银行计算机信息系统安全体系与技术策略概述.ppt

银行信息系统安全体系与技术策略概述 北京新圆计算机系统公司 Copyright ? 2001 by Xin Yuan Computer System Co. All Right reserved. 信息的焦点之一 ——安全 信息是社会发展的重要战略资源。信息技术和信息产业正在改变传统的生产、经营和生活方式，成为新的经济增长点，信息使我们已步入知识经济和网络社会时代。信息网络国际化、社会化、开放化、个人化的特点使国家、企业的“信息边疆”不断延伸。围绕信息的获取、使用和控制，信息安全成为一个焦点。 第一部分 计算机信息安全综述 危害性 安全的定义 安全的内容 信息系统的脆弱性 安全威胁手段 安全的基本特征 安全认识的误区 安全的历史、现状 国家政府安全观 危机数据 病毒 每日新出现 5--10 种 总数近50000 种 黑客攻击 每 20 秒一次 例如 1995年攻击美军25万次 黑客攻击方法 对系统 近1000 种 对WEB 近300 种 安全的定义 国内：计算机的硬件、软件和数据受到保护，不因偶然的和恶意的原因而遭到破坏、更改和显露，系统连续正常运行。 国际标准化组织(ISO)：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和显露。 安全的内容 物理安全 系统设备及相关设施受到物理保护，免于破坏、丢失等 逻辑安全 完整性 必威体育官网网址性 可用性 真实性 实用性 占有性 黑客与入侵者 黑客 原意：热衷于电脑程序的设计者，指对于任何计算机操作系统的奥秘都有强烈兴趣的人(无恶意) 现指：利用通讯软件，通过网络非法进入他们系统，截获或篡改计算机数据，危害信息安全的电脑入侵者或入侵行为(恶意) 入侵者 利用通讯软件，通过网络非法进入他们系统，截获或篡改计算机数据，危害信息安全的电脑入侵者或入侵行为(恶意) 安全面临的主要威胁手段 非授权访问 信息泄漏或丢失 破坏数据完整性 拒绝服务攻击 利用网络传播病毒 计算机技术本身存在着安全弱点 理论原理方面存在问题 软件设计技术存在设计缺陷 程序实现技术存在问题层出不穷 恶意代码存在 现有的一些操作系统和网络协议存在缺陷 计算机与网络技术发展十分迅速，增加了许多新的安全问题 计算机系统的安全性差 程序及信息内容的不易检测性 人为操作差错的易发性 对故障和恶意程序（如病毒）缺乏免疫力 缺乏安全的硬件和软件配置 缺乏安全性实践 信息安全技术及产品跟不上信息技术的发展 缺少统一的信息安全意识和安全培训 系统受到威胁时，缺少完整的安全管理手续和过程 计算机信息安全的历史、现状 70年代，基础理论研究 80年代，制订了“可信计算机系统安全评价准则”（TCSEC） 90年代初，制订了“信息技术安全评价准则”（欧洲ITSEC） 近年，提出了“信息技术安全评价通用准则”（联合公共准则CC for ITSEC） ISO/IEC 17799（BS7799 --信息安全管理体系） BS 7799 的信息管理过程 确定信息安全管理方针 确定ISMS(信息安全管理体系)的范围 进行风险分析 选择控制目标并进行控制 建立业务持续计划 建立并实施安全管理体系 国家政府的安全观 非常重视计算机信息安全 舆论 政策、立法、准则 《刑法》、《国家安全法》、《国家必威体育官网网址法》、《密码管理条例》、《计算机信息系统安全保护等级划分准则》等 成立专门职能机构 公安部、国家安全部、国家必威体育官网网址局、国家密码管理委员会、国家技术监督局和信息产业部等 信息安全——企业正常运作需要 企业发展离不开信息化，信息化离不开安全 维护企业的声誉 保障企业财产的安全 信息化建设的重要组成——安全 信息化离不开信息安全建设 一般情况下，信息安全建设投资约占信息化建设总投资15%左右 第三部分 企业信息安全需求分析及 风险预测 第三部分 主要内容 安全需求分析 风险预测评估 需求分析——安全威胁 环境与自然灾害威胁 攻击威胁 无组织的外部威胁 内部威胁（无组织的和有组织的） 有组织的外部威胁 攻击威胁的主要手段包括： 冒充(最常见） 篡改 窃取 重放 推断 病毒 ... 工行计算机信息系统主要组成 硬件系统（主机、服务器、桌面、UPS、网络设备等等） 网络系统 应用软件系统 安全、管理系统 …… 企业网络系统特点 广域网星型拓扑结构 网络联结方式多种多样 典型的关键业务网络系统 网络协议主要采用TCP/IP、SNA 企业网络应用互联的主要模式 远程分支机构局域网通过专线与总部局域网连接； 移动