1、2022年11月10日星期四信息安全管理培训信息安全管理培训主要内容信息安全管理介绍信息安全管理介绍1信息系统等级保护工作信息系统等级保护工作2如何做好银行信息安全如何做好银行信息安全3威胁无处不在雷雨雷雨系统漏洞系统漏洞什么是信息安全什么是信息安全信息安全防护重点信息防泄露信息防泄露内容防篡改内容防篡改内部防越权内部防越权网络防攻击网络防攻击系统防入侵系统防入侵信息安全信息安全防护重点防护重点Onfidentiality(机密性)(机密性)Ntegrity(完整性)(完整性)Vailability(可用(可用性)性)信息安全的最终目标是为了保证业务的高效稳定运行信息安全的最终目标是为了保证业
2、务的高效稳定运行因果关系信息安全发展趋势1可信化可信化2网络化网络化3 3标准化标准化4 4集成化集成化因果关系绝对的安全是不存在的信息安全发展趋势信息安全发展趋势u在可用性()和安全性()之间是在可用性()和安全性()之间是一种相反的关系一种相反的关系u提高了安全性,相应地就降低了易提高了安全性,相应地就降低了易用性用性u而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本u管理者应在二者之间达成一种可接管理者应在二者之间达成一种可接受的平衡受的平衡(一)计算机病毒肆虐,影响操作系统和网络性能(一)计算机病毒肆虐,影响操作系统和网络性能(二)内部违规操作难于管理和控制(二)内部违规操
3、作难于管理和控制(三)来自外部环境的黑客攻击和入侵(三)来自外部环境的黑客攻击和入侵(四)软硬件故障造成服务中断、数据丢失(四)软硬件故障造成服务中断、数据丢失(五)人员安全意识薄弱,缺乏必要技能(五)人员安全意识薄弱,缺乏必要技能常见信息常见信息安全问题安全问题(一)、计算机病毒肆虐,影响操作系统和网络性能(一)、计算机病毒肆虐,影响操作系统和网络性能系统病毒系统病毒感染特定类型的文件,破坏操作系统的完整性,破坏硬盘数据,感染特定类型的文件,破坏操作系统的完整性,破坏硬盘数据,破坏计算机硬件。病毒前缀为:破坏计算机硬件。病毒前缀为:3232,9595等。例如病毒;等。例如病毒;蠕虫病毒蠕虫病
4、毒利用操作系统漏洞进行感染和传播,产生大量垃圾流量,严重利用操作系统漏洞进行感染和传播,产生大量垃圾流量,严重影响网络性能。病毒前缀:,例如冲击波病毒;影响网络性能。病毒前缀:,例如冲击波病毒;(一)、计算机病毒肆虐,影响操作系统和网络性能(一)、计算机病毒肆虐,影响操作系统和网络性能木马病毒、黑客病毒木马病毒、黑客病毒实现对计算机系统的非法远程控制、窃取包含敏感信息的重要实现对计算机系统的非法远程控制、窃取包含敏感信息的重要数据,木马病毒前缀:,黑客病毒前缀为数据,木马病毒前缀:,黑客病毒前缀为.后门病毒后门病毒前缀:,该类病毒的公有特性是通过网络传播,给系统开后门前缀:,该类病毒的公有特性
5、是通过网络传播,给系统开后门。(。(360360?)?)其他:脚本病毒、宏病毒、玩笑病毒等。其他:脚本病毒、宏病毒、玩笑病毒等。(二)、内部违规操作难于管理和控制计算机使用权限划分不明确,无法满足最小授权的基本原则;内部用户使用或者等P2P软件下载文件和影视数据,挤占因特网出口带宽,威胁正常应用的服务质量;内部用户发起的攻击行为和违规操作,难于被检测和发现。案例案例1 2009年年6月月9日,深圳福彩双色球开出日,深圳福彩双色球开出5注一等奖,奖金注一等奖,奖金3305万万元。调查发现该元。调查发现该5注一等奖是深圳市某技术公司软件开发工程师程某注一等奖是深圳市某技术公司软件开发工程师程某,利
6、用在深圳福彩中心实施技术合作项目的机会,通过木马程序,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。的恶意行为,以期达到其牟取非法利益的目的。(三)、来自外部环境的黑客攻击和入侵(三)、来自外部环境的黑客攻击和入侵非法获取服务器主机的控制权限,任意使用系统计算资源,例如开非法获取服务器主机的控制权限,任意使用系统计算资源,例如开启因特网服务,免费使用硬盘空间,将服务器作为入侵跳板或者傀启因特网服务,免费使用硬盘空间,将服务器作为
7、入侵跳板或者傀儡主机;儡主机;对服务器主机发起渗透性攻击和入侵,破坏原有数据,恶意篡改网对服务器主机发起渗透性攻击和入侵,破坏原有数据,恶意篡改网页,造成严重的声誉损失,或者非法获取控制权限,继而盗窃敏感页,造成严重的声誉损失,或者非法获取控制权限,继而盗窃敏感信息和数据。信息和数据。网络钓鱼,通过大量发送声称来自于银行或其他知名机构的欺骗性网络钓鱼,通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 、码或信用卡详细信息)的一种攻击方式。码或信用卡详细信息)的一种攻击方式。案例案
