玩cg老是网络异常,cf与主机连接失败败.然后戒掉线。怎么解决
点击联系发帖人
时间:2016-10-04 05:03
当前位置: >>
网络安全课件
网络安全学习课件 课程提纲1网络与信息安全综述 P22 网络与信息安全总纲(NISS培训)P151 3 中国移动全员安全意识培训 P261&2& 课程1― 网络与信息安全综述 目? ? ? ? ? ?录网络与信息安全概述 安全现状与趋势分析 安全技术及产品介绍 安全标准与政策法规 安全工作思路与原则 案例分析&4& 网络与信息安全概述&5& 请思考?什么是网络与信息安全?&6& 什么是网络与信息(1)?强调信息:C C C C C 对企业具有价值(或能产生价值) 以多种形式存在:纸、电子、影片、交谈等 是一种资产 同其它重要的商业资产一样 需要适合的保护网络是信息的一种载体 是信息存放、使用、交互的重要途径 是一种容易识别的实体 是基础通信运营企业的有形资产?强调网络:C C C C&7& 什么是网络与信息(2)?从理论角度C 信息的范围更大,更广 C 网络只是信息使用过程的一种载体、一种方式?从实际工作角度C 把信息局限在网络上承载的内容、数据、业务 C 保障业务连续性、网络正常运行的配置数据等 C 比理论角度的信息范围要窄,但适合我们的工作实际?两种视角的相同点C 信息是目标 C 网络是基础 C 网络与信息并重&8& 什么是网络与信息安全?信息安全:C C C C 保护信息免受各种威胁 确保业务的连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会 网络、设备的安全 线路、设备、路由和系统的冗余备份 网络及系统的安全稳定运行 网络及系统资源的合理使用?网络安全:C C C C&9& 网络与信息安全的论域??对应通信网络及信息化 安全的多维性――多角度思考 的发展,网络与信息安 全大致包含了信息环境、 信息化社会 比如:保密性等 的需要 信息网络和通信基础设 施、媒体、数据、信息 需求 属性 内容、信息应用等多个 对应于人 对应于信 方面。 结果 们的努力 状态 息不安全 中国移动按企业实际情 况把网络与信息安全划 工程 分为七类:物理安全、 能力 传统通信安全、网络与 功能 对应 对应 系统安全、业务安全、 于人 于努 内容安全、信息安全 们努 力的 比如:防护、力的 时间 检测等 实力&10& “安全”――动态发展的概念“安全” 是指将 资产或资源的脆弱 性降到最低限度。 当对信息进行正确的控制以确保它能 防止冒险,诸如不必要的或无保证的传 播、更改或遗失,IT产品和系统应执行 它们的功能. “IT安全”用于概括防御 和缓解这些及类似的冒险。 信息安全-保证信息的保 密性,完整性,可用性; 另外也可包括诸如真实性, 可核查性,不可否认性和 可靠性等特性.ISO 7498-2X.800 1997ISO ISO 4ISO 198919911999ISO 20042005ISO TR 7 定义获取和维护保 密性、完整性、可 用性、可核查性、 真实性和可靠性。信息安全是要在很大的范 围内保护信息免受各种威 胁,从而确保业务的连续 性、减少业务损失并且使 投资和商务机会获得最大 的回报。特指保护保密性、 完整性和可用性。&11& Privacy ? Authentication 可 靠真实性 性 鉴 访 保密性 问 别 控 制 ?&12&私 密 性可核查性? 抗抵赖性完整性Reliability ? Authenticity ? Accountability ? ? ? ? ? ? ? ? ?
X.800 X.805 Non-repudiation Availability ? 可 用 性 ? 信息系统等级保护 ? ? 抗 抵 赖 性 可 核 查 性 真 实 性保密性完整性Communication security安全的相关属性Data confidentiality Confidentiality 保 密 性数 据 保 密 性通信保密通 信 安 全?Integrity可用性完 整 性?Date integrity数 据 完 整 性可用性?Access Control可靠性 安全的相关属性保密性完整性 可用性 真实性 可核查性 抗抵赖性 可靠性 使信息不泄露给未授权的个人、实体或过程或不使信息为其所利 用的特性。 保护信息及处理方法的准确性和完备性。 被授权实体一旦需要就可访问和使用的特性。 确保主体或资源的身份正是所声称身份的特性。真实性适用于用 户、过程、系统和信息之类的实体。 确保可将一个实体的行动唯一地追踪到此实体的特性。 证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动 作或事件。 预期行为和结果相一致的特性。&13& 请思考?企业为什么要投入大量成本实现网络与信息安全?&14& 网络与信息安全的重要性?网络与信息安全是国家的需要 C保障国家安全、社会稳定\胡总书记提出“三个坚决”:坚决防止 发生危害国家安全和社会稳定的重大政 治事件;坚决防止发生暴力恐怖事件; 坚决防止发生大规模群体性事件。国家C 企业生存和发展必须遵循外部网络 与信息安全强制要求\国家及行业的要求:《电信法》、《增 值电信业务网络信息安全保障基本要 求》、电信网络安全等级保护等; \资本市场:《萨班斯法案》。企业用户&15& 网络与信息安全的重要性?网络与信息安全是企业保持竞争力的内在需要 C 企业战略转变\做世界一流企业,成为移动信息专家,网络与信息安 全是必要条件: C 体现了中国移动企业核心观 C 实现中国移动对客户及社会的承诺? 正德厚生:旨于服务和谐社会,保障客户利益 ? 臻于至善:打造中国移动安全健康的精品网络国家? 对客户的承诺:提供卓越品质的移动信息专家 ? 对社会的承诺:承担社会责任做优秀企业公民体现企业C 企业持续发展\市场需求驱动安全发展 \安全服务已成为新的业务增长点。如绿色上网、 电子商务等安全服务 \竞争优势,树立品牌 \企业正常运营的需求C 避免名誉、信誉受损 C 避免直接经济损失 C 避免正常工作中断或受到干扰 C 避免效率下降用户&16& 网络与信息安全的重要性?网络与信息安全是用户的需要 C 保护个人隐私与财产\威胁信息私秘性 \直接影响用户对信息交互的信任度国家C 满足用户业务使用需求\客户在业务使用中,对安全的需求越来越强烈。 如政府、银行等集团客户对网络运营商提出更高 的安全保障要求 企业用户&17& 网络与信息安全的基本特征? ? ?相对性C 只有相对的安全,没有绝对的安全系统时效性C 新的漏洞与攻击方法不断发现相关性C 日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定 配置下的安全) C 新的系统组件也会引入新的问题? ?不确定性C 攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性C 信息安全是一项系统工程,需要技术的和非技术的手段,涉及到管理、培 训、技术、人员、标准、运行等?必要性C 网络与信息安全必须是企业重点并持续关注和解决的&18& 网络与信息安全的特点? ? ? ? ?国家间的竞争与敌对势力永远不会消失 企业间谍、攻击者、欺诈与偷窃 内部系统的误用、滥用问题长期存在 新的威胁不断出现使原有防护措施失效 或新的威胁产生 ……??? ? ?客观上无法避免的因素 ? 技术发展的局限,系统在设计之初不 能认识到所有问题,如Tcp/ip协议 ? 人类的能力有限,失误和考虑不周在 所难免,如在编码会引入Bug 主观上没有避免的因素 ? 采用了默认配置而未定制和安全优化 ? 新的漏洞补丁跟踪、使用不及时 ? 组织、管理和技术体系不完善 技术发展和环境变化的动态性……?随着信息化建设,信息资 产的价值在迅速增长 资产的无形价值,如商业 情报、声誉、品牌等等已 远远超过了购买价格 ……漏洞/脆弱性客观存在! 有效保护网络与信息安 全的核心是进行持续、 科学的风险管理!&19& 风险管理思想资产 资产风险威胁 漏洞 威胁RISK 风险RISK RISKRISK漏洞风险的构成风险的降低&20& 安全现状与趋势分析&21& 案例-中美黑客大战?事件背景和经过 C 撞机事件为导火线 C 4月初,以PoizonB0x、pr0phet为代表的美国黑 客组织对国内站点进行攻击,约300个左右的站点页 面被修改 C 4月下旬,国内红(黑)客组织或个人,开始对美国网 站进行小规模的攻击行动,4月26日有人发表了 “五 一卫国网战”战前声明,宣布将在5月1日至8日,对 美国网站进行大规模的攻击行动。 C 各方都得到第三方支援 C 各大媒体纷纷报道,评论,中旬结束大战&22& 典型案例-中美黑客大战国内某大型商业网站 国内某政府网站中国科学院心理研究所中经网数据有限公司遭PoizonB0x、pr0phet更改的我国部分网站主页&23& 典型案例-中美黑客大战美国某大型商业网站 美国某政府网站美国劳工部网站美国某节点网站国内黑客组织更改的网站页面&24& 常用入侵系统步骤(普通&高级)判断 系统 提 提 升 升 为 为 最 最 高 高 权 权 限 限 攻击其 他系统采用 端口 漏洞 判断 扫描 工具 分析 可能 有漏 洞的 服务选择 选择 会用 最简 的 方式 方式 入侵 入侵获取 获取 系统 系统 一定 一定 权限 权限安装 安装 多个 系统 系统 后门 后门清除 获取敏感信息 获取替 入侵 或者 换信息 脚印 其他攻击目的作为其 他用途&25& 信息收集与踩点??? ? ? ? ?Ping、traceroute等系统自带命令 端口扫描 Nmap OS指纹鉴别 漏洞扫描(X-scan、SSS、商业扫描器) 构造特殊的攻击和扫描,如firewalking 社会工程 配置错误&26& 网络与信息安全面临各种威胁欺诈钓鱼病毒蠕虫木马黑客攻击信息资产物理偷窃信息丢失、篡改、 销毁 内部网络滥用 拒绝服务攻击内部、外部泄密&27& 常见安全事件类型-网络钓鱼? 以假乱真,视觉陷阱C 域名类似 www.lcc.com.cn www.1cc.com.cn www.lcc.org.cn ? 身份伪装 C
? ? 改写URL C http://www.xxxbank.com& item=q20299@www.test.ne t/pub/msk/Q20299.asp ? 编码 C http:// ? DNS 劫持+Phishing&28& 常见安全事件类型-病毒及恶意代码? ??计算机病毒是指一段具有自我复制和传播功能的计算机代码,这段代 码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。 病毒的特点 C 破坏性强 C 传播性强 C 针对性强 C 扩散面广 C 传染方式多 病毒的新动向 C 传播速度快:以网络和Internet 为主 C 危害很大的病毒以邮件为载体 C 病毒的延伸:特洛伊木马 C 有毒的移动编码--来自Internet网页威胁&29& “熊猫烧香”事件熊猫烧香 金猪报喜“熊猫烧香”去年11月中旬被首次发现,短短两个月时间,新老变种已达700多种个&30& 常见安全事件类型-病毒蠕虫?红色代码 C 日,微软发布安全公告:Microsoft IIS .IDA / .IDQ ISAPI 扩展远程缓冲区溢出漏洞。 C 一个月后,利用此安全漏洞的蠕虫“红色代码” 一夜之间攻击了国外36万台电 脑,日, “红色代码Ⅱ”开始在国内发作,造成很多运营商和企事 业单位网络瘫痪。给全球造成了高达26亿美元的损失。 SQL slammer C 日,微软发布安全公告:Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞。 C 到日,足足6个月后,利用此安全漏洞的蠕虫“SQL Slammer” 现身互联网,几天之内给全球造成了12亿美元的损失。 冲击波 震荡波 魔波 ……?? ? ? ?&31& 常见安全事件类型-特洛伊木马? 正向连接 ? 反向连接特洛伊木马攻击的计算机 攻击者的计算机Internet特洛伊木马攻击的计算机攻击者控制的服务器&32& 常见安全事件类型-僵尸网络??什么是僵尸网络(BotNet) C 是互联网上受到黑客集中控制的一群计算机,往往被 黑客用来发起大规模的网络攻击,如分布式拒绝服务 攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些 计算机所保存的信息也都可被黑客随意“取用”。 发现僵尸网络是非常困难的 C 因为黑客通常远程、隐蔽地控制分散在网络上的“僵 尸主机”,这些主机的用户往往并不知情。因此,僵 尸网络是目前互联网上黑客最青睐的作案工具。&33& 常见安全事件类型-拒绝服务攻击为何还 没回应 伪造地址进行SYN请求SYN (我可以连接吗?)就是让 你白等ACK (可以)/SYN(请确认!)攻击者 不能建立正常的连接受害者&34& 拒绝服务(DoS)的分类? ??攻击类型划分I 堆栈突破型(利用主机/设备 漏洞) C 远程溢出拒绝服务攻击 网络流量型(利用网络通讯 协议) C SYN Flood C ACK Flood C ICMP Flood C UDP Flood、UDP DNS Query Flood C Connection Flood C HTTP Get Flood C ???????攻击类型划分II 应用层 C 垃圾邮件、病毒邮件 C DNS Flood 网络层 C SYN Flood、ICMP Flood 链路层 C ARP 伪造报文 物理层 C 直接线路破坏 C 电磁干扰&35& DoS/DDoS的历史和特点有意识的攻击 C 1999年 Yahoo、ebay 被拒 绝服务攻击,DDoS 出现 C 2001年 CERT 被拒绝服务攻 击 C 2002年 CNNIC 被拒绝服务 攻击 C 2003年 全球13台根 DNS 中 有8台被大规模拒绝服务 C 有组织、有预谋的涉及金钱利 益的拒绝攻击出现 ? 无意识的攻击 C 蠕虫传播 C Exploit (Proof of Concept Code)? ? ????发起突然 C 可能之前毫无征兆 危害巨大 C 极大的破坏了系统和网络的可 用性 C 涉及金钱利益的攻击事件开始 出现 极易实施 C 广为传播的免费工具软件 C 人的好奇心或者其他想法 防范困难 C 新的攻击形式不断出现 C 攻击制造的流量日益增大 难于追查&36& 常见安全事件类型-社会工程?社会工程 C 假借客户,骗取资料 C 冒充技术员打电话,询问个人邮件密码 C 搜集员工个人信息,破解用户口令 C 收买公司员工,窃取内部机密&37& 其它常见的攻击/入侵方法?黑客入侵C 跳板或肉鸡:通过一个节点来攻击其他节点。攻击者控制一台主 机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽 其入侵路径和擦除攻击证据。电子邮件攻击:邮件炸弹、邮件欺骗 ? 网络监听:获取明文传输的敏感信息 ? 内部网络滥用:BT下载、大附件邮件转发等?&38& 主要威胁的统计根据FBI调查统计,位列 前五位的威胁分别是内部 网络的滥用、病毒和移动 设备的偷窃、钓鱼以及即 时消息的滥用。&39& 威胁主体分析来源 环境因素 描述 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、 火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬 件、数据、通讯线路等方面的故障 恶 意 人 员 非 恶 意 人 员 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自 主或内外勾结的方式盗窃机密信息或进行篡改,获取利益 外部人员利用信息系统的脆弱性,对网络或系统的保密性、完 整性和可用性进行破坏,以获取利益或炫耀能力 内部人员由于缺乏责任心,或者由于不关心或不专注,或者没 有遵循规章制度和操作流程而导致故障或信息损坏;内部人员 由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信 息系统故障或被攻击人为 因素GB/T 《信息安全技术-信息安全风险评估规范》&40& 人―最主要的威胁主体??截至2007年12月,网民数已增至2.1亿人。中国网民数增长迅速,比 2007年6月增加4800万人,2007年一年则增加了7300万人,年增长 率达到53.3%。在过去一年中平均每天增加网民20万人。目前中国的 网民人数略低于美国的2.15亿 ,位于世界第二位。 目前中国4亿手机用户中,在过去半年有过手机接入互联网行为的网 民数量是5,040万人。即网民中的24%、手机用户中的12.6%是手机 网民,手机上网已经渐成风气。&41& 攻击方法及技术趋势高SQL注入入侵者技术包欺骗 臭探 擦除痕迹半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 Google hacking破坏审计系统检测网络管理 回话劫持攻击手法控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码低1980密码猜测攻击者00 2005&42&1985 电信网络面临的威胁? ? ? ?网络结构庞大复杂,互联网出入口多 不同安全等级的网络、系统隔离不充分,易导致威胁的扩散 (生产网、网管网、OA等) 业务系统自身的脆弱性(应用软件、业务逻辑漏洞、安全补丁 等) IP化及业务开放性趋势导致新的弱点: C 信令网不再封闭 C 不同安全域的互通控制更复杂 ATCA平台/通用操作系统的应用使得设备自身易受攻击?&43& 移动网络安全威胁分析来自运营商DCN网络的威胁? 病毒、蠕虫、木马 ? 非法访问 ? 越权访问、权限滥用 ? 敏感/机密信息泄露IM Gaming ConferencePresenceOA第三方ASP/ISPBSS/OSSIP来自第三方网络的威胁? 身份欺骗 ? 业务欺诈/盗用MMS自有业务系统 MRFWAPIPMGCF IMSStreamSMSCSCFIP Core NetworkGGSN HLR/Auc SGSN MSC CSPSTN/PLMNInternet来自Internet的威胁? 黑客入侵 ? DoS/DDos攻击,资源耗竭 ? 非法接入业务系统PSMGWBSCIP Access NetworkRNC来自用户侧(接入/终端)威胁对用户 ? 窃听/用户机密信息窃取 ? 病毒/蠕虫/木马 ? 中间人或伪基站攻击 对网络 ? 业务盗用 ? 非法设备接入 ? 网络攻击/拓扑泄露 ? DoS攻击,资源耗竭IP BSSIP RANBTS终端NodeB&44& 网络技术快速发展,安全风险无处不在123网络IP化业务开放化终端智能化在向全IP网络转变 过程中,由于IP协 议的不安全以及复 杂的互联需求,安 全风险逐步渗入到 电信网络的核心。运营商、SP构成更 加紧密的价值链, 该此模式对管理和 技术控制措施提出 更高要求。移动终端处理能力的 提高、功能的丰富, 同时意味着传统计算 机领域的安全问题也 会扩散到移动终端领 域,并给通信网络带 来安全隐患。&45& 安全攻击日益受利益驱动,易于实施45攻击工具化驱动利益化安全工具易于获得,攻击成本逐年降低 ?大量自动化、集成度高的攻击工具,可 通过互联网下载。 ?随着互联网的发展,网上可供利用的安 全漏洞数量逐年增加,成功实施攻击所 需时间不断缩短。在经济利益驱动下,安全事件更加难于 处理和防范 ?维护人员、第三方技术支持人员利用 其了解的信息和掌握的权限谋取非法收 入。传统安全防护手段难于对此类情况 进行防护。 ?灰鸽子病毒,垃圾邮件等安全事件, 反映出利用安全事件获取非法收益的地 下产业链已经形成。&46& 安全问题带来的企业风险影响业务运作?信息安全问题引起电信业务中断带来极大的社会影响。如:电信4.11断网、北京网通断网 ?信息安全问题导致业务收入损失。如:智能网盗卡事件竞争力下降?新业务模式、投资计划等商业秘密泄漏。 ?由于资本市场提出新的监管要求,信息安全问题更加严重影响企业 的融资能力。 ?因业务没有充分的安全保障,造成客户对业务的负向感知,引起客 户投诉、离网或不选择相应的服务。法律诉讼?业务数据受到破坏,广东动感地带网站 ?泄漏用户个人信息 香港和黄被起诉安全问 题可能 导致移 动多年 精心经 营的移 动信息 专家品 牌蒙受 重大损 失。&47& 脆弱性面面观-国家层面?我国信息安全保障工作仍存在一些亟待解决的问题: C 网络与信息系统的防护水平不高,应急处理能力不强; C 信息安全的管理和技术人才缺乏,信息安全关键技术 整体上比较落后,信息安全产业缺乏核心竞争力; C 信息安全法律法规和标准不完善; C 全社会的信息安全意识不强,信息安全管理薄弱。国家信息化领导小组关于加强信息安全保障工作 的意见 (中办发[2003]27号)&48& 脆弱性面面观-企业层面安全脆弱性 预算限制 执行安全政策不利 高级管理层对此缺乏关注或兴趣 信息安全策略不完善 关键技术产品存在安全漏洞 补丁产品使用不当 美国 29% 21% 19% 18% 18% 17% 中国 20% 19% 28% 42% 34% 38%采用外包服务IT架构陈旧过时 安全产品不兼容或互操作性差 安全政策和技术跟不上组织结构的变化 内部开发的软件未对信息安全予以关注 雇用临时员工13%12% 10% 10% 10% 9%9%15% 20% 17% 16% 9%其它6%1%InformationWeek研究部和埃森哲咨询公 司《2007年全球信息安全调查》德勤《2007年全球信息安全调查》&49& 脆弱性面面观-个人层面应 用 上传下载 邮件收发 即时通讯 信息浏览 网络游戏 信息查询 在线音视频 文件共享 电子商务 存在的问题 病毒木马传播、身份伪造、机密泄漏 漏洞利用、病毒木马传播 病毒木马传播、Bot扩散、信息泄漏 网络欺诈、网页病毒攻击 外挂问题、身份伪造、账号装备失窃 敏感信息泄漏 漏洞利用、身份伪造 病毒木马传播、带宽消耗 身份伪造、网络欺诈、账号失窃&50& 安全技术及产品介绍&51& 主流安全产品格局安全内容与威胁管理网络安全Network FireWall UTMSSL/IPSec VPN应用安全 Web安全Web Firewall/IPS终端安全Host Firewall基于身份的认 证与授权管理IDM基础平台管理Message安全Anti-Spam MailServer AntivirusSIEM Vulnerability management Patch management Unify security network managementHost IPS Host/Endpoint Anti-Virus Host Anti-SpywarePKINetwork IPSUTMURL-filteringGateway AntiVirus Gateway Antispyware Gateway Anti-phishingSmartCard Biometrical Identify SSO Authority management Provisioning Role managementMail EncryptionOutbound Content ComplianceNGNetwork FirewallEndpiont Compliance Converged Client Security suit 用户行为审计Anti-DDOS DPI/DFI 带宽管理&52& 主流安全产品介绍防火墙 ? IDS/IPS ? 抗DDOS ? 防病毒 ? 安全域 ? 帐号口令 ? 审计 ? 安全管理平台?&53& 防火墙的概念?防火墙是一种高级访问控制设备,是置于不同网络安全域 之间的一系列部件的组合,是不同网络安全域间通信流的 唯一通道,能根据企业有关安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。