【正文】 78 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 位于中國移動信息化系統(tǒng)控制范圍內，是安全控制和保護級別最高的區(qū)域。 位于中國移動信息化系統(tǒng)控制范圍內，是安全控制和保護級別較高的區(qū)域。 半安全區(qū) 安全區(qū) 核心安全區(qū) 位于中國移動信息化系統(tǒng)控制范圍內，是公共區(qū)與安全區(qū)之間的“過渡”區(qū)域。 Copyright IBM Corporation 2023 企業(yè)信息化的一級安全域劃分 公共區(qū) 不在中國移動直接控制范圍內的區(qū)域。 Copyright IBM Corporation 2023 集團總部企業(yè)信息化的網(wǎng)絡拓撲（圖） 76 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 74 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 松散耦合結構的應用： 例如 OA系統(tǒng)，各個業(yè)務單位都有自身的 OA系統(tǒng)，其服務器在各個業(yè)務單位的服務器區(qū)域，而 OA互連主要通過公文網(wǎng)關。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的網(wǎng)絡架構（圖） 73 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 71 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? MIS應用： MIS包括財務系統(tǒng)、人力資源系統(tǒng)、綜合統(tǒng)計系統(tǒng)等應用系統(tǒng)；還包括電子采購系統(tǒng)、全面預算管理系統(tǒng)等。 Copyright IBM Corporation 2023 安全域規(guī)范的主要內容 ?企業(yè)信息化系統(tǒng)的現(xiàn)狀 ?企業(yè)信息化系統(tǒng)的安全域劃分 ?安全域的管理、技術、設備需求定義 ?安全域的威脅等級和保護等級 ?企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡保護 70 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻部署原則 ?骨干層 ?匯聚層 ?接入層 68 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 防火墻適用環(huán)境－單級防火墻結構 防火墻典型模型 ( 1 )i s pR o u t e rM a i n F WE xt e r n a l W e b S e r ve rE xt e r n a l D N S S e r ve rI n t e r n a l W e b S e r ve rI n t e r n a l D N S S e r ve rI n t e r n a l E m a i l S e r ve rD e s kt o pE xt e r n a l D M Z66 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻日志審計與監(jiān)控 ? 日志收集 ? 日志分析 ? 建立安全基線 ? 界定可疑活動 ? 日志存儲 ? 安全審計建議 ? 建立安全審計報告 ? 安全問題應對流程 ? 審計與整體監(jiān)控系統(tǒng)配合 64 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 62 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ?安全審計員 負責所管理主機系統(tǒng)及網(wǎng)絡設備的安全定期審查和維護工作。 Copyright IBM Corporation 2023 防火墻安全策略 防火墻安全策略配置 : ? 通信策略 ? 訪問策略 ? 應用策略 安全策略管理流程： ? 增添安全策略 ? 更改安全策略 ? 刪除安全策略 61 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 用戶數(shù)據(jù)保護功能 ? 識別與鑒別功能 ? 保密功能 ? 可信安全功能保護 ? 安全審計功能 59 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 用戶數(shù)據(jù)保護功能 ? 識別與鑒別功能 ? 保密功能 ? 可信安全功能保護 ? 安全審計功能 58 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻體系結構 ? 屏蔽路由器（ Screening Router） ? 雙穴主機網(wǎng)關（ Dual Homed Gateway） ? 屏蔽主機網(wǎng)關（ Screened Host Gateway） ? 屏蔽子網(wǎng) （ Screened Sub） 57 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻分類 ? 包過濾（ Packet Filter） ? 應用層代理（ Proxy） ? 電路層代理（ Circuit Proxy） ? 動態(tài)包過濾（ Dynamic Packet Filter） ? 全狀態(tài)檢測（ Stateful Inspection） ? 