1、信息安全基础知识6/16/20222目录一、信息安全基础知识二、证券行业面临的安全威胁三、公司安全防护体系四、公司信息安全标准一、信息安全基础知识 信息安全发展史 信息安全的内涵 信息系统安全保障体系的基本内容 等级保护有关背景情况介绍6/16/20223信息安全发展史初级阶段:通信保密阶段 上世纪八十年代前,人们认为信息安全就是通信保密,采用的保障措施就是加密和基于计算机规则的访问控制中级阶段:计算机系统安全阶段(静态信息防护) 本世纪前,对主机安全的关注及网络攻击的防护是信息安全的核心内容现阶段:信息安全保障阶段 人们关心的是信息及信息系统的保障,如何建立完整的保障体系,以便保障信息及信息
2、系统的正常运行6/16/20224初级阶段通信保密4070年代重点是通过密码技术解决通信保密,保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密重要标志:1949年shannon发表的保密通信的信息原理1977年美国国家标准局公布的数据加密标准(DES),对称算法1976年由Diffie、Hellman提出公钥密码体制,非对称算法6/16/20225中级阶段计算机系统安全7080年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性和可控性主要安全威胁扩展到非法访问、恶意代码、弱口令等主要保护措施是安全操作系统涉及技术(TCB)主要标志1985
3、年美国国防部公布的可信计算机系统评估准则(TCSEC)6/16/20226TCSEC标准系列TCSEC系列标准需要采取的各类硬件、软件本身具备一定的安全强度需要由软硬件组成的系统具备一定的安全程度为了评价对“信息的安全”的保护程度,需要对产品的安全强度、系统的安全强度进行评估。主要表现为:产品安全强度分级:A1 B1 B2 B3 C1 C2 D16/16/20227现阶段信息安全保障重点需要保护信息,确保信息在产生、存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可用性主要安全威胁是人为破坏、网络入侵、病毒
4、破坏、信息对抗主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN等特点:涉及与信息系统相关的各类要素。6/16/20228现阶段信息安全保障提出了“信息安全保障”的概念和要求,是一种立体的保障6/16/20229信息安全的内涵信息安全经典模型(CIA模型)保密性保密性ConfidentialityConfidentiality完整性完整性I Integrityntegrity可用性可用性AvailabilityAvailability6/16/202210信息安全的内涵保密性(C)保证没有经过授权的用户、实体或进程无法窃取信息泄密的表现形式组织信息给未授权的人获取系统被未授
5、权的人进入个人信息被不相关的人获知6/16/202211信息安全的内涵完整性(I)保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一保护信息及处理方法的准确性和完备性;不因人为的因素改变原有的内容,保证不被非法改动和销毁。分成系统完整性数据完整性6/16/202212信息安全的内涵可用性(A)保证合法用户的正常请求能及时、正确、安全地得到服务或回应,确保授权使用者需要时能够访问信息及相关资产当授权用户要求时,即可使用信息和相关资产不因系统故障或误操作使资源丢失对响应时间有一定要求,并且在局部故障下实现持续运行分成系统通信可用性系统的可用
6、性数据的可用性6/16/202213信息安全的内涵随着信息技术、安全技术以及信息化应用的不断发展,信息安全的定义在某些领域已有所拓展,在原来三性的基础上,增加了:可控性和不可否认性可控性:对信息和信息系统实施安全监控管理,防止为非法者所用。规模较大的信息系统已建成或着手建设实现“大集中”安全管理方式的安全监管中心不可否认性:保证信息行为人不能否认自己的行为,比较常见的应用是:使用数字签名实现交易操作的抗抵赖(不可否认)6/16/202214 信息安全指保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。 信息安全保
