網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)

1、網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)安徽移動(dòng)網(wǎng)絡(luò)部2013年5月（一）基礎(chǔ)知識(shí)1、網(wǎng)絡(luò)與信息安全概念及重要原則2、通信網(wǎng)絡(luò)安全防護(hù)要求（交換、傳輸、短彩信等重要系統(tǒng)）3、網(wǎng)絡(luò)安全防護(hù)知識(shí)（系統(tǒng)、服務(wù)器、終端）（二）規(guī)章制度1、中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全總綱2、安徽移動(dòng)網(wǎng)絡(luò)與信息安全相關(guān)管理制度3、安全技術(shù)規(guī)范引言作為認(rèn)證憑證的密碼安全嗎？中國(guó)版弱密碼 TOP25abc123a1b2c3aaa111123qweqwertyqweasdadminpasswordpsswordpasswdiloveyou520131400000011111111111111112233123123123321123456123456

2、78654321666666888888abcdefabcabc不在弱密碼中？密碼字典通常人們使用的密碼都具有一些共同的規(guī)律，例如姓名縮寫(xiě)配數(shù)字，生日配手機(jī)號(hào)等等，密碼字典根據(jù)這個(gè)規(guī)律來(lái)猜測(cè)密碼。個(gè)人密碼不是弱密碼，企業(yè)設(shè)備呢？國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心（CNCERT）對(duì)中國(guó)移動(dòng)統(tǒng)計(jì)風(fēng)險(xiǎn)中弱密碼占60%為什么辦公密碼要定期修改？為什么原則上不能使用無(wú)線(xiàn)網(wǎng)絡(luò)接入網(wǎng)管網(wǎng)？為什么公司禁止使用無(wú)線(xiàn)鍵盤(pán)？.目錄網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)信息安全基礎(chǔ)攻擊方法防護(hù)手段網(wǎng)絡(luò)與信息安全規(guī)章制度提要什么是安全？國(guó)際標(biāo)準(zhǔn)化組織（ISO）引用ISO74982文獻(xiàn)中對(duì)安全的定義是這樣的，安全就是最大程度地減少數(shù)據(jù)和資

3、源被攻擊的可能性。 對(duì)于我們而言，安全的關(guān)鍵或者說(shuō)安全計(jì)劃的目的是保護(hù)公司和個(gè)人的財(cái)產(chǎn)。安全的基本原則 可用性（availability） 保證經(jīng)過(guò)認(rèn)證的用戶(hù)能夠?qū)?shù)據(jù)和資源進(jìn)行適時(shí)和可靠的訪(fǎng)問(wèn)。完整性（integrity） 是指保證信息和系統(tǒng)的準(zhǔn)確性和可靠性，并禁止對(duì)數(shù)據(jù)的非授權(quán)的修改。機(jī)密性（confidentiality） 提供了保證在每一個(gè)數(shù)據(jù)處理和防止未經(jīng)授權(quán)的信息泄漏的交叉點(diǎn)上都能夠加強(qiáng)必要的安全級(jí)別的能力。10安全的基本原則可用性 防止服務(wù)和工作能力的崩潰。完整性 防止對(duì)系統(tǒng)和信息進(jìn)行未經(jīng)授權(quán)的修改。機(jī)密性 防止未經(jīng)授權(quán)而透露某些敏感信息。簡(jiǎn)稱(chēng)AIC安全三原則:可用性（avail

4、ability）、完整性（integrity）和機(jī)密性（confidentiality）11AIC安全三原則安全對(duì)象可用性完整性機(jī)密性信息安全是將數(shù)據(jù)的可用性、完整性、機(jī)密性作為保護(hù)對(duì)象。對(duì)信息安全的認(rèn)識(shí)經(jīng)歷了數(shù)據(jù)安全階段（強(qiáng)調(diào)保密通信）、網(wǎng)絡(luò)信息安全時(shí)代（強(qiáng)調(diào)網(wǎng)絡(luò)環(huán)境）和目前信息保障時(shí)代（強(qiáng)調(diào)不能被動(dòng)地保護(hù)，需要有保護(hù)檢測(cè)反應(yīng)恢復(fù)四個(gè)環(huán)節(jié)）。信息安全各要素之間的關(guān)系威脅因素威脅脆弱性風(fēng)險(xiǎn)暴露資產(chǎn)安全措施引起利用導(dǎo)致可以破壞并引起一個(gè)能夠被預(yù)防，通過(guò)直接作用到信息安全自頂向下的設(shè)計(jì)方法 安全策略是公司安全計(jì)劃的藍(lán)圖，為上層建筑提供了必要的基礎(chǔ)。如果安全計(jì)劃以一個(gè)堅(jiān)實(shí)的基礎(chǔ)開(kāi)頭，并且隨著時(shí)間的推

