收藏
下载资源

华夏信财信息安全体系建设报告

上传人:ji****72 文档编号:45726837 上传时间:2018-06-18 格式:PDF 页数:20 大小:12.63MB
返回 下载 相关 举报
华夏信财信息安全体系建设报告_第1页
第1页 / 共20页
华夏信财信息安全体系建设报告_第2页
第2页 / 共20页
华夏信财信息安全体系建设报告_第3页
第3页 / 共20页
华夏信财信息安全体系建设报告_第4页
第4页 / 共20页
华夏信财信息安全体系建设报告_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《华夏信财信息安全体系建设报告》由会员分享,可在线阅读,更多相关《华夏信财信息安全体系建设报告(20页珍藏版)》请在金锄头文库上搜索。

1、Huaxia Finance Information Security System Construction Report 信息安全体系 建设报告华夏信财信息技术部 2016版Security CMYCMMYCYCMYK信息安全体系建告FA.pdf 1 16/2/25 14:08In Credit We Trust,Wealth For Life信用为本 财富一生CMYCMMYCYCMYK信息安全体系建告FA.pdf 2 16/2/25 14:08封面 11 信息安全体系建设概述 51.1 建设背景 51.2 建设目标 51.3 建设范围 51.4 建设依据 52 信息安全体系框架设计 62

2、.1 信息安全工作生命周期 72.2 信息安全体系设计原则 82.3 信息安全体系策略框架基础模型 93 已落实安全工作汇总 103.1 桌面安全 113.2 网络安全 123.3 程序安全 143.4 数据安全 153.5 安全组织 16CONTENTS 目录CMYCMMYCYCMYK信息安全体系建告FA.pdf 3 16/2/25 14:08信息安全体系建设概述CMYCMMYCYCMYK信息安全体系建告FA.pdf 4 16/2/25 14:08为了有效保障公司各业务系统持续、稳定、安全运营,确保各业务平台符合人民银行颁布的金融机构信息系统安全规范,同时根据国家即将发布的 P2P 行业规范

3、建立符合监管机构要求的信息安全管理体系。 建立信息安全保障体系,满足国家相关政策法规要求 加强和完善公司内外部各业务系统信息安全保护措施 完成信息安全体系建设和实施,提升公司竞争力适用于公司内外部各业务系统信息安全保障体系建设工作。 信息安全技术 信息系统安全等级保护基本要求 (GB/T 22239-2008) 信息安全技术 信息系统安全等级保护定级指南 (GB/T 22240-2008) 网络借贷信息中介机构业务活动管理暂行办法(征求意见稿) 金融机构计算机信息系统安全保护工作暂行规定1 信息安全体系建设概述1.1 建设背景1.4 建设依据1.3 建设范围1.2 建设目标CMYCMMYCYC

4、MYK信息安全体系建告FA.pdf 5 16/2/25 14:08信息安全体系框架设计CMYCMMYCYCMYK信息安全体系建告FA.pdf 6 16/2/25 14:082 信息安全体系框架设计2.1 信息安全 工作生命周期覆盖信息安全工作整个生命周期的安全工作价值链模型如下:了解现状确定目标、实现策略和途径确定实现方法增强安全措施,解决安全问题维护体系运行,保障安全风险评估体系规划解决方案体系建设实施体系运行安全工作以风险评估为起点,以安全体系为核心。通过对安全工作生命周期的理解,从风险评估、安全体系规划、并以解决方案和策略设计落实安全体系的各个环节、以建设过程逐步完善安全体系、以安全体系

5、运行维护和管理的过程等全面满足安全工作各个层面的安全需求,从而达到全面、持续、突出重点的安全保障。CMYCMMYCYCMYK信息安全体系建告FA.pdf 7 16/2/25 14:08总体规划,适度防护总体规划涵盖桌面安全、网络安全、程序安全、数据安全等多个层次,并从技术、管理两个维度进行建设并依据“适度防护”原则,在投入一定的人力、物理和财力的基础上,满足公司对信息安全的全面要求。分级分域,强化控制任何安全措施都不是绝对安全的,都可能被攻破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统,需要合理划分安全域和综合采用多种有效措施,进行多层和多重保护,并对每个安全域进行详细的策略制定。

