络IP化后,病毒和外部攻击变得越来化后,病毒和外部攻击变得越来越多,造成的危害和影响也越来越突出;越多,造成的危害和影响也越来越突出;l现网系统从封闭逐渐走向开放,安全性现网系统从封闭逐渐走向开放,安全性相对较弱,普遍存在安全隐患;相对较弱,普遍存在安全隐患;l现网缺乏必须的集中安全支撑手段。现网缺乏必须的
37、集中安全支撑手段。p 安全技术防护手段建安全技术防护手段建设滞后设滞后我省网络与信息安全现状我省网络与信息安全现状网管中心各室之间的安全工作关系网管中心各室之间的安全工作关系牵头负责牵头负责IP维护室维护室/网络与信息安全管理网络与信息安全管理 库房安全管理 部门办公地点的安全管理 实施724小时安全监控 一般性安全事件处理 受理安全投诉监控室监控室 机房出入管理 合作伙伴的保密制度管理 协调处理网间互通互通涉及的安综合室综合室 归属管理维护的IP网络及系统的安全评估和加固;安全事件应急处理;安全设备日常管理维护 线路及设备冗余备份 设备入网安全管理 用户数据管理IP维护室维护室 归属管理维护
38、的数据网络及系统的安全评估和加固;安全事件应急处理;安全设备日常管理维护 线路及设备冗余备份设备入网安全管理 用户数据管理新业务室新业务室 归属管理维护的交换网络及系统的安全评估和加固;安全事件应急处理;安全设备日常管理维护 线路及设备冗余备份 设备入网安全管理 用户数据管理交换维护室交换维护室 归属管理维护的传输网络及系统的安全评估和加固;安全事件应急处理;安全设备日常管理维护 线路及设备冗余备份 设备入网安全管理 用户数据管理传输维护室传输维护室 归属管理维护的网管网络及系统的安全评估和加固;安全事件应急处理;安全设备日常管理维护 线路及设备冗余备份 设备入网安全管理 用户数据管理网管支撑
39、室网管支撑室资源支持资源支持网管中心管理层网管中心管理层思考思考vWhy网络与信息安全工作内容及分类网络与信息安全工作内容及分类vWhat网络与信息安全体系建设网络与信息安全体系建设vHow?(从大家自身角度出发,如何切入?(从大家自身角度出发,如何切入网络与信息安全体系?要做些什么?需要什么网络与信息安全体系?要做些什么?需要什么条件?)条件?)提纲提纲网络与信息安全工作内容及分类网络与信息安全工作内容及分类1网络与信息安全体系建设网络与信息安全体系建设22008年重点工作年重点工作3工作概述工作概述v紧急工作(紧急工作(2 2项):项): 1、冲刺奥运,全力做好奥运安全保障工作; 2、实施
40、电信网络安全等级保护工作。v重点工作(重点工作(5 5项):项): 1、落实安全应急工作; 2、开展集中化的7*24小时安全监控; 3、全面落实安全内控要求 4、制定并认真执行日常安全作业计划 5、完成网管安全域改造工作1 1、冲刺奥运,全力做好奥运安全保障工作、冲刺奥运,全力做好奥运安全保障工作v 工作内容:p 预防为主、应急为辅 对重要系统应采取预防为主,同时具备可操作的应急方案。v 工作安排:p 按计划、分等级、分阶段,有效开展安全保障工作: 7月底之前,应在加强安全管理的基础上,完成对所有重点的系统分级、技术评测、安全评估、加固、应急演练等工作,消除安全隐患。同时,强化对其余网络系统安
41、全生产执行力度; 奥运期间,应在日常维护的基础上,更进一步重点加强对奥运产品、奥运专项网络保障所涉及的网络、系统的安全监控、事件响应、预警加固、应急处理等工作,增强整体监控能力及维护力度。v 对各室的工作要求p 通过安全防护定级和安全加固工作提升系统的防护能力;p 通过安全评估和评测检验系统的安全加固效果;p 通过安全应急预案的编写、完善和应急演练增强应对突发事件的能力。2 2、实施电信网络安全等级保护工作、实施电信网络安全等级保护工作 v 工作内容:p 根据信产部统一部署,在全网范围开展电信网络安全等级保护工作。 v 工作安排:p 第一季度:启动电信网络安全等级保护工作,制定各系统定级操作细
42、则和定级模板。总部和各省完成的定级和备案工作。 已完成。p 第三季度:根据安全评测和风险评估的工作要求,对重要系统完成评测、评估和加固工作;p 第四季度:对省公司执行情况进行汇总和检查。v 对各室的工作要求p 在按时完成设备安全加固的前提下,将定期的加固和评估常态化,保持和提高系统的防护能力;p 对技术实现的确有困难的,需通过纸质的申请、审批和审核等流程加以控制;p 对风险评估要实事求是,不能隐瞒,存在问题并非坏事,要找问题的解决办法,将问题消化在内部而不是侥幸问题不暴露出来。3 3、落实安全应急工作、落实安全应急工作v 工作内容:p 完善通信网设备联网安全应急预案并开展应急演练,加强安全监控