5、移向著預(yù)定的目標(biāo)發(fā)展，那么公司就不必在中間作出大的改動(dòng)。 應(yīng)用安全 感知能力網(wǎng)絡(luò)安全內(nèi)容安全 基礎(chǔ)安全安全標(biāo)準(zhǔn)規(guī)范體系安全目標(biāo)體系組織機(jī)構(gòu)人才培養(yǎng)安全責(zé)任安全需求安全建設(shè)安全規(guī)劃安全設(shè)計(jì)安全準(zhǔn)入安全運(yùn)維安全研發(fā)創(chuàng)新體系技術(shù)支持體系業(yè)務(wù)連續(xù)性（BCP）入侵防范與惡意代碼防護(hù)應(yīng)用程序安全不良信息治理信息防泄漏信息安全專(zhuān)項(xiàng)工作支撐固化入侵感知綜合預(yù)警風(fēng)險(xiǎn)展示安全監(jiān)控應(yīng)急響應(yīng)與事件處理合規(guī)支撐安全評(píng)估安全檢查考核控制能力管理能力業(yè)務(wù)邏輯安全業(yè)務(wù)合規(guī)管理信息備份入侵防范與惡意代碼防護(hù)網(wǎng)絡(luò)報(bào)文識(shí)別與控制網(wǎng)絡(luò)路由、信令、協(xié)議安全設(shè)備認(rèn)證、授權(quán)與訪(fǎng)問(wèn)控制設(shè)備日志審計(jì)網(wǎng)絡(luò)邊界劃分與隔離網(wǎng)絡(luò)安全策略管理網(wǎng)絡(luò)定位、

6、溯源與日志審計(jì)網(wǎng)絡(luò)傳輸安全 策略安全管理設(shè)備補(bǔ)丁管理設(shè)備入侵防范與病毒防護(hù)網(wǎng)絡(luò)流控、質(zhì)量保障物理環(huán)境安全構(gòu)建國(guó)際一流信息安全體系 承擔(dān)中國(guó)移動(dòng)企業(yè)社會(huì)責(zé)任專(zhuān)項(xiàng)研究安全整改重大保障第三方安全信息校驗(yàn)安全測(cè)試安全終止安全策略安全組織安全運(yùn)營(yíng)安全技術(shù)流程運(yùn)營(yíng)管理信息安全執(zhí)行體系信息安全管理機(jī)制安全管控與支撐中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全實(shí)施框架 根據(jù)信息安全實(shí)施框架，落實(shí)系統(tǒng)與網(wǎng)絡(luò)的信息安全等級(jí)保護(hù)要求。信息安全基礎(chǔ)知識(shí)組織內(nèi)部的安全角色目錄網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)信息安全基礎(chǔ)攻擊方法防護(hù)手段網(wǎng)絡(luò)與信息安全規(guī)章制度提要什么是攻擊行為？基本上任何一種危及到一臺(tái)機(jī)器安全的行為都可以認(rèn)為是一種攻擊行為。危及包括以下

7、幾個(gè)方面：可以訪(fǎng)問(wèn)使訪(fǎng)問(wèn)簡(jiǎn)單化使一個(gè)系統(tǒng)脫機(jī)使敏感信息的敏感度降低 什么是攻擊行為？如果有攻擊行為，那就必須存在能威脅的弱點(diǎn)。如果沒(méi)有薄弱環(huán)節(jié)，那就沒(méi)有什么好攻擊的。所以大多數(shù)人說(shuō)真正安全的系統(tǒng)是沒(méi)有聯(lián)網(wǎng)的機(jī)器。攻擊的步驟 1）被動(dòng)的偵察2）主動(dòng)的偵察3）入侵系統(tǒng)4）上傳程序5）下載數(shù)據(jù)6）保持訪(fǎng)問(wèn)7）隱藏蹤跡（注意并不是每一步都會(huì)執(zhí)行）常用攻擊方法欺騙會(huì)話(huà)劫持拒絕服務(wù)攻擊（DoS）、分布式拒絕服務(wù)攻擊（DDoS）緩沖區(qū)溢出攻擊欺騙如果攻擊者能讓計(jì)算機(jī)或者網(wǎng)絡(luò)相信他是別人（信任方），他可能能夠獲得正常情況下不能得到的信息。欺騙的類(lèi)型：IP欺騙 公司使用其他計(jì)算機(jī)的IP地址來(lái)獲得信息或者得到特權(quán)

