当前位置:文档之家 › 人民银行信息安全保障体系与总体框架

人民银行信息安全保障体系与总体框架

  • 格式:ppt
  • 大小:1.47 MB
  • 文档页数:30

下载文档原格式

  / 30

合集下载

信息安全保障体系与总体框架

信息安全保障体系与总体框架


安全目标: 安全目标:安全属性和安全管理属性
7个信息安全属性 个信息安全属性
保密性Confidentiality 保密性 完整性Integrity 完整性 可用性Availability 可用性 真实性Authenticity 真实性 不可否认性Non不可否认性 Reputation 可追究性 Accountability 可控性Controllability 可控性
主讲内容
信息安全保障体系与总体框架
信息安全防护技术与应用分析
信息安全等级保护策略
信息安全保障体系与 总体框架
主讲内容
信息与网络安全的重要性及严峻性 信息安全保证技术框架
信息安全保障体系模型 人民银行信息安全总体技术架构
1、信息与网络安全的重要性及严峻性
信息是社会发展的重要战略资源。国际上围绕信息的获取、 信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制 的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点, 的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点, 各国都给以极大的关注与投入。 各国都给以极大的关注与投入。 网络信息安全已成为急待解决、 网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问 它不但是发挥信息革命带来的高效率、高效益的有力保证, 题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是 对抗霸权主义、抵御信息侵略的重要屏障,信息安全保障能力是21世纪 对抗霸权主义、抵御信息侵略的重要屏障,信息安全保障能力是21世纪 21 综合国力、经济竞争实力和生存能力的重要组成部分, 综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界 各国在奋力攀登的制高点。 各国在奋力攀登的制高点。 网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、 网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经 文化、社会生活的各个方面, 济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风 险的威胁之中。 险的威胁之中。
信息分类和保护体系

信息分类和保护体系

XX银行客户信息分类保护管理办法(暂行)第一章总则第一条为提高XX农商银行客户信息保护工作水平,保障我行各项业务的正常开展,维护客户信息安全,保护客户合法权益,提升我行社会形象,根据《中国人民银行法》、《商业银行法》、《个人存款账户实名制规定》、《个人信用信息基础数据库管理暂行办法》等法律、法规和规章,以及《中国人民银行关于银行业金融机构做好金融信息保护工作的通知》等政策规定,制定本办法。

第二条本指引所称客户信息,是指我行在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下客户信息:(一)客户身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;(二)客户财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;(三)客户账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;(四)客户信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;(五)客户金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;(六)衍生信息,包括客户消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;(七)开展业务过程中获取、保存、形成的其他客户信息。

第三条我行应当依照有关法律、法规、规章和金融监管部门政策规定,遵循目的明确、公开透明、安全保障、知情同意、责任落实等基本原则,依法收集、加工、使用、存储、传输客户信息。

我行划分一般客户金融信息和敏感客户金融信息,实行分类区别保护。

针对敏感客户金融信息,应实行更高的权限管理,采取更严格的管理措施。

中国人民银行上海分行关于建立上海市金融业信息安全协调机制的通知

中国人民银行上海分行关于建立上海市金融业信息安全协调机制的通知

中国人民银行上海分行关于建立上海市金融业信息安全协调机制的通知文章属性•【制定机关】中国人民银行上海分行•【公布日期】2011.11.23•【字号】上海银发〔2011〕249号•【施行日期】2011.11.23•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行上海分行关于建立上海市金融业信息安全协调机制的通知上海银发〔2011〕249号各国有商业银行、股份制商业银行上海(市)分行,交通银行,上海浦东发展银行,上海银行,上海农村商业银行,中国外汇交易中心,中国银联,上海黄金交易所,上海清算所,工商银行上海数据中心,农业银行数据中心,中国银行信息中心(上海),建设银行上海数据中心,兴业银行数据中心:根据《中国人民银行办公厅关于加快辖区信息安全协调机制建立的通知》(银办发〔2011〕191号)要求,为促进上海市金融业信息安全管理工作的开展,提高上海市金融业信息安全管理工作水平,我行通过与上海市网络信息安全协调小组办公室、上海市相关职能部门及金融机构积极的沟通协调,决定建立上海市金融业信息安全协调机制。

现将相关事项通知如下:一、成立上海市金融业信息系统应急保障小组,下设协调指挥组、协调工作组和协调联络组,并纳入上海市网络与信息安全应急保障体系。

保障小组成员为人民银行上海分行和相关金融机构,保障小组组织机构见附件1,保障小组名单见附件2。

为加强金融机构应急管理的沟通与交流,人民银行上海分行建立了应急管理信息交流平台,保障小组各成员单位应在2011年底前完成接入该平台的工作。

二、建立上海市金融业信息安全联席会议制度,研究上海市金融业信息安全保障工作的方针和策略,制定上海市金融业信息安全相关制度和预案,通报金融业信息安全工作动态。

联席会议成员单位为人民银行上海分行和相关金融机构,并邀请上海市相关职能部门参加。

联席会议每年举办两次,参会人员为保障小组各成员单位的工作小组人员。

深化认识 扎实提高 开创银行信息安全保障工作新局面

深化认识 扎实提高 开创银行信息安全保障工作新局面

防御 、持续 改进的 方式 ,小能从保障业 务持续性的高度认识 安全防护和应急容灾设施建设的重 要性 ,安伞 I J : l 怍f 然 同 j 程度地存在 “ 说起来 重要 ,・ 起来次要 , l 起柬 孽”的错
做法 。
度就较 2 0 年全年上升了 5 %, 04 0 银行卡伪卡 、欺诈事件时 有
运行状 况。
作的极端重要性。我们必 须牢 崮树立风险意识 ,进 ’
步增强
3。 章可循 、有章 不循 问题突 出 无
管理制度不完善 ,安全 【 : 作缺乏统一 、规范的依据和准
则 。制度体 系建 设得不到应有的重视 , 力、资金投 入不足 , 人 缺乏机fJ }保障 ,难以纳入规范的发展轨 道。部 分现行制度 间 j l 存在 内容交 叉、条块分割 、流程割 裂、边 界定 义不明确的 问
题 ,l -f l 亍为有 多个实施主体 ,责任划 分模 糊不清 ,安全 问
责制无从落实 无章 l借现象普遍 存 - 口 』 ,有 章/ 循问题 同样 f :
严重 ,部f责作 和岗位责 任制得不 到真 正落实,已有的规章 J
制度在执行 而还缺乏权威性 、 强制件 , 执行监督机制薄弱
紧迫感 、责任感 ,『确处理信息化建设 与信息安全的协调 发 F 展关 系,始终 坚持存 发展中求安全 、以安全促发腱的科学发 展观 , 手抓信 息化发展 ,一手抓信息安 全 ,常抓不 。
二 .当 前银 行 信 息 安 全 存 在 的 主 要 问题
多年米 , 中国银行业 不断加大信息安全保障的 工作 力度 , 强化安全风险 范 , 荩本建立起 “ 人为本 、以营 为核心 、 以 以技术 为依托”的信 息安 伞综 合防御体 系,具备 』 定的安
中国人民银行信息安全管理相关规定

