文档介绍:目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护,保障公司“新跨越战略”
指导思想:以风险管理为核心,
预防为主,技术手段为支撑,
围绕信息和信息系统生命周期,
逐步建立由安全组织、管理规定
和技术指南、运行和技术防护手段
构成的具有自主创新能力和拓展能
“做世界一
流企业”新跨越战略的实施。
网络与信息安全保障体系
通信网络信息安全保障体系指导文件
技术及防
护支撑手段
运行
和技术指南
组织架构
制定
执行
基于
运用
建立
1
目录
信息安全:企业面临的巨大挑战
***信息安全管理体系介绍
中移动网络与信息安全总纲
2
安全事件分布
3
安全事件的损失
4
安全威胁方的分布
独立黑客:黑客攻击越来越频繁,直接 影响企业正常的业务运作!
内部员工:
1、信息安全意识薄弱的员工误用、滥用等;
2、越权访问,如:系统管理员,应用管理员越权访问数据;
3、政治言论发表、非法站点的访问等;
4、内部不稳定、情绪不满的员工。如:员工离职带走企业秘密,尤其是企业内部高层流动、集体流动等!
竞争对手:法制环境不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)!
国外政府或机构:法制环境不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)!
5
企业面临的主要信息安全问题
人员问题:
信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信息泄漏等问题
特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感数据
内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流动等
技术问题:
病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务运作
法律方面
网络滥用:员工发表政治言论、访问非法网站
法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
6
信息安全事件回放(一)
全国最大的网上盗窃通讯资费案
某合作方工程师,负责某电信运营商的设备安装。获得充值中心数据库最高系统权限
从2005年2月开始,复制出了14000个充值密码。获利380万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值,这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
7
信息安全事件回放(二)
北京ADSL断网事件
2006年7月12日14:35左右,北京地区互联网大面积断网。
事故原因:路由器软件设置发生故障,直接导致了这次大面积断网现象。
事故分析:操作设备的过程中操作失误或软件不完善属于“天灾”,但问题出现后不及时恢复和弥补,这就涉及人为的因素了,实际上这也是可以控制的。
需制定实施的业务连续性管理体系
8
信息安全事件回放(三)
希腊总理手机被窃听,沃达丰总裁遭传唤
早在2004年雅典奥运会之前,希腊高官们的手机便已开始被第三方窃听 ,2006年3月份才被发现。
事故原因:沃达丰(希腊)公司的中央服务系统被安装了间谍软件
制定严格的核心操作系统访问控制流程
9
信息安全事件(四)
两名电信公司员工利用职务上的便利篡改客户资料,
事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
10