中国移动网络与信息安全概论.docx
《中国移动网络与信息安全概论.docx》由会员分享,可在线阅读,更多相关《中国移动网络与信息安全概论.docx(89页珍藏版)》请在冰点文库上搜索。
中国移动网络与信息安全概论
中国移动网络与信息安全总纲
中国移动通信集团公司
2006年7月
本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
前言
中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!
制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:
本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
总则
1.网络与信息安全的基本概念
网络与信息安全包括下列三个基本属性:
Ø机密性(Confidentiality):
确保网络设施和信息资源只允许被授权人员访问。
根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。
Ø完整性(Integrity):
确保网络设施和信息及其处理的准确性和完整性。
Ø可用性(Availability):
确保被授权用户能够在需要时获取网络与信息资产。
需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。
2.网络与信息安全的重要性和普遍性
网络与信息都是资产,具有不可或缺的重要价值。
无论对企业、国家还是个人,保证其安全性是十分重要的。
网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;是保障客户利益的基础。
中国移动的网络与信息安全也是国家安全的需要。
网络与信息安全工作无所不在,分散在每一个部门,每一个岗位,甚至是每一个合作伙伴;同时,网络与信息安全是中国移动所有员工共同分担的责任,与每一个员工每一天的日常工作息息相关。
中国移动所有员工必须统一思想,提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。
3.中国移动网络与信息安全体系与安全策略
中国移动网络与信息安全体系如上图所示。
中国移动网络与信息安全体系是由两部分组成的。
一部分是一系列安全策略和技术管理规范(第一、二层),另一部分是实施层面的工作流程(第三层)。
网络与信息安全体系(NISS)总纲(以下简称总纲)位于安全体系的第一层,是整个安全体系的最高纲领。
它主要阐述安全的必要性、基本原则及宏观策略。
总纲具有高度的概括性,涵盖了技术和管理两个方面,对中国移动各方面的安全工作具有通用性。
安全体系的第二层是一系列的技术规范和管理规定,是对总纲的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。
安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的细则、流程等,具备最直观的可操作性。
安全体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考核,同时遵循动态管理和闭环管理的原则,通过定期的评估不断修改完善。
安全策略是在公司内部,指导如何对网络与信息资产进行管理、保护和分配的规则和指示。
中国移动必须制订并实施统一的网络与信息安全策略,明确安全管理的方向、目标和范围。
安全策略必须得到管理层的批准和支持。
安全策略应被定期评审和修订,以确保其持续适宜性,特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。
中国移动的安全策略是由安全体系三个层面的多个子策略组成的,具有分层结构的完整体系,包含了从宏观到微观,从原则方向到具体措施等多方面的内容。
安全策略用来指导全网的网络与信息安全工作。
4.安全需求的来源
确立安全需求是建立完整的安全体系的首要工作。
中国移动的安全需求主要源自下述三个方面:
Ø系统化的安全评估。
结合经验教训和技术发展,通过安全评估分析公司网络和信息资产所面临的威胁,存在的薄弱点和安全事件发生的可能性,并估计可能对公司造成的各种直接的和潜在的影响。
Ø中国移动及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束,以及公司对客户的服务承诺。
Ø公司运营管理的目标与策略。
下图说明了安全需求、风险评估和安全措施三者的关系。
5.安全风险的评估
安全风险评估可以应用于整个公司或某些部分,也可应用于单个网络信息系统、特定系统组件或服务。
