信息科技在金融领域的应用.pptVIP

信息科技在金融领域的应用 中国人民大学 金融与财税电子化研究所 目录 信息安全理论与实践（60分钟） 业务网、OA网、互联网（外网）融合的关键技术。 智能网络加速（60分钟） 数据网（业务数据和OA数据）、视频网（视频监控和视频会议）、语音网融合的关键技术。 信息科技战略（60分钟） 信息科技战略的制定。 BPR、CRM、ERP等管理理念的应用。 （1）信息安全理论与实践 中国人民大学 金融与财税电子化研究所 内容提要 什么是信息安全 P2DR安全模型 信息安全风险评估 信息安全解决方案 信息安全体系鸟瞰 什么是信息安全What is “Security”? 安全需求的多样性 6项安全要求CIARAA (ISO13335) 保密性 Confidentiality 完整性 Integrity 可用性 Availability 可靠性 Reliability 认证性 Authenticity 审计性 Accountability 挑战（The Challenges） 最权威的传统评估标准 美国国防部在1985年公布 可信计算机安全评估准则 Trusted Computer Security Evaluation Criteria (TCSEC) 为安全产品的测评提供准则和方法 指导信息安全产品的制造和应用 监控模型 主要传统安全技术 操作系统访问控制 网络访问控制（防火墙） 加密（对称、非对称） 身份认证（口令、强认证……） …… 安全机制 TCSEC认为，一个安全机制的三个基本要求： 不可旁路 不可篡改 足够小，可以被证明 P2DR安全模型 动态安全模型 可适应网络安全模型 P2DR安全模型 以安全策略为核心 信息安全风险评估 IT资产保护 什么是风险？ 风险 Risk 目标状态的不确定性。 对目标有所影响的某个事情发生的可能 性。 它根据后果和可能性来度量。 AS/NZS 4360:1999《风险管理》 典型信息安全管理标准 BS7799/ISO17799 信息安全管理纲要Code of practice for information security management BS7799 / ISO 17799 安全策略 安全组织 资产分类及控制 人员安全 物理和环境安全 通信和操作管理 系统访问控制 系统开发与维护 业务连续性规划 符合性 安全风险评估流程 信息资产分类 现有安全措施界定 风险处置措施 信息安全解决方案 信息安全解决方案 概述 IT资产 IT威胁 策略框架 组织框架 运作框架 技术框架 信息安全解决方案 概述 介绍 IT安全要素 IT资产 明确要保护什么 IT威胁 明确要面对的问题 信息安全解决方案 策略框架 安全方针 安全策略 安全标准 安全流程和规范 安全保证 安全风险管理 IT生命周期中的安全和计划 IT安全生命周期 信息安全解决方案 组织框架 IT安全组织结构 角色和责任 宣传、培训和教育 合作和外包管理 信息安全解决方案 运作框架 个人和用户问题 物理和环境安全 意外和灾害准备 安全入侵处理 IT支持和运作中的安全考虑 网络管理 备份恢复等 信息安全解决方案 技术框架 IAARC 鉴别和认证 Identification Authentication 逻辑访问控制 Access Control 审计和跟踪 Audit Trail 响应和恢复 Response Recovery 内容安全 Content Security 审计跟踪 通过Standby/Sniffer类型的工作方式实现。 这种机制一般情况下并不干涉和直接影响主业务流程 对主业务进行记录、检查、监控等 响应恢复 从过程上看，响应和恢复是异常、故障、事故、入侵等发生后做出的反应； 但是根本的实现上看，在事前的准备才是该技术的关键。 这方面的技术主要表现在冗余、准备、应急等方面。 从管理层面看，这方面的技术解决方案结合管理方面的措施，形成了企业的业务可持续管理的体系。 内容安全 内容安全主要是直接保护在系统中传输和存储的数据（信息），要直接保护这些内容。 在做内容安全工作中，主要是对信息和内容本身做了一些变形和变换，或者对具体的内容进行检查。 我们也可以将内容安全理解为在内容和应用的层次上进行的安全工作，一些系统层次的安全功能在这个层次都有对应和类似的功能。 信息安全体系鸟瞰PADIMEE模型 工程模型 基于生命周期的模型 PADIMEE模型 信息安全体系鸟瞰 PADIMEE-Policy 签署最高安全方针 确立信息安全的资产地位 明确组织 确定信息安全的基本原则 制订基本技术标准 …… PADIMEE-Assessment 风险评估 需求分析 功能分析 保证标准制订/保