银行信息安全技术与管理体系
本书特色
[
本书力图通过对我国银行业信息安全的实践介绍,让读者对我国银行业在信息安全的管理思路、管理方法、管理内容及使用技术等方面有一个清晰和全面的认识。全书分为四篇,分别介绍了我国银行业信息安全的发展现状,分析了银行业面临的威胁,总结了我国银行业在信息安全建设上取得的巨大成就。从信息安全管理角度出发,将银行信息安全管理体系作为一个整体,系统地分析它所包含的相关内容,并给出了银行业信息安全管理体系参考的框架结构;从技术的角度出发,从作用方式和作用层次两个维度对我国银行业采用的各种信息安全技术进行了梳理和总结。通过具体的案例,使读者更加深刻地理解银行业信息安全技术与管理体系,对我国银行业信息安全实践有一个直观的认识。
本书主要供银行信息科技人员阅读,也可供从事信息安全的工作人员和科研人员参考,还可作为信息安全与金融类专业的教学参考书。
]
目录
目录总序序前言**篇现状篇第1章概述1.1我国银行业取得的丰硕成果1.1.1资产增长速度迅猛1.1.2国际化步伐加快1.1.3银行业体制机制改革实现历史性突破1.1.4银行业风险管控和抵御能力大幅提升1.1.5银行业发展模式发生深刻变化1.2信息技术在我国银行业的发展1.2.1商业银行信息科技发展阶段1.2.2信息技术对银行发展的重要意义1.2.3信息技术在银行业中的应用前景1.2.4信息技术在银行业中的主要作用1.2.5我国银行业信息化建设发展进入快车道1.2.6未来几年我国银行业信息技术发展的趋势1.3银行业信息安全概述1.3.1信息安全重要性日益凸显1.3.2信息安全在银行业中的发展阶段1.3.3信息安全是银行业永久性的话题第2章银行业信息安全发展现状2.1信息安全含义及范围2.2银行业面临的威胁分析2.2.1银行业面临的攻击威胁2.2.2银行信息安全风险成因2.3银行业信息安全政策的制定与监管趋于完善2.4银行业在信息安全建设方面取得的卓越成效2.4.1明确信息安全管理目标和策略,完善信息安全制度体系2.4.2以国家等级保护要求为指导,构建信息安全技术保障体系2.4.3借鉴国际标准,完善信息安全开发和运维2.4.4持续开展信息安全管理文化建设,提高全员安全意识和安全技能2.4.5全面提升信息科技内控水平2.4.6针对新形势积极探索信息安全应对策略第二篇管理篇第3章银行信息安全管理体系参考框架3.1信息安全管理体系参考标准和规范3.1.1银行业信息科技风险管理指引3.1.2等级保护3.1.3iso/iec 27003.1.4coso3.1.5cobit3.1.6itil3.1.7iso 31003.1.8《巴塞尔协议》及其操作风险3.2银行实际信息安全管理体系参考框架介绍3.2.1银行信息安全管理体系参考框架设计意义3.2.2银行信息安全管理体系参考框架设计方法论3.2.3银行信息安全管理体系参考框架第4章信息安全方针4.1信息安全方针概述4.2信息安全方针的原则4.3信息安全方针的主要内容第5章信息安全组织及人员安全管理5.1银行信息安全组织的构建原则5.2银行信息安全组织的架构5.3信息安全组织相关岗位及职责设计5.3.1信息安全管理类相关岗位5.3.2信息安全执行类相关岗位5.3.3信息安全监督类相关岗位5.3.4其他信息安全类岗位5.4安全部门与行内其他部门的关系定位5.5人员安全管理第6章信息安全管理制度6.1文件化的信息安全管理6.2信息安全管理制度的编写6.3体系化的信息安全制度及其框架模型6.4信息安全制度文件的控制6.5信息安全制度的贯彻实施6.6信息安全管理制度集合的组成6.6.1体系化的信息安全管理制度集合6.6.2对监管要求的整合落实6.6.3某商业银行信息安全制度文件目录示例第7章信息安全风险管理7.1信息安全风险管理的不同含义7.1.1国际通用标准对风险的定义7.1.2《巴塞尔协议》对风险的划分7.1.3国际标准iso/iec 27005对信息安全风险的描述7.1.4国家标准gb/z 24364及gb/t 20984对信息安全风险的定义和说明7.2银行信息安全风险管理过程7.2.1基于iso/iec 31000的风险管理过程7.2.2基于操作风险的风险管理过程7.2.3基于iso/iec 