【文章內(nèi)容簡介】 系統(tǒng)通過各種網(wǎng)絡(luò)安全防范的技術(shù)手段和管理規(guī)范進(jìn)行一系列的安全改造，從而將網(wǎng)絡(luò)上存在的安全風(fēng)險(xiǎn)和安全隱患降至最低。 ? 本項(xiàng)目的范圍包括了所有與網(wǎng)絡(luò)系統(tǒng)相關(guān)的運(yùn)作安全考慮。包括了 內(nèi)部局域網(wǎng)安全建設(shè)和改造 和第三方合作伙伴的網(wǎng)絡(luò)連接安全建設(shè)和改造 Inter連接安全規(guī)范 用戶遠(yuǎn)程網(wǎng)絡(luò)接入連接相關(guān)的安全方面的考慮 27 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 各信息系統(tǒng)的統(tǒng)一單點(diǎn)登錄 ? 統(tǒng)一認(rèn)證和授權(quán)系統(tǒng)由以下四個(gè)部分組成： 目錄服務(wù)：存儲(chǔ)多種不同來源的用戶 /資源信息。包括： ? 存儲(chǔ)子模塊：即目錄服務(wù)模塊 ? 同步子模塊：即元目錄，或動(dòng)態(tài)用戶管理（ User Provisioning）模塊 身份管理：管理用戶身份信息，并提供自動(dòng)工作流程和自服務(wù)、分權(quán)管理功能。 認(rèn)證管理：認(rèn)證方式可以分為以下四類： ? 所知（ Something you know） ? 所持（ Something you have） ? 所具有（ Something you are）和所為（ Something you do） 訪問管理：進(jìn)行訪問規(guī)則定義，并進(jìn)行訪問規(guī)則的中心控制，實(shí)現(xiàn) SSO。 防火墻防火墻認(rèn) 證 管 理 系 統(tǒng)DMZDMZ監(jiān) 控 服 務(wù) 器元 目 錄身 份 管 理 系 統(tǒng) 合 作 伙 伴客 戶身 份 信 息存 儲(chǔ)O r a c l eD o m i n o活 動(dòng) 目 錄L D A P中 心 安 全日 志 認(rèn) 證信 息 認(rèn) 證信 息集 成 平 臺(tái)( 門 戶 服 務(wù) 器 ,應(yīng) 用 服 務(wù) 器 ,E A I平 臺(tái) )訪問管理系統(tǒng)應(yīng) 用 4應(yīng) 用 3. . .應(yīng) 用 2應(yīng) 用 1. . .渠 道 認(rèn) 證信 息W e b柜 臺(tái)自 助呼 叫 中 心智 能 家 電無 線 設(shè) 備應(yīng) 用 訪 問 途 徑認(rèn) 證 授 權(quán) 服 務(wù) 途 徑 員 工（ 外 部 訪 問 ） 認(rèn) 證信 息員 工（ 內(nèi) 部 訪 問 ）28 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 個(gè)人及桌面安全管理 ? 通過對用戶桌面電腦使用的操作系統(tǒng)和其他相關(guān)安全系統(tǒng)平臺(tái)進(jìn)行安全定制，對員工使用的桌面系統(tǒng)進(jìn)行統(tǒng)一，并對用戶日常使用過程中應(yīng)當(dāng)注意的安全問題加以明確的規(guī)定，從而確保了對桌面系統(tǒng)的安全管理。 ? 該項(xiàng)目的范圍包括 統(tǒng)一主流的桌面操作系統(tǒng)平臺(tái)和其他相關(guān)安全系統(tǒng)平臺(tái)、定制其安全策略 統(tǒng)一制定用戶桌面系統(tǒng)使用安全操作手冊 建立桌面電腦補(bǔ)丁的自動(dòng)分發(fā)機(jī)制 29 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 員工安全意識普及教育 ? 安全意識培養(yǎng)機(jī)制目的 Why? 確保所有員工都理解企業(yè)所面臨的風(fēng)險(xiǎn)， What? 確保所有員工都了解企業(yè)的安全要求 How? 確保所有員工都具有相應(yīng)的技能遵守安全要求 ? 在通常情況下，絕大多數(shù)員工當(dāng)他們知道了什么是正確的，以及為什么是正確的之后，都會(huì)自覺地遵守。 ? 通過提升員工安全意識，可以及時(shí)發(fā)現(xiàn)，避免安全事件的發(fā)生，降低安全事件的影響，從而節(jié)約了信息安全成本。 ? 中國移動(dòng)需要一套系統(tǒng)的、有針對性的、層次分明的教育計(jì)劃來實(shí)現(xiàn)我們的目標(biāo)。通過教育，讓所有的人了解自己在企業(yè)信息化系統(tǒng)安全中的角色 (role)、責(zé)任 (responsibility)和義務(wù) (liability)，以及如何正確、安全地使用企業(yè)信息化系統(tǒng)。 30 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 信息安全風(fēng)險(xiǎn)評估 ? 