行业信息系统安全主要威胁及应对方法.ppt

网站与网上交易系统的安全风险分析及应对策略构想 ;客户数量庞大，社会影响面广 资本市场最重要和最活跃的组成部分 增长快速，新业务种类多 实时性要求高 对信息系统的依赖程度高 交易手段多样，与信息技术发展结合紧密 交易业务集中，风险集中 业务依赖技术，技术推动业务;持续的业务支持能力 高可靠、高可用、不间断 足够的处理能力 高速度、高效率 足够的突发应对能力 足够的性能冗余 足够的灾难应对能力 灾难备份及恢复能力 数据的安全 备份、保存、访问、传输、恢复 交易过程的安全 身份识别、传输、完整性 对新业务的支持能力 快速部署、快速投产 系统的不断升级能力 延续性、一致性、扩展性 ;交易业务连续性威胁 可用性、访问速度、持续服务能力、处理能力、突发访问…… 数据安全威胁 保存、认证、访问、传输、备份、恢复…… 攻击威胁 拒绝服务攻击、入侵、黑客、木马、蠕虫、系统漏洞…… 建设风险、管理风险 …… ; ----网站与网上交易 互联网技术的快速发展，网络的普及 --网民超过2.53亿，世界第一 网上交易成为最主要的委托方式 --占整个市场65%以上 来自互联网安全威胁日益严重! --呈指数级别增长 我国被植入木马主机数量每年增长10倍；网页篡改、仿冒等事件每年增长率均超过20%；恶意代码增长率超过60%，超过100万个；在公安部信息网络安全状况调查的7072家信息网络中，发生网络安全事件的比例为58％…… 安全威胁新趋势---产业化 网络非法活动已形成黑色产业链 ;按照破坏结果分类，主要包括： 对网络系统及应用系统运行的破坏 DDOS攻击、ARP欺骗、蠕虫攻击、网页篡改等 此类威胁导致正常业务无法正常使用，以阻止资源正常使用为主要目的 利用网络进行非法活动 主要表现为入侵活动，包括盗号木马、SQL注入、垃圾邮件、恶意插件、仿冒网站等 有些破坏按照目的可以同时归类为以上两类 ;经济利益驱动 通过破??正常信息系统的运行，以达到损害商业竞争对手的权益、获得他人账户信息非法牟利、利用仿冒网站获取非法利益、恶性广告牟利、网络洗钱、网络销赃…… 政治目的驱动 为了达到不可告人的政治目的对信息正常使用的破坏、非法信息宣传、冒用正常网络发布假冒消息以制造混乱、破坏正常金融秩序、破坏社会安定团结、毒害人民群众…... 其他目的 发泄不满、显示能力…… ;拒绝服务攻击 网页被篡改、挂马 蠕虫攻击、后门病毒 数据篡改 客户账户信息泄露、盗买盗卖 客户资料信息泄露 公司机密文件泄露 对核心交易系统的渗透攻击 仿冒网站、网络钓鱼 网络被非法控制进行对外攻击 ……;推进IT治理工作：2006年开始，全行业推进 健全规章制度：行业、公司、部门各层面 健全规范、标准：行业、公司、部门各层面 推进信息安全等级保护：对行业信息安全意义重大 加强信息系统服务能力：高可靠性建设、扩容、升级 加强灾难应对能力：同城灾备建设、异地灾备建设 加强安全防护：安全域划分、网络分离、边界防护、安全加固 增强技术水平：提升信息部门及人员技术水平、引进人才 ;网络抗攻击能力薄弱 网络入侵防护能力薄弱 网站防篡改能力薄弱 网上交易通信过程安全性不足 客户身份验证可靠性不足 网上交易客户端防护不足，存在用户账户泄露风险 对仿冒网站、钓鱼网站的处理能力有限 内部主机加固不到位、存在系统漏洞被利用风险 网页代码漏洞 IT人员安全运维水平不足 用户安全意识及知识缺乏 ;缺乏适合行业特性的安全模型和技术规范 注重处理能力建设，忽视安全建设 缺乏整体的安全架构设计 缺乏足够的安全意识、安全知识及能力 缺乏统一的安全运维技术手段 信息安全建设资金投入不足 信息安全运维资金投入不足 信息安全运维人员不足 信息安全教育不到位 效率和安全的矛盾;建立适合的安全模型 建立规范的安全标准 制定合理的安全制度 设计统一的安全架构 进行广泛的安全教育 配置足够的安全能力 保证足够的资金投入 选择合适的安全产品 使用先进的管理手段 选择可靠的服务厂商 ;信息安全是整个行业最关注的问题，也是最迫切需要解决的问题。 信息安全建设是一项长期、复杂、艰巨的系统工程，很多工作我们还处在探索阶段。 行业的特点注定我们不能等，不能靠，这是个需要整个行业齐心协力来完成的工作。