可信任的网络 防火墙 不可信的网 络及服务器 不可信 的用户Internet IntranetDMZ路由器供外部访问的 服务及资源可信任的用户&54& 防火墙的主要技术包过滤技术(Packet Filtering) ? 状态包过滤技术(Stateful Packet Filtering) ? 应用代理技术(Application Proxy)?应用层 表示层 会话层 传输层网络层数据链路层 物理层&55& *包过滤技术的基本原理Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP控制策略查找对应 的控制策 略根据策略决定如 何处理该数据包 数据包 数据包拆开数据包屏蔽路由器数据IP报头TCP报头企业内部网分组过滤判断信息&56& *状态包过滤技术的基本原理控制策略查找对应 的控制策 略 根据策略决定如 何处理该数据包 数据包 拆开数据包IP报头 IP报头 IP报头 TCP报头 TCP报头 TCP报头 数据1 数据2 数据 数据1 3数据包 屏蔽路由器企业内部网分组过滤判断信息状态检测&57& *应用代理技术的基本原理控制策略查找对应 的控制策 略 根据策略决定如 何处理该数据包 数据包 拆开数据包IP报头 TCP报头 数据数据包屏蔽路由器分组过滤判断信息 应用代理判断信息企业内部网&58& 防火墙的局限性防火墙不能防止通向站点的后门。 ? 防火墙一般不提供对内部的保护。 ? 防火墙无法防范数据驱动型的攻击。 ? 防火墙不能防止用户由Internet上下载被病毒感染的计算 机程序或者将该类程序附在电子邮件上传输。?确保网络的安全,还要对网络内部进行实时的 检测 ,对信息内容进行过滤。&59& 入侵检测系统的基本概念? ? ? ?入侵检测系统(IDS:Intrusion detection system)用于监 控网络和计算机系统被入侵或滥用的征兆; IDS系统以后台进程的形式运行,发现可疑情况,立即通 知有关人员; IDS是监控和识别攻击的标准解决方案,是安防体系的重 要组成部分; 假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这 幢大楼里的监视系统。&60& 入侵检测系统示意摄像机=探测引擎后门 监控室=控制中 心Card Key保安=防火墙形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它 也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它 还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只 是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断 &61& 连接、关闭道路(与防火墙联动)。 入侵检测系统的类型主机入侵检测系统(Host Intrusion Detection) ? 网络入侵检测系统(Network Intrusion Detection) C 网络入侵检测系统,它通过抓取网络上的所有报文, 分析处理后,报告异常和重要的数据模式和行为模式, 使网络安全管理员清楚地了解网络上发生的事件,并 能够采取行动阻止可能的破坏。?&62& 入侵检测系统的功能实时检测 C 实时地监视、分析网络中所有的数据报文 C 发现并实时处理所捕获的数据报文 ? 安全审计 C 对系统记录的网络事件进行统计分析 C 发现异常现象 C 得出系统的安全状态,找出所需要的证据 ? 主动响应 C 主动切断连接或与防火墙联动,调用其他程序处理?&63& 入侵检测系统与防火墙的区别所在的位置不同 C 防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网 络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。 C 而NIDS是可以装在局域网内的任何机器上,一个网段内可以装上数台 NIDS引擎,由一个总控中心来控制。 ? 防范的方向不同 C 防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网 络对内部网络的可能存在的攻击。 C 网络入侵检测系统在不影响网络性能的情况下能对网络进行检测,从而 提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻 击和网络资源滥用。 ? 检测的细粒度不同 C 防火墙为了实现快速的网络包转换,故只能对网络包的IP和端口进行一 些防黑检测,比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网 络入侵,防火墙是毫无办法。 C 而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整 个网络包进行检查过滤。?&64& 入侵防御系统???入侵防御系统IPS (Intrusion Prevention System) C 提供一种主动的、实时的防护,其设计旨在对常规网络流量中的 恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行 自动拦截,使它们无法造成损失,而不是简单地在传送恶意流量 的同时或之后发出警报。IPS 是通过直接串联到网络链路中或安 装在服务器上而实现这一功能的,即IPS接收到外部数据流量时, 如果检测到攻击企图,就会自动地将攻击包丢掉。 IPS的优点 C IPS侧重访问控制,注重主动防御。目前,主流的IPS产品都内置 了状态包检测防火墙, IPS代表了深度检测和时时防御,IPS是 2-7层的检测在加上高性能的硬件的结合体。 IPS的缺点: C 性能: 设备性能不够稳定,造成网络延迟或丢包; C 误报: 存在误检测,对正常业务造成影响; C 漏报: 存在漏报现象,影响系统安全性,给企业带来损失。&65& 抗DDOS攻击的技术趋势技术被动防御黑洞?流量全部丢弃,反而 达到了DDoS攻击的 目的;攻击流量清洗DDoS流量清洗?部署在IDC/大用户/运营 商网络侧进行DDoS监测 和防护; ?主要针对DDoS流量, 其它异常流量防护能力 有局限;异常流量监管异常流量监管?按需部署方案 ?安全威胁防范 ?电信业务监管 ?网络保值到增值ACL?针对目的IP过滤或限 速;无法防御应用攻击;防火墙?性能/扩展差; 对运营 商网络的影响;时间&66& 病毒及恶意代码防护技术?防病毒系统 C 分类:\主机型 \网关型C 特点:\通过特征规则匹配发现病毒 \规则必须定期更新?从发展上看,病毒及恶意代码,包括木马、蠕虫甚至垃圾 邮件、间谍软件逐渐被归纳为内容安全的问题,传统防病 毒系统也逐渐演变为安全内容管理。&67& 安全域划分为什么要划分安全域?? ?? ?组网方式随意性强,缺 乏统一规划 网络区域之间边界不清 晰,互连互通没有统一 控制规范 安全防护手段部署原则 不明确 扩展性差?? ? ? ? ?无法有效隔离不同业务领域, 跨业务领域的非授权互访难于 发现和控制 无法有效控制网络病毒的发作 区域和影响 不能及时的发现安全事件和响 应 第三方维护人员缺乏访问控制 和授权 管理员密码和权限的难以管理 关键服务器、信息资产的缺乏 重点防护&68& 安全域划分安全域是指具有相同或近似 安全保护需求的一系列IT要 素的逻辑集合。这些要素主 要包括: ?业务应用 ?网络区域 ?主机/系统 ?组织人员 ?物理环境主体、性质、安全目标和策略等元素的不 同来划分的不同逻辑子网或网络,每一个 逻辑区域有相同的安全保护需求,具有相 同的安全访问控制和边界控制策略,区域 间具有相互信任关系,而且相同的网络安 全域共享同样的安全策略。安全域划分的根本目的是把一个大规模复杂系统的安全问题, 化解为更小区域的简单系统的安全保护问题。这也是实现大规模复 杂信息的系统安全分等级保护的有效方法。&69& 安全域划分示例&70& 帐号口令管理的需求(4A)?随着当前IP网络中,不同种类业务和应用的飞速发展,网络的安全性逐渐得 到了人们的认识和重视,因此类如防火墙、IDS/IPS、防病毒网关、终端防 护等安全技术产品在网络中越来越流行起来,从某种程度上解决了一些安全 上问题,但是如何确定网络中用户身份的真实性,实现用户授权的可靠性, 对用户网络行为的可追溯性,以及对用户账号管理的易用性,仍然是信息安 全管理中不得不面对的难题。其常见的问题表现为: C 1、在网络用户只有IP,没有与之对应的真实身份ID的前提下,发生非法 网络行为时,不能及时定位隔离。 C 2、网络对登录用户进行认证时,每个节点的设备各自配置自己的用户信 息、权限、策略及认证,从而难以管理,易出错。 C 3、网络中不同功能服务区,没有进行按级别访问的权限设制。 C 4、网络中真实用户身份不能确定,存在仿冒的可能,无法对个人行为进 行监控。 C 5、对网管人员自身的监控力度不够 C 6、对多种网络接入方式的支持及认证强度不够,不能提供稳定的硬件级 别的认证系统 C 7、目前基于IP进行管理的网络,已不适应网络实名化的趋势&71& 帐号口令管理方法与目标通过建立基于4A(Account、Authentication、Authorization、Auditing)的统一身 份及访问安全管理平台,使得系统安全管理人员可以对各业务系统中的用户和资源进 行集中账户管理、集中认证管理、集中权限分配、集中审计,从而在管理、技术上保 证各种业务系统安全策略的实施。… 集中帐号口令管理 ?增强内控安全,满足法规遵从 ?梳理系统帐号,增强系统安全 ?加强对系统的访问控制,提高系 统安全性 … 集中认证接入 ?定制工作流,提供管理规范性技 术手段支撑 ?建立安全审计中心,及时发现安 全问题,追溯违规行为 ?建立管理平台,提高管理效率 ?实现单点登录,提高用户便利 集中安全审计 …&72&… 集中授权管理 安全审计产品-需求定位 操作系统和应用程序的日志,忠实地记录了操作系统和应 用程序的“一举一动”,能够通过审计这些日志定位系统故 障、网络问题和入侵攻击行为。 举证 安全审计的日志可以用来法律举证的证据,必要时能帮助进 行事故的责任认定。一些行业要求定期对日志进行全面备份 并保留相当时间。 预警 能够发现潜在的威胁和运行问题,未雨绸缪化解安全和运行 风险。对于安全事件发生或关键数据遭到严重破坏之前可以 预先通过日志异常行为告警方式通知管理人员,及时进行分 析并采取相应措施进行阻止,降低安全事件的最终发生率。&73& 安全审计产品-审计目标操作系统日志 ? 登陆与SU日志:异常分析 ? 命令操作日志:分析异常操 作 ? 标准系统日志:非法攻击留 下的日志痕迹主机运行状态 ? CPU资源监控 ? 内存占用监控 ? 磁盘空间监控应用系统日志 ? 数据库操作和登陆 ? W3C格式的应用系统分析 ? 特定应用系统的定制&74& 集中日志审计的基本功能???保障日志安全 C 传输加密 C 第三方存储 C 访问授权 易于管理 C 集中存储 C 方便支持不同应用系统日志审计的扩展 C 采用多种直观的显示方式帮助管理员的分析和提供预警 处理海量日志,提高分析效率 C 自动化的日志分析 C 支持海量日志事件的过滤、分析和处理 C 更深层的对日志进行分析&75& 安全运行管理平台(ISMP)ISMP不是单纯产品,是承载安全管理与运行工作的平台 C 涵盖安全工作的所有过程(包括预防、评估审计、监控、分析处理、 恢复各个环节) C 承载安全工作流和信息流,针对各个安全流程的每个环节的工作提 供相关信息、任务 ? ISMP是安全保障体系的落实与体现形式,是安全保障体系有效运行的技 术支撑手段 C 实现动态、可量化的风险管理 C 实现网络安全工作从凌乱、零散、粗放向有序、体系化、精细化的 管理模式转变 C 日常的安全运维工作通过ISMP开展,就像网管依赖网管平台开展 C ISMP从技术体系采集数据,执行和审计策略体系 C 各相关部门通过ISMP实现安全工作有序管理和密切协作 ? ISMP体现管理意图,以全面反映安全工作指导思想贯穿始终?&76& 安全运行管理平台(ISMP)?对领导层的价值:C 及时掌握各个部门整体安全状况,辅助决策 C 业务连续性高,绩效好 C 提高效率,减少人员需求,降低维护成本?对安全管理者的价值:C C C C C 安全状态可视化。全面、直观识别和显示各系统和设备的安全风险 及时和全面的发现的安全事件 实现各部门各业务系统的安全产品、网络、主机、应用软件的事件关联分析 实现安全事件精确定位,加快安全事件的响应速度,保障业务的连续性; 智能化处理,降低对安全管理人员需求,提高工作效率;?对系统维护人员、一般员工的价值:C 业务系统安全状况可视化; C 安全事件快速定位,并提供处理支持(如补丁加载决策支持),提高生产效率,减 少低级劳动?对业务人员的价值:C 安全保障水平提高,实现客户SLA;稳定客户,提高客户满意度&77& ISMP产品核心技术发展? 以过程管理为核心(未来ISMP发展方 向)? 主要突出安全运维流 程过程管理? 以资产风险管理为核心(目前已应用 ? 以安全事件为核心 的ISMP产品)? 以资产为核心视图, 比较直观和灵活的管 理事件、资产和脆弱 性要素,实现了初步 的风险管理思想(日志收集与安全审计产品) ? 以网元设备为核 心(网管产品发? 收集多种不同来源的 安全事件,进行关联 并可设定监控阀值? 作为安全运行支撑手段,非事件关联分析 告警的平台展)? 基于网管系统开发 的ISMP产品通常采 用这个思想,把固 定的安全事件固定 到网元管理上&78& 安全标准与政策法规&79& 安全标准与政策法规简介国际相关政策国内相关的 政策、法律 法规、安全 框架及各类 适用标准。国家管理部门发布国家层面的信息战略、信息安 全战略、安全相关法律法规等。标准研究机构研究国内外先进标准体系、制订、 发布安全国家标准、地方标准等。行业主管部门 法律法规发布行业安全指南、指引,研究、 制订本行业安全相关标准等。企业管理部门框架标准指南发布本企业信息安全政策、策略、 制度、指南,以及本企业标准等。研究、制订、发布&80& 国际信息安全标准化组织ISOJTC1 SC27,信息技术 -安全技术,共个工作 组发布,主要信息安全 标准;其他子委员会主 要有SC6、、SC18、 SC21、SC22、SC30 等等; ISO/TC 68, 银行和有 关的金融服务。IECTC56 可靠性; TC74 IT设备安全和功 效; TC77 电磁兼容; CISPR 无线电干扰特别 委员会。ITU前身是CCITT 消息处理系统; 目录系统(X.400系列、 X.500系列); 安全框架; 安全模型等标准。IETFPGP开发规范; 鉴别防火墙遍历; 通用鉴别技术; 域名服务系统安全; IP安全协议; 一次性口令鉴别); X.509公钥基础设施; S/MIME邮件安全; 安全Shell ; 简单公钥基础设施; 传输层安全; Web处理安全 。除以上国际组织外,各个国家均有自己的信息安全标准化组织,如ANSI (美国国家标准) BIS (印度标准) BSI (英国标准) BS标准目录 NF (法 国标准) DIN (德国标准) GOST (俄罗斯国家标准) JSA (日本标准) TIS (泰国标准) AS (澳大利亚标准) CSA (加拿大标准协会)等等&81& 国际标准化组织ISO介绍?ISO的主要工作是制修订 与出版国际标准。ISO标 准的范围涉及除电工与电 子工程以外的所有领域; 电工与电子工程标准,由 国际电工委员会(IEC) 负责制修订;信息技术标 准化工作由ISO和IEC共同 负责。1987年11月,这两 大国际组织成立了 ISO/IEC的JTCI联合技术 委员会即&信息技术委员会 &,现有50个成员团体参加 其工作。TC97Cs47B/831987SC 02SC 27SC 37WG1WG2WG3WG4WG5&82& 国际标准化组织ISO介绍AssessmentWG3 Evaluation CriteriaWG1 ISMS(评估)GuidelinesWG4 Controls and Services(指南)TechniquesWG2Cryptograph & MechanismsWG5IM & Privacy Technologies(技术)ProductSystemProcessEnvironment(产品)(系统)(流程)(环境)&83& 中国信息安全标准化组织与标准体系GBGB/Z GB/T国标 行业标准GA公安 YD通信 JR金融DB11北京 DB44广东 地方标准 DB31上海企业标准Q+*企业&84& 中国信息安全标准体系框架网络与信息安全标准 体系框架基础安全标准安全技术标准工程管理标准安 全 术 语 标 准安 全 体 系 标 准安 全 框 架 标 准安 全 模 型 标 准技 术 机 制 标 准物 理 环 境 标 准安 全 产 品 标 准安 全 管 理 标 准系 统 管 理 标 准安 全 保 密 标 准安 全 工 程 标 准安 全 测 评 标 准&85& 合规与遵循的必要性财富1000强企业CIOs/CSOs调查(目前在安全方面花费的最主要驱动因素):合规性检查 海外法律法规 (SOX, GLBA, HIPAA)国内法律法规 国家信息安全 等级保护制度 《互联网安全 保护技术 24% 措施规定》 公安部 14% 第82号令 行业标准指南 最佳实践框架98%内部威胁 Sarbanes外部威胁Oxley 《萨班斯奥克斯利法案》50% 银监会 《商业银行 内部控制指引》 44%证监会 《证券公司 内部控制指引》 保监会 《保险公司风险 管理指引 (试行)》ISO27002Gramm-LeachBliley 《 员工使用移动设备 格爱姆- 里赤- 新技术,例如VoIP 布里利法案》 HIPAA健康保险 不安全的商业计算平台 流通与责任法案Cobit迁移到新的软件模型 Basel II巴塞尔电监会5号令 对于今天身处激烈竟争中的现代企业来说,满足日益复杂的外部合规性要 新资本协议 求,提升企业管理水平,有效抵御各类风险,最终实现业务持续性健康发 0% 20% 40% 60% 80% 100% ? 展的目标是实施遵从要求的根本原因。而随着企业对IT技术依赖性的提高, ? 由IT控制而引发的IT遵从成为企业遵从行为的重要形式,由此产生的管理 来源: 高盛安全花费调查, 2006 活动和控制目标将贯穿于企业的整个生命周期中。国信办信息 安全风险 12% 评估规范14%COSOITIL&86& 企业合规与遵循框架27号文 COSO-ERM COBIT ISO 27000系列 ISO 13335系列 等级保护标准 信息安全国标 ?? 框 架 标 准 组织人员 147号令 等级保护 政策法规 策略制度 SOX法案 ??ITILISO 27002 实 践 指 南业务应用 主机和系统网络区域 IT基础设施 物理环境 企业IT相关资源或元素 自身现状及特点风险评估规范风险管理指南&87& 政策法规介绍国际政策法规《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act) 《格爱姆-里赤-布里利法案》(Gramm-Leach-Bliley Act) 《健康保险流通与责任法案》(HIPAA) 《巴塞尔新资本协议》(Basel II)中国政策法规《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 《中华人民共和国计算机信息系统安全保护条例》(国务院令147号) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号 ) 《信息安全等级保护管理办法》(试行 公通字[2006]7号文) 《信息安全等级保护管理办法》(公通字[2007]43号文) 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[号文) 《关于开展信息安全风险评估工作的意见》 《中华人民共和国保守国家秘密法 》 《信息安全法》 《电子签名法》等&88& 国家加强对信息化工作的领导日期6-01 9-12 1-08信息化领导机构 国家经济信息化联席会议 国务院信息化工作领导小组 无 国家信息化工作领导小组 国家信息化领导小组 国务院信息化工作办公室领导 邹家华副总理 邹家华副总理 吴邦国副总理 朱F基总理 曾培炎部长3-05国家信息化领导小组 国务院信息化工作办公室温家宝总理 王旭东部长&89& 国家信息化的工作体制中共中央 国 务 院1、国 家 信 息 化 领 导 小 组2、国 务 院 信 息 化 工 作 办 公 室综合组 政策规划 推广应用 网络与信息安全 电子政务3、国家信息化 专家咨询委员会专家委秘书处政策规划 专业委员会电子政务与信息化应用 专业委员会网络与信息安全 专业委员会技术 专业委员会 &90& 政策法规介绍-27号文27号文件主要内容: 总体要求及原则一、加强信息安全保障工作的总体要求和主要原则 二、实行信息安全等级保护 等级保护 三、加强以密码技术为基础的信息保护和网络信任体系建设 四、建设和完善信息安全监控体系 五、重视信息安全应急处理工作 信任体系 监控体系 应急处理 六、加强信息安全技术研究开发,推进信息安全产业发展 七、加强信息安全法制建设和标准化建设 法律法规标准 人才与意识 安全技术研究 八、加快信息安全人才培养,增强全民信息安全意识 九、保证信息安全资金 十、加强对信息安全保障工作的领导,建立健全信息安全管理责任制 加强领导 明确责任 资金保障《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号),日发布。我国第一个信 息安全战略层面的文件,是指导我国信息安全保障工作的纲领。&91& 政策法规介绍-147号令?主要条款(摘要)C 第六条 公安部主管全国计算机信息系统安全保护工作。 C 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安 全等级保护的具体办法,由公安部会同有关部门制定。 C 第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小 时内向当地县级以上人民政府公安机关报告。 C 第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权: 监督、检查、指导计算机信息系统安全保护工作;查处违法犯罪案件。 C 第二十条 公安机关有权处以警告或者停机整顿 。 C 第二十三条 危害计算机信息系统安全的,或者未经许可出售安全专用 产品的,由公安机关处以警告或者对个人5000元以下、单位处以15000 以下罚款;没收违法所得,并可处以违法所得1至3倍的罚款。 C 第二十四条 构成违反治安管理行为的,依照《中华人民共和国治安管 理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。 《中华人民共和国计算机信息系统安全保护条例》(国务院令 147号),日国务院总理李鹏签发。&92& 政策法规介绍-等级保护系列等级保护作为我国一项基本制度,早在94年的国务院147号令中就进行了明确, 其后03年27号文件又进行了强调04年起,陆续颁布了66号、7号、43号、861号等 一系列文件。66号文《关于信息安全等级保 护工作的实施意见》 (公通字[2004]66号 ) 日由公安 部、国家保密局、国家 密码管理局、国信办联 合发文。 主要内容包括(6个方 面)开展信息安全等级 保护工作的重要意义; 原则;基本内容;职责 分工;工作要求;实施 计划。7号文《信息安全等级保护管 理办法》(试行 公通 字[2006]7号文)。 