《金融服务-信息安全指南》标准解读课件

GB GBT 279102011T 279102011金融服务 信息安全指南Financial services-Information security guidelines金融信息化研究所 赵义斌2018-3主要内容主要内容前言主流标准信息安全体系目标本标准内容前言前言本标准是2008年全国金融标准化技术委员会的7项金融国际标准采标项目之一，采标采标“ISO/TR13569:2005”ISO/TR13569:2005”。本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案，同时它也为金融机构服务提供商提供了指南,对于面向金融业的培训机构和出版商，本标准也可作为原始文档。主流标准简介主流标准简介国际标准：27000系列国内标准：等级保护系列2700027000系列标准系列标准ISO/IEC27001的前身为英国的BS7799标准2005年，BS 7799-2:2002被ISO组织所采纳，推出ISO/IEC 27001:2005.ISO2700027036，涉及术语、体系、实践规范、实施指南、指标与测量、风险管理等，最核心标准是27001，ISO/IEC 27001被采为国家标准GB/T 22080-2008/ISO/IEC 27001:2005提出了完整的信息安全管理体系（ISMS），11个主题，39个控制目标，133个控制措施。11各主题包括安全政策、信息安全组织、资产管理、人力资源安全、实体与环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事故管理、业务连续性管理及符合性。将机构作为标准实施的一个主体等级保护等级保护安全技术物理、网络、主机、系统、应用、数据等安全管理制度、机构、人员、建设、运维针对具体的信息系统提出从技术到管理的安全要求信息安全目标信息安全目标信息安全体系确保信息资产的机密性、完整性、可信息安全体系确保信息资产的机密性、完整性、可用性用性（真实性、可靠性、不可抵赖性等），达成这些目标是一项跨专业部门的工作。本标准本标准内容内容公司信息安全策略信息安全管理信息安全方案信息安全机构风险分析和评估安全控制实施和选择IT系统控制实施特定控制措施辅助项信息安全策略信息安全策略信息分类信息分类按照信息资产价值、重要性进行信息分类不同类别的信息实施不同要求的信息安全防护策略体现适度安全的理念体现适度安全的理念信息信息安全策略安全策略文档层次文档层次安全文档分为以下三个层次：安全文档分为以下三个层次：策略文档一般由上层管理者发布上层管理者发布的安全要求。实践文档支持和分解一般安全原则，该原则提供清楚的方法以达到安全策略要求。规程文档在一定技术水平上的对实践的归纳，提供实施所要求规程的指南。规程规程策略策略实践实践信息安全策略信息安全策略策略文档特点策略文档特点信息安全策略应成为机构管理体系的有机组成部分。信息安全策略应成为机构管理体系的有机组成部分。内容简明扼要、明确保护的信息资产、通用范式。全机构范围发布全机构范围发布、对信息资产的全覆盖等。、对信息资产的全覆盖等。由上层管理者发布的安全要求，例如首席执行官(CEO)和首席信息官(CIO)签署、授权，授权，才能生效。公开发布公开发布内容是稳定内容是稳定的的广泛的代表性广泛的代表性安全实践文档特点安全实践文档特点衍生于策略文档，满足实践需求，比策略文档更具有可变性。可变性。范围上比策略文档狭窄，适用于具体的业务、部门，有明确的使用范围和边界，有严格限制的读者对象，文档大小是变化的和依赖主题的，所以实践文档是不公开的不公开的。技术上中立中立，根据保护信息类别确定使用的技术方法。实践文档的数量应保持最少。示例：“对公司信息资产的访问应以与资产敏感性相对应的方式鉴别。双因素鉴别(基于生物特征识别和基于口令)是可接受的最低鉴别级别。在访问被资产所有者分类为“机密”的资产时仅应采用三因素”鉴别。双因素鉴别(基于生物特征识别和基于口令)的访问控制系统应遵守如下规则”安全规程文档特点安全规程文档特点衍生于一个或多个安全实践文档,长度随规程的主题和复杂性而不同，具有可操作性。可操作性。在三个层次的文档中范围最狭窄。