7、障是保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力。 信息安全保障体系是实施信息安全保障的法制、组织管理和技术等层面有机结合的整体,是信息社会国家安全的基本组成部分,是保证国家信息化顺利进行的基础。几个基本概念几个基本概念6/16/202215信息系统安全保障体系的基本内容6/16/202216 信息安全保障中的几个概念信息技术系统:作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、
8、软件和/或固件的任何组合。信息系统信息系统 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。信息系统是在信息技术系统的基础上,综合考虑了人员、管理等系统综合运行环境的一个整体。6/16/202217信息安全保障的含义信息安全保障的对象:整个信息系统!6/16/202218信息系统安全保障模型 Pt代表防护时间;或者理解为入侵者攻击安全目标所花费的时间。 Dt代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。 Rt代表从发现入侵行为开始,系统能够做出足够的响应。 公式 :Pt Dt + Rt 。 重点:防护时间大于检测时间加上响应时间,那么系
9、统是安全的。P2DR模型模型6/16/202219信息系统安全保障模型实时实时监测监测应急应急响应响应灾难灾难恢复恢复风险风险评估评估安全安全策略策略安全安全防护防护P2DR3模型模型6/16/202220信息系统安全保障模型要素之一安全策略根据风险评估的结果来设计系统安全的整体保障方案按照等级保护的要求,确定系统的防护等级根据信息安全保障强度,合理划分网络与系统中不同的信息安全域按照分级、分域、分层的思想确定相应的防护措施6/16/202221安全策略的重要性 ISO 9000 质量管理 ISO 27000 安全管理6/16/202222安全策略各种细化的安全策略1、身份鉴别策略 5、安全管
10、理策略2、访问控制策略6、安全传输策略3、数据加密策略7、备份恢复策略4、安全审计策略等等。6/16/202223信息系统安全保障模型要素之二安全防护在统一的安全策略的指导下,进行有针对性的防护:使用网闸进行物理隔离使用防火墙对外部进行访问控制使用入侵检测分析网内的数据包使用安全审计监控记录用户的行为操作采用认证技术对用户进行身份鉴别(PKI)部署防病毒软件来防范恶意代码的传播使用漏洞扫描技术对系统进行安全加固使用防水墙防止内部信息的泄漏采用防篡改软件保障网页安全采用容错软件来保障系统的高可用性6/16/202224防火墙防火墙技术的基本功能控制信息的出入保护内部网络免遭某些基于路由的攻击对网
11、络存取和访问进行监控审计防止内部网络信息的泄漏防火墙技术的其他功能强化网络安全策略隐藏内部网络结构细节保密通信功能6/16/202225身份鉴别身份验证(Identification)是用户向系统出示自己身份证明的过程。口令认证、数字证书认证是比较普遍采用的身份验证方式提供的内容:你有什么?你知道什么?你是什么?一是只有该主体了解的秘密,如口令、密钥二是主体携带的物品,如智能卡和令牌卡三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等 鉴别的方式:口令、数字证书、Keberos、动态密码6/16/202226身份鉴别两种高安全强度的鉴别机制智能卡:访问不但需要口令,也需要使
12、用物理智能卡。在允许其进入系统之前检查是否允许其访问系统智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数(ID)和其它数据的加密形式为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用生物特征鉴别:利用个人特征进行鉴别,具有很高的安全性。目前已有的设备包括:视网膜扫描仪、声音验证设备、手型识别器6/16/202227安全审计根据审计对象,安全审计可以分成三个层次网络层安全审计系统安全审计信息内容安全审计,属高层审计安全审计的主要功能通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况监督可疑用户,取消可疑用户的权
