電子支付體系的安全策略

第五章電子支付體系的平安策略5.1信息平安概述5.2用信息平安工程理論標(biāo)準(zhǔn)信息平安建設(shè)5.3金融信息平安體系結(jié)構(gòu)及平安策略本章小結(jié)復(fù)習(xí)思考題精選ppt

5.1信息平安概述精選ppt一、信息平安的特征

(1)保密性

(2)完整性

(3)可用性

(4)可控性

(5)信息行為的不可否認(rèn)性精選ppt一、信息平安的特征平安性問(wèn)題可以分成兩類：客戶/效勞器平安和交易平安客戶/效勞器平安要保證只有有效的用戶或軟件程序能夠獲取信息資源；交易平安要保證信息高度公路上數(shù)據(jù)傳輸?shù)臋C(jī)密性和交易的機(jī)密性。精選ppt一、信息平安的特征信息平安可通過(guò)實(shí)施適當(dāng)?shù)目刂拼胧┖捅Ｗo(hù)措施來(lái)實(shí)現(xiàn)：控制措施包括策略、實(shí)施、組織結(jié)構(gòu)和軟件功能，建立一整套的控制措施，確保到達(dá)特定的平安目標(biāo)；具體工作：策略管理、業(yè)務(wù)流程管理、技術(shù)產(chǎn)品選擇與應(yīng)用、人員管理、平安法律法規(guī)制定和執(zhí)行等。精選ppt一、信息平安的特征信息平安可通過(guò)實(shí)施適當(dāng)?shù)目刂拼胧┖捅Ｗo(hù)措施來(lái)實(shí)現(xiàn)：保護(hù)措施應(yīng)考慮實(shí)體平安、運(yùn)行平安和信息資源平安三個(gè)方面；實(shí)體平安主要指環(huán)境、設(shè)備、介質(zhì)的平安；運(yùn)行平安指采取風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急等措施；信息資源平安指采取標(biāo)示與鑒別、訪問(wèn)控制、完整性、機(jī)密性等措施精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)網(wǎng)絡(luò)犯罪的主要形式：通過(guò)互聯(lián)網(wǎng)絡(luò)未經(jīng)許可地進(jìn)入他人的計(jì)算機(jī)設(shè)施，破解他人的密碼，使用他人的計(jì)算機(jī)資源；通過(guò)網(wǎng)絡(luò)向他人計(jì)算機(jī)系統(tǒng)散布計(jì)算機(jī)病毒；進(jìn)行間諜活動(dòng)，竊取、篡改或刪除國(guó)家機(jī)密信息；進(jìn)行商業(yè)間諜活動(dòng)，竊取、篡改或者刪除企事業(yè)單位存儲(chǔ)的商業(yè)秘密和計(jì)算機(jī)程序；非法轉(zhuǎn)移資金；盜竊銀行中他人存款，進(jìn)行各種金融犯罪等。精選ppt黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕效勞攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲(chóng)精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔一〕國(guó)外金融信息平安現(xiàn)狀2000年2月，美國(guó)多數(shù)電子業(yè)務(wù)網(wǎng)站癱瘓，造成約12億美元的損失；2000年3月，兩名英國(guó)青少年攻擊了5個(gè)國(guó)家級(jí)的電子業(yè)務(wù)網(wǎng)站，并竊取了2.6萬(wàn)個(gè)信用卡賬戶；“9·11災(zāi)難〞造成金融業(yè)的巨大損失，銀行根底設(shè)施被破壞，給運(yùn)行帶來(lái)困難；2003年8月，美國(guó)、加拿大和英國(guó)發(fā)生的大面積停電事件，造成銀行信息系統(tǒng)不能正常運(yùn)轉(zhuǎn)……精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔一〕國(guó)外金融信息平安現(xiàn)狀1．美國(guó)1998.5美國(guó)政府頒發(fā)?保護(hù)美國(guó)關(guān)鍵根底設(shè)施?總統(tǒng)令；美國(guó)國(guó)家平安局制定?信息保障技術(shù)框架?；2002.9美同先后發(fā)布了?保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略和?美國(guó)國(guó)家平安戰(zhàn)略?。精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔一〕國(guó)外金融信息平安現(xiàn)狀1．美國(guó)明確將信息平安與國(guó)土平安作為國(guó)家平安有機(jī)結(jié)合的組成局部；明確把銀行與金融部門列為國(guó)家關(guān)鍵根底設(shè)施組成局部；制定了一整套平安措施，成立了金融信息共享與分析中心，形成了“準(zhǔn)備與防范〞、“檢測(cè)與響應(yīng)〞、“重建與恢復(fù)〞的平安保護(hù)戰(zhàn)略框架。精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔一〕國(guó)外金融信息平安現(xiàn)狀2．俄羅斯1995年公布?聯(lián)邦信息、信息化和信息保護(hù)法?，明確界定了信息資源開(kāi)放和保密的范疇，提出了保護(hù)信息的法律責(zé)任；精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔一〕國(guó)外金融信息平安現(xiàn)狀2．