信息安全風(fēng)險(xiǎn)評估項(xiàng)目的目標(biāo) 了解支撐中國移動(dòng)關(guān)鍵業(yè)務(wù)運(yùn)作的信息系統(tǒng)的安全狀況 評估核心信息資產(chǎn)所面臨的風(fēng)險(xiǎn) 發(fā)現(xiàn)信息安全實(shí)踐中的薄弱環(huán)節(jié)和改進(jìn)機(jī)會(huì) 明確信息系統(tǒng)的安全需求 提出信息安全控制措施改進(jìn)方案。 ? 信息安全風(fēng)險(xiǎn)評估項(xiàng)目的主要收益包括 明確核心信息資產(chǎn)面臨的主要風(fēng)險(xiǎn) 平衡信息安全風(fēng)險(xiǎn)和投入 培養(yǎng)信息安全風(fēng)險(xiǎn)評估隊(duì)伍 31 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 防病毒安全規(guī)范 IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 病毒發(fā)展趨勢與企業(yè)的病毒威脅分析 ? 病毒發(fā)展趨勢 病毒技術(shù)與系統(tǒng)攻擊技術(shù)的結(jié)合 （蠕蟲病毒、木馬 /黑客病毒） 混合型病毒傳播方式多變 （蠕蟲病毒） 電子郵件病毒感染 （腳本病毒、蠕蟲病毒、木馬病毒） 新病毒爆發(fā)時(shí)間短危害大 （蠕蟲病毒、木馬病毒、腳本病毒等） ? 企業(yè)的病毒威脅分析 惡意破壞桌面終端、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)系統(tǒng) ? 性能降低、功能失效；破壞系統(tǒng)和數(shù)據(jù)，造成系統(tǒng)崩潰，網(wǎng)絡(luò)阻塞 盜竊桌面終端和服務(wù)器系統(tǒng)中的機(jī)密信息 ? 帳戶密碼、信用卡資料、機(jī)密文件 文檔服務(wù)器、郵件服務(wù)器成為病毒跳板 網(wǎng)絡(luò)接口成為重要的病毒入侵途徑 ? Web, FTP, SMTP 防病毒管理面臨壓力 ? 職責(zé)不明確、管理規(guī)范不完善、用戶防病毒意識不高 33 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)防病毒安全對策 ? 企業(yè)防病毒架構(gòu)體系建設(shè) 覆蓋全面、多層次。 ? 涵蓋集團(tuán)公司、各省 /直轄市、各地市 ? 覆蓋桌面終端、服務(wù)器、郵件系統(tǒng)、網(wǎng)關(guān) 防毒及時(shí) ? 及時(shí)更新病毒碼、病毒引擎 統(tǒng)一管理 ? 以集團(tuán)公司、各省或直轄市為單位，由信息化責(zé)任部門設(shè)立集團(tuán)公司、省或直轄市內(nèi)統(tǒng)一的防病毒管理中心 ? 統(tǒng)一防病毒策略制定、統(tǒng)一防病毒工作監(jiān)控 ? 企業(yè)防病毒管理機(jī)制加強(qiáng) 防病毒管理策略 防病毒管理職責(zé)定義 防病毒管理方法和機(jī)制 34 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 集團(tuán)公司防病毒架構(gòu) ? 第一層：集中管理層。 集團(tuán)總部的統(tǒng)一防病毒管理中心統(tǒng)一管理集團(tuán)總部的防病毒事務(wù)，負(fù)責(zé)集團(tuán)總部防病毒架構(gòu)的工作策略配置的制定和分發(fā)。部署防病毒服務(wù)器，負(fù)責(zé)對各個(gè)部門的桌面工作站或文檔服務(wù)器的防病毒控制。 ? 第二層：各部門的終端層。 分布于集團(tuán)總部內(nèi)網(wǎng)的各個(gè)節(jié)點(diǎn)，數(shù)量眾多，通過防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。 ? 邊界層：網(wǎng)關(guān)防病毒。 這個(gè)層次分布于集團(tuán)網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過濾服務(wù)器、 Web防病毒過濾服務(wù)器、 FTP防病毒過濾服務(wù)器。這些邊界防病毒過濾服務(wù)器接受集團(tuán)總部防病毒管理中心的統(tǒng)一管理。 35 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 省 /直轄市防病毒架構(gòu) ? 第一層：集中管理層。 成立統(tǒng)一防病毒管理中心。這個(gè)層次通過中央控制臺(tái)統(tǒng)一管理企業(yè)的防病毒事務(wù)，負(fù)責(zé)省防病毒架構(gòu)的工作策略配置的制定和分發(fā)。 ? 第二層：分布層。 部署二層防病毒服務(wù)器。這個(gè)層次具有多個(gè)分布在不同地市部門的防病毒服務(wù)器，負(fù)責(zé)局域網(wǎng)內(nèi)桌面工作站或者文檔服務(wù)器的防病毒控制。