中国人民银行信息安全管理相关规定


信息安全管理组织架构
信息安全管理委员 会
信息安全管理办公 室
信息安全管理小组
信息安全专员
信息安全风险评估与控制
定义:对信息安全风险进行识别、评估和控制的整个过程。 目的:确保信息系统的安全性和稳定性,防范潜在的安全风险和威胁。 主要内容:包括风险识别、风险评估、风险控制和监督与改进等环节。
实施主体:中国人民银行及其分支机构,以及相关业务部门和信息系统运营单位等。
信息安全的措施:信息安全措施包括防火墙、入侵检测系统、数据加密、安全审计等。
信息安全的法律法规:我国出台了多项法律法规,如《网络安全法》、《密码法》等,对保障信息安全发挥了重要作 用。
信息安全的威胁
黑客攻击:非法入侵计算机系 统,窃取、篡改或破坏数据
病毒传播:通过电子邮件、网 络等途径传播病毒,破坏计算 机系统
国际信息安全 法律法规的制
定与完善
中国人民银行 在信息安全法 律法规方面的
贡献
国际合作与交 流在信息安全 法律法规领域
的重要性
中国人民银行 与其他国家在 信息安全法律 法规方面的合 作与交流情况




汇 报 人 :

修订内容:对原 有标准进行修订 和完善,包括技 术要求、管理要 求等方面,以适 应新的网络安全
形势和需求
信息安全的测试与验证
测试目的:确保系统安全控制措施 的有效性
测试方法:采用黑盒测试、白盒测 试、灰盒测试等方法进行测试
添加标题
添加标题
添加标题
添加标题
测试范围:包括但不限于系统控制 措施、系统业务应用、系统安全功 能等
信息安全培训与意识提升
信息安全培训的重要性 信息安全意识提升的方法 信息安全培训的内容和形式 信息安全意识提升的实践与效果
三大银行(工行、建行、农行)新IT架构总览

三大银行(工行、建行、农行)新IT架构总览

三⼤银⾏(⼯⾏、建⾏、农⾏)新IT架构总览企业上三板,三板企业再融资->请找“三板车” ⼀、中国建设银⾏ 建设银⾏数据中⼼在“新⼀代”核⼼系统、“两地三中⼼”基础设施建设中,进⾏了⼀系列技术架构创新,提⾼了系统吞吐能⼒和资源供给效率,提升了系统可靠性,⼤⼤增强了数据中⼼风险防范⽔平。

以电⼦渠道为例,业务量从2012年每⽉21 亿笔增加到2016年179亿笔,年均增长72%。

2016年“双⼗⼀”的核⼼业务系统交易峰值接近8000 笔/秒,较2015年增长81%,所有系统均顺利应对业务⾼峰,充分验证了建⾏新⼀代系统架构的健壮性。

1、融合架构:主机平台分布式开放平台 核⼼账务系统,部署在主机平台上 主机平台可⽤性⾼,运⾏稳定,适合作为银⾏核⼼系统运⾏平台,但也存在风险集中、处理能⼒瓶颈、敏捷性不够、价格昂贵等不⾜。

主机资源⽤于核⼼账务系统,利⽤开放平台处理查询业务或者普通维护性交为了更好地利⽤主机资源,建设银⾏提出“主机开放”的融合架构,确保“好钢⽤在⼑刃上”。

查询系统,部署在分布式平台上 查询系统包括:个⼈客户综合积分、贷记卡管理、客户信息查询、对公/对私存款查询、客户渠道。

⽬前各类查询交易总计下移⽇均交易量1.4亿笔,节省主机资源2.6万MIPS,相当于8.22亿元。

查询系统与账务系统分离,既分散了系统风险,⼜提⾼了并发处理能⼒。

最近三年在实际业务量年均增长32% 的情况下,主机MIPS资源零增长,取得了节省投资的良好效果。

在分布式开放平台上,X86服务器替代⼩型机 在开放平台的选择上,由于同等计算能⼒的X86服务器价格只有⼩型机的1/20,所以⾸先在新⼀代架构的应⽤(AP)层中⼤量采⽤X86服务器替代⼩型机,随着替代技术逐步成熟,继续提⾼在数据库(DB)层使⽤X86服务器的⽐例,进⼀步减少⼩型机的数量。

⾃新⼀代实施以来,应⽤层和数据库层部署的X86服务器替代⼩型机已累计节省12.2亿元。

中国人民银行关于加强银行数据集中安全工作的指导意见

中国人民银行关于加强银行数据集中安全工作的指导意见

中国人民银行关于加强银行数据集中安全工作的指导意见文章属性•【制定机关】中国人民银行•【公布日期】2002.08.26•【文号】银发[2002]260号•【施行日期】2002.08.26•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行关于加强银行数据集中安全工作的指导意见(银发[2002]260号)人民银行各分行、营业管理部、省会(首府)城市中心支行,各政策性银行、国有独资商业银行、股份制商业银行:为加强对银行数据集中工作的指导,防范相关技术风险和管理风险,现就银行实施数据集中的安全工作提出以下意见:一、数据集中是我国银行信息化发展的重大举措,对于我国银行实现集约化管理,提高银行的市场适应能力,降低银行经营风险具有重要意义,但对计算机信息系统的可靠性和安全性也提出了更高的要求。

各银行必须高度重视对数据集中安全工作的领导,建立健全计算机安全管理组织,落实计算机安全责任制。

各银行计算机安全管理委员会(领导小组)主任委员(组长)为数据集中安全工作的第一责任人。

二、加强制度建设,建立与数据集中模式相适应的各项管理制度和内控机制。

没有配套管理制度的数据中心和内控机制不完善的业务系统不能投入生产运行。

三、加强数据中心管理人员和技术人员的安全培训,提高全员的安全防范意识。

要建立系统管理员、网络管理员、软件开发人员和安全管理人员持证上岗制度;要定期对业务操作人员进行业务操作考核。

四、各银行应高度重视数据集中总体技术设计的合理性和安全性。

数据集中体系结构的合理性直接关系到银行信息系统的整体安全,体系结构的选择要有利于降低技术风险和管理风险。

总体技术方案必须经过充分的论证。

各银行在实施数据集中前要将总体技术方案和论证意见报中国人民银行备案。

五、做好适应数据集中模式的网络建设与改造工作,提高通信网络可用性。

网络可靠率(指年无故障运行时间与总运行时间比值)要不低于99.995%,连续故障时间小于2小时。

等保整改与安全建设具体方案

等保整改与安全建设具体方案

等级保护整改与安全建设方案前言等级保护保护整改与安全建设工作重要性依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。

等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。

整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。

等级保护整改与安全建设过程等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。

等保整改与建设过程主要包括:等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。

(一) 等级保护差距分析1. 等级保护风险评估1) 评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。