13、限,调用更强的保护机制,去掉或修复故障网络以及系统的某个或某些失效部件6/16/202228安全审计网络的安全审计在网络的边界设置信息审计系统,通过对进出网络通信内容的还原、备份与审计,可在一定程度上防止网内机密信息的流出和网外不良信息的流入,并为网上泄密事件的追查提供有力的技术手段同时根据系统设定的规则,对违规行为进行智能分析和判断并对其采取相应的动作例如:防火墙、入侵检测的审计功能。6/16/202229安全审计系统的安全审计:主要是利用各种操作系统和应用软件系统的审计功能实现。包括用户访问时间操作记录系统运行信息资源占用系统事件6/16/202230安全审计内容的安全审计通过定义的审计规
14、则,如关键字、语句等,对信息的内容进行审核根据审计规则,监视、记录或阻断通信的内容如邮件审查,对所有邮件及附件内容进行控制。6/16/202231PKI公共密钥体系公共密钥基础设施(Public Key Infrastructure)是应用公钥概念和公钥密码技术提供信息安全及信任服务的基础设施 利用PKI/CA可以实现加密传输数字认证 数字签名抗抵赖基于非对称算法 6/16/202232PKI公共密钥体系功能认证(鉴别)我不认识你! 你是谁?我怎么相信你就是你? 要是别人冒充你怎么办授权我能干什么? 我有什么权利?你能干这个,不能干那个。保密性我与你说话时,别人能不能偷听?完整性收到的传真不太
15、清楚?传送过程中别人篡改过没有?抗抵赖我收到货后,不想付款,想抵赖,怎么样?我将钱寄给你后,你不给发货,想抵赖,如何?6/16/202233PKI公共密钥体系数字证书:用户身份的表征数字证书:内容包括用户的公钥, 用户姓名及用户的其他信息数字证书解决了公钥发放问题,公钥的拥有者是身份的象征,对方可以据此验证身份CA中心对含有公钥的证书进行数字签名,使证书无法伪造6/16/202234PKI公共密钥体系验证数字证书的合法性证书目录服务证书目录服务B的证书有效性检查数字签名验证6/16/202235防病毒计算机病毒:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复
16、制的一组计算机指令或者程序代码计算机病毒的特点影响面广、危害大。病毒产生速度快(已经出现病毒制造机)数量巨大(已经达到数万种)传播速度快(通过Internet)技术手段越来越先进6/16/202236漏洞扫描漏洞扫描,就是对重要网络信息系统进行检查,发现其中可能被攻击者利用的漏洞。系统安全漏洞扫描是一种事先检查型安全工具扫描设定网络内的服务器、路由器、交换机、防火墙等安全设备的漏洞,并可设定模拟攻击,以测试系统的防御能力从操作系统的角度监视专用主机的整个安全性。如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等6/16/202237信息系统安全保障模型要素之三实时
17、监测安全防护无法百分之百有效网络与信息系统架构和应用不断变化新的技术和威胁不断出现实时监测和及时整改才能保障防护措施的长期有效众多“点”上的实时监测信息为“面”上的预警提供信息渠道6/16/202238入侵检测IDS(Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏入侵检测的功能监视、分析用户和系统的行为识别攻击行为对异常行为进行统计进行审计跟踪、识别违反安全法规的行为监视、审计、评估系统6/16/202239入侵检测入侵检
18、测系统基本组成Sensor:收集系统中表示可能导致资源误用、不正当访问和恶意活动的信息,如如抓获网络中的所有数据包Scanner:收集系统的静态配置信息中可能包括的恶意代码、访问控制配置、服务配置、授权配置、帐号策略和已知脆弱性Analyzer:分析器接受传感器和/扫描器收集的数据,进行信息分析处理,导出有关潜在的、过去的或将来的入侵行为信息6/16/202240信息系统安全保障模型要素之四应急响应一旦在实时监测中发现重大问题要进行应急响应及时启动预案协调相关资源进行有针对性地的响应措施:如事件定性、故障或事件定位、及时隔离、阻断、甚至对抗等必要时请求外部协助,如专业服务厂商、信息安全测评中心
19、、计算机病毒防范服务中心、9682000热线等第三方服务机构直至启用备份系统6/16/202241信息系统安全保障模型要素之五灾难恢复信息安全保障闭环的最后一道闸门实在不行了启用备份数据或备用系统各单位要建立多层次立体的灾难恢复体系根据系统的重要程度、系统中断的容忍时间和费效比选取恰当的灾难恢复等级在消除单点故障和保障高可用性的基础上,配置数据恢复手段,并进行异地的灾难备份根据系统的灾难恢复级别要求,选取市里提供的介质异地存放、数据备份、应用备份等服务方式系统恢复后应及时对系统实施风险评估6/16/202242信息系统安全保障模型要素之六风险评估:资产+威胁+弱点=风险资产:确定重要资产-CI