8、例2 2007年年3月月14日,灰鸽子木马团伙调动上万台日,灰鸽子木马团伙调动上万台“肉鸡肉鸡”组成的组成的“僵僵尸网络尸网络”,对金山毒霸官方网站进行疯狂的攻击,造成浏览金山毒霸,对金山毒霸官方网站进行疯狂的攻击,造成浏览金山毒霸网站的用户被挟持到幕后黑手指定的网站。网站的用户被挟持到幕后黑手指定的网站。案例案例3 2009年年7月月14日,土耳其使馆遭黑客攻击日,土耳其使馆遭黑客攻击 变身一夜情网站。云安变身一夜情网站。云安全中心最新的监测数据显示,全中心最新的监测数据显示,14日土耳其驻华大使馆的官网受到两个日土耳其驻华大使馆的官网受到两个不同的黑客团伙同时攻击,结果沦为两个团伙的不同的
9、黑客团伙同时攻击,结果沦为两个团伙的“聊天室聊天室”。案例案例4 2004年年7月月19日,恶意网站伪装成联想的主页日,恶意网站伪装成联想的主页 (四)、软硬件故障造成服务中断、数据丢失(四)、软硬件故障造成服务中断、数据丢失缺乏数据备份手段,一旦数据丢失,就不可恢复。缺乏数据备份手段,一旦数据丢失,就不可恢复。骨干网络设备以及服务器主机出现单点故障,造成服务中断,骨干网络设备以及服务器主机出现单点故障,造成服务中断,业务停顿;硬盘损坏,造成业务数据丢失;业务停顿;硬盘损坏,造成业务数据丢失;(五)、人员安全意识薄弱,缺乏必要技能(五)、人员安全意识薄弱,缺乏必要技能管理层对信息安全建设重视程
10、度不够,不能推动自顶向下的安管理层对信息安全建设重视程度不够,不能推动自顶向下的安全管理;全管理;关键技术人员缺乏必要的知识储备和操作技能,难以胜任岗位关键技术人员缺乏必要的知识储备和操作技能,难以胜任岗位要求;要求;普通用户没有建立正确的安全意识和安全的操作习惯,非恶意普通用户没有建立正确的安全意识和安全的操作习惯,非恶意的误操作将大量本可避免的安全问题引入企业系统。的误操作将大量本可避免的安全问题引入企业系统。主要内容信息安全管理介绍信息安全管理介绍1信息系统等级保护工作信息系统等级保护工作2如何做好信息安全工作如何做好信息安全工作32 2、信息等级保护工作信息系统安信息系统安全等级划分全
11、等级划分一级一级二级二级三级三级四级四级五级五级 自主保护级 指导保护级 监督保护级 监控保护级 强制保护级 等保5 5级划分v第一级v 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。v第二级v 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。v第三级v 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息
12、安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。等保5 5级划分v第四级第四级v 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害害,或者对国家安全造成严重损害。信息系统运营、使用单位应当依或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。检查。v第五级第五级v 信息
13、系统受到破坏后信息系统受到破坏后,会对国家安全造成特别严重损害;信息系会对国家安全造成特别严重损害;信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。工作进行专门监督、检查。等保测评过程中突出的问题问题1 1个别网络逻辑区域划分不合理,生产网和办公网混在一起问题2 2使用方式远程管理网络设备和安全设备,登录设备的用户名、口令在网络中明文传输。问题3 3数据库 操作系统密码策略不
14、符合要求,如弱口令,并且没有设置登录失败的处理措施。问题4 4部分应用系统业务用户口令的长度、复杂度、更换周期、管理账户登录失败次数等限制功能较弱,无法对身份鉴别策略进行配置。等保测评过程中突出的问题问题5 5机房内没有部署防盗报警装置。问题7 7没有对关键岗位的人员进行全面、严格的安全审查和技能考核或考核结果没有归档保存。问题8 8重要员工之间没有形成相互制约关系。问题6 6视频监控记录保存时间较短。主要内容信息安全管理介绍信息安全管理介绍1信息系统等级保护工作信息系统等级保护工作2如何做好信息安全工作如何做好信息安全工作3u 物理安全:环境安全、设备安全、媒体安全物理安全:环境安全、设备安