8、。電子郵件欺騙 電子郵件發(fā)送方地址的欺騙。 Web欺騙 假冒Web網(wǎng)站。如假工商銀行網(wǎng)站。非IT技術(shù)類(lèi)欺騙 這些類(lèi)型的攻擊把精力集中在攻擊公司的人力資源上。如社會(huì)工程。 會(huì)話(huà)劫持會(huì)話(huà)劫持就是接管一個(gè)現(xiàn)存的動(dòng)態(tài)會(huì)話(huà)過(guò)程。劫持會(huì)話(huà)最主要的原因之一就是通過(guò)授權(quán)過(guò)程可以獲得進(jìn)入系統(tǒng)的機(jī)會(huì)，因?yàn)榫蜁?huì)話(huà)劫持而言，此時(shí)用戶(hù)已經(jīng)通過(guò)提供用戶(hù)ID和密碼，在授權(quán)的情況下登錄到服務(wù)器上。在用戶(hù)通過(guò)了身份驗(yàn)證并獲得進(jìn)入服務(wù)器的權(quán)利后，只要他與服務(wù)器動(dòng)態(tài)連接著，就不再需要重新通過(guò)驗(yàn)證。黑客門(mén)可以使用各種方式使用戶(hù)下線(xiàn)然后再代替這個(gè)用戶(hù)，此時(shí)他不再需要任何登錄行為就可以進(jìn)入系統(tǒng)了。 會(huì)話(huà)劫持小李攻擊者服務(wù)器服務(wù)器驗(yàn)證小李

9、小李登錄服務(wù)器Die！你好，我是小李拒絕服務(wù)攻擊DOSDoS是Denial of Service的簡(jiǎn)稱(chēng)，即拒絕服務(wù)，造成DoS的攻擊行為被稱(chēng)為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶(hù)請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶(hù)的請(qǐng)求。 分布式拒絕服務(wù)攻擊DDOS分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶(hù)/服

10、務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶(hù)/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。 27分布式拒絕服務(wù)攻擊DDOS攻擊者受害者傀儡機(jī)遠(yuǎn)程控制發(fā)起攻擊28緩沖區(qū)溢出攻擊攻擊者試圖在一個(gè)不夠大的接受器里存儲(chǔ)過(guò)量的信息就是一次緩沖區(qū)溢出攻擊。例如，如果一個(gè)程序只能接受50個(gè)字符，而用戶(hù)卻輸入了100個(gè)字符，這

11、樣由于過(guò)多的數(shù)據(jù)輸入到了一個(gè)不夠大的接受器，該程序?qū)⒉荒芸刂扑?，多出部分將?xiě)入內(nèi)存。 緩沖區(qū)溢出攻擊內(nèi)存底部?jī)?nèi)存頂部填充方向緩沖1（局部變量1）返回指針函數(shù)調(diào)用的參數(shù)內(nèi)存底部?jī)?nèi)存頂部填充方向緩沖1（局部變量1）返回指針函數(shù)調(diào)用的參數(shù)機(jī)器代碼：exec(/bin/sh)緩沖2（局部變量2）指向exec代碼的新指針緩沖1空間被覆蓋返回指針被覆蓋緩沖2（局部變量2）正常情況緩沖區(qū)溢出目錄網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)信息安全基礎(chǔ)攻擊方法防護(hù)手段網(wǎng)絡(luò)與信息安全規(guī)章制度提要網(wǎng)絡(luò)安全防護(hù)體系各階段網(wǎng)絡(luò)安全的防護(hù)事前：網(wǎng)絡(luò)防火墻、系統(tǒng)漏洞檢測(cè)、安全配置合規(guī)、病毒防范、網(wǎng)頁(yè)防篡改等事中：預(yù)警、入侵檢測(cè)、日志取證系統(tǒng)事