俄羅斯2000年9月發(fā)布?俄羅斯聯(lián)邦信息平安學(xué)說(shuō)?明確了聯(lián)邦信息平安建設(shè)的目的、任務(wù)、原那么和主要內(nèi)容；明確指出了俄羅斯在信息領(lǐng)域的利益、受到的威脅以及為確保信息平安首先要采取的措施等；指出國(guó)家平安依賴于信息平安的保障，保障信息平安必須從法律、技術(shù)組織及經(jīng)濟(jì)等方面采取措施。精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔二〕我國(guó)金融業(yè)信息平安現(xiàn)狀1998年9月22日，黑客入侵揚(yáng)州工商銀行電腦系統(tǒng)，將72萬(wàn)元注入其戶頭，提出26萬(wàn)元。為國(guó)內(nèi)首例利用計(jì)算機(jī)盜竊銀行巨款案件；1999年4月16日：黑客入侵中亞信托投資公司上海某證券營(yíng)業(yè)部，造成340萬(wàn)元損失。1999年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對(duì)銀行自動(dòng)提款機(jī)的黑客案件，用戶的信用卡被盜1.799萬(wàn)元。1999年11月23日：銀行內(nèi)部人員通過(guò)更改程序，用虛假信息從本溪某銀行提取出86萬(wàn)元。精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔二〕我國(guó)金融業(yè)信息平安現(xiàn)狀2003年9月發(fā)布了?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)?，成為我國(guó)今后信息平安工作的指導(dǎo)性文件。現(xiàn)階段我國(guó)信息平安保障的指導(dǎo)思想是：堅(jiān)持積極防御、綜合防范的方針，全面提高信息平安防護(hù)能力、重點(diǎn)保障根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)平安，創(chuàng)立平安健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化開(kāi)展，保護(hù)公眾利益，維護(hù)國(guó)家平安。精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔二〕我國(guó)金融業(yè)信息平安現(xiàn)狀中國(guó)人民銀行1999年制定了?國(guó)家金融信息系統(tǒng)平安總體綱要?，2002年制定了?中國(guó)人民銀行信息系統(tǒng)平安總體規(guī)劃?，編制了?中國(guó)人民銀行信息系統(tǒng)平安保障總體技術(shù)框架?；嚴(yán)格內(nèi)聯(lián)網(wǎng)與Internet物理隔離制度，在全網(wǎng)實(shí)施了網(wǎng)絡(luò)防病毒系統(tǒng)、防火墻系統(tǒng)、內(nèi)聯(lián)網(wǎng)非法撥號(hào)監(jiān)控系統(tǒng)，在全行部署入侵檢測(cè)系統(tǒng)與漏洞掃描系統(tǒng)，形成信息平安預(yù)警體系。精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔三〕金融信息平安開(kāi)展趨勢(shì)金融信息平安的主要威脅有：(1)人為的失誤(2)欺詐行為(3)內(nèi)部人員破壞行為(4)物理資源效勞喪失(5)黑客攻擊精選ppt二、金融信息平安現(xiàn)狀及趨勢(shì)〔三〕金融信息平安開(kāi)展趨勢(shì)金融信息平安的主要威脅有：(6)商業(yè)信息泄密(7)病毒(惡意程序)侵襲(8)程序系統(tǒng)自身的缺陷精選ppt三、信息平安的內(nèi)涵1．物理平安(physicalsecurity)物理平安手段主要針對(duì)各類物理攻擊活動(dòng)，用過(guò)必要的監(jiān)控、保安和災(zāi)難預(yù)防措施確保目標(biāo)系統(tǒng)中各類設(shè)備的平安；2．電磁平安(electromagneticsecurity)對(duì)目標(biāo)系統(tǒng)中使用的各類設(shè)備的電磁兼容性進(jìn)行設(shè)計(jì)和處理或采用光纖等空間輻射小的傳輸介質(zhì)。精選ppt三、信息平安的內(nèi)涵3．網(wǎng)絡(luò)平安(networksecurity)網(wǎng)絡(luò)平安主要是針對(duì)用戶應(yīng)用數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的平安保護(hù)問(wèn)題；4．?dāng)?shù)據(jù)平安(datasecurity)數(shù)據(jù)平安是針對(duì)用戶信息資源在存儲(chǔ)和使用過(guò)程的平安保護(hù)手段；精選ppt三、信息平安的內(nèi)涵5．系統(tǒng)平安(systemsecurity)確保用戶授權(quán)的合法性和有效性；6．操作平安(operationsecurity)操作平安是對(duì)一般業(yè)務(wù)操作流程的平安保護(hù)；7．人員平安(personnelsecurity)實(shí)行平安責(zé)任制，加強(qiáng)平安教育。精選ppt四、信息系統(tǒng)平安等級(jí)1．可信計(jì)算機(jī)系統(tǒng)(TCSEC)平安等級(jí)精選pptTCSEC平安等級(jí)劃分標(biāo)準(zhǔn)平安性等級(jí)