20、A三性取向威胁:发生可能性、可能后果弱点:利用难度、可能后果6/16/202243等级保护基本知识介绍6/16/202244等级保护有关背景情况介绍 等级保护的政策依据 等级保护的关键环节(流程) 等级保护的现实意义 等级保护的相关标准 基本要求核心思想解读6/16/202245等级保护政策依据 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号 ) 公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发的关于信息安全等级保护工作的实施意见(公通字200466号) 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发的信息安全等级保护管理
21、办法(试行)(公通字20067号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号) 关于印发信息安全等级保护管理办法的通知(公通字200743号)6/16/202246等级保护政策依据中办发200327号文 明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。6/16/202247等级保护政策依据公通字200466号文进一步明确了信息安全等级保护制度的基本内容: 一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的
22、重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保护等级,共分五级。 二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。 三是国家对信息安全产品的使用实行分等级管理。 四是信息安全事件实行分等级响应、处置的制度。6/16/202248等级保护政策依据公通字20067号文 明确了信息安全等级保护的具体
23、要求。 为推广和实施信息安全等级保护提供法律保障。公信安2007861号 标志着等级保护工作正式推向实施阶段。6/16/202249等级保护政策依据公通字200743号文 2007.6.22 明确主管单位:公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密部门负责等保中保密工作的监督、检查、指导。国家密码管理部门负责等保中有关密码工作的监督、检查、指导。 确定5个等级,但去掉了2006 7号文“自主保护”、“指导保护”、“监督保护”等称为。6/16/202250等级保护政策依据公通字200743号文五个等级的基本情况 第一级:运营、使用单位根据国家管理规范、技术标准自主防护。 第二级
24、:运营、使用单位根据国家管理规范、技术标准自主防护。国家有关部门进行指导。 第三级:自主防护。国家有关部门进行监督、检查。 第四级:运营、使用单位根据国家管理规范、技术标准和业务专门需求进行保护,国家有关部门进行强制监督、检查。 第五级:(略)。6/16/202251等级保护政策依据公通字200743号文测评周期要求 第三级信息系统应当每年至少进行一次等级测评; 第四级信息系统应当每半年至少进行一次等级测评; 第五级信息系统应当依据特殊安全需求进行等级测评。自查周期要求 第三级信息系统应当每年至少进行一次自查; 第四级信息系统应当每半年至少进行一次自查; 第五级信息系统应当依据特殊安全需求进行
25、自查。根据测评、自查情况制定整改方案并实施。6/16/202252等级保护政策依据公通字200743号文检查周期要求 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。 对第三级信息系统每年至少检查一次; 对第四级信息系统每半年至少检查一次。 对第五级信息系统,应当由国家指定的专门部门进行检查。6/16/202253等级保护政策依据公通字200743号文等级保护的检查内容(一)信息系统安全需求是否发生变化,原定保护等级是否准确;(二)运营、使用单位安全管理制度、措施的落实情况;(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;(四)系
