中国移动网络与信息安全保障体系.ppt

中国移动网络与信息安全总纲精品资料网（）25万份精华管理资料，2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。

随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (2)目录 (3)总则 (13)1．网络与信息安全的基本概念 (13)2．网络与信息安全的重要性和普遍性 (13)3．中国移动网络与信息安全体系与安全策略 (14)4．安全需求的来源 (16)5．安全风险的评估 (17)6．安全措施的选择原则 (18)7．安全工作的起点 (18)8．关键性的成功因素 (19)9．安全标准综述 (20)10．适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261．领导机构 (26)2．工作组织 (27)3．安全职责的分配 (28)4．职责分散与隔离 (29)5．安全信息的获取和发布 (30)6．加强与外部组织之间的协作 (30)7．安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311．岗位职责中的安全内容 (31)2．人员考察 (32)3．保密协议 (33)4．劳动合同 (33)5．员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341．第三方访问的安全 (34)2．外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381．资产清单 (38)2．资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421．信息的安全等级、标注及处置 (42)2．网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461．安全边界 (46)2．出入控制 (47)3．物理保护 (48)4．安全区域工作规章制度 (49)5．送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511．设备安置及物理保护 (51)2．电源保护 (52)3．线缆安全 (53)4．工作区域外设备的安全 (54)5．设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551．可移动存储媒介的管理 (55)2．存储媒介的处置 (55)3．信息处置程序 (56)4．系统文档的安全 (57)第四节............................................... 通用控制措施581．屏幕与桌面的清理 (58)2．资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601．规范操作细则 (60)2．设备维护 (61)3．变更控制 (62)4．安全事件响应程序 (62)5．开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641．系统规划和设计 (64)2．审批制度 (64)3．系统建设和验收 (65)4．设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701．维护作业计划管理 (70)2．数据与软件备份 (70)3．操作日志 (72)4．日志审核 (72)5．故障管理 (73)6．测试制度 (74)7．日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761．信息与软件交换协议 (76)2．交接过程中的安全 (76)3．电子商务安全 (77)4．电子邮件的安全 (78)5．电子办公系统的安全 (79)6．信息发布的安全 (80)7．其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841．用户注册 (84)2．超级权限的管理 (85)3．口令管理 (87)4．用户访问权限核查 (88)第三节..................................................... 用户职责881．口令的使用 (88)2．无人值守的用户设备 (89)第四节............................................... 网络访问控制901．网络服务使用策略 (91)2．逻辑安全区域的划分与隔离 (91)3．访问路径控制 (92)4．外部连接用户的验证 (93)5．网元节点验证 (93)6．端口保护 (94)7．网络互联控制 (94)8．网络路由控制 (95)9．网络服务的安全 (95)第五节...................................... 操作系统的访问控制951．终端自动识别 (96)2．终端登录程序 (96)3．用户识别和验证 (97)4．口令管理系统 (97)5．限制系统工具的使用 (98)6．强制警报 (99)7．终端超时关闭 (99)8．连接时间限制 (100)第六节............................................... 应用访问控制1001．信息访问限制 (100)2．隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011．事件记录 (102)2．监控系统使用情况 (102)第八节............................................ 移动与远程工作1041．移动办公 (104)2．远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091．输入数据验证 (109)2．内部处理控制 (110)3．消息认证 (111)4．输出数据验证 (112)第三节............................................ 系统文件的安全1121．操作系统软件的控制 (112)2．系统测试数据的保护 (113)3．系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151．变更控制程序 (115)2．软件包的变更限制 (116)3．后门及特洛伊代码的防范 (117)4．软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181．加密技术使用策略 (119)2．使用加密技术 (119)3．数字签名 (120)4．不可否认服务 (121)5．密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241．及时发现与报告 (125)2．分析、协调与处理 (125)3．总结与奖惩 (127)第二节............................................ 业务连续性管理1271．建立业务连续性管理程序 (127)2．业务连续性和影响分析 (128)3．制定并实施业务连续性方案 (129)4．业务连续性方案框架 (130)5．维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341．识别适用的法律法规 (134)2．保护知识产权 (135)3．保护个人信息 (135)4．防止网络与信息处理设施的不当使用 (136)5．加密技术控制规定 (136)6．保护公司记录 (137)7．收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381．独立审计原则 (139)2．控制安全审计过程 (139)3．保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1：安全体系第二层项目清单（列表） (143)总则1．网络与信息安全的基本概念网络与信息安全包括下列三个基本属性：➢机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。