范围最狭窄。制定文档时应保证文档是完整的、准确的和恰当的完整的、准确的和恰当的，并且不能与其他实践或策略冲突，并应对法规限制、外部生产标准和其他规程文档予以考虑。规程文档应包括：先前的包含任何残余风险标识的安全风险分析和管理审查结果、随后行动的结果(诸如控制措施执行的安全符合性检查的结果)、日常信息安全行动监控和审查列表以及安全相关事故的报告。它们是策略如何实施的专业技术性描述。如“使用pwadmin命令确保用户口令满足公司访问控制和鉴别实践文档中建立的标准。接下来的命令是”信息安全管理信息安全管理信息安全信息安全方案方案体系的建立安全意识审查事故管理监控符合性维护灾难恢复信信息息安安全全管管理理体体系系信息安全体系的建立信息安全体系的建立实施信息安全策略需要建立信息安全体系，信息安全体系的建立、维护、改进和监控需要机构内多个专业部门的协同需要机构内多个专业部门的协同参与，参与，全员支持信息安全体系的建立和实施。本标准最重要的建议最重要的建议是机构应建立一个信息安全管理体系。建立一个信息安全管理体系。在公司管理的最高层次上，体系应遵循机构建立的策略，形成覆盖整个机构的建立和维护机制。制定一个详细的信息安全过程和规程可能要求机构内不同业务职能角色的合作，包括审计、风险、符合性、保险、负责法律法规符合性的官员以及合伙人和客户。安全意识安全意识安全安全意识包括意识包括安全教育和安全安全教育和安全意识培训。意识培训。确保所有雇员了解与他们和他们周围人的活动相联系的安全问题并保持警觉。体系的结构应能使雇员知道他们的安全职责，应给对安全方面有兴趣的雇员提供资源并鼓励他们扩充知识（培训）（培训）。信息安全审查信息安全审查安全视角的准入（大到国家、行业、机构、部门等）已有安全体系的维护信息安全审查信息安全审查从安全的视角建立准入规则（大到国家、行业、机构、部门等）应指派一个或更多的机构高级管理者高级管理者承担对信息安全体系的责任，及时审查和更新体系，同时当新的威胁和技术出现时，确保必要的防护资金投入。体系应包括建立履行信息安全体系所需要职责的详细过程和规程，以检查和报告信息安全体系的合理性及符合性。各个层次的管理者，包括执行层，可得到所有的监控和审查报告。应明确对任何策略例外或偏差进行考虑的规程并形成文档。还应有对产品必要的审计、符合性记录和监控安全审计日志信息的规程。应引起特别关注的是：识别审计日志信息的风险、为减少这些风险制定的要求，以及那些为确保信息安全资产得到充分保护所规定的要求。事故管理事故管理所有信息安全事件应迅速报告、文档化信息安全事件应迅速报告、文档化并根据机构实践予以解决。当未预期到的信息安全事件很可能破坏业务运营和威胁信息安全时，它们就成为必须说明的信息安全事故。安全专家在重新评估风险和选择实施安全控制中都使用事故和事件。进行信息安全体系改进时也使用事件和事故。监控监控应建立正式的机制报告入侵、系统故障和其他安全事故。应在审查过程中使用安全事故论证结果和事故管理文档结论，以影响防护措施投资和保护资产的控制措施，使其在过期后能得到重新评价和变更。体系维护和符合性体系维护和符合性体系维护已制定的控制措施，如防火墙和病毒扫描软件应定期更新以便有效防护新威胁。符合性应由独立的审查确保实践符合已建立的策略并且有充分和有效的控制措施。任何被许可免除的审查应及时文档化并限定时间以便可定任何被许可免除的审查应及时文档化并限定时间以便可定期重新评估。期重新评估。灾难恢复灾难恢复表明事关业务连续性的关键信息资产。制定灾难恢复计划。在制定计划时，应考虑掌握关键技能的员工、法律协定、信息备份系统以及可用作替代的支持关键业务活动的处理资源和场所等方面灾难恢复计划应定期检查和评估。灾难恢复计划应定期检查和评估。云架构的多活，灾备将逐步趋向安全生产信息安全机构信息安全机构承诺机构结构角色和责任管理者审计委员会风险管理委员会法律部门执行官业务经理雇员外围安全角色首席信息安全官官(CISO)信息安全官(ISO)安全操作者承诺承诺（声明）（声明）机构范围内信息安全体系目标的承诺，应基于机构对信息安全需要的理解。机构应通过愿意为信息安全活动投入资源和说明其信息安全需要来证明履行其承诺。机构最高层应关注信息安全对机构的意义，以及信息安全的范围和程度。