图书介绍
银行信息安全技术与管理体系pdf电子书版本下载
- 洪崎,林云山,牛新庄等编 著
- 出版社: 北京:机械工业出版社
- ISBN:9787111522522
- 出版时间:2016
- 标注页数:299页
- 文件大小:52MB
- 文件页数:319页
- 主题词:银行-管理信息系统-研究
PDF下载
下载说明
银行信息安全技术与管理体系PDF格式电子书版下载
下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如 BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!
(文件页数 要大于 标注页数,上中下等多册电子书除外)
注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具
图书目录
第一篇 现状篇 2
第1章 概述 2
1.1 我国银行业取得的丰硕成果 2
1.1.1 资产增长速度迅猛 2
1.1.2 国际化步伐加快 3
1.1.3 银行业体制机制改革实现历史性突破 3
1.1.4 银行业风险管控和抵御能力大幅提升 4
1.1.5 银行业发展模式发生深刻变化 4
1.2 信息技术在我国银行业的发展 5
1.2.1 商业银行信息科技发展阶段 6
1.2.2 信息技术对银行发展的重要意义 7
1.2.3 信息技术在银行业中的应用前景 7
1.2.4 信息技术在银行业中的主要作用 7
1.2.5 我国银行业信息化建设发展进入快车道 8
1.2.6 未来几年我国银行业信息技术发展的趋势 9
1.3 银行业信息安全概述 10
1.3.1 信息安全重要性日益凸显 10
1.3.2 信息安全在银行业中的发展阶段 10
1.3.3 信息安全是银行业永久性的话题 11
第2章 银行业信息安全发展现状 12
2.1 信息安全含义及范围 12
2.2 银行业面临的威胁分析 13
2.2.1 银行业面临的攻击威胁 13
2.2.2 银行信息安全风险成因 14
2.3 银行业信息安全政策的制定与监管趋于完善 15
2.4 银行业在信息安全建设方面取得的卓越成效 18
2.4.1 明确信息安全管理目标和策略,完善信息安全制度体系 18
2.4.2 以国家等级保护要求为指导,构建信息安全技术保障体系 19
2.4.3 借鉴国际标准,完善信息安全开发和运维 19
2.4.4 持续开展信息安全管理文化建设,提高全员安全意识和安全技能 20
2.4.5 全面提升信息科技内控水平 20
2.4.6 针对新形势积极探索信息安全应对策略 21
第二篇 管理篇 24
第3章 银行信息安全管理体系参考框架 24
3.1 信息安全管理体系参考标准和规范 24
3.1.1 银行业信息科技风险管理指引 24
3.1.2 等级保护 26
3.1.3 ISO/IEC 27001 28
3.1.4 COSO 31
3.1.5 COBIT 32
3.1.6 ITIL 34
3.1.7 ISO 31000 37
3.1.8 《巴塞尔协议》及其操作风险 39
3.2 银行实际信息安全管理体系参考框架介绍 40
3.2.1 银行信息安全管理体系参考框架设计意义 40
3.2.2 银行信息安全管理体系参考框架设计方法论 41
3.2.3 银行信息安全管理体系参考框架 41
第4章 信息安全方针 45
4.1 信息安全方针概述 45
4.2 信息安全方针的原则 45
4.3 信息安全方针的主要内容 46
第5章 信息安全组织及人员安全管理 49
5.1 银行信息安全组织的构建原则 49
5.2 银行信息安全组织的架构 49
5.3 信息安全组织相关岗位及职责设计 52
5.3.1 信息安全管理类相关岗位 52
5.3.2 信息安全执行类相关岗位 54
5.3.3 信息安全监督类相关岗位 55
5.3.4 其他信息安全类岗位 55
5.4 安全部门与行内其他部门的关系定位 55
5.5 人员安全管理 56
第6章 信息安全管理制度 58
6.1 文件化的信息安全管理 58
6.2 信息安全管理制度的编写 58
6.3 体系化的信息安全制度及其框架模型 59
6.4 信息安全制度文件的控制 60
6.5 信息安全制度的贯彻实施 62
6.6 信息安全管理制度集合的组成 62
6.6.1 体系化的信息安全管理制度集合 62
6.6.2 对监管要求的整合落实 63
6.6.3 某商业银行信息安全制度文件目录示例 64
第7章 信息安全风险管理 65
7.1 信息安全风险管理的不同含义 65
7.1.1 国际通用标准对风险的定义 65
7.1.2 《巴塞尔协议》对风险的划分 65
7.1.3 国际标准ISO/IEC 27005对信息安全风险的描述 67
7.1.4 国家标准GB/Z 24364及GB/T 20984对信息安全风险的定义和说明 67
7.2 银行信息安全风险管理过程 68
7.2.1 基于ISO/IEC 31000的风险管理过程 68
7.2.2 基于操作风险的风险管理过程 68
7.2.3 基于ISO/IEC 27005的风险管理过程 69
7.2.4 银行信息安全风险管理的关注重点 69
7.3 银行信息安全风险评估 70
7.3.1 风险评估基本概念 70
7.3.2 风险评估过程 71
7.3.3 风险评估结果报告 74
7.3.4 管理风险评估中引入的新风险 74
7.4 风险评估的关键内容说明 74
7.4.1 定量与定性的评估方法 75
7.4.2 信息资产的分类和分级 76
7.4.3 威胁的分类和分级 78
7.4.4 资产弱点的严重性 79
7.4.5 风险的计算 80
7.5 银行信息安全风险处置 80
7.5.1 风险处置方式 80
7.5.2 风险处置的针对性 81
7.5.3 风险处置的过程 81
