电子支付体系的安全策略.pptVIP

一、金融信息安全保障体系构成 金融信息安全保障的主要内容： 重大业务应用系统的连续可用性； 业务工作责任的不可否认性； 业务数据和信息的真实性、完整性； 涉及国家秘密和行业敏感信息的保密性； 授权的有效性和可控性等。 一、金融信息安全保障体系构成 金融信息安全保障体系： (1)安全法规体系：法律、法规、条例、合同 (2)标准规范体系 ：技术标准、建设规范、检测评估标准、知识产权保护及质量评估等标准 (3)安全组织体系 ：领导体系、组织管理队伍、人员管理制度 (4)安全管理体系 ：操作规程、分级控制、安全监控 (5)技术支持体系：网络控制、加密控制、设备维护及软件支持 (6)应急服务体系 二、金融信息安全管理策略 （一） 组织管理策略 包括信息安全的规章制度策略和信息安全的运行管理策略。 信息安全的运行管理策略包括： 建立技术支持制度、明确安全责任制度等措施。 二、金融信息安全管理策略 （一） 组织管理策略 规章制度策略： 人员安全管理、操作安全管理、场地与设施安全管理、设备安全管理、操作系统、数据库安全管理、网络安全管理、信息化项目安全管理、应用系统安全管理、技术文档安全管理、数据安全管理、密码与密钥安全管理、认证管理、应急管理和审计管理。 二、金融信息安全管理策略 （二）风险管理策略 金融信息安全的风险主要体现在技术、管理、业务、人员及政策上的风险，必须采取完善的管理战略和制度来控制风险。 金融信息安全风险管理是通过风险评估来识别、控制、降低或消除安全风险的活动过程。 二、金融信息安全管理策略 （二）风险管理策略 进行深入的风险分析，列举出可能的风险状况，采取相应的对策； 建立风险信息控制机制，及时通报风险情况，做到信息共享，有效预防可能产生的危害； 风险分析从系统方面涉及网络系统、业务应用系统、信息系统，办公系统及基础设施； 同时需要分析管理、组织、人员、数据、应急支持等风险。 二、金融信息安全管理策略 （三）技术管理策略 1、准备与防御 金融机构需要采取防范措施解决传统的内部或外部诈骗、服务瘫痪和丧失运行能力等问题； 从国家安全角度，需要部门加强预防和抵抗系统攻击的能力，保证和提高信息共享力度、加强安全保障和脆弱性评估等； 金融服务领域从事信息安全工作的机构联合起来，共享威胁信息，及时出台合理措施，对行业动向协调响应。 二、金融信息安全管理策略 （三）技术管理策略 2、对国家关键基础设施的保护 包括对攻击的预先防御措施和遭受攻击后重建关键基础设施的能力； 3、检测与响应 通过不同的防护机制来减少遭受攻击的可能性，逐步地缓解风险，如脆弱性评估工作、周边安全防火墙和入侵检测系统的使用。 二、金融信息安全管理策略 （四）质量管理策略 建立一套长期的质量评测体系，及时发现安全隐患，将重大的信息安全问题消灭在事件的初期，尽可能减少损失。 建设安全分析、评估、测试，检查控制、反应机制及响应模式的体系； 制定相关政策和管理条例，定期进行信息安全的评测，动态管理、有效控制。 二、金融信息安全管理策略 （五）标准化策略 金融信息安全标准化发展方向是： 评测标准化和管理标准化。 美国可信计算机系统评估准则(TCSEC) 欧洲信息技术安全性评估准则(ITSEC) 加拿大可信计算机产品评估准则(CTCPEC) 美国联邦准则(FC)、国际通用准则(CC)、国际标准(1SO 15408)等。 二、金融信息安全管理策略 （五）标准化策略 信息安全管理规范： 《信息技术安全管理指导方针》(ISO／IECl3335) 《银行业务和相关金融服务——银行业务信息安全指南》(IS013569) 《信息安全管理的实施编码》(IS014980) 《信息安全管理实践准则》(ISO／IECl7799-1) 《金融业的安全服务管理》(ANSIX9．41) 二、金融信息安全管理策略 （六）安全技术策略 金融信息安全技术策略是指充分运用高新技术，采用安全技术防范措施和技术安全机制建立的现代化技术防范体系的具体指导，是信息安全的技术保障策略。 二、金融信息安全管理策略 （六）安全技术策略 金融信息安全的技术要求： (1)安全管理组织 (2)环境安全 (3)网络安全 (4)软件的运行安全 (5)应用软件的开发安全 二、金融信息安全管理策略 （六）安全技术策略 金融信息安全的技术要求： (6)操作安全 (7)数据安全