43、与安全应急响应的配合,建设安全应急响应知识库。v 工作安排:p 第一二季度:细化覆盖各重要网络和系统的安全事件处理流程,特别是奥运产品的安全应急预案;p 第二季度:奥运省根据安全应急预案开展演练,并根据演练情况进一步完善应急预案 ; 目前奥运省已部分完成演练内容,按计划于五月底前完成全部演练;总部4月底将发文要求非奥运省参考奥运省经验编写网络安全应急预案和演练方案。p 第三季度:落实编写网络安全应急预案和演练方案。 10月前完成实际演练工作;p 第四季度:配合总部监控处完成安全监控系统建设,协助完善安全事件监控预处理手册;整理本省今年安全事件应急处理情况报告。v 对各室的工作要求:p 制定和完
44、善安全应急预案和演练方案;p 演练应急预案,验证其可操作性。4 4、开展集中化的、开展集中化的7 72424小时安全监控工作小时安全监控工作 v 工作内容:p 制定集中化的724小时安全监控工作流程,724小时的安全监控作业计划,建立和完善安全告警预处理等手册;p 采用将各类安全监控手段的操作终端集中查看作为过度方式,逐步实现集中化安全监控手段(安全运行管理平台ISMP)的建立和使用。p 通过实现以省为单位的集中化724小时安全监控,保证网络在可管、可控的情况下能安全运营。v 工作安排:p 奥运前:首先在总部、6个奥运省份、部分经验较丰富的省公司完成集中化安全监控和724小时安全监控的试点工作
45、,并在其他省推广集中化的安全监控工作。 p 奥运期间:总部、奥运省份、部分经验较丰富的省公司正式开展集中化的724小时安全监控,重点监控涉奥系统的重要事件,并在其他省推广724小时安全监控;p 年底:实现一干和省网重要系统较为完善的集中化724小时安全监控。v 对各室的要求p 结合各业务系统完善安全手段,扩展安全监控工作的范围和深度,力争实现724小时的安全监控目标,通过监控进行有针对性安全策略调整,并做好安全事件的应急响应。安全监控维护日常工作示意图安全监控维护日常工作示意图防火墙日志防火墙日志入侵检测情况入侵检测情况主机防病毒监测主机防病毒监测安全专职技术人安全专职技术人员员开展安全分析,
46、组织应急响应。FIREWALLIDSVIRUS protect安全监控人员安全监控人员实施各类安全监控,提供监控报告和日志。系统维护人员系统维护人员落实业务系统的安全设备维护作业、负责所管理业务系统的安全事件排查处理。5 5、全面落实安全内控要求、全面落实安全内控要求v 工作内容:p 提升系统安全运行能力,在通信网、业务网和各支撑系统推行安全内控要求 v 工作安排:p 完善帐号口令、日志审计、网络接入、防病毒、外部网络互联等安全管理规定。p 5月底前通过完善维护作业计划、定期检查等措施,将安全内控要求融入到日常运维中。 p 逐步完成现网系统的安全功能升级 ,按照总部时间要求完成升级工作,参照技
47、术规范要求, 08年完成全部三级及三级以上系统的改造工作,三年内全部完成其它系统的改造。 v 对各室的工作要求:p 将帐号口令的审核、日志审计、网络接入、服务端口审核、终端和设备的防病毒情况纳入日常维护作业计划中;p 对于三级及以上系统,应参照技术规范要求,与厂家共同制定改造方案,并要求制定时间计划表;6 6、制定并认真执行日常安全作业计划、制定并认真执行日常安全作业计划v 工作内容:p 参考下发的日常安全作业计划模板完善日常作业计划 v 工作安排:p 结合安全内控要求,在5月底前将日常安全作业计划列入日常作业计划中。 v 对各室的工作要求:p 日常维护应包括系统硬件运行检查、数据/日志备份、
48、策略备份、策略调整、权限控制、口令修改、软件版本升级、补丁加载等p 各类安全设备应具备规范的操作维护作业计划,形成相应的维护计划、 维护日志、维护细则;p 对已制定的日常安全作业计划需认真执行;p 对具备条件的在完善操作手册前提下可与监控室协商进行工作移交;7 7、完成网管安全域改造工作、完成网管安全域改造工作v 工作内容:p 根据网管安全域划分技术要求进行网络整改 v 工作安排:p 10月前应完成网管安全域的改造工作。 v 对网管室和IP室的工作要求:p 网管室和IP室认真研究技术要求制定整改目标p IP室和信息技术中心协商推进改造工作的进行p 利用此次安全域改造域内安全管理 成功展望成功展望交换维护室交换维护室传输维护室传输维护室网管支撑室网管支撑室监控室监控室综合室综合室安全网络安全网络新业务室新业务室IP维护室维护室领导的支持、同事的理解,全员的参与、各司其职,网管中心的领导的支持、同事的理解,全员的参与、各司其职,网管中心的7 7个室应该个室应该都朝着同一个目标行动都朝着同一个目标行动构建安全网络,构建安全网络,高层牵头高层牵头领导负责领导负责全员参与全员参与专人管理专人管理 安全工作的认识安全工作的认识
