【正文】 y Ltd. 169。 ? 防病毒應(yīng)急響應(yīng)小組 由省 /直轄市公司防病毒日常維護(hù)人員和安全服務(wù)提供商以及防病毒廠商技術(shù)人員組成，組成人員可以兼職。省 /直轄市公司日常維護(hù)小組的成員必須是專職的，地市公司原則上也要有專職的防病毒日常維護(hù)人員，也可以根據(jù)網(wǎng)絡(luò)及防病毒系統(tǒng)實(shí)際狀況由系統(tǒng)管理員兼職。省 /直轄市公司、各地市公司可以參照運(yùn)維組織架構(gòu)設(shè)立相應(yīng)的防病毒機(jī)構(gòu)。 37 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。內(nèi)容過濾，采用預(yù)定義的字詞列表，檢查主題、內(nèi)容和附件等方法內(nèi)容過濾阻擋垃圾郵件；使用黑名單、白名單等工具管理郵件的收發(fā)。防病毒功能方面支持文件系統(tǒng)實(shí)時防護(hù)、病毒掃描、軟件更新、集中管理控制。支持跨越廣域網(wǎng)管理、分級管理、和分組管理。 36 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。這個層次分布于網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過濾服務(wù)器、 Web防病毒過濾服務(wù)器、 FTP防病毒過濾服務(wù)器。桌面工作站和文檔服務(wù)器接受二層防病毒服務(wù)器的直接管理。 ? 第三層：終端層。這個層次具有多個分布在不同地市部門的防病毒服務(wù)器，負(fù)責(zé)局域網(wǎng)內(nèi)桌面工作站或者文檔服務(wù)器的防病毒控制。 ? 第二層：分布層。 成立統(tǒng)一防病毒管理中心。 35 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 這個層次分布于集團(tuán)網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過濾服務(wù)器、 Web防病毒過濾服務(wù)器、 FTP防病毒過濾服務(wù)器。 分布于集團(tuán)總部內(nèi)網(wǎng)的各個節(jié)點(diǎn)，數(shù)量眾多，通過防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。部署防病毒服務(wù)器，負(fù)責(zé)對各個部門的桌面工作站或文檔服務(wù)器的防病毒控制。 Copyright IBM Corporation 2023 集團(tuán)公司防病毒架構(gòu) ? 第一層：集中管理層。 Copyright IBM Corporation 2023 企業(yè)防病毒安全對策 ? 企業(yè)防病毒架構(gòu)體系建設(shè) 覆蓋全面、多層次。 Copyright IBM Corporation 2023 防病毒安全規(guī)范 IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 信息安全風(fēng)險評估 ? 信息安全風(fēng)險評估項(xiàng)目的目標(biāo) 了解支撐中國移動關(guān)鍵業(yè)務(wù)運(yùn)作的信息系統(tǒng)的安全狀況 評估核心信息資產(chǎn)所面臨的風(fēng)險 發(fā)現(xiàn)信息安全實(shí)踐中的薄弱環(huán)節(jié)和改進(jìn)機(jī)會 明確信息系統(tǒng)的安全需求 提出信息安全控制措施改進(jìn)方案。通過教育，讓所有的人了解自己在企業(yè)信息化系統(tǒng)安全中的角色 (role)、責(zé)任 (responsibility)和義務(wù) (liability)，以及如何正確、安全地使用企業(yè)信息化系統(tǒng)。 ? 通過提升員工安全意識，可以及時發(fā)現(xiàn)，避免安全事件的發(fā)生，降低安全事件的影響，從而節(jié)約了信息安全成本。 ? 該項(xiàng)目的范圍包括 統(tǒng)一主流的桌面操作系統(tǒng)平臺和其他相關(guān)安全系統(tǒng)平臺、定制其安全策略 統(tǒng)一制定用戶桌面系統(tǒng)使用安全操作手冊 建立桌面電腦補(bǔ)丁的自動分發(fā)機(jī)制 29 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 防火墻防火墻認(rèn) 證 管 理 系 統(tǒng)DMZDMZ監(jiān) 控 服 務(wù) 器元 目 錄身 份 管 理 系 統(tǒng) 合 作 伙 伴客 戶身 份 信 息存 儲O r a c l eD o m i n o活 動 目 錄L D A P中 心 安 全日 志 認(rèn) 證信 息 認(rèn) 證信 息集 成 平 臺( 門 戶 服 務(wù) 器 ,應(yīng) 用 服 務(wù) 器 ,E A I平 臺 )訪問管理系統(tǒng)應(yīng) 用 4應(yīng) 用 3. . .