主要特征D非平安保護(hù)DCBA最低保護(hù)等級(jí)自主保護(hù)等級(jí)強(qiáng)制保護(hù)等級(jí)C1C2自主平安保護(hù)可控存取保護(hù)自主存取控制、審計(jì)功能比C1更強(qiáng)的自主存取控制、審計(jì)功能B1B2B3A1可驗(yàn)證保護(hù)可結(jié)構(gòu)化保護(hù)平安區(qū)域保護(hù)強(qiáng)度存取控制，敏感度標(biāo)記形式化模型，隱蔽通道約束平安內(nèi)核，高抗?jié)B透能力形式化平安驗(yàn)證，隱蔽通道分析標(biāo)記平安保護(hù)精選ppt四、信息系統(tǒng)平安等級(jí)2．我國(guó)信息系統(tǒng)平安保護(hù)等級(jí)劃分標(biāo)準(zhǔn)第一級(jí)：用戶自主保護(hù)級(jí)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基：計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、軟件和負(fù)責(zé)執(zhí)行平安策略的組合體；建立了根本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算機(jī)系統(tǒng)所要求的附加用戶效勞。精選ppt四、信息系統(tǒng)平安等級(jí)2．我國(guó)信息系統(tǒng)平安保護(hù)等級(jí)劃分標(biāo)準(zhǔn)第一級(jí)：用戶自主保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主平安保護(hù)的能力。精選ppt四、信息系統(tǒng)平安等級(jí)2．我國(guó)信息系統(tǒng)平安保護(hù)等級(jí)劃分標(biāo)準(zhǔn)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)登錄規(guī)程、審計(jì)平安性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。精選ppt四、信息系統(tǒng)平安等級(jí)2．我國(guó)信息系統(tǒng)平安保護(hù)等級(jí)劃分標(biāo)準(zhǔn)第三級(jí)：平安標(biāo)記保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。此外，還提供有關(guān)平安策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述；具有準(zhǔn)確地標(biāo)記輸出信息的能力；可以消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。精選ppt四、信息系統(tǒng)平安等級(jí)2．我國(guó)信息系統(tǒng)平安保護(hù)等級(jí)劃分標(biāo)準(zhǔn)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基建立于一個(gè)明確定義的形式化平安策略模型，要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體；加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制；系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。精選ppt四、信息系統(tǒng)平安等級(jí)2．我國(guó)信息系統(tǒng)平安保護(hù)等級(jí)劃分標(biāo)準(zhǔn)第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求，訪問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪問(wèn)。支持平安管理員職能，擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與平安相關(guān)的事件時(shí)發(fā)出信號(hào)；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。精選ppt5.2用信息平安工程理論

標(biāo)準(zhǔn)信息平安建設(shè)

精選ppt一、信息平安工程信息平安工程是采用工程的概念、原理、技術(shù)和方法，來(lái)研究、開(kāi)發(fā)、實(shí)施與維護(hù)企業(yè)級(jí)信息與網(wǎng)絡(luò)系統(tǒng)平安的過(guò)程。