12、后：應(yīng)急響應(yīng)、事故恢復(fù)安全管理支撐手段：安全管控平臺(tái)（4A）32網(wǎng)絡(luò)防火墻防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，目的是不被非法用戶(hù)侵入。防火墻是內(nèi)部與外部網(wǎng)連接中的第一道屏障。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間合理有效地使用防火墻是網(wǎng)絡(luò)安全的關(guān)鍵。33網(wǎng)絡(luò)防火墻 訪(fǎng)問(wèn)控制 認(rèn)證 NAT 加密 防病毒、內(nèi)容過(guò)濾 流量管理系統(tǒng)漏洞掃描和檢測(cè)系統(tǒng)漏洞檢測(cè)要求：定期分析有關(guān)網(wǎng)絡(luò)設(shè)備的安全性，檢查配置文件和日志文件；定期分析系統(tǒng)和應(yīng)用軟件，一旦發(fā)現(xiàn)安全漏洞，應(yīng)該及時(shí)修補(bǔ)；檢測(cè)的方法主要采用安全掃描工具，測(cè)試網(wǎng)絡(luò)系統(tǒng)是否具有安全漏洞和是否抵抗攻擊，從而判定系統(tǒng)的安全風(fēng)險(xiǎn)。主機(jī)/端口掃描 漏洞掃描 檢查本地或者遠(yuǎn)

13、程主機(jī)、設(shè)備、應(yīng)用的安全漏洞確定系統(tǒng)存活狀態(tài)：ping針對(duì)目標(biāo)系統(tǒng)端口，了解端口的分配及提供的服務(wù)、軟件版本主機(jī)/設(shè)備Web數(shù)據(jù)庫(kù)安全配置合規(guī)中國(guó)移動(dòng)設(shè)備安全功能和配置系列規(guī)范2013年安全配置合規(guī)要求。WAP等10類(lèi)高風(fēng)險(xiǎn)系統(tǒng)合規(guī)率達(dá)到85%以上，WLAN等系統(tǒng)合規(guī)率達(dá)到70%以上。通信網(wǎng)絡(luò)安全防護(hù)工信部工業(yè)和信息化部關(guān)于開(kāi)展2013年基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全防護(hù)檢查工作的通知（工信部保函2013110號(hào)）網(wǎng)頁(yè)防篡改主要網(wǎng)頁(yè)防篡改系統(tǒng)分類(lèi)外掛輪巡技術(shù)：使用外部的網(wǎng)頁(yè)讀取和檢測(cè)程序，以輪詢(xún)方式讀出和比對(duì)要監(jiān)控的網(wǎng)頁(yè)。核心內(nèi)嵌技術(shù)：篡改檢測(cè)模塊內(nèi)嵌于Web服務(wù)器軟件，在每一個(gè)網(wǎng)頁(yè)流出時(shí)進(jìn)行完整性檢查

14、。事件觸發(fā)技術(shù)：使用操作系統(tǒng)的文件系統(tǒng)/驅(qū)動(dòng)程序接口，網(wǎng)頁(yè)文件被修改時(shí)進(jìn)行合法性檢查。入侵檢測(cè)入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪(fǎng)問(wèn)嘗試時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)并報(bào)警。入侵檢測(cè)系統(tǒng) FirewallInternetServersDMZIDS AgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報(bào)警報(bào)警IDS Agent安全管控平臺(tái)安全管控平臺(tái)系統(tǒng)，又稱(chēng)為4A系統(tǒng)是指：認(rèn)證Authentication、賬號(hào)Account、授權(quán)Authorization、審計(jì)Audit，中文名稱(chēng)為安全管理平臺(tái)解決方案。201