中国移动网络互联安全管理办法第一章总则第一条为加强中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络互联安全管理，保障在安全可控的前提下满足不同网络之间的互访需求，根据《中华人民共和国计算机信息系统安全保护条例》、《中国移动网络与信息安全保障体系（NISS）总纲》等国家和公司相关规定，制定本办法。

第二条网络互联应符合“谁主管、谁负责，谁接入、谁负责”总体原则，遵从“基于需求”、“集中化”及“可控”等具体原则。

通过规范申请、审批等过程，实现安全的网络互联。

第三条本办法由中国移动通信有限公司网络部制定、监督实施和解释。

第四条本办法自发布之日起执行，各省公司应制定具体实施细则。

第二章适用范围第五条本办法适用于有限公司及各省公司的建设部门，通信网、业务网和各支撑系统维护部门以及与中国移动相关的所有合作伙伴，如SP、CP、代维公司、银行、设备供应商等等。

第六条CMNet专线用户的管理以业务部门相关规定为准，不在本办法管理范围内。

第七条电信运营商之间网络的互联管理不在本办法规定范围内，可参见信息产业部《电信管理条例》、《公用电信网间互联管理规定》（信息产业部第9号令）以及《中国移动互联互通管理办法》等。

第八条本办法所指“网络互联”仅限于两个需要建立长期连接的网络之间的互联。

其它连接类型的管理要求可参见《中国移动远程接入管理办法》。

网络互联可分为两大类：(一)内部网络互联：指中国移动内部各安全域之间的互联，包括各支撑系统之间、支撑系统与业务系统之间、业务系统之间以及总部和各省公司两级安全域之间的互联等；(二)内部与外部网络互联：指中国移动网络与与第三方网络之间的互联，第三方网络包括但不限于合作伙伴、客户网络、设备提供商等等。

第三章组织及职责第九条总体原则(一)“谁主管、谁负责，谁接入、谁负责”原则。

中国移动通信网、业务网和各支撑系统的维护部门作为第一责任人，分别直接负责所辖网络的网络互联管理工作。

中国移动网络与信息安全概论介绍移动网络是指通过无线通信技术实现的获取和交换信息的网络。

中国移动网络发展迅速，如今已经成为全球最大的移动通信市场之一。

然而，随着移动网络的普及和应用范围的不断扩大，信息安全问题也逐渐凸显出来。

本文将介绍中国移动网络的发展现状，并探讨其中的信息安全挑战和解决方案。

中国移动网络的发展中国移动网络的发展可以分为以下几个阶段：1.第一代移动通信网络（1G）：在上世纪80年代末和90年代初，中国引入了第一代模拟移动通信系统（AMPS）。

这一阶段的移动通信网络主要用于语音通信。

2.第二代移动通信网络（2G）：在20世纪90年代中后期，中国引入了第二代数字移动通信系统（GSM）。

2G网络的出现使得短信服务成为可能，并且可以进行基本的数据传输。

3.第三代移动通信网络（3G）：在2009年，中国推出了第三代移动通信网络（WCDMA和CDMA2000）。

3G网络实现了更快的数据传输速度，使得视频通话和高速互联网访问成为可能。

4.第四代移动通信网络（4G）：在2013年，中国正式商用了第四代移动通信网络（LTE）。

4G网络具有更高的速度和更低的延迟，可以实现更高质量的音视频传输和互联网访问。

5.第五代移动通信网络（5G）：目前，中国正在大力推进第五代移动通信网络的建设。

5G网络将具有更高的速度、更低的延迟和更大的容量，将进一步推动移动通信技术的发展。

中国移动网络的信息安全挑战随着中国移动网络的普及，信息安全问题也逐渐成为关注的焦点。

以下是中国移动网络面临的一些主要信息安全挑战：1.数据隐私泄漏：移动网络中的大量个人数据和敏感信息使得用户隐私面临风险，一旦数据被泄漏，可能导致恶意使用和身份盗窃。

