電子支付體系的安全策略

第五章電子支付體系的平安策略5.1信息平安概述5.2用信息平安工程理論標準信息平安建設5.3金融信息平安體系結(jié)構(gòu)及平安策略本章小結(jié)復習思考題精選ppt

5.1信息平安概述精選ppt一、信息平安的特征

(1)保密性

(2)完整性

(3)可用性

(4)可控性

(5)信息行為的不可否認性精選ppt一、信息平安的特征平安性問題可以分成兩類：客戶/效勞器平安和交易平安客戶/效勞器平安要保證只有有效的用戶或軟件程序能夠獲取信息資源；交易平安要保證信息高度公路上數(shù)據(jù)傳輸?shù)臋C密性和交易的機密性。精選ppt一、信息平安的特征信息平安可通過實施適當?shù)目刂拼胧┖捅Ｗo措施來實現(xiàn)：控制措施包括策略、實施、組織結(jié)構(gòu)和軟件功能，建立一整套的控制措施，確保到達特定的平安目標；具體工作：策略管理、業(yè)務流程管理、技術(shù)產(chǎn)品選擇與應用、人員管理、平安法律法規(guī)制定和執(zhí)行等。精選ppt一、信息平安的特征信息平安可通過實施適當?shù)目刂拼胧┖捅Ｗo措施來實現(xiàn)：保護措施應考慮實體平安、運行平安和信息資源平安三個方面；實體平安主要指環(huán)境、設備、介質(zhì)的平安；運行平安指采取風險分析、審計跟蹤、備份與恢復、應急等措施；信息資源平安指采取標示與鑒別、訪問控制、完整性、機密性等措施精選ppt二、金融信息平安現(xiàn)狀及趨勢網(wǎng)絡犯罪的主要形式：通過互聯(lián)網(wǎng)絡未經(jīng)許可地進入他人的計算機設施，破解他人的密碼，使用他人的計算機資源；通過網(wǎng)絡向他人計算機系統(tǒng)散布計算機病毒；進行間諜活動，竊取、篡改或刪除國家機密信息；進行商業(yè)間諜活動，竊取、篡改或者刪除企事業(yè)單位存儲的商業(yè)秘密和計算機程序；非法轉(zhuǎn)移資金；盜竊銀行中他人存款，進行各種金融犯罪等。精選ppt黑客攻擊猖獗網(wǎng)絡內(nèi)部、外部泄密拒絕效勞攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲精選ppt二、金融信息平安現(xiàn)狀及趨勢〔一〕國外金融信息平安現(xiàn)狀2000年2月，美國多數(shù)電子業(yè)務網(wǎng)站癱瘓，造成約12億美元的損失；2000年3月，兩名英國青少年攻擊了5個國家級的電子業(yè)務網(wǎng)站，并竊取了2.6萬個信用卡賬戶；“9·11災難〞造成金融業(yè)的巨大損失，銀行根底設施被破壞，給運行帶來困難；2003年8月，美國、加拿大和英國發(fā)生的大面積停電事件，造成銀行信息系統(tǒng)不能正常運轉(zhuǎn)……精選ppt二、金融信息平安現(xiàn)狀及趨勢〔一〕國外金融信息平安現(xiàn)狀1．美國1998.5美國政府頒發(fā)?保護美國關鍵根底設施?總統(tǒng)令；美國國家平安局制定?信息保障技術(shù)框架?；2002.9美同先后發(fā)布了?保護網(wǎng)絡空間的國家戰(zhàn)略和?美國國家平安戰(zhàn)略?。精選ppt二、金融信息平安現(xiàn)狀及趨勢〔一〕國外金融信息平安現(xiàn)狀1．美國明確將信息平安與國土平安作為國家平安有機結(jié)合的組成局部；明確把銀行與金融部門列為國家關鍵根底設施組成局部；制定了一整套平安措施，成立了金融信息共享與分析中心，形成了“準備與防范〞、“檢測與響應〞、“重建與恢復〞的平安保護戰(zhàn)略框架。精選ppt二、金融信息平安現(xiàn)狀及趨勢〔一〕國外金融信息平安現(xiàn)狀2．俄羅斯1995年公布?聯(lián)邦信息、信息化和信息保護法?，明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責任；精選ppt二、金融信息平安現(xiàn)狀及趨勢〔一〕國外金融信息平安現(xiàn)狀2．俄羅斯2000年9月發(fā)布?俄羅斯聯(lián)邦信息平安學說?