【正文】 包括外界的各種訪問(wèn)設(shè)備和用戶資源，從外部對(duì)中國(guó)移動(dòng)信息化系統(tǒng)進(jìn)行訪問(wèn)并要求服務(wù)。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)安全域規(guī)范 IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 包過(guò)濾防火墻的基本功能安全要求 未鑒別的端到端策略：一個(gè)內(nèi)部或外部網(wǎng)絡(luò)上的主體通過(guò)防火墻發(fā)送數(shù)據(jù)流到一個(gè)外部或內(nèi)部網(wǎng)絡(luò)上的客體。從廣義上講，數(shù)據(jù)庫(kù)系統(tǒng)的安全框架可以劃分為三個(gè)層次： ? 1. 網(wǎng)絡(luò)系統(tǒng)層次； ? 2. 操作系統(tǒng)層次； ? 3. 數(shù)據(jù)庫(kù)管理系統(tǒng)層次。 ? 日常運(yùn)維管理職能由集團(tuán)公司、省 /直轄市公司和地方公司防病毒相關(guān)部門執(zhí)行和運(yùn)作。 Web與 FTP防病毒網(wǎng)關(guān) 防病毒網(wǎng)關(guān)支持 HTTP， HTTPS， FTP等協(xié)議，對(duì)所有通過(guò)防火墻的HTTP通信和 FTP通信進(jìn)行病毒檢測(cè)掃描從而保護(hù)您的網(wǎng)絡(luò)免受病毒攻擊；也能夠使用內(nèi)容過(guò)濾方法（類別列表和數(shù)據(jù)字典）提供有效的Web內(nèi)容過(guò)濾。 部署二層防病毒服務(wù)器。 Copyright IBM Corporation 2023 病毒發(fā)展趨勢(shì)與企業(yè)的病毒威脅分析 ? 病毒發(fā)展趨勢(shì) 病毒技術(shù)與系統(tǒng)攻擊技術(shù)的結(jié)合 （蠕蟲病毒、木馬 /黑客病毒） 混合型病毒傳播方式多變 （蠕蟲病毒） 電子郵件病毒感染 （腳本病毒、蠕蟲病毒、木馬病毒） 新病毒爆發(fā)時(shí)間短危害大 （蠕蟲病毒、木馬病毒、腳本病毒等） ? 企業(yè)的病毒威脅分析 惡意破壞桌面終端、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)系統(tǒng) ? 性能降低、功能失效；破壞系統(tǒng)和數(shù)據(jù)，造成系統(tǒng)崩潰，網(wǎng)絡(luò)阻塞 盜竊桌面終端和服務(wù)器系統(tǒng)中的機(jī)密信息 ? 帳戶密碼、信用卡資料、機(jī)密文件 文檔服務(wù)器、郵件服務(wù)器成為病毒跳板 網(wǎng)絡(luò)接口成為重要的病毒入侵途徑 ? Web, FTP, SMTP 防病毒管理面臨壓力 ? 職責(zé)不明確、管理規(guī)范不完善、用戶防病毒意識(shí)不高 33 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 本項(xiàng)目的范圍包括了所有與網(wǎng)絡(luò)系統(tǒng)相關(guān)的運(yùn)作安全考慮。 網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)測(cè)功能，包括實(shí)時(shí)流量監(jiān)測(cè)和歷史流量記錄，用戶可以使用該功能發(fā)現(xiàn)一些網(wǎng)絡(luò)異?，F(xiàn)象，尤其是當(dāng)網(wǎng)絡(luò)中有拒絕服務(wù)攻擊（ DoS）行為時(shí)可以及時(shí)發(fā)現(xiàn)并采取措施。 風(fēng)險(xiǎn)管理規(guī)范 和 信息資產(chǎn)管理規(guī)范 數(shù)據(jù)備份和恢復(fù) 和 介質(zhì)安全管理規(guī)范 和 業(yè)務(wù)連續(xù)性計(jì)劃規(guī)范 系統(tǒng)安全自測(cè)規(guī)范 和 安全許可證制度 和 內(nèi)部安全審計(jì)規(guī)范 人力資源安全管理 和 個(gè)人安全守則 和 用戶管理規(guī)范 和 遠(yuǎn)程訪問(wèn)安全規(guī)范 安全事件檢測(cè)和響應(yīng)規(guī)范 和 系統(tǒng)日志規(guī)范 ? 其它的規(guī)范可以酌情和以上規(guī)范整合在一起考慮。 江蘇 福建 山東 河南 廣東 四川 湖北 浙江SUNSOLARISHP UNIX WIN 2023 IBM AIXSUN ONEPortalOracle9iASportalBEAweblogicMicrosoftOfficeSharepointPortalServerIBMwebsphereExchange DominoOracle9iSQL Server2023DB2防病毒 Norton 瑞星 TrendVPN北電NortelContivity1700IBM VPN CheckpointDNS FTP 通用配置防火墻 CISCO PIX Netscreen Checkpoint交換機(jī) CISCO 華為路由器 CISCO 華為網(wǎng)絡(luò)安全配置手冊(cè)操作系統(tǒng)安全配置手冊(cè)門戶系統(tǒng)安全配置手冊(cè)數(shù)據(jù)庫(kù)安全配置手冊(cè)7 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 研究?jī)?nèi)容 ? 