精選ppt一、信息平安工程信息平安工程的特性：全面性：信息平安問(wèn)題需要全面考慮，系統(tǒng)平安程度取決于最薄弱的環(huán)節(jié)；過(guò)程性：一個(gè)完整的平安過(guò)程至少包括平安目標(biāo)與原那么確實(shí)定、風(fēng)險(xiǎn)分析、需求分析、平安策略研究、平安體系結(jié)構(gòu)的研究、平安實(shí)施領(lǐng)域確實(shí)定、平安技術(shù)與產(chǎn)品的測(cè)試與選型、平安工程的實(shí)施、監(jiān)理、測(cè)試與運(yùn)行、平安意識(shí)教育與技術(shù)培訓(xùn)、平安稽核與檢查、應(yīng)急響應(yīng)；精選ppt一、信息平安工程信息平安工程的特性：動(dòng)態(tài)性：最大程度上使平安系統(tǒng)能夠跟上實(shí)際情況的變化發(fā)揮效用；層次性：用多層次的平安技術(shù)、方法與手段，分層次地化解平安風(fēng)險(xiǎn)；相對(duì)性：沒(méi)有絕對(duì)的平安精選ppt一、信息平安工程信息平安工程的研究范疇：信息平安工程的目標(biāo)、原那么與范圍，信息平安風(fēng)險(xiǎn)分析與評(píng)估的方法、手段、流程；信息平安需求分析方法，平安策略，平安體系結(jié)構(gòu)，平安實(shí)施領(lǐng)域及平安解決方案，平安技術(shù)與產(chǎn)品的測(cè)試與選型方法；平安工程的實(shí)施標(biāo)準(zhǔn)，平安工程的實(shí)施監(jiān)理方法、流程，平安工程的測(cè)試與運(yùn)行；平安意識(shí)的教育與技術(shù)培訓(xùn)，平安稽核與檢查，應(yīng)急響應(yīng)技術(shù)、方法與流程等。精選ppt一、信息平安工程企業(yè)在建立與實(shí)施企業(yè)級(jí)的信息與網(wǎng)絡(luò)系統(tǒng)平安體系時(shí)，必須兼顧：信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估與分析、平安需求分析、整體平安策略、平安模型、平安體系結(jié)構(gòu)的開(kāi)發(fā)、信息網(wǎng)絡(luò)平安的技術(shù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)的制定、信息網(wǎng)絡(luò)平安工程的實(shí)施與監(jiān)理、信息網(wǎng)絡(luò)平安意識(shí)的教育與技術(shù)的培訓(xùn)等；精選ppt一、信息平安工程工程實(shí)施單位必須嚴(yán)格按照信息平安工程的過(guò)程、標(biāo)準(zhǔn)進(jìn)行實(shí)施；管理部門必須采用信息平安工程能力成熟度對(duì)企業(yè)平安工程的質(zhì)量、平安工程實(shí)施單位的實(shí)施能力進(jìn)行評(píng)估。精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估對(duì)一個(gè)系統(tǒng)來(lái)說(shuō)，解決信息平安的首要問(wèn)題是明白信息與網(wǎng)絡(luò)系統(tǒng)目前與未來(lái)的風(fēng)險(xiǎn)所在，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的威脅與影響的程度，做到“對(duì)癥下藥〞。精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估風(fēng)險(xiǎn)分析與評(píng)估的原理：風(fēng)險(xiǎn)評(píng)估是對(duì)采用的平安策略和規(guī)章制度進(jìn)行評(píng)審，發(fā)現(xiàn)不合理的地方，采用模擬攻擊的形式對(duì)目標(biāo)可能存在的平安漏洞進(jìn)行逐項(xiàng)檢查，確定存在的平安隱患和風(fēng)險(xiǎn)級(jí)別；風(fēng)險(xiǎn)分析是檢查系統(tǒng)的體系結(jié)構(gòu)、指導(dǎo)策略、人員狀況以及各類設(shè)備等各種對(duì)象，根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的平安性分析報(bào)告，為提高網(wǎng)絡(luò)平安整體水平提供重要依據(jù)。精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估1．目標(biāo)和原那么風(fēng)險(xiǎn)分析的具體目標(biāo)：了解網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、管理水平及可能存在的平安隱患；了解網(wǎng)絡(luò)所提供的效勞及可能存在的平安問(wèn)題；了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層的接口及其相應(yīng)的平安問(wèn)題；網(wǎng)絡(luò)攻擊和電子欺騙的檢測(cè)、模擬及預(yù)防；分析信息網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)的平安需求，找出目前的平安策略和實(shí)際需求的差距，為保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的平安提供科學(xué)依據(jù)。精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估1．目標(biāo)和原那么風(fēng)險(xiǎn)分析的原那么：由于風(fēng)險(xiǎn)分析與評(píng)估的內(nèi)容涉及很多方面，因此進(jìn)行分析時(shí)要本著多層面、多角度的原那么，從理論到實(shí)際，從軟件到硬件，從物件到人員，要事先制定詳細(xì)的分析方案和分析步驟，防止遺漏。為了保證風(fēng)險(xiǎn)分析結(jié)果的可靠性和科學(xué)性，風(fēng)險(xiǎn)分析還要參考有關(guān)的信息平安標(biāo)準(zhǔn)和規(guī)定。精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估2．對(duì)象和范圍風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該涵蓋信息網(wǎng)絡(luò)系統(tǒng)的整個(gè)體系，包括網(wǎng)絡(luò)平安組織、制度和人員情況，網(wǎng)絡(luò)平安技術(shù)方法的使用情況，防火墻布控及外聯(lián)業(yè)務(wù)平安情況；鏈路、數(shù)據(jù)及應(yīng)用加密情況，網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制狀況等。人是最關(guān)鍵要素。精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估2．對(duì)象和范圍(1)網(wǎng)絡(luò)根本情況分析規(guī)模、結(jié)構(gòu)、出口(2)信息系統(tǒng)根本平安狀況調(diào)查黑客、違規(guī)操作、平安意識(shí)(3)信息系統(tǒng)平安組織、政策情況分析平安領(lǐng)導(dǎo)小組、平安管理制度及管理人員精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估2．對(duì)象和范圍(4)網(wǎng)絡(luò)平安技術(shù)措施使用情況分析密級(jí)劃分及保護(hù)措施、網(wǎng)絡(luò)防病毒體系(5)防火墻布控及外聯(lián)業(yè)務(wù)平安狀況分析對(duì)外連接方式及平安措施(6)動(dòng)態(tài)平安管理狀況分析入侵檢測(cè)系統(tǒng)、系統(tǒng)日志的審計(jì)與分析