15、3年已完成WLAN AC等設(shè)備接入安全管控，要求各系統(tǒng)安全管控使用率不低于95%便利性和安全性的矛盾其實(shí)安全性和便利性間的矛盾，并不是什么新的話(huà)題。早在遠(yuǎn)古時(shí)期，穴居的人類(lèi)為了安全而將洞口設(shè)計(jì)的難于進(jìn)出，這就是選擇犧牲掉便利性。而我們希望能有一個(gè)中間地帶，既保留有安全性，又兼顧便利性。目錄網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)與信息安全規(guī)章制度提要公司制定了信息安全責(zé)任管理辦法、責(zé)任矩陣、考核辦法、中國(guó)移動(dòng)基礎(chǔ)信息安全檢查矩陣、安徽移動(dòng)基礎(chǔ)信息安全管理通用要求等系列管理制度。2012年12月28日，全國(guó)人大常委會(huì)通過(guò)了關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定，明確了網(wǎng)絡(luò)服務(wù)提供者對(duì)網(wǎng)絡(luò)信息保護(hù)的義務(wù)和責(zé)任。工業(yè)和信息化

16、部、國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)聯(lián)合印發(fā)了關(guān)于開(kāi)展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核有關(guān)工作的指導(dǎo)意見(jiàn)（工信部聯(lián)保2012551號(hào)）、工業(yè)和信息化部辦公廳印發(fā)了2013年省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)（工信廳保2012247號(hào)）對(duì)網(wǎng)絡(luò)安全防護(hù)：重點(diǎn)為“三同步”、定級(jí)、備案、風(fēng)險(xiǎn)評(píng)估等措施要求；應(yīng)急保障：網(wǎng)絡(luò)安全事件上報(bào)、處置和應(yīng)急演練。等方面執(zhí)行考核信息安全管理通用要求安徽移動(dòng)基礎(chǔ)信息安全管理通用要求第一章總 則 第三條 基礎(chǔ)信息安全管理遵循“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)、誰(shuí)接入誰(shuí)負(fù)責(zé)”的原則。信息安全管理通用要求建設(shè)階段：1.工程建設(shè)單位負(fù)責(zé)提交安全配置資料

17、，維護(hù)單位確認(rèn)符合安全要求后，設(shè)備方可與現(xiàn)網(wǎng)進(jìn)行互聯(lián)； 2.工程建設(shè)單位負(fù)責(zé)組織對(duì)系統(tǒng)設(shè)備的安全驗(yàn)收，安全驗(yàn)收材料齊全設(shè)備方可入網(wǎng)割接。 安徽移動(dòng)項(xiàng)目網(wǎng)絡(luò)與信息安全三同步管理辦法與系統(tǒng)下線(xiàn)信息安全管理要求，把握系統(tǒng)生命周期立項(xiàng)、建設(shè)、驗(yàn)收關(guān)鍵控制點(diǎn)。立項(xiàng)階段：計(jì)劃部負(fù)責(zé)組織安全專(zhuān)家對(duì)項(xiàng)目進(jìn)行安全評(píng)審定級(jí)與備案情況審核。維護(hù)階段：維護(hù)部門(mén)需充分考慮安全評(píng)審與驗(yàn)收階段提出的風(fēng)險(xiǎn)點(diǎn)和備忘，持續(xù)做好安全維護(hù)工作。 下線(xiàn)階段：需按要求做好相關(guān)數(shù)據(jù)清理、銷(xiāo)毀，方可實(shí)施退網(wǎng)。 第一章總 則 第四條 基礎(chǔ)信息安全防護(hù)工作遵循“同步規(guī)劃，同步建設(shè)，同步運(yùn)行”的原則（“三同步”原則），覆蓋IT系統(tǒng)與網(wǎng)絡(luò)全生命周期

18、的各個(gè)環(huán)節(jié)。第二章組織與職責(zé) 第九條 涉及基礎(chǔ)信息安全的生產(chǎn)單位職責(zé)：落實(shí)基礎(chǔ)信息安全管理的各項(xiàng)要求；做好基礎(chǔ)信息安全防護(hù)、安全運(yùn)維、開(kāi)發(fā)測(cè)試、安全審核、合規(guī)性檢查、風(fēng)險(xiǎn)評(píng)估和加固工作；細(xì)化完善安全管理制度、技術(shù)規(guī)范、作業(yè)流程和檢查細(xì)則；定期開(kāi)展信息安全演練，及時(shí)上報(bào)安全事件等。信息安全管理通用要求第三章安全運(yùn)營(yíng)管理要求第一節(jié) 安全預(yù)警第十三條 各單位接到預(yù)警信息后，應(yīng)依據(jù)上級(jí)主管部門(mén)要求落實(shí)，及時(shí)跟蹤預(yù)警項(xiàng)進(jìn)展，對(duì)安全補(bǔ)丁類(lèi)預(yù)警，應(yīng)根據(jù)設(shè)備所處位置和重要性采取不同的加載策略。在設(shè)備沒(méi)打補(bǔ)丁期間，要采取相應(yīng)的加固措施，保證設(shè)備不易被攻擊。第二節(jié) 安全監(jiān)控第十六條 各單位要組織開(kāi)展對(duì)IT系統(tǒng)與網(wǎng)