等级评估不同于按照等级保护要求进行的等保差距分析。

风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。

可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。

中国人民银行办公厅关于印发《中国人民银行网络和信息系统应急预案编制指引》的通知

中国人民银行办公厅关于印发《中国人民银行网络和信息系统应急预案编制指引》的通知

中国人民银行办公厅关于印发《中国人民银行网络和信息系统应急预案编制指引》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.09.07•【文号】银办发[2010]171号•【施行日期】2010.09.07•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文中国人民银行办公厅关于印发《中国人民银行网络和信息系统应急预案编制指引》的通知(2010年9月7日银办发[2010]171号)人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行:为进一步做好人民银行网络和信息系统信息安全应急管理工作,提高人民银行应急处置能力,总行制定了《中国人民银行网络和信息系统应急预案编制指引》(见附件1),并编制了《中国人民银行计算机机房应急预案范本》(见附件2)、《中国人民银行通信网络应急预案范本》(见附件3)、《中国人民银行区域性灾难网络和信息系统应急预案范本》(见附件4)。

考虑到总行推广的系统中,国家金库会计数据集中系统(TCBS)比较典型,具有全国集中、实时性高、业务量大等特点,总行编制了《中国人民银行国家金库会计数据集中系统(TCBS)应急预案范本》(见附件5)供参考。

现将相关文件印发给你们,请各单位结合实际情况,进一步完善本单位网络和信息系统应急预案。

附件:1.中国人民银行网络和信息系统应急预案编制指引2.中国人民银行计算机机房应急预案范本3.中国人民银行通信网络应急预案范本4.中国人民银行区域性灾难网络和信息系统应急预案范本5.中国人民银行国家金库会计数据集中系统(TCBS)应急预案范本附件1中国人民银行网络和信息系统应急预案编制指引1总则1.1编制原则网络和信息系统应急预案(以下简称IT系统应急预案)是指在发生影响信息系统正常运行的事件后,为快速、有效、合理地作出反应,最短时间内恢复正常信息服务,最大程度地减少事件造成的损失和影响,而预先制订的紧急行动方案。

信息化建设发展规划

信息化建设发展规划

信息化建设发展规划•相关推荐信息化建设发展规划信息化建设发展规划1为贯彻落实省政府办公厅《吉林省人民政府办公厅关于印发吉林省政府系统信息化建设“十一五”规划的通知》精神,进一步加快全州工商系统信息化建设步伐,拓宽息技术在工商行政管理监管工作中的应用范围,提高信息技术应用水平,切实加大行政执法工作的科技含量。

结合全州系统实际,现制定如下规划。

一、建设现状在省工商局的统一规划指导下,全州系统信息化工作经过各县市局的共同努力,取得了显著成效。

一是全州系统全部建立了政务内网(局域网),成为支持日常办公的基本系统;二是建成了州局联接省局及各县市局,能够承载语音、数据、视频等多媒体业务的政务专网,实现了与省和各县市局网络互联互通;三是建设了以州局为中心,以县市局为站点的12315申诉举报系统,为消费者提供了方便、快捷的申诉举报平台;四是大部分县市局建立了数字档案查询系统,为相关部门和社会公众查询企业数据提供了方便服务;五是实现了州局、省局、县市局公文、信息、会议等网上传递,提高了工作效率,降低了办公成本;六是州局建立了红盾信息网站,部分县市局在州局门户网站上建立了二级网站,在政务公开、对外宣传、便民服务方面发挥了积极作用;七是网络信息安全工作得到重视和加强;八是部分县市局单独设置了负责信息化建设工作的专门机构,选派了业务骨干负责信息化工作,加快了信息化的发展。

全州系统信息化建设虽然取得了一定的成绩,但也存在一些显著问题,主要有:一是部分县市局重视程度不够,缺乏统一规划、整体推进意识,影响了全州系统信息化建设步伐;二是业务系统版本较低、功能少,需要更换新的版本;三是业务系统应用少,基础性数据采集、整合未达到要求;四是网站建设缓慢;五是缺少网络信息安全意识,没有网络信息安全保障能力;六是发展不平衡,部分县市局信息化工作比较滞后。

二、主要目标在国家工商总局“金信工程”的总体框架基础上,结合省政府办公厅和省工商局的要求和本地实际,今后五年内,全州系统信息化建设的主要目标是:(一)积极推进基础网络建设,逐步网络互联、业务互动、信息互通、资源共享。

银行及相关金融服务信息安全标准体系

银行及相关金融服务信息安全标准体系

银行及相关金融服务信息安 全标准体系
汇报人: 日期:
目录
• 引言 • 银行及相关金融服务信息安全标准概述 • 银行及相关金融服务信息安全标准的核心内容 • 银行及相关金融服务信息安全标准的实施和应用
目录
• 银行及相关金融服务信息安全标准的挑战和机遇 • 银行及相关金融服务信息安全标准的案例分析
01
强调银行及相关金融服务机构应建立完善的信息安全风险管理制度,明确信息安全风险的分 类、评估、监测、报告和处置流程,确保其业务系统的安全性和稳定性。
04
银行及相关金融服务信息安全标 准的实施和应用
标准的实施步骤和方法
制定计划
根据目标,制定详细的实施计 划,包括时间表、任务分配和 预期成果。
引入工具
全性和稳定性。
强调银行及相关金融服务机构应建立完 善的信息安全事件应急预案,做好信息
安全事件的预防和应对工作。
信息安全风险评估和管理
规定银行及相关金融服务机构应定期进行信息安全风险评估,识别和分析其业务系统中存在 的潜在安全隐患和风险点。
要求银行及相关金融服务机构应采用科学的方法和技术手段,对识别出的信息安全风险进行 评估和测量,并提出相应的风险应对措施。
意义:通过推广标准体系,可降低金融行业信息安全风险, 维护国家经济安全和社会稳定。
02
银行及相关金融服务信息安全标 准概述
标准的定义和重要性
定义
银行及相关金融服务信息安全标准是指由权威机构或组织制定,用于指导银行 及相关金融服务机构信息安全实践的规范和准则。
重要性
随着银行及相关金融服务行业信息化的深入发展,信息安全问题日益突出。安 全标准体系对于保障银行业信息安全、防范金融风险、维护社会稳定具有重要 意义。

中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知-银发[2010]19号

中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知(2010年1月18日银发[2010]19号)中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,副省级城市中心支行;各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:为加强网上银行管理,促进网上银行业务健康发展,有效增强网上银行系统的信息安全防范能力,中国人民银行制定了《网上银行系统信息安全通用规范(试行)》,现印发给你们,请遵照执行。

请中国人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行,副省级城市中心支行将本通知转发至辖区内各城市商业银行、农村商业银行、城市信用社和农村信用社。

执行中如遇问题,请及时告知中国人民银行科技司。

附件:网上银行系统信息安全通用规范(试行)附件网上银行系统信息安全通用规范(试行)(中国人民银行)前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。