精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估2．對(duì)象和范圍(7)鏈路、數(shù)據(jù)及應(yīng)用加密情況分析加密措施、綜合布線、關(guān)鍵線路的備份(8)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制狀況分析用戶訪問(wèn)控制手段、管理員權(quán)限的別離、對(duì)網(wǎng)絡(luò)資源訪問(wèn)的日志和審計(jì)(9)白客測(cè)試抗攻擊能力精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估3．方法與手段風(fēng)險(xiǎn)分析可以使用以下方式實(shí)現(xiàn)：?jiǎn)柧碚{(diào)查、訪談、文檔審查、黑盒測(cè)試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡(luò)效勞的平安漏洞和隱患的檢查和分析、抗攻擊測(cè)試、綜合審計(jì)報(bào)告等。精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估3．方法與手段風(fēng)險(xiǎn)分析的過(guò)程：(1)確定要保護(hù)的資產(chǎn)及價(jià)值(2)分析信息資產(chǎn)之間的相互依賴性(3)確定存在的風(fēng)險(xiǎn)和威脅(4)分析可能的入侵者精選ppt二、平安風(fēng)險(xiǎn)分析與評(píng)估4．結(jié)果與結(jié)論為了便于對(duì)風(fēng)險(xiǎn)分析結(jié)果的評(píng)審，要求結(jié)果能夠量化的盡可能地量化，不能量化的做出形式化描述。如何根據(jù)分析的數(shù)據(jù)結(jié)果得出最終的評(píng)估結(jié)論也是一項(xiàng)重要的工作，需要平安專家進(jìn)行總結(jié)。精選ppt

三、需求分析平安需求是一個(gè)企業(yè)為保護(hù)其信息系統(tǒng)的平安，對(duì)必須要做的工作的全面描述，是一個(gè)詳細(xì)、全面、系統(tǒng)的工作規(guī)劃，是經(jīng)過(guò)仔細(xì)的研究和分析得出的一份技術(shù)成果。是在平安風(fēng)險(xiǎn)分析與評(píng)估工作的根底上進(jìn)行的。精選ppt三、需求分析1．需求分析的原那么(1)遵照法律信息平安工作不僅僅是某個(gè)企業(yè)單位的工作，也是一個(gè)國(guó)家性的工作，必須把局部的平安工作與全局的工作協(xié)調(diào)起來(lái)，必須按照有關(guān)的法律和規(guī)定實(shí)施平安工程。(2)依據(jù)標(biāo)準(zhǔn)為了保證需求分析的質(zhì)量，必須做到“有據(jù)可查〞，必須用有關(guān)的技術(shù)標(biāo)準(zhǔn)來(lái)衡量。精選ppt

三、需求分析1．需求分析的原那么(3)分層分析平安工程涉及策略、體系結(jié)構(gòu)、技術(shù)、管理等各個(gè)層次的工作，平安工程的層次性也就決定了需求分析的層次性。(4)結(jié)合實(shí)際平安工程的實(shí)施是針對(duì)一個(gè)具體的信息系統(tǒng)環(huán)境的，所有工作的開(kāi)展必須建立在這個(gè)實(shí)際根底之上，不同環(huán)境需求分析的結(jié)果是不同的。精選ppt

三、需求分析2．需求分析的內(nèi)容(1)管理層研究為了保證系統(tǒng)的平安，應(yīng)該建立一個(gè)怎樣的管理體制。(2)物理層根據(jù)實(shí)際情況，確定單位各實(shí)體財(cái)產(chǎn)的平安級(jí)別，需要什么程度的平安防護(hù)；到達(dá)什么樣的平安目的。精選ppt

三、需求分析2．需求分析的內(nèi)容(3)系統(tǒng)層研究為保證平安應(yīng)該要求操作平臺(tái)到達(dá)什么樣的平安級(jí)別；為到達(dá)所要求的級(jí)別，應(yīng)該選用什么樣的操作系統(tǒng)；如何使用、管理、配置操作系統(tǒng)。(4)網(wǎng)絡(luò)層根據(jù)信息系統(tǒng)的業(yè)務(wù)方向，分析系統(tǒng)的網(wǎng)絡(luò)平安需求，確定應(yīng)該采用什么樣的防護(hù)方式。精選ppt

