2021银行信息安全技术与管理体系.pdf
《2021银行信息安全技术与管理体系.pdf》由会员分享,可在线阅读,更多相关《2021银行信息安全技术与管理体系.pdf(308页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、|目录总序序前言第一篇 现 状 篇第1章 概述21.1 我国银行业取得的丰硕成果21.1.1 资产增长速度迅猛21.1.2 国际化步伐加快31.1.3 银行业体制机制改革实现历史性突破31.1.4 银行业风险管控和抵御能力大幅提升41.1.5 银行业发展模式发生深刻变化41.2 信息技术在我国银行业的发展51.2.1 商业银行信息科技发展阶段61.2.2 信息技术对银行发展的重要意义71.2.3 信息技术在银行业中的应用前景71.2.4 信息技术在银行业中的主要作用71.2.5 我国银行业信息化建设发展进入快车道81.2.6 未来几年我国银行业信息技术发展的趋势91.3 银行业信息安全概述1
2、01.3.1 信息安全重要性日益凸显1 01.3.2 信息安全在银行业中的发展阶段1 01.3.3 信息安全是银行业永久性的话题1 1第2章 银行业信息安全发展现状1 22.1 信息安全含义及范围1 2 2.2 银行业面临的威胁分析1 3 2.2.1 银行业面临的攻击威胁1 3 2.2.2 银行信息安全风险成因1 4 2.3 银行业信息安全政策的制定与监管趋于完善1 5 2.4 银行业在信息安全建设方面取得的卓越成效1 8 2.4.1 明确信息安全管理目标和策略,完善信息安全制度体系1 8 2.4.2 以国家等级保护要求为指导,构建信息安全技术保障体系1 9 2.4.3 借鉴国际标准,完善信息
3、安全开发和运维1 9 2.4.4 持续开展信息安全管理文化建设,提高全员安全意识和安全技能2 0 2.4.5 全面提升信息科技内控水平2 0 2.4.6 针对新形势积极探索信息安全应对策略2 1第二篇 管 理 篇第3章 银行信息安全管理体系参考框架2 4 3.1 信息安全管理体系参考标准和规范2 4 3.1.1 银行业信息科技风险管理指引2 4 3.1.2 等级保护2 6 3.1.3 I S O/I E C2 7 0 0 12 8 3.1.4 C O S O3 1 3.1.5 C O B I T3 2 3.1.6 I T I L3 4 3.1.7 I S O3 1 0 0 03 7 3.1.8
4、 巴塞尔协议 及其操作风险3 9 3.2 银行实际信息安全管理体系参考框架介绍4 0 3.2.1 银行信息安全管理体系参考框架设计意义4 0 3.2.2 银行信息安全管理体系参考框架设计方法论4 1 3.2.3 银行信息安全管理体系参考框架4 1第4章 信息安全方针4 5 4.1 信息安全方针概述4 5 4.2 信息安全方针的原则4 5 4.3 信息安全方针的主要内容4 6第5章 信息安全组织及人员安全管理4 9 5.1 银行信息安全组织的构建原则4 9 5.2 银行信息安全组织的架构4 9 5.3 信息安全组织相关岗位及职责设计5 2 5.3.1 信息安全管理类相关岗位5 2 5.3.2 信
5、息安全执行类相关岗位5 4 5.3.3 信息安全监督类相关岗位5 5 5.3.4 其他信息安全类岗位5 5 5.4 安全部门与行内其他部门的关系定位5 5目录 5.5 人员安全管理5 6第6章 信息安全管理制度5 8 6.1 文件化的信息安全管理5 8 6.2 信息安全管理制度的编写5 8 6.3 体系化的信息安全制度及其框架模型5 9 6.4 信息安全制度文件的控制6 0 6.5 信息安全制度的贯彻实施6 2 6.6 信息安全管理制度集合的组成6 2 6.6.1 体系化的信息安全管理制度集合6 2 6.6.2 对监管要求的整合落实6 3 6.6.3 某商业银行信息安全制度文件目录示例6 4第
