2
网络与信息安全体系建设
3
2008年重点工作
3
编辑课件
提纲
1 网络与信息安全工作内容及分类
2
网络与信息安全体系建设
3
2008年重点工作
4
编辑课件
什么是网络与信息（1）
❖ 信息：
▪ 是一种资产 ▪ 同其它重要的商业资产一样 ▪ 对企业具有价值 ▪ 需要适合的保护 ▪ 以多种形式存在：纸、电子、影片、交谈等
7
编辑课件
面临的挑战-技术的发展
1
攻击多样化
2
网络IP化
3
终端智能化
黑客攻击、病毒、蠕虫、 DDOS攻击等互联网安 全威胁依然存在，破坏 力更加严重。如利用梦 网业务、用户自服务平 台等对互联网开放的网 站和后台服务模块编码 漏洞，修改他人业务订 购关系和费用。
话音网络IP化导致传 统网络中出现了互联 网常见的安全问题。
案例分析二：不法SP利用WAP网关管理和技术漏洞进行业务强行定制
事件简介： 2006年10月至2007年6月，某SP利用WAP网关connect协议漏洞为 183737位客户强行定制了WAP“1945”业务，涉及金额918685元。 事件影响：该公司违规经营时间久，涉及金额巨大，性质恶劣，导致了大量用户投诉， 致使我公司计费的准确性和公司诚信受到用户质疑。 事件分析：武汉WAP网关被该SP收买的不法分子入侵，修改了其中一个节点封堵 connect协议漏洞补丁的配置文件，使该功能失效，从而给SP可乘之机。
14
编辑课件
常见安全事件类型-特洛伊木马
特洛伊木马攻击的计算机
• 正向连接 • 反向连接
Internet
攻击的服务器
15
编辑课件
生活中的安全事件分析
❖ 银行卡密码丢失 ❖ 网银帐号被木马程序窃取 ❖ 家庭被盗 ❖ 用火不当引发火灾 ❖ 个人隐秘信息未加密造成泄漏 ❖等
案例分析四：不法SP利用MISC技术和业务漏洞进行业务强行定制
事件简介：2005年，全国各省均有大量用户投诉SP乱扣费问题，经查，不法SP利用 MISC的技术和业务漏洞进行业务强行定制。 事件影响：该事件导致了大量用户投诉，致使我公司计费的准确性和公司诚信受到用 户质疑，影响非常恶劣。 事件分析：不法SP在其应用内设置脚本程序，该程序在用户访问页面后下载到用户终 端，实现强行对用户进行非法业务定制的功能。不法SP还通过破解用户梦网密码的方式 利用网站等途径批量代替用户进行业务定制。
▪ 两种视角的相同点
• 信息是目标 • 网络是基础 • 网络与信息并重
6
编辑课件
什么是网络与信息安全
❖ 信息安全：
▪ 保护信息免受各种威胁 ▪ 确保业务连续性 ▪ 将信息不安全带来的损失降低到最小 ▪ 获得最大的投资回报和商业机会
❖ 网络安全
▪ 网络、设备的安全 ▪ 线路、设备、路由和系统的冗余备份 ▪ 网络及系统的安全稳定运行 ▪ 网络及系统资源的合理使用
20
编辑课件
网络与信息安全工作分类-传统通信安全
❖ 传统通信安全 ▪ 目的
• 保证设备可用、线路通畅。
▪ 保护对象
• 设备； • 线路； • 等。
▪ 主要威胁
• 设备单点故障（容灾备份、负荷分担不足等）； • 网络单点故障（缺少安全路由等）； • 配置数据出错（局数据配置错误等）； • 超负荷运行（带宽容量不够、设备性能不足等）； • 应急通信（突发事件、大型赛事、大型政治经济活动等） • 等。
案例分析二：宁夏公司内部短信群发系统被利用发送诈骗短信
事件简介：2007年6月至7月，宁夏公司内部短信群发系统被利用以北京移动的名义 向北京用户发送诈骗短信。 事件影响：该事件导致了大量用户投诉，致使我公司企业形象收到了很大的损害，影 响非常恶劣。 事件分析：由于该系统在日常管理和维护过程中未严格落实账号口令管理规定，导致 内部人员登录该系统发送诈骗短信。
25
编辑课件
网络与信息安全的原则和重要意义
❖ 谁主管谁负责；谁运营谁负责；谁接入谁负责 ▪ 设备及系统的维护单位是安全工作的主体； ▪ 网络、设备、系统的安全责任落实到人。
11
编辑课件
中国移动重大安全事件分析-外部入侵事件（2）
案例分析三：集团公司门户网站首页被黑客篡改
事件简介：2006年9月集团公司门户网站首页被黑客篡改。 事件影响：该事件发生后各大媒体争相报道，对中国移动的社会形象造成了较大的影 响。 事件分析：由于集团公司门户网站的部分程序脚本存在安全问题，被黑客扫描到之后 恶意利用并篡改了网站页面。
• 配置信息的未授权更改；
• 等。
24
编辑课件
网络与信息安全工作分类-内容安全
❖ 内容安全 ▪ 目的
• 防止通过电信网络，传播危害国家安全、社会稳定、公共 利益的信息内容。
▪ 保护对象
• 各类承载信息的系统。如：彩铃系统、短信系统、彩信系 统、邮件系统、网站等。