26、统安全等级测评是否符合要求;(五)信息安全产品使用是否符合要求; (六)信息系统安全整改情况;(七)备案材料与运营、使用单位、信息系统的符合情况;(八)其他应当进行监督检查的事项。6/16/202254等级保护政策依据公通字200743号文第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(
27、五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。6/16/202255等级保护政策依据公通字200743号文第三级以上信息系统的安全测评机构应具备的条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)从事相关检测评估工作两年以上,无违法记录;(四)工作人员仅限于中国公民;(五)法人及主要业务、技术人员无犯罪记录;(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、
28、人员管理和培训教育等安全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁。6/16/202256等级保护政策依据公通字200743号文其他:(一)涉密系统根据BMB17建设,根据BMB22测评;(二)秘密、机密、绝密对应第三、四、五等级。(三)密码管理根据商用秘密管理条例执行。6/16/202257等级保护工作的主要流程 一是定级。二是备案(二级以上信息系统)。三是系统建设、整改(按条件选择产品)。四是开展等级测评(按条件选择测评机构)。五是信息安全监管部门定期开展监督检查。6/16/202258等级保护现实意义确保重点:需要通过国家政策、制度来保障有关国计民生、大型活动(如奥运、世博
29、)信息系统的安全。适度防护:由于资金投入、人力资源是有限的,因此要根据不同等级的安全需求进行安全建设与管理,避免过度投入造成的浪费。普及经验:信息安全工作到底怎样做,多数单位缺乏办法、经验、底数。因此,等级保护吸取了我国多年信息安全技术、管理成败经验教训,科学的规范了信息安全工作的开展。6/16/202259等级保护相关标准 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息安全技术网络基础安全技术要求(GB/T20270-2006) 信息安全技术信息系统通用安全技术要求GB/T20271-2006) 信息安全技术操作系统安全技术要求(GB/T20272-2006) 信息安全
30、技术数据库管理系统安全技术要求(GB/T20273-2006) 信息安全等级保护基本要求(GB/T22239-2008) 信息安全等级保护定级指南(GB/T22240-2008) 信息安全等级保护测评要求(送审稿) 信息安全技术 信息系统等级保护安全设计技术要求(征求意见)6/16/202260等级保护核心标准关系的说明 系统建设:信息系统安全等级保护定级指南确定出系统等级以及业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根据信息安全等级保护基本要求选择相应等级的安全保护要求进行系统建设实施。 系统测评:信息系统安全等级保护测评要求是针对信息安全等级保护基本要求的具体控制要求开发的
31、测评要求,旨在强调系统按照信息安全等级保护基本要求进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。 由上可见,信息安全等级保护基本要求在整个标准体系中起着承上启下的作用。相关技术要求可以作为信息安全等级保护基本要求的补充和详细指导标准。6/16/202261基本要求的主要思想及作用信息系统的定级6/16/202262各级系统的保护要求差异一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应6/16/202263各级系统的保护要求差异一级系统二级系统三级系统四级系统通信/边界(基本)通信/边界/内部(关键设备)通信/边界/内部(主要设