信息安全目标应在整个机构发布，每个雇员和承包商应知道他们的角信息安全目标应在整个机构发布，每个雇员和承包商应知道他们的角色、责任和他们对信息安全色、责任和他们对信息安全 的贡献，应赋予他们适当的权力去完成这的贡献，应赋予他们适当的权力去完成这些目标。些目标。机构结构机构结构角色角色和责任和责任应适当划分责任并分配给相应角色。机构结构机构结构管理管理者、审计委员会、法律部门者、审计委员会、法律部门管理者管理者应传达信息安全是机构的重要目标的观念，并支持信息应传达信息安全是机构的重要目标的观念，并支持信息安全体系。安全体系。审计委员会金融机构审计委员会在监管中协助董事会，作为一个独立的部门负责目标检查、平衡内部控制和财务报告。信息安全体系中的监督和检查是审计委员会的一部分职责，通常通过机构内部审监督和检查是审计委员会的一部分职责，通常通过机构内部审计部门或外计部门或外 部审计师进行部审计师进行。法律部门法律部门应参与信息安全管理体系的实施，出率有关法律事务：如审查涉及雇员、客户、服务提供商、承包商和供货商的合同，涉及法律的取证等，机构结构机构结构执行官执行官CEO应授权建立符合公认标准的信息安全体系并对其提供支持，监管主要风险评估决策，参与宣传信息安全的重要性。很多机构设有类似的首席执行官、首席财务官(CFO)、首席技术官(CTO)和首席运营官(COO)等角色。许多机构开始在机构高层引入另外的角色，例如首席信息官(CIO)和首席信息安全官(CISO)。CTO、CIO和CISO角色有很多其他变化，但每个金融机构应有一位资每个金融机构应有一位资深官员或首席信息安全官最终向深官员或首席信息安全官最终向 CTOCTO或或CIOCIO汇报工作。汇报工作。机构结构机构结构业务业务经理、雇员经理、雇员业务经理专门的业务经理和机构内的其他经理业务经理和机构内的其他经理，监督和管理机构雇员和代理商，这使得他们成为信息信息安全体系的安全体系的参与者参与者。每个经理应理解、支持和遵守机构的策略、实践和规程，并确保雇员、供货商和承包商也这样做。业务经理应创造积极的氛围鼓励雇员、供货商和承包商报告信息安全相关问题。雇员安全体系的要求应包含在雇员雇佣合同中。安全体系的要求应包含在雇员雇佣合同中。所有员工都应知道自身活动和周边活动的安全含义，以便他们能够主动报告任何可疑的信息安全事件。机构结构机构结构外围外围应在供货商服务协议和承包商协议中包含安全方案要求。供货商和承包商应理解、支持、遵守机构和业务部门的信息安全实践和规程，他们应遵守公司信息安全策略。当机构因经济或其他业务原因选当机构因经济或其他业务原因选 择外包银行业务时，风险择外包银行业务时，风险管理不可能外包，其责任仍属于机构。管理不可能外包，其责任仍属于机构。信息安全信息安全角色角色首席信息安全官首席信息安全官(CISO)(CISO)首席信息安全官（首席信息安全官（CISOCISO）负责）负责设计、实施和管理信息设计、实施和管理信息安全体系，在信息安全方面安全体系，在信息安全方面对董事对董事和执行官负有最终责任的人。和执行官负有最终责任的人。CISO职责向执行官提出预算并说明信息安全方案的合理性；设计符合业务战略的安全架构；管理实施安全架构和履行信息安全职责的其他级别的人员；完成使安全架构生效的风险评估并弥补需要关注的缺陷；发布安全策略、实践和规程并管理一个安全意识方案；保持对目前的威胁和脆弱性的了解，掌握解决它们的最新安全技术；确保本机构被恰当地纳入该机构业务所开展的国家的重要基础设施保护的工作中。信息安全信息安全角色角色信息安全官（信息安全官（ISOISO）信息安全官信息安全官(ISO)(ISO)是机构中按是机构中按CISOCISO指示指示,肩负制定、实施和维护信息肩负制定、实施和维护信息安全体系职责。安全体系职责。ISO可以是CISO的助手,也可在机构业务部门控制之下，即专职、兼职都可。ISO职责理解安全架构、实践和规程；制定本地实践，发布并在合适的时候更新实践；从事风险评估；监控和审计安全实践；帮助IT系统从攻击中恢复；给出改进实践和规程的建议；跟踪最新的安全威胁、技术和方法提高信息安全意识。