19、絡(luò)的安全監(jiān)控工作，建立和完善安全監(jiān)控的管理制度、操作流程與支撐手段。信息安全管理通用要求第三章安全運(yùn)營(yíng)管理要求第三節(jié) 訪(fǎng)問(wèn)控制第二十六條 內(nèi)網(wǎng)接入安全要求（二）嚴(yán)禁任何設(shè)備以雙網(wǎng)卡方式同時(shí)連接互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)；嚴(yán)禁向任何未經(jīng)防火墻隔離的對(duì)外網(wǎng)站等互聯(lián)網(wǎng)系統(tǒng)分配公司內(nèi)網(wǎng)IP地址；（六）原則上不應(yīng)采用無(wú)線(xiàn)AP方式接入內(nèi)網(wǎng)，如遇特殊情況，依據(jù)“誰(shuí)接入、誰(shuí)負(fù)責(zé)”的原則，管理上必須經(jīng)主管領(lǐng)導(dǎo)審批授權(quán)，技術(shù)上必須采用MAC地址綁定，強(qiáng)安全認(rèn)證，強(qiáng)加密算法保護(hù)的安全傳輸，配置隱藏SSID，保證AP口令強(qiáng)度等配置；（七）各單位要維護(hù)一份已使用內(nèi)網(wǎng)IP地址清單，清單內(nèi)容包括但不限于每個(gè)IP地址的使用單位、設(shè)備用

20、途、責(zé)任人（使用人）和聯(lián)系方式等信息。信息安全管理通用要求 第二十七條 遠(yuǎn)程接入 （二）各單位要制定遠(yuǎn)程接入的實(shí)施細(xì)則、遠(yuǎn)程接入審批和授權(quán)流程，規(guī)范帳號(hào)權(quán)限的申請(qǐng)、變更與刪除等工作，審批與授權(quán)記錄應(yīng)予以歸檔留存;（四）遠(yuǎn)程接入帳號(hào)只能授予內(nèi)部員工，廠(chǎng)家人員需要使用遠(yuǎn)程維護(hù)時(shí)，按次授權(quán)，用畢收回；信息安全管理通用要求第二十八條 防火墻配置管理（五）內(nèi)網(wǎng)不同區(qū)域之間的邊界防火墻對(duì)于維護(hù)管理、數(shù)據(jù)庫(kù)服務(wù)端口僅允許配置點(diǎn)對(duì)點(diǎn)訪(fǎng)問(wèn)策略，嚴(yán)禁開(kāi)放大段IP地址的訪(fǎng)問(wèn)策略；信息安全管理通用要求第二十九條 第三方訪(fǎng)問(wèn)控制管理 第三方是指與中國(guó)移動(dòng)在業(yè)務(wù)上具有合作關(guān)系，或是向中國(guó)移動(dòng)提供開(kāi)發(fā)、維護(hù)等服務(wù)的公司及其

21、員工； 嚴(yán)格禁止第三方人員擁有重要系統(tǒng)管理員權(quán)限，創(chuàng)建系統(tǒng)帳號(hào)權(quán)限，查詢(xún)客戶(hù)敏感信息或者超出工作范圍的高級(jí)權(quán)限的帳號(hào)。各單位應(yīng)至少每3個(gè)月對(duì)第三方的帳號(hào)權(quán)限進(jìn)行一次審核清理。信息安全管理通用要求第三十二條 各單位要以年為單位，對(duì)各網(wǎng)絡(luò)與系統(tǒng)制定或更新安全維護(hù)作業(yè)計(jì)劃及配套的實(shí)施指南。第三十五條 遵循職責(zé)分離的原則，負(fù)責(zé)安全審核的人員不能是該系統(tǒng)維護(hù)人員。第三十六條 安全維護(hù)作業(yè)計(jì)劃按照?qǐng)?zhí)行頻率，分為日、周、月、季度、年和觸發(fā)性作業(yè)計(jì)劃。信息安全管理通用要求第四節(jié) 安全維護(hù)作業(yè)計(jì)劃第五節(jié) 安全分析第三十八條 各單位要建立安全分析制度，定期對(duì)基礎(chǔ)信息安全工作情況進(jìn)行分析通報(bào)。第六節(jié) 安全合規(guī)性檢查