6、7章 信息安全风险管理6 5 7.1 信息安全风险管理的不同含义6 5 7.1.1 国际通用标准对风险的定义6 5 7.1.2 巴塞尔协议 对风险的划分6 5 7.1.3 国际标准I S O/I E C2 7 0 0 5对信息安全风险的描述6 7 7.1.4 国家标准G B/Z2 4 3 6 4及G B/T2 0 9 8 4对信息安全风险的定义和说明6 7 7.2 银行信息安全风险管理过程6 8 7.2.1 基于I S O/I E C3 1 0 0 0的风险管理过程6 8 7.2.2 基于操作风险的风险管理过程6 8 7.2.3 基于I S O/I E C2 7 0 0 5的风险管理过程6 9
7、 7.2.4 银行信息安全风险管理的关注重点6 9 7.3 银行信息安全风险评估7 0 7.3.1 风险评估基本概念7 0 7.3.2 风险评估过程7 1 7.3.3 风险评估结果报告7 4 7.3.4 管理风险评估中引入的新风险7 4 7.4 风险评估的关键内容说明7 4 7.4.1 定量与定性的评估方法7 5 7.4.2 信息资产的分类和分级7 6 7.4.3 威胁的分类和分级7 8 7.4.4 资产弱点的严重性7 9 7.4.5 风险的计算8 0 7.5 银行信息安全风险处置8 0 7.5.1 风险处置方式8 0 7.5.2 风险处置的针对性8 1 7.5.3 风险处置的过程8 1 7.
8、5.4 风险处置的成本分析8 2 7.5.5 残余风险管理8 3银行信息安全技术及管理体系第8章 信息安全规划与建设8 4 8.1 信息安全规划8 4 8.1.1 信息安全规划的意义8 4 8.1.2 信息安全规划的定位8 4 8.1.3 信息安全规划的要求8 5 8.1.4 信息安全规划的主要任务8 5 8.1.5 信息安全规划的内容、主体与时间8 6 8.1.6 信息安全规划的形式8 7 8.2 信息安全建设8 8 8.2.1 信息安全建设原则8 8 8.2.2 信息安全建设依据8 9 8.2.3 信息安全建设包含的内容9 0 8.2.4 信息安全管理体系建设9 0 8.2.5 信息安全项
9、目建设9 1 8.3 案例介绍:某股份制商业银行信息安全规划实例9 4 8.3.1 概述9 4 8.3.2 A行信息安全现状9 4 8.3.3 A行当前面临的主要风险9 5 8.3.4 A行信息安全规划内容9 6第9章 信息安全监控与检查1 0 0 9.1 信息安全监控与检查概述1 0 0 9.2 信息安全监控的开展1 0 1 9.3 信息安全检查的开展1 0 3 9.3.1 信息安全检查的组织1 0 3 9.3.2 典型信息安全检查的开展方式1 0 3 9.3.3 信息安全检查方式1 0 3 9.3.4 信息安全检查内容1 0 4第1 0章 信息安全事件管理1 0 7 1 0.1 信息安全事
10、件管理概述1 0 7 1 0.2 信息安全事件分类1 0 7 1 0.2.1 有害程序事件1 0 8 1 0.2.2 网络攻击事件1 0 8 1 0.2.3 信息破坏事件1 0 8 1 0.2.4 信息内容安全事件1 0 8 1 0.2.5 设备设施故障1 0 8 1 0.2.6 灾害性事件1 0 9 1 0.2.7 其他信息安全事件1 0 9 1 0.3 信息安全事件的分级1 0 9 1 0.3.1 特别重大事件(级)1 0 9 1 0.3.2 重大事件(级)1 1 0目录 1 0.3.3 较大事件(级)1 1 0 1 0.3.4 一般事件(级)1 1 0 1 0.4 银行业突发事件分级管理