應(yīng) 用 2應(yīng) 用 1. . .渠 道 認(rèn) 證信 息W e b柜 臺自 助呼 叫 中 心智 能 家 電無 線 設(shè) 備應(yīng) 用 訪 問 途 徑認(rèn) 證 授 權(quán) 服 務(wù) 途 徑 員 工（ 外 部 訪 問 ） 認(rèn) 證信 息員 工（ 內(nèi) 部 訪 問 ）28 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。包括： ? 存儲子模塊：即目錄服務(wù)模塊 ? 同步子模塊：即元目錄，或動態(tài)用戶管理（ User Provisioning）模塊 身份管理：管理用戶身份信息，并提供自動工作流程和自服務(wù)、分權(quán)管理功能。包括了 內(nèi)部局域網(wǎng)安全建設(shè)和改造 和第三方合作伙伴的網(wǎng)絡(luò)連接安全建設(shè)和改造 Inter連接安全規(guī)范 用戶遠(yuǎn)程網(wǎng)絡(luò)接入連接相關(guān)的安全方面的考慮 27 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 網(wǎng)絡(luò)安全體系建設(shè) ? 根據(jù)業(yè)務(wù)上或管理上以及 《 企業(yè)信息化安全域規(guī)范 》 的各種安全相關(guān)需求，對現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)通過各種網(wǎng)絡(luò)安全防范的技術(shù)手段和管理規(guī)范進(jìn)行一系列的安全改造，從而將網(wǎng)絡(luò)上存在的安全風(fēng)險和安全隱患降至最低。 ? 如右圖所示，容災(zāi)備援方案包括一個相互關(guān)連的流程，具體包括風(fēng)險管理、業(yè)務(wù)沖擊分析、恢復(fù)能力分析、容災(zāi)策略制定、容災(zāi)技術(shù)方案的制定和實(shí)施、企業(yè)業(yè)務(wù)連續(xù)性計劃的制定和企業(yè)容災(zāi)方案的管理。 Copyright IBM Corporation 2023 業(yè)務(wù)連續(xù)性計劃 /災(zāi)難恢復(fù)計劃 ? 現(xiàn)在社會中，業(yè)務(wù)的連續(xù)性對一個企業(yè)越來越重要，在企業(yè)中已不是IT一個部門的問題，而是整個企業(yè)生死相關(guān)的問題。 Copyright IBM Corporation 2023 安全掃描、安全政策檢查 ? 安全是需要隨時注意及改善的，故系統(tǒng)管理人員需隨時了解網(wǎng)絡(luò)和系統(tǒng)安全狀況，因此中國移動需要一套系統(tǒng)弱點(diǎn)掃描的工具，能夠協(xié)助系統(tǒng)管理人員找出重要服務(wù)器上可能具有的安全漏洞，以便及早修補(bǔ)。因此，可建立主機(jī) IDS以進(jìn)一步防止黑客的威脅。 ? 由于內(nèi)部網(wǎng)采用的各種操作系統(tǒng)可能會帶來安全問題，如運(yùn)行各種 UNIX的操作系統(tǒng)。 ?? 23 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。流量監(jiān)測功能可以自動定時記錄用戶所指定的主機(jī)和端口的流量。也可以還原電子郵件、網(wǎng)頁訪問操作等。 ? 主要功能 對網(wǎng)絡(luò)中典型的應(yīng)用如 TELNET、 HTTP、 FTP、 SMTP、 POP3等進(jìn)行全面審計，提供詳細(xì)信息。 Copyright IBM Corporation 2023 安全總控中心 ? 集中地檢測、分析、關(guān)連、報告、處理安全入侵和違規(guī)事件 ? 集中存儲安全事件數(shù)據(jù)和風(fēng)險信息 ? 增加整個組織信息安全管理的效率及經(jīng)濟(jì)性 ? 支持 企業(yè)信息安全決策機(jī)制及風(fēng)險評估 ? 