【文章內(nèi)容簡(jiǎn)介】 系統(tǒng)通過(guò)各種網(wǎng)絡(luò)安全防范的技術(shù)手段和管理規(guī)范進(jìn)行一系列的安全改造，從而將網(wǎng)絡(luò)上存在的安全風(fēng)險(xiǎn)和安全隱患降至最低。 ? 本項(xiàng)目的范圍包括了所有與網(wǎng)絡(luò)系統(tǒng)相關(guān)的運(yùn)作安全考慮。包括了 內(nèi)部局域網(wǎng)安全建設(shè)和改造 和第三方合作伙伴的網(wǎng)絡(luò)連接安全建設(shè)和改造 Inter連接安全規(guī)范 用戶遠(yuǎn)程網(wǎng)絡(luò)接入連接相關(guān)的安全方面的考慮 27 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 各信息系統(tǒng)的統(tǒng)一單點(diǎn)登錄 ? 統(tǒng)一認(rèn)證和授權(quán)系統(tǒng)由以下四個(gè)部分組成： 目錄服務(wù)：存儲(chǔ)多種不同來(lái)源的用戶 /資源信息。包括： ? 存儲(chǔ)子模塊：即目錄服務(wù)模塊 ? 同步子模塊：即元目錄，或動(dòng)態(tài)用戶管理（ User Provisioning）模塊 身份管理：管理用戶身份信息，并提供自動(dòng)工作流程和自服務(wù)、分權(quán)管理功能。 認(rèn)證管理：認(rèn)證方式可以分為以下四類： ? 所知（ Something you know） ? 所持（ Something you have） ? 所具有（ Something you are）和所為（ Something you do） 訪問(wèn)管理：進(jìn)行訪問(wèn)規(guī)則定義，并進(jìn)行訪問(wèn)規(guī)則的中心控制，實(shí)現(xiàn) SSO。 防火墻防火墻認(rèn) 證 管 理 系 統(tǒng)DMZDMZ監(jiān) 控 服 務(wù) 器元 目 錄身 份 管 理 系 統(tǒng) 合 作 伙 伴客 戶身 份 信 息存 儲(chǔ)O r a c l eD o m i n o活 動(dòng) 目 錄L D A P中 心 安 全日 志 認(rèn) 證信 息 認(rèn) 證信 息集 成 平 臺(tái)( 門 戶 服 務(wù) 器 ,應(yīng) 用 服 務(wù) 器 ,E A I平 臺(tái) )訪問(wèn)管理系統(tǒng)應(yīng) 用 4應(yīng) 用 3. . .應(yīng) 用 2應(yīng) 用 1. . .渠 道 認(rèn) 證信 息W e b柜 臺(tái)自 助呼 叫 中 心智 能 家 電無(wú) 線 設(shè) 備應(yīng) 用 訪 問(wèn) 途 徑認(rèn) 證 授 權(quán) 服 務(wù) 途 徑 員 工（ 外 部 訪 問(wèn) ） 認(rèn) 證信 息員 工（ 內(nèi) 部 訪 問(wèn) ）28 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 個(gè)人及桌面安全管理 ? 通過(guò)對(duì)用戶桌面電腦使用的操作系統(tǒng)和其他相關(guān)安全系統(tǒng)平臺(tái)進(jìn)行安全定制，對(duì)員工使用的桌面系統(tǒng)進(jìn)行統(tǒng)一，并對(duì)用戶日常使用過(guò)程中應(yīng)當(dāng)注意的安全問(wèn)題加以明確的規(guī)定，從而確保了對(duì)桌面系統(tǒng)的安全管理。 ? 該項(xiàng)目的范圍包括 統(tǒng)一主流的桌面操作系統(tǒng)平臺(tái)和其他相關(guān)安全系統(tǒng)平臺(tái)、定制其安全策略 統(tǒng)一制定用戶桌面系統(tǒng)使用安全操作手冊(cè) 建立桌面電腦補(bǔ)丁的自動(dòng)分發(fā)機(jī)制 29 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 員工安全意識(shí)普及教育 ? 安全意識(shí)培養(yǎng)機(jī)制目的 Why? 確保所有員工都理解企業(yè)所面臨的風(fēng)險(xiǎn)， What? 確保所有員工都了解企業(yè)的安全要求 How? 確保所有員工都具有相應(yīng)的技能遵守安全要求 ? 在通常情況下，絕大多數(shù)員工當(dāng)他們知道了什么是正確的，以及為什么是正確的之后，都會(huì)自覺(jué)地遵守。 ? 通過(guò)提升員工安全意識(shí)，可以及時(shí)發(fā)現(xiàn)，避免安全事件的發(fā)生，降低安全事件的影響，從而節(jié)約了信息安全成本。 ? 中國(guó)移動(dòng)需要一套系統(tǒng)的、有針對(duì)性的、層次分明的教育計(jì)劃來(lái)實(shí)現(xiàn)我們的目標(biāo)。通過(guò)教育，讓所有的人了解自己在企業(yè)信息化系統(tǒng)安全中的角色 (role)、責(zé)任 (responsibility)和義務(wù) (liability)，以及如何正確、安全地使用企業(yè)信息化系統(tǒng)。 30 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 信息安全風(fēng)險(xiǎn)評(píng)估 ? 