黄伟安全培训材料网络与主机安全.ppt

黄伟安全培训材料网络与主机安全.ppt

《黄伟安全培训材料网络与主机安全.ppt》由会员分享，可在线阅读，更多相关《黄伟安全培训材料网络与主机安全.ppt（18页珍藏版）》请在冰豆网上搜索。

中国金融期货交易所ChinaFinancialFuturesExchange网络安全网络安全-22-n概述概述n期货行业网络安全特点期货行业网络安全特点n存在的主要问题存在的主要问题n解决措施解决措施目录目录-3-n什么是网络安全？

什么是网络安全？

通过采用各种技术和管理措施，规范业务和运维操作，保证网络通过采用各种技术和管理措施，规范业务和运维操作，保证网络系统以及接入网络的主机、系统的安全。

系统以及接入网络的主机、系统的安全。

n网络安全和信息安全的区别？

网络安全和信息安全的区别？

网络安全侧重基于网络环境下保护数据的保密性、完整性、可用网络安全侧重基于网络环境下保护数据的保密性、完整性、可用性，以及网络、主机系统自身的可用性；性，以及网络、主机系统自身的可用性；信息安全的涉及面更广，着重强调信息的保护，这些信息既可能信息安全的涉及面更广，着重强调信息的保护，这些信息既可能是建立在信息系统之上，也可能不是建立在信息系统之上的；是建立在信息系统之上，也可能不是建立在信息系统之上的；网络安全是信息安全的一个重要组成部分，但更多地强调在网络网络安全是信息安全的一个重要组成部分，但更多地强调在网络环境下的安全防护。

环境下的安全防护。

n网络安全的目的是什么？

网络安全的目的是什么？

确保网络和主机所提供的业务服务和承载的业务数据的可用、保确保网络和主机所提供的业务服务和承载的业务数据的可用、保密和完整。

密和完整。

概述概述-4-n期货业务的开展和创新高度依赖于互联网络期货业务的开展和创新高度依赖于互联网络n业务参与主体多，网络边界复杂业务参与主体多，网络边界复杂n互联网的安全形势比较严峻，在安全上存在着较互联网的安全形势比较严峻，在安全上存在着较大的问题大的问题病毒、木马肆虐病毒、木马肆虐黑客攻击目的由技术钻研转变为利益驱动黑客攻击目的由技术钻研转变为利益驱动黑客攻击手段变得复杂，攻击工具日益智能化黑客攻击手段变得复杂，攻击工具日益智能化0808年信息安全年信息安全专项检查结果表明，交易所、果表明，交易所、证券登券登记结算公司等算公司等单位的信息位的信息安全保障能力安全保障能力优于于证券期券期货经营机构；在机构；在经营机构中，期机构中，期货经营机构及机构及营业部信部信息安全保障能力最低。

息安全保障能力最低。

期货行业网络安全的特点期货行业网络安全的特点-5-n管理方面管理方面网络安全建设缺少统一规划：

网络安全需求分析不清晰，网网络安全建设缺少统一规划：

网络安全需求分析不清晰，网络安全建设缺乏技术指引，网络安全建设投入太少；络安全建设缺乏技术指引，网络安全建设投入太少；从业人员网络安全意识薄弱：

对大多数网络安全事件统计分从业人员网络安全意识薄弱：

对大多数网络安全事件统计分析发现，析发现，8080以上的安全问题是内部人员缺乏安全意识导致。

以上的安全问题是内部人员缺乏安全意识导致。

由于期货行业业务开展高度依赖于网络，从业人员网络安全由于期货行业业务开展高度依赖于网络，从业人员网络安全意识不高已成为影响网络安全的问题之一。

意识不高已成为影响网络安全的问题之一。

存在的主要问题存在的主要问题n技术方面技术方面缺少全面的访问控制措施：

网络隔离落实不到位，存在安全缺少全面的访问控制措施：

网络隔离落实不到位，存在安全隐患；系统控制不严格，存在系统漏洞；隐患；系统控制不严格，存在系统漏洞；网上交易系统防护能力差：

由于互联网开放和自由的特点，网上交易系统防护能力差：

由于互联网开放和自由的特点，使网上交易系统相对于传统的专用网络、封闭式系统面临更使网上交易系统相对于传统的专用网络、封闭式系统面临更大的风险；大的风险；缺乏必要的监控和审计措施：