中國(guó)移動(dòng)集團(tuán)公司信息系統(tǒng)安全加固方案及實(shí)施計(jì)劃 安全加固方案是整個(gè)軟課題的入口，是總部信息辦和各省公司信息辦對(duì)其所負(fù)責(zé)的平臺(tái)（統(tǒng)一信息平臺(tái)、 OA等）的安全指南。 14 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 總部安全技術(shù)體系加固方案和建設(shè)計(jì)劃 主要安全產(chǎn)品和技術(shù)分類 安全加密授權(quán)和訪問(wèn)控制身份認(rèn)證安全管理邊界與網(wǎng)絡(luò)安全內(nèi)容安全管理3 A 產(chǎn)品 防病毒 因特網(wǎng)過(guò)濾 電子郵件過(guò)濾 垃圾郵件過(guò)濾 傳輸加密 數(shù)據(jù)庫(kù)加密 存儲(chǔ)加密 防火墻 VPN 入侵檢測(cè) 入侵防范 電子郵件安全 無(wú)線安全 漏洞掃描 滲透攻擊 安全日志分析 審計(jì)工具 企業(yè)安全技術(shù)管理 P ro v is io n i n g 安全事件管理和報(bào)警 配置和補(bǔ)丁管理 安全策略管理 單點(diǎn)登陸 大型機(jī)訪問(wèn)授權(quán) 邏輯訪問(wèn)控制 物理訪問(wèn)控制 身份認(rèn)證服務(wù) 身份認(rèn)證硬件 ( 令牌 , 智能卡 , 生物技術(shù) ) P K I / 數(shù)字證書 用戶身份管理安全軟件和硬件產(chǎn)品安全評(píng)估和審計(jì)20 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 安全掃描、安全政策檢查 ? 安全是需要隨時(shí)注意及改善的，故系統(tǒng)管理人員需隨時(shí)了解網(wǎng)絡(luò)和系統(tǒng)安全狀況，因此中國(guó)移動(dòng)需要一套系統(tǒng)弱點(diǎn)掃描的工具，能夠協(xié)助系統(tǒng)管理人員找出重要服務(wù)器上可能具有的安全漏洞，以便及早修補(bǔ)。 ? 通過(guò)提升員工安全意識(shí)，可以及時(shí)發(fā)現(xiàn)，避免安全事件的發(fā)生，降低安全事件的影響，從而節(jié)約了信息安全成本。 這個(gè)層次分布于集團(tuán)網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、 Web防病毒過(guò)濾服務(wù)器、 FTP防病毒過(guò)濾服務(wù)器。 36 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 38 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 對(duì)于主題名新奇的電子郵件不要隨便打開。 51 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 62 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 松散耦合結(jié)構(gòu)的應(yīng)用： 例如 OA系統(tǒng)，各個(gè)業(yè)務(wù)單位都有自身的 OA系統(tǒng)，其服務(wù)器在各個(gè)業(yè)務(wù)單位的服務(wù)器區(qū)域，而 OA互連主要通過(guò)公文網(wǎng)關(guān)。 78 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)架構(gòu)（圖） 73 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ?安全審計(jì)員 負(fù)責(zé)所管理主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全定期審查和維護(hù)工作。 Copyright IBM Corporation 2023 數(shù)據(jù)庫(kù)管理系統(tǒng)層次安全加固（二） ? 數(shù)據(jù)庫(kù)帳戶安全設(shè)置要點(diǎn) 定義數(shù)據(jù)庫(kù)系統(tǒng)訪問(wèn)帳戶負(fù)責(zé)人員和業(yè)務(wù)用途，刪除無(wú)關(guān)的或者不再使用的數(shù)據(jù)庫(kù)系統(tǒng)訪問(wèn)人員帳戶； 修改數(shù)據(jù)庫(kù)管理系統(tǒng)內(nèi)建帳戶的初始密碼 ； 對(duì)數(shù)據(jù)庫(kù)帳戶所使用的資源（如 CPU等） 進(jìn)行限制。 ? 不允許訪問(wèn)含有色情、暴力等不健康內(nèi)容的網(wǎng)站 ? 不隨意從互聯(lián)網(wǎng)上下載軟件、游戲、電影等。 ? 防病毒應(yīng)急響應(yīng)小組 由省 /直轄市公司防病毒日常維護(hù)人員和安全服務(wù)提供商以及防病毒廠商技術(shù)人員組成，組成人員可以兼職。