基于ISO20071的金融信息安全系统设计与实现-软件工程专业论文.docx

DESIGN AND IMPLEMENTATION OF FINANCIAL INFORMATION SECURITY SYSTEM BASED ON ISO20071 A Master Thesis Submitted to University of Electronic Science and Technology of China Major: Master of Engineering Author: Deng Xianjun Advisor: Tian Wenhong School : School of Information and Software Engineering 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 作者签名： 日期： 年 月 日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 作者签名： 导师签名： 日期： 年 月 日 摘 要 随着计算机技术高速发展，网络安全也面临着重大挑战，特别是金融行业。 金融行业中的网络安全问题是随着银行策略、组织架构、信息系统和操作流程的 改变而改变。为了防止和减少风险，需要新的安全管理体系去预防金融网络安全 的方法。全面风险管理作为金融业乃至信息安全也是新的管理方法，它采用了定 性与定量考评方法的风险管理的模式实现银行内外环境变化风险评估。 本论文以对金融类公司的调研为基础，结合金融类公司的实际需求进行了系 统的需求分析，并可以根据用户的具体要求和未来可能需要添加的功能，该系统 在体系结构上采用基于三层的 B/S 模式，数据层采用 oracle 数据库作为数据存储 与管理，利用 oracle 管理系统大容量数据与保持数据一致性。Oracle 强大的安全性 与易用性为系统设计与数据存储提供了基础条件，在加上与 J2EE 技术的集合，使 网页数据更新与后台数据库更新同步成为可能，有效扩展了金融业对外提供实时 服务的可能性，在结构上采用基于 SOA 的多层软件设计和基于 Struts 和 Hibernate 的数据库中间件，并定义了统一的数据访问接口实现上层应用访问底层数据库， 同时进行了基于 UDDI 注册服务中心的信息系统服务访问实现。在功能上，系统 提供了良好的业务模块管理、数据库管理、数据容灾管理、风险计算管理、项目 风险管理、项目信息管理页面，通过该页面可以实现信息增加、删除、修改，数 据库容灾备份与恢复,自动生成项目风险报表，实现项目信息编集操作等。在论文 最后通过 IS027001 评估用例与测试架构对金融信息安全风险评估测试。 本系统主要研究 ISO27001 风险评估与风险管理相关理论，并结合银行风险评 估与风险管理实际需求完成银行风险评估与风险指标量化，并重点将网络资产细 化表、威胁明细表、网络安全威胁的风险系数矩阵的参考表用于银行安全风险、 信息资产、系统脆弱性、安全预警、安全响应、网络安全管理、安全时间管理中， 从而实现银行威胁及其脆弱性进行定性、定量的风险分析，对于研究银行信息安 全具有普遍的意义。 关键词：风险评估 ；风险管理；IS027001 标准；信息安全管理体系；J2EE 技术； ABSTRACT Network security of the financial industry has faced challenges with the high-speed development of computer technology, network security problem of the financial industry changes with what the changing of bank strategy, organizational structure, information system and operation process of the financial sector . therefore we need a new safety management system to prevent the