明確了聯(lián)邦信息平安建設的目的、任務、原那么和主要內(nèi)容；明確指出了俄羅斯在信息領域的利益、受到的威脅以及為確保信息平安首先要采取的措施等；指出國家平安依賴于信息平安的保障，保障信息平安必須從法律、技術(shù)組織及經(jīng)濟等方面采取措施。精選ppt二、金融信息平安現(xiàn)狀及趨勢〔二〕我國金融業(yè)信息平安現(xiàn)狀1998年9月22日，黑客入侵揚州工商銀行電腦系統(tǒng)，將72萬元注入其戶頭，提出26萬元。為國內(nèi)首例利用計算機盜竊銀行巨款案件；1999年4月16日：黑客入侵中亞信托投資公司上海某證券營業(yè)部，造成340萬元損失。1999年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對銀行自動提款機的黑客案件，用戶的信用卡被盜1.799萬元。1999年11月23日：銀行內(nèi)部人員通過更改程序，用虛假信息從本溪某銀行提取出86萬元。精選ppt二、金融信息平安現(xiàn)狀及趨勢〔二〕我國金融業(yè)信息平安現(xiàn)狀2003年9月發(fā)布了?國家信息化領導小組關于加強信息平安保障工作的意見?，成為我國今后信息平安工作的指導性文件。現(xiàn)階段我國信息平安保障的指導思想是：堅持積極防御、綜合防范的方針，全面提高信息平安防護能力、重點保障根底信息網(wǎng)絡和重要信息系統(tǒng)平安，創(chuàng)立平安健康的網(wǎng)絡環(huán)境，保障和促進信息化開展，保護公眾利益，維護國家平安。精選ppt二、金融信息平安現(xiàn)狀及趨勢〔二〕我國金融業(yè)信息平安現(xiàn)狀中國人民銀行1999年制定了?國家金融信息系統(tǒng)平安總體綱要?，2002年制定了?中國人民銀行信息系統(tǒng)平安總體規(guī)劃?，編制了?中國人民銀行信息系統(tǒng)平安保障總體技術(shù)框架?；嚴格內(nèi)聯(lián)網(wǎng)與Internet物理隔離制度，在全網(wǎng)實施了網(wǎng)絡防病毒系統(tǒng)、防火墻系統(tǒng)、內(nèi)聯(lián)網(wǎng)非法撥號監(jiān)控系統(tǒng)，在全行部署入侵檢測系統(tǒng)與漏洞掃描系統(tǒng)，形成信息平安預警體系。精選ppt二、金融信息平安現(xiàn)狀及趨勢〔三〕金融信息平安開展趨勢金融信息平安的主要威脅有：(1)人為的失誤(2)欺詐行為(3)內(nèi)部人員破壞行為(4)物理資源效勞喪失(5)黑客攻擊精選ppt二、金融信息平安現(xiàn)狀及趨勢〔三〕金融信息平安開展趨勢金融信息平安的主要威脅有：(6)商業(yè)信息泄密(7)病毒(惡意程序)侵襲(8)程序系統(tǒng)自身的缺陷精選ppt三、信息平安的內(nèi)涵1．物理平安(physicalsecurity)物理平安手段主要針對各類物理攻擊活動，用過必要的監(jiān)控、保安和災難預防措施確保目標系統(tǒng)中各類設備的平安；2．電磁平安(electromagneticsecurity)對目標系統(tǒng)中使用的各類設備的電磁兼容性進行設計和處理或采用光纖等空間輻射小的傳輸介質(zhì)。精選ppt三、信息平安的內(nèi)涵3．網(wǎng)絡平安(networksecurity)網(wǎng)絡平安主要是針對用戶應用數(shù)據(jù)在網(wǎng)絡傳輸過程中的平安保護問題；4．數(shù)據(jù)平安(datasecurity)數(shù)據(jù)平安是針對用戶信息資源在存儲和使用過程的平安保護手段；精選ppt三、信息平安的內(nèi)涵5．系統(tǒng)平安(systemsecurity)確保用戶授權(quán)的合法性和有效性；6．操作平安(operationsecurity)操作平安是對一般業(yè)務操作流程的平安保護；7．人員平安(personnelsecurity)實行平安責任制，加強平安教育。精選ppt四、信息系統(tǒng)平安等級1．可信計算機系統(tǒng)(TCSEC)平安等級精選pptTCSEC平安等級劃分標準平安性等級