信息安全信息安全角色角色安全操作者安全操作者安全操作者执行最详细的安全操作者执行最详细的、重复活动、重复活动以完成信息安全方案的目标。以完成信息安全方案的目标。安全操作者可能是CISO的助手，也可能属于机构其他部门，应熟悉所在业务部门的硬件、软件和所需的安全规程。典型的职责描述如下：安装和维护网络设备的安全设置；安装操作系统安全补丁；维护和更新正确的访问控制文件；收集安全信息、审计信息、监控系统和网络活动发现安全问题。安全操作者负责理解如何支持安全架构和方案.实施和维护安全实践和规程.监督安全规程并在合适的时候报告它们的状态.纠正安全错误和对抗攻击.在一个错误或攻击后重建与业务恢复有关的适当的安全规程对改进实践和规程提出建议。风险评估风险评估风险评估内容安全建议和风险接受风险评估内容风险评估内容通过风险分析机构的对安全态势以及特定项目、系统和产品的安全进行评估。一个风险评估过程应给出降低机构安全风险到可接受级别的建议，指导选择合适的控制措施。一般用于风险评估的机构资产包括：设施和设备、软件应用、公司数一般用于风险评估的机构资产包括：设施和设备、软件应用、公司数据库、通信系统和计算机操作系统。据库、通信系统和计算机操作系统。通过定性、定量的信息资产、脆弱性及威胁评估，给出风险评估结论通过定性、定量的信息资产、脆弱性及威胁评估，给出风险评估结论安全建议和风险接受安全建议和风险接受风险评估对评估的系统应提出一组安全建议（消除风险、降低风险、（消除风险、降低风险、接受风险）接受风险）。适度接受风险是业务经理的责任。适度接受风险是业务经理的责任。(信息安全的相对性信息安全的相对性)在很多情况下，附加的控制措施用于把风险降低到可接受的级别。风险接受最好考虑机构的安全实践。考虑到执行安全策略的例外情况，业务经理应同信息安全团队一同工作，以确保将来满足策略要求，或者将长期的策略例外视为可接受的残余风险。安全控制实施和选择安全控制实施和选择风险减缓约束识别和审查逻辑访问控制审计日志变更控制信息安全意识人员因素风险减缓风险减缓为避免机构财产、生产率及信誉的损失，通过减缓这些风险，使风险最使风险最小化是机构内业务经理和信息安全团队共同的责任。小化是机构内业务经理和信息安全团队共同的责任。业务经理应记住将安全融入系统设计的优点而不要试图在现存的系统上修补漏洞。选择已有的、适当的和经过证明的控制措施来使已评估的风险降低到可接受的残余风险级别，并根据需要识别额外的可使用的或可开发的其他控制措施。另外的控制措施选择的详细说明见IsOIEc1333513(所有部分)。约束识别和审查约束识别和审查约束影响控制措施的选择,在提出安全建议和实施安全控制期间，约束应予以考虑，典型的约束和需要考虑的事情包括：约束需要考虑的事情。时间控制措施应在管理者接受的日期内实施，应在系统生命周期内实施并且只要管理者认为需要就应一直发挥作用。财务控制措施在实施上不应过于昂贵以致超出设计它们用于保护的机构资产的价值。技术控制措施应在技术上可行并与系统相兼容。社会控制措施可针对一个国家、地区、机构，甚至机构内一个部门，并确保为员工所接受。环境选择的控制措施需适应可用空间、气候条件、自然环境和城市地理等等。法律控制措施既要考虑类似个人数据保护方面的法律因素、又要考虑非IT方面的法律法规，如消防法、劳动法等法律法规。逻辑访问控制逻辑访问控制概要用户标识授权用户鉴别机制数字证书口令生物特征识别概要概要逻辑访问控制指系统采用的一组技术控制方法，以及根据机构实践来限制信息访问的应用。一般来说，应给用户所需的最低访问权限最低访问权限以完成他们的工作任务。不管怎样，保证系统访问的可核查性可核查性是至关重要的：例如知道谁被授权访问，知道个人访问了什么，知道什么时候访问发生了。其中最重要的是：一旦定义就应强制执行访问限制。一旦定义就应强制执行访问限制。用户标识与授权用户标识与授权用户标识为了在用户标识中提供更高的信任级别，机构应建立和执行在用户ID发布之前要求证明用户身份的策略。审慎业务实践要求将“知道你的客户”和“知道你的雇员”结合到用户ID发布活动中。更进一步，机构应建立和执行规程以确保每个用户每个用户IDID在发布之前是惟一的在发布之前是惟一的，并可追溯到被识别的个人和发布者。授权授权是为已验证身份的用户提供执行系统特定功能的活动，机构应决定每个用户的访问权限。