2006年1月由公安部、 保密局、国密局、国信 办联合印发。 主要内容: 职能划分;等级划分与 保护;实施与管理;定 级、建设和管理、测评 和自查、备案、监督检 查等;涉秘系统的分级 保护;密码管理。43号文《信息安全等级保护 管理办法》(公通字 [2007]43号文)。 日,公 安部、国家保密局、 国家密码管理局、国 务院信息化工作办公 室联合下发。 在7号文的基础上进行 了修订,7号文同时废 止。861号文《关于开展全国重要信 息系统安全等级保护定 级工作的通知》(公信 安[号) 。 日,公安 部、国家保密局、国家 密码管理局、国务院信 息化工作办公室联合下 发。&93& 电信网络安全等级保护工作? ? ? ?《关于电信网络等级保护工作有关问题的通知》(信电函 [2006]35号) 《关于开展电信网络安全防护试点工作的通知》(信部电函 [号) 《关于进一步开展电信网络安全防护工作的实施意见》(信部电 [号) 《关于贯彻落实电信网络等级保护定级工作的通知》(信电函 [号)C 山东省内长途交换网进行了试点 C 去年10月进行了试点总结 C 去年12月召开了专家组会议 C 1月底总部及奥运省完成定级工作 C 3月底其它省完成定级工作各行业安全等级保护工作由公安部牵头&94& 政策法规介绍-中办发[2006]5号文? ?《关于开展信息安全风险评估工作的意见》(中办发 [2006]5号文) 日,国务院信息化工作办公室在昆明召开了 《关于开展信息安全风险评估工作的意见》宣贯会。各省、 市信息化主管部门、国信办专家组、解放军有关部门和部 分信息安全企业的130余名代表出席了会议。会议由国信 办网络与信息安全组熊四皓处长主持,国信办网络与信息 安全组王渝次司长发表了学习贯彻《国家网络与信息安全 协调小组&关于开展信息安全风险评估工作的意见&》的 重要讲话。云南省、北京市、上海市、黑龙江省分别介绍 了信息安全风险评估试点工作的过程和经验。有关专家介 绍了风险评估工作应遵循的标准和方法。&95& 政策法规介绍-SOX法案?? ?针对安然、世通等财务欺诈事件,美国国 会出台了《2002年公众公司会计改革和投 资者保护法案》。 对于在美上市的中国公司有同样约束力。 涉及信息安全的主要有302、404等章节。截至2006年3月底,内地和香港一共有70余家公司在美国上市,其中包括多家大 型国有企业,如中海油、东方航空、中国人寿、UT斯达康、中国移动、中国联 通、百度等。&96& 政策法规介绍-SOX法案302条款 公司对财务报告的责任 要求公司首要官员及首要财务官在季 度/年度报告中保证: ?对信息披露的控制和程序负责 ?设计必要的内部控制手段并确保 其执行可使高层及时获得重要信 息 ?对披露控制的有效性进行评估, 评估结果需存档 ?不可向审计委员会和外部审计人 员隐瞒公司重大的内控失败和人 员舞弊行为 ??? 404条款管理层对内部控制的评价 CEO和CFO必须在年度报告中确保: ?内部控制的管理层责任 ?评估内部控制的有效性 ?由独立审计机构出具审计报告&97& 框架标准介绍标准IS 27000系列(信息技术-安全技术-信息安全管理体系) IS 13335系列(信息技术-IT安全管理指南) 等级保护标准(测评准则 基本要求 实施指南 测评准则 定级指南) 国家信息安全相关标准GB框架eTOM(增强的电信运营图) COSO-ERM(COSO-企业风险管理框架) COBIT(信息及相关技术控制目标)&98& eTOM业务流程框架模型客户战略,基础设施&产品 战略 基础设施 生命周期 管理 产品生命 周期管理 运营 运作支持和 条件准备 业务实现 业务保障 业务计费营销和定价管理 业务开发和管理 资源开发和管理 供应链开发和管理 企业管理客户关系管理 业务管理和运作 资源管理和运作 供应商和合作伙伴关系管理战略和企业规划 财务和 资产管理品牌管理、 市场调研和广告 股东和外部 关系管理企业质量管理、 流程、IT规划和架构 人力资源管理R&D和 技术引进 灾难恢复、安全 和欺诈管理&99& 框架标准介绍-COSO??COSO(Committee of Sponsoring Organization,COSO)委员 会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部 控制整合框架》(COSO-IC),由于COSO报告提出的内部控制理 论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具 有权威性的框架,因此在业内倍受推崇,在美国及全球得到广泛推广 和应用。 2004年9月COSO正式颁布了《企业风险管理整合框架》(COSOERM)。 COSO将企业风险管理定义为 :“企业风险管理是一个过 程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在 战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的 可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指 导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险, 以及如何进行风险管理方面的重要信息。&100& 框架标准介绍-COSO八个要素战 经 报四个目标合? ? ? ? ? ? ? ?内部环境? ? ? ?战略目标略营告目标设置事件辨识 风险评估 风险反应 控制活动 信息与沟通 监控规内部环境 目标设置 事件辨识 风险评估 风险反应 控制活动 信息与沟通 监控附 属 业 机 务 构 分 单 总 部 位 部经营目标报告目标 合规目标COSO-ERM&101& 框架标准介绍-COBIT? CoBIT(Control Objectives forInformation and related Technology,信息和相关技术控制 目标)由 ITGI(IT Governance Institute)制定,是信息、IT 以及 相关风险控制方面的国际公认标 准。CoBIT用于执行 IT 管理,改 善 IT 控制 。它既可以满足管理人 员和董事局的 IT 管理需求,同时 也能应对负责交付解决方案和服 务的人员的更为具体的要求。这 就为在一个具有透明度的环境里 优化 IT 投资、确保价值传递以及 减轻 IT 风险提供了更好的支持。企业要求域IT 流 程流程人 基 员 信 础 应 息 架 用 构 软 件活动 IT资源COBIT立方体&102& 框架标准介绍-COBIT以业务为中心:提供企业实现其目标 所需需的信息,企业需要采用结构化 的流程来管理、控制IT资源,以交付 所需要的信息服务。为了完成企业目 标,要设立信息标准和划分IT资源的 类别。 ? 定位于流程:以一个通用的流程模型 在四个控制域里定义IT活动。这些控 制域就是计划与组织,获得与实施, 交付与支持和监控与评价。这四个控 制域包含34个流程,映射到传统的IT 职责域:计划、建设、运营和监视。 ? 以控制为基础:每个IT流程都有一个 高层控制目标和多个详细控制目标, 34个流程共有214个控制目标。 ? 以衡量为驱动:提供成熟度模型以识 别和校验必须提高的能力;提供IT流 程的绩效目标和衡量标准;提供使流 程高效的活动目标。?企业信息业务需求COBITIT流程IT资源&103& 框架标准介绍-27000系列27000标准族&104& 框架标准介绍-27000系列信息安全管理体系的持续改进A P相关方 C D建立 ISMS4.2.1相关方A P C D实施和运行 ISMS维护和改进 ISMSA P C D4.2.24.2.4信息安全 需求和期望InputA P监控和评审 ISMSOutput受控的 信息安全C D4.2.327001中应用于ISMS的PDCA模型&105& 框架标准介绍-27000系列?中国大陆地区,可以提供ISO 27001认证服务的 主要是BSI(British Standards Institution英国 标准协会 ), DNV(Det Norske Veritas挪威 船级社),BV( Bureau Veritas 法国国际检验 局),以及ISCCC(中国信息安全认证中心)。27001认证基本介绍情况&106& 框架标准介绍-27000系列27001证书获取情况截止2008年2月,获 取27001证书的组 织为4140. 其中中国80个,全球 第6位. 资料来源: ISMS IUG&107& 框架标准介绍-13335系列???ISO 13335是由ISO/IEC JTC1制定的技术报告,是一个信息安全管理 方面的指导性标准,其目的是为有效实施IT安全管理提供建议和支持。 ISO/IEC TR 13335,(IT安全管理指南”,Guidelines for the Management of IT Security,GMITS),04年发布ISO/IEC 4 Part1-概念和模型( “信息和通信技术安全管理”, (Management of Information and Communications Technology Security,MICTS), ISO/IEC TR 13335 series (GMITS) IT安全概念和模型 C TR 6 IT安全管理和规划 C TR 7 IT安全管理技术 C TR 8 选择控制措施 C TR 0 网络安全管理指南 C TR 1 ISO/IEC 13335(MICTS) ICT安全管理-概念和模型 C 4&108& 框架标准介绍-电信网络安全等级保护标准安全防护管理指南 安全等级保护 实施指南 安全风险评估 实施指南 灾难备份及恢复 实施指南32个标准(草案)固 定 通 信 网移 动 通 信 网互 联 网增 值 业 务 网消 智 息 能 ... 网 网非 核 心 生 产 单 元安 全 防 护 检 测 要 求固 定 通 信 网移 动 通 信 网互 联 网增 值 业 务 网消 智 息 能 ... 网 网非 核 心 生 产 单 元安 全 防 护 要 求信令网 同步网 支撑网 IP承载网 传送网 接入网 ... 物理环境 管理信令网 同步网 支撑网 IP承载网 传送网 接入网 ... 物理环境 管理&109& 框架标准介绍-电信网络安全等级划分安全等级 描述定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻 微损害,但不损害国家安全、社会秩序、经济运行和公共利益。 定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重 损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不 损害国家安全。 网络和业务运营商依据国家和通信行业有关标 准进行保护。 网络和业务运营商依据国家和通信行业有关标 准进行保护,主管部门对其安全等级保护工作 进行指导。 网络和业务运营商依据国家和通信行业有关标 准进行保护,主管部门对其安全等级保护工作 进行监督、检查。第 1级 第 2级 第3 级 第3.1 级定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严 重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或 者对国家安全造成轻微损害。第3.2 级第 4级定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别 严重损害,或者对社会秩序、经济运行和公共利益造成严重损害, 或者对国家安全造成较大损害。定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特 别严重损害,或者对国家安全造成严重损害。网络和业务运营商依据国家和通信行业有关标 准进行保护,主管部门对其安全等级保护工作 进行重点监督、检查。网络和业务运营商依据国家和通信行业有关标 准以及业务的特殊安全要求进行保护,主管部 门对其安全等级保护工作进行强制监督、检查。第 5级定级对象受到破坏后,会对国家安全造成特别严重损害。网络和业务运营商依据国家和通信行业有关标 准以及业务的特殊安全需求进行保护,主管部 门对其安全等级保护工作进行专门监督、检查。&110& 框架标准介绍-等保《实施指南》信息系统定级 ? 总体安全规划 ? 安全设计与实施 ? 安全运行与维护 ? 信息系统终止?2 5信息系统终止4安全运行与维护 系统调整3安全设计与实施总体安全规划等级变更1信息系统定级&111& 框架标准介绍-等保《实施指南》1 2 3 4 5信息系统定级总体安全规划安全设计与实施安全运行与维护信息系统终止?信息系统分析?安全需求分析?总体安全设计 ?建设项目规划?方案详细设计 ?管理措施实现 ?技术措施实现?运行管理和控制?确定保护等级?变更管理和控制?安全状态监控 ?安全事件处置及 应急预案 ?安全检查和持续 改进 ?等级测评 ?系统备案 ?监督检查?信息转移、储存 和清除 ?设备迁移或废弃 ?存储介质的清除 或销毁&112& 实践指南介绍最佳实践ITIL IS 17799指南信息安全风险评估规范 信息安全风险管理指南 信息安全事件分类分级指南 信息安全事件管理指南 信息系统灾难恢复规范&113& 实践指南介绍-ITILITIL,全称Information Technology Infrastructure Library,本白皮书统一 译为“信息技术基础架构库”或“IT基础架构库”。它是英国国家计算机和 电信局CCTA(现在已并入英国商务部)于80年代中期开始开发的一套针对 IT行业的服务管理标准库。 ? ITIL产生的背景是,当时英国政府为了提高政府部门IT服务的质量,启动一 个项目来邀请国内外知名IT厂商和专家共同开发一套规范化的、可进行财务 计量的IT资源使用方法。这种方法应该是独立于厂商的并且可适用于不同规 模、不同技术和业务需求的组织。这个项目的最终成果就是现在被广泛认可 的ITIL。 ? ITIL虽然最初是为英国政府部门开发的,但它很快在英国企业中得到广泛的 应用。在20世纪90年代初期,ITIL被介绍到欧洲的许多其它国家并这些国家 得到应用。到90年代中期ITIL已经成为欧洲IT管理领域事实上的标准。90年 代后期ITIL又被引入美国、南非和澳大利亚等国。90年代末,ITIL也被有关 公司引入中国。 ? ITIL是最佳实践的总结:OGC(英国商务部)组织收集和分析各种有关组织 如何解决服务管理问题等方面的信息,找出那些对本部门和在英国政府部门 中的客户有益的做法,最后形成了ITIL。ITIL的各部分之间并没有严格的逻 辑关系。或者这样说,与一般的标准是先设计整体框架再细化各部分这种 “自顶向下”的设计方式不同,ITIL的开发过程是“自下向上”的。?&114& 实践指南介绍-ITIL&115& 实践指南介绍-ISO 17799安全策略 信息安全组织 资产管理 人力资源安全 物理和环境安全 访问控制 信息安全事件管理 业务连续性管理 合规性&116&通信和操作管理信息系统 获取开发 和维护 实践指南介绍-信息安全风险评估规范信息安全风险评估规范 ? 信息安全风险管理指南 ? 信息安全事件分类分级指南 ? 信息安全事件管理指南 ? 信息系统灾难恢复规范?&117& 安全工作思路与原则&118& 思考:怎样的信息安全工作算到位?C 没出过安全事件? C 已经部署了许多安全设备? C 全面、完整的安全制度?C 成熟的安全组织?&119& 安全工作成功的关键原则管理层的高度重视 统一管理,总体协调 内外并重整体规划,分步实施同步规划、同步建设、同步运行三分技术、七分管理全民参与&120& 关键原则-领导层高度重视? ?管理层的高度重视:公司管理层要高度重视网络安全工作, 并给予明确支持 高层重视的优势: C 组织保障 C 指明方向和目标 C 权威 C 预算保障,提供所需的资源 C 监督检查领导重视&121& 关键原则-领导层高度重视?将行政管理角色注入安全业务中IS主管 xxx … IS专员 xx …领导(owner)测量、改进部门 资产管理部 财务部安全管理处接口 xxx?指定流程owner 和监控评审人员输入活动输出信 息 安 全 流 程&122&资 源记 录 领导对安全工作的要求(1)要把安全问题做为当前工作的重点 C 安全问题已时不我待。 C 安全漏洞很多,我们当前的重 视还不够。一方面是安全规则、安 全规章、安全责任的建设,集团和 各省都要加强。另一方面是手段建 设要跟上去。安全不光依靠规则, 一定要有手段。 C 对内部人员的登陆要有严格的 管理规定,后台操作要留有痕迹。 C 对外来人员的进入,我们一定 要限人、限时、限范围,明确进入 的时间、进入的目的谁放厂家的人 进去谁就要负责检查,出了问题要 承担责任。――摘自李跃总《2006年 中南五省一市关联维护研讨会的讲话》高度重视网络安全与应急管理 C 在网络安全与应急管理方面, 网络部负有双重责任,一方面是 职能责任,即集团公司网络部承 担全集团的网络与信息安全与应 急管理的责任,省公司网络部承 担所在省公司的网络信息安全与 应急管理的责任。因此,各级网 络部要主动推动所在公司各个范 围的网络与信息安全及应急管理 工作的开展。 C 另一方面是自身网络与信息 安全事故的责任,我们强调“谁 主管谁负责”,出现问题网络部 要负责任,同时将责任进行层层 分解。――摘自李跃总 《2006年网络工作座谈会总结》&123&紧急 重要 领导对安全工作的要求(2)李跃总在2008年全国网络工作会上做了题为《狠抓网络 安全,确保奥运盛会》的重要讲话,对网络与信息安全 工作做出重要指示: 坚持集中化的网络与信息安全体系建设1、完善体系,强化能力与手段建设; 2、全网共同努力,快速完善、细化安全管理和安全技术要求; 3、进一步加大安全预警、安全作业执行力度,完善安全考核指 标体系; 4、建设满足要求的新一代安全防护系统; 5、坚持日常性的账号口令管理系统、日志审计系统、集中防病 毒系统、综合接入网关等基础安全防护手段建设,以手段促管理。&124& 关键原则-统一管理总体协调?统一管理,总体协调:由信息安全管理相关单位牵头,通 过制定和贯彻流程将安全工作要点条理化,将人、标准、 技术结合在一起,为管理层支持提供明确依据、为全民参 与明确职责及分工界面,从而将各项安全要求真正落地。 安全的建设应和业务系统相结合,做到全程全网统一监控 和审计,统一管理。&125& 关键原则-统一管理总体协调?明确职能 C 在公司统一企业治理框架下,作好IT相关的内部控制, 设立相关的部门及岗位职责\公司法人治理结构 \风险管理职能部门 \内部审计部门 \法律事务部门 \其他相关职能部门、业务单位的组织领导机构及职责??整合资源 资金保障&126& 关键原则-统一管理总体协调策略指导 业务驱动 合规遵从 资金保障 P 董事会 技术 D产品审计委员会 内部审计部门 风险管理职能部门 企业其他职能部门及各业务单位 制度 指南 流程 标准 总经理 风险管理委员会 R&127& 关键原则-全民参与?全民参与:网络安全是一项全民性工作,需要每个人参与。 坚持“谁主管、谁负责;谁运营,谁负责”的原则,层层 落实安全责任。不断教育提高全员安全意识。 C C C C 信息安全不仅仅是IT部门的事 让每个员工都门明白随时都有信息安全问题 每个员工都应具备相应安全意识和能力 每个员工都明确自己承担的信息安全责任全员参与&128& 关键原则-全民参与???? ? ?信息安全案例宣传 C 员工随意测试,公司门户网站受牵连 C 拨号上网莫随意,门户大开有漏洞 C 轻信谣言删文件,机器崩溃起不来 信息安全制度和流程宣传 C 移动硬盘使用申请 C XX安全电子流功能说明 信息安全工具宣传 C 杀毒软件使用宣传 C 文档权限系统使用说明 病毒周报 补丁公告 信息安全违规公告&129& 关键原则-全民参与&130& 关键原则-同步规划、同步建设、同步运行?“同步规划、同步建设、同步运行”原则:安全建设应与 业务系统同步规划、同步建设、同步运行,在任何一个环 节的疏忽都可能给业务系统带来危害。 C企业的发展同步 C政策法规的同步 C业务需求的同步 C资金投入的同步 C同期IT建设的同步&131& 关键原则-同步规划、同步建设、同步运行PA网 络 与 信 息 安 全C规划企业的发展同步同期IT建设的同步D实施政策法规的同步 运行 资金投入的同步 终止 业务需求的同步&132& 关键原则-三分技术、七分管理????“三分技术、七分管理”原则:网络与信息安全不是单纯的技术问题, 需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安 全管理规章制度和操作规程,全面提高安全管理水平。 安全从“通信保密”、“信息安全”发展到今天的“信息保障”,不 难看出是一个从基础技术需求到全面安全需求的递进,保障的含义不 仅包含了最基本的CIA三元组,而且出现了更多的安全属性,如真实 性、抗抵赖性,更提出了可靠、可控等新元素。 安全技术也从早先的边界防护(如防火墙、VPN等为代表的单点防护 产品),发展为整合的、系统化的技术体系(如以身份管理为核心, 融入风险管理思想的集中安全管理平台 );传统的技术模型(如 PDR)也向管理上有了发展,如PPDR(第一个P就是策略)。 安全管理是技术成熟到一定阶段的产物,管理源于技术而高于技术, 没有技术支撑的管理,很难落到实处。反之,安全如果仅仅是技术的 堆砌,而没有很好的领导层的支持、组织岗位的支撑、通畅的流程保 障,以及必要的沟通和监控这一系列管理活动,这样的安全是无法切 实贯彻和有效持续改进的。&133& 关键原则-三分技术、七分管理?如何理解? C 安全必须要得到企业所有者和管理者的支持,这本身 就是一个管理问题。 C 信息安全风险不是孤立的,和其他企业风险,如财务 风险、物理风险是互相关联的,这同样需要管理、协 调。 C 安全技术措施的落实,不仅需要正确的部署,更需要 合理的配置。当然,这是最低层面的“管理”问题。 C 好的管理必须有好的技术作为支持,其方式就是通过 合理的流程对人进行约束。&134& 关键原则-内外并重??“ 内外并重”原则:安全工作需 要做到内外并重,在防范外部威 胁的同时,加强规范内部人员行 为和审计机制。 根据调查显示,内部问题引发的 安全事件占总数的 70%-80% ,内 部人员对于网络的滥用(包括不 恰当使用IM、非法扫描和监听), 公司机密信息的窃取等等,都远 比外部人员容易,加上内部普通 工作人员的信息安全意识差、水 平低,办公用机很可能成为病毒、 木马的受害者,甚至成为攻击重 要服务器的跳板或成为僵尸网络 的成员,从而危害到组织内外的 安全。&135& 关键原则-内外并重如何作好内外并重? ? 在公司统一企业治理框架下,作好IT相关的外部防范和内 部控制工作 C 设立相关的部门及岗位职责 C 流程和技术的契合 C 加强审计、考核、培训?&136& 关键原则-整体规划、分步实施?“整体规划,分步实施”原则:需要对公司信息安全建设 进行整体规划,分步实施,逐步建立完善的信息安全体系。 C信息安全并不是一蹴而就的 C安全的宗旨和原则是明确的&137& 关键原则-整体规划、分步实施1.公司安全的使命和目标 2.安全体系总体框架 3.安全现状 4.关键举措和重点工作 5.实施策略选择我们的方向是什么?-得到安全目标我们做什么?做成什么样子?-得到总体框架和笼廓我们怎么样做?6.工作计划7.建设实施 8.安全运营和持续改进&138&-得到工作计划和实施规划 案例分析----华为信息安全工作分析&139& 业务愿景:成为高质量的通信设备主要供应商和世界级 的企业.目标:提高财务绩效(如:降低成本、提高生产力、理顺和整合业务流程) 利用领先、创新的技术,提供优良的产品 在产品和服务质量上持续改进 拓展海外市场,成为世界级的通信设备供应商信息技 术&140& 信息安全对IT目标有力的支撑对业务运作起到了 重要作用IT 目标 Policy数据中心信息安全Product 组织流程网络物理环境??