32、备)通信/边界/内部/基础设施(所有设备)6/16/202264各级系统的保护要求差异一级系统二级系统三级系统四级系统计划和跟踪(主要制度)计划和跟踪(主要制度)良好定义(管理活动制度化)持续改进(管理活动制度化/及时改进)6/16/202265构建系统模型_技术模型6/16/202266构建系统模型_管理模型6/16/2022676/16/202268目录一、信息安全基础知识二、证券行业面临的安全威胁三、公司安全防护体系四、公司信息安全标准二 证券行业面临的安全威胁证券盗买盗卖蠕虫、病毒和木马恶意攻击DDoSSQL注入域名攻击跨站脚本钓鱼网站,网络欺诈6/16/202269n违背公司安全策略
33、违背公司安全策略n非法外联和内联非法外联和内联n安装盗版软件安装盗版软件n未授权访问未授权访问n卸载指定杀毒软件卸载指定杀毒软件n访问挂马网站访问挂马网站n口令明文传输口令明文传输nn源程序包含恶意代码和后门源程序包含恶意代码和后门n数据无完整性保护数据无完整性保护n文件传输和保存不能抗抵赖文件传输和保存不能抗抵赖n6/16/202270目录一、信息安全基础知识二、证券行业面临的安全威胁三、公司安全防护体系四、公司信息安全标准6/16/20226/16/20227171原因 建设安全体系的必要性和迫切性 证券行业信息安全工作是国家信息安全战略的一个重要组成部分 监管部门已将业务资格、分类评价和
34、证券公司信息安全水平已形成挂钩联动机制 互联网安全威胁增加,攻击技术不断更新,金融网络犯罪呈团伙化的趋势 公司业务规模扩大,系统持续扩容,创新业务不断推出,现有安全防护体系力不从心 公司信息化程度不断提高,业务部门高度依赖信息技术,遵循统一的信息安全标准是系统开发和运维的需要 信息安全专业人员占比较低,与其他券商有差距,不符合等保三级对专职安全管理员的要求6/16/2022716/16/20226/16/20227272目标与原则 安全防护体系建设目标 在保证公司信息系统符合国家有关部门和监管部门要求的前提下,确保公司信息系统可以在3-5年内可以抵御黑客、病毒、恶意代码等各种形式对系统发起的恶
35、意破坏,特别是能够对抗大型的、有组织的团体发起的恶意攻击,并在威胁发生后的短时间内恢复绝大部分功能,保障公司业务的正常平稳运行。 安全防护体系建设原则 积极防御,综合防范 立足实际,适度安全 安全防护体系建设思路 行业监管要求 等级保护策略6/16/2022726/16/20226/16/20227373安全防护体系建设框架 要素 安全防护体系四要素 安全专项资金 安全专业队伍 安全管理制度 安全技术体系6/16/202273安全防护体系建设内容 组织架构 安全管理领导机构 信息安全领导小组 组长:冯国荣; 副组长:杜平; 成员:李静、顾百俭、姜建勤、张磊、陈跃华、谈伟军、郭怡峰 安全管理执行
36、机构 信息安全办公室 主任:郭怡峰; 副主任:周姗、陆中兵 成员:沈永刚、陆俭、于敬兢、郑炜、邵斌、崔石、李海文、施华6/16/202275安全防护体系建设内容 安全技术 n安全标准安全标准安全技术:物理、网络、主机、应用、数据安全管理:人员、组织、制度、系统建设、系统运维n安全指标体系安全指标体系量化公司信息系统现状考核信息安全工作落实情况n完善防范、监控和应急手段完善防范、监控和应急手段事前防范:漏洞扫描、安全测试、网关防毒等事中监控:安全事件管理中心、入侵检测、抗DDoS、安全审计等事后应急:操作系统应急预案、网络攻击应急预案、防病毒应急预案6/16/202276安全防护体系建设内容 安
37、全管理 信息安全标准(红皮书) 岗位安全职责 详细的操作流程 简洁清晰的报告路径 定期应急演练 系统建设过程审核 系统运维合规审核 岗位考核和责任追究 安全知识宣传和培训 安全指标体系安全防护体系建设内容 安全制度梳理后的制度框架 信息技术系统管理办法信息技术系统管理办法 电脑类项目管理实施细则电脑类项目管理实施细则 电脑软件管理实施细则电脑软件管理实施细则 电脑机房建设与运行管理实施细则电脑机房建设与运行管理实施细则 电脑设备管理实施细则电脑设备管理实施细则 电子数据管理实施细则电子数据管理实施细则 网络通讯管理实施细则网络通讯管理实施细则 信息技术系统安全管理实施细则信息技术系统安全管理实
38、施细则 技术应急指挥分中心突发事件应急处置预案技术应急指挥分中心突发事件应急处置预案 互联网域名规划管理办法互联网域名规划管理办法 营业部电脑人员管理办法营业部电脑人员管理办法 营业部电脑人员上岗证及日常考核管理办法营业部电脑人员上岗证及日常考核管理办法 信托产品信托产品“交易系统接入交易系统接入”技术管理暂行办法技术管理暂行办法 境外客户境外客户FIX系统对接技术管理办法系统对接技术管理办法 沪港专线管理办法沪港专线管理办法安全防护体系建设内容 技术标准技术标准与操作规程技术白皮书技术黄皮书技术红皮书技术蓝皮书技术绿皮书6/16/202279目录一、信息安全基础知识二、证券行业面临的安全威胁