本规范分为基本要求和增强要求两个层次。

基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。

本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。

本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。

中国人民银行、国家市场监管总局、银保监会、证监会关于印发《金融标准化“十四五”发展规划》的通知

中国人民银行、国家市场监管总局、银保监会、证监会关于印发《金融标准化“十四五”发展规划》的通知文章属性•【制定机关】中国人民银行,国家市场监督管理总局,中国银行保险监督管理委员会,中国证券监督管理委员会•【公布日期】2021.11.25•【文号】银发〔2022〕18号•【施行日期】2021.11.25•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】金融综合规定正文中国人民银行、市场监管总局、银保监会、证监会关于印发《金融标准化“十四五”发展规划》的通知银发〔2022〕18号为做好“十四五"时期金融标准化工作,现将《金融标准化“十四五”发展规划》印发给你们,请认真贯彻落实。

中国人民银行市场监管总局银保监会证监会2021年11月25日附件金融标准化“十四五”发展规划2022年1月序言“十三五”时期,我国金融标准化事业取得突出成绩,有力支撑了金融业高质量发展,为金融服务社会主义市场经济提供了强大动力。

国家标准保基础、行业标准强支撑、团标企标促发展的新型金融标准体系基本健全,标准对金融功能全覆盖的格局基本形成,我国金融标准化事业站在了新的历史起点。

“十四五”时期是我国全面建成小康社会、实现第一个百年奋斗目标之后,乘势而上开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军的第一个五年。

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出深化金融供给侧结构性改革、实施金融安全战略,《国家标准化发展纲要》提出优化标准化治理结构、增强标准化治理效能、提升标准国际化水平、加快构建推动高质量发展的标准体系,为金融标准化发展指明新方向、提出新任务。

金融标准是金融领域需要统一的技术要求,为金融活动提供规则、指引。

金融标准化工作要以习近平新时代中国特色社会主义思想为指导,立足新发展阶段,贯彻新发展理念,以支撑金融业高质量发展为主题,抓住重点、守住底线、敢于担当,更好发挥标准化在推进金融治理体系和治理能力现代化中的基础性、引领性作用,强化标准化对建设高标准金融市场体系、促进高水平金融市场开放的支撑,为金融更好服务新发展格局建设作出积极贡献。

中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见-银发[2006]123号

中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见(银发[2006]123号)人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各政策性银行、国有商业银行、股份制商业银行:为进一步增强银行业金融机构信息安全保障能力,保障国家经济运行安全,维护社会稳定和客户权益,现就“十一五”期间银行业金融机构信息安全保障工作提出以下指导意见:“十一五”期间,我国银行业金融机构信息安全保障工作的目标是:建立和完善与银行业金融机构信息化发展相适应的信息安全保障体系,满足银行业金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防范、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高银行业金融机构业务持续运行保障水平。

“十一五”期间,我国银行业金融机构信息安全保障工作的主要任务是:加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;加强信息安全队伍建设,落实岗位职责制,推行信息安全管理持证上岗制度;保证信息安全建设资金的投入,不断完善信息安全基础设施建设;进一步加强信息安全制度和标准规范体系建设;加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;加强安全运行监控体系建设;大力开展信息安全风险评估,实施等级保护;加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;广泛、深入开展信息安全宣传教育活动,增强全员安全意识。

基层央行信息安全保障体系建设探讨

格按 照 安 全配 置指 引执 行 , 同时通 过 统 一用 户管 理 、 防
() 4 内控 保 障
病毒、 漏洞扫描和补丁分发等技术保障应用安全。 活动
规章制度制定后关键是 执行, 应通过各种监督 手 段确保制度落实到位 。 科技处成立内控审计岗, 建立内 部定期审计 制度 , 定期开展信息安全检查、 信息安全等
等环境事故, 电源故 障, 电池干扰 , 人为操作 失误或破 坏等, 都会对信息安全造成威胁 , 保证计算机信息系统 各种设备的物理安 全是整 个技术保 障的前提 。 物理层
的安全设计应从三个方面考虑 : 环境安全、 设备安全、 线路安全, 通过部署机房监控和网管监控系统, 实现对 机房环境和网络设备、 系统设备的实时故障监视。 网络 防御 。 内部 网络与国际互联 网实现完全 物理 隔离 。 网络边界处部署硬件 防火墙 , 在 利用防火墙 、 交 换机和路 由器 的策略控制和访 问控制手段 , 限制可访 问对 象 以及可访 问的资源 ; 部署 网管监控 系统 , 实时 监控 网络线路 ( 线路联通性、 线路响应时问、 线路流量
程 中被非法泄漏 、 篡改或窃取。 数据备份与恢复针对数 据本身而言, 通过部署备份管理 系统, 对数据进行统一 备份和管理 。 一旦服务器系统崩溃, 可以立 即将服务器
根据 《 中国人 民银 行I 系统应急预案指引》, T 结合 工作, 制定切合实际的应急预案。 编写应急演练和突发
事件应急处置模板 , 规范和完善应急管理工作 。 定期组 织应急演练 , 并指定专人管 理和维护应急预案, 根据人
训, 并主动跟踪国内外计算机安全和信 息技术的发展 , 结合工作开展学术研究和技术攻关 。 其他各处分别设一 个部 门计算机安全员, 每年对各部门计算机安全员进行

