第五章_金融信息安全防范技术措施.pptVIP

第五章金融信息安全防范技术措施 前言 金融信息系统和安全对于国家和个人都是十分重要的，但过去走的路是先应用，后安全。近年来，IT安全技术有了创新和飞快发展，因此，金融业及时地抓住了机会，加强了自身信息系统的安全建设。 Contents 4.1 成熟的、标准的安全系统 1. DOD（Department of Defense） 美国国防部发起研制； 制定了一系列计算机安全的策略和标准； 1985年改为NCSC（国家计算机安全中心），专门从事计算机信息安全标准制定； ISO/TC97；ISO7489；ISO7489-2（扩充）； DOD就是发展迅速的安全服务与安全机制的有效组合。 防止“木桶效应” 4.1 成熟的、标准的安全系统 2. DISSP规划（Defense Wide Information System Security Program） 全国国防部信息系统安全计划 目的：为所有的国防信息系统提供一个联合的并且是安全集成的安全策略和体系结构，并提供一个过程来管理所有的安全策略和体系结构。（对金融业极有参考价值） 4.1 成熟的、标准的安全系统 (1) DISSP目标 确保DOD以最有效和最及时的方法正确的部署和管理防御信息系统安全计划； 使所用的系统成为高度自动化的信息系统和远程通信网络； 实现的信息系统要做到操作有效、可互操作、安全和代价的费用； 提倡协调的、继承的开发防御信息系统； 在各部门之间具有最大的互操作性（如金融数据大集中各分行、各业务之间的连动）； 4.1 成熟的、标准的安全系统 (2) 为实现DISSP目标，须解决的问题： 注意到当前信息应用系统的安全策略，大部分是支离破碎不完整的（如身份认证机制） ； 统一标准，统一平台，统一开发，统一性综合策略； (3) 解决问题的八项主要计划： 建立一个完善、连贯的信息安全策略； 研究已有信息系统安全体系结构； 研究由体系结构引出的信息系统安全标准和协议 4.1 成熟的、标准的安全系统 (3)解决问题的八项主要计划 建立一个完善的和连贯的信息安全策略； 研究国际信息系统安全体系结构； 研究由体系结构引出的信息系统安全标准和协议； 4.1 成熟的、标准的安全系统 (4)解决问题的八项主要计划（续） 为信息系统定义一个统一的安全鉴别过程； 研究所必须的安全技术（PKI）； 定义总的过渡计划； 在信息系统、网络开发者、实现者和操作者之间建立协调合作的关系； 为确保国防信息系统的连贯性，要有成熟的安全产品和服务。 4.2 DISSP框架 5.2 DISSP的系统安全框架 4.2 DISSP的系统安全框架 2. DISSP的组成 由一个把安全属性转换成系统部件和协议层的三维矩阵组成，如图4-1 4.2 DISSP的系统安全框架 1. DISSP的组成 安全属性维(X轴) 安全属性是基于上述ISO7489-2的有关安全服务的描述它的几个主要类型一般定义系统结构的要求就足够了。 ——物理、过程、人员（11子类）； ——机密性 ——可审计性 ——认证 ——访问控制 ——完整性 ——抗否认性 ——可用性 4.2 DISSP的系统安全框架 1. DISSP的组成 安全属性维(X轴) 安全属性是基于上述ISO7489-2的有关安全服务的描述它的几个主要类型一般定义系统结构的要求就足够了。 ——抗否认性 ——可用性 ——质量保证； ——互操作性 ——执行性 4.2 DISSP的系统安全框架 1. DISSP的组成 系统部件维（Z轴） 系统部件维使得系统工程师和项目管理者考虑哪些部件将作为一个专门系统进行设计和建造，并且，必须将这些部件与安全属性维中的安全性对应起来。要作好合理的选择。 它描述了各种组织之间连接的层次关系（如总—省—市分行）。这种层次关系很便于讨论清楚：网络、端系统、安全管理和接口之间的关系。 4.2 DISSP的系统安全框架 1. DISSP的组成 系统部件维（Z轴） ——端系统（上面是用户，下面是访问设备，最后是主机和服务器）； ——接口（局域网、广域网之间；路由器、网桥、网关和协议转换器接口之间） ——网络系统（局域网、广域网、交换机、网络协议转换） ——安全管理（系统安全管理、安全服务管理、安全机制管理。） 4.2 DISSP的系统安全框架 OSI维（Y轴） 本框架的Y轴是开放式系统互联（OSI） Y维由OSI基本参考协议模型并在七层之上又加了主体层和操作层所组成。 ——OSI七层协议为：物-数-网-传-会-表-应 ——主体层（组织、人、计算机） ——操作层（文件传输、数据库访问、网络会议、目录服务极其扩展表） 4.2 DISSP的系统安全框架 2. 映射过程：以安全需求为例 举例：“保密性需求”。在安全属性维（X