11、1 1 0 1 0.4.1 特别重大突发事件(级)1 1 1 1 0.4.2 重大突发事件(级)1 1 1 1 0.4.3 较大突发事件(级)1 1 1 1 0.5 信息安全事件管理的过程1 1 2 1 0.6 信息安全事件应急处理1 1 4 1 0.7 案例介绍:某商业银行信息安全事件管理办法1 1 6第1 1章 业务连续性与灾难恢复管理1 2 0 1 1.1 业务连续性与灾难恢复概述1 2 0 1 1.2 我国银行业务连续性/灾难恢复管理的现状与思考1 2 2 1 1.2.1 我国银行业务连续性管理的现状1 2 3 1 1.2.2 加强银行业务连续性管理的意义1 2 4 1 1.2.3 商
12、业银行业务连续性监管指引 解读1 2 4 1 1.3 灾难恢复管理的组织结构1 2 7 1 1.4 灾难恢复管理流程1 2 8 1 1.4.1 灾难恢复需求分析1 2 9 1 1.4.2 灾难恢复能力等级及策略的制定1 3 1 1 1.4.3 灾难恢复策略的实现1 3 2 1 1.4.4 灾难恢复预案的制定和管理1 3 3 1 1.5 案例介绍:业务连续性与灾难恢复管理实践1 3 6第1 2章 信息安全审计1 3 9 1 2.1.1 信息安全审计简介1 3 9 1 2.1.2 信息安全审计组织1 3 9 1 2.1.3 信息安全审计内容1 4 0 1 2.1.4 信息安全审计流程1 4 4第三
13、篇 技 术 篇第1 3章 信息安全技术模型1 4 8 1 3.1 W P D R R C介绍1 4 8 1 3.2 安全技术的层次结构模型1 4 9 1 3.3 基于W P D R R C的层次技术模型1 5 0第1 4章 物理安全1 5 2 1 4.1 物理安全概述1 5 2 1 4.2 物理安全要素1 5 2 1 4.2.1 物理资产分类1 5 2 1 4.2.2 物理安全威胁1 5 3 1 4.2.3 物理安全脆弱性1 5 3 1 4.3 物理安全的要求及内容1 5 4银行信息安全技术及管理体系 1 4.3.1 物理位置的选择1 5 4 1 4.3.2 物理访问的控制1 5 4 1 4.
14、3.3 防盗窃和防破坏1 5 5 1 4.3.4 防雷击1 5 5 1 4.3.5 防火1 5 6 1 4.3.6 防水和防潮1 5 8 1 4.3.7 电力供应1 5 9 1 4.3.8 电磁防护1 5 9 1 4.4 案例介绍:物理安全建设实例1 6 0第1 5章 网络安全1 6 4 1 5.1 典型的银行网络安全设计实例1 6 4 1 5.2 防火墙技术1 6 4 1 5.2.1 防火墙概述1 6 4 1 5.2.2 防火墙的作用1 6 5 1 5.2.3 防火墙的功能1 6 6 1 5.2.4 防火墙的分类1 6 7 1 5.2.5 防火墙应用场景分析1 6 8 1 5.3 网络威胁检
15、测与防护技术1 6 9 1 5.3.1 I D S概念1 6 9 1 5.3.2 入侵检测系统的功能和作用1 7 0 1 5.3.3 入侵检测系统的分类1 7 0 1 5.3.4 入侵检测的过程1 7 1 1 5.3.5 入侵检测系统的部署与应用1 7 2 1 5.3.6 入侵防御系统与W E B应用防火墙1 7 2 1 5.3.7 入侵防御系统与W E B应用防火墙的部署与应用1 7 3 1 5.4 虚拟专用网络(V P N)技术1 7 3 1 5.4.1 V P N基本概念1 7 4 1 5.4.2 V P N应用场景1 7 4 1 5.5 无线局域网安全技术1 7 4 1 5.5.1 无