15、全、媒体安全u 系统安全:操作系统及数据库系统的安全性系统安全:操作系统及数据库系统的安全性u 网络安全:网络隔离、访问控制、入侵检测、扫描评估网络安全:网络隔离、访问控制、入侵检测、扫描评估u 应用安全:安全、访问安全、内容过滤、应用系统安全应用安全:安全、访问安全、内容过滤、应用系统安全u 数据加密:硬件和软件加密,实现身份认证和数据信息的特性数据加密:硬件和软件加密,实现身份认证和数据信息的特性u 认证授权:口令认证、认证、证书认证等认证授权:口令认证、认证、证书认证等u 访问控制:防火墙、访问控制列表等访问控制:防火墙、访问控制列表等u 审计跟踪:入侵检测、日志审计、辨析取证审计跟踪:
16、入侵检测、日志审计、辨析取证u 防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系u 灾备恢复:业务连续性,前提就是对数据的备份灾备恢复:业务连续性,前提就是对数据的备份信息安全管理关键点u 技术是信息安全的构筑材料,管理是真正的粘合剂技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂和催化剂u 信息安全管理构成了信息安全具有能动性的部分,信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活是指导和控制组织的关于信息安全风险的相互协调的活动动 u 现实世界里大多数安全事件的发生和安全隐患的存现实世界里大多数
17、安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的在,与其说是技术上的原因,不如说是管理不善造成的u 理解并重视管理对于信息安全的关键作用,对于真理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要正实现信息安全目标尤其重要u 唯有信息安全管理工作活动持续而周期性的推动作唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实用方能真正将信息安全意识贯彻落实七分管理三分技术信息安全管理的几个关注点l物理安全l第三方安全l内部人员安全l重要信息的保密l介质安全l口令安全l信息交换及备份l漏洞管理与恶意代码l应急与业务连续性l法律和政
18、策工作环境安全v应建立机房安全管理制度,对有关机房物理访问,物品带进应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;、带出机房和机房环境安全等方面的管理作出规定;v应指定部门负责机房安全,指派专人担任机房管理员,对机应指定部门负责机房安全,指派专人担任机房管理员,对机房的出入进行管理,每天巡查机房运行状况,对机房供配电、房的出入进行管理,每天巡查机房运行状况,对机房供配电、空调、温湿度控制等设施进行维护管理,填写机房值班记录、空调、温湿度控制等设施进行维护管理,填写机房值班记录、巡视记录;巡视记录;v关键安全区域包括服务器机房、财务部门和人力资
19、源部门、关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施法务部、安全监控室应具备门禁设施v前台接待负责检查外来访客证件并进行登记,访客进入内部前台接待负责检查外来访客证件并进行登记,访客进入内部需持临时卡并由相关人员陪同需持临时卡并由相关人员陪同v实施实施7 72424小时保安服务,检查保安记录小时保安服务,检查保安记录物理安全建议物理安全建议v所有入口和内部安全区都需部署有摄像头,大门及各楼层入口所有入口和内部安全区都需部署有摄像头,大门及各楼层入口都被实时监控都被实时监控v禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用禁止随意放置或丢弃含有敏感信
20、息的纸质文件,废弃文件需用碎纸机粉碎碎纸机粉碎v应加强对办公环境的保密性管理,规范办公环境人员行为,应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交包括工作人员调离办公室应立即交v还该办公室钥匙、不在办公区接待来访人员、工作人员离开座还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等;的纸档文件等;v应对机房和办公环境实行统一策略的安全管理,对出入人员进应对机房和办公环境实行统一策略的安全管理,对出入人员进行相应级别的授权,对进入重要安全