缺少防范内部员工攻击和泄密，缺乏必要的监控和审计措施：

缺少防范内部员工攻击和泄密，或非法和误操作的安全事件。

或非法和误操作的安全事件。

-6-存在的主要问题（续）存在的主要问题（续）-7-问题问题解决思路解决思路保护什么？

明确保护对象。

明确保护对象。

根据等级保护要求，确定保护对象。

威胁来自哪些途径？

业务数据存放和交换业务系统运行业务和运维操作如何保护？

安全管理和技术相结合的方式。

安全管理和技术相结合的方式。

正确识别系统的脆弱性和面临的威胁，结合保护级别，有针对性地选择管理和技术手段来降低或消除风险。

如何开展？

管理上统筹规划、责任明确、持续改进。

管理上统筹规划、责任明确、持续改进。

技术上事前防范、事中控制、事后审计相结合。

技术上事前防范、事中控制、事后审计相结合。

网络安全应该合理规划，利用管理和技术两个手段，从多个角度综合防御。

网络安全应该合理规划，利用管理和技术两个手段，从多个角度综合防御。

解决措施解决措施-概述概述解决措施解决措施-概述（续）概述（续）n管理方面管理方面制定网络安全建设规划制定网络安全建设规划提高从业人员安全意识提高从业人员安全意识n技术方面技术方面划分安全区域，实现网络边界控制划分安全区域，实现网络边界控制实施安全加固，完善系统安全控制实施安全加固，完善系统安全控制采用高强度认证，加强账户安全控制采用高强度认证，加强账户安全控制改进网上交易安全技术改进网上交易安全技术完善网络安全监控措施和审计机制完善网络安全监控措施和审计机制-88-解决措施解决措施-管理方面管理方面n制定网络安全建设规划制定网络安全建设规划规划的内容规划的内容明确保护对象明确保护对象分析现状分析现状制定解决方案和计划制定解决方案和计划规划制定的原则规划制定的原则木桶原则木桶原则整体性原则整体性原则安全性评价与平衡原则安全性评价与平衡原则标准化与一致性原则标准化与一致性原则易操作性原则易操作性原则-9-解决措施解决措施-管理方面（续）管理方面（续）n提高从业人员安全意识提高从业人员安全意识开展思路开展思路加强领导管理加强领导管理明确网络安全责任明确网络安全责任开展网络安全培训开展网络安全培训操作层面的基本安全意识培训操作层面的基本安全意识培训技术层面的各项安全技能培训技术层面的各项安全技能培训管理层面的信息安全管理培训管理层面的信息安全管理培训特定的资质认证培训特定的资质认证培训-10-解决措施解决措施-技术方面技术方面n划分安全区域，实现网络边界控制划分安全区域，实现网络边界控制开展思路开展思路划分建议划分建议根据承载的不同安全等级数据进行网络区域划分和定级根据承载的不同安全等级数据进行网络区域划分和定级不同安全等级网络之间可采用有效隔离方式进行隔离不同安全等级网络之间可采用有效隔离方式进行隔离相同安全等级网络之间可采用逻辑方式进行隔离相同安全等级网络之间可采用逻辑方式进行隔离安全访问控制上应遵循网络边界防御策略，加强对各网络安全访问控制上应遵循网络边界防御策略，加强对各网络边界的管理和控制边界的管理和控制-11-解决措施解决措施-技术方面（续）技术方面（续）n划分安全区域，实现网络边界控制划分安全区域，实现网络边界控制相应工作相应工作实施的原则实施的原则保证业务处理的网络安全性与效率的平衡保证业务处理的网络安全性与效率的平衡保证各项业务工作的平稳过渡保证各项业务工作的平稳过渡划分举例划分举例内部：