&141& 华为公司的安全建设过程? 2001年,成立专门的项目组负责制定公司的信息安全政策、 流程和制度? 2001年-2002系统建设信息安全技术防护体系? 2002年设立信息安全审计部? 年系统对公司的信息安全政策进行全面推行。 ? 2003年全面审视信息安全管理体系,建立信息安全监控体系 ? 年实现安全监控的制度化、流程化、经常化;建 立安全管理的持续优化管理机制,进一步进行信息安全工作 的外包。&142& 华为信息安全建设――十六字方针对保密信息的访问应遵循:高层牵头 专人管理 领导负责 全员参与工作相关性原则最小授权原则 审批、受控原则&143& 来自高层领导的高度重视“我们一定要为我们的生死存亡负责任,如果我们死了,我们什么 都没有了。我们活着的时候少吃一块,拿一块来保护安全,我们就能 活下去。” -引自华为任正飞&144& 安全组织体系建设?建立垂直组织 ?明确岗位职责 ?贯彻分权制衡原则 ?提高任职资格 ?建立关键岗位人员选拔制度 ?加强安全绩效考核决策层信息安全决策层 (决策、规划、保证机制)管理层信息安全管理层 (安全管理、工程、保证管理)执行层信息安全执行层 (运行、实施、保证)&145& 专人管理-垂直的组织体系信息安全决策层 决策、规划、保证机制 信息安全管理层 安全管理、工程、保证管理信息安全操作层 运行、实施、保证&146& 落实各层管理者的责任是关键? “三个一把手原则”高层领导一把手,即取得最高管理层的支持和认可是项目成功的关 键,在项目建设和变革过程中要打破部门墙; 中层各部门一把手,通过对业务流程的优化,项目实施带给业务收 益和效率提升来进行引导,这样就减少了阻力,形成动力; 各基层部门操作岗位的一把手,更好的推广、监督、宣传,实现最 大目标。&147& 全员参与-信息安全意识和技能培训所有新入职员工必须完成信息安全相关的工作 C 签署劳动合同(含保密职责) C 接受新员工信息安全与保密意识培训 C 学习《信息安全白皮书》,熟悉公司信息安全管 理规章制度 C 参加信息安全网上考试 ? 定期接受信息安全培训 C 所有员工都要参加部门每月举行信息安全培训 C 不能参加培训的员工,要自行学习、输出学习心 得?&148& 全员参与――符合企业文化的奖惩条例? ???根据违规行为的后果、性质以及违规人的主观意愿对员工违规 行为和处罚分为四级,同时规定具体处罚方法; 根据对公司信息安全的贡献大小,将信息安全奖励分为三个等 级,并明确具体的奖励办法; 对违反信息安全管理规定者,如其主管明显管理和指导不力须 承担连带责任; 对在信息安全管理制度和措施上贯彻、监控不力、权限审核不 当,造成公司安全制度和措施难以落实、部门安全管理工作混 乱的部门主管,须承担领导责任。Look!&149& 经验和体会? “先僵化、后优化、再固化”信息安全建设初期一旦确定了明确的目标和范围,在实施和使用推广过程中 一定要坚持“先僵化、后优化、再固化”的思想,业务变化过程中所经历的曲 折和痛苦不能动摇我们前进的方向。? “三个一把手原则”高层领导一把手,即取得最高管理层的支持和认可是项目成功的关键, 在项目建设和变革过程中要打破部门墙;中层各部门一把手,通过对业 务流程的优化,项目实施带给业务收益和效率提升来进行引导,这样就 减少了阻力,形成动力;各基层部门操作岗位的一把手,更好的推广、监督、宣传,实现最大目标。&150& 经验和体会? “大处着眼,小处着手”在项目建设中遵循整体方案、统一规划、分步实施、阶段见效的原则, 以流程建设为导向,逐步替换现有业务操作方式。? “沟通、沟通、再沟通”在项目实施过程中要持续的沟通和交流,让项目涉及到的每个人都清楚 正在发生的和以后将要发生的变化,沟通一定要充分,宁可过分沟通也不 要沟通不足。? “持续优化,不断改进”选择能够与竞争环境和业务需求匹配的系统,尽快行动起来,开始分 享项目建设带来的回报,等待完美不会带来收益,信息安全项目是一个持续优化,不断改进的过程。&151& 课程2― 网络与信息安全总纲(NISS培训) 目录1 网络与信 息安全总 纲(NISS 培训)背景及概述 NISS总纲简介 NISS总纲详解 总结23 4&153& 网络信息安全为什么重要??网络应用已渗透到现代社会生活的各个方面;电子商务、 电子政务、电子银行等无不关注网络安全; 网络安全涉及到国家政治、经济和军事命脉,影响到国家 的安全和主权; 至今,网络安全不仅成为各行业关注的焦点,也是技术研 究的热门领域,同时也是国家和政府的行为;??&154& 网络信息安全的定义? 网络安全的定义:从本质上讲,网络安全就是网络上的信息安全 ,是指网络系统的硬件、软件和系统中的数据 受到保护,不受偶然的或者恶意的攻击而遭到 破坏、更改、泄露,系统连续可靠正常地运行 ,网络服务不中断;广义上讲,凡是涉及到网 络上信息的保密性、完整性、可用性、真实性 和可控性的相关技术和理论都是网络安全所要 研究的领域。&155& 网络信息安全的要素??一般意义上讲,网络信息安全主要包含三个要素,即: C 网络上设备的安全; C 网络信息传输的安全; C 网络信息内容的安全; 而从系统层次上讲,网络信息安全实质上是包含三个主要 层次,即: C 物理安全; C 网络安全; C 信息安全;&156& 信息安全特征?安全的相对性原则?三分技术、七分管理?系统性信息安全特征? 信息安全永远没有一个终止点?复杂性?木桶原理&157& 信息安全热点问题? 网络中存在的威胁特洛伊木马黑客攻击后门、隐蔽通道计算机病毒网络 信息丢失、 篡改、销毁 拒绝服务攻击逻辑炸弹&158& 安全事件分布(CSI/FBI数据)&159& 安全事件的损失(CSI/FBI数据)&160& 安全威胁的分布?黑客:黑客攻击越来越频繁,直接影响企 业正常的业务运作!攻击的商业目的性和组织性越来越强!?内部员工(作为运营企业也包括公司客 户) :1、信息安全意识薄弱的员工和客 户误用、滥用等;2、越权访问,如:系统管理员越权访问数据;3、政治言论发表、非法站点的访问等;4、内部不稳定、情绪 不满的员工。如:员工离职带走企业秘密, ?外国政府和企业:国家在政治、经济 方面的信息战! ?竞争对手:行业不正当竞争(如:窃 尤其是企业内部高层流动等! ?第三方厂家的员工:也存在上述误用,越 权访问等各种问题,特别是厂家从事技术 支持的人员。取机密,破坏企业的业务服务)法制环境不健全, !&161& 企业面临的主要信息安全问题?人员问题:?信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题?特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据?内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等?技术问题: ?病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作 ?法律方面 ?网络滥用:员工发表政治言论、访问非法网站 ?法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)&162& 领导的高度重视&163& 领导的高度重视&164& 领导的高度重视&165& 网络与信息安全建设的难点?? ? ? ? ? ? ?企业领导对网络与信息安全的重视程度企业内部安全工作组织与人员的落实 安全策略、目标和措施与企业经营目标的一致性 安全工作的实施与企业文化的相容性 对企业安全需求、风险评估及风险管理的理解和认识程度 企业全体员工所具有的“网络与信息安全无处不在”安全理念的意识 程度 企业内具有用以衡量网络与信息安全管理工作水平的全面、均衡、可 行的评估和考核体系 向企业内所有员工和第三方(包括承包商、合作伙伴和客户等)分发 的网络与信息安全指南,以及相应的培训和教育机制讨论:你认为目前网络与信息安全 建设还存在哪些难点?&166& 讨论与思考? ? 网络与信息安全建设中的难点问题在所在单位的具体情况如何,有无 其他难点问题? 举例所在单位或身边所知发生的一些网络安全事件,及简要原因分析&167& 目录1 网络与信 息安全总 纲(NISS 培训)背景及概述 NISS总纲简介 NISS总纲详解 总结23 4&168& 总纲建设的必要性网络与信息安全建设所面对的资产对象为企业内部的的网 络与信息资产?资产自身重要性的要求: ?是企业营运与发展的基础和核心 ?是保证网络品质的基础 ?是保障客户利益的基础 ?是涉及国家安全的重要组成部分 ?与日常工作的紧密关联性: ?网络与信息安全与每个员工的日常工作息息相关,是所有员工需共同分 担的责任 ?法律方面的客观要求 ?发生网络与信息安全事件所导致的经济与社会损失,对企业正常营运和 发展所带来的负面影响 ?国家法律及国际规范(如SOX)对企业网络与信息安全建设的客观要求 &169& 中国移动网络与信息安全保障体系目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。网络与信息安全保障体系管理规定 指导思想:以风险管理为核心, 和技术指南 预防为主,技术手段为支撑, 基于 支撑 围绕信息和信息系统生命周期, 制定 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段 安全 建立 构成的具有自主创新能力和拓展能 执行 组织架构 力的安全体系,保障公司“做世界一 技术及防 安全 流企业”新跨越战略的实施。 护支撑手段 运行运用&170& 安全策略体系策略总纲策略 规范技术规范 管理规范流程、细则&171& 中移动网络与信息安全策略架构国家政策要求 企业发展战略 国内外标准 安全评估结果从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系网络与信息安全体系总纲 技术规范安全域划分技术规范、 IP专网接入安全要求、 安全产品测试规 范……第一层管理规范帐号口令安全管理办 法、终端安全管理办 法……第二层操作手册和具体系统相结合流程、细则和具体系统相结合第三层&172& 体系总纲的主要内容―明确总的工作要求?面向全集团 C适用总部各部门、各省公司 中国移动安全工作的总纲 C 遵循国际安全管理标准, 引入业界安全最佳实践。 C 说明为什么要开展安全工作。 C 指出需要开展那些安全工作。 ……组织与人员 网络与信息资产管理 物理及环境安全通信和运营管理的安全网络与信息系统 的访问控制 系统开发 与软件维护的安全 安全事件响应 及业务连续性管理?安全审计&173& 安全标准体系―一层网络与信息安全 标准总纲企业网络与信息安全工作的标准和指 南性文件,简明扼要的阐述企业网络与信 息安全建设与工作的重点思路,指导今后 企业进行网络与信息安全建设和工作方向技术指南 管理规定操作手册 工作细则 实施流程&174& 安全标准体系―二层网络与信息安全 标准总纲技术指南安 全 技 术 安 全 设 备 网 络 业 务 安 全 组 织 人 员 信 息 资 产管理规定物 理 环 境运 营 维 护 访 问 控 制 系 统 开 发 业 务 保 障 安 全 审 计 检 查 考 核 效 果 评 估技术指南 管理规定操作手册 工作细则 实施流程技术指南:遵循总纲原则,从技术角 度提出要求和方法; 管理规定:侧重组织和管理,明确职 责和要求,并提供考核依据。&175& 安全标准体系―三层网络与信息安全 标准总纲技术指南 管理规定操作手册、工作流程和实施细则结合实际工作,针对具体系统,对 第二层的技术指南和管理规定进行细化, 形成可指导和规范具体工作的操作手册 及工作流程,保证安全工作的制度化、 日常化; 第三层内容由不同部门、省公司根 据自身情况有选择性地制订。&176&操作手册 工作细则 实施流程 NISS安全策略架构NISS 总纲NISS定位于安全体系第一 层,整个安全体系的最高 纲领。它主要阐述安全的 必要性、基本原则及宏观 策略技术规范及管理规定操作手册、流程及细则&177& 安全策略被管理者批准及认可 ? 正式宣布 ? 全员宣贯 ? 定期审核 ? 配套的策略体系(标准、规定、流程、指南)?&178& 网络与信息安全管理框架总体策略1 组织与人员的安全管理 2 资产管理信息安全目标组 织3 物理及环境安全 7 应急响应与业务连续性管理 4 通信和运 营管理的安 全 5 访问控制 6 系统开发 与维护&179& 讨论与思考? NISS总纲所遵循的国际和国内安全标准和规范有哪些,根据中移动自 身的业务和安全特点,有什么方面的着重点?&180& BS7799??是目前最广为接受的信息安全管理标准BS7799发展分为两个相关标准: - ISO (BS9) Code of Practice for Information Security Management 信息安全管理实施指南(指导如何进行安全管理实践); - ISO2 (BS2) Specification for Information Security Management System 信息安全管理体系规范(建立的信息安全管理体系必须符合的要求)&181& 新老版本BS7799的对比ISO/IEC 安全策略(Security policy) 组织信息安全(Organizing information security)ISO/IEC 安全策略(Security policy) 组织信息安全(Organizing information security)资产管理(Asset management) 人力资源安全 (Human resources security)物理和环境安全(Physical and environmental security) 通信和操作管理(Communication and operation management) 访问控制(Access control) 系统开发和维护(Systems development and maintenance)资产管理(Asset management) 人力资源安全 (Human resources security)物理和环境安全(Physical and environmental security) 通信和操作管理(Communication and operation management) 访问控制(Access control) 信息系统获取、开发和维护(Information systems acquisition, development and maintenance) 信息安全事件管理(Information security incident management)业务连续性管理(Business continuity management) 业务连续性管理(Business continuity management)符合性(Compliance)符合性(Compliance)&182& NISS对BS7799的遵循NISS组织与人员ISO/IEC 组织信息安全(Organizing information security) 人力资源安全 (Human resources security)网络与信息资产管理物理及环境安全 通信和运营管理的安全 网络与信息系统的访问控制资产管理(Asset management)物理和环境安全(Physical and environmental security) 通信和操作管理(Communication and operation management) 安全策略(Security policy) 访问控制(Access control)系统开发与软件维护的安全信息系统获取、开发和维护(Information systems acquisition, development and maintenance) 信息安全事件管理(Information security incident management) 业务连续性管理(Business continuity management)安全事件响应与业务连续性管理安全审计符合性(Compliance)&183& 目录1 网络与信 息安全总 纲(NISS 培训)概述 NISS总纲简介 NISS总纲详解 总结23 4&184& 提纲1 2 3 4 5 6 7 8 组织与人员 网络与信息资产管理 物理及环境安全 通信和运营管理的安全 网络与信息系统的访问控制 系统开发与软件维护的安全 安全事件响应及业务连续性管理 物理及环境安全&185& 1 组织与人员1.1 组织机构 ? 1.2 人员考察及岗位职责 ? 1.3 第三方访问及外包安全 ? 1.4 客户使用业务的安全?&186& 1.1 组织机构信息安全决策层 决策、规划、保证机制信息安全管理层 安全管理、工程、保证管理?建立垂直组织 ?明确岗位职责 ?贯彻分权制衡原则 ?提高任职资格 ?建立关键岗位人员选拔制度 ?加强安全绩效考核信息安全执行层 运行、实施、保证&187& 中移动网络与信息安全组织体系? ? ?在总部和省公司建立了三层网络安全管理组织; 集团副总裁为集团领导小组组长,各部门总经理为小组成员; 集团公司网络信息安全办公室设在网络部。集团公司集团公司网络 信息安全领导小组省公司各省公司网络 信息安全领导小组决策层集团公司网络 信息安全办公室各省公司网络 信息安全办公室管理层集团网络信息 安全小组各省网络信息 安全小组执行层&188& 组织架构集团 网络与信息安 全领导小组公司的安全管理,跨部门 工作协调,组织落实公司 范围的各项安全工作。网络部网络安全办 公室….业务支撑系 统部….管理信息系 统部省公司网络部业务支撑 系统部管理信息 系统部为了进一步加强公司的网络安全工作,在网络部设立了网络安全处,负责推 动公司层面的各项网络安全工作落实。&189& 信息安全责任的落实? ? ? ?1.1.1 中国移动的所有岗位职责中必须包含安全内容,并 尽量实现职责分隔。 1.1.2 建立“谁主管,谁负责”的安全责任制度。 1.1.3 公司应尽量分解、隔离相应职责,以减少误用或滥 用职责带来风险的概率。 1.1.4 集团公司网络部网络安全处作为安全信息的权威发 布机构,须建立有效可靠的渠道,收集和整理并向各省发 布安全信息。各省负责省内发布及信息上报。&190& 讨论与思考? 各省在日常网络与信息安全实际工作中有关人员和组织建设、人员职 责划分,及工作关系协调等方面的经验交流&191& 组织架构-预警工作流程中的职责CNCERT/CC预警服务商 设备原厂商企业内部横向发布总部 网络安全处? ??判断紧急程度; 结合现网实际情况,制定解 决方案; 统一发布预警信息。 纵向发布总部 各部门各省公司&192& 组织架构-“震荡波蠕虫”安全预警蠕虫爆发后互联 网流量情况4月13日微软发布 MS04-011 紧急安全 漏洞?4月14日总部发布 紧急安全 预警信息 提前封堵 高危端口4月30日江苏移动 上报发现 新病毒, 总部通告 全网5 月 1日瑞星公司 公布发现 新病毒5月 2日病毒在互 联网大规 模爆发中国移动 网络流量情况病毒爆发期间,中国移动各级骨干网络均未出现异常。 ? 针对少量终端感染病毒现象,总部及时提供了手工清除病毒方法和病毒专 杀工具。&193& 1.2 人员考察及岗位职责人员选拔 宣传 培训奖惩员工外部人 员法律物理控制技术保障&194& 人员安全管理的要点? ??? ?1.2.1 中国移动的岗位描述中均应明确包含安全职责,并 形成正式文件记录在案。 1.2.2 公司应明确员工的雇佣条件和考察评价的方法与程 序,减少因雇佣不当而产生的安全风险,尤其是涉及公 司机密信息的岗位。 1.2.3 公司应与所有员工签订保密协议,保密协议作为劳 动合同条款的一部分。 1.2.4 人员离职时应及时收回所有涉及公司业务内容的资 料和信息,立即取消所有访问信息系统的权限。 1.2.5 定期组织员工接受网络与信息安全教育或培训,确 保信息安全管理深入到每个员工。关键岗位的员工还需 要接受必要的专业技能培训。&195& 1.3 第三方访问安全及外包安全? ?1.3.1 公司应严格审视第三方访问需求,进行风险分析, 并采取相应控制措施。 1.3.2 第三方组织或人员必须遵守公司相应信息安全管理 规定,并须签订保密协议,明确规定安全条款。讨论:你认为目前第三方访问 存在哪}
网络安全课件
网络安全学习课件 课程提纲1网络与信息安全综述 P22 网络与信息安全总纲(NISS培训)P151 3 中国移动全员安全意识培训 P261&2& 课程1― 网络与信息安全综述 目? ? ? ? ? ?录网络与信息安全概述 安全现状与趋势分析 安全技术及产品介绍 安全标准与政策法规 安全工作思路与原则 案例分析&4& 网络与信息安全概述&5& 请思考?什么是网络与信息安全?&6& 什么是网络与信息(1)?强调信息:C C C C C 对企业具有价值(或能产生价值) 以多种形式存在:纸、电子、影片、交谈等 是一种资产 同其它重要的商业资产一样 需要适合的保护网络是信息的一种载体 是信息存放、使用、交互的重要途径 是一种容易识别的实体 是基础通信运营企业的有形资产?强调网络:C C C C&7& 什么是网络与信息(2)?从理论角度C 信息的范围更大,更广 C 网络只是信息使用过程的一种载体、一种方式?从实际工作角度C 把信息局限在网络上承载的内容、数据、业务 C 保障业务连续性、网络正常运行的配置数据等 C 比理论角度的信息范围要窄,但适合我们的工作实际?两种视角的相同点C 信息是目标 C 网络是基础 C 网络与信息并重&8& 什么是网络与信息安全?信息安全:C C C C 保护信息免受各种威胁 确保业务的连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会 网络、设备的安全 线路、设备、路由和系统的冗余备份 网络及系统的安全稳定运行 网络及系统资源的合理使用?网络安全:C C C C&9& 网络与信息安全的论域??对应通信网络及信息化 安全的多维性――多角度思考 的发展,网络与信息安 全大致包含了信息环境、 信息化社会 比如:保密性等 的需要 信息网络和通信基础设 施、媒体、数据、信息 需求 属性 内容、信息应用等多个 对应于人 对应于信 方面。 结果 们的努力 状态 息不安全 中国移动按企业实际情 况把网络与信息安全划 工程 分为七类:物理安全、 能力 传统通信安全、网络与 功能 对应 对应 系统安全、业务安全、 于人 于努 内容安全、信息安全 们努 力的 比如:防护、力的 时间 检测等 实力&10& “安全”――动态发展的概念“安全” 是指将 资产或资源的脆弱 性降到最低限度。 当对信息进行正确的控制以确保它能 防止冒险,诸如不必要的或无保证的传 播、更改或遗失,IT产品和系统应执行 它们的功能. “IT安全”用于概括防御 和缓解这些及类似的冒险。 信息安全-保证信息的保 密性,完整性,可用性; 另外也可包括诸如真实性, 可核查性,不可否认性和 可靠性等特性.ISO 7498-2X.800 1997ISO ISO 4ISO 198919911999ISO 20042005ISO TR 7 定义获取和维护保 密性、完整性、可 用性、可核查性、 真实性和可靠性。信息安全是要在很大的范 围内保护信息免受各种威 胁,从而确保业务的连续 性、减少业务损失并且使 投资和商务机会获得最大 的回报。特指保护保密性、 完整性和可用性。&11& Privacy ? Authentication 可 靠真实性 性 鉴 访 保密性 问 别 控 制 ?&12&私 密 性可核查性? 抗抵赖性完整性Reliability ? Authenticity ? Accountability ? ? ? ? ? ? ? ? ?