信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的目標(biāo) 了解支撐中國(guó)移動(dòng)關(guān)鍵業(yè)務(wù)運(yùn)作的信息系統(tǒng)的安全狀況 評(píng)估核心信息資產(chǎn)所面臨的風(fēng)險(xiǎn) 發(fā)現(xiàn)信息安全實(shí)踐中的薄弱環(huán)節(jié)和改進(jìn)機(jī)會(huì) 明確信息系統(tǒng)的安全需求 提出信息安全控制措施改進(jìn)方案。 ? 信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的主要收益包括 明確核心信息資產(chǎn)面臨的主要風(fēng)險(xiǎn) 平衡信息安全風(fēng)險(xiǎn)和投入 培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍 31 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 防病毒安全規(guī)范 IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 病毒發(fā)展趨勢(shì)與企業(yè)的病毒威脅分析 ? 病毒發(fā)展趨勢(shì) 病毒技術(shù)與系統(tǒng)攻擊技術(shù)的結(jié)合 （蠕蟲病毒、木馬 /黑客病毒） 混合型病毒傳播方式多變 （蠕蟲病毒） 電子郵件病毒感染 （腳本病毒、蠕蟲病毒、木馬病毒） 新病毒爆發(fā)時(shí)間短危害大 （蠕蟲病毒、木馬病毒、腳本病毒等） ? 企業(yè)的病毒威脅分析 惡意破壞桌面終端、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)系統(tǒng) ? 性能降低、功能失效；破壞系統(tǒng)和數(shù)據(jù)，造成系統(tǒng)崩潰，網(wǎng)絡(luò)阻塞 盜竊桌面終端和服務(wù)器系統(tǒng)中的機(jī)密信息 ? 帳戶密碼、信用卡資料、機(jī)密文件 文檔服務(wù)器、郵件服務(wù)器成為病毒跳板 網(wǎng)絡(luò)接口成為重要的病毒入侵途徑 ? Web, FTP, SMTP 防病毒管理面臨壓力 ? 職責(zé)不明確、管理規(guī)范不完善、用戶防病毒意識(shí)不高 33 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)防病毒安全對(duì)策 ? 企業(yè)防病毒架構(gòu)體系建設(shè) 覆蓋全面、多層次。 ? 涵蓋集團(tuán)公司、各省 /直轄市、各地市 ? 覆蓋桌面終端、服務(wù)器、郵件系統(tǒng)、網(wǎng)關(guān) 防毒及時(shí) ? 及時(shí)更新病毒碼、病毒引擎 統(tǒng)一管理 ? 以集團(tuán)公司、各省或直轄市為單位，由信息化責(zé)任部門設(shè)立集團(tuán)公司、省或直轄市內(nèi)統(tǒng)一的防病毒管理中心 ? 統(tǒng)一防病毒策略制定、統(tǒng)一防病毒工作監(jiān)控 ? 企業(yè)防病毒管理機(jī)制加強(qiáng) 防病毒管理策略 防病毒管理職責(zé)定義 防病毒管理方法和機(jī)制 34 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 集團(tuán)公司防病毒架構(gòu) ? 第一層：集中管理層。 集團(tuán)總部的統(tǒng)一防病毒管理中心統(tǒng)一管理集團(tuán)總部的防病毒事務(wù)，負(fù)責(zé)集團(tuán)總部防病毒架構(gòu)的工作策略配置的制定和分發(fā)。部署防病毒服務(wù)器，負(fù)責(zé)對(duì)各個(gè)部門的桌面工作站或文檔服務(wù)器的防病毒控制。 ? 第二層：各部門的終端層。 分布于集團(tuán)總部?jī)?nèi)網(wǎng)的各個(gè)節(jié)點(diǎn)，數(shù)量眾多，通過(guò)防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。 ? 邊界層：網(wǎng)關(guān)防病毒。 這個(gè)層次分布于集團(tuán)網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、 Web防病毒過(guò)濾服務(wù)器、 FTP防病毒過(guò)濾服務(wù)器。這些邊界防病毒過(guò)濾服務(wù)器接受集團(tuán)總部防病毒管理中心的統(tǒng)一管理。 35 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 省 /直轄市防病毒架構(gòu) ? 第一層：集中管理層。 成立統(tǒng)一防病毒管理中心。這個(gè)層次通過(guò)中央控制臺(tái)統(tǒng)一管理企業(yè)的防病毒事務(wù)，負(fù)責(zé)省防病毒架構(gòu)的工作策略配置的制定和分發(fā)。 ? 第二層：分布層。 部署二層防病毒服務(wù)器。這個(gè)層次具有多個(gè)分布在不同地市部門的防病毒服務(wù)器，負(fù)責(zé)局域網(wǎng)內(nèi)桌面工作站或者文檔服務(wù)器的防病毒控制。