27005的风险管理过程7.2.4银行信息安全风险管理的关注重点7.3银行信息安全风险评估7.3.1风险评估基本概念7.3.2风险评估过程7.3.3风险评估结果报告7.3.4管理风险评估中引入的新风险7.4风险评估的关键内容说明7.4.1定量与定性的评估方法7.4.2信息资产的分类和分级7.4.3威胁的分类和分级7.4.4资产弱点的严重性7.4.5风险的计算7.5银行信息安全风险处置7.5.1风险处置方式7.5.2风险处置的针对性7.5.3风险处置的过程7.5.4风险处置的成本分析7.5.5残余风险管理第8章信息安全规划与建设8.1信息安全规划8.1.1信息安全规划的意义8.1.2信息安全规划的定位8.1.3信息安全规划的要求8.1.4信息安全规划的主要任务8.1.5信息安全规划的内容、主体与时间8.1.6信息安全规划的形式8.2信息安全建设8.2.1信息安全建设原则8.2.2信息安全建设依据8.2.3信息安全建设包含的内容8.2.4信息安全管理体系建设8.2.5信息安全项目建设8.3案例介绍:某股份制商业银行信息安全规划实例8.3.1概述8.3.2a行信息安全现状8.3.3a行当前面临的主要风险8.3.4a行信息安全规划内容第9章信息安全监控与检查9.1信息安全监控与检查概述9.2信息安全监控的开展9.3信息安全检查的开展9.3.1信息安全检查的组织9.3.2典型信息安全检查的开展方式9.3.3信息安全检查方式9.3.4信息安全检查内容第10章信息安全事件管理10.1信息安全事件管理概述10.2信息安全事件分类10.2.1有害程序事件10.2.2网络攻击事件10.2.3信息破坏事件10.2.4信息内容安全事件10.2.5设备设施故障10.2.6灾害性事件10.2.7其他信息安全事件10.3信息安全事件的分级10.3.1特别重大事件(ⅰ级)10.3.2重大事件(ⅱ级)10.3.3较大事件(ⅲ级)10.3.4一般事件(ⅳ级)10.4银行业突发事件分级管理10.4.1特别重大突发事件(ⅰ级)10.4.2重大突发事件(ⅱ级)10.4.3较大突发事件(ⅲ级)10.5信息安全事件管理的过程10.6信息安全事件应急处理10.7案例介绍:某商业银行信息安全事件管理办法第11章业务连续性与灾难恢复管理11.1业务连续性与灾难恢复概述11.2我国银行业务连续性/灾难恢复管理的现状与思考11.2.1我国银行业务连续性管理的现状11.2.2加强银行业务连续性管理的意义11.2.3《商业银行业务连续性监管指引》解读11.3灾难恢复管理的组织结构11.4灾难恢复管理流程11.4.1灾难恢复需求分析11.4.2灾难恢复能力等级及策略的制定11.4.3灾难恢复策略的实现11.4.4灾难恢复预案的制定和管理11.5案例介绍:业务连续性与灾难恢复管理实践第12章信息安全审计12.1.1信息安全审计简介12.1.2信息安全审计组织12.1.3信息安全审计内容12.1.4信息安全审计流程第三篇技术篇第13章信息安全技术模型13.1wpdrrc介绍13.2安全技术的层次结构模型13.3基于wpdrrc的层次技术模型第14章物理安全14.1物理安全概述14.2物理安全要素14.2.1物理资产分类14.2.2物理安全威胁14.2.3物理安全脆弱性14.3物理安全的要求及内容14.3.1物理位置的选择14.3.2物理访问的控制14.3.3防盗窃和防破坏14.3.4防雷击14.3.5防火14.3.6防水和防潮14.3.7电力供应14.3.8电磁防护14.4案例介绍:物理安全建设实例第15章网络安全15.1典型的银行网络安全设计实例15.2防火墙技术15.2.1防火墙概述15.2.2防火墙的作用15.2.3防火墙的功能15.2.4防火墙的分类15.2.5防火墙应用场景分析15.3网络威胁检测与防护技术15.3.1ids概念15.3.2入侵检测系统的功能和作用15.3.3入侵检测系统的分类15.3.4入侵检测的过程15.3.5入侵检测系统的部署与应用15.3.6入侵防御系统与web应用防火墙15.3.7入侵防御系统与web应用防火墙的部署与应用15.4虚拟专用网络(vpn)技术15.4.1vpn基本概念15.4.2vpn应用场景15.5无线局域网安全技术15.5.1无