加强能力建设 强化团结协作开创人民银行科技工作新局面在20XX年人民银行科技工作会议上的讲话

加强能力建设强化团结协作开创人民银行科技工作新局面——在20XX年人民银行科技工作会议上的讲话●?一_蟹加强能力建设强化团结协作开创人民银行科技工作新局面在20XX年人民银行科技工作会议上的讲话同志们:刚刚过去的20XX年,是人民银行科技工作取得重大成绩的一年.这些成绩的取得,主要归功于各级行党委的正确领导,关心和支持,是广大科技干部和业务干部开拓进取,顽强拼搏的结果,是科技部门和各个业务部门通力协作的结果.各级科技部门和广大科技干部克服种种困难,以对党和人民的事业高度负责任的态度,勤恳工作,锐意创新,圆满地完成了总行部署的各项建设与服务工作,在人民银行信息化建设,科技管理和运行维护等工作中发挥了重要作用这次科技工作会议的任务是,认真学习贯彻20XX年人民银行工作会议精神,全面总结20XX年科技工作取得的成绩和经验,部署20XX年人民银行科技工作的各项任务.文/中国人民银行科技司副司长文四立一.20XX年人民银行科技工作回顾20XX年在总行领导的正确决策下,在各级分支行领导的支持下,在各相关单位的大力配合下,人民银行信息化建设以科学发展观为指导,大力推进人民银行重要业务系统建设,加快信息系统的集中整合,改善银行卡联网通用效果,加强信息安全保障,完善运行维护体系,提高科技服务水平,确保了人民银行信息化服务体系安全,平稳,高效运行,为中央银行迎接金融开放和履行各项职能提供了强有力的信息保障.人民银行分支行在加强自身建设的同时,按时,保质,保量地完成了总行布置的各项科技工作任务.回顾2005科技工作取得的成绩,有几条经验非常突出:1.狠抓科技规划,大力推进信息系统数据集中和应用整合工作20XX年,在人民银行的科技工作中,我们始终把握信息化发展的客观规律,增强科学性和预见性,在认真开展信息化发展规划工作的同时,坚持把数据集中和应用整合工作落实到业务应用系统建设的各个环节中,多方面推动数据集中和应用整合一是大力推进人民银行信息系统总体框架研究,基本完成了人民银行计算机通信网络总体规划,初步完成了信息安全专项规划.制定了人民银行信息系统总体技术框架,编写了总行和省级数据中心存储方案指引;提出了网络安全隔离,应急计划等14项工程实施指南.二是通过重大项目建设,人民银行两级数据中心战略布局初见成效中国现代化支付系统实现全国集中与省级集中窟协乞;f匕9Financialcomputerizing栏目编辑王伟乞孑化~zn一r00芏c卫一z0结合的应用架构;"货币金银管理系统"和"人民币结算账户系统"分别是人民银行第一个实行全国和省级数据集中处理的应用系统,标志着两级数据集中战略布局已经初见成效.同时,根据一个机构一个机房的原则,改造了部分省级数据中心机房.三是大力推动网络,安全保障技术体系以及软件平台的整合.根据未来3~5年人民银行业务发展对网络带宽的需求, 在全行统一部署了网络格合,完善J,网间互连平台;安全保障组织体系和制度建设日趋完善,安全技术保障手段进一步系统化;统一了数据库管理平台和应用体系架构.2.上下联动,齐心协力,加速推进人民银行信息化建设信息化的快速发展,突出了科技工作统筹规划,分工协作的重要性.20XX年,在积极转变思想认识的过程中,总行和分支行科技部门积极配合,上下联动,步调统一,全面推进人民银行信息化建设.一是在人民银行重要信息系统建设的过程中,分支行科技部门始终与总行的部署保持一致,按时保质保量完成系统的建设和推广工作.大额支付系统在全国的推广取得圆满成功;小额支付系统建设进展Jfl~ffJ,全国支付系统城市处理中心的升级改造工作全部完成,20XX年11月28日在天津和福州试点上线成功;货币金银管理信息系统开始全国试运行;20XX年6月30日完成人民币结算账户系统的推广工作;顺利实施了中小金融机构接入支付系统网络;完成了全国所有省份骨干网路由器备份工作和省级网间互联平台综合前置系统的部署与实施.二是圆满完成总行组织的信息安全大检查工作,现场检查取得了实效.在检查期间人民银行各分支行科技部门和信息系统运行单位成立了专门的检查工作小组,在完成自查阶段后,克服了时间紧,任务重等重重困难,根据总行的统一部署,进行现场交叉检查,取得了很好的效果.三是积极组织完成银行卡联网通用专项检测工作.人民银行分支行科技部门按照总行的统一部署和要求,积极组织落实,精心投入,圆满完成了这次银行卡联网通用的检测工作,为推动我国银行卡联网通用l厂作做出了贡献.四是加强安全运行维护,确保网络和系统稳定运行.初步建立两级数据中心模式下运行管理体系和技术支持服务体系,基本实现了应用系统和网络的安全稳定运行,全年无重大运行安全事故;紧密配合,成功实施了大额支付系统的灾难切换演练.3.规范项目管理.加强制度建设,促进人民银行重要应用系统和业务网络的建设一是加强和规范项目管理,完善项目管理制度建设我们制定_『"中国人民银行应用系统第三方测试管理办法"等一系列项目管理规章,督促项目按计划实施,做好把关和审查工作.二是一批重点系统取得重大进展.个人征信系统信用信息基础数据库实现全国联网;企业征信系统在北京等地试运行成功;会计集中核算系统实现与支付系统成功对接;人事管理系统完成了三次全行人事数据集中以及系统升级;金融监管:[程通过了专家评审;国库横向联网系统完成了总体方案论证,系统开发和联调测试;汇率实时数据管理系统巳完成汇率实时数据采集子系统部分;外汇交易中心完成汇改系统,外币买卖,外汇询价,债券远期,资产支持证券,短期融资券,债券预发行等32项系统建设任务,进一步夯实金融市场的基础设施.三是人民银行业务网络联网范围进~步扩大,管理模式进一步优化,可靠性进~步提高.加强了网络安全系统建设力度与行外系统联网工作,完成了支付系统安全于系统,入侵检测漏洞扫描等系统建设;启动实施了内联网传输加密试点工程.四是进一步完善办公自动化系统(OA)功能.对OA系统进行了改造和整合,完成了一体桌面办公系统建设以及桌面视频会议系统试点,实现了各类公文的全程电子化处理;实现了信件交换系统,路透系统,桌面办公系统和人民银行远程培训系统等的单点登陆和统一用户管理功能4.抓好能力建设,构建高素质的人才队伍一是通过系统建设培养了一支能打硬仗的科技队伍.20XX年人民银行信息化建设任务重,分支行科技部门配合总行完成了一系列的系统全国推广工作.科技人员钻研业务,克服困难,努力拼搏,在业务应用系统建设和推广过程中锻炼成长.同时,通过系统推广为人民银行信息化建设培养和储备了一批科技专业人才.:是加强了科技人员的培训工作.20XX年,按计划,有步骤,分层次,系统性的组织了人民银行科技人员的各项培训工作,提高了科技人员的业务水平,改善了科技人员的知识结构,形成了一支强有力的专业人才队伍.三是分支行加强自身建设,创造性的开展工作.分支行科技部门自主开展工作的能力不断加强,武汉分行的调研报告,各地分支行的科技工作动态以及银行卡风险报告等,折射出分支行在加强自身建设方面做出了巨大的成绩,为分支行履行央行职能提供了强有力的技术保障.z0一00m~一岛屯子四是加强责任感和使命感,自我奉献精神增强.福州中支的全体干部职工,≠E台风引发的洪峰面前,不畏生死,排除万难,确保了重要信息系统安全运行,按计划完成支付系统的升级改造工作,体现r奉献精神;还有我们广大的科技人员,在系统建设和运行的第一?线,默默奋斗,为人民银行信息化建设做出了巨大贡献.5.进一步提高中央银行的服务意识,改进科技管理水平.加强信息安全保障体系建设,服务银行信息化事业一是加强银行业信息化总体规划,明确了银行业"十~五"信息化建设的总体目标和主要任务,提出了"十一五"银行信息化建设的指导思想和原则.二是加强了对银行卡相关标准和发展规划的指导积极推动《银行卡条例》的制订工作;加快推动我国银行卡相关产品的认证,检测体系建设;加强银行卡风险防范能力,积极响应银行卡短信欺诈事件,指导商业银行和中国银联采取有效防范措施;开展我国银行Ic卡应用发展规划及实施工作,积极研究我国密钥管理体系框架,组织了对我国银行Ic 卡借贷记根CA的直用验收工作;积极做好金融税控收款机的相关工作.三是加强了银行业信息安全保障体系建设,完善应急机制,提高应急处置能力.狠抓行业安全保障工作,组织召开银行业信息安全保障工作会议,提出了加强银行业金融机构信息安全工作的指导意见;加强安全运行工作,落实安全运行管理工作,处置信息安全事件;组织完成部分商业银行网上银行系统的安全风险评估工作;会同公安部组织召开了网上银行反欺诈论坛活动.四是组织一行三会完成"十五"科技攻关项目"中国金融信息化发展战略研究"课题,形成((研究报告并由金融出版社出版发行.做好银行业科技成果管理,进口设备免税审批和国际招标及机电审工作.完成了20XX年度银行业科技成果登记和统计工作;组织了"20XX年银行计算机应用"和"20XX年理论与软科学"奖评审以及20XX年国家科技进步奖的申报工作其中"一种中性钞纸生产工艺的研究"巳被评为国家科技进步二等奖.五是金融标准化工作进展JJl~fJ,一批重点金融标准研制工作进展顺利.发布实施中国金融集成电路(Ic)卡规范》(2005版),((银行信息化通用代码集等两项重要行业标准;银行卡发卡行标识代码及卡号》等5项行业标准取得重要进展;39项国际标准采标工作已完成绝大多数国家标准送审稿和国际标准研究报告.--一一蟹=,再接再厉,努力做好20XX年人民银行科技工作20XX年人民银行信息化建设工作指导思想是:以科学发展观统领人民银行信息化建设全局,统一规划,进一步深化数据集中和资源整合,积极推进人民银行信息化建设,为中央银行履行货币政策,金融稳定,金融服务等各项职能提供高质量的信息服务和技术保障.20XX年人民银行信息化建设的工作重点是:做好人民银行信息化建设"十一五"规划,继续推进数据集中和资源整合;着力抓好支付系统,国库系统,征信系统及其他重要业务应用系统建设;切实改善银行卡受理环境,加强银行卡安全管理;建立人民银行统一的运行维护体系和临控体系,落实安全生产岗位责任制,强化信息安全保障措施,确保人民银行信息化服务体系安全稳定运行.1.