业务网与办公网隔离、网站与互联网业务网关隔离、内部：

业务网与办公网隔离、网站与互联网业务网关隔离、总部与分支机构营业部隔离、应用系统中前置网关和后台总部与分支机构营业部隔离、应用系统中前置网关和后台数据库隔离。

数据库隔离。

外部：

互联网与业务网隔离、业务网与交易所隔离、业务外部：

互联网与业务网隔离、业务网与交易所隔离、业务网与银行隔离。

网与银行隔离。

-12-解决措施解决措施-技术方面（续）技术方面（续）n实施安全加固，完善系统安全控制实施安全加固，完善系统安全控制开展思路开展思路通过安全渗透测试了解和掌握自身系统的薄弱环节通过安全渗透测试了解和掌握自身系统的薄弱环节通过设备、系统的安全加固减少漏洞的存在通过设备、系统的安全加固减少漏洞的存在通过部署防篡改系统来提高网站等公共系统的安全保障通过部署防篡改系统来提高网站等公共系统的安全保障-13-解决措施解决措施-技术方面（续）技术方面（续）n采用高强度认证，加强账户安全控制采用高强度认证，加强账户安全控制开展思路开展思路根据系统或设备所属区域、管理权限实现账户分级根据系统或设备所属区域、管理权限实现账户分级管理账户与应用账户分离管理账户与应用账户分离操作账户与监控账户分离操作账户与监控账户分离开启日志功能，外置独立日志并定期审计开启日志功能，外置独立日志并定期审计实现最小授权原则和不同功能的账号分离实现最小授权原则和不同功能的账号分离建立统一的账号认证、授权和管理平台，对于运维和业建立统一的账号认证、授权和管理平台，对于运维和业务账号采用高强度密码认证务账号采用高强度密码认证-14-解决措施解决措施-技术方面（续）技术方面（续）n改进网上交易安全技术改进网上交易安全技术开展思路开展思路网上期货系统安全网上期货系统安全保证通信平台的高可靠性、高安全性、高性能、可扩展性、可管理性和保证通信平台的高可靠性、高安全性、高性能、可扩展性、可管理性和标准化；标准化；对网上期货系统的各子系统定义恰当的安全域，在不同安全域之间，建对网上期货系统的各子系统定义恰当的安全域，在不同安全域之间，建立有效的网络隔离措施立有效的网络隔离措施采取有效手段完善服务器的认证机制，避免期货公司的门户网站或网上采取有效手段完善服务器的认证机制，避免期货公司的门户网站或网上交易系统受到恶意劫持，使得网上交易客户端或浏览器能对服务器加以交易系统受到恶意劫持，使得网上交易客户端或浏览器能对服务器加以识别和认证，避免客户敏感信息被恶意窃取；识别和认证，避免客户敏感信息被恶意窃取；部署对网上期货系统进行实时监控和防范非法访问的功能或设施，在交部署对网上期货系统进行实时监控和防范非法访问的功能或设施，在交易期间对网上交易系统进行实时监控，防止来自互联网的非法接入和非易期间对网上交易系统进行实时监控，防止来自互联网的非法接入和非法访问，建立起有效的外部攻击侦测机制和防范策略；法访问，建立起有效的外部攻击侦测机制和防范策略；提高提高Web类应用的编码安全，加强对用户输入请求的控制，执行安全的类应用的编码安全，加强对用户输入请求的控制，执行安全的输入验证，对输入进行限制、拒绝和清理，有效防范注入类攻击；同时输入验证，对输入进行限制、拒绝和清理，有效防范注入类攻击；同时也要安全地调用代码接口，防止潜在的缓冲区溢出漏洞。

也要安全地调用代码接口，防止潜在的缓冲区溢出漏洞。

-15-16-解决措施解决措施-技术方面（续）技术方面（续）n改进网上交易安全技术改进网上交易安全技术开展思路开展思路交易客户端软件安全交易客户端软件安全逐步改变网上交易系统现有的以静态口令为基础的网上交逐步改变网上交易系统现有的以静态口令为基础的网上交易认证模式，在行业内部推广动态口令、数字证书、易认证模式，在行业内部推广动态口令、数字证书、USBKey等双因素用户认证机制或通过其他技术手段，提高网等双因素用户认证机制或通过其他技术手段，提高网上交易机密性、完整性和不可否认性；上交易机密性、完整性和不可否认性；在提供网上交易客户端软件下载服务时，应对软件采用严在提供网上交易客户端软件下载服务时，应对软件采用严格防护措施，防止被捆绑木马。

格防护措施，防止被捆绑木马。

解决措施解决措施-技术方面（续）技术方面（续）n完善网络安全监控措施和审计机制完善网络安全监控措施和审计机制开展思路开展思路加强关键节点的安全监控措施加强关键节点的安全监控措施实施网络安全审计，对操作、流程的执行和结果进行审实施网络安全审计，对操作、流程的执行和结果进行审计计及时发现各类网络安全事件的发生，有效减少期货公司业务系统及时发现各类网络安全事件的发生，有效减少期货公司业务系统核心信息资产的破坏和泄漏，降低损失；核心信息资产的破坏和泄漏，降低损失；有效控制业务和运维的操作风险，便于事后追查原因与界定责任有效控制业务和运维的操作风险，便于事后追查原因与界定责任取证免责。

取证免责。

实现独立审计与三