2.病毒和恶意软件攻击：恶意软件和病毒的传播易于通过移动网络进行，这可能导致设备被感染、数据被损坏或盗取。

3.网络钓鱼和网络诈骗：移动网络为网络钓鱼和网络诈骗行为提供了更多的机会。

骗子可以通过伪装成合法机构或个人，以获取用户的敏感信息或欺骗他们付款。

【最新资料，WORD文档，可编辑修改】第一章总则为在确保中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》（YD/T 1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T 1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。

本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求风险评估内容及组织方式（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。

中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》（YD/T 1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。

第二条本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

第三条本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

第五条涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求第六条风险评估内容及组织方式1（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。

网络和信息安全体系建设和完善1 前言中国移动通信网络是国家基础信息网络和重要信息系统的组成部分，更是中国移动赖以生存和发展的基本条件，随着网络IP化进程、终端智能化以及业务、服务多样化趋势的加快，移动通信网络面临的威胁和攻击也越来越多，网络与信息安全工作日趋重要。

为了确保网络安全，现在很多企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品，提高了本企业的网络安全水平，但是这些改善仍没有达到理想的目标，病毒、黑客和计算机犯罪依然猖獗，这给信息安全的理论界、厂商和用户提出了一系列问题，促使人们开始对安全体系进行思考和研究。

在网络安全建设时，不单单是考虑某一项安全技术或者某一种安全产品，而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络和信息安全体系，全面营造一个良好的网络安全运行环境。

2 网络与信息安全体系概述一个完整的信息安全体系应该是安全管理和安全技术实施的结合，两者缺一不可。

为了实现对信息系统的多层保护，真正达到信息安全保障的目标，国外安全保障理论也在不断的发展之中，美国国家安全局从1998年以来开展了信息安全保障技术框架（IATF）的研究工作，并在2000年10月发布了IATF 3.1版本，在IATF中提出信息安全保障的深度防御战略模型，将防御体系分为策略、组织、技术和操作4个要素，强调在安全体系中进行多层保护。

安全机制的实现应具有以下相对固定的模式，即“组织（或人）在安全策略下借助于一定的安全技术手段进行持续的运作”。

图1 信息安全保障体系在建设中国移动通信集团西藏有限公司（以下简称为西藏移动）网络安全体系时，从横向主要包含安全管理和安全技术两个方面的要素，在采用各种安全技术控制措施的同时，制定层次化的安全策略，完善安全管理组织机构和安全管理人员配备，提高系统管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和安全管理实现对网络和系统的多层保护，减小其受到攻击的可能性，防范安全事件的发生，提高对安全事件的应急响应能力，在发生安全事件时尽量减少因事件造成的损失。

建设中国国家网络与信息安全保障体系中国正在努力构建一个更加完善和缜密的国家安全体系，这反映在日前提交全国人大常委会审议的国家安全法草案，出于维护国家安全的需要，新增加了包括经济、金融、文化、网络信息在内的条例。

尤其是在维护网络与信息安全方面，新增的“建设国家网络与信息安全保障体系，提升网络与信息安全保护能力”“维护国家网络空间主权”的规定，让外界猜测中国将进一步通过网路管控舆论，不得不说这是长期以来海外舆论对中国网络管理的一个误读。

正在提交审议的国家安全法草案有关新增的网络安全部分，是中国适应当前网络发展新环境的必然之举。

其最终目的是为这个国家和民众构筑一道网络与信息安全的“长城”，而非网络封锁和舆论管控，这也是任何一个深度倚赖互联网业态的国家顺应安全新形势的通行做法。

据悉，制定专门的网络安全法也已列入全国人大常委会2015年立法工作重点。

“谁掌握了信息、控制了网络，谁就将拥有整个世界。

”著名未来学家托夫勒的判断并非夸大其词。

当今世界正在向着信息化快速迈进，网络空间其实已经成为陆、海、空、天之外的“第五大疆域”。

随着网络技术的日新月异和应用的迅速发展，互联网越来越多地嵌入制造、服务等传统业态，并广泛运用于从政府、社会到个人，政治、金融到军事的信息管理中，触角之深让网络信息与主权的保护不可避免地成为世界各国安全领域的新命题。