主要特征D非平安保護DCBA最低保護等級自主保護等級強制保護等級C1C2自主平安保護可控存取保護自主存取控制、審計功能比C1更強的自主存取控制、審計功能B1B2B3A1可驗證保護可結(jié)構(gòu)化保護平安區(qū)域保護強度存取控制，敏感度標記形式化模型，隱蔽通道約束平安內(nèi)核，高抗?jié)B透能力形式化平安驗證，隱蔽通道分析標記平安保護精選ppt四、信息系統(tǒng)平安等級2．我國信息系統(tǒng)平安保護等級劃分標準第一級：用戶自主保護級計算機信息系統(tǒng)可信計算基：計算機系統(tǒng)內(nèi)保護裝置的總體，包括硬件、軟件和負責執(zhí)行平安策略的組合體；建立了根本的保護環(huán)境并提供一個可信計算機系統(tǒng)所要求的附加用戶效勞。精選ppt四、信息系統(tǒng)平安等級2．我國信息系統(tǒng)平安保護等級劃分標準第一級：用戶自主保護級本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主平安保護的能力。精選ppt四、信息系統(tǒng)平安等級2．我國信息系統(tǒng)平安保護等級劃分標準第二級：系統(tǒng)審計保護級本級的計算機信息系統(tǒng)可信計算基通過登錄規(guī)程、審計平安性相關事件和隔離資源，使用戶對自己的行為負責。精選ppt四、信息系統(tǒng)平安等級2．我國信息系統(tǒng)平安保護等級劃分標準第三級：平安標記保護級本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能。此外，還提供有關平安策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；可以消除通過測試發(fā)現(xiàn)的任何錯誤。精選ppt四、信息系統(tǒng)平安等級2．我國信息系統(tǒng)平安保護等級劃分標準第四級：結(jié)構(gòu)化保護級本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化平安策略模型，要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體；加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設施管理；增強了配置管理控制；系統(tǒng)具有相當?shù)目節(jié)B透能力。精選ppt四、信息系統(tǒng)平安等級2．我國信息系統(tǒng)平安保護等級劃分標準第五級：訪問驗證保護級本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求，訪問監(jiān)控器仲裁主體對客體的全部訪問。支持平安管理員職能，擴充審計機制，當發(fā)生與平安相關的事件時發(fā)出信號；提供系統(tǒng)恢復機制。系統(tǒng)具有很高的抗?jié)B透能力。精選ppt5.2用信息平安工程理論

標準信息平安建設

精選ppt一、信息平安工程信息平安工程是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護企業(yè)級信息與網(wǎng)絡系統(tǒng)平安的過程。