三、需求分析2．需求分析的內(nèi)容(5)應(yīng)用層應(yīng)用層是網(wǎng)絡(luò)分層結(jié)構(gòu)的最上層，是用戶直接接觸的局部。由于基于網(wǎng)絡(luò)的應(yīng)用很多，供給商也很多，所以存在的平安問(wèn)題也很多，相應(yīng)的平安防護(hù)技術(shù)也很多，需要根據(jù)實(shí)際情況來(lái)衡量對(duì)它們的需求程度。精選ppt

三、需求分析3．網(wǎng)絡(luò)平安系統(tǒng)設(shè)計(jì)原那么(1)木桶原那么。對(duì)信息均衡、全面地進(jìn)行保護(hù)。(2)整體性原那么。進(jìn)行平安防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。(3)實(shí)用性原那么。不影響系統(tǒng)的正常運(yùn)行和合法用戶的操作。(4)等級(jí)性原那么。區(qū)分平安層次和平安級(jí)別。(5)動(dòng)態(tài)化原那么。平安需要不斷更新。(6)設(shè)計(jì)為本原那么。平安設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)同步進(jìn)行。精選ppt四、平安策略平安策略是為發(fā)布、管理和保護(hù)敏感的信息資源而制定的一組法律、法規(guī)和措施的總和，是對(duì)信息資源使用、管理規(guī)那么的正式描述，是企業(yè)內(nèi)所有成員都必須遵守的規(guī)那么；平安策略為保證信息根底的平安性提供了一個(gè)框架，提供了管理網(wǎng)絡(luò)平安性的方法，規(guī)定了各部門要遵守的標(biāo)準(zhǔn)及應(yīng)負(fù)的責(zé)任，使得信息網(wǎng)絡(luò)系統(tǒng)的平安有了切實(shí)的依據(jù)。精選ppt四、平安策略1．制定平安策略的原那么策略的制定應(yīng)該由專門的“平安策略委員會(huì)〞來(lái)負(fù)責(zé)，他們應(yīng)該由平安專業(yè)人士和來(lái)自系統(tǒng)內(nèi)不同部門的職員組成。平安策略在制定時(shí)必須兼顧它的可理解性、技術(shù)上的可實(shí)現(xiàn)性、組織上的可執(zhí)行性。精選ppt四、平安策略1．制定平安策略的原那么企業(yè)級(jí)平安策略的制定包括三個(gè)層面：(1)抽象平安策略。它通常表現(xiàn)為一系列的自然語(yǔ)言描述的文檔，是企業(yè)根據(jù)自身的任務(wù)、面臨的威脅和風(fēng)險(xiǎn)，以及上層的制度、法律等制定出來(lái)限制用戶使用資源和使用方式的一組規(guī)定。精選ppt四、平安策略1．制定平安策略的原那么企業(yè)級(jí)平安策略的制定包括三個(gè)層面：(2)全局自動(dòng)平安策略。是抽象平安策略的子集和細(xì)化，指能夠由計(jì)算機(jī)、路由器等設(shè)備自動(dòng)實(shí)施的平安措施的規(guī)那么和約束；主要從平安功能的角度考慮，分為標(biāo)識(shí)與認(rèn)證、授權(quán)與訪問(wèn)控制、信息保密與完整性、數(shù)字簽名與抗抵賴、平安審計(jì)、入侵檢測(cè)、響應(yīng)與恢復(fù)、病毒防范、容錯(cuò)與備份等策略。精選ppt四、平安策略1．制定平安策略的原那么企業(yè)級(jí)平安策略的制定包括三個(gè)層面：(3)局部執(zhí)行策略。是分布在終端系統(tǒng)、中繼系統(tǒng)和應(yīng)用系統(tǒng)中的總體平安策略的子集和具體實(shí)施；是指物理組件與邏輯組件所實(shí)施的形式化的規(guī)那么，如口令管理策略、防火墻過(guò)濾規(guī)那么、認(rèn)證系統(tǒng)中的認(rèn)證策略、訪問(wèn)控制系統(tǒng)中的主體的能力表、資源的訪問(wèn)控制鏈表、平安標(biāo)簽等。精選ppt四、平安策略2．平安策略的內(nèi)容(1)保護(hù)的內(nèi)容和目標(biāo)平安策略中要包含信息網(wǎng)絡(luò)系統(tǒng)中要保護(hù)的所有資產(chǎn)以及每件資產(chǎn)的重要性和其要到達(dá)的平安程度。(2)實(shí)施保護(hù)的方法明確對(duì)信息網(wǎng)絡(luò)系統(tǒng)中的各類資產(chǎn)進(jìn)行保護(hù)所采用的具體的方法。精選ppt四、平安策略2．平安策略的內(nèi)容(3)明確的責(zé)任只有調(diào)動(dòng)大家的積極性，集體參與才能真正有效地保護(hù)系統(tǒng)的平安。要有效組織大家協(xié)同工作，就必須明確每個(gè)人在平安保護(hù)工程中的責(zé)任和義務(wù)。(4)事故的處理為了確保任務(wù)的落實(shí)，提高大家的平安意識(shí)和警惕性，必須規(guī)定相關(guān)的處分條款，并組建監(jiān)督、管理機(jī)構(gòu)，以保證各項(xiàng)條款的嚴(yán)格執(zhí)行。精選ppt5.3金融信息平安體系架構(gòu)