X.800 X.805 Non-repudiation Availability ? 可 用 性 ? 信息系统等级保护 ? ? 抗 抵 赖 性 可 核 查 性 真 实 性保密性完整性Communication security安全的相关属性Data confidentiality Confidentiality 保 密 性数 据 保 密 性通信保密通 信 安 全?Integrity可用性完 整 性?Date integrity数 据 完 整 性可用性?Access Control可靠性 安全的相关属性保密性完整性 可用性 真实性 可核查性 抗抵赖性 可靠性 使信息不泄露给未授权的个人、实体或过程或不使信息为其所利 用的特性。 保护信息及处理方法的准确性和完备性。 被授权实体一旦需要就可访问和使用的特性。 确保主体或资源的身份正是所声称身份的特性。真实性适用于用 户、过程、系统和信息之类的实体。 确保可将一个实体的行动唯一地追踪到此实体的特性。 证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动 作或事件。 预期行为和结果相一致的特性。&13& 请思考?企业为什么要投入大量成本实现网络与信息安全?&14& 网络与信息安全的重要性?网络与信息安全是国家的需要 C保障国家安全、社会稳定\胡总书记提出“三个坚决”:坚决防止 发生危害国家安全和社会稳定的重大政 治事件;坚决防止发生暴力恐怖事件; 坚决防止发生大规模群体性事件。国家C 企业生存和发展必须遵循外部网络 与信息安全强制要求\国家及行业的要求:《电信法》、《增 值电信业务网络信息安全保障基本要 求》、电信网络安全等级保护等; \资本市场:《萨班斯法案》。企业用户&15& 网络与信息安全的重要性?网络与信息安全是企业保持竞争力的内在需要 C 企业战略转变\做世界一流企业,成为移动信息专家,网络与信息安 全是必要条件: C 体现了中国移动企业核心观 C 实现中国移动对客户及社会的承诺? 正德厚生:旨于服务和谐社会,保障客户利益 ? 臻于至善:打造中国移动安全健康的精品网络国家? 对客户的承诺:提供卓越品质的移动信息专家 ? 对社会的承诺:承担社会责任做优秀企业公民体现企业C 企业持续发展\市场需求驱动安全发展 \安全服务已成为新的业务增长点。如绿色上网、 电子商务等安全服务 \竞争优势,树立品牌 \企业正常运营的需求C 避免名誉、信誉受损 C 避免直接经济损失 C 避免正常工作中断或受到干扰 C 避免效率下降用户&16& 网络与信息安全的重要性?网络与信息安全是用户的需要 C 保护个人隐私与财产\威胁信息私秘性 \直接影响用户对信息交互的信任度国家C 满足用户业务使用需求\客户在业务使用中,对安全的需求越来越强烈。 如政府、银行等集团客户对网络运营商提出更高 的安全保障要求 企业用户&17& 网络与信息安全的基本特征? ? ?相对性C 只有相对的安全,没有绝对的安全系统时效性C 新的漏洞与攻击方法不断发现相关性C 日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定 配置下的安全) C 新的系统组件也会引入新的问题? ?不确定性C 攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性C 信息安全是一项系统工程,需要技术的和非技术的手段,涉及到管理、培 训、技术、人员、标准、运行等?必要性C 网络与信息安全必须是企业重点并持续关注和解决的&18& 网络与信息安全的特点? ? ? ? ?国家间的竞争与敌对势力永远不会消失 企业间谍、攻击者、欺诈与偷窃 内部系统的误用、滥用问题长期存在 新的威胁不断出现使原有防护措施失效 或新的威胁产生 ……??? ? ?客观上无法避免的因素 ? 技术发展的局限,系统在设计之初不 能认识到所有问题,如Tcp/ip协议 ? 人类的能力有限,失误和考虑不周在 所难免,如在编码会引入Bug 主观上没有避免的因素 ? 采用了默认配置而未定制和安全优化 ? 新的漏洞补丁跟踪、使用不及时 ? 组织、管理和技术体系不完善 技术发展和环境变化的动态性……?随着信息化建设,信息资 产的价值在迅速增长 资产的无形价值,如商业 情报、声誉、品牌等等已 远远超过了购买价格 ……漏洞/脆弱性客观存在! 有效保护网络与信息安 全的核心是进行持续、 科学的风险管理!&19& 风险管理思想资产 资产风险威胁 漏洞 威胁RISK 风险RISK RISKRISK漏洞风险的构成风险的降低&20& 安全现状与趋势分析&21& 案例-中美黑客大战?事件背景和经过 C 撞机事件为导火线 C 4月初,以PoizonB0x、pr0phet为代表的美国黑 客组织对国内站点进行攻击,约300个左右的站点页 面被修改 C 4月下旬,国内红(黑)客组织或个人,开始对美国网 站进行小规模的攻击行动,4月26日有人发表了 “五 一卫国网战”战前声明,宣布将在5月1日至8日,对 美国网站进行大规模的攻击行动。 C 各方都得到第三方支援 C 各大媒体纷纷报道,评论,中旬结束大战&22& 典型案例-中美黑客大战国内某大型商业网站 国内某政府网站中国科学院心理研究所中经网数据有限公司遭PoizonB0x、pr0phet更改的我国部分网站主页&23& 典型案例-中美黑客大战美国某大型商业网站 美国某政府网站美国劳工部网站美国某节点网站国内黑客组织更改的网站页面&24& 常用入侵系统步骤(普通&高级)判断 系统 提 提 升 升 为 为 最 最 高 高 权 权 限 限 攻击其 他系统采用 端口 漏洞 判断 扫描 工具 分析 可能 有漏 洞的 服务选择 选择 会用 最简 的 方式 方式 入侵 入侵获取 获取 系统 系统 一定 一定 权限 权限安装 安装 多个 系统 系统 后门 后门清除 获取敏感信息 获取替 入侵 或者 换信息 脚印 其他攻击目的作为其 他用途&25& 信息收集与踩点??? ? ? ? ?Ping、traceroute等系统自带命令 端口扫描 Nmap OS指纹鉴别 漏洞扫描(X-scan、SSS、商业扫描器) 构造特殊的攻击和扫描,如firewalking 社会工程 配置错误&26& 网络与信息安全面临各种威胁欺诈钓鱼病毒蠕虫木马黑客攻击信息资产物理偷窃信息丢失、篡改、 销毁 内部网络滥用 拒绝服务攻击内部、外部泄密&27& 常见安全事件类型-网络钓鱼? 以假乱真,视觉陷阱C 域名类似 www.lcc.com.cn www.1cc.com.cn www.lcc.org.cn ? 身份伪装 C
? ? 改写URL C http://www.xxxbank.com& item=q20299@www.test.ne t/pub/msk/Q20299.asp ? 编码 C http:// ? DNS 劫持+Phishing&28& 常见安全事件类型-病毒及恶意代码? ??计算机病毒是指一段具有自我复制和传播功能的计算机代码,这段代 码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。 病毒的特点 C 破坏性强 C 传播性强 C 针对性强 C 扩散面广 C 传染方式多 病毒的新动向 C 传播速度快:以网络和Internet 为主 C 危害很大的病毒以邮件为载体 C 病毒的延伸:特洛伊木马 C 有毒的移动编码--来自Internet网页威胁&29& “熊猫烧香”事件熊猫烧香 金猪报喜“熊猫烧香”去年11月中旬被首次发现,短短两个月时间,新老变种已达700多种个&30& 常见安全事件类型-病毒蠕虫?红色代码 C 日,微软发布安全公告:Microsoft IIS .IDA / .IDQ ISAPI 扩展远程缓冲区溢出漏洞。 C 一个月后,利用此安全漏洞的蠕虫“红色代码” 一夜之间攻击了国外36万台电 脑,日, “红色代码Ⅱ”开始在国内发作,造成很多运营商和企事 业单位网络瘫痪。给全球造成了高达26亿美元的损失。 SQL slammer C 日,微软发布安全公告:Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞。 C 到日,足足6个月后,利用此安全漏洞的蠕虫“SQL Slammer” 现身互联网,几天之内给全球造成了12亿美元的损失。 冲击波 震荡波 魔波 ……?? ? ? ?&31& 常见安全事件类型-特洛伊木马? 正向连接 ? 反向连接特洛伊木马攻击的计算机 攻击者的计算机Internet特洛伊木马攻击的计算机攻击者控制的服务器&32& 常见安全事件类型-僵尸网络??什么是僵尸网络(BotNet) C 是互联网上受到黑客集中控制的一群计算机,往往被 黑客用来发起大规模的网络攻击,如分布式拒绝服务 攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些 计算机所保存的信息也都可被黑客随意“取用”。 发现僵尸网络是非常困难的 C 因为黑客通常远程、隐蔽地控制分散在网络上的“僵 尸主机”,这些主机的用户往往并不知情。因此,僵 尸网络是目前互联网上黑客最青睐的作案工具。&33& 常见安全事件类型-拒绝服务攻击为何还 没回应 伪造地址进行SYN请求SYN (我可以连接吗?)就是让 你白等ACK (可以)/SYN(请确认!)攻击者 不能建立正常的连接受害者&34& 拒绝服务(DoS)的分类? ??攻击类型划分I 堆栈突破型(利用主机/设备 漏洞) C 远程溢出拒绝服务攻击 网络流量型(利用网络通讯 协议) C SYN Flood C ACK Flood C ICMP Flood C UDP Flood、UDP DNS Query Flood C Connection Flood C HTTP Get Flood C ???????攻击类型划分II 应用层 C 垃圾邮件、病毒邮件 C DNS Flood 网络层 C SYN Flood、ICMP Flood 链路层 C ARP 伪造报文 物理层 C 直接线路破坏 C 电磁干扰&35& DoS/DDoS的历史和特点有意识的攻击 C 1999年 Yahoo、ebay 被拒 绝服务攻击,DDoS 出现 C 2001年 CERT 被拒绝服务攻 击 C 2002年 CNNIC 被拒绝服务 攻击 C 2003年 全球13台根 DNS 中 有8台被大规模拒绝服务 C 有组织、有预谋的涉及金钱利 益的拒绝攻击出现 ? 无意识的攻击 C 蠕虫传播 C Exploit (Proof of Concept Code)? ? ????发起突然 C 可能之前毫无征兆 危害巨大 C 极大的破坏了系统和网络的可 用性 C 涉及金钱利益的攻击事件开始 出现 极易实施 C 广为传播的免费工具软件 C 人的好奇心或者其他想法 防范困难 C 新的攻击形式不断出现 C 攻击制造的流量日益增大 难于追查&36& 常见安全事件类型-社会工程?社会工程 C 假借客户,骗取资料 C 冒充技术员打电话,询问个人邮件密码 C 搜集员工个人信息,破解用户口令 C 收买公司员工,窃取内部机密&37& 其它常见的攻击/入侵方法?黑客入侵C 跳板或肉鸡:通过一个节点来攻击其他节点。攻击者控制一台主 机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽 其入侵路径和擦除攻击证据。电子邮件攻击:邮件炸弹、邮件欺骗 ? 网络监听:获取明文传输的敏感信息 ? 内部网络滥用:BT下载、大附件邮件转发等?&38& 主要威胁的统计根据FBI调查统计,位列 前五位的威胁分别是内部 网络的滥用、病毒和移动 设备的偷窃、钓鱼以及即 时消息的滥用。&39& 威胁主体分析来源 环境因素 描述 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、 火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬 件、数据、通讯线路等方面的故障 恶 意 人 员 非 恶 意 人 员 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自 主或内外勾结的方式盗窃机密信息或进行篡改,获取利益 外部人员利用信息系统的脆弱性,对网络或系统的保密性、完 整性和可用性进行破坏,以获取利益或炫耀能力 内部人员由于缺乏责任心,或者由于不关心或不专注,或者没 有遵循规章制度和操作流程而导致故障或信息损坏;内部人员 由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信 息系统故障或被攻击人为 因素GB/T 《信息安全技术-信息安全风险评估规范》&40& 人―最主要的威胁主体??截至2007年12月,网民数已增至2.1亿人。中国网民数增长迅速,比 2007年6月增加4800万人,2007年一年则增加了7300万人,年增长 率达到53.3%。在过去一年中平均每天增加网民20万人。目前中国的 网民人数略低于美国的2.15亿 ,位于世界第二位。 目前中国4亿手机用户中,在过去半年有过手机接入互联网行为的网 民数量是5,040万人。即网民中的24%、手机用户中的12.6%是手机 网民,手机上网已经渐成风气。&41& 攻击方法及技术趋势高SQL注入入侵者技术包欺骗 臭探 擦除痕迹半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 Google hacking破坏审计系统检测网络管理 回话劫持攻击手法控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码低1980密码猜测攻击者00 2005&42&1985 电信网络面临的威胁? ? ? ?网络结构庞大复杂,互联网出入口多 不同安全等级的网络、系统隔离不充分,易导致威胁的扩散 (生产网、网管网、OA等) 业务系统自身的脆弱性(应用软件、业务逻辑漏洞、安全补丁 等) IP化及业务开放性趋势导致新的弱点: C 信令网不再封闭 C 不同安全域的互通控制更复杂 ATCA平台/通用操作系统的应用使得设备自身易受攻击?&43& 移动网络安全威胁分析来自运营商DCN网络的威胁? 病毒、蠕虫、木马 ? 非法访问 ? 越权访问、权限滥用 ? 敏感/机密信息泄露IM Gaming ConferencePresenceOA第三方ASP/ISPBSS/OSSIP来自第三方网络的威胁? 身份欺骗 ? 业务欺诈/盗用MMS自有业务系统 MRFWAPIPMGCF IMSStreamSMSCSCFIP Core NetworkGGSN HLR/Auc SGSN MSC CSPSTN/PLMNInternet来自Internet的威胁? 黑客入侵 ? DoS/DDos攻击,资源耗竭 ? 非法接入业务系统PSMGWBSCIP Access NetworkRNC来自用户侧(接入/终端)威胁对用户 ? 窃听/用户机密信息窃取 ? 病毒/蠕虫/木马 ? 中间人或伪基站攻击 对网络 ? 业务盗用 ? 非法设备接入 ? 网络攻击/拓扑泄露 ? DoS攻击,资源耗竭IP BSSIP RANBTS终端NodeB&44& 网络技术快速发展,安全风险无处不在123网络IP化业务开放化终端智能化在向全IP网络转变 过程中,由于IP协 议的不安全以及复 杂的互联需求,安 全风险逐步渗入到 电信网络的核心。运营商、SP构成更 加紧密的价值链, 该此模式对管理和 技术控制措施提出 更高要求。移动终端处理能力的 提高、功能的丰富, 同时意味着传统计算 机领域的安全问题也 会扩散到移动终端领 域,并给通信网络带 来安全隐患。&45& 安全攻击日益受利益驱动,易于实施45攻击工具化驱动利益化安全工具易于获得,攻击成本逐年降低 ?大量自动化、集成度高的攻击工具,可 通过互联网下载。 ?随着互联网的发展,网上可供利用的安 全漏洞数量逐年增加,成功实施攻击所 需时间不断缩短。在经济利益驱动下,安全事件更加难于 处理和防范 ?维护人员、第三方技术支持人员利用 其了解的信息和掌握的权限谋取非法收 入。传统安全防护手段难于对此类情况 进行防护。 ?灰鸽子病毒,垃圾邮件等安全事件, 反映出利用安全事件获取非法收益的地 下产业链已经形成。&46& 安全问题带来的企业风险影响业务运作?信息安全问题引起电信业务中断带来极大的社会影响。如:电信4.11断网、北京网通断网 ?信息安全问题导致业务收入损失。如:智能网盗卡事件竞争力下降?新业务模式、投资计划等商业秘密泄漏。 ?由于资本市场提出新的监管要求,信息安全问题更加严重影响企业 的融资能力。 ?因业务没有充分的安全保障,造成客户对业务的负向感知,引起客 户投诉、离网或不选择相应的服务。法律诉讼?业务数据受到破坏,广东动感地带网站 ?泄漏用户个人信息 香港和黄被起诉安全问 题可能 导致移 动多年 精心经 营的移 动信息 专家品 牌蒙受 重大损 失。&47& 脆弱性面面观-国家层面?我国信息安全保障工作仍存在一些亟待解决的问题: C 网络与信息系统的防护水平不高,应急处理能力不强; C 信息安全的管理和技术人才缺乏,信息安全关键技术 整体上比较落后,信息安全产业缺乏核心竞争力; C 信息安全法律法规和标准不完善; C 全社会的信息安全意识不强,信息安全管理薄弱。国家信息化领导小组关于加强信息安全保障工作 的意见 (中办发[2003]27号)&48& 脆弱性面面观-企业层面安全脆弱性 预算限制 执行安全政策不利 高级管理层对此缺乏关注或兴趣 信息安全策略不完善 关键技术产品存在安全漏洞 补丁产品使用不当 美国 29% 21% 19% 18% 18% 17% 中国 20% 19% 28% 42% 34% 38%采用外包服务IT架构陈旧过时 安全产品不兼容或互操作性差 安全政策和技术跟不上组织结构的变化 内部开发的软件未对信息安全予以关注 雇用临时员工13%12% 10% 10% 10% 9%9%15% 20% 17% 16% 9%其它6%1%InformationWeek研究部和埃森哲咨询公 司《2007年全球信息安全调查》德勤《2007年全球信息安全调查》&49& 脆弱性面面观-个人层面应 用 上传下载 邮件收发 即时通讯 信息浏览 网络游戏 信息查询 在线音视频 文件共享 电子商务 存在的问题 病毒木马传播、身份伪造、机密泄漏 漏洞利用、病毒木马传播 病毒木马传播、Bot扩散、信息泄漏 网络欺诈、网页病毒攻击 外挂问题、身份伪造、账号装备失窃 敏感信息泄漏 漏洞利用、身份伪造 病毒木马传播、带宽消耗 身份伪造、网络欺诈、账号失窃&50& 安全技术及产品介绍&51& 主流安全产品格局安全内容与威胁管理网络安全Network FireWall UTMSSL/IPSec VPN应用安全 Web安全Web Firewall/IPS终端安全Host Firewall基于身份的认 证与授权管理IDM基础平台管理Message安全Anti-Spam MailServer AntivirusSIEM Vulnerability management Patch management Unify security network managementHost IPS Host/Endpoint Anti-Virus Host Anti-SpywarePKINetwork IPSUTMURL-filteringGateway AntiVirus Gateway Antispyware Gateway Anti-phishingSmartCard Biometrical Identify SSO Authority management Provisioning Role managementMail EncryptionOutbound Content ComplianceNGNetwork FirewallEndpiont Compliance Converged Client Security suit 用户行为审计Anti-DDOS DPI/DFI 带宽管理&52& 主流安全产品介绍防火墙 ? IDS/IPS ? 抗DDOS ? 防病毒 ? 安全域 ? 帐号口令 ? 审计 ? 安全管理平台?&53& 防火墙的概念?防火墙是一种高级访问控制设备,是置于不同网络安全域 之间的一系列部件的组合,是不同网络安全域间通信流的 唯一通道,能根据企业有关安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。可信任的网络 防火墙 不可信的网 络及服务器 不可信 的用户Internet IntranetDMZ路由器供外部访问的 服务及资源可信任的用户&54& 防火墙的主要技术包过滤技术(Packet Filtering) ? 状态包过滤技术(Stateful Packet Filtering) ? 应用代理技术(Application Proxy)?应用层 表示层 会话层 传输层网络层数据链路层 物理层&55& *包过滤技术的基本原理Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP控制策略查找对应 的控制策 略根据策略决定如 何处理该数据包 数据包 数据包拆开数据包屏蔽路由器数据IP报头TCP报头企业内部网分组过滤判断信息&56& *状态包过滤技术的基本原理控制策略查找对应 的控制策 略 根据策略决定如 何处理该数据包 数据包 拆开数据包IP报头 IP报头 IP报头 TCP报头 TCP报头 TCP报头 数据1 数据2 数据 数据1 3数据包 屏蔽路由器企业内部网分组过滤判断信息状态检测&57& *应用代理技术的基本原理控制策略查找对应 的控制策 略 根据策略决定如 何处理该数据包 数据包 拆开数据包IP报头 TCP报头 数据数据包屏蔽路由器分组过滤判断信息 应用代理判断信息企业内部网&58& 防火墙的局限性防火墙不能防止通向站点的后门。 ? 防火墙一般不提供对内部的保护。 ? 防火墙无法防范数据驱动型的攻击。 ? 防火墙不能防止用户由Internet上下载被病毒感染的计算 机程序或者将该类程序附在电子邮件上传输。?确保网络的安全,还要对网络内部进行实时的 检测 ,对信息内容进行过滤。&59& 入侵检测系统的基本概念? ? ? ?入侵检测系统(IDS:Intrusion detection system)用于监 控网络和计算机系统被入侵或滥用的征兆; IDS系统以后台进程的形式运行,发现可疑情况,立即通 知有关人员; IDS是监控和识别攻击的标准解决方案,是安防体系的重 要组成部分; 假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这 幢大楼里的监视系统。