22、第四十一條 各級(jí)信息安全歸口管理部門(mén)要制定合規(guī)性檢查制度，配備必要的檢查工具，建立內(nèi)部檢查機(jī)制。信息安全管理通用要求第七節(jié) 風(fēng)險(xiǎn)評(píng)估第四十八條 各單位要建立風(fēng)險(xiǎn)評(píng)估制度，在年初編制風(fēng)險(xiǎn)評(píng)估計(jì)劃，定期組織開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。信息安全管理通用要求風(fēng)險(xiǎn)評(píng)估常規(guī)流程第八節(jié) 安全事件管理 第六十一條 安全事件分為特別重大、重大、較大和一般四個(gè)級(jí)別。系統(tǒng)（含內(nèi)網(wǎng)系統(tǒng)）安全事件信息分級(jí)定義參照互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法規(guī)定，及集團(tuán)相關(guān)部門(mén)要求。第六十八條 重大安全事件發(fā)生時(shí)，二級(jí)管理組織應(yīng)及時(shí)上報(bào)集團(tuán)公司。重大安全事件確認(rèn)至上報(bào)到集團(tuán)公司不得超過(guò)2小時(shí)。第六十九條 較大或一般安全事件由二級(jí)管理組織匯總后于

23、次月5個(gè)工作日內(nèi)報(bào)送當(dāng)?shù)赝ㄐ殴芾砭趾虲NCERT/CC當(dāng)?shù)胤种行?，并在每月安全?bào)表中向集團(tuán)公司上報(bào)。信息安全管理通用要求第九節(jié) 人員與資產(chǎn)安全管理第七十九條 各單位應(yīng)與合作第三方、關(guān)鍵崗位員工單獨(dú)簽訂保密協(xié)議，在協(xié)議中明確其保密責(zé)任以及違約罰則。 第八十四條 各單位應(yīng)建立完善資產(chǎn)退服管理流程。定期清查盤(pán)點(diǎn)，確保退服系統(tǒng)及時(shí)下線(xiàn)并移出機(jī)房。對(duì)于退服設(shè)備的數(shù)據(jù)，要徹底清除。信息安全管理通用要求第四章基礎(chǔ)IT設(shè)施安全防護(hù)要求第一節(jié) 系統(tǒng)安全第八十七條 生產(chǎn)環(huán)境安全要求（一）生產(chǎn)環(huán)境中的工具軟件安裝與使用要求1、應(yīng)對(duì)生產(chǎn)環(huán)境中工具軟件進(jìn)行統(tǒng)一管理，不得安裝與生產(chǎn)無(wú)關(guān)的軟件；2、嚴(yán)禁安裝能夠穿透防火墻，從互聯(lián)網(wǎng)訪(fǎng)問(wèn)和控制內(nèi)網(wǎng)設(shè)備的軟件，如Teamviewer等；3、除部門(mén)領(lǐng)導(dǎo)授權(quán)外，任何非安全專(zhuān)用設(shè)備嚴(yán)禁安裝漏洞掃描、網(wǎng)絡(luò)嗅探等安全工具；信息安全管理通用要求（二）移動(dòng)存儲(chǔ)介質(zhì)使用安全要求1、各單位應(yīng)完善本單位內(nèi)移動(dòng)存儲(chǔ)介質(zhì)使用管理辦法，并指定專(zhuān)人負(fù)責(zé)對(duì)存儲(chǔ)介質(zhì)的使用進(jìn)行指導(dǎo)、監(jiān)督和檢查；2、各單位應(yīng)明確允許使用移動(dòng)存儲(chǔ)介質(zhì)的人員、系統(tǒng)與網(wǎng)絡(luò)范圍，對(duì)于不允許使用的，應(yīng)實(shí)施控制策略、