第五章-金融信息安全防范技术措施PPT课件.ppt

第五章金融信息安全防范技术措施 前言 金融信息系统和安全对于国家和个人都是十分重要的 但过去走的路是先应用 后安全 近年来 IT安全技术有了创新和飞快发展 因此 金融业及时地抓住了机会 加强了自身信息系统的安全建设 Contents 4 1成熟的 标准的安全系统 4 2DISSP60系统安全框架 4 1成熟的 标准的安全系统 1 DOD DepartmentofDefense 美国国防部发起研制 制定了一系列计算机安全的策略和标准 1985年改为NCSC 国家计算机安全中心 专门从事计算机信息安全标准制定 ISO TC97 ISO7489 ISO7489 2 扩充 DOD就是发展迅速的安全服务与安全机制的有效组合 防止 木桶效应 4 1成熟的 标准的安全系统 2 DISSP规划 DefenseWideInformationSystemSecurityProgram 全国国防部信息系统安全计划目的 为所有的国防信息系统提供一个联合的并且是安全集成的安全策略和体系结构 并提供一个过程来管理所有的安全策略和体系结构 对金融业极有参考价值 4 1成熟的 标准的安全系统 1 DISSP目标确保DOD以最有效和最及时的方法正确的部署和管理防御信息系统安全计划 使所用的系统成为高度自动化的信息系统和远程通信网络 实现的信息系统要做到操作有效 可互操作 安全和代价的费用 提倡协调的 继承的开发防御信息系统 在各部门之间具有最大的互操作性 如金融数据大集中各分行 各业务之间的连动 4 1成熟的 标准的安全系统 2 为实现DISSP目标 须解决的问题 注意到当前信息应用系统的安全策略 大部分是支离破碎不完整的 如身份认证机制 统一标准 统一平台 统一开发 统一性综合策略 3 解决问题的八项主要计划 建立一个完善 连贯的信息安全策略 研究已有信息系统安全体系结构 研究由体系结构引出的信息系统安全标准和协议 4 1成熟的 标准的安全系统 3 解决问题的八项主要计划建立一个完善的和连贯的信息安全策略 研究国际信息系统安全体系结构 研究由体系结构引出的信息系统安全标准和协议 4 1成熟的 标准的安全系统 4 解决问题的八项主要计划 续 为信息系统定义一个统一的安全鉴别过程 研究所必须的安全技术 PKI 定义总的过渡计划 在信息系统 网络开发者 实现者和操作者之间建立协调合作的关系 为确保国防信息系统的连贯性 要有成熟的安全产品和服务 4 2DISSP框架 1 DISSP框架 DefenseWideInformationSystemSecurityProgram 1 问题的提出 在制定该框架时发现 同一个组织内确定信息系统计划时 在安全需求和体系结构上基本类似 2 但没有任何两个计划以相同的方式提出他们的要求和体系结构 3 为此 需要制定一个长期的详细工作计划 随着时间的推移和技术的进步二不断扩大 4 使部门统一的信息系统和安全体系结构能够连贯 有逻辑的向前推进 5 2DISSP的系统安全框架 4 2DISSP的系统安全框架 2 DISSP的组成由一个把安全属性转换成系统部件和协议层的三维矩阵组成 如图4 1 X 安全属性维 YOSI 物 理 层 Z 系 统 部 件 维 链 路 层 传 输 层 会 话 层 表 示 层 应 用 层 操 作 层 主 体 层 网 络 层 端系统 接口 网络系统 安全管理 物 理 过 程 和 人 员 安 全 保 密 性 可 审 计 性 鉴 别 与 识 别 访 问 控 制 抗 否 认 性 可 用 性 质 量 保 证 互 操 作 性 防 火 墙 机 制 完 整 性 4 2DISSP的系统安全框架 1 DISSP的组成安全属性维 X轴 安全属性是基于上述ISO7489 2的有关安全服务的描述它的几个主要类型一般定义系统结构的要求就足够了 物理 过程 人员 11子类 机密性 可审计性 认证 访问控制 完整性 抗否认性 可用性 4 2DISSP的系统安全框架 1 DISSP的组成安全属性维 X轴 安全属性是基于上述ISO7489 2的有关安全服务的描述它的几个主要类型一般定义系统结构的要求就足够了 抗否认性 可用性 质量保证 互操作性 执行性 4 2DISSP的系统安全框架 1 DISSP的组成系统部件维 Z轴 系统部件维使得系统工程师和项目管理者考虑哪些部件将作为一个专门系统进行设计和建造 并且 必须将这些部件与安全属性维中的安全性对应起来 要作好合理的选择 它描述了各种组织之间连接的层次关系 如总 省 市分行 这种层次关系很便于讨论清楚 网络 端系统 安全管理和接口之间的关系 4 2DISSP的系统安全框架 1 DISSP的组成系统部件维 Z轴 端系统 上面是用户 下面是访问设备 最后是主机和服务器 接口 局域网 广域网之间 路由器 网桥 网关和协议转换器接口之间 网络系统 局域网 广域网 交换机 网络协议转换 安全管理 系统安全管理 安全服务管理 安全机制管理 4 2DISSP的系统安全框架 OSI维 Y轴 本框架的Y轴是开放式系统互联 OSI Y维由OSI基本参考协议模型并在七层之上又加了主体层和操作层所组成 OSI七层协议为 物 数 网 传 会 表 应 主体层 组织 人 计算机 操作层 文件传输 数据库访问 网络会议 目录服务极其扩展表 4 2DISSP的系统安全框架 2 映射过程 以安全需求为例举例 保密性需求 在安全属性维 X轴 定位 先从Y轴最后到系统部件 Z轴 的映射 首先 根据X轴上的安全需求考虑出发 然后 从Y轴的底层逐渐展开选择 设计和实施 按要求在哪个层面实施安全服务 最后 影射到Z轴的系统部件的各个环节上 4 2DISSP的系统安全框架 2 映射过程 续 端系统用户 数据 信息 访问处理接口网络接口广域网接口 4 2DISSP的系统安全框架 2 映射过程 续 网络联网广域网网关 中继线安全管理网络设计安全管理中心 NMC 对数据进行必要的保护 加密建立密钥分配中心 KDC 实体安全措施的控制与管理 总结 总之 这一安全框架 表明了安全需求到网络系统部件映射的过程和设计一个安全系统的重要指导意义 它是一个评估金融信息系统结构是