&60& 入侵检测系统示意摄像机=探测引擎后门 监控室=控制中 心Card Key保安=防火墙形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它 也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它 还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只 是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断 &61& 连接、关闭道路(与防火墙联动)。 入侵检测系统的类型主机入侵检测系统(Host Intrusion Detection) ? 网络入侵检测系统(Network Intrusion Detection) C 网络入侵检测系统,它通过抓取网络上的所有报文, 分析处理后,报告异常和重要的数据模式和行为模式, 使网络安全管理员清楚地了解网络上发生的事件,并 能够采取行动阻止可能的破坏。?&62& 入侵检测系统的功能实时检测 C 实时地监视、分析网络中所有的数据报文 C 发现并实时处理所捕获的数据报文 ? 安全审计 C 对系统记录的网络事件进行统计分析 C 发现异常现象 C 得出系统的安全状态,找出所需要的证据 ? 主动响应 C 主动切断连接或与防火墙联动,调用其他程序处理?&63& 入侵检测系统与防火墙的区别所在的位置不同 C 防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网 络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。 C 而NIDS是可以装在局域网内的任何机器上,一个网段内可以装上数台 NIDS引擎,由一个总控中心来控制。 ? 防范的方向不同 C 防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网 络对内部网络的可能存在的攻击。 C 网络入侵检测系统在不影响网络性能的情况下能对网络进行检测,从而 提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻 击和网络资源滥用。 ? 检测的细粒度不同 C 防火墙为了实现快速的网络包转换,故只能对网络包的IP和端口进行一 些防黑检测,比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网 络入侵,防火墙是毫无办法。 C 而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整 个网络包进行检查过滤。?&64& 入侵防御系统???入侵防御系统IPS (Intrusion Prevention System) C 提供一种主动的、实时的防护,其设计旨在对常规网络流量中的 恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行 自动拦截,使它们无法造成损失,而不是简单地在传送恶意流量 的同时或之后发出警报。IPS 是通过直接串联到网络链路中或安 装在服务器上而实现这一功能的,即IPS接收到外部数据流量时, 如果检测到攻击企图,就会自动地将攻击包丢掉。 IPS的优点 C IPS侧重访问控制,注重主动防御。目前,主流的IPS产品都内置 了状态包检测防火墙, IPS代表了深度检测和时时防御,IPS是 2-7层的检测在加上高性能的硬件的结合体。 IPS的缺点: C 性能: 设备性能不够稳定,造成网络延迟或丢包; C 误报: 存在误检测,对正常业务造成影响; C 漏报: 存在漏报现象,影响系统安全性,给企业带来损失。&65& 抗DDOS攻击的技术趋势技术被动防御黑洞?流量全部丢弃,反而 达到了DDoS攻击的 目的;攻击流量清洗DDoS流量清洗?部署在IDC/大用户/运营 商网络侧进行DDoS监测 和防护; ?主要针对DDoS流量, 其它异常流量防护能力 有局限;异常流量监管异常流量监管?按需部署方案 ?安全威胁防范 ?电信业务监管 ?网络保值到增值ACL?针对目的IP过滤或限 速;无法防御应用攻击;防火墙?性能/扩展差; 对运营 商网络的影响;时间&66& 病毒及恶意代码防护技术?防病毒系统 C 分类:\主机型 \网关型C 特点:\通过特征规则匹配发现病毒 \规则必须定期更新?从发展上看,病毒及恶意代码,包括木马、蠕虫甚至垃圾 邮件、间谍软件逐渐被归纳为内容安全的问题,传统防病 毒系统也逐渐演变为安全内容管理。&67& 安全域划分为什么要划分安全域?? ?? ?组网方式随意性强,缺 乏统一规划 网络区域之间边界不清 晰,互连互通没有统一 控制规范 安全防护手段部署原则 不明确 扩展性差?? ? ? ? ?无法有效隔离不同业务领域, 跨业务领域的非授权互访难于 发现和控制 无法有效控制网络病毒的发作 区域和影响 不能及时的发现安全事件和响 应 第三方维护人员缺乏访问控制 和授权 管理员密码和权限的难以管理 关键服务器、信息资产的缺乏 重点防护&68& 安全域划分安全域是指具有相同或近似 安全保护需求的一系列IT要 素的逻辑集合。这些要素主 要包括: ?业务应用 ?网络区域 ?主机/系统 ?组织人员 ?物理环境主体、性质、安全目标和策略等元素的不 同来划分的不同逻辑子网或网络,每一个 逻辑区域有相同的安全保护需求,具有相 同的安全访问控制和边界控制策略,区域 间具有相互信任关系,而且相同的网络安 全域共享同样的安全策略。安全域划分的根本目的是把一个大规模复杂系统的安全问题, 化解为更小区域的简单系统的安全保护问题。这也是实现大规模复 杂信息的系统安全分等级保护的有效方法。&69& 安全域划分示例&70& 帐号口令管理的需求(4A)?随着当前IP网络中,不同种类业务和应用的飞速发展,网络的安全性逐渐得 到了人们的认识和重视,因此类如防火墙、IDS/IPS、防病毒网关、终端防 护等安全技术产品在网络中越来越流行起来,从某种程度上解决了一些安全 上问题,但是如何确定网络中用户身份的真实性,实现用户授权的可靠性, 对用户网络行为的可追溯性,以及对用户账号管理的易用性,仍然是信息安 全管理中不得不面对的难题。其常见的问题表现为: C 1、在网络用户只有IP,没有与之对应的真实身份ID的前提下,发生非法 网络行为时,不能及时定位隔离。 C 2、网络对登录用户进行认证时,每个节点的设备各自配置自己的用户信 息、权限、策略及认证,从而难以管理,易出错。 C 3、网络中不同功能服务区,没有进行按级别访问的权限设制。 C 4、网络中真实用户身份不能确定,存在仿冒的可能,无法对个人行为进 行监控。 C 5、对网管人员自身的监控力度不够 C 6、对多种网络接入方式的支持及认证强度不够,不能提供稳定的硬件级 别的认证系统 C 7、目前基于IP进行管理的网络,已不适应网络实名化的趋势&71& 帐号口令管理方法与目标通过建立基于4A(Account、Authentication、Authorization、Auditing)的统一身 份及访问安全管理平台,使得系统安全管理人员可以对各业务系统中的用户和资源进 行集中账户管理、集中认证管理、集中权限分配、集中审计,从而在管理、技术上保 证各种业务系统安全策略的实施。… 集中帐号口令管理 ?增强内控安全,满足法规遵从 ?梳理系统帐号,增强系统安全 ?加强对系统的访问控制,提高系 统安全性 … 集中认证接入 ?定制工作流,提供管理规范性技 术手段支撑 ?建立安全审计中心,及时发现安 全问题,追溯违规行为 ?建立管理平台,提高管理效率 ?实现单点登录,提高用户便利 集中安全审计 …&72&… 集中授权管理 安全审计产品-需求定位 操作系统和应用程序的日志,忠实地记录了操作系统和应 用程序的“一举一动”,能够通过审计这些日志定位系统故 障、网络问题和入侵攻击行为。 举证 安全审计的日志可以用来法律举证的证据,必要时能帮助进 行事故的责任认定。一些行业要求定期对日志进行全面备份 并保留相当时间。 预警 能够发现潜在的威胁和运行问题,未雨绸缪化解安全和运行 风险。对于安全事件发生或关键数据遭到严重破坏之前可以 预先通过日志异常行为告警方式通知管理人员,及时进行分 析并采取相应措施进行阻止,降低安全事件的最终发生率。&73& 安全审计产品-审计目标操作系统日志 ? 登陆与SU日志:异常分析 ? 命令操作日志:分析异常操 作 ? 标准系统日志:非法攻击留 下的日志痕迹主机运行状态 ? CPU资源监控 ? 内存占用监控 ? 磁盘空间监控应用系统日志 ? 数据库操作和登陆 ? W3C格式的应用系统分析 ? 特定应用系统的定制&74& 集中日志审计的基本功能???保障日志安全 C 传输加密 C 第三方存储 C 访问授权 易于管理 C 集中存储 C 方便支持不同应用系统日志审计的扩展 C 采用多种直观的显示方式帮助管理员的分析和提供预警 处理海量日志,提高分析效率 C 自动化的日志分析 C 支持海量日志事件的过滤、分析和处理 C 更深层的对日志进行分析&75& 安全运行管理平台(ISMP)ISMP不是单纯产品,是承载安全管理与运行工作的平台 C 涵盖安全工作的所有过程(包括预防、评估审计、监控、分析处理、 恢复各个环节) C 承载安全工作流和信息流,针对各个安全流程的每个环节的工作提 供相关信息、任务 ? ISMP是安全保障体系的落实与体现形式,是安全保障体系有效运行的技 术支撑手段 C 实现动态、可量化的风险管理 C 实现网络安全工作从凌乱、零散、粗放向有序、体系化、精细化的 管理模式转变 C 日常的安全运维工作通过ISMP开展,就像网管依赖网管平台开展 C ISMP从技术体系采集数据,执行和审计策略体系 C 各相关部门通过ISMP实现安全工作有序管理和密切协作 ? ISMP体现管理意图,以全面反映安全工作指导思想贯穿始终?&76& 安全运行管理平台(ISMP)?对领导层的价值:C 及时掌握各个部门整体安全状况,辅助决策 C 业务连续性高,绩效好 C 提高效率,减少人员需求,降低维护成本?对安全管理者的价值:C C C C C 安全状态可视化。全面、直观识别和显示各系统和设备的安全风险 及时和全面的发现的安全事件 实现各部门各业务系统的安全产品、网络、主机、应用软件的事件关联分析 实现安全事件精确定位,加快安全事件的响应速度,保障业务的连续性; 智能化处理,降低对安全管理人员需求,提高工作效率;?对系统维护人员、一般员工的价值:C 业务系统安全状况可视化; C 安全事件快速定位,并提供处理支持(如补丁加载决策支持),提高生产效率,减 少低级劳动?对业务人员的价值:C 安全保障水平提高,实现客户SLA;稳定客户,提高客户满意度&77& ISMP产品核心技术发展? 以过程管理为核心(未来ISMP发展方 向)? 主要突出安全运维流 程过程管理? 以资产风险管理为核心(目前已应用 ? 以安全事件为核心 的ISMP产品)? 以资产为核心视图, 比较直观和灵活的管 理事件、资产和脆弱 性要素,实现了初步 的风险管理思想(日志收集与安全审计产品) ? 以网元设备为核 心(网管产品发? 收集多种不同来源的 安全事件,进行关联 并可设定监控阀值? 作为安全运行支撑手段,非事件关联分析 告警的平台展)? 基于网管系统开发 的ISMP产品通常采 用这个思想,把固 定的安全事件固定 到网元管理上&78& 安全标准与政策法规&79& 安全标准与政策法规简介国际相关政策国内相关的 政策、法律 法规、安全 框架及各类 适用标准。国家管理部门发布国家层面的信息战略、信息安 全战略、安全相关法律法规等。标准研究机构研究国内外先进标准体系、制订、 发布安全国家标准、地方标准等。行业主管部门 法律法规发布行业安全指南、指引,研究、 制订本行业安全相关标准等。企业管理部门框架标准指南发布本企业信息安全政策、策略、 制度、指南,以及本企业标准等。研究、制订、发布&80& 国际信息安全标准化组织ISOJTC1 SC27,信息技术 -安全技术,共个工作 组发布,主要信息安全 标准;其他子委员会主 要有SC6、、SC18、 SC21、SC22、SC30 等等; ISO/TC 68, 银行和有 关的金融服务。IECTC56 可靠性; TC74 IT设备安全和功 效; TC77 电磁兼容; CISPR 无线电干扰特别 委员会。ITU前身是CCITT 消息处理系统; 目录系统(X.400系列、 X.500系列); 安全框架; 安全模型等标准。IETFPGP开发规范; 鉴别防火墙遍历; 通用鉴别技术; 域名服务系统安全; IP安全协议; 一次性口令鉴别); X.509公钥基础设施; S/MIME邮件安全; 安全Shell ; 简单公钥基础设施; 传输层安全; Web处理安全 。除以上国际组织外,各个国家均有自己的信息安全标准化组织,如ANSI (美国国家标准) BIS (印度标准) BSI (英国标准) BS标准目录 NF (法 国标准) DIN (德国标准) GOST (俄罗斯国家标准) JSA (日本标准) TIS (泰国标准) AS (澳大利亚标准) CSA (加拿大标准协会)等等&81& 国际标准化组织ISO介绍?ISO的主要工作是制修订 与出版国际标准。ISO标 准的范围涉及除电工与电 子工程以外的所有领域; 电工与电子工程标准,由 国际电工委员会(IEC) 负责制修订;信息技术标 准化工作由ISO和IEC共同 负责。1987年11月,这两 大国际组织成立了 ISO/IEC的JTCI联合技术 委员会即&信息技术委员会 &,现有50个成员团体参加 其工作。TC97Cs47B/831987SC 02SC 27SC 37WG1WG2WG3WG4WG5&82& 国际标准化组织ISO介绍AssessmentWG3 Evaluation CriteriaWG1 ISMS(评估)GuidelinesWG4 Controls and Services(指南)TechniquesWG2Cryptograph & MechanismsWG5IM & Privacy Technologies(技术)ProductSystemProcessEnvironment(产品)(系统)(流程)(环境)&83& 中国信息安全标准化组织与标准体系GBGB/Z GB/T国标 行业标准GA公安 YD通信 JR金融DB11北京 DB44广东 地方标准 DB31上海企业标准Q+*企业&84& 中国信息安全标准体系框架网络与信息安全标准 体系框架基础安全标准安全技术标准工程管理标准安 全 术 语 标 准安 全 体 系 标 准安 全 框 架 标 准安 全 模 型 标 准技 术 机 制 标 准物 理 环 境 标 准安 全 产 品 标 准安 全 管 理 标 准系 统 管 理 标 准安 全 保 密 标 准安 全 工 程 标 准安 全 测 评 标 准&85& 合规与遵循的必要性财富1000强企业CIOs/CSOs调查(目前在安全方面花费的最主要驱动因素):合规性检查 海外法律法规 (SOX, GLBA, HIPAA)国内法律法规 国家信息安全 等级保护制度 《互联网安全 保护技术 24% 措施规定》 公安部 14% 第82号令 行业标准指南 最佳实践框架98%内部威胁 Sarbanes外部威胁Oxley 《萨班斯奥克斯利法案》50% 银监会 《商业银行 内部控制指引》 44%证监会 《证券公司 内部控制指引》 保监会 《保险公司风险 管理指引 (试行)》ISO27002Gramm-LeachBliley 《 员工使用移动设备 格爱姆- 里赤- 新技术,例如VoIP 布里利法案》 HIPAA健康保险 不安全的商业计算平台 流通与责任法案Cobit迁移到新的软件模型 Basel II巴塞尔电监会5号令 对于今天身处激烈竟争中的现代企业来说,满足日益复杂的外部合规性要 新资本协议 求,提升企业管理水平,有效抵御各类风险,最终实现业务持续性健康发 0% 20% 40% 60% 80% 100% ? 展的目标是实施遵从要求的根本原因。而随着企业对IT技术依赖性的提高, ? 由IT控制而引发的IT遵从成为企业遵从行为的重要形式,由此产生的管理 来源: 高盛安全花费调查, 2006 活动和控制目标将贯穿于企业的整个生命周期中。国信办信息 安全风险 12% 评估规范14%COSOITIL&86& 企业合规与遵循框架27号文 COSO-ERM COBIT ISO 27000系列 ISO 13335系列 等级保护标准 信息安全国标 ?? 框 架 标 准 组织人员 147号令 等级保护 政策法规 策略制度 SOX法案 ??ITILISO 27002 实 践 指 南业务应用 主机和系统网络区域 IT基础设施 物理环境 企业IT相关资源或元素 自身现状及特点风险评估规范风险管理指南&87& 政策法规介绍国际政策法规《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act) 《格爱姆-里赤-布里利法案》(Gramm-Leach-Bliley Act) 《健康保险流通与责任法案》(HIPAA) 《巴塞尔新资本协议》(Basel II)中国政策法规《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 《中华人民共和国计算机信息系统安全保护条例》(国务院令147号) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号 ) 《信息安全等级保护管理办法》(试行 公通字[2006]7号文) 《信息安全等级保护管理办法》(公通字[2007]43号文) 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[号文) 《关于开展信息安全风险评估工作的意见》 《中华人民共和国保守国家秘密法 》 《信息安全法》 《电子签名法》等&88& 国家加强对信息化工作的领导日期6-01 9-12 1-08信息化领导机构 国家经济信息化联席会议 国务院信息化工作领导小组 无 国家信息化工作领导小组 国家信息化领导小组 国务院信息化工作办公室领导 邹家华副总理 邹家华副总理 吴邦国副总理 朱F基总理 曾培炎部长3-05国家信息化领导小组 国务院信息化工作办公室温家宝总理 王旭东部长&89& 国家信息化的工作体制中共中央 国 务 院1、国 家 信 息 化 领 导 小 组2、国 务 院 信 息 化 工 作 办 公 室综合组 政策规划 推广应用 网络与信息安全 电子政务3、国家信息化 专家咨询委员会专家委秘书处政策规划 专业委员会电子政务与信息化应用 专业委员会网络与信息安全 专业委员会技术 专业委员会 &90& 政策法规介绍-27号文27号文件主要内容: 总体要求及原则一、加强信息安全保障工作的总体要求和主要原则 二、实行信息安全等级保护 等级保护 三、加强以密码技术为基础的信息保护和网络信任体系建设 四、建设和完善信息安全监控体系 五、重视信息安全应急处理工作 信任体系 监控体系 应急处理 六、加强信息安全技术研究开发,推进信息安全产业发展 七、加强信息安全法制建设和标准化建设 法律法规标准 人才与意识 安全技术研究 八、加快信息安全人才培养,增强全民信息安全意识 九、保证信息安全资金 十、加强对信息安全保障工作的领导,建立健全信息安全管理责任制 加强领导 明确责任 资金保障《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号),日发布。我国第一个信 息安全战略层面的文件,是指导我国信息安全保障工作的纲领。&91& 政策法规介绍-147号令?主要条款(摘要)C 第六条 公安部主管全国计算机信息系统安全保护工作。 C 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安 全等级保护的具体办法,由公安部会同有关部门制定。 C 第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小 时内向当地县级以上人民政府公安机关报告。 C 第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权: 监督、检查、指导计算机信息系统安全保护工作;查处违法犯罪案件。 C 第二十条 公安机关有权处以警告或者停机整顿 。 C 第二十三条 危害计算机信息系统安全的,或者未经许可出售安全专用 产品的,由公安机关处以警告或者对个人5000元以下、单位处以15000 以下罚款;没收违法所得,并可处以违法所得1至3倍的罚款。 C 第二十四条 构成违反治安管理行为的,依照《中华人民共和国治安管 理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。 《中华人民共和国计算机信息系统安全保护条例》(国务院令 147号),日国务院总理李鹏签发。&92& 政策法规介绍-等级保护系列等级保护作为我国一项基本制度,早在94年的国务院147号令中就进行了明确, 其后03年27号文件又进行了强调04年起,陆续颁布了66号、7号、43号、861号等 一系列文件。66号文《关于信息安全等级保 护工作的实施意见》 (公通字[2004]66号 ) 日由公安 部、国家保密局、国家 密码管理局、国信办联 合发文。 主要内容包括(6个方 面)开展信息安全等级 保护工作的重要意义; 原则;基本内容;职责 分工;工作要求;实施 计划。7号文《信息安全等级保护管 理办法》(试行 公通 字[2006]7号文)。 2006年1月由公安部、 保密局、国密局、国信 办联合印发。 主要内容: 职能划分;等级划分与 保护;实施与管理;定 级、建设和管理、测评 和自查、备案、监督检 查等;涉秘系统的分级 保护;密码管理。43号文《信息安全等级保护 管理办法》(公通字 [2007]43号文)。 日,公 安部、国家保密局、 国家密码管理局、国 务院信息化工作办公 室联合下发。 在7号文的基础上进行 了修订,7号文同时废 止。861号文《关于开展全国重要信 息系统安全等级保护定 级工作的通知》(公信 安[号) 。 日,公安 部、国家保密局、国家 密码管理局、国务院信 息化工作办公室联合下 发。&93& 电信网络安全等级保护工作? ? ? ?《关于电信网络等级保护工作有关问题的通知》(信电函 [2006]35号) 《关于开展电信网络安全防护试点工作的通知》(信部电函 [号) 《关于进一步开展电信网络安全防护工作的实施意见》(信部电 [号) 《关于贯彻落实电信网络等级保护定级工作的通知》(信电函 [号)C 山东省内长途交换网进行了试点 C 去年10月进行了试点总结 C 去年12月召开了专家组会议 C 1月底总部及奥运省完成定级工作 C 3月底其它省完成定级工作各行业安全等级保护工作由公安部牵头&94& 政策法规介绍-中办发[2006]5号文? ?