安全风险评估应着重于:
Ø安全事件可能对中国移动造成的损失,以及所产生的直接和潜在的影响。
Ø综合考虑所有风险,以及目前已实施的控制措施,判断此类安全事件发生的实际可能性。
Ø从安全角度,对公司现有的管理制度和流程本身的合理性与完备程度进行评估。
安全风险评估应本着可行、实际和有效的原则,通过标准统一的评估程序和方法,量化安全风险,确定安全风险的危险级别,从而采取合理措施防范或降低安全风险。
需要特别指出的是:
为适应业务发展的变化,应对新出现的威胁和漏洞,评估现有控制措施的有效性及合理性,必须周期性地进行安全风险评估并调整控制措施,且应在不同的层面进行,为高风险领域优先分配资金、人力等资源。
6.安全措施的选择原则
Ø有效性。
安全措施的实施必须能够确保风险被降低到可以接受的水平,达到期望的安全目标。
Ø可行性。
安全措施必须在技术上是可操作的,可以实现的。
某些安全措施不具备通用性,需要因地制宜的考虑具体实施环境。
Ø实际性。
应从管理、财务等非技术因素详细分析待实施的安全措施,综合比较实施成本与由此减少的潜在损失,非经济因素也应考虑在内。
公司应在遵循以上原则的基础上,根据网络与信息资产面临风险的大小,区分轻重缓急,实施相应的安全控制措施。
7.安全工作的起点
根据一般性规律和业界的实际经验,网络与信息安全工作的开展可以从以下几个方面着手:
Ø法律方面:
数据保护以及个人隐私保护、公司记录保护和知识产权保护等。
Ø业界惯例:
安全策略制订、安全职责划分、安全教育与培训、安全事件响应和业务连续性管理等。
需要指出的是,上述内容不能取代根据安全风险评估选择控制措施的基本原则。
任何控制措施的选取都应当依据实际面临的具体风险来确定。
8.关键性的成功因素
为了确保网络与信息安全工作的顺利实施,下列因素至关重要:
Ø公司管理层的高度重视、明确支持和承诺;
Ø安全工作组织与人员的落实;
Ø安全策略、目标和措施应与公司经营目标一致;
Ø安全工作的具体实施必须同公司的企业文化相兼容;
Ø深刻理解安全需求、风险评估及风险管理;
Ø在全体员工中建立网络与信息安全无处不在的安全理念;
Ø建立全面、均衡、可行的评估、考核体系,以衡量网络与信息安全管理工作的水平;
Ø向所有员工和第三方(包括承包商、合作伙伴、客户等)分发网络与信息安全指南,并提供相应的培训和教育。
9.安全标准综述
本标准依据国际规范,参考业界的成熟经验,结合中国移动的实际情况,制定并描述了网络与信息安全管理必须遵守的基本原则和要求,将安全工作要点归结到以下八个方面:
[组织与人员]
集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。
安全领导机构必须明确划分安全职责并建立内部协调机制。
公司必须设立专职安全队伍,建立安全事件响应流程和联络人制度。
公司应与外部安全专家和其他相关组织加强沟通与协作。
中国移动的所有岗位职责中必须包含安全内容,并尽量实现职责分隔。
公司应实施人员考察制度。
公司的所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。
中国移动的所有员工都应当接受网络与信息安全培训。
第三方访问和外包服务必须受到控制,应事先进行风险评估,分析安全影响并制订相应措施。
同第三方和外包服务机构签订的合同中应包含双方认可的安全条款。
公司应与客户签署相关协议,明确双方在网络与信息安全方面的权利与义务及违约责任,保障客户与公司双方的利益。
[网络与信息资产管理]
公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。
每一项资产都应当指定“责任人”,分配其相应的安全管理职权,并由其承担相应的安全责任。
“责任人”可以将具体的工作职责委派给“维护人”,但“责任人”仍必须承担资产安全的最终责任。
根据网络与信息资产的敏感度和重要性,必须对其进行分类和标注,并采取相应的管理措施。
[物理与环境安全]
公司的关键或敏感的网络与信息处理设施应被放置在安全区域内,由指定的安全边界予以保护。
根据不同的安全需求等级,公司应划分不同的安全区域,例如:
机房、办公区和第三方接入区。
针对不同的安全区域,公司应采取不同等级的安全防护和访问控制措施,阻止非法访问、破坏和干扰。
工程施工期间也应遵守相关规定,加强安全区域的保护。
公司必须制定清理办公环境及合理使用计算机设备的规定。
网络与信息处理设施的处置与转移应遵守相应的安全要求。
[通信与运营管理安全]
公司应建立网络与信息处理设施的管理和操作的职责及流程,并尽可能地实现职责分离。
开发、调测和运营环境应保持相对隔离。
公司应做好系统容量的监视和规划。
