电子支付体系的安全策略 课件.ppt

一、金融信息安全保障体系构成 金融信息安全保障的主要内容： 重大业务应用系统的连续可用性； 业务工作责任的不可否认性； 业务数据和信息的真实性、完整性； 涉及国家秘密和行业敏感信息的保密性； 授权的有效性和可控性等。 一、金融信息安全保障体系构成 金融信息安全保障体系： (1) 安全法规体系：法律、法规、条例、合同 (2) 标准规范体系 ：技术标准、建设规范、检测评估标准、 知识产权保护及质量评估等标准 (3) 安全组织体系 ：领导体系、组织管理队伍、人员管理 制度 (4) 安全管理体系 ：操作规程、分级控制、安全监控 (5) 技术支持体系：网络控制、加密控制、设备维护及软 件支持 (6) 应急服务体系 二、金融信息安全管理策略 （一） 组织管理策略 包括信息安全的 规章制度策略 和信息安全的 运行 管理策略 。 信息安全的运行管理策略包括： 建立技术支持制度、明确安全责任制度等措施。 一、信息安全工程 信息安全工程 是采用工程的概念、原理、技 术和方法，来研究、开发、实施与维护企 业级信息与网络系统安全的过程。 一、信息安全工程 信息安全工程的特性： 全面性 ：信息安全问题需要全面考虑， 系统安 全程度取决于最薄弱的环节； 过程性 ： 一个完整的安全过程至少包括安全目标 与原则的确定、风险分析、需求分析、安全策 略研究、安全体系结构的研究、安全实施领域 的确定、安全技术与产品的测试与选型、安全 工程的实施、监理、测试与运行、安全意识教 育与技术培训、安全稽核与检查、应急响应； 一、信息安全工程 信息安全工程的特性： 动态性： 最大程度上使安全系统能够跟上实际 情况的变化发挥效用； 层次性： 用多层次的安全技术、方法与手段， 分层次地化解安全风险； 相对性： 没有绝对的安全 一、信息安全工程 信息安全工程的研究范畴： 信息安全工程的目标、原则与范围，信息安全风险分析与评 估的方法、手段、流程； 信息安全需求分析方法，安全策略，安全体系结构，安全实 施领域及安全解决方案，安全技术与产品的测试与选型方 法； 安全工程的实施规范，安全工程的实施监理方法、流程，安 全工程的测试与运行； 安全意识的教育与技术培训，安全稽核与检查，应急响应技 术、方法与流程等。 一、信息安全工程 企业 在建立与实施企业级的信息与网络系统安全体 系时，必须兼顾： 信息网络的风险评估与分析、安全需求分析、整体 安全策略、安全模型、安全体系结构的开发、信 息网络安全的技术标准规范的制定、信息网络安 全工程的实施与监理、信息网络安全意识的教育 与技术的培训等； 一、信息安全工程 工程实施单位 必须严格按照信息安全工程的过程、 规范进行实施； 管理部门 必须采用信息安全工程能力成熟度对企业 安全工程的质量、安全工程实施单位的实施能力 进行评估。 二、安全风险分析与评估 对一个系统来说，解决信息安全的 首要问题 是明白信 息与网络系统目前与未来的风险所在，充分评估 这些风险可能带来的威胁与影响的程度，做到 “对症下药”。 二、安全风险分析与评估 风险分析与评估 的原理： 风险评估 是对采用的安全策略和规章制度进行评审， 发现不合理的地方，采用 模拟攻击 的形式对目标 可能存在的已知安全漏洞进行逐项检查，确定存 在的安全隐患和风险级别； 风险分析 是检查系统的体系结构、指导策略、人员状 况以及各类设备等各种对象，根据检查结果向系 统管理员提供周密可靠的 安全性分析报告 ，为提 高网络安全整体水平提供重要依据。 二、安全风险分析与评估 1 ．目标和原则 风险分析的具体 目标 ： 了解网络系统 结构 、管理水平及可能存在的安全隐患； 了解网络所提供的 服务 及可能存在的安全问题； 了解各应用系统与网络层的 接口 及其相应的安全问题； 网络攻击和电子欺骗的检测、模拟及预防； 分析信息网络系统对网络的安全 需求 ，找出目前的安 全策略和实际需求的 差距 ，为保护信息网络系统 的安全提供科学依据。 二、安全风险分析与评估 1 ．目标和原则 风险分析的 原则 ： 由于风险分析与评估的内容涉及很多方面，因此进行 分析时要本着 多层面、多角度 的原则，从理论到 实际，从软件到硬件，从物件到人员，要事先制 定详