6、保障核心,提升管理在技术、管理和运维全方位保障公司各业务系统安全,除了在技术上采取相应的安全手段进行防护之外,同时从组织、人员、流程、制度和规范各个层面整体公司的信息安全管理水平。支撑应用,规范运维将人员、流程和技术有机地结合起来,提升运维管理水平,实现了知识经验的积累和共享。主动和高效的管理,从而改变 IT 部门的“救火队”角色,使 IT 部门由“急诊大夫”晋升为“保健医生” ,保证业务的正常运行和可持续。2 信息安全体系框架设计2.2 信息安全 体系设计原则CMYCMMYCYCMYK信息安全体系建告FA.pdf 8 16/2/25 14:083.1.1 安全管理公司内部服务器私有云将公司内

7、部所有服务器分散结构进行集中管控,对硬件、网络、数据进行集中控制管理,使用统一认证鉴权,对分配资源进行统一管理。公司内部 AD 域控制系统公司所有员工计算机使用域控制器进行账户登录及操作使用管理,包括账户的开通、禁用、删除等账户管理操作以及账户的操作使用管控。公司各门店桌面操作系统账户管控使用 UAC 账户控制各分支机构计算机使用,同时结合 AD 域控制及组策略对各分支机构计算机进行集中控制管理,包括日常使用、U 盘读取限制、界面操作限制、浏览器访问限制、安全软件限制等日常办公控制管理。公司桌面系统标准化规范终端的配置和使用,降低由于个人对终端的使用不当而给公司造成的风险,提高公司终端标准化程

8、度。3.1.2 安全认证公司总部内部共享文件服务器(域集成统一认证)集中管控公司文件数据,财务与其他部门文件数据物理分离,确保信息使用安全。使用 AD 域帐户统一登录,增加日志审计并根据员工级别分配不同的访问权限。全面确保共享文件服务器的安全使用。3.1.3 安全防护公司上网行为管控系统主动过滤点对点下载、视频、游戏、360 杀毒、360 云盘等软件或协议,确保公司系统运行稳定。同时对员工网络操作以及邮件往来进行监控及日志记录,并定期进行日志审计,确保公司各业务系统及文件数据信息安全。公司内部反向代理服务器搭建及安全管控所有内部服务器均不向互联网进行对外开放,对确需进行对外互联的内部服务器则使

9、用隐藏真实物理主机地址的方式(反向代理)进行访问映射,同时增加访问日志审计,对端口进行 1 对1 开放,确保内部服务器的信息安全,有效防止黑客攻击。3.2.1 网络冗余内部网络及业务网络系统网络冗余使用双 ISP 网络宽带备份机制(电信、联通) 、负载均衡及分布式拓扑网络结构,有效保障网络系统运行稳定性和业务的不间断性。3.2.2 网络流量管理网络流量管理使用 QOS 安全机制及信元交换和多路复用技术,解决网络延迟和阻塞等问题,保证网络的高效运行。3.2.3 网络传输安全各业务系统 SSL 证书及 HTTPS 协议功能认证用户和服务器,确保数据将被发送到正确的客户机和服务器上。加密数据以隐藏被

10、传送的数据。维护数据的完整性,确保数据在传输过程中不被改变。3.2.4 网络设备检测与加固设备更换及安全域划分使用三层交换机替代原有二层交换机,使原本逻辑上处于一个大广播域中的所有 PC 和服务器被划分为独立的多个安全域;每个安全域都承载了同一部门的 PC,服务器被划分为单独的安全域,安全域与安全域之间通过三层交换机配置的安全策略实施访问控制,从而能够有效地限制安全事件造成的影响区域,将损失降到最低。3.2.5 网络边界准入各业务系统物理区域访问安全控制对业务系统专网实施安全隔离和保护,并通过防火墙与机房网络建立加密隧道,保证业务交易活动和数据在 Internet 上传输的安全。3.2.6 网

11、络安全域划分与隔离各业务系统网络架构信息交互安全控制互联网金融子公司花虾平台网络架构信息交互安全控制部署网络层面、 系统层面和应用层面的安全审计和安全监控技术措施, 保障业务系统的安全运行。3.2.7 边界内容控制边界内容控制基于业务应用的访问策略和要求,采取适当措施,从技术和管理两方面控制网络互联。2 信息安全体系框架设计2.3 信息安全 体系策略框架 基础模型根据上述框架基础模型,信息技术部从桌面安全、网络安全、程序安全、数据安全以及安全组织等方面进行公司的信息安全落实工作。信息安全策略安全组织安全管理制度网络冗余网络安全区域划分与隔离网络流量管理网络入侵检测与防护传输安全存储安全备份恢复