配套安全系统应与业务系统“同步规划、同步建设、同步运行”。
新建或扩容系统的审批应包含安全内容,并在交付使用前做好测试和验收工作。
涉及安全方面的审批工作应由安全机构人员负责。
公司应加强防范意识,采取有效措施,预防和控制恶意软件。
公司应采取相应技术手段,确保时钟和时间同步。
公司应建立严格的软件管理制度,及时加载安全补丁,定期进行系统安全漏洞评估,并执行系统加固解决方案。
公司应当制定备份制度,执行备份策略,并定期演练数据恢复过程。
记录操作和故障日志。
公司必须采取多种控制措施,保护网络设备及其上信息的安全,尤其是网络边界和与公共网络交换的信息。
可采取的控制措施如:
访问控制技术、加密技术、网管技术、安全设备、安全协议等。
公司应制定信息存储介质的管理制度和处置流程。
应特别加强对可移动存储介质和系统文档的管理。
公司在与其他组织交换信息和软件时,应遵从相应的法律或合同规定,采取必要的控制措施。
公司应制定相应的程序和标准,以保护传送过程中的信息和媒介安全,尤其要考虑电子商务、电子邮件等应用的安全控制需求。
公司还应制定信息发布管理规定。
[访问控制]
公司应基于业务和安全需求,制定访问控制策略,并明确用户职责,加强用户访问控制管理。
公司应加强对移动办公和远程办公的管理。
公司应加强对网络系统、操作系统、应用系统的访问控制,如在公司网络边界设置合适的接口,采取有效的用户和设备验证机制,控制用户访问,隔离敏感信息。
同时应监控对系统的访问和使用,记录并审查事件日志。
[开发与维护]
新系统的开发,包括网络基础设施、支撑系统,必须遵循系统安全生命周期管理流程。
在开发新系统之前,应确认安全需求。
在设计中应采用合适的控制措施、审计跟踪记录和活动日志,包括输入数据、内部处理和输出数据的验证。
应用系统不应在程序或进程中固化账户和口令,系统应具备对口令猜测的防范机制和监控手段。
公司应通过风险评估来确定加密策略,基于统一的标准和程序建立加密管理规范。
在系统开发及维护过程中,应严格执行系统开发流程管理,包括对开发、测试和生产环境的变更控制,以保证系统软硬件和数据的安全。
[安全事件响应与业务连续性]
公司必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针,建立安全事件响应流程和奖惩机制。
如有必要,应尽快收集相关证据。
公司应实施业务连续性管理,通过分析安全事件对业务系统的影响,制定并实施应急方案,并定期更新、维护和测试。
[安全审计]
网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同规定的安全要求。
安全审计应遵循独立原则,定期检查网络与信息系统安全,检验安全政策和技术规范的执行情况。
应采取有效的控制措施保护网络与信息系统及审计工具,使安全审计的效果最大化,影响最小化。
10.适用范围
本标准适用于中国移动的所有网络与信息系统(包括但不限于业务网络、支撑网络),及组织和人员。
本标准的解释权和修改权归中国移动通信集团公司。
第一章组织与人员
第一节组织机构
安全工作“三分靠技术,七分靠管理”,建立有效的组织机构是安全管理的基础。
不健全的安全管理机制是网络与信息安全最大的薄弱点。
1.领导机构
集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。
该机构应由公司级别主管领导负责,各相关部门领导组成。
安全领导机构应为公司的安全管理指明清晰的方向,并提供强有力的管理层支持。
安全领导机构应通过合理的承诺和充分的资源配置,来推进整个公司的网络与信息安全工作。
集团公司网络与信息安全领导小组是中国移动网络与信息安全管理的最高决策机构。
安全领导机构承担以下责任:
a)审查并批准公司的网络与信息安全策略;
b)分配安全管理总体职责;
c)在网络与信息资产暴露于重大威胁时,监督控制可能发生的重大变化;
d)对安全管理的重大更改事项(例如:
组织机构调整、关键人事变动、信息系统更改等)进行决策;
e)指挥、协调、督促并审查重大安全事件的处理。
2.工作组织
公司各部门应建立专职或兼职的安全队伍,从事具体的安全工作。
安全工作需要多个部门的共同参与,为迅速解决工作中出现的问题,防止相互推诿,提高工作效率,公司必须建立跨部门的协调机制。
具体协调机构应由各部门从事安全工作的相关人员组成,并明确牵头部门或人员。
条件成熟时,应成立独立的安全工作组织。
集团公司网络与信息安全办公室是中国移动网络与信息安全工作的具体组织机构。
工作组织承担以下责任:
a)制定相关的安全岗位及职责;
b)制定并落实相关安全管理制度;
c)制定并落实安全保护方案;