及平安策略精選ppt一、金融信息平安保障體系構(gòu)成金融信息平安保障的主要內(nèi)容：重大業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)可用性；業(yè)務(wù)工作責(zé)任的不可否認(rèn)性；業(yè)務(wù)數(shù)據(jù)和信息的真實(shí)性、完整性；涉及國(guó)家秘密和行業(yè)敏感信息的保密性；授權(quán)的有效性和可控性等。精選ppt一、金融信息平安保障體系構(gòu)成金融信息平安保障體系：(1)平安法規(guī)體系：法律、法規(guī)、條例、合同(2)標(biāo)準(zhǔn)標(biāo)準(zhǔn)體系：技術(shù)標(biāo)準(zhǔn)、建設(shè)標(biāo)準(zhǔn)、檢測(cè)評(píng)估標(biāo)準(zhǔn)、知識(shí)產(chǎn)權(quán)保護(hù)及質(zhì)量評(píng)估等標(biāo)準(zhǔn)(3)平安組織體系：領(lǐng)導(dǎo)體系、組織管理隊(duì)伍、人員管理制度(4)平安管理體系：操作規(guī)程、分級(jí)控制、平安監(jiān)控(5)技術(shù)支持體系：網(wǎng)絡(luò)控制、加密控制、設(shè)備維護(hù)及軟件支持(6)應(yīng)急效勞體系精選ppt二、金融信息平安管理策略〔一〕組織管理策略包括信息平安的規(guī)章制度策略和信息平安的運(yùn)行管理策略。信息平安的運(yùn)行管理策略包括：建立技術(shù)支持制度、明確平安責(zé)任制度等措施。精選ppt二、金融信息平安管理策略〔一〕組織管理策略規(guī)章制度策略：人員平安管理、操作平安管理、場(chǎng)地與設(shè)施平安管理、設(shè)備平安管理、操作系統(tǒng)、數(shù)據(jù)庫(kù)平安管理、網(wǎng)絡(luò)平安管理、信息化工程平安管理、應(yīng)用系統(tǒng)平安管理、技術(shù)文檔平安管理、數(shù)據(jù)平安管理、密碼與密鑰平安管理、認(rèn)證管理、應(yīng)急管理和審計(jì)管理。精選ppt二、金融信息平安管理策略〔二〕風(fēng)險(xiǎn)管理策略金融信息平安的風(fēng)險(xiǎn)主要表達(dá)在技術(shù)、管理、業(yè)務(wù)、人員及政策上的風(fēng)險(xiǎn)，必須采取完善的管理戰(zhàn)略和制度來(lái)控制風(fēng)險(xiǎn)。金融信息平安風(fēng)險(xiǎn)管理是通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別、控制、降低或消除平安風(fēng)險(xiǎn)的活動(dòng)過(guò)程。精選ppt二、金融信息平安管理策略〔二〕風(fēng)險(xiǎn)管理策略進(jìn)行深入的風(fēng)險(xiǎn)分析，列舉出可能的風(fēng)險(xiǎn)狀況，采取相應(yīng)的對(duì)策；建立風(fēng)險(xiǎn)信息控制機(jī)制，及時(shí)通報(bào)風(fēng)險(xiǎn)情況，做到信息共享，有效預(yù)防可能產(chǎn)生的危害；風(fēng)險(xiǎn)分析從系統(tǒng)方面涉及網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、信息系統(tǒng)，辦公系統(tǒng)及根底設(shè)施；同時(shí)需要分析管理、組織、人員、數(shù)據(jù)、應(yīng)急支持等風(fēng)險(xiǎn)。精選ppt二、金融信息平安管理策略〔三〕技術(shù)管理策略1、準(zhǔn)備與防御金融機(jī)構(gòu)需要采取防范措施解決傳統(tǒng)的內(nèi)部或外部詐騙、效勞癱瘓和喪失運(yùn)行能力等問(wèn)題；從國(guó)家平安角度，需要部門加強(qiáng)預(yù)防和抵抗系統(tǒng)攻擊的能力，保證和提高信息共享力度、加強(qiáng)平安保障和脆弱性評(píng)估等；金融效勞領(lǐng)域從事信息平安工作的機(jī)構(gòu)聯(lián)合起來(lái)，共享威脅信息，及時(shí)出臺(tái)合理措施，對(duì)行業(yè)動(dòng)向協(xié)調(diào)響應(yīng)。精選ppt二、金融信息平安管理策略〔三〕技術(shù)管理策略2、對(duì)國(guó)家關(guān)鍵根底設(shè)施的保護(hù)包括對(duì)攻擊的預(yù)先防御措施和遭受攻擊后重建關(guān)鍵根底設(shè)施的能力；3、檢測(cè)與響應(yīng)通過(guò)不同的防護(hù)機(jī)制來(lái)減少遭受攻擊的可能性，逐步地緩解風(fēng)險(xiǎn)，如脆弱性評(píng)估工作、周邊平安防火墻和入侵檢測(cè)系統(tǒng)的使用。

