2015年7月网络安全培训材料

2015年网络安全培训四川省通信管理局2015年7月一、工业和信息化部11号令（2010年）《通信网络安全防护管理办法》二、网络与信息安全工作考核《工业和信息化部办公厅关于印发2015年省级基础电信企业网络与信息安全工作考核要点与评分标准的通知》（工信厅保[2015]5号）。工作依据一、工作制度二、实施原则三、风险评估报告要点--针对已正式投入运行的通信网络单元--按照遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度--定级从低到高分为1-5级,最低1级，最高5级。省内网元，重要3.1级，一般2级三项工作制度《通信网络安全防护管理办法》11号令1定级备案三级及三级以上通信网络单元应当每年符合性评测二级通信网络单元应当每两年符合性评测三项工作制度《通信网络安全防护管理办法》11号令2符合性评测三级及三级以上通信网络单元应当每年风险评估二级通信网络单元应当每两年风险评估三项工作制度《通信网络安全防护管理办法》11号令3风险评估传统电话网固定通信网、移动通信网、接入网、传送网、IP承载网、信令网、同步网、支撑网等，以及增值业务网（消息网、智能网等）。互联网互联网接入服务、数据中心、域名服务、企业门户网站等。非核心网络企业办公系统（文件管理系统、员工邮件系统、人事管理系统等）、客服呼叫中心等。定级备案对象总体原则定级对象受到破坏后对-国家安全-社会秩序、经济运行、公共利益、-运营商合法权益的损害程度。安全等级划分5级4级3.2级3.1级2级1级第5级定级对象受到破坏后，会对国家安全造成特别严重的损害。第4级定级对象受到破坏后，会对社会秩序、经济运行和公共利益造成特别严重的损害，或者对国家安全造成严重的损害。第3.2级定级对象受到破坏后，会对运营商的合法权益产生特别严重的损害，或者对社会秩序、经济运行和公共利益造成严重的损害，或者对国家安全造成较大损害。第3.1级定级对象受到破坏后，会对运营商的合法权益产生很严重的损害，或者对社会秩序、经济运行和公共利益造成较大损害，或者对国家安全造成轻微损害。第2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全。第1级定级对象受到破坏后，会对运营商的合法权益造成轻微损害，但不损害国家安全、社会秩序、经济运行和公共利益。安全等级根据3个独立要素计算:a)社会影响程度（1~5分）b)规模和服务范围（1~5分）c)所提供服务的重要性（1~5分）安全等级计算5分4分3分2分1分对社会影响力、规模服务范围和所提供服务的重要性三个要素赋值后，计算公式如下：--省级系统3.1级--市州重要系统3.1级--市州一般系统2级企业对标自查通过工信部“通信网络安全防护管理系统”（）下载评测表，在线填报。省局抽查逐项检查企业符合性评测表自查情况，存在的问题以及整改措施。符合性评测一、工作制度二、实施原则三、风险评估要点网络安全防护六项实施原则：适度安全原则最小影响原则标准性原则可控性原则完备性原则保密性原则领导管理员为迎接国家庆典活动，确保网络系统绝对安全，万无一失全力以赴，全面加固网络系统今年预算缩减，只有五十万？！…….领导管理员——适度安全原则：安全防护工作的根本性原则。根据网络单元安全等级，平衡效益与成本，采取适度的安全技术和管理措施，集中资源优先保护关键系统。绝对安全适度安全今年重点做好IDC数据中心安全防护有什么标准和规范可以参考？领导管理员——标准性原则：安全防护应遵循相关行业标准。工业和信息化部发布通信行业标准YD/T###中国通信标准化协会发布协会标准YDB###要网络安全系统升级，准备好了吗？不能影响系统运行，做好数据保密领导管理员——最小影响原则：从项目管理层面和技术管理层面，将安全防护工作对电信网和互联网正常运行影响降至最低。——保密性原则：安全防护工作人员应签署协议，承诺对所进行的安全防护工作保密，确保不泄露重要和敏感信息。今年网络安全防护全面完成了吗？应该差不过了，域名、数据中心、网上营业厅都自查整改过了，就剩内网办公系统，应该没什么问题。领导管理员——完备性原则：安全防护工作要覆盖电信网和互联网的安全范围。传统电话网固定通信网、移动通信网、接入网、传送网、IP承载网、信令网、同步网、支撑网等，以及增值业务网。互联网互联网接入服务、数据中心、域名服务、企业门户网站等。非核心网络企业办公系统（文件管理系统、员工邮件系统、人事管理系统等）、客服呼叫中心等。今年虽然预算少，但工作成效还不错，有什么心得体会？网络安全，三分建系统，七分抓管理，要让管理各环节可控。领导管理员哦？往年请外包公司花钱不少，但安全系统没法一步到位，功能模块得逐年增加。虽然外包公司专业实力强，但功能模块增加和升级都花费不菲，没个三五年，根本无法具备所有基本功能，更别提增强功能。领导管理员实际上今年外包费用还削减了些，看来真得向管理要效益。网络安全管理可不比普通管理，对人员素质和专业技术要求很高，除了用心、上心，专业技能提升也必不可少，多点投入在人员培养上哦~领导管理员——可控性原则●人员可控性：安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。切实落实网络安全管理制度，加强外包公司人员管理。●工具可控性：要充分了解安全防护工作中所使用的技术工具，并进行一些实验，确保这些技术工具能被正确地使用。提高专业技术人员素质，加强企业内部培训交流。●项目过程可控性：安全防护项目建设、实施、运行阶段，企业加强管理和监督，不能全靠外包就高枕无忧。（外包公司不承担安全责任）加强企业主体安全责任，加强对外包公司管控能力。一、工作制度二、实施原则三、风险评估要点风险评估生命周期安全风险评估应贯穿于业务系统生命周期的各阶段中，业务上线前、业务运营中（每年或每2年），直至业务下线。其风险评估原则和方法是一致的。业务上线前业务运营中白盒符合性评测---已知测试要求和指标，对标检查、自我评测黑盒第三方检测---专业漏洞扫描工具，对系统模拟攻击，渗透测试风险评估方法计划8月份委托四川安全分中心对IDC和域名系统现场检测。往年发现的主要问题有：部分内网设备接入互联网、账号弱口令、系统高危漏洞、审计记录不全等。企业认真梳理，全面排查，及时落实整改措施，强化网络安全。管局抽查计划