防病毒服務(wù)器接受第一層的防病毒管理中心的統(tǒng)一管理控制。 ? 第三層：終端層。 這個(gè)層次分布于網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)，數(shù)量眾多，通過(guò)防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。桌面工作站和文檔服務(wù)器接受二層防病毒服務(wù)器的直接管理。 ? 邊界層： 網(wǎng)關(guān)防病毒。這個(gè)層次分布于網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、 Web防病毒過(guò)濾服務(wù)器、 FTP防病毒過(guò)濾服務(wù)器。這些邊界防病毒過(guò)濾服務(wù)器接受省 /直轄市中心的統(tǒng)一管理。 36 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒工具功能要求 中心防病毒控制臺(tái)與管理服務(wù)器 實(shí)現(xiàn)統(tǒng)一集中的管理，如防病毒軟件的安裝、維護(hù)、病毒定義碼和掃描引擎的更新升級(jí)、網(wǎng)絡(luò)防病毒策略的配置、報(bào)警的集中管理、定時(shí)調(diào)度、隔離、實(shí)時(shí)掃描和監(jiān)控等。支持跨越廣域網(wǎng)管理、分級(jí)管理、和分組管理。 防病毒客戶端 防病毒客戶端提供集成化的安全功能，將客戶端病毒防護(hù)、防火墻、入侵檢測(cè)集成于一體。防病毒功能方面支持文件系統(tǒng)實(shí)時(shí)防護(hù)、病毒掃描、軟件更新、集中管理控制。 郵件防病毒 （集成于郵件服務(wù)器的防病毒工具，郵件防病毒網(wǎng)關(guān)） 病毒掃描與過(guò)濾，對(duì)郵件中的病毒文件掃描和過(guò)濾，保持病毒碼和掃描引擎的更新，支持對(duì)多種壓縮格式的文件進(jìn)行解壓掃描。內(nèi)容過(guò)濾，采用預(yù)定義的字詞列表，檢查主題、內(nèi)容和附件等方法內(nèi)容過(guò)濾阻擋垃圾郵件；使用黑名單、白名單等工具管理郵件的收發(fā)。 Web與 FTP防病毒網(wǎng)關(guān) 防病毒網(wǎng)關(guān)支持 HTTP， HTTPS， FTP等協(xié)議，對(duì)所有通過(guò)防火墻的HTTP通信和 FTP通信進(jìn)行病毒檢測(cè)掃描從而保護(hù)您的網(wǎng)絡(luò)免受病毒攻擊；也能夠使用內(nèi)容過(guò)濾方法（類別列表和數(shù)據(jù)字典）提供有效的Web內(nèi)容過(guò)濾。 37 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒運(yùn)維組織架構(gòu) ? 省 /直轄市公司建立防病毒管理中心 主要負(fù)責(zé)防病毒系統(tǒng)的整體規(guī)劃、落實(shí)防病毒系統(tǒng)的具體制度、落實(shí)防病毒管理員的工作職責(zé)等工作。省 /直轄市公司、各地市公司可以參照運(yùn)維組織架構(gòu)設(shè)立相應(yīng)的防病毒機(jī)構(gòu)。 ? 省 /直轄市公司、各地市公司要設(shè)立防病毒日常維護(hù)小組 負(fù)責(zé)防病毒系統(tǒng)的日常維護(hù)。省 /直轄市公司日常維護(hù)小組的成員必須是專職的，地市公司原則上也要有專職的防病毒日常維護(hù)人員，也可以根據(jù)網(wǎng)絡(luò)及防病毒系統(tǒng)實(shí)際狀況由系統(tǒng)管理員兼職。系統(tǒng)管理員也作為網(wǎng)絡(luò)防病毒日常維護(hù)的一部分，與防病毒日常維護(hù)小組相互協(xié)調(diào)工作。 ? 防病毒應(yīng)急響應(yīng)小組 由省 /直轄市公司防病毒日常維護(hù)人員和安全服務(wù)提供商以及防病毒廠商技術(shù)人員組成，組成人員可以兼職。省 /直轄市公司應(yīng)急響應(yīng)系統(tǒng)主要負(fù)責(zé)解決由于病毒造成網(wǎng)絡(luò)阻塞等重大問(wèn)題和事件。 38 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒管理策略要點(diǎn) ? 這些防病毒策略要求用于指導(dǎo)建立可靠有效的防病毒機(jī)制，指引安全管理組織和病毒處理小組才能夠有效地減輕病毒的對(duì)公司的潛在威脅。 ? 信息資產(chǎn)分類與控制 信息資產(chǎn)負(fù)責(zé)人的防病毒責(zé)任 信息資產(chǎn)分類防病毒控制 ? 人員安全 防病毒安全培訓(xùn) 安全時(shí)間和故障響應(yīng) ? 系統(tǒng)維護(hù)管理 落實(shí)防病毒管理流程：文檔維護(hù)、工具變更、緊急時(shí)間響應(yīng)等 防止惡意軟件：病毒掃描和文件數(shù)據(jù)交換控制 ? 遠(yuǎn)程辦公 移動(dòng)電腦 ? 遵守防病毒法律規(guī)定 39 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒管理職責(zé)定義 ? 集團(tuán)公司防病毒管理職能 集團(tuán)公司