《关于开展信息安全风险评估工作的意见》(中办发 [2006]5号文) 日,国务院信息化工作办公室在昆明召开了 《关于开展信息安全风险评估工作的意见》宣贯会。各省、 市信息化主管部门、国信办专家组、解放军有关部门和部 分信息安全企业的130余名代表出席了会议。会议由国信 办网络与信息安全组熊四皓处长主持,国信办网络与信息 安全组王渝次司长发表了学习贯彻《国家网络与信息安全 协调小组&关于开展信息安全风险评估工作的意见&》的 重要讲话。云南省、北京市、上海市、黑龙江省分别介绍 了信息安全风险评估试点工作的过程和经验。有关专家介 绍了风险评估工作应遵循的标准和方法。&95& 政策法规介绍-SOX法案?? ?针对安然、世通等财务欺诈事件,美国国 会出台了《2002年公众公司会计改革和投 资者保护法案》。 对于在美上市的中国公司有同样约束力。 涉及信息安全的主要有302、404等章节。截至2006年3月底,内地和香港一共有70余家公司在美国上市,其中包括多家大 型国有企业,如中海油、东方航空、中国人寿、UT斯达康、中国移动、中国联 通、百度等。&96& 政策法规介绍-SOX法案302条款 公司对财务报告的责任 要求公司首要官员及首要财务官在季 度/年度报告中保证: ?对信息披露的控制和程序负责 ?设计必要的内部控制手段并确保 其执行可使高层及时获得重要信 息 ?对披露控制的有效性进行评估, 评估结果需存档 ?不可向审计委员会和外部审计人 员隐瞒公司重大的内控失败和人 员舞弊行为 ??? 404条款管理层对内部控制的评价 CEO和CFO必须在年度报告中确保: ?内部控制的管理层责任 ?评估内部控制的有效性 ?由独立审计机构出具审计报告&97& 框架标准介绍标准IS 27000系列(信息技术-安全技术-信息安全管理体系) IS 13335系列(信息技术-IT安全管理指南) 等级保护标准(测评准则 基本要求 实施指南 测评准则 定级指南) 国家信息安全相关标准GB框架eTOM(增强的电信运营图) COSO-ERM(COSO-企业风险管理框架) COBIT(信息及相关技术控制目标)&98& eTOM业务流程框架模型客户战略,基础设施&产品 战略 基础设施 生命周期 管理 产品生命 周期管理 运营 运作支持和 条件准备 业务实现 业务保障 业务计费营销和定价管理 业务开发和管理 资源开发和管理 供应链开发和管理 企业管理客户关系管理 业务管理和运作 资源管理和运作 供应商和合作伙伴关系管理战略和企业规划 财务和 资产管理品牌管理、 市场调研和广告 股东和外部 关系管理企业质量管理、 流程、IT规划和架构 人力资源管理R&D和 技术引进 灾难恢复、安全 和欺诈管理&99& 框架标准介绍-COSO??COSO(Committee of Sponsoring Organization,COSO)委员 会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部 控制整合框架》(COSO-IC),由于COSO报告提出的内部控制理 论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具 有权威性的框架,因此在业内倍受推崇,在美国及全球得到广泛推广 和应用。 2004年9月COSO正式颁布了《企业风险管理整合框架》(COSOERM)。 COSO将企业风险管理定义为 :“企业风险管理是一个过 程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在 战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的 可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指 导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险, 以及如何进行风险管理方面的重要信息。&100& 框架标准介绍-COSO八个要素战 经 报四个目标合? ? ? ? ? ? ? ?内部环境? ? ? ?战略目标略营告目标设置事件辨识 风险评估 风险反应 控制活动 信息与沟通 监控规内部环境 目标设置 事件辨识 风险评估 风险反应 控制活动 信息与沟通 监控附 属 业 机 务 构 分 单 总 部 位 部经营目标报告目标 合规目标COSO-ERM&101& 框架标准介绍-COBIT? CoBIT(Control Objectives forInformation and related Technology,信息和相关技术控制 目标)由 ITGI(IT Governance Institute)制定,是信息、IT 以及 相关风险控制方面的国际公认标 准。CoBIT用于执行 IT 管理,改 善 IT 控制 。它既可以满足管理人 员和董事局的 IT 管理需求,同时 也能应对负责交付解决方案和服 务的人员的更为具体的要求。这 就为在一个具有透明度的环境里 优化 IT 投资、确保价值传递以及 减轻 IT 风险提供了更好的支持。企业要求域IT 流 程流程人 基 员 信 础 应 息 架 用 构 软 件活动 IT资源COBIT立方体&102& 框架标准介绍-COBIT以业务为中心:提供企业实现其目标 所需需的信息,企业需要采用结构化 的流程来管理、控制IT资源,以交付 所需要的信息服务。为了完成企业目 标,要设立信息标准和划分IT资源的 类别。 ? 定位于流程:以一个通用的流程模型 在四个控制域里定义IT活动。这些控 制域就是计划与组织,获得与实施, 交付与支持和监控与评价。这四个控 制域包含34个流程,映射到传统的IT 职责域:计划、建设、运营和监视。 ? 以控制为基础:每个IT流程都有一个 高层控制目标和多个详细控制目标, 34个流程共有214个控制目标。 ? 以衡量为驱动:提供成熟度模型以识 别和校验必须提高的能力;提供IT流 程的绩效目标和衡量标准;提供使流 程高效的活动目标。?企业信息业务需求COBITIT流程IT资源&103& 框架标准介绍-27000系列27000标准族&104& 框架标准介绍-27000系列信息安全管理体系的持续改进A P相关方 C D建立 ISMS4.2.1相关方A P C D实施和运行 ISMS维护和改进 ISMSA P C D4.2.24.2.4信息安全 需求和期望InputA P监控和评审 ISMSOutput受控的 信息安全C D4.2.327001中应用于ISMS的PDCA模型&105& 框架标准介绍-27000系列?中国大陆地区,可以提供ISO 27001认证服务的 主要是BSI(British Standards Institution英国 标准协会 ), DNV(Det Norske Veritas挪威 船级社),BV( Bureau Veritas 法国国际检验 局),以及ISCCC(中国信息安全认证中心)。27001认证基本介绍情况&106& 框架标准介绍-27000系列27001证书获取情况截止2008年2月,获 取27001证书的组 织为4140. 其中中国80个,全球 第6位. 资料来源: ISMS IUG&107& 框架标准介绍-13335系列???ISO 13335是由ISO/IEC JTC1制定的技术报告,是一个信息安全管理 方面的指导性标准,其目的是为有效实施IT安全管理提供建议和支持。 ISO/IEC TR 13335,(IT安全管理指南”,Guidelines for the Management of IT Security,GMITS),04年发布ISO/IEC 4 Part1-概念和模型( “信息和通信技术安全管理”, (Management of Information and Communications Technology Security,MICTS), ISO/IEC TR 13335 series (GMITS) IT安全概念和模型 C TR 6 IT安全管理和规划 C TR 7 IT安全管理技术 C TR 8 选择控制措施 C TR 0 网络安全管理指南 C TR 1 ISO/IEC 13335(MICTS) ICT安全管理-概念和模型 C 4&108& 框架标准介绍-电信网络安全等级保护标准安全防护管理指南 安全等级保护 实施指南 安全风险评估 实施指南 灾难备份及恢复 实施指南32个标准(草案)固 定 通 信 网移 动 通 信 网互 联 网增 值 业 务 网消 智 息 能 ... 网 网非 核 心 生 产 单 元安 全 防 护 检 测 要 求固 定 通 信 网移 动 通 信 网互 联 网增 值 业 务 网消 智 息 能 ... 网 网非 核 心 生 产 单 元安 全 防 护 要 求信令网 同步网 支撑网 IP承载网 传送网 接入网 ... 物理环境 管理信令网 同步网 支撑网 IP承载网 传送网 接入网 ... 物理环境 管理&109& 框架标准介绍-电信网络安全等级划分安全等级 描述定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻 微损害,但不损害国家安全、社会秩序、经济运行和公共利益。 定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重 损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不 损害国家安全。 网络和业务运营商依据国家和通信行业有关标 准进行保护。 网络和业务运营商依据国家和通信行业有关标 准进行保护,主管部门对其安全等级保护工作 进行指导。 网络和业务运营商依据国家和通信行业有关标 准进行保护,主管部门对其安全等级保护工作 进行监督、检查。第 1级 第 2级 第3 级 第3.1 级定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严 重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或 者对国家安全造成轻微损害。第3.2 级第 4级定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别 严重损害,或者对社会秩序、经济运行和公共利益造成严重损害, 或者对国家安全造成较大损害。定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特 别严重损害,或者对国家安全造成严重损害。网络和业务运营商依据国家和通信行业有关标 准进行保护,主管部门对其安全等级保护工作 进行重点监督、检查。网络和业务运营商依据国家和通信行业有关标 准以及业务的特殊安全要求进行保护,主管部 门对其安全等级保护工作进行强制监督、检查。第 5级定级对象受到破坏后,会对国家安全造成特别严重损害。网络和业务运营商依据国家和通信行业有关标 准以及业务的特殊安全需求进行保护,主管部 门对其安全等级保护工作进行专门监督、检查。&110& 框架标准介绍-等保《实施指南》信息系统定级 ? 总体安全规划 ? 安全设计与实施 ? 安全运行与维护 ? 信息系统终止?2 5信息系统终止4安全运行与维护 系统调整3安全设计与实施总体安全规划等级变更1信息系统定级&111& 框架标准介绍-等保《实施指南》1 2 3 4 5信息系统定级总体安全规划安全设计与实施安全运行与维护信息系统终止?信息系统分析?安全需求分析?总体安全设计 ?建设项目规划?方案详细设计 ?管理措施实现 ?技术措施实现?运行管理和控制?确定保护等级?变更管理和控制?安全状态监控 ?安全事件处置及 应急预案 ?安全检查和持续 改进 ?等级测评 ?系统备案 ?监督检查?信息转移、储存 和清除 ?设备迁移或废弃 ?存储介质的清除 或销毁&112& 实践指南介绍最佳实践ITIL IS 17799指南信息安全风险评估规范 信息安全风险管理指南 信息安全事件分类分级指南 信息安全事件管理指南 信息系统灾难恢复规范&113& 实践指南介绍-ITILITIL,全称Information Technology Infrastructure Library,本白皮书统一 译为“信息技术基础架构库”或“IT基础架构库”。它是英国国家计算机和 电信局CCTA(现在已并入英国商务部)于80年代中期开始开发的一套针对 IT行业的服务管理标准库。 ? ITIL产生的背景是,当时英国政府为了提高政府部门IT服务的质量,启动一 个项目来邀请国内外知名IT厂商和专家共同开发一套规范化的、可进行财务 计量的IT资源使用方法。这种方法应该是独立于厂商的并且可适用于不同规 模、不同技术和业务需求的组织。这个项目的最终成果就是现在被广泛认可 的ITIL。 ? ITIL虽然最初是为英国政府部门开发的,但它很快在英国企业中得到广泛的 应用。在20世纪90年代初期,ITIL被介绍到欧洲的许多其它国家并这些国家 得到应用。到90年代中期ITIL已经成为欧洲IT管理领域事实上的标准。90年 代后期ITIL又被引入美国、南非和澳大利亚等国。90年代末,ITIL也被有关 公司引入中国。 ? ITIL是最佳实践的总结:OGC(英国商务部)组织收集和分析各种有关组织 如何解决服务管理问题等方面的信息,找出那些对本部门和在英国政府部门 中的客户有益的做法,最后形成了ITIL。ITIL的各部分之间并没有严格的逻 辑关系。或者这样说,与一般的标准是先设计整体框架再细化各部分这种 “自顶向下”的设计方式不同,ITIL的开发过程是“自下向上”的。?&114& 实践指南介绍-ITIL&115& 实践指南介绍-ISO 17799安全策略 信息安全组织 资产管理 人力资源安全 物理和环境安全 访问控制 信息安全事件管理 业务连续性管理 合规性&116&通信和操作管理信息系统 获取开发 和维护 实践指南介绍-信息安全风险评估规范信息安全风险评估规范 ? 信息安全风险管理指南 ? 信息安全事件分类分级指南 ? 信息安全事件管理指南 ? 信息系统灾难恢复规范?&117& 安全工作思路与原则&118& 思考:怎样的信息安全工作算到位?C 没出过安全事件? C 已经部署了许多安全设备? C 全面、完整的安全制度?C 成熟的安全组织?&119& 安全工作成功的关键原则管理层的高度重视 统一管理,总体协调 内外并重整体规划,分步实施同步规划、同步建设、同步运行三分技术、七分管理全民参与&120& 关键原则-领导层高度重视? ?管理层的高度重视:公司管理层要高度重视网络安全工作, 并给予明确支持 高层重视的优势: C 组织保障 C 指明方向和目标 C 权威 C 预算保障,提供所需的资源 C 监督检查领导重视&121& 关键原则-领导层高度重视?将行政管理角色注入安全业务中IS主管 xxx … IS专员 xx …领导(owner)测量、改进部门 资产管理部 财务部安全管理处接口 xxx?指定流程owner 和监控评审人员输入活动输出信 息 安 全 流 程&122&资 源记 录 领导对安全工作的要求(1)要把安全问题做为当前工作的重点 C 安全问题已时不我待。 C 安全漏洞很多,我们当前的重 视还不够。一方面是安全规则、安 全规章、安全责任的建设,集团和 各省都要加强。另一方面是手段建 设要跟上去。安全不光依靠规则, 一定要有手段。 C 对内部人员的登陆要有严格的 管理规定,后台操作要留有痕迹。 C 对外来人员的进入,我们一定 要限人、限时、限范围,明确进入 的时间、进入的目的谁放厂家的人 进去谁就要负责检查,出了问题要 承担责任。――摘自李跃总《2006年 中南五省一市关联维护研讨会的讲话》高度重视网络安全与应急管理 C 在网络安全与应急管理方面, 网络部负有双重责任,一方面是 职能责任,即集团公司网络部承 担全集团的网络与信息安全与应 急管理的责任,省公司网络部承 担所在省公司的网络信息安全与 应急管理的责任。因此,各级网 络部要主动推动所在公司各个范 围的网络与信息安全及应急管理 工作的开展。 C 另一方面是自身网络与信息 安全事故的责任,我们强调“谁 主管谁负责”,出现问题网络部 要负责任,同时将责任进行层层 分解。――摘自李跃总 《2006年网络工作座谈会总结》&123&紧急 重要 领导对安全工作的要求(2)李跃总在2008年全国网络工作会上做了题为《狠抓网络 安全,确保奥运盛会》的重要讲话,对网络与信息安全 工作做出重要指示: 坚持集中化的网络与信息安全体系建设1、完善体系,强化能力与手段建设; 2、全网共同努力,快速完善、细化安全管理和安全技术要求; 3、进一步加大安全预警、安全作业执行力度,完善安全考核指 标体系; 4、建设满足要求的新一代安全防护系统; 5、坚持日常性的账号口令管理系统、日志审计系统、集中防病 毒系统、综合接入网关等基础安全防护手段建设,以手段促管理。&124& 关键原则-统一管理总体协调?统一管理,总体协调:由信息安全管理相关单位牵头,通 过制定和贯彻流程将安全工作要点条理化,将人、标准、 技术结合在一起,为管理层支持提供明确依据、为全民参 与明确职责及分工界面,从而将各项安全要求真正落地。 安全的建设应和业务系统相结合,做到全程全网统一监控 和审计,统一管理。&125& 关键原则-统一管理总体协调?明确职能 C 在公司统一企业治理框架下,作好IT相关的内部控制, 设立相关的部门及岗位职责\公司法人治理结构 \风险管理职能部门 \内部审计部门 \法律事务部门 \其他相关职能部门、业务单位的组织领导机构及职责??整合资源 资金保障&126& 关键原则-统一管理总体协调策略指导 业务驱动 合规遵从 资金保障 P 董事会 技术 D产品审计委员会 内部审计部门 风险管理职能部门 企业其他职能部门及各业务单位 制度 指南 流程 标准 总经理 风险管理委员会 R&127& 关键原则-全民参与?全民参与:网络安全是一项全民性工作,需要每个人参与。 坚持“谁主管、谁负责;谁运营,谁负责”的原则,层层 落实安全责任。不断教育提高全员安全意识。 C C C C 信息安全不仅仅是IT部门的事 让每个员工都门明白随时都有信息安全问题 每个员工都应具备相应安全意识和能力 每个员工都明确自己承担的信息安全责任全员参与&128& 关键原则-全民参与???? ? ?信息安全案例宣传 C 员工随意测试,公司门户网站受牵连 C 拨号上网莫随意,门户大开有漏洞 C 轻信谣言删文件,机器崩溃起不来 信息安全制度和流程宣传 C 移动硬盘使用申请 C XX安全电子流功能说明 信息安全工具宣传 C 杀毒软件使用宣传 C 文档权限系统使用说明 病毒周报 补丁公告 信息安全违规公告&129& 关键原则-全民参与&130& 关键原则-同步规划、同步建设、同步运行?“同步规划、同步建设、同步运行”原则:安全建设应与 业务系统同步规划、同步建设、同步运行,在任何一个环 节的疏忽都可能给业务系统带来危害。 C企业的发展同步 C政策法规的同步 C业务需求的同步 C资金投入的同步 C同期IT建设的同步&131& 关键原则-同步规划、同步建设、同步运行PA网 络 与 信 息 安 全C规划企业的发展同步同期IT建设的同步D实施政策法规的同步 运行 资金投入的同步 终止 业务需求的同步&132& 关键原则-三分技术、七分管理????“三分技术、七分管理”原则:网络与信息安全不是单纯的技术问题, 需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安 全管理规章制度和操作规程,全面提高安全管理水平。 安全从“通信保密”、“信息安全”发展到今天的“信息保障”,不 难看出是一个从基础技术需求到全面安全需求的递进,保障的含义不 仅包含了最基本的CIA三元组,而且出现了更多的安全属性,如真实 性、抗抵赖性,更提出了可靠、可控等新元素。 安全技术也从早先的边界防护(如防火墙、VPN等为代表的单点防护 产品),发展为整合的、系统化的技术体系(如以身份管理为核心, 融入风险管理思想的集中安全管理平台 );传统的技术模型(如 PDR)也向管理上有了发展,如PPDR(第一个P就是策略)。 安全管理是技术成熟到一定阶段的产物,管理源于技术而高于技术, 没有技术支撑的管理,很难落到实处。反之,安全如果仅仅是技术的 堆砌,而没有很好的领导层的支持、组织岗位的支撑、通畅的流程保 障,以及必要的沟通和监控这一系列管理活动,这样的安全是无法切 实贯彻和有效持续改进的。&133& 关键原则-三分技术、七分管理?如何理解? C 安全必须要得到企业所有者和管理者的支持,这本身 就是一个管理问题。 C 信息安全风险不是孤立的,和其他企业风险,如财务 风险、物理风险是互相关联的,这同样需要管理、协 调。 C 安全技术措施的落实,不仅需要正确的部署,更需要 合理的配置。当然,这是最低层面的“管理”问题。 C 好的管理必须有好的技术作为支持,其方式就是通过 合理的流程对人进行约束。&134& 关键原则-内外并重??“ 内外并重”原则:安全工作需 要做到内外并重,在防范外部威 胁的同时,加强规范内部人员行 为和审计机制。 根据调查显示,内部问题引发的 安全事件占总数的 70%-80% ,内 部人员对于网络的滥用(包括不 恰当使用IM、非法扫描和监听), 公司机密信息的窃取等等,都远 比外部人员容易,加上内部普通 工作人员的信息安全意识差、水 平低,办公用机很可能成为病毒、 木马的受害者,甚至成为攻击重 要服务器的跳板或成为僵尸网络 的成员,从而危害到组织内外的 安全。&135& 关键原则-内外并重如何作好内外并重? ? 在公司统一企业治理框架下,作好IT相关的外部防范和内 部控制工作 C 设立相关的部门及岗位职责 C 流程和技术的契合 C 加强审计、考核、培训?&136& 关键原则-整体规划、分步实施?“整体规划,分步实施”原则:需要对公司信息安全建设 进行整体规划,分步实施,逐步建立完善的信息安全体系。 C信息安全并不是一蹴而就的 C安全的宗旨和原则是明确的&137& 关键原则-整体规划、分步实施1.公司安全的使命和目标 2.安全体系总体框架 3.安全现状 4.关键举措和重点工作 5.实施策略选择我们的方向是什么?-得到安全目标我们做什么?做成什么样子?-得到总体框架和笼廓我们怎么样做?6.工作计划7.建设实施 8.安全运营和持续改进&138&-得到工作计划和实施规划 案例分析----华为信息安全工作分析&139& 业务愿景:成为高质量的通信设备主要供应商和世界级 的企业.目标:提高财务绩效(如:降低成本、提高生产力、理顺和整合业务流程) 利用领先、创新的技术,提供优良的产品 在产品和服务质量上持续改进 拓展海外市场,成为世界级的通信设备供应商信息技 术&140& 信息安全对IT目标有力的支撑对业务运作起到了 重要作用IT 目标 Policy数据中心信息安全Product 组织流程网络物理环境??&141& 华为公司的安全建设过程? 