- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网站与网上交易系统的安全风险分析及应对策略构想
;客户数量庞大,社会影响面广
资本市场最重要和最活跃的组成部分
增长快速,新业务种类多
实时性要求高
对信息系统的依赖程度高
交易手段多样,与信息技术发展结合紧密
交易业务集中,风险集中
业务依赖技术,技术推动业务;持续的业务支持能力 高可靠、高可用、不间断
足够的处理能力 高速度、高效率
足够的突发应对能力 足够的性能冗余
足够的灾难应对能力 灾难备份及恢复能力
数据的安全 备份、保存、访问、传输、恢复
交易过程的安全 身份识别、传输、完整性
对新业务的支持能力 快速部署、快速投产
系统的不断升级能力 延续性、一致性、扩展性
;交易业务连续性威胁
可用性、访问速度、持续服务能力、处理能力、突发访问……
数据安全威胁
保存、认证、访问、传输、备份、恢复……
攻击威胁
拒绝服务攻击、入侵、黑客、木马、蠕虫、系统漏洞……
建设风险、管理风险
……
; ----网站与网上交易
互联网技术的快速发展,网络的普及 --网民超过2.53亿,世界第一
网上交易成为最主要的委托方式 --占整个市场65%以上
来自互联网安全威胁日益严重! --呈指数级别增长
我国被植入木马主机数量每年增长10倍;网页篡改、仿冒等事件每年增长率均超过20%;恶意代码增长率超过60%,超过100万个;在公安部信息网络安全状况调查的7072家信息网络中,发生网络安全事件的比例为58%……
安全威胁新趋势---产业化
网络非法活动已形成黑色产业链
;按照破坏结果分类,主要包括:
对网络系统及应用系统运行的破坏
DDOS攻击、ARP欺骗、蠕虫攻击、网页篡改等
此类威胁导致正常业务无法正常使用,以阻止资源正常使用为主要目的
利用网络进行非法活动
主要表现为入侵活动,包括盗号木马、SQL注入、垃圾邮件、恶意插件、仿冒网站等
有些破坏按照目的可以同时归类为以上两类
;经济利益驱动
通过破??正常信息系统的运行,以达到损害商业竞争对手的权益、获得他人账户信息非法牟利、利用仿冒网站获取非法利益、恶性广告牟利、网络洗钱、网络销赃……
政治目的驱动
为了达到不可告人的政治目的对信息正常使用的破坏、非法信息宣传、冒用正常网络发布假冒消息以制造混乱、破坏正常金融秩序、破坏社会安定团结、毒害人民群众…...
其他目的
发泄不满、显示能力……
;拒绝服务攻击
网页被篡改、挂马
蠕虫攻击、后门病毒
数据篡改
客户账户信息泄露、盗买盗卖
客户资料信息泄露
公司机密文件泄露
对核心交易系统的渗透攻击
仿冒网站、网络钓鱼
网络被非法控制进行对外攻击
……;推进IT治理工作:2006年开始,全行业推进
健全规章制度:行业、公司、部门各层面
健全规范、标准:行业、公司、部门各层面
推进信息安全等级保护:对行业信息安全意义重大
加强信息系统服务能力:高可靠性建设、扩容、升级
加强灾难应对能力:同城灾备建设、异地灾备建设
加强安全防护:安全域划分、网络分离、边界防护、安全加固
增强技术水平:提升信息部门及人员技术水平、引进人才
;网络抗攻击能力薄弱
网络入侵防护能力薄弱
网站防篡改能力薄弱
网上交易通信过程安全性不足
客户身份验证可靠性不足
网上交易客户端防护不足,存在用户账户泄露风险
对仿冒网站、钓鱼网站的处理能力有限
内部主机加固不到位、存在系统漏洞被利用风险
网页代码漏洞
IT人员安全运维水平不足
用户安全意识及知识缺乏
;缺乏适合行业特性的安全模型和技术规范
注重处理能力建设,忽视安全建设
缺乏整体的安全架构设计
缺乏足够的安全意识、安全知识及能力
缺乏统一的安全运维技术手段
信息安全建设资金投入不足
信息安全运维资金投入不足
信息安全运维人员不足
信息安全教育不到位
效率和安全的矛盾;建立适合的安全模型
建立规范的安全标准
制定合理的安全制度
设计统一的安全架构
进行广泛的安全教育
配置足够的安全能力
保证足够的资金投入
选择合适的安全产品
使用先进的管理手段
选择可靠的服务厂商
;信息安全是整个行业最关注的问题,也是最迫切需要解决的问题。
信息安全建设是一项长期、复杂、艰巨的系统工程,很多工作我们还处在探索阶段。
行业的特点注定我们不能等,不能靠,这是个需要整个行业齐心协力来完成的工作。
文档评论(0)