除非专门授权，不允许用户访问任何信息或应用。基于角色的访问控制(RBAc。用户鉴别方式用户鉴别方式机制数字证书口令生物特征识别鉴别机制鉴别机制用户鉴别是指验证用户身份的过程。用户可以是机构内部的也可是机构外部的，失败的用户身份鉴别可导致机构无法证明一个人对其括动是否负有责任，并可能造成对数据和计算机资源的未授权访问。有几种不同类型的鉴别机制。用户所知用户所知(例如口令例如口令)用户所有用户所有(例如智能卡例如智能卡)用户的某种物理特征用户的某种物理特征(指纹或其他生物特征指纹或其他生物特征)。混合多重鉴别机制可确保更高等级的鉴别。混合多重鉴别机制可确保更高等级的鉴别。数字证书数字证书数字证书用于签名或加密信息，以及为用户、程序代码和设备提供鉴别。基于证书的数字签名可用于提供鉴别信息来源、基于证书的数字签名可用于提供鉴别信息来源、数据完整性和抗抵赖服务。基于证书的数据隐私服务可用于数据完整性和抗抵赖服务。基于证书的数据隐私服务可用于加密。加密。IsO15782说明了在金融服务中X509证书中的证书管理需要的控制和语法。ISO21188提供关于机构中如何管理证书安全策略的详细信息以及证书业务声明中必需的要素。口令口令现在使用最普遍的鉴别方式是口令，口令是由字母、数字和特殊字符的任意组合构成的一个字符串。与一个用户相联系的口令被认为是用户使用权利的授权证明。口令可以是动态的、也可以是静态的。口令可以是动态的、也可以是静态的。口令使用和管理也比较成熟。生物特征识别生物特征识别生物特征识别是一门通过生理特征来识别人员的科学，可以通过这些生理特征准确识别每个个体，这些生理特征具有高度惟一性。指纹可能是已知的最好的生物特征。已存在能读取指纹的电子设备，这些设备能将图像与已存储在系统中的图像做对比。其他的用于生物特征识别系统中的生理特征还包括眼睛视网膜、手形、脸部特征脸部特征和声音。IsO19092口”描述了在金融服务中如何将生物特征识别信息作为机构信息安全管理方案的一部分来进行管理。该技术报告说明了控制目标、控制措施、管理生物特征识别信息的详细事件日志以及如何达到这些目标。审计日志审计日志审计日志帮助制止未授权活动并提供对这种活动的早期检测，所有系统应根据机构策略提供不同级别的审计日志。级别的细节应尽可能详细，并与运营需要和机构策略保持一致。实用性方面，审计应提供重大安全事件的实时警告。审计系统应支持即时调查和报告可疑活动，以帮助制止和检测未授权活动。管理者应按时管理者应按时(一般按天一般按天)执行对审计日志信息的审查，所有安全执行对审计日志信息的审查，所有安全例外和异常事件都应调查和报告。例外和异常事件都应调查和报告。所有审计日志信息应根据业务要求保存一段合适的时间，这些信息应得到保护，免受偶然或恶意删除、篡改和伪造。变更控制变更控制为保护机构信息处理设施的完整性，应实施控制措施变更规程。如果如果没有变更控制，错误的处置或缺失服务将导致财务和效率的损失。没有变更控制，错误的处置或缺失服务将导致财务和效率的损失。变更控制原因是硬件变更、为应用软件和操作系统的补丁管理而发生的变更和手动规程的变更。这些变更控制规程也应说明如何管理紧急变更。业务经理应确保由他们控制的系统变更控制过程的正确性。信息安全团队应准备好帮助管理安全相关的变更，并管理信息安全团队直接负责管理的安全系统的变更。信息安全意识信息安全意识信息安全体系中应包含安全意识内容，以教育雇员保护机构的有价值信息。安全意识应经常强调。安全意识应经常强调。一个安全意识方案应包括一个对新雇员和新公司雇员的安全意识培训。无论何时引入新应用，还是对已有应用作大范围修改，都应对用户进行培训，信息安全方案中应纳入公开报道的信息安全相关问题。不同层次的管理者和员工有不同的关注点，当描述每个群体时应强调他们的特殊关注点，应使用所有层次和技能的人都理解的方式表述。经理们应知道泄露、风险、潜在损失和法规、审计的要求。这应在业务条款中描述，并且伴随与管理者职责领域相关的例子以及积极有效的信息。人员因素人员因素劳动力是金融机构最重要的资产，员工的兴趣和合作在任何成功的信息安全方案中都是至关重要的。机构中某些职位应设置为“可信的”，这种职位允许或需要访问敏感的人事或财务信息。