2001年,成立专门的项目组负责制定公司的信息安全政策、 流程和制度? 2001年-2002系统建设信息安全技术防护体系? 2002年设立信息安全审计部? 年系统对公司的信息安全政策进行全面推行。 ? 2003年全面审视信息安全管理体系,建立信息安全监控体系 ? 年实现安全监控的制度化、流程化、经常化;建 立安全管理的持续优化管理机制,进一步进行信息安全工作 的外包。&142& 华为信息安全建设――十六字方针对保密信息的访问应遵循:高层牵头 专人管理 领导负责 全员参与工作相关性原则最小授权原则 审批、受控原则&143& 来自高层领导的高度重视“我们一定要为我们的生死存亡负责任,如果我们死了,我们什么 都没有了。我们活着的时候少吃一块,拿一块来保护安全,我们就能 活下去。” -引自华为任正飞&144& 安全组织体系建设?建立垂直组织 ?明确岗位职责 ?贯彻分权制衡原则 ?提高任职资格 ?建立关键岗位人员选拔制度 ?加强安全绩效考核决策层信息安全决策层 (决策、规划、保证机制)管理层信息安全管理层 (安全管理、工程、保证管理)执行层信息安全执行层 (运行、实施、保证)&145& 专人管理-垂直的组织体系信息安全决策层 决策、规划、保证机制 信息安全管理层 安全管理、工程、保证管理信息安全操作层 运行、实施、保证&146& 落实各层管理者的责任是关键? “三个一把手原则”高层领导一把手,即取得最高管理层的支持和认可是项目成功的关 键,在项目建设和变革过程中要打破部门墙; 中层各部门一把手,通过对业务流程的优化,项目实施带给业务收 益和效率提升来进行引导,这样就减少了阻力,形成动力; 各基层部门操作岗位的一把手,更好的推广、监督、宣传,实现最 大目标。&147& 全员参与-信息安全意识和技能培训所有新入职员工必须完成信息安全相关的工作 C 签署劳动合同(含保密职责) C 接受新员工信息安全与保密意识培训 C 学习《信息安全白皮书》,熟悉公司信息安全管 理规章制度 C 参加信息安全网上考试 ? 定期接受信息安全培训 C 所有员工都要参加部门每月举行信息安全培训 C 不能参加培训的员工,要自行学习、输出学习心 得?&148& 全员参与――符合企业文化的奖惩条例? ???根据违规行为的后果、性质以及违规人的主观意愿对员工违规 行为和处罚分为四级,同时规定具体处罚方法; 根据对公司信息安全的贡献大小,将信息安全奖励分为三个等 级,并明确具体的奖励办法; 对违反信息安全管理规定者,如其主管明显管理和指导不力须 承担连带责任; 对在信息安全管理制度和措施上贯彻、监控不力、权限审核不 当,造成公司安全制度和措施难以落实、部门安全管理工作混 乱的部门主管,须承担领导责任。Look!&149& 经验和体会? “先僵化、后优化、再固化”信息安全建设初期一旦确定了明确的目标和范围,在实施和使用推广过程中 一定要坚持“先僵化、后优化、再固化”的思想,业务变化过程中所经历的曲 折和痛苦不能动摇我们前进的方向。? “三个一把手原则”高层领导一把手,即取得最高管理层的支持和认可是项目成功的关键, 在项目建设和变革过程中要打破部门墙;中层各部门一把手,通过对业 务流程的优化,项目实施带给业务收益和效率提升来进行引导,这样就 减少了阻力,形成动力;各基层部门操作岗位的一把手,更好的推广、监督、宣传,实现最大目标。&150& 经验和体会? “大处着眼,小处着手”在项目建设中遵循整体方案、统一规划、分步实施、阶段见效的原则, 以流程建设为导向,逐步替换现有业务操作方式。? “沟通、沟通、再沟通”在项目实施过程中要持续的沟通和交流,让项目涉及到的每个人都清楚 正在发生的和以后将要发生的变化,沟通一定要充分,宁可过分沟通也不 要沟通不足。? “持续优化,不断改进”选择能够与竞争环境和业务需求匹配的系统,尽快行动起来,开始分 享项目建设带来的回报,等待完美不会带来收益,信息安全项目是一个持续优化,不断改进的过程。&151& 课程2― 网络与信息安全总纲(NISS培训) 目录1 网络与信 息安全总 纲(NISS 培训)背景及概述 NISS总纲简介 NISS总纲详解 总结23 4&153& 网络信息安全为什么重要??网络应用已渗透到现代社会生活的各个方面;电子商务、 电子政务、电子银行等无不关注网络安全; 网络安全涉及到国家政治、经济和军事命脉,影响到国家 的安全和主权; 至今,网络安全不仅成为各行业关注的焦点,也是技术研 究的热门领域,同时也是国家和政府的行为;??&154& 网络信息安全的定义? 网络安全的定义:从本质上讲,网络安全就是网络上的信息安全 ,是指网络系统的硬件、软件和系统中的数据 受到保护,不受偶然的或者恶意的攻击而遭到 破坏、更改、泄露,系统连续可靠正常地运行 ,网络服务不中断;广义上讲,凡是涉及到网 络上信息的保密性、完整性、可用性、真实性 和可控性的相关技术和理论都是网络安全所要 研究的领域。&155& 网络信息安全的要素??一般意义上讲,网络信息安全主要包含三个要素,即: C 网络上设备的安全; C 网络信息传输的安全; C 网络信息内容的安全; 而从系统层次上讲,网络信息安全实质上是包含三个主要 层次,即: C 物理安全; C 网络安全; C 信息安全;&156& 信息安全特征?安全的相对性原则?三分技术、七分管理?系统性信息安全特征? 信息安全永远没有一个终止点?复杂性?木桶原理&157& 信息安全热点问题? 网络中存在的威胁特洛伊木马黑客攻击后门、隐蔽通道计算机病毒网络 信息丢失、 篡改、销毁 拒绝服务攻击逻辑炸弹&158& 安全事件分布(CSI/FBI数据)&159& 安全事件的损失(CSI/FBI数据)&160& 安全威胁的分布?黑客:黑客攻击越来越频繁,直接影响企 业正常的业务运作!攻击的商业目的性和组织性越来越强!?内部员工(作为运营企业也包括公司客 户) :1、信息安全意识薄弱的员工和客 户误用、滥用等;2、越权访问,如:系统管理员越权访问数据;3、政治言论发表、非法站点的访问等;4、内部不稳定、情绪 不满的员工。如:员工离职带走企业秘密, ?外国政府和企业:国家在政治、经济 方面的信息战! ?竞争对手:行业不正当竞争(如:窃 尤其是企业内部高层流动等! ?第三方厂家的员工:也存在上述误用,越 权访问等各种问题,特别是厂家从事技术 支持的人员。取机密,破坏企业的业务服务)法制环境不健全, !&161& 企业面临的主要信息安全问题?人员问题:?信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题?特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据?内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等?技术问题: ?病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务 运作 ?法律方面 ?网络滥用:员工发表政治言论、访问非法网站 ?法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)&162& 领导的高度重视&163& 领导的高度重视&164& 领导的高度重视&165& 网络与信息安全建设的难点?? ? ? ? ? ? ?企业领导对网络与信息安全的重视程度企业内部安全工作组织与人员的落实 安全策略、目标和措施与企业经营目标的一致性 安全工作的实施与企业文化的相容性 对企业安全需求、风险评估及风险管理的理解和认识程度 企业全体员工所具有的“网络与信息安全无处不在”安全理念的意识 程度 企业内具有用以衡量网络与信息安全管理工作水平的全面、均衡、可 行的评估和考核体系 向企业内所有员工和第三方(包括承包商、合作伙伴和客户等)分发 的网络与信息安全指南,以及相应的培训和教育机制讨论:你认为目前网络与信息安全 建设还存在哪些难点?&166& 讨论与思考? ? 网络与信息安全建设中的难点问题在所在单位的具体情况如何,有无 其他难点问题? 举例所在单位或身边所知发生的一些网络安全事件,及简要原因分析&167& 目录1 网络与信 息安全总 纲(NISS 培训)背景及概述 NISS总纲简介 NISS总纲详解 总结23 4&168& 总纲建设的必要性网络与信息安全建设所面对的资产对象为企业内部的的网 络与信息资产?资产自身重要性的要求: ?是企业营运与发展的基础和核心 ?是保证网络品质的基础 ?是保障客户利益的基础 ?是涉及国家安全的重要组成部分 ?与日常工作的紧密关联性: ?网络与信息安全与每个员工的日常工作息息相关,是所有员工需共同分 担的责任 ?法律方面的客观要求 ?发生网络与信息安全事件所导致的经济与社会损失,对企业正常营运和 发展所带来的负面影响 ?国家法律及国际规范(如SOX)对企业网络与信息安全建设的客观要求 &169& 中国移动网络与信息安全保障体系目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑 系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护, 保障公司“新跨越战略”实施,保护公司的核心竞争力。网络与信息安全保障体系管理规定 指导思想:以风险管理为核心, 和技术指南 预防为主,技术手段为支撑, 基于 支撑 围绕信息和信息系统生命周期, 制定 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段 安全 建立 构成的具有自主创新能力和拓展能 执行 组织架构 力的安全体系,保障公司“做世界一 技术及防 安全 流企业”新跨越战略的实施。 护支撑手段 运行运用&170& 安全策略体系策略总纲策略 规范技术规范 管理规范流程、细则&171& 中移动网络与信息安全策略架构国家政策要求 企业发展战略 国内外标准 安全评估结果从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系网络与信息安全体系总纲 技术规范安全域划分技术规范、 IP专网接入安全要求、 安全产品测试规 范……第一层管理规范帐号口令安全管理办 法、终端安全管理办 法……第二层操作手册和具体系统相结合流程、细则和具体系统相结合第三层&172& 体系总纲的主要内容―明确总的工作要求?面向全集团 C适用总部各部门、各省公司 中国移动安全工作的总纲 C 遵循国际安全管理标准, 引入业界安全最佳实践。 C 说明为什么要开展安全工作。 C 指出需要开展那些安全工作。 ……组织与人员 网络与信息资产管理 物理及环境安全通信和运营管理的安全网络与信息系统 的访问控制 系统开发 与软件维护的安全 安全事件响应 及业务连续性管理?安全审计&173& 安全标准体系―一层网络与信息安全 标准总纲企业网络与信息安全工作的标准和指 南性文件,简明扼要的阐述企业网络与信 息安全建设与工作的重点思路,指导今后 企业进行网络与信息安全建设和工作方向技术指南 管理规定操作手册 工作细则 实施流程&174& 安全标准体系―二层网络与信息安全 标准总纲技术指南安 全 技 术 安 全 设 备 网 络 业 务 安 全 组 织 人 员 信 息 资 产管理规定物 理 环 境运 营 维 护 访 问 控 制 系 统 开 发 业 务 保 障 安 全 审 计 检 查 考 核 效 果 评 估技术指南 管理规定操作手册 工作细则 实施流程技术指南:遵循总纲原则,从技术角 度提出要求和方法; 管理规定:侧重组织和管理,明确职 责和要求,并提供考核依据。&175& 安全标准体系―三层网络与信息安全 标准总纲技术指南 管理规定操作手册、工作流程和实施细则结合实际工作,针对具体系统,对 第二层的技术指南和管理规定进行细化, 形成可指导和规范具体工作的操作手册 及工作流程,保证安全工作的制度化、 日常化; 第三层内容由不同部门、省公司根 据自身情况有选择性地制订。&176&操作手册 工作细则 实施流程 NISS安全策略架构NISS 总纲NISS定位于安全体系第一 层,整个安全体系的最高 纲领。它主要阐述安全的 必要性、基本原则及宏观 策略技术规范及管理规定操作手册、流程及细则&177& 安全策略被管理者批准及认可 ? 正式宣布 ? 全员宣贯 ? 定期审核 ? 配套的策略体系(标准、规定、流程、指南)?&178& 网络与信息安全管理框架总体策略1 组织与人员的安全管理 2 资产管理信息安全目标组 织3 物理及环境安全 7 应急响应与业务连续性管理 4 通信和运 营管理的安 全 5 访问控制 6 系统开发 与维护&179& 讨论与思考? NISS总纲所遵循的国际和国内安全标准和规范有哪些,根据中移动自 身的业务和安全特点,有什么方面的着重点?&180& BS7799??是目前最广为接受的信息安全管理标准BS7799发展分为两个相关标准: - ISO (BS9) Code of Practice for Information Security Management 信息安全管理实施指南(指导如何进行安全管理实践); - ISO2 (BS2) Specification for Information Security Management System 信息安全管理体系规范(建立的信息安全管理体系必须符合的要求)&181& 新老版本BS7799的对比ISO/IEC 安全策略(Security policy) 组织信息安全(Organizing information security)ISO/IEC 安全策略(Security policy) 组织信息安全(Organizing information security)资产管理(Asset management) 人力资源安全 (Human resources security)物理和环境安全(Physical and environmental security) 通信和操作管理(Communication and operation management) 访问控制(Access control) 系统开发和维护(Systems development and maintenance)资产管理(Asset management) 人力资源安全 (Human resources security)物理和环境安全(Physical and environmental security) 通信和操作管理(Communication and operation management) 访问控制(Access control) 信息系统获取、开发和维护(Information systems acquisition, development and maintenance) 信息安全事件管理(Information security incident management)业务连续性管理(Business continuity management) 业务连续性管理(Business continuity management)符合性(Compliance)符合性(Compliance)&182& NISS对BS7799的遵循NISS组织与人员ISO/IEC 组织信息安全(Organizing information security) 人力资源安全 (Human resources security)网络与信息资产管理物理及环境安全 通信和运营管理的安全 网络与信息系统的访问控制资产管理(Asset management)物理和环境安全(Physical and environmental security) 通信和操作管理(Communication and operation management) 安全策略(Security policy) 访问控制(Access control)系统开发与软件维护的安全信息系统获取、开发和维护(Information systems acquisition, development and maintenance) 信息安全事件管理(Information security incident management) 业务连续性管理(Business continuity management)安全事件响应与业务连续性管理安全审计符合性(Compliance)&183& 目录1 网络与信 息安全总 纲(NISS 培训)概述 NISS总纲简介 NISS总纲详解 总结23 4&184& 提纲1 2 3 4 5 6 7 8 组织与人员 网络与信息资产管理 物理及环境安全 通信和运营管理的安全 网络与信息系统的访问控制 系统开发与软件维护的安全 安全事件响应及业务连续性管理 物理及环境安全&185& 1 组织与人员1.1 组织机构 ? 1.2 人员考察及岗位职责 ? 1.3 第三方访问及外包安全 ? 1.4 客户使用业务的安全?&186& 1.1 组织机构信息安全决策层 决策、规划、保证机制信息安全管理层 安全管理、工程、保证管理?建立垂直组织 ?明确岗位职责 ?贯彻分权制衡原则 ?提高任职资格 ?建立关键岗位人员选拔制度 ?加强安全绩效考核信息安全执行层 运行、实施、保证&187& 中移动网络与信息安全组织体系? ? ?在总部和省公司建立了三层网络安全管理组织; 集团副总裁为集团领导小组组长,各部门总经理为小组成员; 集团公司网络信息安全办公室设在网络部。集团公司集团公司网络 信息安全领导小组省公司各省公司网络 信息安全领导小组决策层集团公司网络 信息安全办公室各省公司网络 信息安全办公室管理层集团网络信息 安全小组各省网络信息 安全小组执行层&188& 组织架构集团 网络与信息安 全领导小组公司的安全管理,跨部门 工作协调,组织落实公司 范围的各项安全工作。网络部网络安全办 公室….业务支撑系 统部….管理信息系 统部省公司网络部业务支撑 系统部管理信息 系统部为了进一步加强公司的网络安全工作,在网络部设立了网络安全处,负责推 动公司层面的各项网络安全工作落实。&189& 信息安全责任的落实? ? ? ?1.1.1 中国移动的所有岗位职责中必须包含安全内容,并 尽量实现职责分隔。 1.1.2 建立“谁主管,谁负责”的安全责任制度。 1.1.3 公司应尽量分解、隔离相应职责,以减少误用或滥 用职责带来风险的概率。 1.1.4 集团公司网络部网络安全处作为安全信息的权威发 布机构,须建立有效可靠的渠道,收集和整理并向各省发 布安全信息。各省负责省内发布及信息上报。&190& 讨论与思考? 各省在日常网络与信息安全实际工作中有关人员和组织建设、人员职 责划分,及工作关系协调等方面的经验交流&191& 组织架构-预警工作流程中的职责CNCERT/CC预警服务商 设备原厂商企业内部横向发布总部 网络安全处? ??判断紧急程度; 结合现网实际情况,制定解 决方案; 统一发布预警信息。 纵向发布总部 各部门各省公司&192& 组织架构-“震荡波蠕虫”安全预警蠕虫爆发后互联 网流量情况4月13日微软发布 MS04-011 紧急安全 漏洞?4月14日总部发布 紧急安全 预警信息 提前封堵 高危端口4月30日江苏移动 上报发现 新病毒, 总部通告 全网5 月 1日瑞星公司 公布发现 新病毒5月 2日病毒在互 联网大规 模爆发中国移动 网络流量情况病毒爆发期间,中国移动各级骨干网络均未出现异常。 ? 针对少量终端感染病毒现象,总部及时提供了手工清除病毒方法和病毒专 杀工具。&193& 1.2 人员考察及岗位职责人员选拔 宣传 培训奖惩员工外部人 员法律物理控制技术保障&194& 人员安全管理的要点? ??? ?1.2.1 中国移动的岗位描述中均应明确包含安全职责,并 形成正式文件记录在案。 1.2.2 公司应明确员工的雇佣条件和考察评价的方法与程 序,减少因雇佣不当而产生的安全风险,尤其是涉及公 司机密信息的岗位。 1.2.3 公司应与所有员工签订保密协议,保密协议作为劳 动合同条款的一部分。 1.2.4 人员离职时应及时收回所有涉及公司业务内容的资 料和信息,立即取消所有访问信息系统的权限。 1.2.5 定期组织员工接受网络与信息安全教育或培训,确 保信息安全管理深入到每个员工。关键岗位的员工还需 要接受必要的专业技能培训。&195& 1.3 第三方访问安全及外包安全? ?1.3.1 公司应严格审视第三方访问需求,进行风险分析, 并采取相应控制措施。 1.3.2 第三方组织或人员必须遵守公司相应信息安全管理 规定,并须签订保密协议,明确规定安全条款。讨论:你认为目前第三方访问 存在哪}
我要回帖
更多关于 吃鸡与主机连接失败 的文章
更多推荐
- ·17hfcn汉风西游官网 妖魔加点两速两血吗?哪个是速哪个是血?
- ·死亡空间重制版无重力篮球怎么玩-无重力篮球小单机游戏篮球玩法攻略
- ·DNPDL7A00DYG这个iphone序列号D开头的苹果12是哪产的?
- ·如何在一篇word文档中实现设置奇数页眉和偶数页眉页眉,偶数
- ·模拟人生4母株附身怎么办系列游戏哪代有附身情节呀全集恳请各位大家告诉好吗
- ·一款英文一款网络赛车游戏戏可以自己造地图
- ·修罗恋-See You Lover-尾行3 汉化完美硬盘版版下载(完美免DVD-已解码-附存档-攻略等)
- ·永远的毁灭公爵秘籍有一关第二次打外星军阀这个boss为啥打不死?
- ·全民炸弹人什么都看不见的手是什么
- ·中国太空行走走时,什么装备最重要?
- ·全名斗战神和尚刷图加点高画质为什么不能点
- ·WIN10LOL游戏绝地求生开始后进不去了但进不去战斗界面
- ·国庆会出买火影手游疾风传佐助助的活动吗
- ·泰拉瑞亚法师毕业业在百度云下的帐号怎么玩?
- ·三国战记手游最强武将如何6000战力二十四小时的马超
- ·口袋妖怪漆黑魅影神兽的魅军军破解神兽都在那抓和如何才能抓
- ·itouch电脑上可以玩阴阳师吗吗
- ·4399热血拳皇97修改器修改器会不会封号
- ·玩cg老是网络异常,cf与主机连接失败败.然后戒掉线。怎么解决
- ·皇帝养成计划2 国库怎么修改国库,急求!我国库成负的了
- ·最近想买个笔记本第一次充电,但第一次买不知道什么样的好点儿。我是学设计的,
- ·部落冲突装饰有什么用谁有私服的
- ·含山宝常山纺织股份有限公司有什么好玩的
- ·推荐几个女生爱玩的手机游戏游戏
- ·和最后的乘务员差不多的龙之谷手游乘务员有哪些
- ·密室逃脱20关怎么过探索地库六第四关怎么过
- ·QQ空间解封,QQ密码找回,透明头像,流量流量统付全网通道系统7块1G需要的可以找我
- ·显后村漂流小孩漂流能玩吗?
- ·有谁用过猎王猎场中女一号是谁
- ·游戏杀手陈子豪解说杀手好。
- ·炫光天天酷跑大神号和密码精灵三周年密码
- ·罪恶都市汽车mod躺下mod谁有的快给我
- ·王者荣耀貂蝉怎么玩新皮肤什么时候出来!!紫色那款!