自適應代理（ Adaptive Proxy） ? 深度包檢測（ Deep Packet Inspection） 55 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 進一步數(shù)據(jù)庫安全考慮 ? 細粒度訪問控制 ? 應用程序安全檢查 ? 數(shù)據(jù)庫系統(tǒng)與基于標準的公共密鑰體系 PKI集成 ? 關鍵數(shù)據(jù)庫系統(tǒng)災難備份 53 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 51 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 數(shù)據(jù)庫管理系統(tǒng)層次安全加固（二） ? 數(shù)據(jù)庫帳戶安全設置要點 定義數(shù)據(jù)庫系統(tǒng)訪問帳戶負責人員和業(yè)務用途，刪除無關的或者不再使用的數(shù)據(jù)庫系統(tǒng)訪問人員帳戶； 修改數(shù)據(jù)庫管理系統(tǒng)內建帳戶的初始密碼 ； 對數(shù)據(jù)庫帳戶所使用的資源（如 CPU等） 進行限制。 ? 操作系統(tǒng)用戶安全設置 用戶組權限設置 數(shù)據(jù)庫使用程序的安全性 ? 操作系統(tǒng)安全日志設置 記錄數(shù)據(jù)庫服務的啟動、關閉等操作，以及主機管理員、數(shù)據(jù)庫服務管理員、和應用開發(fā)人員的行為等 ? 關閉非必要的服務和程序 禁止不使用的數(shù)據(jù)庫服務、應用服務、協(xié)議 ? 修補操作系統(tǒng)和更新包 49 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 48 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 47 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 數(shù)據(jù)庫系統(tǒng)的安全防護架構 ? 數(shù)據(jù)庫系統(tǒng)的安全除依賴自身內部的安全機制外，還與外部網(wǎng)絡環(huán)境、運行主機環(huán)境等因素息息相關。 Copyright IBM Corporation 2023 數(shù)據(jù)庫安全威脅與對策 ? 數(shù)據(jù)庫主要安全威脅 數(shù)據(jù)被篡改、竊取 用戶身份被偽造、密碼被盜用 未經授權對表、列、行的存取 缺乏有效的跟蹤、監(jiān)控機制 ? 數(shù)據(jù)庫安全管理關鍵要點 管理細分和委派原則 ? 數(shù)據(jù)庫管理員與安全管理員 最小權限原則 ? 本著 最小權限 原則，從需求和工作職能兩方面嚴格限制對數(shù)據(jù)庫的訪問權 帳號安全原則 ? 密碼規(guī)則、用戶帳號管理 有效的審計 ? 用戶行為和數(shù)據(jù)庫活動 加強關鍵數(shù)據(jù)庫安全保護 ? 數(shù)據(jù)庫備份恢復、數(shù)據(jù)加密 45 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防病毒管理機制建設要點 ? 防病毒預警機制 新病毒訊息公告與處理 疑似病毒信息發(fā)布 ? 防病毒意識培訓 防病毒知識普及 ? 防病毒知識全員普及內容 ? 病毒疫情預警 ? 安全漏洞公告 ? 特定病毒處理通告 病毒防治論壇 ? 用于計算機用戶在線防病毒技術交流、討論、求助和建議等 ? 提供相關預防病毒知識 43 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 ? 對于主題名新奇的電子郵件不要隨便打開。 ? 不允許訪問含有色情、暴力等不健康內容的網(wǎng)站 ? 不隨意從互聯(lián)網(wǎng)上下載軟件、游戲、電影等。 ? 定時檢查更新狀態(tài)，定時執(zhí)行掃描。 Copyright IBM Corporation 2023 防病毒管理機制建設要點 ? 終端計算機用戶防病毒條例 建立全網(wǎng)用戶應該遵循以下用戶使用條例： ? 未經許可不能卸載防病毒軟件，不能更改配置。 40 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 地市公司防病毒管理職能 根據(jù)省 /直轄市公司下發(fā)的最新病毒信息和解決辦法處理各種病毒問題； 負責管理轄內病毒防治的管理和日常維護； 定時統(tǒng)計、分析、匯總和上報本公司防病毒檢測情況報告。 制定中移動統(tǒng)一的防病毒架構體系建設規(guī)范，為各省 /直轄市的防病毒架構建設和改進提供了規(guī)范性的指導建議； 制定中移動防病毒的管理制度和管理機制規(guī)范，指導和規(guī)范各省 /直轄市的防病毒管理工作； 監(jiān)督各省 /直轄市的防病毒工作，定期以安全審計檢查的方式監(jiān)督下屬公司工作是否到位。 ? 信息資產分類與控制 信息資產負責人的防病毒責任 信息資產分類防病毒控制 ? 人員安全 防病毒安全培訓 安全時間和故障響應 ? 系統(tǒng)維護管理 落實防病毒管理流程：文檔維護、工具變更、緊急時間響應等 防止惡意軟件：病毒掃描和文件數(shù)據(jù)交換控制 ? 遠程辦公 移動電腦 ? 遵守防病毒法律規(guī)定 39 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 38 Presentation Title | Confidential | Document ID IBM China Compan