【精品文档】马光悌证券行业信息系统安全主要威胁及应对方法探讨(4).ppt

《【精品文档】马光悌证券行业信息系统安全主要威胁及应对方法探讨(4).ppt》由会员分享，可在线阅读，更多相关《【精品文档】马光悌证券行业信息系统安全主要威胁及应对方法探讨(4).ppt（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、证券行业信息系统安全证券行业信息系统安全主要威胁及应对方法探讨主要威胁及应对方法探讨网站与网上交易系统的安全风险分析及应对策略构想中国民族证券有限责任公司马光悌 总工程师现今证券交易业务的特点现今证券交易业务的特点客户数量庞大，社会影响面广资本市场最重要和最活跃的组成部分增长快速，新业务种类多实时性要求高对信息系统的依赖程度高交易手段多样，与信息技术发展结合紧密交易业务集中，风险集中业务依赖技术，技术推动业务证券信息系统的特点和要求证券信息系统的特点和要求持续的业务支持能力 高可靠、高可用、不间断足够的处理能力 高速度、高效率足够的突发应对能力 足够的性能冗余足够的灾难应对能力 灾难备份及恢复

2、能力数据的安全 备份、保存、访问、传输、恢复交易过程的安全 身份识别、传输、完整性对新业务的支持能力 快速部署、快速投产系统的不断升级能力 延续性、一致性、扩展性性能安全高可用证券信息系统面临的主要威胁证券信息系统面临的主要威胁交易业务连续性威胁可用性、访问速度、持续服务能力、处理能力、突发访问数据安全威胁保存、认证、访问、传输、备份、恢复攻击威胁拒绝服务攻击、入侵、黑客、木马、蠕虫、系统漏洞建设风险、管理风险 现今信息系统安全威胁最主要的来源现今信息系统安全威胁最主要的来源 -网站与网上交易互联网技术的快速发展，网络的普及 -网民超过2.53亿，世界第一网上交易成为最主要的委托方式 -占整个

3、市场65%以上来自互联网安全威胁日益严重!-呈指数级别增长我国被植入木马主机数量每年增长10倍；网页篡改、仿冒等事件每年增长率均超过20%；恶意代码增长率超过60%，超过100万个；在公安部信息网络安全状况调查的7072家信息网络中，发生网络安全事件的比例为58安全威胁新趋势-产业化产业化 网络非法活动已形成黑色产业链来自互联网的威胁有哪些来自互联网的威胁有哪些按照破坏结果分类，主要包括：对网络系统及应用系统运行的破坏 DDOS攻击、ARP欺骗、蠕虫攻击、网页篡改等 此类威胁导致正常业务无法正常使用，以阻止资源正常使用为主要目的利用网络进行非法活动 主要表现为入侵活动，包括盗号木马、SQL注入

4、、垃圾邮件、恶意插件、仿冒网站等有些破坏按照目的可以同时归类为以上两类破坏信息系统的目的何在？破坏信息系统的目的何在？经济利益驱动通过破坏正常信息系统的运行，以达到损害商业竞争对手的权益、获得他人账户信息非法牟利、利用仿冒网站获取非法利益、恶性广告牟利、网络洗钱、网络销赃政治目的驱动 为了达到不可告人的政治目的对信息正常使用的破坏、非法信息宣传、冒用正常网络发布假冒消息以制造混乱、破坏正常金融秩序、破坏社会安定团结、毒害人民群众.其他目的发泄不满、显示能力证券信息系统边界面临的风险证券信息系统边界面临的风险拒绝服务攻击网页被篡改、挂马蠕虫攻击、后门病毒数据篡改客户账户信息泄露、盗买盗卖客户资料

5、信息泄露公司机密文件泄露对核心交易系统的渗透攻击仿冒网站、网络钓鱼网络被非法控制进行对外攻击近几年为保障信息安全所做的工作近几年为保障信息安全所做的工作推进IT治理工作：2006年开始，全行业推进健全规章制度：行业、公司、部门各层面健全规范、标准：行业、公司、部门各层面推进信息安全等级保护：对行业信息安全意义重大加强信息系统服务能力：高可靠性建设、扩容、升级加强灾难应对能力：同城灾备建设、异地灾备建设加强安全防护：安全域划分、网络分离、边界防护、安全加固增强技术水平：提升信息部门及人员技术水平、引进人才网站和网上交易安全仍存在的问题网站和网上交易安全仍存在的问题网络抗攻击能力薄弱网络入侵防护能

6、力薄弱网站防篡改能力薄弱网上交易通信过程安全性不足客户身份验证可靠性不足网上交易客户端防护不足，存在用户账户泄露风险对仿冒网站、钓鱼网站的处理能力有限内部主机加固不到位、存在系统漏洞被利用风险网页代码漏洞IT人员安全运维水平不足用户安全意识及知识缺乏造成以上问题原因分析造成以上问题原因分析缺乏适合行业特性的安全模型和技术规范注重处理能力建设，忽视安全建设缺乏整体的安全架构设计缺乏足够的安全意识、安全知识及能力缺乏统一的安全运维技术手段信息安全建设资金投入不足信息安全运维资金投入不足信息安全运维人员不足信息安全教育不到位效率和安全的矛盾探讨探讨-信息系统如何才能更安全信息系统如何才能更安全建立适合的安全模型建立规范的安全标准制定合理的安全制度设计统一的安全架构进行广泛的安全教育配置足够的安全能力保证足够的资金投入选择合适的安全产品使用先进的管理手段选择可靠的服务厂商基础保障结束语结束语信息安全是整个行业最关注的问题，也是最迫切需要解决的问题。信息安全建设是一项长期、复杂、艰巨的系统工程，很多工作我们还处在探索阶段。行业的特点注定我们不能等，不能靠，这是个需要整个行业齐心协力来完成的工作。没有绝对的安全，只有绝对的风险，让我们所有证券IT人共同努力，让信息更安全。谢谢！谢谢！