21、区域的活动行为实时监视行相应级别的授权,对进入重要安全区域的活动行为实时监视和记录。和记录。信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策案例案例一:案例一:2003 2003年,上海某家为银行提供服务的公司,软件工程师苏年,上海某家为银行提供服务的公司,软件工程师苏强。利用自助网点安装调试的机会,绕过加密程序,编写并植强。利用自助网点安装调试的机会,绕过加密程序
22、,编写并植入一个监视软件,记录用户卡号、磁条信息和密码,一个月内入一个监视软件,记录用户卡号、磁条信息和密码,一个月内,记录下,记录下70007000条。然后拷贝到自己电脑上,删掉植入的程序。条。然后拷贝到自己电脑上,删掉植入的程序。后来苏强去读研究生,买了白卡和读卡器,伪造银行卡,两年后来苏强去读研究生,买了白卡和读卡器,伪造银行卡,两年内共提取内共提取6 6万元。只是因为偶然原因被发现,公安机关通过检查万元。只是因为偶然原因被发现,公安机关通过检查网上查询客户信息的地址追查到苏强,破坏案件。网上查询客户信息的地址追查到苏强,破坏案件。案例二:案例二:北京移动电话充值卡事件北京移动电话充值卡
23、事件第三方安全建议v识别所有相关第三方:服务提供商,设备提供商,咨询顾问识别所有相关第三方:服务提供商,设备提供商,咨询顾问,审计机构,物业,保洁等。,审计机构,物业,保洁等。v识别所有与第三方相关的安全风险,无论是牵涉到物理访问识别所有与第三方相关的安全风险,无论是牵涉到物理访问还是逻辑访问。还是逻辑访问。v在没有采取必要控制措施,包括签署相关协议之前,不应该在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。守的规定。v在与第三方签订协议时特别提出信息安全方面的要求,特别在
24、与第三方签订协议时特别提出信息安全方面的要求,特别是访问控制要求。是访问控制要求。v对第三方实施有效的监督,定期服务交付。对第三方实施有效的监督,定期服务交付。信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策内部人员安全内部人员安全建议u所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导u 根据工作所需,各部门应该识别并评估员工
25、的培训需求根据工作所需,各部门应该识别并评估员工的培训需求u 业务部门应该建立并维持员工安全意识程序,确保员工通过培业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工作技能,并将信息安全意识深入其工作之中训而精于工作技能,并将信息安全意识深入其工作之中u 管理层有责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动 u 信息安全意识培训应该持续进行,员工有责任对培训效果提出信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈反馈u 人力资源部门负责跟踪培训策略的符合性,保留员工接受培训人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录的相关记录u
26、信息安全经理应该接受专门的信息安全技能培训信息安全经理应该接受专门的信息安全技能培训u 技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策重要信息的保密数据保护安全建议数据保护安全建议u通过传真发送机密信息时,应提前通知接收者并确保号码正确通过传真发送机密信息时,应提前通知接收
27、者并确保号码正确u不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息u不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息u不允许通过电子邮件或工具交换账号和口令信息不允许通过电子邮件或工具交换账号和口令信息u不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换u不允许通过工具传输文件不允许通过工具传输文件信息安全管理的几个关注点l物理安全l第三方安全l内部人员安全l重要信息的保密l介质安全l口令安全l信息交换及备份l漏洞管理与恶意代码l应急与业务连续性l法律和政策介质安全d)d)应对介质在物理传输过程中的人员选择、打包、交付等
