信息安全知识竞赛培训_集团规范.ppt

主要技术规范及标准 中国移动 网络与信息安全总纲 中国移动 支撑系统安全域划分与边界整合技术要求 中国移动 互联网网络安全应急处理预案 中国移动 帐号口令管理办法 网络与信息是否是资产 网络与信息都是资产，具有不可或缺的重要价值。 无论对企业、国家还是个人，保证其安全性是十分重要的。 网络与信息安全的三个基本属性 机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和必威体育官网网址要求，可以分为不同密级，并具有时效性。 完整性（Integrity）：确保网络设施和信息及其处理的准确性和完整性。 可用性（Availability）：确保被授权用户能够在需要时获取网络与信息资产。 网络面临的典型威胁 未经授权的访问; 信息在传送过程中被截获、篡改; 黑客攻击; 滥用和误用等。 中国移动网络与信息安全体系 安全措施的选择原则 有效性。安全措施的实施必须能够确保风险被降低到可以接受的水平，达到期望的安全目标。 可行性。安全措施必须在技术上是可操作的，可以实现的。某些安全措施不具备通用性，需要因地制宜的考虑具体实施环境。 实际性。应从管理、财务等非技术因素详细分析待实施的安全措施，综合比较实施成本与由此减少的潜在损失，非经济因素也应考虑在内。 安全工作的八个方面 1、组织与人员 2、网络与信息资产管理 3、物理与环境安全 4、通信与运营管理安全 5、访问控制 6、开发与维护 7、安全事件响应与业务连续性 8、安全审计 1、组织与人员 安全工作“三分靠技术，七分靠管理”，建立有效的组织机构是安全管理的基础。不健全的安全管理机制是网络与信息安全最大的薄弱点。 安全责任分配的基本原则是“谁主管，谁负责”。公司拥有的每项网络与信息资产，必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门，但“责任人”是部门时，应由该部门领导实际负责。 岗位职责描述应包含的内容 中国移动的岗位描述中都应明确包含安全职责，并形成正式文件记录在案。安全描述应包括落实安全政策的常规职责和保护具体资产或执行具体安全程序或活动的特定职责。 控制第三方访问所采取的措施 公司应与第三方公司法人签署必威体育官网网址协议，并要求其第三方个人签署必威体育官网网址承诺，此项工作应在第三方获得网络与信息资产的访问权限之前完成。 实行访问授权管理，未经授权，第三方不得进行任何形式的访问。 公司应加强第三方访问的过程控制，监督其活动及操作。 公司应对第三方人员进行适当的安全宣传与培训 第三方人员应佩带易于识别的标志，并在访问公司重要场所时有专人陪同。 人员考察 来自组织和个人的品格鉴定； 学历和履历的真实性和完整性； 学术及专业资格； 身份查验。 劳动合同 劳动合同中应包含网络与信息安全条款，明确规定员工的安全责任和违约罚则。这些责任可延伸至公司场所以外和正常工作时间以外。必要时，这些责任应在雇用结束后延续一段特定的时间。 2、网络与信息资产管理 网络与信息资产责任制度 资产清单 资产责任制度：责任人的职责和权限、维护人的职责和权限 资产安全等级及相应的安全要求 信息的安全等级、标注及处置 网络信息系统安全等级 3、物理与环境安全 物理与环境安全是保护网络基础设施、信息系统及存储媒介免受非法的物理访问、自然灾害和环境危害。 安全区域：安全边界、出入控制、物理保护、安全区域工作规章制度、送货/装卸区与设备的隔离 设备安全：设备安置及物理保护、电源保护、线缆安全、工作区域外设备的安全、设备处置与重用的安全 存储媒介的安全：可移动存储媒介的管理、存储媒介的处置、信息处置程序、系统文档的安全 通用控制措施：屏幕与桌面的清理、资产的移动控制 4、通信与运营管理安全 操作流程与职责：规范操作细则、设备维护、变更控制、安全事件响应程序、开发、测试与现网设备的分离 系统的规划设计、建设和验收：系统规划和设计、审批制度、系统建设和验收、设备入网管理 恶意软件的防护 软件及补丁版本管理 时钟和时间同步 日常工作：维护作业计划管理、数据与软件备份、操作日志、日志审核、故障管理、测试制度、日常安全工作 网络安全控制 信息与软件的交换：信息与软件交换协议、交接过程中的安全、电子商务安全、电子邮件的安全、电子办公系统的安全、信息发布的安全、其他形式信息交换的安全 恶意软件的防护 恶意软件（如病毒、蠕虫、木马等）通常会造成设备损坏、数据丢失、系统崩溃或秘密泄露。为确保网络与信息安全，公司应从安全意识、合理的系统访问和变更管理控制这三个方面出发，加强用户教育，强化防范意识，并采取积极有效的检测和预防控制措施，以减少恶意软件入侵带来的风险。 软件及补丁版本管理 所有安全软件（如：安全访问软件、病毒防护软件、入侵检测软件等）应尽可能