制订人民银行信息化建设"十一五"规划.提高信息化发展的前瞻性抓紧完成人民银行信息化"十一五"规划.在人民银行网络建设规划,安全保障与灾难备份规划,应用系统建设规戈I】运行监控维护服务体系规划等专项规划的基础上,组织制定人民银行信息化建设规划,以指导人民银行"十一五"期间信息化建设.统筹人民银行应用系统的建设与整合规划.加快进行业务与信息系统相关数据流分析,完成业务应用类,信息类, OA类等典型业务的分析和归类工作,提出应用系统建设与整合工作的基本思路,建设原则以及实施策略,形成整合工作分步实施的具体计划.2.坚持"统筹规划.先易后难分步实施"的整合工作原则.进一步深化数据集中和应用整合.初步形成人民银行信息化服务体系总体架构坚持新建系统实施全国集中或省级集中的建设原则,进一步完善两级数据中心的战略布局.新建系统中,国库横向联网系统,人事信息管理系统,统计监测系统实施全国集中, 财务综合管理系统实施省级集中,其他中小应用系统原则上实行全国集中.按照两级数据中心的布局建立两级网管体系;实现两级数据中心一体化维护体制,逐步形成统一的运行监控维护服务体系和统一的安全保障体系.积极推进数据存储整合和同城数据备份.要在省级数据中心开展集中存储试点,按照"统筹规划,先易后难,分步实施,以省为主"的原则,以集中存储为突破口,利用总行推广项目的硬件,软件资源,逐步实现本地开发应用系统的横向整合.要在数据存储整合工作完成情况较好的分支行中磕屯;f11Fiutelng『¨屯孑三}zcjr00茸c叫mN0先期开展数据同城备份试点,为建立两级灾难备份体系积累经验.加人软硬件平台整合力度.耍对人民银行已建和新建系统按照按系统业务属性和技术属性分类合并,形成若干标准类别,分别确定技术路线和软硬件平台,并作为系统整合和新建系统的平台标准.加快推进人民银行信息化技术标准建设工作.要着眼于数据整合的需要,抓紧统一数据代码标准,数据接口标准,应用接口标准,服务分类标准等技术标准,既要满足新建业务系统开发需要,又要充分考虑原有系统升级改造和整合集中的需要.启动数据仓库技术的应用.在统计信息系统和反洗钱系统的建设过程中,结合"金宏","金监"工程,建立初级的数据集市,为进一步建设人民银行数据仓库打基础.3.着力抓好支付系统国库系统征信系统等一批重点应用系统建设继续抓好再建续建应用系统的建设.20XX年内要完成国库信息处理系统全国推广;小额支付系统全国的推广运行, 企业征信系统全国推广;人力资源系统全国推广,金融统计监测管理信息系统试运行,财务综合管理系统试运行,人民银行电子档案系统全国推广等项工作.根据人民银行业务发展的需要,20XX年抓紧启动个人征信系统二期工程,跨区域票据交换中心,中国反洗钱监测分析系统,及"金宏工程"和"金监工程"门户信息平台原型系统等一批新建项目的建设工作.4.全面提升银行卡使用效果.加强银行卡信息安全管理5.行安全要切实改善银行卡受理环境,提升联网通用效果;出台我国银行Ic卡发展规划指引,指导我国银行IC卡应用的发展以及试点工作;研究电子支付及网关的技术安全管理;继续开展金融税控收款机(银税共享POS)在北京等四城市试点和推广工作;完善银行卡联网通用相关规范和标准体系,加大标准的宣传和执行力度.建立我国银行卡相关产品的检测,认证体系,成立检测认证办公室,提高银行卡的使用安全性;动态维护中国金融集成电路(Ic)卡规范,促进Ic卡卡片个人化,终端,卡片测试规范的制定工作;建立银行卡信息安全管理和通报体系,打击和防范"银行卡犯罪"活动;加强银行卡网络在PIN传输方面的安全性.深化认识,加强信息安全保障工作,确保运管理与技术并重,防护与应急并举,扎实提高安全保障能力.综合运用管理与技术手段,实行规范化,流程化安全管理,积极运用安全检查等手段,强化制度的执行力度;从规范网络,信息系统建设和应用系统配置同一性人手,提高安全风险抵御能力;逐步推进风险评估工作,定期进行安全检测,漏洞扫描,提高安全隐患发现能力,有针对性地加固系统;推广应用数字证书认证,试点建设授权管理系统,提高内部安全控制能力;试点进行强审计系统建设,增强事件处理能力;完善应急预案,加强演练,提高应急能力.建立一体化运行维护体系和监控体系,保障运行安全.20XX年要建立健全总行,省会中支两级中心下的一体化运维体系,完善运维制度,明确岗位职责,朝着实现对配置变更,事件问题和服务水平管理的流程化,规范化方向发展.建设集中一体化的运维服务平台,整合现有分散的监控资源,搭建统一的监控平台,对网络,应用系统以及机房设施进行7x24小时的运行监控.研究建立全国两级三层,全行一体化的技术服务体系,整合人民银行技术服务资源,进一步完善运维知识库建设,实现全行知识共享.6.做好银行业科技管理工作加强银行业信息安全指导工作.组织落实国家信息安全主管部门安全保障工作任务;发布"十一五"期间人民银行对银行业金融机构信息安全保障工作的指导意见;继续推动银行深入开展信息安全风险自评估和灾难备份工作;研究制定并发布行业标准银行信息安全管理规范;配合国家等级保护指导意见,落实银行信息系统等级划分;研究并开展网z0一,00王m一N—z0屯子上银行相关数据和信息的风险防范工作;建立健全网上银行技术标准化体系,推进统一电子认证标准工作,加强电子支付交易信息和客户信息保护.抓好银行业"十一五"科技攻关工作.由国家科技部统一部署的"十一五"国家现代服务业信息化科技攻关任务已经开始前期研究工作.工程由人民银行牵头,会同银监会,保监会,证监会及工农,中,建四大国有商业银行共同参与.工程以促进自主创新为核心,以发挥科技对经济和社会发展的支撑和引领作用为宗旨,实现经济,金融和消费者的全面协调发展,建成一个基于先进信息网络,能够满足全社会多层次,多元化需求的,人民群众广泛受益的,稳定,高效,安全,可信并可持续发展的金融服务信息化创新体系,为实现中国金融的现代化提供保障.抓紧落实银行业"十一五"信息化发展规划.按照银行业"十一五"信息化建设发展思路,"十一五"期间要进一步加强银行业信息化基础建设,建立稳定可靠的生产运行环境;建立合理的应用体系架构,搭建产品,渠道,服务体系,决策支持相结合的综合技术平台,以适应快速发展变化的国际国内金融市场形式;加快和促进银行的产品和业务创新,使金融服务业保持生机和活力,为客户提供全面,快捷,高效服务;逐步建立和不断优化银行对内提供决策支持,对外提供服务的管理信息系统,提高银行风险防范和经营管理水平,提高对客户提供服务的质量;加强信息安全体系和制度的建设,实施信息安全检查和监管制度,保证银行信息系统安全稳定运行;进一步推进银行信息化建设的法律,法规和标准体系建设,建立和完善相应的执行监督机制,规范银行信息化的发展.7.切实加强标准化工作20XX年要发布实施《金融零售业务一商户类别代码》, "银行信息安全管理规范))等2O项金融标准,完成《金融交易卡一集成电路卡及其接收装置间的报文))等10个国际标准采标工作.20XX年要制定和整合人民银行信息系统代码类和接口类标准,统一人民银行信息系统中通用代码和接口的编制规则, 实现系统建设的统一规划,为系统间信息交换及人行信息资源整合创造条件;开展支票交换业务并展开支票交换标准的研究制订工作.加强金融标准宣贯工作,对已发布的国家标准及行业标准举办宣贯讲座,鼓励各家银行和企业参与制定,使用标准, 举办标准化基础知识,标准工作流程,标准化管理培训.完成SWIFT标准应用案例编辑发布工作.定期出版"金融国际标准化动态"期刊.三做好2O06年科技工作的几点要求1.尽快形成适应数据集中模式的科技工作机制20XX年总行党委对信息化发展战略做出重大调整,决定加快数据集中与资源整合的步伐,新建系统实行全国集中或省级集中,旧系统通过升级改造,逐步实行全国集中或省级集中这是总行党委依据信息化发展客观规律做出的重要战略调整,符合人民银行信息化发展的实际情况.各级科技部门要进一步提高对这一战略转型的认识,抓紧调整工作思路, 工作方法,管理模式,尽快形成适应适应数据集中模式的科技工作机制.要在集中模式下积极开展科技创新,进一步提高管理水平.2.以落实安全生产责任制为核心,切实增强安全运行能力安全生产责任制是信息安全保障工作的重要环节.各级科技部门和运行维护部门要在进一步强化安全意识,积极采取安全措施的基础上,以人为本,坚决落实安全工作的领导责任,部门责任和个人责任,按照"谁主管谁负责,谁运行谁负责,谁使用谁负责"的原则,明确安全运行责任主体,严完成各项准备工作.同时,继续发扬敢打硬仗的作风,做好应用系统的建设工作.3.牢固树立科技服务意识,切实改进科技服务水平人民银行各级科技部门和广大科技干部职工,要牢固树立科技为中央银行各项职能服务的意识,通过优质服务来支持,保障,促进人民银行各项业务工作.各级科技部门要在坚持数据集中和应用整合的原则下,积极主动地开展本地化服务技术支持工作要统一服务界面,进一步提高反应速度,落实服务质量反馈和监督机制.项目管理工作要实行管理界面前移,协助业务部门做好业务需求分析,实现科技与业务的紧密结合提倡调查研究,深入了解实际工作对信息服务的要求,针对性地解决实际中存在的问题.同志们,20XX年是我国"十一一五"规划的开局之年,是中国金融业加人世界贸易组织过渡期的最后一年,也是人民银行信息化建设十分关键的一年,~批重要业务系统将在今年建设完成.同时,各级科技部门还承担着确保人民银行信息化服务体系安全稳定运行的繁重任务.我们要在人民银行党委领导下, 以邓小平理论和"三个代表"重要思想为指导,切实落实科学发展观,坚定信心,精诚团结,密切配合,坚决完成各I员工作任务,为人民银行的信息化建设做出更大的贡献.口嚏嘞屯己13Financialcomputerizing.坌■■■I乞子一z莹0一r0o王('rm—N—z0。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