12、身份认证备份恢复安全控制版本控制安全认证安全管理安全防护网络传输安全网络边界准入网络节点安全边界内容控制网络设备安全检测加固安全设备配置策略优化安全管理机构人员安全管理数据安全程序安全综合审计查询计算环境网络安全桌面安全3.2.8 网络节点安全各业务系统服务器操作系统远程管理安全控制使用相应的策略、程序和标准来控制远程接入行为。3.2.9 网络入侵检测与防护网络入侵检测与防护使用 IDS、IPS 设备,对恶意攻击行为进行监控记录、阻截,确保业务的服务器信息安全。3.2.10 安全设备配置策略优化安全设备配置策略优化3.3.1 身份认证身份认证各业务系统具备用户账号,角色和权限管理,按照最小特权

13、原则为用户分配权限,避免出现共用账号的情况。身份验证、防止抵赖和保护信息的机密性及完整性,防止信息被泄露或篡改。3.3.2 版本控制各业务系统程序和配置文件敏感信息安全管控规范从创建、执行、修改、到更新、废止等整个生命周期的系统开发运行的版本控制。3.3.3 备份恢复各业务系统程序备份机制安全管控保障系统程序的安全,减少因人为或其他外在因素导致程序文件丢失造成的损失。3.3.4 安全控制各业务系统程序数据交互安全管控各业务系统物理服务器操作系统安全加固各业务系统运行状态监测及告警功能公司内部各业务测试系统端口映射安全管控部署网络层面、系统层面和应用层面的安全审计和安全监控技术措施,确保业务系统

14、的事前事中事后的安全管理。3.4.1 传输安全数据库访问控制安全管控制定相应的策略、程序和标准来控制远程接入行为。CMYCMMYCYCMYK信息安全体系建告FA.pdf 9 16/2/25 14:083.1.1 安全管理公司内部服务器私有云将公司内部所有服务器分散结构进行集中管控,对硬件、网络、数据进行集中控制管理,使用统一认证鉴权,对分配资源进行统一管理。公司内部 AD 域控制系统公司所有员工计算机使用域控制器进行账户登录及操作使用管理,包括账户的开通、禁用、删除等账户管理操作以及账户的操作使用管控。公司各门店桌面操作系统账户管控使用 UAC 账户控制各分支机构计算机使用,同时结合 AD 域

15、控制及组策略对各分支机构计算机进行集中控制管理,包括日常使用、U 盘读取限制、界面操作限制、浏览器访问限制、安全软件限制等日常办公控制管理。公司桌面系统标准化规范终端的配置和使用,降低由于个人对终端的使用不当而给公司造成的风险,提高公司终端标准化程度。3.1.2 安全认证公司总部内部共享文件服务器(域集成统一认证)集中管控公司文件数据,财务与其他部门文件数据物理分离,确保信息使用安全。使用 AD 域帐户统一登录,增加日志审计并根据员工级别分配不同的访问权限。全面确保共享文件服务器的安全使用。3.1.3 安全防护公司上网行为管控系统主动过滤点对点下载、视频、游戏、360 杀毒、360 云盘等软件

16、或协议,确保公司系统运行稳定。同时对员工网络操作以及邮件往来进行监控及日志记录,并定期进行日志审计,确保公司各业务系统及文件数据信息安全。公司内部反向代理服务器搭建及安全管控所有内部服务器均不向互联网进行对外开放,对确需进行对外互联的内部服务器则使用隐藏真实物理主机地址的方式(反向代理)进行访问映射,同时增加访问日志审计,对端口进行 1 对1 开放,确保内部服务器的信息安全,有效防止黑客攻击。3.2.1 网络冗余内部网络及业务网络系统网络冗余使用双 ISP 网络宽带备份机制(电信、联通) 、负载均衡及分布式拓扑网络结构,有效保障网络系统运行稳定性和业务的不间断性。3.2.2 网络流量管理网络流量管理使用 QOS 安全机制及信元交换和多路复用技术,解决网络延迟和阻塞等问题,保证网络的高效运行。3.2.3 网络传输安全各业务系统

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号