精選ppt一、信息平安工程信息平安工程的特性：全面性：信息平安問題需要全面考慮，系統(tǒng)平安程度取決于最薄弱的環(huán)節(jié)；過程性：一個完整的平安過程至少包括平安目標與原那么確實定、風險分析、需求分析、平安策略研究、平安體系結(jié)構(gòu)的研究、平安實施領域確實定、平安技術(shù)與產(chǎn)品的測試與選型、平安工程的實施、監(jiān)理、測試與運行、平安意識教育與技術(shù)培訓、平安稽核與檢查、應急響應；精選ppt一、信息平安工程信息平安工程的特性：動態(tài)性：最大程度上使平安系統(tǒng)能夠跟上實際情況的變化發(fā)揮效用；層次性：用多層次的平安技術(shù)、方法與手段，分層次地化解平安風險；相對性：沒有絕對的平安精選ppt一、信息平安工程信息平安工程的研究范疇：信息平安工程的目標、原那么與范圍，信息平安風險分析與評估的方法、手段、流程；信息平安需求分析方法，平安策略，平安體系結(jié)構(gòu)，平安實施領域及平安解決方案，平安技術(shù)與產(chǎn)品的測試與選型方法；平安工程的實施標準，平安工程的實施監(jiān)理方法、流程，平安工程的測試與運行；平安意識的教育與技術(shù)培訓，平安稽核與檢查，應急響應技術(shù)、方法與流程等。精選ppt一、信息平安工程企業(yè)在建立與實施企業(yè)級的信息與網(wǎng)絡系統(tǒng)平安體系時，必須兼顧：信息網(wǎng)絡的風險評估與分析、平安需求分析、整體平安策略、平安模型、平安體系結(jié)構(gòu)的開發(fā)、信息網(wǎng)絡平安的技術(shù)標準標準的制定、信息網(wǎng)絡平安工程的實施與監(jiān)理、信息網(wǎng)絡平安意識的教育與技術(shù)的培訓等；精選ppt一、信息平安工程工程實施單位必須嚴格按照信息平安工程的過程、標準進行實施；管理部門必須采用信息平安工程能力成熟度對企業(yè)平安工程的質(zhì)量、平安工程實施單位的實施能力進行評估。精選ppt二、平安風險分析與評估對一個系統(tǒng)來說，解決信息平安的首要問題是明白信息與網(wǎng)絡系統(tǒng)目前與未來的風險所在，充分評估這些風險可能帶來的威脅與影響的程度，做到“對癥下藥〞。精選ppt二、平安風險分析與評估風險分析與評估的原理：風險評估是對采用的平安策略和規(guī)章制度進行評審，發(fā)現(xiàn)不合理的地方，采用模擬攻擊的形式對目標可能存在的平安漏洞進行逐項檢查，確定存在的平安隱患和風險級別；風險分析是檢查系統(tǒng)的體系結(jié)構(gòu)、指導策略、人員狀況以及各類設備等各種對象，根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的平安性分析報告，為提高網(wǎng)絡平安整體水平提供重要依據(jù)。精選ppt二、平安風險分析與評估1．目標和原那么風險分析的具體目標：了解網(wǎng)絡系統(tǒng)結(jié)構(gòu)、管理水平及可能存在的平安隱患；了解網(wǎng)絡所提供的效勞及可能存在的平安問題；了解各應用系統(tǒng)與網(wǎng)絡層的接口及其相應的平安問題；網(wǎng)絡攻擊和電子欺騙的檢測、模擬及預防；分析信息網(wǎng)絡系統(tǒng)對網(wǎng)絡的平安需求，找出目前的平安策略和實際需求的差距，為保護信息網(wǎng)絡系統(tǒng)的平安提供科學依據(jù)。精選ppt二、平安風險分析與評估1．目標和原那么風險分析的原那么：由于風險分析與評估的內(nèi)容涉及很多方面，因此進行分析時要本著多層面、多角度的原那么，從理論到實際，從軟件到硬件，從物件到人員，要事先制定詳細的分析方案和分析步驟，防止遺漏。為了保證風險分析結(jié)果的可靠性和科學性，風險分析還要參考有關的信息平安標準和規(guī)定。精選ppt二、平安風險分析與評估2．對象和范圍風險分析的內(nèi)容與范圍應該涵蓋信息網(wǎng)絡系統(tǒng)的整個體系，包括網(wǎng)絡平安組織、制度和人員情況，網(wǎng)絡平安技術(shù)方法的使用情況，防火墻布控及外聯(lián)業(yè)務平安情況；鏈路、數(shù)據(jù)及應用加密情況，網(wǎng)絡系統(tǒng)訪問控制狀況等。人是最關鍵要素。精選ppt二、平安風險分析與評估2．對象和范圍(1)網(wǎng)絡根本情況分析規(guī)模、結(jié)構(gòu)、出口(2)信息系統(tǒng)根本平安狀況調(diào)查黑客、違規(guī)操作、平安意識(3)信息系統(tǒng)平安組織、政策情況分析平安領導小組、平安管理制度及管理人員精選ppt二、平安風險分析與評估2．對象和范圍(4)網(wǎng)絡平安技術(shù)措施使用情況分析密級劃分及保護措施、網(wǎng)絡防病毒體系(5)防火墻布控及外聯(lián)業(yè)務平安狀況分析對外連接方式及平安措施(6)動態(tài)平安管理狀況分析入侵檢測系統(tǒng)、系統(tǒng)日志的審計與分析