无论是发达国家还是发展中国家，都在加速构建各自的网络与信息安全保护体系。

作为世界互联网头号大国的美国，一向将互联网安全视为头等大事。

仅在去年12月，就签署了数项涉及网络安全的法案，包括《网络安全人员评估法案》《2014网络安全加强法案》《2014国家网络安全保护法》和《2014联邦信息安全现代化法案》等。

英国则以维护国家安全为出发点，自2009年出台首个国家网络安全战略后，连续多年发布此领域战略方案，英国政府还成立了网络安全办公室和网络安全运行中心。

德国亦在2011年出台“网络安全战略”，以保护关键基础设施为核心，建立了一系列相关机构，为网络安全提供多重制度保证。

中国移动网络与信息安全保障体系在当今数字化的时代，中国移动网络已经成为人们生活和工作中不可或缺的一部分。

从日常的通信交流到重要的金融交易，从便捷的在线购物到高效的远程办公，中国移动网络承载着海量的信息和关键的业务。

然而，随着网络的不断发展和应用的日益广泛，信息安全问题也日益凸显。

构建一个强大、有效的中国移动网络与信息安全保障体系，不仅关乎个人的隐私和权益，更关系到国家的安全和社会的稳定。

一、中国移动网络面临的信息安全挑战（一）网络攻击手段多样化如今，网络攻击的手段愈发复杂多样。

黑客可以利用漏洞进行恶意软件植入、拒绝服务攻击（DDoS）、网络钓鱼等，以获取用户的个人信息、破坏网络服务或实施敲诈勒索。

（二）移动设备的安全隐患智能手机、平板电脑等移动设备的普及带来了便捷，但也增加了安全风险。

设备操作系统的漏洞、恶意应用程序的存在以及用户安全意识的薄弱，都可能导致信息泄露。

（三）数据隐私保护问题大量的个人数据在中国移动网络中传输和存储，包括姓名、身份证号、银行卡号等敏感信息。

如何确保这些数据的合法收集、使用和保护，防止数据被滥用或泄露，是一个严峻的挑战。

（四）新兴技术带来的风险5G 网络、物联网、云计算等新兴技术的应用，在推动中国移动网络发展的同时，也引入了新的安全隐患。

例如，物联网设备的安全防护相对薄弱，容易成为攻击者的突破口。

二、中国移动网络与信息安全保障体系的构成要素（一）技术手段1、加密技术通过对数据进行加密，确保在传输和存储过程中的保密性和完整性，即使数据被窃取，也难以被解读。

2、身份认证与访问控制严格的身份认证机制和访问控制策略，确保只有合法用户能够访问相应的网络资源和数据。

3、防火墙与入侵检测系统防火墙用于阻挡外部非法访问，入侵检测系统则实时监测网络中的异常活动，及时发现并阻止潜在的攻击。

4、漏洞管理与修复定期对网络系统进行漏洞扫描，及时发现并修复安全漏洞，降低被攻击的风险。

（二）管理措施1、安全策略与制度制定完善的安全策略和制度，明确安全责任和流程，规范员工的网络行为。

中国移动ISMF构建完善信息安全管理体系
陈敏时
【期刊名称】《《通信世界B》》
【年(卷),期】2009(000)030
【摘要】电信运营商面临的信息安全风险不断发展变化,建立一个完善的信息安全管理体系是做好各方面安全风险防护工作的基础。

【总页数】1页(P7)
【作者】陈敏时
【作者单位】中国移动通信集团公司
【正文语种】中文
【相关文献】
1.GB/T22080—2008《信息安全管理体系要求》解析解析系列二:GB/T22080—2008信息安全管理体系要求0-3章解析 [J], 李艳杰
2.GB/T22080—2008《信息安全管理体系要求》解析解析系列三:GB/T22080—2008信息安全管理体系要求4-8章解析 [J], 李艳杰
3.GB/T 22080-2008《信息安全管理体系要求》解析解析系列四:GB/T 22080-2008信息安全管理体系要求附录A.5-A.10解析 [J], 李艳杰
4.中国移动ISMF构建完善信息安全管理体系 [J], 陈敏时
5.GB/T 22080—2008《信息安全管理体系要求》解析解析系列
五:GB/T22080—2008信息安全管理体系要求附录A.11—A.15解析 [J], 李艳杰
因版权原因，仅展示原文概要，查看原文内容请购买。