需制定实施的业务连续性管理体系
信息安全事件回放（三）
▪ 希腊总理手机被窃听，沃达丰总裁遭传唤
– 早在2019年雅典奥运会之前，希腊高官们的手机便 已开始被第三方窃听 ，2019年3月份才被发现。
– 事故原因：沃达丰（希腊）公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件（四）
• 竞争对手：法制环境不健全，行业不正当竞争 （如：窃取机密，破坏企业的业务服务）！ • 国外政府或机构：法制环境不健全，行业不正当 竞争（如：窃取机密，破坏企业的业务服务）！
企业面临的主要信息安全问题
•人员问题： •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信 息泄漏等问题 •特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流 动等
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系，确保安 全控制措施落实到位，为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权，只有得到相应授 权的人员才可使用网络和保密信息
不能光管外人不管自己。（重在管理，其次是手段） – 对外来人员的进入，我们一定要限人、限时、限范围，明确进
入的时间、进入的目的。谁放厂家的人进去谁就要负责检查， 并做好记录，要承担起核心设备网元的管理权，出了问题要承 担责任。
信息安全是信息服务提供商的核心保证
▪ 一个不安全的网络，将不可能提供高质量的信 息服务
从2019年2月开始，复制出了14000个充值密码。获利380 万。
2019年7月16日才接到用户投诉说购买的充值卡无法充值， 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思：目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放（二）
▪ 两名电信公司员工利用职务上的便利篡改客户 资料，侵吞ADSL宽带用户服务费76.7万余元
▪ 事故原因：内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁（破坏或滥用）
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全：企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验，结合公司现有的信息安 全管理措施 以公司信息安全现状为基础，充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践，同时考虑国内的管理和法制 环境
目录
▪ 信息安全：企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
安全威胁方的分布
• 独立黑客：黑客攻击越来越频繁，直接 影响企 业正常的业务运作！ • 内部员工：
•1、信息安全意识薄弱的员工误用、滥用等； •2、越权访问，如：系统管理员，应用管理 员越权访问数据； •3、政治言论发表、非法站点的访问等； •4、内部不稳定、情绪不满的员工。如：员 工离职带走企业秘密，尤其是企业内部高层 流动、集体流动等！
▪ 北京ADSL断网事件
– 2019年7月12日14:35左右，北京地区互联网大面 积断网。
– 事故原因：路由器软件设置发生故障，直接导致了 这次大面积断网现象。
– 事故分析：操作设备的过程中操作失误或软件不完 善属于“天灾”，但问题出现后不及时恢复和弥补， 这就涉及人为的因素了，实际上这也是可以控制的。
– 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒， 只讲我们自身的工作安全。
– 从全球及我们自身看，网络安全的形式非常严峻 – 进入网管中心或者通过网管中心进入各生产网元，一定要实行
有效的多次密码认证的管理，严格管理每一次进入。 – 对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。
信息安全操作层 运行、实施、保证
•建立垂直组织 •明确岗位职责 •贯彻分权制衡原则 •提高任职资格 •建立关键岗位人员选拔制度 •加强安全绩效考核
网络与信息安全体系总纲
技术规范
安全域划分技术规范、 IP专网接入安全要 求、安全产品测试规 范……
管理规范
帐号口令安全管理办 法、终端安全管理办 法……
操作手册
和具体系统相结合
流程、细则
和具体系统相结合
第一层 第二层 第三层
信息安全管理组织体系模型
信息安全决策层 决策、规划、保证机制
信息安全管理层 安全管理、工程、保证管理
•技术问题： •病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务 运作
•法律方面 •网络滥用：员工发表政治言论、访问非法网站 •法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）
信息安全事件回放（一）
全国最大的网上盗窃通讯资费案
某合作方工程师，负责某电信运营商的设备安装。获得充值中 心数据库最高系统权限
▪ 网络与信息安全管理工作应以 风险管理为基础，在安全、效 率和成本之间均衡考虑；
• 全面防范，突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
国家政策要求 企业发展战略 国内外标准 安全评估结果
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
可审查性
任何对公司业务运作的威胁和破坏行为都得到记录，并 能跟踪和追查
中移动信息安全建设原则与总体策略
ห้องสมุดไป่ตู้
• 安全管理流程、制度和安全控 制措施的设计应基于风险分析， 而不应基于信任管理
• 权限制衡和监督原则：安全管 理人员和网络管理人员、主机 管理人员相互制约
▪ 作为国家基础设施提供商，其 网络与信息安全工作目前必须 围绕公司业务目标开展；