基于PPDRR安全模型的银行信息风险控制 学习资料.pdf

管理 基于PPDRR安全模型的 银行信息风险控制 文/中国人民银行临汾市中心支行 张国亮 PDRR模型是典型的、公认的信息安全模型。它是一种 风险控制措施：建立健全各种安全相关的规章制定和操 P 作规范，制定科学的项目建设设计，使得保护、检测和响应 动态的、自适应的安全模型，可适用银行信息安全风险 环节有章可循、切实有效。 控制和安全需求的不断变化，提供持续的安全保障。PPDRR 模型包括策略、防护、检测、响应和恢复5个主要部分，其 中，防护、检测、响应和恢复构成一个完整的、动态的安全 二、保护 循环，在安全策略的指导下共同实现安全保障。 PPDRR信息安全模型反映了信息安全的内在规律，模型 风险控制需求：机房、门控、保安、电磁屏蔽、病毒防 包括信息安全的概念范畴、信息安全保障体系的结构框架、 杀、漏洞补丁、安全配置、身份认证、访问控制、数据加密、 信息安全的控制。基于这种理论模型进行安全需求分析的方 边界控制、数据加密、数字水印、数字签名、内容净化、安 法，可以得出一个层次清晰、定位准确、关系明了的安全需 全机构、安全岗位、安全职责。 求集。因此，可以避免银行信息安全需求分析时容易产生的 风险控制措施：严格按照《电子计算机机房设计规范》、 盲目性和片面性，能够全面和综合地把握整体安全需求，有 《计算机场地安全要求》、《计算机场地规范》等国家标准和 助于选择适度和足够的安全措施，防止设计上的 安全漏洞，以保证整体安全。 银行信息风险控制的需求来自银行信息系统 的安全要求和风险评估结果，针对不同的风险控 制要求，有相应的风险控制措施。根据PPDRR模 型列出了银行业主要的控制需求及其相应的风险 控制措施。 一、策略 风险控制需求：机房管理制度、系统安全管 理守则、系统安全配置明细、系统安全配置明细、 应用安全管理守则、网络安全配置明细、应用安 全管理守则、项目建设规划等。 年 月 4 1 200710 a n a g e m e n t M 管理 银行业规范建设和维护计算机机房；安装门控系统；建设 保安制度和保安队伍；在必要的地方设置抗电磁干扰和防 静电泄露的设施；全部部署防病毒系统；及时下载和安装 必威体育精装版的漏洞补丁模块；严格遵守各系统单元的安全配置明 细，避免配置中的安全漏洞；根据不同的安全强度，分别 采用身份识别/口令、数字钥匙、数字证书、生物识别、双 因子等级别的身份认证系统，对设备、用户等主客体进行 身份认证，对设备、用户、服务等主客体进行身份认证；根 据不同的安全强度，分别采用商密、普密、机密等级别的 数据加密系统，对传输数据和存贮数据进行加密；在网络 边界布置防火墙，阻止来自外界非法访问；对于需要版权 保护的图片、声音、文字等形式的信息，采用数字签名技 术；部署内容过滤系统；建立健全安全机构，合理设置安 全岗位，明确划分安全责任。 图 基于PPDRR模型的风险控制运行体制 三、检测 现深层安全漏洞和安全事件，实行秩序有效的安全监督， 预演应急响应计划。 风险控制需求：监视、检测和报警；数据校验；主机入 侵检测、主机状态监测、网络入侵检测、网络状态监测、安 四、响应和恢复 全审计、安全监督、安全检查。 风险控制措施：通过数据校验技术，发现数据串改；