16、线局域网简介1 7 4 1 5.5.2 无线局域网面临的威胁1 7 5 1 5.5.3 无线局域网的应用1 7 5 1 5.6 网络设备安全防护1 7 5 1 5.6.1 V L A N划分1 7 5 1 5.6.2 网络设备的访问控制1 7 6 1 5.6.3 网络设备安全配置1 7 7 1 5.7 案例介绍:某股份制商业银行网上银行系统网络安全建设实例1 7 8第1 6章 主机安全1 8 2 1 6.1 主机安全概述1 8 2 1 6.2 主机安全保护要求1 8 2目录 1 6.3 操作系统安全机制1 8 5 1 6.3.1 标识与鉴别1 8 5 1 6.3.2 访问控制1 8 5 1 6
17、.3.3 最小特权原则1 9 0 1 6.4 操作系统安全加固1 9 1 1 6.5 数据库安全配置1 9 2 1 6.6 P C终端安全1 9 3 1 6.6.1 内部P C终端安全1 9 3 1 6.6.2 客户P C终端安全1 9 4 1 6.7 智能终端安全1 9 4 1 6.8 案例介绍:银行移动智能终端安全1 9 6第1 7章 应用安全1 9 9 1 7.1 应用安全概述1 9 9 1 7.2 应用安全通用要求1 9 9 1 7.3 W E B应用安全面临的主要威胁2 0 0 1 7.4 W E B安全加固2 0 2 1 7.5 应用架构安全2 0 3 1 7.5.1 W E B应
18、用安全的现状及重要性2 0 3 1 7.5.2 常见的W E B应用漏洞及解决方案2 0 4 1 7.5.3 应用安全开发2 0 6 1 7.6 案例分析:应用安全防护案例2 0 7第1 8章 密码和身份鉴别技术2 0 8 1 8.1 密码技术概述2 0 8 1 8.2 国产密码算法的介绍2 1 0 1 8.2.1 S M 2非对称算法2 1 1 1 8.2.2 S M 3杂凑算法2 1 2 1 8.2.3 S M 4对称算法2 1 2 1 8.3 身份鉴别技术2 1 3 1 8.3.1 业务交易中的身份认证2 1 4 1 8.3.2 身份鉴别中常用的安全工具2 1 5 1 8.3.3 身份鉴
19、别中的生物识别技术2 1 7 1 8.3.4 应用范围2 1 8 1 8.4 案例介绍:密码技术在银行系统的应用实践2 1 9 1 8.4.1 密码技术中的身份鉴别2 2 0 1 8.4.2 密码通信数据完整性保护的应用2 2 1 1 8.4.3 银行国密算法改造实例2 2 2 1 8.4.4 加密机在银行中的应用2 2 4 1 8.4.5 密钥管理平台2 2 5 1 8.5 案例介绍:身份鉴别技术在银行系统中的应用实践2 2 7 1 8.5.1 身份鉴别技术在网银中的应用2 2 7银行信息安全技术及管理体系 1 8.5.2 身份鉴别技术在手机银行系统中的使用2 2 7第1 9章 数据安全2
20、2 9 1 9.1 数据安全概述2 2 9 1 9.2 数据生命周期2 3 0 1 9.3 数据安全技术2 3 1 1 9.3.1 数据加密技术2 3 1 1 9.3.2 数据存储安全技术2 3 1 1 9.4 数据防泄密技术(D L P)2 3 2 1 9.5 案例介绍:数据防泄密技术在银行的实践2 3 3 1 9.5.1 数据安全分析2 3 3 1 9.5.2 安全桌面功能框架2 3 6 1 9.5.3 安全桌面技术说明2 3 8 1 9.5.4 防数据泄漏平台介绍2 4 0第2 0章 安全检测与渗透测试技术2 4 2 2 0.1 系统安全检测及渗透技术2 4 2 2 0.1.1 系统安全