线局域网简介15.5.2无线局域网面临的威胁15.5.3无线局域网的应用15.6网络设备安全防护15.6.1vlan划分15.6.2网络设备的访问控制15.6.3网络设备安全配置15.7案例介绍:某股份制商业银行网上银行系统网络安全建设实例第16章主机安全16.1主机安全概述16.2主机安全保护要求16.3操作系统安全机制16.3.1标识与鉴别16.3.2访问控制16.3.3*小特权原则16.4操作系统安全加固16.5数据库安全配置16.6pc终端安全16.6.1内部pc终端安全16.6.2客户pc终端安全16.7智能终端安全16.8案例介绍:银行移动智能终端安全第17章应用安全17.1应用安全概述17.2应用安全通用要求17.3web应用安全面临的主要威胁17.4web安全加固17.5应用架构安全17.5.1web应用安全的现状及重要性17.5.2常见的web应用漏洞及解决方案17.5.3应用安全开发17.6案例分析:应用安全防护案例第18章密码和身份鉴别技术18.1密码技术概述18.2国产密码算法的介绍18.2.1sm2非对称算法18.2.2sm3杂凑算法18.2.3sm4对称算法18.3身份鉴别技术18.3.1业务交易中的身份认证18.3.2身份鉴别中常用的安全工具18.3.3身份鉴别中的生物识别技术18.3.4应用范围18.4案例介绍:密码技术在银行系统的应用实践18.4.1密码技术中的身份鉴别18.4.2密码通信数据完整性保护的应用18.4.3银行国密算法改造实例18.4.4加密机在银行中的应用18.4.5密钥管理平台18.5案例介绍:身份鉴别技术在银行系统中的应用实践18.5.1身份鉴别技术在网银中的应用18.5.2身份鉴别技术在手机银行系统中的使用第19章数据安全19.1数据安全概述19.2数据生命周期19.3数据安全技术19.3.1数据加密技术19.3.2数据存储安全技术19.4数据防泄密技术(dlp)19.5案例介绍:数据防泄密技术在银行的实践ⅹⅶⅹⅷ19.5.1数据安全分析19.5.2安全桌面功能框架19.5.3安全桌面技术说明19.5.4防数据泄漏平台介绍第20章安全检测与渗透测试技术20.1系统安全检测及渗透技术20.1.1系统安全检测方法概述20.1.2主流检测技术介绍20.2案例分析:银行渗透测试方案20.2.1渗透目标和范围20.2.2测试内容20.2.3测试流程20.2.4测试工具20.2.5测试的风险规避第21章安全运营技术21.1系统安全运营技术21.1.1深度包检测技术(dpi)21.1.2大数据技术21.1.3数据融合技术21.1.4数据挖掘技术21.1.5可视化技术21.2系统安全态势感知技术21.3系统安全运营的内容与流程21.3.1安全运营的内容21.3.2安全运营流程第22章灾难备份与恢复技术22.1技术与发展趋势22.1.1数据存储技术22.1.2数据复制技术22.1.3技术发展趋势22.2灾难备份系统技术方案的实现22.2.1技术方案的设计22.2.2技术方案的验证、确认和系统开发22.2.3系统安装和测试22.3灾难恢复策略的制定22.3.1灾难恢复资源的获取方式22.3.2灾难恢复资源的要求第四篇实践篇第23章银行信息安全风险管理实践与案例23.1某股份制商业银行安保平台建设实例23.1.1安保平台建设背景23.1.2安保平台建设基本思路23.1.3安保平台建设过程23.2基于大数据的网络安全态势实践23.2.1当时的状况和问题23.2.2解决问题的思路23.2.3具体方案23.2.4实际达到的效果23.3同城双中心灾备建设实例23.3.1生产中心信息技术架构整合实践23.3.2同城一体化数据中心实践23.3.3同城双中心一体化网络实践23.3.4应用系统双活实践23.3.5数据库容灾技术实践23.3.6灾备指挥与自动化切换平台实践23.3.7同城双中心一体化运维管理体系实践23.3.8信息技术服务连续性管理体系建设实践参考文献
封面
书名:银行信息安全技术与管理体系
作者:洪崎
页数:298
定价:¥79.8
出版社:机械工业出版社
出版日期:2016-01-01
ISBN:9787111522522
PDF电子书大小:122MB 高清扫描完整版