精選ppt二、平安風險分析與評估2．對象和范圍(7)鏈路、數(shù)據(jù)及應用加密情況分析加密措施、綜合布線、關鍵線路的備份(8)網(wǎng)絡系統(tǒng)訪問控制狀況分析用戶訪問控制手段、管理員權(quán)限的別離、對網(wǎng)絡資源訪問的日志和審計(9)白客測試抗攻擊能力精選ppt二、平安風險分析與評估3．方法與手段風險分析可以使用以下方式實現(xiàn)：問卷調(diào)查、訪談、文檔審查、黑盒測試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡效勞的平安漏洞和隱患的檢查和分析、抗攻擊測試、綜合審計報告等。精選ppt二、平安風險分析與評估3．方法與手段風險分析的過程：(1)確定要保護的資產(chǎn)及價值(2)分析信息資產(chǎn)之間的相互依賴性(3)確定存在的風險和威脅(4)分析可能的入侵者精選ppt二、平安風險分析與評估4．結(jié)果與結(jié)論為了便于對風險分析結(jié)果的評審，要求結(jié)果能夠量化的盡可能地量化，不能量化的做出形式化描述。如何根據(jù)分析的數(shù)據(jù)結(jié)果得出最終的評估結(jié)論也是一項重要的工作，需要平安專家進行總結(jié)。精選ppt

三、需求分析平安需求是一個企業(yè)為保護其信息系統(tǒng)的平安，對必須要做的工作的全面描述，是一個詳細、全面、系統(tǒng)的工作規(guī)劃，是經(jīng)過仔細的研究和分析得出的一份技術(shù)成果。是在平安風險分析與評估工作的根底上進行的。精選ppt三、需求分析1．需求分析的原那么(1)遵照法律信息平安工作不僅僅是某個企業(yè)單位的工作，也是一個國家性的工作，必須把局部的平安工作與全局的工作協(xié)調(diào)起來，必須按照有關的法律和規(guī)定實施平安工程。(2)依據(jù)標準為了保證需求分析的質(zhì)量，必須做到“有據(jù)可查〞，必須用有關的技術(shù)標準來衡量。精選ppt

三、需求分析1．需求分析的原那么(3)分層分析平安工程涉及策略、體系結(jié)構(gòu)、技術(shù)、管理等各個層次的工作，平安工程的層次性也就決定了需求分析的層次性。(4)結(jié)合實際平安工程的實施是針對一個具體的信息系統(tǒng)環(huán)境的，所有工作的開展必須建立在這個實際根底之上，不同環(huán)境需求分析的結(jié)果是不同的。精選ppt