28、情况进应对介质在物理传输过程中的人员选择、打包、交付等情况进行安全控制,应选择安全可靠的传递、交接方式,做好防信息泄露行安全控制,应选择安全可靠的传递、交接方式,做好防信息泄露控制措施;控制措施;e)e)应对介质归档和查询等进行登记记录,管理员应根据存档介质应对介质归档和查询等进行登记记录,管理员应根据存档介质的目录清单定期盘点;的目录清单定期盘点;f)f)对于重要文档,如是纸质文档则应实行借阅登记制度,未经相对于重要文档,如是纸质文档则应实行借阅登记制度,未经相关部门领导批准,任何人不得将文档转借、复制或对外公开,如是关部门领导批准,任何人不得将文档转借、复制或对外公开,如是电子文档则应采用
29、等电子化办公审批平台进行管理;电子文档则应采用等电子化办公审批平台进行管理;g)g)应对带出工作环境的存储介质进行内容加密和监控管理;应对带出工作环境的存储介质进行内容加密和监控管理;h)h)应对送出维修的介质应首先清除介质中的敏感数据,对保密性应对送出维修的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁;较高的存储介质未经批准不得自行销毁;介质安全 窃密者使用从互联网下载的恢复软件对目标计算机的已被窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的格式化的U U盘进行格式化恢复操作后,即可成功的恢复原有文件盘进行格式化恢复操作后,即可成功的恢复原有文件(安
30、全事件)(安全事件)保证介质安全的建议:保证介质安全的建议:a)a)应建立介质安全管理制度,对介质的存放环境、使用、维护应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;和销毁等方面作出规定;b)b)应确保介质存放在安全的环境中,并有明确标识,对各类介应确保介质存放在安全的环境中,并有明确标识,对各类介质进行控制和保护,并实行存储环境专人管理;质进行控制和保护,并实行存储环境专人管理;c)c)所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放;放;安全使用移动存储设备信息安全管理的几个关注点l物理安全物理安全l第三
31、方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策口令的重要性如何设置符合要求的口令 使用大写字母、小写字母、数字、特殊符号组成的密码使用大写字母、小写字母、数字、特殊符号组成的密码妥善保管(增加暴力破解难度)妥善保管(增加暴力破解难度)长度不少于长度不少于8位(增加暴力破解难度)位(增加暴力破解难度)定期更换(防止暴力破解)定期更换(防止暴力破解)不同的账号使用不同的密码(避免连锁反应)不同的账号使用不同的密码(
32、避免连锁反应)不使用敏感字符串,如生日、姓名关联(防止密码猜测)不使用敏感字符串,如生日、姓名关联(防止密码猜测)离开时需要锁定计算机(防止未授权访问计算机)离开时需要锁定计算机(防止未授权访问计算机)信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策信息交换管理u应采用加密或其他有效措施实现系统管理数据、鉴别信息和应采用加密或其他有效措施实现系统管理数据、鉴别信息和
33、重要业务重要业务 数据采集、传输、使用和存储过程的保密性。数据采集、传输、使用和存储过程的保密性。u信息交换原则信息交换原则u物理介质传输物理介质传输u u电子邮件和互联网信息交换电子邮件和互联网信息交换u文件共享文件共享数据备份与恢复a)a)许多操作系统和应用程序在默认状态下都将存放应用数据的位置许多操作系统和应用程序在默认状态下都将存放应用数据的位置定义到系统文件目录下(如定义到系统文件目录下(如C C盘下)。由于操作系统非常容易受到盘下)。由于操作系统非常容易受到计算机病毒等破坏,所以,在安装完系统和应用程序后,最好通过计算机病毒等破坏,所以,在安装完系统和应用程序后,最好通过手工将用户
