金融行业信息安全解决方案.docx

? ? ? ? ? ? ? 金融行业信息安全解决方案 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?  金融是影响国计民生的重要行业，中央办公厅、国务院办公厅、公安部、人民银行、银监会、证监会和保监会等主管部门对金融系统的信息安全问题非常重视，先后对金融行业信息安全工作提出了指导建议和相关规定，明确指出要加大在信息安全治理工作方面的投入，特别是要保障对公众提供服务的业务系统的安全性和可靠性。 以下是近年来各监管部门出台的一些指导建议和相关规定。 主管部门 文号 日期 文件名 中央办公厅和国务院办公厅 中办发[2003]27号 2003年8月 国家信息化领导小组关于加强信息安全保障工作的意见 中办发〔2006〕18号 2006年5月 国家信息化领导小组关于推进国家电子政务网络建设的意见 国务院办公厅 17号文 2008年 关于加强政府信息系统安全和保密管理工作的通知 公安部、国家保密局、国家密码管理局和国务院信息化工作办公室 公通字[2004]66号文 2004年9月 关于印发《关于信息安全等级保护工作的实施意见》的通知 公通字[2007]43号文 2007年6月 关于印发《信息安全等级保护管理办法》的通知 公信安[2007]861号 2007年7月 关于开展全国重要信息系统安全等级保护定级工作的通知 银监会 2006年3月 《电子银行业务管理办法》和《电子银行安全评估指引》 银监发[2006]63号 2006年11月 关于印发《银行业金融机构信息系统风险管理指引》的通知 银监办通[2006] 313号 2006年11月 关于开展2006年度信息科技风险内部和外部评价审计的通知 2007年6月 中国银监会关于印发《商业银行操作风险管理指引》的通知 银监办发[2007]134号 2007年6月 关于做好网上银行风险管理和服务的通知 2008年3月 关于开展银行业金融机构信息科技风险奥运专项自查工作的通知 中国人民银行 中国人民银行公告〔2005〕第?23?号 2005年10月 电子支付指引（第一号） 银发[2012]121号 2012年5月 中国人民银行关于发布《网上银行系统信息安全通用规范》 2012年12月 中国金融移动支付标准  监管政策的要求和日益严峻的网络安全现状要求我们加大安全防护力度，并开展定期的安全咨询与评估工作。 服务介绍 应急响应范围包括网络或系统中的计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患。 包括以下情况，都属于安全事件： - 非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；- 信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；- 拒绝服务，正常用户不能正常访问服务器提供的相关服务；- 在系统日志中发现非法登录者；- 发现网络大面积爆发计算机病毒感染；- 发现有人在不断强行尝试登录系统；- 系统中出现不明的新用户账号；- 管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；- 文件的访问权限被修改；- 因安全漏洞导致的系统问题；- 其它的入侵行为。 安全事件根据事件危害程度可以分为： - 严重安全事件：XXX电子银行系统由于安全原因崩溃、系统性能严重下降，已无法提供正常服务，出口路由由于网络安全原因非正常中断，严重影响用户使用，公众服务由于安全原因停止服务或者造成恶劣影响的。 -?普通安全事件：由于安全原因导致系统出现故障，但不影响用户正常使用，XXX提出安全技术咨询、索取安全技术资料、技术支援等。 服务级别 根据项目我方提供的应急响应级别如下： 1. 事件处理响应时间：在10分钟内客户能够联系到安全服务方，并且安全服务方对于安全事件问题的解决给予答复。 2. 事件处理到场时间：严重安全事件：3小时；普通安全事件：远程协助，必要时到场。 3. 事件初步处理时间（指受影响的通信或者业务恢复网络通信的状态，不包括系统或数据的恢复工作和时间）：严重安全事件：3小时；普通安全事件：一个工作日。 4. 事件最终处理时间： 安全事故：24小时；严重事件：24小时；普通安全事件：三个工作日。安全服务方需针对常见的安全事件及XXX相关单位现有信息系统现状制定应急方案，应急方案通过XXX相关单位审批后，定期进行一次模拟演练。演练包括发现问题，应急反应，恢复等内容。 安全服务方在处理安全事件过程中，可以通过分析网络数据、检查系统或应用软件相关参数、病毒分析等多种技术措施和手段掌握事件相关信息，但要在进行事件恢复操作之前，需对相关情况做书面记录和电子文档记录；同XXX相关人员商议、确认后，才可以