三、需求分析2．需求分析的內(nèi)容(1)管理層研究為了保證系統(tǒng)的平安，應該建立一個怎樣的管理體制。(2)物理層根據(jù)實際情況，確定單位各實體財產(chǎn)的平安級別，需要什么程度的平安防護；到達什么樣的平安目的。精選ppt

三、需求分析2．需求分析的內(nèi)容(3)系統(tǒng)層研究為保證平安應該要求操作平臺到達什么樣的平安級別；為到達所要求的級別，應該選用什么樣的操作系統(tǒng)；如何使用、管理、配置操作系統(tǒng)。(4)網(wǎng)絡層根據(jù)信息系統(tǒng)的業(yè)務方向，分析系統(tǒng)的網(wǎng)絡平安需求，確定應該采用什么樣的防護方式。精選ppt

三、需求分析2．需求分析的內(nèi)容(5)應用層應用層是網(wǎng)絡分層結(jié)構(gòu)的最上層，是用戶直接接觸的局部。由于基于網(wǎng)絡的應用很多，供給商也很多，所以存在的平安問題也很多，相應的平安防護技術(shù)也很多，需要根據(jù)實際情況來衡量對它們的需求程度。精選ppt

三、需求分析3．網(wǎng)絡平安系統(tǒng)設計原那么(1)木桶原那么。對信息均衡、全面地進行保護。(2)整體性原那么。進行平安防護、監(jiān)測和應急恢復。(3)實用性原那么。不影響系統(tǒng)的正常運行和合法用戶的操作。(4)等級性原那么。區(qū)分平安層次和平安級別。(5)動態(tài)化原那么。平安需要不斷更新。(6)設計為本原那么。平安設計與網(wǎng)絡設計同步進行。精選ppt四、平安策略平安策略是為發(fā)布、管理和保護敏感的信息資源而制定的一組法律、法規(guī)和措施的總和，是對信息資源使用、管理規(guī)那么的正式描述，是企業(yè)內(nèi)所有成員都必須遵守的規(guī)那么；平安策略為保證信息根底的平安性提供了一個框架，提供了管理網(wǎng)絡平安性的方法，規(guī)定了各部門要遵守的標準及應負的責任，使得信息網(wǎng)絡系統(tǒng)的平安有了切實的依據(jù)。精選ppt四、平安策略1．制定平安策略的原那么策略的制定應該由專門的“平安策略委員會〞來負責，他們應該由平安專業(yè)人士和來自系統(tǒng)內(nèi)不同部門的職員組成。平安策略在制定時必須兼顧它的可理解性、技術(shù)上的可實現(xiàn)性、組織上的可執(zhí)行性。精選ppt四、平安策略1．制定平安策略的原那么企業(yè)級平安策略的制定包括三個層面：(1)抽象平安策略。它通常表現(xiàn)為一系列的自然語言描述的文檔，是企業(yè)根據(jù)自身的任務、面臨的威脅和風險，以及上層的制度、法律等制定出來限制用戶使用資源和使用方式的一組規(guī)定。精選ppt四、平安策略1．制定平安策略的原那么企業(yè)級平安策略的制定包括三個層面：(2)全局自動平安策略。是抽象平安策略的子集和細化，指能夠由計算機、路由器等設備自動實施的平安措施的規(guī)那么和約束；主要從平安功能的角度考慮，分為標識與認證、授權(quán)與訪問控制、信息保密與完整性、數(shù)字簽名與抗抵賴、平安審計、入侵檢測、響應與恢復、病毒防范、容錯與備份等策略。精選ppt四、平安策略1．制定平安策略的原那么企業(yè)級平安策略的制定包括三個層面：(3)局部執(zhí)行策略。是分布在終端系統(tǒng)、中繼系統(tǒng)和應用系統(tǒng)中的總體平安策略的子集和具體實施；是指物理組件與邏輯組件所實施的形式化的規(guī)那么，如口令管理策略、防火墻過濾規(guī)那么、認證系統(tǒng)中的認證策略、訪問控制系統(tǒng)中的主體的能力表、資源的訪問控制鏈表、平安標簽等。精選ppt四、平安策略2．平安策略的內(nèi)容(1)保護的內(nèi)容和目標平安策略中要包含信息網(wǎng)絡系統(tǒng)中要保護的所有資產(chǎn)以及每件資產(chǎn)的重要性和其要到達的平安程度。(2)實施保護的方法明確對信息網(wǎng)絡系統(tǒng)中的各類資產(chǎn)進行保護所采用的具體的方法。精選ppt四、平安策略2．平安策略的內(nèi)容(3)明確的責任只有調(diào)動大家的積極性，集體參與才能真正有效地保護系統(tǒng)的平安。要有效組織大家協(xié)同工作，就必須明確每個人在平安保護工程中的責任和義務。(4)事故的處理為了確保任務的落實，提高大家的平安意識和警惕性，必須規(guī)定相關的處分條款，并組建監(jiān)督、管理機構(gòu)，以保證各項條款的嚴格執(zhí)行。精選ppt5.3金融信息平安體系架構(gòu)