為企業(yè)信息安全管理量化提供必要基礎(chǔ)設(shè)施 入侵檢測機(jī)制 安全事件管理 安全指導(dǎo)中心 安全風(fēng)險評估 安全弱點(diǎn)掃描 病毒防護(hù)處理 安全總控 中心 (SOC) 病毒入侵 拒絕服務(wù)攻擊 非法系統(tǒng)訪問 應(yīng)用安全弱點(diǎn) 22 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 總部安全技術(shù)體系加固方案和建設(shè)計劃 主要安全產(chǎn)品和技術(shù)分類 安全加密授權(quán)和訪問控制身份認(rèn)證安全管理邊界與網(wǎng)絡(luò)安全內(nèi)容安全管理3 A 產(chǎn)品 防病毒 因特網(wǎng)過濾 電子郵件過濾 垃圾郵件過濾 傳輸加密 數(shù)據(jù)庫加密 存儲加密 防火墻 VPN 入侵檢測 入侵防范 電子郵件安全 無線安全 漏洞掃描 滲透攻擊 安全日志分析 審計工具 企業(yè)安全技術(shù)管理 P ro v is io n i n g 安全事件管理和報警 配置和補(bǔ)丁管理 安全策略管理 單點(diǎn)登陸 大型機(jī)訪問授權(quán) 邏輯訪問控制 物理訪問控制 身份認(rèn)證服務(wù) 身份認(rèn)證硬件 ( 令牌 , 智能卡 , 生物技術(shù) ) P K I / 數(shù)字證書 用戶身份管理安全軟件和硬件產(chǎn)品安全評估和審計20 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。而在每一個步驟中的建設(shè)都應(yīng)遵守安全體系建設(shè)的 PDCA模型，確保中國移動的安全體系能夠不斷地自我發(fā)展，循環(huán)上升。 Copyright IBM Corporation 2023 安全體系部署 /實(shí)施計劃（ 1） 信息安全體系建設(shè)的生命周期 DoDo A c tA c tPlanPlanChec kChec k規(guī)劃規(guī)劃維護(hù)和改進(jìn)維護(hù)和改進(jìn)監(jiān)控和評估監(jiān)控和評估實(shí)施和運(yùn)行實(shí)施和運(yùn)行18 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。所以，中國移動要求所有部門 /分公司必須維護(hù)一份完整、詳細(xì)的企業(yè)信息化系統(tǒng)資產(chǎn)清單，以便于跟蹤企業(yè)信息化系統(tǒng)安全狀態(tài)。 系統(tǒng)生命周期安全管理 安全加密 文檔管理規(guī)范 補(bǔ)丁管理規(guī)范 物理安全規(guī)范 16 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 安全體系完善計劃（ 2） ? 在待建設(shè)規(guī)范中，有些規(guī)范之間是存在一定的關(guān)聯(lián)的，我們建議在建設(shè)時能夠同時予以考慮和建設(shè)。 ? 針對以上分析，建議信息化辦公室在下一階段將體系建設(shè)的重點(diǎn)放在安全規(guī)范建設(shè)上，逐步完善體系中所提到的安全規(guī)范。下圖所列的規(guī)范，除了紅色部分外，其它規(guī)范還不存在。 14 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 加固方案和實(shí)施計劃分為三個部分 安全管理層面： ? 第一部分 安全體系完善計劃 針對信息化安全體系的整體架構(gòu)，分析目前在策略、規(guī)范、標(biāo)準(zhǔn)方面缺失的部分，制定標(biāo)準(zhǔn)體系規(guī)范完善計劃 ? 第二部分 安全體系部署 /實(shí)施計劃 給出各省市部署和實(shí)施該安全體系的建議，該部分是指導(dǎo)性的，概括性的，各省公司應(yīng)該根據(jù)此加固方案和實(shí)施計劃制定自己的詳細(xì)的、切實(shí)可行的實(shí)施計劃。 Copyright IBM Corporation 2023 安全操作手冊、流程、細(xì)則 第三層：安全操作手冊、流程、細(xì)則 應(yīng)用 安全 配置手冊 數(shù)據(jù)庫安全配置手冊 ? O r ac l e ? D B2 ? D o m i n o ? S Q L S e r v e r 門戶系統(tǒng)安全配置手冊 ? W e b sp h e r e P o r t al ? BEA W e b L o g i c ? S u n O n e P o r t al ? O r ac l e A S P o r t al ? M S S h are P o i n t 通用應(yīng)用系統(tǒng)安全配置 ? 電子郵件系統(tǒng) ? 通用 安全規(guī)范 ? D o m i n o ? Ex ch a n g e ? W EB 服務(wù)器 ? 通用 安全規(guī) 范 ? I I S ? A p ac h e ? DNS ? 通用安全規(guī)范 ? W i n d o w s D N S 服務(wù)器， ? U N I X B I N D 服務(wù)器( B I N D 9 ) ? FTP ? 通用安全規(guī)范 ? I I S ? Wu F t p d 網(wǎng)絡(luò) 安全 配置手冊 V PN ? Ch e c k p o i n t ? N o r t e l ? I B