防病毒服務(wù)器接受第一層的防病毒管理中心的統(tǒng)一管理控制。 ? 第三層：終端層。 這個(gè)層次分布于網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)，數(shù)量眾多，通過防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。桌面工作站和文檔服務(wù)器接受二層防病毒服務(wù)器的直接管理。 ? 邊界層： 網(wǎng)關(guān)防病毒。這個(gè)層次分布于網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過濾服務(wù)器、 Web防病毒過濾服務(wù)器、 FTP防病毒過濾服務(wù)器。這些邊界防病毒過濾服務(wù)器接受省 /直轄市中心的統(tǒng)一管理。 36 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒工具功能要求 中心防病毒控制臺(tái)與管理服務(wù)器 實(shí)現(xiàn)統(tǒng)一集中的管理，如防病毒軟件的安裝、維護(hù)、病毒定義碼和掃描引擎的更新升級、網(wǎng)絡(luò)防病毒策略的配置、報(bào)警的集中管理、定時(shí)調(diào)度、隔離、實(shí)時(shí)掃描和監(jiān)控等。支持跨越廣域網(wǎng)管理、分級管理、和分組管理。 防病毒客戶端 防病毒客戶端提供集成化的安全功能，將客戶端病毒防護(hù)、防火墻、入侵檢測集成于一體。防病毒功能方面支持文件系統(tǒng)實(shí)時(shí)防護(hù)、病毒掃描、軟件更新、集中管理控制。 郵件防病毒 （集成于郵件服務(wù)器的防病毒工具，郵件防病毒網(wǎng)關(guān)） 病毒掃描與過濾，對郵件中的病毒文件掃描和過濾，保持病毒碼和掃描引擎的更新，支持對多種壓縮格式的文件進(jìn)行解壓掃描。內(nèi)容過濾，采用預(yù)定義的字詞列表，檢查主題、內(nèi)容和附件等方法內(nèi)容過濾阻擋垃圾郵件；使用黑名單、白名單等工具管理郵件的收發(fā)。 Web與 FTP防病毒網(wǎng)關(guān) 防病毒網(wǎng)關(guān)支持 HTTP， HTTPS， FTP等協(xié)議，對所有通過防火墻的HTTP通信和 FTP通信進(jìn)行病毒檢測掃描從而保護(hù)您的網(wǎng)絡(luò)免受病毒攻擊；也能夠使用內(nèi)容過濾方法（類別列表和數(shù)據(jù)字典）提供有效的Web內(nèi)容過濾。 37 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒運(yùn)維組織架構(gòu) ? 省 /直轄市公司建立防病毒管理中心 主要負(fù)責(zé)防病毒系統(tǒng)的整體規(guī)劃、落實(shí)防病毒系統(tǒng)的具體制度、落實(shí)防病毒管理員的工作職責(zé)等工作。省 /直轄市公司、各地市公司可以參照運(yùn)維組織架構(gòu)設(shè)立相應(yīng)的防病毒機(jī)構(gòu)。 ? 省 /直轄市公司、各地市公司要設(shè)立防病毒日常維護(hù)小組 負(fù)責(zé)防病毒系統(tǒng)的日常維護(hù)。省 /直轄市公司日常維護(hù)小組的成員必須是專職的，地市公司原則上也要有專職的防病毒日常維護(hù)人員，也可以根據(jù)網(wǎng)絡(luò)及防病毒系統(tǒng)實(shí)際狀況由系統(tǒng)管理員兼職。系統(tǒng)管理員也作為網(wǎng)絡(luò)防病毒日常維護(hù)的一部分，與防病毒日常維護(hù)小組相互協(xié)調(diào)工作。 ? 防病毒應(yīng)急響應(yīng)小組 由省 /直轄市公司防病毒日常維護(hù)人員和安全服務(wù)提供商以及防病毒廠商技術(shù)人員組成，組成人員可以兼職。省 /直轄市公司應(yīng)急響應(yīng)系統(tǒng)主要負(fù)責(zé)解決由于病毒造成網(wǎng)絡(luò)阻塞等重大問題和事件。 38 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒管理策略要點(diǎn) ? 這些防病毒策略要求用于指導(dǎo)建立可靠有效的防病毒機(jī)制，指引安全管理組織和病毒處理小組才能夠有效地減輕病毒的對公司的潛在威脅。 ? 信息資產(chǎn)分類與控制 信息資產(chǎn)負(fù)責(zé)人的防病毒責(zé)任 信息資產(chǎn)分類防病毒控制 ? 人員安全 防病毒安全培訓(xùn) 安全時(shí)間和故障響應(yīng) ? 系統(tǒng)維護(hù)管理 落實(shí)防病毒管理流程：文檔維護(hù)、工具變更、緊急時(shí)間響應(yīng)等 防止惡意軟件：病毒掃描和文件數(shù)據(jù)交換控制 ? 遠(yuǎn)程辦公 移動(dòng)電腦 ? 遵守防病毒法律規(guī)定 39 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒管理職責(zé)定義 ? 集團(tuán)公司防病毒管理職能 集團(tuán)公司