39、三、公司安全防护体系四、公司信息安全标准(红皮书)主要内容申银万国信息系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理6/16/202280不同级别系统控制点的差异安全要求类层面一级二级三级四级技术要求物理安全7 7101010101010网络安全3 36 67 77 7主机安全4 46 67 79 9应用安全4 47 79 91111数据安全及备份恢复2 23 33 33 3管理要求安全管理制度2 23 33 33 3安全管理机构4 45 55 55 5人员安全管理4 45 55 55 5系统建设管理9 99 9
40、11111111系统运维管理9 9121213131313合计/ /4848666673737777级差/ / /18187 74 46/16/202281不同级别系统要求项的差异安全要求类层面一级二级三级四级技术要求物理安全9 9191932323333网络安全9 9181833333232主机安全6 6191932323636应用安全7 7191931313636数据安全及备份恢复2 24 48 81111管理要求安全管理制度3 37 711111414安全管理机构4 49 920202020人员安全管理7 7111116161818系统建设管理2020282845454848系统运维管理
41、1818414162627070合计/ /8585175175290290318318级差/ / /909011511528286/16/202282等级保护基本要求的具体介绍6/16/202283等级保护物理安全具体要求控制点一级二级三级四级物理位置的选择* * * *物理访问控制* * * * *防盗窃和防破坏* * * * *防雷击* * * * *防火* * * * *防水和防潮* * * * *防静电* * * *温湿度控制* * * * *电力供应* * * * *电磁防护* * * *合计7 71010101010106/16/等级保护物理安全具体要求(一)物理位置选择 机房防震
42、、防风和防雨 应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。6/16/等级保护物理安全具体要求(二)物理访问控制 专人值守 申请和审批 划分区域进行管理 配置电子门禁6/16/等级保护物理安全具体要求(三)防盗窃和防破坏 设备或主要部件进行固定 设置标记(不易去除)。 通信线缆铺设铺设在地下或管道中 防盗报警6/16/等级保护物理安全具体要求(四)防雷击 设置避雷装置; 防雷保安器,防止感应雷; 设置交流电源地线。6/16/等级保护物理安全具体要求(五)防火 火灾自动消防系统; 采用耐火建筑材料; 区域隔离防火措施.6/16/等级保护物理安全具体要求(六)防水和防潮 水管不穿过机房
43、屋顶和活动地板下; 防止雨水通过机房窗户、屋顶和墙壁渗透; 防止机房内水蒸气结露和地下积水的转移与渗透; 对机房进行防水检测和报警。6/16/等级保护物理安全具体要求(七)防静电 防静电地板。6/16/等级保护物理安全具体要求(八)温湿度控制 应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内(大型的精密空调)6/16/等级保护物理安全具体要求(九)电力供应 供电线路上配置稳压器和过电压防护设备; 提供短期的备用电力供应(UPS设备); 设置并行电力线路为计算机系统供电(2路供电); 应建立备用供电系统(发电机)。6/16/等级保护物理安全具体要求(十)电磁防护 电源线
44、和通信线缆应隔离铺设,避免互相干扰; 对关键设备(泄露)和磁介质(损坏)实施电磁屏蔽。6/16/等级保护网络安全具体要求控制点一级二级三级四级结构安全* * * * *访问控制* * * * *安全审计* * * *边界完整性检查* * * *入侵防范* * * *恶意代码防范* * *网络设备防护* * * * *合计3 36 67 77 76/16/202295等级保护网络安全具体要求(一)结构安全 主要网络设备处理能力具备冗余空间(CPU;MEM;I/O); 网络各个部分的带宽满足业务高峰期需要; 安全访问路径(可控路由;静态路由); 网络拓扑结构图(与当前运行情况相符); 划分子网或网