逻辑 隔离
商业银行 政府机构
Internet
(公众信息服务 等)
人民银行信息系统网络结构(续)
本《框架》所称涉密网,是指连接总行、分行和省会/首 府中心支行,专门用于国家秘密信息和人民银行内部涉密 公文的传输,严格按照国家有关部门要求运行管理的网络 系统及其承载业务,该网与业务网和互联网物理隔离。 本《框架》所称互联网,是指人民银行面向社会或为内部 工作人员提供相关服务的网络(如WEB服务,E-MAIL服 务等),该网目前与人民银行业务网逻辑隔离。其管理按 照人民银行办公厅有关对互联网管理要求执行。 本《框架》所称业务网,指是人民银行绝大多数业务系统 数据传输(如内部邮件、办公自动化、支付、会计、清算 、国库、发行等)的承载平台。在物理上目前又分为内联 网、支付业务专网、金融卫星网、外汇业务网相对独立的 网络。
Integrity 完整性
Availability 可用性
安全目标:安全属性和安全管理属性
7个信息安全属性
保密性Confidentiality 完整性Integrity 可用性Availability 真实性Authenticity 不可否认性NonReputation 可追究性 Accountability 可控性Controllability
基本策略
适度集中、控制风险 突出重点、分级保护 统筹规划、分步实施
人民银行信息系统网络结构
人民银行信息系统网络规划为涉密网、业 务网和互联网三大类,即总体安全框架“ 三纵三横两平台一端”中 “三纵”所指的 内容。如图所示:
第三方网络
涉密网
(涉密信息传输)
物理 隔离
业务网
内联网 金融卫星网 支付清算网

本地计算环境 区域边界 网络和基础设施
支撑基础设施
2.2 信息安全保证技术框架(IATF)

