第七讲 电子支付体系的安全策略.ppt

第七讲 电子支付体系安全策略 一、信息安全概述 1、信息安全的含义 2、信息安全的保护措施 3、国外金融信息安全现状 4、我国金融信息安全现状 1、信息安全含义 必威体育官网网址性 完整性 可用性 可控性 不可否认性 2、信息安全的保护措施 策略 实施 组织结构 软件功能 保护措施应考虑实体安全(环节、设备、介质)、运行安全(风险分析、审计跟踪、备份与恢复、应急等)、信息资源安全(标识与鉴别、访问控制、审计、完整性、可用性、机密性等)。 3、国外金融信息安全现状 美国： 1998年5月美国政府颁布《保护美国关键基础设施》总统令，同时围绕信息保障成立了多个组织；同年，美国国家安全局制定了《信息保障技术框架》，提出了“深度防御策略”；2002年9月18日和20日先后发布《保护网络空间的国家战略》(草案)和《美国国家安全战略》，在新的国家安全战略中，明确将信息安全与国土安全作为国家安全有机结合的组成部分，明确把银行与金融部门列为国家关键基础设施组成部分。 俄罗斯： 1995年5颁布了《联邦信息、信息化和信息保护法》；2000年9月发布了《俄罗斯联邦信息安全学说》，第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。 欧共体： 2001年提交了《网络与信息安全——欧洲政策措施建设》指出网络与信息安全应该保障所提供服务的可用性、真实性、完整性、不可否认性和必威体育官网网址性，必须抵御外来事件和恶意破坏。 日本： 日本已经制定了国家信息通信技术发展战略，强调“信息安全保障是日本综合安全保障体系的核心”，通过了《刑法》、《著作权法》、《打击毒品犯罪法》等，明确规定“违法信息”的内容。 韩国： 1995年颁布了《电信事业法》，提出对“危险通信信息”进行监管。2001年再次颁布《互联网内容过滤法令》，确定信息过滤的合法性。近年来又陆续制定了《促进信息化基本法》、《信息通信基本保护法》、《促进信息通信网络使用及保护信息法》等等。 新西兰： 2003年通过了《电讯（截收）法》，规定警察为开展调查可以通过技术手段进入个人电脑，可对电子邮件进行过滤审查。电信公司、网络服务商应向警方提供相关用户的信息，如拒绝提供，将被追究刑事责任。 4、我国金融信息安全现状： 1、已经基本建立了完整的组织管理体系，加强了组织领导，建立了专职的安全技术、安全管理队伍； 2、强化了突发应急事件的反应能力和处置能力； 3、初步建立了金融信息系统安全管理制度体系； 4、全国所有金融机构都建设了防火墙、防毒墙、防入侵、数据加密和灾难备份系统，逐步形成了由内到外、由上而下的安全技术防范体系。 5、制定了一系列法规、标准和制度，配备了运行管理队伍，建立了严格的内控机制。 二、安全风险分析与评估 电子支付信息安全具有系统性，动态性、层次性和过程性。 风险目标和原则 风险分析的目标是：了解网络的系统结构和管理水平，及可能存在的安全隐患；了解网络所提供的服务及可能存在的安全问题；了解各应用系统与网络层的接口及其相应的安全问题；网络攻击和电子欺骗的检测、模拟及预防；分析信息网络系统对网络的安全需求，找出目前的安全策略和实际需求的差距，为保护信息网络系统的安全提供科学依据。 多层面、多角度的原则 对象和范围 1、系统基本情况分析 2、系统基本安全状况调查 3、系统安全组织、策略分析 4、相关安全技术和措施以及安全隐患分析 5、系统访问控制和加密体系分析 6、系统的抗攻击能力与数据传输的安全性分析 7、动态安全管理状况分析 8、灾难备份以及危机管理安排状况分析 方法与手段 风险分析可以使用以下方式实现：问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析、网络服务的安全漏洞和隐患的检查和分析、抗攻击测试、综合审计报告等。 风险分析的过程可以分为以下四步： (1)确定要保护的资产及价值 (2)分析信息资产之间的相互依赖性 (3)确定存在的风险和威胁 (4)分析可能的入侵者 结果与结论 安全策略的制定原则和需求分析 安全策略的制定原则 (1)抽象安全策略 (2)全局自动安全策略 (3)局部执行策略 安全策略包含的内容： (1)保护的内容和目标 (2)实施保护的方法 (3)明确的责任 (4)事故的处理 需求分析 (1)管理层： (2)物理层： (3)系统层： (4)网络层： (5)应用层： 网络安全系统设计原则 木桶原则 整体性原则 实用性原则 等级性原则 动态化原则 设计为本原则 三、电子支付系统的安全管理策略 1、信息安全法规与标准策略 2、信息安全的组织管理策略 3、信息安全技术支持策略 4、信息安全应急响应策略 5、信息安全