34、数据存放到指定的数据分区上。手工将用户数据存放到指定的数据分区上。b)b)应提供本地数据备份与恢复功能,采取实时备份与异步备份或应提供本地数据备份与恢复功能,采取实时备份与异步备份或增量备份与完全备份的方式,增量数据备份每天一次,完全数据备增量备份与完全备份的方式,增量数据备份每天一次,完全数据备份每周一次,备份介质场外存放,数据保存期限依照国家相关规定份每周一次,备份介质场外存放,数据保存期限依照国家相关规定;c)c)恢复及使用备份数据时需要提供相关口令密码的,应把口令密码恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管;密封后与数据备份介质一并妥善保
35、管;信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策漏洞管理通过漏洞检测工具,每半年一次为信息系统进行安全漏洞检测通过漏洞检测工具,每半年一次为信息系统进行安全漏洞检测,以查找漏洞,分析系统的安全性,并采取补救措施。对于总,以查找漏洞,分析系统的安全性,并采取补救措施。对于总行统一布置的漏洞整改工作,省分行应按照统一要求排查系统行统一布置的漏洞整改工作,省分行应按照
36、统一要求排查系统漏洞及报告整改情况。(明年总行将购买专门的漏洞扫描设备漏洞及报告整改情况。(明年总行将购买专门的漏洞扫描设备进行这项工作)进行这项工作)发现高危漏洞应进行登记、上报。隐蔽漏洞发作导致系统出现发现高危漏洞应进行登记、上报。隐蔽漏洞发作导致系统出现问题,应按照事件管理要求及时上报。问题,应按照事件管理要求及时上报。对于配置不当、管理薄弱造成的漏洞,发现方及时进行补救;对于配置不当、管理薄弱造成的漏洞,发现方及时进行补救;恶意代码防范策略信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全
37、口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策安全事件管理要点1.1.事先制定可行的安全事件响应计划事先制定可行的安全事件响应计划2.2.建立事件响应小组,以管理不同风险级别的安全事件建立事件响应小组,以管理不同风险级别的安全事件3.3.员工有责任向其上级报告任何已知或可疑的安全问题或违规行员工有责任向其上级报告任何已知或可疑的安全问题或违规行为,必要时,管理层可决定引入法律程序为,必要时,管理层可决定引入法律程序4.4.做好证据采集和保留工作做好证据采集和保留工作5.5.应提交安全事件和相关问题的定期管理报
38、告,以备管理层检查应提交安全事件和相关问题的定期管理报告,以备管理层检查6.6.应该定期检查应急计划的有效性应该定期检查应急计划的有效性业务连续性管理基本原则 业务连续性的基本原则是:业务连续性的基本原则是:(一一)切实履行社会责任,保护客户合法权益、维护金融秩序;切实履行社会责任,保护客户合法权益、维护金融秩序;(二二)坚持预防为主,建立预防、预警机制,将日常管理与应急处坚持预防为主,建立预防、预警机制,将日常管理与应急处臵有效结合;臵有效结合;(三三)坚持以人为本,重点保障人员安全;实施差异化管理,保障坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理
39、成本与效益;重要业务有序恢复;兼顾业务连续性管理成本与效益;(四四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。体有效机制。信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策银行业相关法规要求主要依据:主要依据:商业银行信息科技风险管理指引商业银行信息科技风险管理指引 电子银行业务管理办法电子银行
40、业务管理办法 电子银行安全评估指引电子银行安全评估指引 主管部门各类通知、文件主管部门各类通知、文件 参考依据:参考依据:商业银行风险监管核心指标(试行)商业银行风险监管核心指标(试行)商业银行内部控制指引商业银行内部控制指引 商业银行操作风险管理指引商业银行操作风险管理指引 中国银行业实施新资本协议指导意见中国银行业实施新资本协议指导意见 补充:补充:网上银行系统信息安全保障评估准则网上银行系统信息安全保障评估准则 27000 27000系列系列直接相关间接相关通用标准/规范P 加强敏感信息的保密加强敏感信息的保密P 留意物理安全留意物理安全P 遵守法律法规和安全策略遵守法律法规和安全策略P 公司资源只供公司所用公司资源只供公司所用P 保守口令秘密保守口令秘密P 谨慎使用、谨慎使用、P 加强人员安全管理加强人员安全管理P 识别并控制第三方风险识别并控制第三方风险P 加强防病毒措施加强防病毒措施P 有问题及时报告有问题及时报告