d)审批新系统或服务的规划和设计中的安全部分,并监督其实施落实;
e)审批业务连续性方案;
f)牵头处理网络与信息安全事件;
g)组织安全评估和安全审计工作;
h)辅助领导机构进行安全方面的决策;
i)完成部门间的协调工作,分派并落实某项具体工作中各部门的职责;
j)获取和发布安全信息;
k)完成领导机构下达的各项任务。
3.安全职责的分配
为明确安全责任,划分(界定)安全管理与具体执行之间的工作职责,公司必须建立安全责任制度。
安全责任分配的基本原则是“谁主管,谁负责”。
公司拥有的每项网络与信息资产,必须根据资产归属确定“责任人”。
“责任人”对资产安全保护负有完全责任。
“责任人”可以是个人或部门,但“责任人”是部门时,应由该部门领导实际负责。
“责任人”可以将具体的执行工作委派给“维护人”,但“责任人”仍然必须承担资产安全的最终责任。
因此“责任人”应明确规定“维护人”的工作职责,并定期检查“维护人”是否正确履行了安全职责。
“维护人”可以是个人或部门,也可以是外包服务提供商。
当“维护人”是部门时,应由该部门领导实际负责。
安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作,不能替代“责任人”对具体网络与信息资产进行安全保护。
在资产的安全保护工作中,应重点关注以下内容:
a)应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。
b)“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程,并对该职责的详细内容记录在案。
c)所有授权的内容和权限应当被明确规定,并记录在案。
4.职责分散与隔离
职责分隔(SegregationofDuties)是一种减少偶然或故意行为造成安全风险的方法。
公司应分散某些任务的管理、执行及职责范围,以减少误用或滥用职责带来风险的概率。
例如关键数据修改的审批与制作必须分开。
在无法实现职责充分分散的情况下,应采取其他补偿控制措施并记录在案。
例如:
活动监控、检查审计跟踪记录以及管理监督等。
为避免串通勾结等欺诈活动,公司应尽量隔离相应职责,并增加执行和监督人员,以降低串通的可能性。
5.安全信息的获取和发布
信息技术的发展日新月异,安全工作愈发复杂和困难。
公司必须建立有效可靠的渠道,获取安全信息,不断推进安全工作。
例如:
a)从内部挑选经验丰富的安全管理和技术人员,组成内部专家组,制定安全解决方案,参与安全事件处理,解决实际安全问题,提供预防性建议等。
为使内部专家组的工作更具成效,应允许他们直接接触公司的管理层。
b)与设备提供商、安全服务商等外部安全专家保持紧密联系,听取他们的安全建议。
c)从一些公开的信息渠道获取安全信息,例如专业出版物、定期公告等。
中国移动权威的安全信息发布机构为集团公司安全办公室。
集团公司负责收集和整理并向各省发布安全信息;各省负责省内发布和信息上报。
6.加强与外部组织之间的协作
公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系,并建立协作流程,以便在出现安全事件时,尽快获取信息、采取措施。
公司在加入安全组织或与其他组织进行交流时,应对信息交换予以严格限制,以确保公司信息的保密性。
7.安全审计的独立性
安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况,发现安全隐患的过程。
安全审计的独立性是指审计方与被审计方应保持相对独立,即不能自己审计自己的工作,以确保审计结果的公正可靠。
安全审计可由公司内部审计组织,或外聘的专业审计机构完成。
审计人员应接受审计培训,掌握一定的技能和经验。
当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。
第二节岗位职责与人员考察
1.岗位职责中的安全内容
中国移动的岗位描述中都应明确包含安全职责,并形成正式文件记录在案。
安全描述应包括落实安全政策的常规职责和保护具体资产或执行具体安全程序或活动的特定职责。
公司管理层应向所有员工告知其自身的岗位职责,并监督执行。
2.人员考察
公司应明确员工的雇用条件和考察评价的方法与程序,减少因雇用不当而产生的安全风险。
人员考察的内容应包括:
a)来自组织和个人的品格鉴定;
b)学历和履历的真实性和完整性;
c)学术及专业资格;
d)身份查验。
在首次聘用、内部转岗、职位晋升等情况下,公司应进行人员考察。
需要特别指出的是:
对接触公司机密信息或拥有较大权力的人员,应定期重复进行考察。
考察的对象包括:
正式员工、临时人员、承包商。
需要注意的是:
如果使用中介机构提供的人员,同中介机构签署的协议应当明确规定中介机构的审查责任和通知程序。
另外,对新员工和经验不足的员工应加强指导和管理。
员工的个人情况变化会影响他们的工作。
例如个人问题或经济问题、行为和生活方式的变化、反复缺席以及明显的压力和消沉都有可能导致欺诈、盗窃、差错或者其他安全问题。
管理层应关注此情况,并遵照相关制度予以处置。
3.保密协议
公司应与所有员工签订保密协议。
保密协议可以作为劳动合同条款的一部分。
保密协议应明确规定员工承担的安全责任、保密要求和违约责任。
在雇用合同出现变化时应对保密协议的内容和执行情况进行审查,特别是当员工离开公司或者合同终止时。
4.劳动合同
劳动合同中应包含网络与信息安全条款,明确规定员工的安全责任和违约罚则。
这些责任可延伸至公司场所以外和正常工作时间以外。
必要时,这些责任应在雇用结束后延续一段特定的时间。
5.员工培训
所有员工必须接受安全教育或培训,一般内容包括:
公司网络与信息安全策略、安全职责、安全管理规章制度和法律法规。
不同岗位的员工应接受符合其工作要求的必要的专业技能培训。
第三节第三方访问与外包服务的安全
1.第三方访问的安全
第三方,是指除中国移动以外,所有的组织和人员。
1.1第三方访问的风险
第三方的访问类型可分为物理访问和逻辑访问,例如进入公司机房、接入公司信息系统等。
公司应审核第三方的访问需求,进行风险分析,确定控制措施。
风险分析时需要考虑的因素有:
访问类型、信息的价值、第三方采取的控制措施以及该访问对公司造成的潜在影响。
需要特别指出的是,应加强对第三方临时人员现场访问的管理,清洁人员、餐饮服务人员、保安人员、实习生、咨询顾问等人员也不应被忽视。
1.2第三方访问的控制措施
公司应采取以下措施,对第三方访问进行控制:
a)公司应与第三方公司法人签署保密协议,并要求其第三方个人签署保密承诺,此项工作应在第三方获得网络与信息资产的访问权限之前完成。
b)实行访问授权管理,XX,第三方不得进行任何形式的访问。
c)公司应加强第三方访问的过程控制,监督其活动及操作。
d)公司应对第三方人员进行适当的安全宣传与培训。
e)第三方人员应佩带易于识别的标志,并在访问公司重要场所时有专人陪同。
在与第三方签署合同时,应明确规定安全要求。
如:
安全目标、保护对象、双方责任与权力、服务种类与级别、事件通报处理流程、第三方引入分包商的规定等。
需要特别指出的是,在相应的控制措施未落实之前,或相关合同(保密协议)尚未签署之前,第三方不得访问公司的任何网络与信息系统。
2.外包服务的安全
当公司将网络与信息系统的管理职责全部或部分外包给其他组织时,如果控制不当,会带来很大的安全风险。
因此,管理层在进行外包决策时,应考虑下列事项:
a)必须综合权衡外包风险和由外包带来的成本优势,并根据公司安全策略决定何种服务可以外包。
公司应明确禁止外包的敏感和关键应用。
b)必须获得设备责任人的批准;
c)对业务连续性的影响;
d)规定的安全标准以及用于审计的程序;
e)有效监控和管理所有与外包相关的安全活动所需的特定的职责和程序;
f)上报和处理安全事件的责任和程序;
g)对外包服务商的资格、素质、能力进行考核、管理和审计;
在外包合同中,除了包含第三方合同中提到的安全要素外,还应强调以下具体内容:
a)如何确保参与外包的所有各方(包括分包商)都能够意识到自己的安全职责;
b)如何保证并检查公司相关资产(特别是敏感商业信息)的完整性和机密性;
c)如何保证在发生故障和灾难时,服务与业务的连续性和可用性;
d)为外包设备提供什么样的物理安全;
e)审计权。
考虑到今后的发展,外包合同应允许在各方约定的安全框架内扩展安全要求和流程。
第四节客户使用业务的安全
公司应与客户签署相关协议,明确双方在网络与信息安全方面的权利、义务及违约责任,保障客户与公司双方的利益。
如专线用户、IDC用户等。
公司应提供必要的安全培训,使客户意识到网络与信息安全威胁及利害关系,了解并支持遵守公司的安全策略和控制措施,提高他们的安全意识和防范能力。
第二章网络与信息资产管理
第一节网络与信息资产责任制度
1.资产清单
公司各部门应编制并保留各自责任范围内的各套网络与信息系统的重要资产清单,明确每件资产的责任人和安全保护级别,同时还应当确定其当前位置。
公司安全工作组织应汇总、保留全公司完整的资产清单。
网络与信息资产例如:
a)实物资产:
计算机设备、数据网络通信设备(路由器、交换机等);磁性媒介(磁带和磁盘等)、其他技术设备(电源以及空调装置等)等;
b)信息资产:
技术文档、配置数据、拓扑图等;
c)软件资产:
应用软件、系统软件以及开发工具等;
需要特别指出的是,在确定资产清单中各
升级会员 