另一种可信的职位是对机构计算机或IT资产拥有广泛权力和强大能力的职位。被选择到被选择到“可信可信”位置的人员应极其忠诚并经过背景调查。应劝告可信位置上的雇员：位置的人员应极其忠诚并经过背景调查。应劝告可信位置上的雇员：不许与他们的家人和熟人讨论敏感的业务规程。不许与他们的家人和熟人讨论敏感的业务规程。业务竞争对手可能试图通过“社会工程”引诱人们泄露信息给未授权的人，引诱者对人们的工作、技术讨论显示虚伪的兴趣和奉承使雇员无意中透露敏感信息。IT IT系统控制系统控制保护IT系统硬件控制系统软件系统安全网络和网络系统控制边界和连接控制保护保护IT IT系统系统保护IT系统有很多种控制措施，包括机构策略。除了初始的控制措施和策略，机构应采取步骤确保控制措施除了初始的控制措施和策略，机构应采取步骤确保控制措施和策略长期运作并得到维护，和策略长期运作并得到维护，否则，随着时间推移，当新的脆弱性出现和发布的新补丁被忽视时，系统的安全将受到侵害。一个运作良好的安全方案应包括维护过程和规程以确保所要求的控制措施是合适的并能保持及时更新。硬件控制系统硬件控制系统保护硬件系统对信息资产的完整性是至关重要。保护硬件系统对信息资产的完整性是至关重要。附录D讨论了一些极其重要的保护关键资源的控制措施，附录D1提供了可使用的减少对这些资源威胁的一些合适的控制措施。经常忽视的是硬件系统的供应商的问题。经常忽视的是硬件系统的供应商的问题。通常对供应商采用信任的态度。然而，由制造商和销售商配置好的机器可能提供对信息和网络连接的未授权访问，随机选购和在网络中分散部署机器能帮助防护这种恶意或偶然的威胁。在更高级别的安全应用中，可能需要考虑在机构和供货商之间建立可信任的控制措施。特别地，对密码设备，应重点考虑硬件评估，例如FIPSl402”1。对其他设备，在选择和使用时应依赖于遵循适当的或行业标准保护轮廓的通用准则评价。软件系统安全软件系统安全现代金融机构几乎完全自动化地处理全部交易，所以信息安全信息安全方案的核心是软件安全。方案的核心是软件安全。因为软件的复杂性、大量交互以及访问软件的多重途径，确保软件系统的安全是困难的。另外，许多系统如防火墙、Web服务器和应用服务器设计为可在许多硬件平台上运行。因为有很多详细讨论每个类型软件系统的文献存在，附录A2的材料仅在宏观上讨论了软件系统安全。网络和网络控制系统网络和网络控制系统网络作为信息系统的载体，是重要的基础设施，其安全防护很关键。网络通信容易遭受重新路由攻击、拷贝、数据包嗅探攻击而完全难以被检测到。利用SSL、IPSEC等协议，进行网络传输加密常常被看作通信安全的灵丹妙药，但对很多企业来说，网络层加密过于昂贵，在性能、吞吐量和时延上网络层加密过于昂贵，在性能、吞吐量和时延上开销太大。开销太大。为管理网络安全，可考虑IsOIEC18028中的指南。作为替代，第一道防线通常是机构和电信供应商之间的合同安排以及对电信供应商的信任。因此，使用知名的电信供应商，精心定义的服务条款和考虑周到的合同语言，常常是第一位和最重要的控制措施。边界和连接控制边界和连接控制概述防火墙入侵检测系统其他保护对策概述概述由于web服务、业务伙伴、外包支持、伴随记录系统的客户交互、临时和合同制劳工以及雇员访问，从家庭和外部连接到其他业务(这些都是远程访问），原来曾经稳定、紧密控制的网络边界现在变的开放了（云环境下，边界更模糊）。日益增加的边界渗透意味着边界和连接系统成为公司信息安全一个关键要素。这种渗透性也意味着越来越多的设备可能成为恶意活动的进人点。这些设备需要考虑用防火墙、入侵检测或其他可能的控制措施来保护，如附录D11终端系统的讨论中指出的那样。任何边界都代表了攻击企业脆弱性的机会任何边界都代表了攻击企业脆弱性的机会。企业需要为如何应用边界控制措施制定自己的策略。例如，一个机构要求隔离以达到高等级的安全环境，另一方面，一个机构可在一个安全数据库内保护它所有的信息资产，这个数据库在一个安全web应用服务器、多层防火墙和入侵检测软件之后，或者有功能强大的用户鉴别检查。防火墙防火墙防火墙代表了在网络层提供边界控制的成熟技术。防火墙代表了在网络层提供边界控制的成熟技术。防火墙基于地址、端口、协议和(某些情况下)包的内容监控网络通信。