信息安全基础知识培训.pptVIP

安全防护体系建设内容 –组织架构 安全管理领导机构 信息安全领导小组 组长：冯国荣； 副组长：杜平； 成员：李静、顾百俭、姜建勤、张磊、陈跃华、谈伟军、郭怡峰 安全管理执行机构 信息安全办公室 主任：郭怡峰； 副主任：周姗、陆中兵 成员：沈永刚、陆俭、于敬兢、郑炜、邵斌、崔石、李海文、施华 安全防护体系建设内容 –安全制度 梳理后的制度框架 《信息技术系统管理办法》 《电脑类项目管理实施细则》 《电脑软件管理实施细则》 《电脑机房建设与运行管理实施细则》 《电脑设备管理实施细则》 《电子数据管理实施细则》 《网络通讯管理实施细则》 《信息技术系统安全管理实施细则》 《技术应急指挥分中心突发事件应急处置预案》 《互联网域名规划管理办法》 《营业部电脑人员管理办法》 《营业部电脑人员上岗证及日常考核管理办法》 《信托产品“交易系统接入”技术管理暂行办法》 《境外客户FIX系统对接技术管理办法》 《沪港专线管理办法》 安全防护体系建设内容 – 技术标准 技术标准与操作规程 《技术白皮书》 《技术黄皮书》 《技术红皮书》 《技术蓝皮书》 《技术绿皮书》 公司等级保护落实情况 等级保护备案情况 三级系统：2个 核心交易清算系统 网上交易系统 二级系统：8个 其他信息系统、非现场客户服务系统、网点客户自助服务系统、机构客户服务系统、登记结算系统、风险监控系统、门户网站、反洗钱系统 等级保护备案最新情况 行业要求 上海证监局《关于进一步做好证券期货业重要信息系统安全等级保护定级备案工作的通知》（沪证监调研字[2009]7号） 进展情况 已经从上海证监局获得以下系统的审批意见 集中交易系统 三级 （78%） 网上交易系统 三级 (80%) 网站系统 二级 呼叫中心系统 二级 法人清算系统 二级 审批意见已经送报上海市等保办 * * * * * * * * * * * 过程管理模型 * * * * * * * * * * * 1、由于系统的软硬件都是人设计的，不可能十全十美，各种技术又在发展，因此使得一些设备的薄弱点总是不断被发现。例如，操作系统的漏洞、应用软件的不合理等。 2、对信息系统这个概念的理解已经突破了90年代仅限于”有形设备“的理解，这实际是与目前信息系统与业务不可区分的趋势相关的。 * 我们这一部分讲”信息安全保障“，是从微观的角度，讲”信息系统安全保障“ * * * * * * * * * * * * * * * * * 等级保护数据安全的具体要求 （二）数据保密性 系统管理数据、鉴别信息和重要业务数据在传输和存储过程中都要采取加密或其他措施。 * * 等级保护数据安全的具体要求 （三）备份和恢复 完全数据备份至少每天一次，备份介质场外存放； 应提供异地数据备份功能； 采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障； 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。 * * 等级保护管理要求中涉及系统开发的具体要求 方案设计 软件开发 工程实施 测试验收 * * 等级保护开发安全的具体要求 （一）方案设计 文档1：系统建设方案、详细设计方案 要求1：方案中提到安全要求 文档2：近期和远期的安全建设计划 要求2：每个系统均有安全建设计划 * * 等级保护开发安全的具体要求 （二）自行软件开发 文档1：软件开发管理制度 文档2：代码编写规范 文档3：软件设计相关文档和使用指南 要求3：包括《项目立项申请表》、《项目开发任务书》，《需求分析说明书》、《系统设计说明书》、《系统测试计划》、《系统测试报告》、《项目投产方案》、《系统操作手册》等。 文档4：源代码修改、更新、发布的授权审批记录 * * 等级保护开发安全的具体要求 （三）外包软件开发 文档1：软件开发安全协议（包含保密协议） 文档2：验收检测报告 要求2：包含功能测试、性能测试、源代码恶意代码检查。 文档3：需求分析说明书、软件设计说明书、软件操作手册、用户培训计划、用户培训记录 * * 等级保护开发安全的具体要求 （四）工程实施 文档1：信息系统工程安全建设方案 要求1：项目建设方案（项目管理计划）其中明确实施方责任、项目时间进度、任务要求、质量控制等。 文档2：工程实施管理制度 要求2：针对项目集成单位的管理制度。 文档3：阶段性工作报告 要求3：项目管理过程中周报、月报、项目总结等。 * * 等级保护开发安全的具体要求 （五）测试验收及系统交付 文档1：系统测试方案、测试记录、测试报告、验收测试管理制度、验收报告 要求1：系统测试包括业务功能测试、性能测试、安全性测试等。 文档2：系统交付管理制度、系统交付清单、运维技术人员培训记录 要求2：开发厂商或交通银行开发部人员，对业务用户、运