天融信金融行业专项介绍.pptx

天融信金融行业专项服务介绍安全服务产品线-曹博金融行业安全服务产品需求背景天融信金融行业安全服务产品介绍天融信金融行业典型案例行业未来安全事件越来越多威胁的攻击业务应用系统2017年加拿大蒙特利尔银行和网上银行Simplii Financial遭到黑客袭击,黑客窃取了客户的账户以及相关个人信息, 涉及近5万名客户2017年仅美国就有1579起数据泄露事件，同比增长44.7%，其中8.5%的数据泄露发生在金融领域2013年中国某银行某分行电脑系统遭不明黑客多次攻击，造成机密资料密码外泄，另外黑客凭密码窃取近万份客户资料。搜索: 搜索SQL注入漏洞网址验证：漏洞扫描渗透注入验证枚举：猜解数据库表名与字段窃取：窃取网站管理帐户信息定位：寻找定位网络后台入口登陆：登陆网站后台Webshell上传：上传网马ASPshell文件挂马：遍历篡改植入恶意链接提权：系统检索Webshell提权攻陷：网站被攻陷成控制肉鸡国家政策政策牵引等级保护标准相关单位：所有等级保护建设单位，政府、金融、能源、医疗、高校等相关范围：操作系统、网络设备、数据库、中间件、WEB应用金融监管要求：《商业银行信息科技风险管理指引》相关范围：网络关键设备、网络端口、操作系统、大数据组件相关要求：定期持续性安全检测、等保测评、定期演练等行业监管政策商业银行信息科技风险管理指引（银监发[2009]19号）商业银行数据中心监管指引网上银行系统信息安全通用规范(JRT 0068-2012)金融行业信息系统信息安全等级保护实施指引（JRT0071-2012）关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见（银监发[2014]39号）关于金融领域密码应用指导意见的通知（国办发〔2014〕6号）中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿） 面对信息系统安全风险我们该如何应对？※是否担心业务系统被黑客入侵？※如何发现系统中的安全最短板？※网络中是否存在风险或者漏洞？※通过什么方法去发现这些风险和漏洞？※网络中的风险和漏洞的加固防护依据是什么？金融行业安全服务产品需求背景天融信金融行业安全服务产品介绍天融信金融行业典型案例科技风险指引金融典型产品之科技风险指引 全面控制风险组织 岗位 制度第一道防线第二道防线第三道防线信息科技治理BCP管理科技治理架构BCM组织架构基础设施建设科技治理目标灾备中心建设备用办公设施科技治理领导力风险评估内部审计风险监测应急预案建立部门联动措施内部审计组织审计部门职责组织成员风险监测范围资产价值评估威胁评估汇报路线应急计划演练应急预案改进风险监测内容风险监测频率脆弱性评估整体风险值评估内部审计范围内部审计内容组织成员职责义务科技运行风险监测目标风险监测计划审计方案设计内部审计汇报风险评估机制风险评估计划外包管理系统配置管理外包管理制度系统变更管理问题管理安全事件管理外包服务的管理系统运行监控安全评估检测外部审计外包服务的评估外审资格审查外部审计范围系统开发管理开发、测试与维护安全制度管理信息安全组织项目风险管理资产管理安全技术管理风险处置系统开发过程外部审计内容外部审计汇报风险处置计划风险接受值合规性管理通讯安全管理信息安全系统测试管理风险偏好风险容忍度安全事故管理运营安全管理验收和发布管理外部审计整改审计整改检查风险处置汇报风险处置后续监控系统测试管理系统开发管理信息系统维护商业银行风险管理体系框架人员流程技术科技风险指引检查内容计划（Plan）银行业风评——方法论现状调研业务范围调研业务内容调研安全管理制度安全策略IT现状评估中间件系统网络系统应用系统主机系统数据库BCPDRP差异分析《通用规范》《安全评估》《风险指引》《灾难恢复》《业务连续性》……合规分析DRP分析数据库分析客户端分析物理安全分析操作风险分析人员安全分析组织架构分析网络系统分析主机系统分析应用系统分析中间件分析BCP分析改进（Action）执行（DO）风险报告网络风险主机风险数据库风险物理安全应用风险安全管理安全策略技术体系管理体系合规性风险合规性风险监测（Check）Step1：现状调研审计科技治理业务连续性管理管理&技术现状与需求调研评估报告19号文风险管理科技运行管理外包管理信息安全管理审计管理开发、测试Setp2：合规差距分析 标准指引法银监会科技风险指引（19#文件）、金融业等级保护COBIT、COSO、ISO 17799、ISO13335、AST等；模型架构法灵活运用标准，形成适合我行IT风险管理的模型架构；实践融合法引用模型架构法密切结合实践，结合我行IT各部门现状；借鉴行业标杆的先进经验，结合标准指引。Setp3：规划与建设银监会19号文-信息科技风险管理指引信息安全管理科技运行业务连续性管理开发测试与维护外包管理科技审计管理科技治理