45、段;重要网段与其他网段之间技术隔离; 确定服务重要次序指定带宽分配优先级别。(很难,除非协议不同)6/16/等级保护网络安全具体要求(二)访问控制 边界部署访问控制设备(FW) 数据流控制粒度为端口级; 实现命令级(ftp、telnet)的控制; 会话终止(非活跃一定时间); 限制网络最大流量数及网络连接数; 重要网段应采取技术手段防止地址欺骗(MAC地址邦定); 限制具有拨号访问权限的用户数量6/16/等级保护网络安全具体要求(三)安全审计 记录网络设备运行状况、网络流量、用户行为等进行日志记录; 记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 能够根据记
46、录数据进行分析,并生成审计报表; 审计记录保护,避免删除、修改或覆盖等6/16/等级保护网络安全具体要求(四)边界完整性检查 对非授权设备进行有效阻断; 外联监控6/16/等级保护网络安全具体要求(五)入侵防范 在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等; 记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。6/16/等级保护网络安全具体要求(六)恶意代码防范 在网络边界处对恶意代码进行检测和清除; 恶意代码库的升级和检测系统的更新。6/16/等级保护网络安全具体要求(七)网络设备防护 管
47、理员登录地址限制 两种或两种以上组合的鉴别技术 口令应有复杂度要求并定期更换 登录失败处理功能 远程管理加密鉴别信息 设备特权用户的权限分离6/16/等级保护主机安全具体要求控制点一级二级三级四级身份鉴别*安全标记*访问控制*可信路径*安全审计*剩余信息保护*入侵防范*恶意代码防范*资源控制*合计46796/16/等级保护主机安全具体要求(一)身份鉴别 口令应有复杂度要求并定期更换; 登录失败处理 远程管理时,加密鉴别信息 用户名具有唯一性(避免多人使用相同帐号) 两种或两种以上组合的鉴别技术6/16/等级保护主机安全具体要求(二)访问控制 角色分配,最小授权原则; 特权用户的权限分离(系统管
48、理员、安全员、审计员); 重命名默认帐户,修改默认口令; 删除多余的、过期的帐户。 设置敏感标记6/16/等级保护主机安全具体要求(三)安全审计 范围覆盖到每个用户; 审计内容包括重要用户管理、登录/登出、非授权访问等安全相关事件; 记录包括日期、时间、类型、主体标识、客体标识和结果等; 根据记录数据进行分析,并生成审计报表; 保护审计记录,避免删除、修改或覆盖等。6/16/等级保护主机安全具体要求(四)剩余信息保护 鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除; 系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。6/16/等级保护
49、主机安全具体要求(五)入侵防范 检测到对重要服务器进行入侵的行为,记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警; 对重要程序的完整性进行检测,检测+恢复措施; 遵循最小安装的原则+保持系统补丁及时得到更新。6/16/等级保护主机安全具体要求(六)恶意代码防范 安装防恶意代码软件+更新恶意代码库; 与网络防恶意代码产品不同的恶意代码库; 统一管理(网络版)。6/16/等级保护主机安全具体要求(七)资源控制 设定终端接入方式、网络地址范围 操作超时锁定; 监视服务器的CPU、硬盘、内存、网络等资源 限制单个用户对系统资源的最大或最小使用限度; 对系统的服务水
50、平(CPU、内存、硬盘、I/O)降低到预定最小值进行检测报警。6/16/等级保护应用安全具体要求控制点一级二级三级四级身份鉴别身份鉴别*安全标记安全标记*访问控制访问控制*可信路经可信路经*安全审计安全审计*剩余信息保剩余信息保护护*通信完整性通信完整性*通信保密性通信保密性*抗抵赖抗抵赖*软件容错软件容错*资源控制资源控制*合计合计479116/16/等级保护应用安全具体要求(一)身份鉴别 采用两种或两种以上组合的鉴别技术 身份标识唯一和鉴别信息复杂度检查功能 登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出6/16/等级保护应用安全具体要求(二)访问控制 访问控制涵盖主体、客体