這個(gè)層次分布于網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、 Web防病毒過(guò)濾服務(wù)器、 FTP防病毒過(guò)濾服務(wù)器。 分布于集團(tuán)總部?jī)?nèi)網(wǎng)的各個(gè)節(jié)點(diǎn)，數(shù)量眾多，通過(guò)防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。 ? 該項(xiàng)目的范圍包括 統(tǒng)一主流的桌面操作系統(tǒng)平臺(tái)和其他相關(guān)安全系統(tǒng)平臺(tái)、定制其安全策略 統(tǒng)一制定用戶桌面系統(tǒng)使用安全操作手冊(cè) 建立桌面電腦補(bǔ)丁的自動(dòng)分發(fā)機(jī)制 29 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。因此，可建立主機(jī) IDS以進(jìn)一步防止黑客的威脅。而在每一個(gè)步驟中的建設(shè)都應(yīng)遵守安全體系建設(shè)的 PDCA模型，確保中國(guó)移動(dòng)的安全體系能夠不斷地自我發(fā)展，循環(huán)上升。 Copyright IBM Corporation 2023 加固方案和實(shí)施計(jì)劃分為三個(gè)部分 安全管理層面： ? 第一部分 安全體系完善計(jì)劃 針對(duì)信息化安全體系的整體架構(gòu)，分析目前在策略、規(guī)范、標(biāo)準(zhǔn)方面缺失的部分，制定標(biāo)準(zhǔn)體系規(guī)范完善計(jì)劃 ? 第二部分 安全體系部署 /實(shí)施計(jì)劃 給出各省市部署和實(shí)施該安全體系的建議，該部分是指導(dǎo)性的，概括性的，各省公司應(yīng)該根據(jù)此加固方案和實(shí)施計(jì)劃制定自己的詳細(xì)的、切實(shí)可行的實(shí)施計(jì)劃。 Copyright IBM Corporation 2023 日程安排 ? 課題背景介紹 ? 企業(yè)信息化系統(tǒng)信息安全體系 ? 安全加固方案及實(shí)施計(jì)劃 ? 防病毒安全規(guī)范 ? 數(shù)據(jù)庫(kù)安全規(guī)范 ? 防火墻安全規(guī)范 ? 企業(yè)信息化系統(tǒng)安全域規(guī)范 ? 問(wèn)答 2 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全體系 Z 軸Y 軸管 理 要 素技 術(shù) 要 素物 理 層 安 全中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全策略中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全規(guī)范網(wǎng) 絡(luò) 層 安 全系 統(tǒng) 層 安 全應(yīng) 用 層 安 全中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全流程細(xì)則其它管理要素冗余恢復(fù)內(nèi)容安全訪問(wèn)控制鑒別認(rèn)證安全審計(jì)業(yè)務(wù)保障系統(tǒng)開發(fā)訪問(wèn)控制審計(jì)響應(yīng)運(yùn)行維護(hù)物理環(huán)境信息資產(chǎn)組織人員安 全 要 素安 全 體 系網(wǎng) 絡(luò) 層 次終 端 安 全9 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 安全體系完善計(jì)劃（ 3） ? 針對(duì)待建的 19個(gè)安全規(guī)范，針對(duì)每個(gè)具體的規(guī)范定義了該規(guī)范建設(shè)的目標(biāo)以及該規(guī)范中應(yīng)該包含的內(nèi)容概要 ? 例如：信息資產(chǎn)管理規(guī)范 目標(biāo) ? 對(duì)于企業(yè)信息化系統(tǒng)安全管理來(lái)說(shuō)，如果沒(méi)有一份完整的能夠說(shuō)明我們所擁有的信息資產(chǎn)情況的清單，就沒(méi)有辦法評(píng)估資產(chǎn)的價(jià)值、應(yīng)該采取的保護(hù)措施、應(yīng)該投入的資源情況等，也就無(wú)法開展有意義的企業(yè)信息化系統(tǒng)安全工作。通過(guò)查詢所記錄的主機(jī)和端口的歷史流量，系統(tǒng)可以繪制流量曲線圖，生成統(tǒng)計(jì)報(bào)表。 Copyright IBM Corporation 2023 各信息系統(tǒng)的統(tǒng)一單點(diǎn)登錄 ? 統(tǒng)一認(rèn)證和授權(quán)系統(tǒng)由以下四個(gè)部分組成： 目錄服務(wù)：存儲(chǔ)多種不同來(lái)源的用戶 /資源信息。 ? 涵蓋集團(tuán)公司、各省 /直轄市、各地市 ? 覆蓋桌面終端、服務(wù)器、郵件系統(tǒng)、網(wǎng)關(guān) 防毒及時(shí) ? 及時(shí)更新病毒碼、病毒引擎 統(tǒng)一管理 ? 以集團(tuán)公司、各省或直轄市為單位，由信息化責(zé)任部門設(shè)立集團(tuán)公司、省或直轄市內(nèi)統(tǒng)一的防病毒管理中心 ? 統(tǒng)一防病毒策