及平安策略精選ppt一、金融信息平安保障體系構(gòu)成金融信息平安保障的主要內(nèi)容：重大業(yè)務應用系統(tǒng)的連續(xù)可用性；業(yè)務工作責任的不可否認性；業(yè)務數(shù)據(jù)和信息的真實性、完整性；涉及國家秘密和行業(yè)敏感信息的保密性；授權(quán)的有效性和可控性等。精選ppt一、金融信息平安保障體系構(gòu)成金融信息平安保障體系：(1)平安法規(guī)體系：法律、法規(guī)、條例、合同(2)標準標準體系：技術(shù)標準、建設標準、檢測評估標準、知識產(chǎn)權(quán)保護及質(zhì)量評估等標準(3)平安組織體系：領導體系、組織管理隊伍、人員管理制度(4)平安管理體系：操作規(guī)程、分級控制、平安監(jiān)控(5)技術(shù)支持體系：網(wǎng)絡控制、加密控制、設備維護及軟件支持(6)應急效勞體系精選ppt二、金融信息平安管理策略〔一〕組織管理策略包括信息平安的規(guī)章制度策略和信息平安的運行管理策略。信息平安的運行管理策略包括：建立技術(shù)支持制度、明確平安責任制度等措施。精選ppt二、金融信息平安管理策略〔一〕組織管理策略規(guī)章制度策略：人員平安管理、操作平安管理、場地與設施平安管理、設備平安管理、操作系統(tǒng)、數(shù)據(jù)庫平安管理、網(wǎng)絡平安管理、信息化工程平安管理、應用系統(tǒng)平安管理、技術(shù)文檔平安管理、數(shù)據(jù)平安管理、密碼與密鑰平安管理、認證管理、應急管理和審計管理。精選ppt二、金融信息平安管理策略〔二〕風險管理策略金融信息平安的風險主要表達在技術(shù)、管理、業(yè)務、人員及政策上的風險，必須采取完善的管理戰(zhàn)略和制度來控制風險。金融信息平安風險管理是通過風險評估來識別、控制、降低或消除平安風險的活動過程。精選ppt二、金融信息平安管理策略〔二〕風險管理策略進行深入的風險分析，列舉出可能的風險狀況，采取相應的對策；建立風險信息控制機制，及時通報風險情況，做到信息共享，有效預防可能產(chǎn)生的危害；風險分析從系統(tǒng)方面涉及網(wǎng)絡系統(tǒng)、業(yè)務應用系統(tǒng)、信息系統(tǒng)，辦公系統(tǒng)及根底設施；同時需要分析管理、組織、人員、數(shù)據(jù)、應急支持等風險。精選ppt二、金融信息平安管理策略〔三〕技術(shù)管理策略1、準備與防御金融機構(gòu)需要采取防范措施解決傳統(tǒng)的內(nèi)部或外部詐騙、效勞癱瘓和喪失運行能力等問題；從國家平安角度，需要部門加強預防和抵抗系統(tǒng)攻擊的能力，保證和提高信息共享力度、加強平安保障和脆弱性評估等；金融效勞領域從事信息平安工作的機構(gòu)聯(lián)合起來，共享威脅信息，及時出臺合理措施，對行業(yè)動向協(xié)調(diào)響應。精選ppt二、金融信息平安管理策略〔三〕技術(shù)管理策略2、對國家關鍵根底設施的保護包括對攻擊的預先防御措施和遭受攻擊后重建關鍵根底設施的能力；3、檢測與響應通過不同的防護機制來減少遭受攻擊的可能性，逐步地緩解風險，如脆弱性評估工作、周邊平安防火墻和入侵檢測系統(tǒng)的使用。