区域边界
区域是指在单一安全策略管理下、通过网络连接起来的计算设备的 集合
区域边界是区域与外部网络发生信息交换的部分
区域边界确保进入的信息不会影响区域内资源的安全,而离开的信 息是经过合法授权的
主讲内容
信息安全保障体系与总体框架
信息安全防护技术与应用分析
信息安全等级保护策略
信息安全保障体系与 总体框架
主讲内容
信息与网络安全的重要性及严峻性 信息安全保证技术框架
信息安全保障体系模型
人民银行信息安全总体技术架构
1、信息与网络安全的重要性及严峻性
信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制 的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点, 各国都给以极大的关注与投入。 网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问 题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是 对抗霸权主义、抵御信息侵略的重要屏障,信息安全保障能力是21世纪 综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界 各国在奋力攀登的制高点。 网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经 济、文化、社会生活的各个方面,使国家处于信息战和高度经济金风 险的威胁之中。
解放军测评中心
中国信息安全认证中心
信息安全相关机构(Cont.)
行业协会
中国信息产业商会 信息安全产业分会 – 依托单位:中国信息安全测评中 心 中国信息协会 信息安全专业委员会
• 秘书处设在国家信息中心信息安全研究与服务中心。
中国互联网协会 网络与信息安全工作委员会
• 秘书处设在国家计算机网络应急技术处理协调中心
主讲内容
信息与网络安全的重要性及严峻性 信息安全保证技术框架
信息安全保障体系模型
人民银行信息安全总体技术架构
思考信息安全问题的7大模型 M_1: 整体定位模型和方法
M_2: 信息体系架构
M_3: 信息安全属性概念
M_4: 管理模型和方法
M_5: 技术功能模型和方法 M_6: 评价和决策模型和方法 M_7: 工程模型和方法


网络和基础设施
支撑基础设施
2、信息安全保证技术框架(IATF) 信息安全保证技术框架(Information Assurance Technical Framework:IATF )将计算机信息系统分4个部分:

本地计算环境 区域边界 网络和基础设施
支撑基础设施
2.3 信息安全保证技术框架(IATF) 网络和基础设施在区域之间提供连接,包括
人民银行“三三二一”总体技术框架
人民银行信息安全分层逻辑模型
主讲内容
信息与网络安全的重要性及严峻性 信息安全保证技术框架
信息安全保障体系模型
人民银行信息安全总体技术架构
2、信息安全保证技术框架(IATF) 信息安全保证技术框架(Information Assurance Technical Framework:IATF )将计算机信息系统分4个部分:

思考信息安全问题的7大模型
M_1: 整体定位模型和方法
阐述信息安全的整体定位和结构,综合构架和执行的方法
M_2: 信息体系架构
表述我们要保护的对象及其结构
M_3: 信息安全属性概念
阐述信息安全要达到的目标
M_4: 管理模型和方法
阐述信息安全管理
M_5: 技术功能模型和方法
本地计算环境 区域边界 网络和基础设施
支撑基础设施
2.1 信息安全保证技术框架(IATF)
信息安全保证技术框架将计算机信息系统分4个部分:

本地计算环境

服务器 客户端及其上面的应用(如打印服务、目录服务等) 操作系统 数据库 基于主机的监控组件(病毒检测、入侵检测)
2、信息安全保证技术框架(IATF) 信息安全保证技术框架(Information Assurance Technical Framework:IATF )将计算机信息系统分4个部分:
终端用户工作站 web服务 应用 文件 DNS服务 目录服务等

信息安全相关机构
主管部门
公安部 国家保密局 国家密码管理局
安全部
中国工业和信息化部安全协调司
第三方测评认证机构
公安部计算机信息系统安全产品质量检验中心 国家保密局涉密信息系统安全保密测评中心 国家密码管理局商用密码检测中心 中国信息安全测评中心
当前我国的信息与网络安全研究处于忙于封堵现有信息系统的安全漏 洞,以致宏观安全体系研究上的投入严重不足,这样做是不能从根本
上解决问题的,急需从安全体系结构整体的高度开展强有力的研究工
作,从而能够为解决我国的信息与网络安全提供一个整体的理论指导 和基础构件的支撑,并为信息与网络安全的工程奠定坚实的基础,推 动我国信息安全产业的发展。
1、信息与网络安全的重要性及严峻性(Cont.)
我国信息化建设需要的大量基础设备依靠国外引进,无法保证我们的安全利 用和有效监控。因此,解决我国的信息安全问题不能依靠外国,只能走独立 自主的发展道路。 目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处 于不设防状态。要用我国自己的安全设备加强信息与网络的安全性,需要大 力发展基于自主技术的信息安全产业,而自主技术的发展又必须从信息与网 络安全的基础研究着手,全面提高创新能力。
7个信息安全管理属性
目标性Focus 执行性Execution 效益性Cost-effective 时效性Time-bound 适应性Adaptive 全局性Coherence 合规性Compliance
参考:人民银行的描述 重大应用系统业务工作的连续可用性 业务工作责任的不可否认性 业务数据和信息的真实完整性 涉及国际秘密和行业敏感信息的保密性 什么人、可以访问什么资源、有什么权限 、以及控制授权范围内的信息流向及行为 方式等的可控性
国家及行业重要性的政策性及技术性文件
中办[2003]27号文件:国家信息化领导小组关于加强信息 安全保障工作的意见; 公信安[2007]861号文件:关于开展全国重要信息系统安全 等级保护定级工作的通知; 国保[2005]16号文件:关于印发《涉及国家秘密的信息系 统等级保护管理办法》;颁布《涉及国家秘密的信息系统 等级保护技术要求》国家保密标准的通知; 公通字[2004]66号文件:《关于信息安全等级保护工作的 实施意见》; 2005年9月国信办:《电子政务等级保护实施指南》; 公通字[2006]7号文件:《信息安全等级保护管理办法》 试行; 《信息安全风险评估指南》:2006年元月; 《信息安全等级保护信息系统运行安全管理要求》。
人行信息安全保障体系框架 中国人民银行科技司于2002年9月至12月组 织了《中国人民银行信息安全保障体系框 架》的研究编写。
人行框架的主要内容
3个战略阶段
规范加强、集中整合、综合保障
6项任务
保边、护线、强内、应急、规范、严管
5个能力
预警、保护、检测与评估、应急响应、灾难恢复

本地计算环境 区域边界 网络和基础设施
支撑基础设施
2.4 信息安全保证技术框架(IATF) 对网络和基础设施的安全要求主要是


鉴别
访问控制 机密性 完整性 抗抵赖性 可用性
2.4 信息安全保证技术框架(IATF) 支撑基础设施提供了一个IA机制在网络、 区域及计算环境内进行安全管理、提供安 全服务所使用的基础 主要为以下内容提供安全服务:
局域网(LAN) 校园网(CAN) 城域网(MAN) 广域网等

其中包括在网络节点间(如路由器和交换 机)传递信息的传输部件(如:卫星,微 波,光纤等),以及其他重要的网络基础 设施组件如网络管理组件、域名服务器及 目录服务组件等