▪ 主要威胁
• 反动信息； • 色情信息； • 垃圾信息； • 骚扰电话； • 其它非法信息。
1、物理安全 2、传统通信安全 3、网络与系统安全 4、业务安全 5、信息安全 6、内容安全
19
编辑课件
网络与信息安全工作分类-物理安全
❖ 物理安全 ▪ 目的
• 保障人身、财产及通信设施的安全。
▪ 保护对象
• 员工； • 机房； • 办公场所； • 通信设施； • 等。
▪ 主要威胁
• 通信设施的人为破坏（盗窃，蓄意破坏等）； • 传输线路的意外中断（人为挖断、自然灾害所致等）； • 机房及办公场所的安全隐患（火灾、鼠灾、水灾等）； • 威胁人身及财物的安全问题（地震、财物失窃等）； • 影响动力环境的安全（水、电供应等）； • 员工的人身安全； • 等。
案例分析三：某国有特大型企业某司局级领导电脑被台湾黑客入侵，窃 取走约200份国家机密文件
10
编辑课件
中国移动重大安全事件分析-外部入侵事件（1）
案例分析一：犯罪分子利用呼叫鉴权漏洞仿冒主叫号码定制梦网短信业务
事件简介：2007年12月，部分省公司陆续接到用户投诉手机被盗用定制了联动优势 的购买游戏点卡业务，经查证为用户TMSI号码被犯罪分子盗用。 事件影响：该事件导致了大量用户投诉，致使我公司移动通信服务的安全性和计费的 准确性受到用户质疑，影响非常恶劣。 事件分析：犯罪分子利用现网呼叫鉴权时间间隔较长的漏洞，盗用用户的TMSI号码， 并使用话音、短信等业务，从而实现仿冒主叫号码定制梦网业务。
• 客户敏感信息（侧重机密性） ：客户身份资料、客户短信/彩信 内容、账单、通话记录、位置信息等；
• 各类配置数据（侧重可用性） ：局数据、路由控制策略等；
• 公共信息内容（侧重完整性） ：SP提供的服务信息内容、企业对 外门户网站内容；
• 等。
▪ 主要威胁
• 内容的恶意篡改；
• 机密信息泄露；
• 对信息非法和越权的访问；
• 系统及网络设备的宕机（黑客攻击等）；
• 系统及网络的资源耗尽（拒绝服务攻击等）；
• 系统及网络资源的滥用（BT、非法VOIP等）；
• 对系统和网络的恶意控制（僵尸网络等）；
• 等。
22
编辑课件
网络与信息安全工作分类-业务安全
❖ 业务安全 ▪ 目的
• 保证各类业务服务的合法合规提供，避免对客户利益造成 损害。
12
编辑课件
中国移动重大安全事件分析-内部人员做案
案例分析一：上海公司三名员工盗用口令虚增积分兑换购物卡
事件简介：2006年2月至11月，上海公司三名员工盗用同事密码，私自进入积分调整 系统，为亲友的手机账户虚增活动积分，兑换成价值50余万元的购物卡。 事件影响：该事件给我公司造成直接经济损失约50余万元。 事件分析：由于账号口令管理不善，上海公司三名员工盗取了系统管理员权限入侵公 司的客户积分调整系统，为各自亲友的手机账户内虚增积分并兑换成购物卡。
21
编辑课件
网络与信息安全工作分类-网络与系统安全
❖ 网络与系统安全
▪ 目的
• 保障通信网、业务系统、各支撑系统的安全稳定运行，避 免网络及业务中断。
▪ 保护对象
• 移动通信网、IP承载网、CMNet、智能网、等；
• 短信、彩信、彩铃、等；
• 业务支撑系统、网管系统、企业信息化系统。
▪ 主要威胁
• 网络的拥塞、阻断（蠕虫病毒等）；
随着3G、数据业务的发 展，移动信息内容和交 互方式不断丰富，不法 人员利用移动数据业务 传递不良信息，制约了 公司业务推广。
9
编辑课件
国内外重大安全事件综述
案例分析一：黑客入侵沃达丰交换机导致多名政要的通话被窃听
事件简介：雅典奥运会期间，沃达丰爱立信交换机在希腊遭受不明身份人员的入侵， 导致多名政要的通话被窃听。 事件影响：该事件导致包括希腊总理夫妇在内的至少100个政界要员的手机被窃听， 沃达丰因此被政法罚款约8亿元人民币。 事件分析：犯罪分子通过修改几台交换机上的软件模块，在交换机上安装恶意软件， 将需要监听的数据流传送给若干台“影子手机”。
• 等。
23
编辑课件
网络与信息安全工作分类-信息安全
❖ 信息安全
▪ 目的
• 保证信息的机密性、完整性及可用性。保护信息数据在传送、存 储、访问或修改的过程中不受到破坏，在设备退网时保证敏感信 息彻底消除等。
▪ 保护对象
• 公司机密数据（侧重机密性）：财务数据、战略决策、技术体制、 业务运营数据、招投标信息等；
❖ 网络
▪ 网络是信息的一种载体 ▪ 是信息存放、使用、交互的重要途径 ▪ 是一种容易识别的实体 ▪ 是基础通信运营企业的有形资产
5
编辑课件
什么是网络与信息（2）
❖ 网络与信息的关系： ▪ 从理论角度理解