精選ppt二、金融信息平安管理策略〔四〕質(zhì)量管理策略建立一套長期的質(zhì)量評測體系，及時發(fā)現(xiàn)平安隱患，將重大的信息平安問題消滅在事件的初期，盡可能減少損失。建設平安分析、評估、測試，檢查控制、反響機制及響應模式的體系；制定相關政策和管理條例，定期進行信息平安的評測，動態(tài)管理、有效控制。

精選ppt二、金融信息平安管理策略〔五〕標準化策略金融信息平安標準化開展方向是：評測標準化和管理標準化。美國可信計算機系統(tǒng)評估準那么(TCSEC)歐洲信息技術(shù)平安性評估準那么(ITSEC)加拿大可信計算機產(chǎn)品評估準那么(CTCPEC)美國聯(lián)邦準那么(FC)、國際通用準那么(CC)、國際標準(1SO15408)等。

精選ppt二、金融信息平安管理策略〔五〕標準化策略信息平安管理標準：?信息技術(shù)平安管理指導方針?(ISO／IECl3335)?銀行業(yè)務和相關金融效勞——銀行業(yè)務信息平安指南?(IS013569)?信息平安管理的實施編碼?(IS014980)?信息平安管理實踐準那么?(ISO／IECl7799-1)?金融業(yè)的平安效勞管理?(ANSIX9．41)

精選ppt二、金融信息平安管理策略〔六〕平安技術(shù)策略金融信息平安技術(shù)策略是指充分運用高新技術(shù)，采用平安技術(shù)防范措施和技術(shù)平安機制建立的現(xiàn)代化技術(shù)防范體系的具體指導，是信息平安的技術(shù)保障策略。精選ppt二、金融信息平安管理策略〔六〕平安技術(shù)策略金融信息平安的技術(shù)要求：(1)平安管理組織(2)環(huán)境平安(3)網(wǎng)絡平安(4)軟件的運行平安(5)應用軟件的開發(fā)平安精選ppt二、金融信息平安管理策略〔六〕平安技術(shù)策略金融信息平安的技術(shù)要求：(6)操作平安(7)數(shù)據(jù)平安(8)應急平安(9)密碼與密鑰平安精選ppt二、金融信息平安管理策略〔七〕應急響應與災難備份策略金融信息平安應急響應策略必須考慮災難發(fā)生時的抗毀壞性與迅速恢復能力，制定并不斷完善信息平安應急處置預案，有必要制定金融信息平安的應急響應策略，制定應急方案。精選ppt三、金融信息平安實施策略實施平安解決方案有5個關鍵技術(shù)點：防毒、控制訪問、加密與認證、漏洞掃描和入侵檢測。從技術(shù)角度來講，應該做好網(wǎng)絡層、系統(tǒng)級和應用級3個方面的防護。精選ppt三、金融信息平安實施策略〔一〕網(wǎng)絡層平安防護1．隔離與訪問控制2．地址轉(zhuǎn)換3．入侵檢測精選ppt

入侵檢測系統(tǒng)入侵檢測系統(tǒng)是一套監(jiān)控計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)那么