在很多机构中，防火墙仅开放所有可用地址、端口和协议中一个非常小的部分。很多机构应用两层防火墙创建一个DMZ或称为非军事区，提供对外访问和内部保护。通常内部和外部位置使用两种不同类型(不同的制造商)的防火墙。个人防火墙防火墙功能和入侵检测能力相结合。入侵检测系统入侵检测系统入侵检测系统将包内的数据同已知攻击的特性作对比发现异常攻击，通过e-mail、电话或纸面向机构内的适当人员发出警报。有两种主要类型的有两种主要类型的IDSIDS：网络：网络IDSIDS和主机和主机IDSIDS,企业部署两种检测类型的数量日益增长”。IDS系统依赖已知攻击特征对比、异常行为分析攻击特征对比、异常行为分析等进行安全检测。防火墙和IDS系统开始整合：供货商经常销售同时具有防火墙和IDS功能的产品，实现检测和访问控制，但应有一个权衡，因为其他合法的通信可能正在通过同一个连接，机构应自己权衡允许合法通信的价值和可能的攻击损失。允许可能的攻击与攻击可能造成的损失的价值对比判断，是IDS系统局限性最重要的部分。误报漏报的难以避免。其他保护措施其他保护措施有很多其他的保护网络边界和连接的对策，不同的应用案例需要不同的考虑。例如，一个封闭的业务部门可有一个内部网的直接连接，或者可通过一个简单的防火墙路由，而不是通过两层防火墙。这些构成机构内部网络的路由器和交换机应被保护并妥善管理。很多作为路由功能之后的保护层的防火墙功能已经由网络基础设施完成了。在网络、防火墙和IDS之上，有两个其他主要对策：加密和鉴别。鉴别用于设备和设备的用户(包括软件“用户”)。设备可通过使用IPSEC或在某种程度上通过SSL来鉴别。终端用户可通过SSL来鉴别，虽然SSL实际上不能真正鉴别用户(例如，一些浏览器记住用户名和口令，任何使用该计算机和浏览器的任何人在Web服务器看来都是同一个用户)。使用多因素而非仅依靠用户ID和口令可加强鉴别，但这样的话用户需要拥有一个令牌或智能卡，拥有一个与数字证书关联的私钥或者指纹(或其他生物特征)。实施特定控制措施的业务实施特定控制措施的业务金融交易卡电子资金转账支票辅助项辅助项保险审计灾难回复计划外部服务提供商渗透测试组密码操作密钥管理隐私保保险（国内（国内还没有没有这方面的案例）方面的案例）在设计信息安全方案时，信息安全官和业务经理应同保险部门、承保人(如果可能的话)协商，这样做可以使信息安全方案更有效，更好的使用保险费。在索赔之前承保人可能要求可靠的控制措施，称为责任前条件或先例条件。责任前条件常处理信息安全控制措施。因为这些控制措施对保险的目的来说是恰当的，所以它们被整合进机构的信息安全方案。一些控制措施也可要求被担保，即从策略的开始，就显示其恰当性。业务中断的保险范围，特别是失误和遗漏保险范围，一般应和信息安全计划结合。花钱消灾并不完全适用国情审计审计内部审计是一个独立的、为确保目标和协商而设计的活动，以增加价值和改进机构运营。它通过系统的、严格的方法评估和改进风险管理、控制措施、过程管理的效率来帮助机构完成它的目标。内部审计审查信息的可靠性和完整性、策略和法规的符合性、资产防护措施、经济的和高效的使用资源、已确立的可操作的目标。”更明确来说，在信息安全领域，审计师应评估和测试覆盖金融机构信息资产的防护措施，致力于同信息安全官和其他人士及时沟通，对识别威胁、风险和已有或新产品的足够防护措施提出正确的观点。审计师为管理者提供涉及控制环境的情况的客观报告，以及推荐经过需求和成本利益方面论证的改进措施，详述审计日志信息的保存和审查。在审计功能同其他功能结合的地方，要求管理者注意使潜在的利益冲突最小化。外部服务提供商外部服务提供商金融机构需要外部提供至关重要的服务，例如数据处理、交易处理、网络服务和软件制作，应和机构内部处理活动一样接受相同级别的防护措施和信息保护。外部服务商合同应包括如下必要条款满足金融机构的要求：供应商应遵守机构的安全策略和实践；由公共会计事务所出具的供应商的有效报告给机构；机构内部审计员有权对提供商涉及金融机构的相关规程和防护措施进行审计；提供商应遵守交付系统、产品或服务的有条件转让契约。除如上所述之外，在执行服务提供商的合同之前，金融机构内部的专家应对供应商实施独立的财务审查。