精選ppt二、金融信息平安管理策略〔四〕質(zhì)量管理策略建立一套長(zhǎng)期的質(zhì)量評(píng)測(cè)體系，及時(shí)發(fā)現(xiàn)平安隱患，將重大的信息平安問(wèn)題消滅在事件的初期，盡可能減少損失。建設(shè)平安分析、評(píng)估、測(cè)試，檢查控制、反響機(jī)制及響應(yīng)模式的體系；制定相關(guān)政策和管理?xiàng)l例，定期進(jìn)行信息平安的評(píng)測(cè)，動(dòng)態(tài)管理、有效控制。

精選ppt二、金融信息平安管理策略〔五〕標(biāo)準(zhǔn)化策略金融信息平安標(biāo)準(zhǔn)化開(kāi)展方向是：評(píng)測(cè)標(biāo)準(zhǔn)化和管理標(biāo)準(zhǔn)化。美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么(TCSEC)歐洲信息技術(shù)平安性評(píng)估準(zhǔn)那么(ITSEC)加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)那么(CTCPEC)美國(guó)聯(lián)邦準(zhǔn)那么(FC)、國(guó)際通用準(zhǔn)那么(CC)、國(guó)際標(biāo)準(zhǔn)(1SO15408)等。

精選ppt二、金融信息平安管理策略〔五〕標(biāo)準(zhǔn)化策略信息平安管理標(biāo)準(zhǔn)：?信息技術(shù)平安管理指導(dǎo)方針?(ISO／IECl3335)?銀行業(yè)務(wù)和相關(guān)金融效勞——銀行業(yè)務(wù)信息平安指南?(IS013569)?信息平安管理的實(shí)施編碼?(IS014980)?信息平安管理實(shí)踐準(zhǔn)那么?(ISO／IECl7799-1)?金融業(yè)的平安效勞管理?(ANSIX9．41)

精選ppt二、金融信息平安管理策略〔六〕平安技術(shù)策略金融信息平安技術(shù)策略是指充分運(yùn)用高新技術(shù)，采用平安技術(shù)防范措施和技術(shù)平安機(jī)制建立的現(xiàn)代化技術(shù)防范體系的具體指導(dǎo)，是信息平安的技術(shù)保障策略。精選ppt二、金融信息平安管理策略〔六〕平安技術(shù)策略金融信息平安的技術(shù)要求：(1)平安管理組織(2)環(huán)境平安(3)網(wǎng)絡(luò)平安(4)軟件的運(yùn)行平安(5)應(yīng)用軟件的開(kāi)發(fā)平安精選ppt二、金融信息平安管理策略〔六〕平安技術(shù)策略金融信息平安的技術(shù)要求：(6)操作平安(7)數(shù)據(jù)平安(8)應(yīng)急平安(9)密碼與密鑰平安精選ppt二、金融信息平安管理策略〔七〕應(yīng)急響應(yīng)與災(zāi)難備份策略金融信息平安應(yīng)急響應(yīng)策略必須考慮災(zāi)難發(fā)生時(shí)的抗毀壞性與迅速恢復(fù)能力，制定并不斷完善信息平安應(yīng)急處置預(yù)案，有必要制定金融信息平安的應(yīng)急響應(yīng)策略，制定應(yīng)急方案。精選ppt三、金融信息平安實(shí)施策略實(shí)施平安解決方案有5個(gè)關(guān)鍵技術(shù)點(diǎn)：防毒、控制訪問(wèn)、加密與認(rèn)證、漏洞掃描和入侵檢測(cè)。從技術(shù)角度來(lái)講，應(yīng)該做好網(wǎng)絡(luò)層、系統(tǒng)級(jí)和應(yīng)用級(jí)3個(gè)方面的防護(hù)。精選ppt三、金融信息平安實(shí)施策略〔一〕網(wǎng)絡(luò)層平安防護(hù)1．隔離與訪問(wèn)控制2．地址轉(zhuǎn)換3．入侵檢測(cè)精選ppt

入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)是一套監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)那么