21、检测方法概述2 4 2 2 0.1.2 主流检测技术介绍2 4 5 2 0.2 案例分析:银行渗透测试方案2 4 9 2 0.2.1 渗透目标和范围2 5 0 2 0.2.2 测试内容2 5 0 2 0.2.3 测试流程2 5 1 2 0.2.4 测试工具2 5 2 2 0.2.5 测试的风险规避2 5 2第2 1章 安全运营技术2 5 4 2 1.1 系统安全运营技术2 5 4 2 1.1.1 深度包检测技术(D P I)2 5 4 2 1.1.2 大数据技术2 5 5 2 1.1.3 数据融合技术2 5 6 2 1.1.4 数据挖掘技术2 5 7 2 1.1.5 可视化技术2 5 7 2
22、1.2 系统安全态势感知技术2 5 8 2 1.3 系统安全运营的内容与流程2 5 9 2 1.3.1 安全运营的内容2 5 9 2 1.3.2 安全运营流程2 6 0第2 2章 灾难备份与恢复技术2 6 1 2 2.1 技术与发展趋势2 6 2 2 2.1.1 数据存储技术2 6 2 2 2.1.2 数据复制技术2 6 3 2 2.1.3 技术发展趋势2 6 8 2 2.2 灾难备份系统技术方案的实现2 6 9目录 2 2.2.1 技术方案的设计2 6 9 2 2.2.2 技术方案的验证、确认和系统开发2 6 9 2 2.2.3 系统安装和测试2 6 9 2 2.3 灾难恢复策略的制定2 6
23、 9 2 2.3.1 灾难恢复资源的获取方式2 7 0 2 2.3.2 灾难恢复资源的要求2 7 1第四篇 实 践 篇第2 3章 银行信息安全风险管理实践与案例2 7 3 2 3.1 某股份制商业银行安保平台建设实例2 7 3 2 3.1.1 安保平台建设背景2 7 3 2 3.1.2 安保平台建设基本思路2 7 5 2 3.1.3 安保平台建设过程2 7 6 2 3.2 基于大数据的网络安全态势实践2 7 8 2 3.2.1 当时的状况和问题2 7 8 2 3.2.2 解决问题的思路2 8 0 2 3.2.3 具体方案2 8 1 2 3.2.4 实际达到的效果2 8 4 2 3.3 同城双中
24、心灾备建设实例2 8 5 2 3.3.1 生产中心信息技术架构整合实践2 8 5 2 3.3.2 同城一体化数据中心实践2 8 9 2 3.3.3 同城双中心一体化网络实践2 9 0 2 3.3.4 应用系统双活实践2 9 1 2 3.3.5 数据库容灾技术实践2 9 3 2 3.3.6 灾备指挥与自动化切换平台实践2 9 3 2 3.3.7 同城双中心一体化运维管理体系实践2 9 5 2 3.3.8 信息技术服务连续性管理体系建设实践2 9 7参考文献2 9 9银行信息安全技术及管理体系第一篇现状篇随着我国银行业的发展壮大与信息技术的不断完善,信息安全在银行信息化建设的进程当中扮演着越来越重
25、要的角色。本篇主要讲述了我国银行业及信息技术的发展状况,在此基础上,对我国银行业信息安全的发展现状进行了分析,剖析了我国银行业在信息安全建设上取得的巨大成就。第 1 章 概述第 2 章 银行业信息安全发展现状第 1 章概述改革开放以来,我国银行业飞速发展,取得了丰硕的成果,银行业信息化建设经过近三十年的发展,已经打下了坚实的基础,并在当今的互联网时代继续呈现快速发展的势头。目前,全国性股份制商业银行基本完成了数据大集中工程,建设完成了新一代综合业务处理系统。银行改革与创新的步伐持续加快,金融服务水平和服务能力进一步提高,银行的业务发展越来越依赖信息系统,信息系统安全稳定已经成为银行业务发展的必
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2021 银行 信息 安全技术 管理体系
限制150内