除非获得了信息安全防护已到位的书面保证，不能和服务提供商开展任何业务。CISO应检查服务提供商的安全方案以判断是否和本机构的相一致。任何不足应通过和供应商的谈判或通过机构内的风险接受过程来加以解决。除了信息安全要求，同服务提供商的合同应包括非泄露条款和因信息安全过失导致损失方面的清晰责任划分。渗透测试组渗透测试组使用渗透测试组，通常是承包商，在得到机构适当官员的同意下，利用专业知识通过对系统的渗透攻击来测试系统安全访问的有效性。这是系统安这是系统安全方案获得保证的一种方法。全方案获得保证的一种方法。随着计算机系统变得越来越复杂，安全也变得越来越难以维护。使用渗透测试组可帮助发现机构系统特有的脆弱性。然而，应考虑一些问题。承包商应有足够的保证或足够的力量承担由于他们的工作带来的责任。机构不能仅依靠渗透测试报告来监控它的安全方案。机构不能仅依靠渗透测试报告来监控它的安全方案。在与渗透测试组的合同中应注明结果不能泄露，任何安全问题的揭示应由机构掌控。密码操作密码操作密码防护措施包括应用加密、报文鉴别码和数字签名，每一个这样的服务也要求密钥管理或认证服务。合适的密码防护可应对对信息机密性、完整性的威胁。（认证、防抵赖）（认证、防抵赖）加强秘钥管理，应使用ISO关于银行业密钥管理的标准，密钥分割。提供密码材料管理的设备应服从最高级别的物理保护和存取控制。客户应知道密码材料安全措施的重要性。客户、商务合作者或服务提供商的密码系统之间的互操作必须在完整的书面文档保证下进行。密码产品提供的安全性质量依赖于这些产品的持续的完整性。使用合适的已认证的抗攻击和密钥归零集成电路，使得硬件系统比软件系统在某种程度上容易提供保护。如果环境允许，也可使用软件密码产品。密码产品要服从政府关于使用、进口和出口法规的变化。各地关于密码设备使用、制造、密码产品要服从政府关于使用、进口和出口法规的变化。各地关于密码设备使用、制造、销售和进出口的法规差异很大。应向当地律师和授权机构咨询。销售和进出口的法规差异很大。应向当地律师和授权机构咨询。密钥管理密钥管理密码密钥管理需要仔细计划、培训和执行的技术密码密钥管理需要仔细计划、培训和执行的技术。描述密钥管理的标准包括ISO11568。密钥管理是密码技术的一部分，它提供安全生成、交换、使用、存储和废止密码机制中使用的密钥的方法。在计算机系统和网络中，将多种密码技术，如加密和鉴别相结合可实现很多安全目标。然而，如果没有密码密钥的安全管理，这些技术是没什么价值的。密钥管理的主要功能是通过密码技术，提供所要求的密钥并且保护这些密钥免于任何形式的泄露。密钥管理的主要功能是通过密码技术，提供所要求的密钥并且保护这些密钥免于任何形式的泄露。密钥管理的特殊的流程和安全要求依赖于基于密码技术的密码系统的类型，密码技术本身的属性，以及受保护计算机系统或网络的特性和安全要求。最重要的是在计算机系统或网络内，为了应用的高效率，密钥管理应有足够的灵活性，但仍应维持系统的安全要求。密钥管理服务应随时随地提供，包括在备份地点。密钥管理应作为机构灾难恢复计划的一部分。隐私隐私金融机构拥有很多个人和机构的敏感信息。法律和制度要求在某种安全和隐私规则下处理和保留这些信息。必须充分考虑银行隐私保护。金融机构应审查所有的隐私法律和制度，在关于如何收集，使用，保护信息方在关于如何收集，使用，保护信息方面应给出专门的策略和规程。面应给出专门的策略和规程。这些策略和规程应为相关雇员所了解。隐私策略和过程应说明：收集信息时应确保只收集与识别业务需求有关的，精确的信息；处理信息以提供合适的访问限制，包括决定谁能访问信息，进行质量控制以避免数据输入或处理的错误，防止不经意的未授权访问；共享信息，仅能以事先定义好的方式存在。信息以最初收集时的原因为使用目的。这种共享不能导致产生其他未经授权的隐私人侵的新机会；存储信息确保以受保护方式存在以避免未授权访问；发布信息使用和有效的程序，允许信息拥有人纠正信息错误，建立使用信息的标准；当不再需要时安全地销毁信息。应关注新技术应用带来的安全问题应关注新技术应用带来的安全问题分布式云架构模糊了安全边界、安全可信等问题。大数据给隐私保护和数据安全带来挑战。量子计算能力的指数级提升，对传统安全体系的颠覆问题。区块链应用中的数据安全问题。谢谢！