7.5.4 风险处置的成本分析 82
7.5.5 残余风险管理 83
第8章 信息安全规划与建设 84
8.1 信息安全规划 84
8.1.1 信息安全规划的意义 84
8.1.2 信息安全规划的定位 84
8.1.3 信息安全规划的要求 85
8.1.4 信息安全规划的主要任务 85
8.1.5 信息安全规划的内容、主体与时间 86
8.1.6 信息安全规划的形式 87
8.2 信息安全建设 88
8.2.1 信息安全建设原则 88
8 2.2 信息安全建设依据 89
8.2.3 信息安全建设包含的内容 90
8.2.4 信息安全管理体系建设 90
8.2.5 信息安全项目建设 91
8.3 案例介绍:某股份制商业银行信息安全规划实例 94
8.3.1 概述 94
8.3.2 A行信息安全现状 94
8.3.3 A行当前面临的主要风险 95
8.3.4 A行信息安全规划内容 96
第9章 信息安全监控与检查 100
9.1 信息安全监控与检查概述 100
9.2 信息安全监控的开展 101
9.3 信息安全检查的开展 103
9.3.1 信息安全检查的组织 103
9.3.2 典型信息安全检查的开展方式 103
9.3.3 信息安全检查方式 103
9.3.4 信息安全检查内容 104
第10章 信息安全事件管理 107
10.1 信息安全事件管理概述 107
10.2 信息安全事件分类 107
10.2.1 有害程序事件 108
10.2.2 网络攻击事件 108
10.2.3 信息破坏事件 108
10.2.4 信息内容安全事件 108
10.2.5 设备设施故障 108
10.2.6 灾害性事件 109
10.2.7 其他信息安全事件 109
10.3 信息安全事件的分级 109
10.3.1 特别重大事件(Ⅰ级) 109
10.3.2 重大事件(Ⅱ级) 110
10.3.3 较大事件(Ⅲ级) 110
10.3.4 一般事件(Ⅳ级) 110
10.4 银行业突发事件分级管理 110
10.4.1 特别重大突发事件(Ⅰ级) 111
10.4.2 重大突发事件(Ⅱ级) 111
10.4.3 较大突发事件(Ⅲ级) 111
10.5 信息安全事件管理的过程 112
10.6 信息安全事件应急处理 114
10.7 案例介绍:某商业银行信息安全事件管理办法 116
第11章 业务连续性与灾难恢复管理 120
11.1 业务连续性与灾难恢复概述 120
11.2 我国银行业务连续性/灾难恢复管理的现状与思考 122
11.2.1 我国银行业务连续性管理的现状 123
11.2.2 加强银行业务连续性管理的意义 124
11.2.3 《商业银行业务连续性监管指引》解读 124
11.3 灾难恢复管理的组织结构 127
11.4 灾难恢复管理流程 128
11.4.1 灾难恢复需求分析 129
11.4.2 灾难恢复能力等级及策略的制定 131
11.4.3 灾难恢复策略的实现 132
11.4.4 灾难恢复预案的制定和管理 133
11.5 案例介绍:业务连续性与灾难恢复管理实践 136
第12章 信息安全审计 139
12.1.1 信息安全审计简介 139
12.1.2 信息安全审计组织 139
12.1.3 信息安全审计内容 140
12.1.4 信息安全审计流程 144
第三篇 技术篇 148
第13章 信息安全技术模型 148
13.1 WPDRRC介绍 148
13.2 安全技术的层次结构模型 149
13.3 基于WPDRRC的层次技术模型 150
第14章 物理安全 152
14.1 物理安全概述 152
14.2 物理安全要素 152
14.2.1 物理资产分类 152
14.2.2 物理安全威胁 153
14.2.3 物理安全脆弱性 153
14.3 物理安全的要求及内容 154
14.3.1 物理位置的选择 154
14.3.2 物理访问的控制 154
14.3.3 防盗窃和防破坏 155
14.3.4 防雷击 155
14.3.5 防火 156
14.3.6 防水和防潮 158
14.3.7 电力供应 159
14.3.8 电磁防护 159
14.4 案例介绍:物理安全建设实例 160
第15章 网络安全 164
15.1 典型的银行网络安全设计实例 164
15.2 防火墙技术 164
15.2.1 防火墙概述 164
15.2.2 防火墙的作用 165
15.2.3 防火墙的功能 166
15.2.4 防火墙的分类 167
15.2.5 防火墙应用场景分析 168
15.3 网络威胁检测与防护技术 169
15.3.1 IDS概念 169
15.3.2 入侵检测系统的功能和作用 170
15.3.3 入侵检测系统的分类 170
15.3.4 入侵检测的过程 171
15.3.5 入侵检测系统的部署与应用 172
15.3.6 入侵防御系统与WEB应用防火墙 172
15.3.7 入侵防御系统与WEB应用防火墙的部署与应用 173
15.4 虚拟专用网络(VPN)技术 173
15.4.1 VPN基本概念 174
15.4.2 VPN应用场景 174
15.5 无线局域网安全技术 174
15.5.1 无线局域网简介 174
15.5.2 无线局域网面临的威胁 175
15.5.3 无线局域网的应用 175
15.6 网络设备安全防护 175
15.6.1 VLAN划分 175
15.6.2 网络设备的访问控制 176
15.6.3 网络设备安全配置 177
15.7 案例介绍:某股份制商业银行网上银行系统网络安全建设实例 178
第16章 主机安全 182
16.1 主机安全概述 182
16.2 主机安全保护要求 182
16.3 操作系统安全机制 185
16.3.1 标识与鉴别 185
16.3.2 访问控制 185
16.3.3 最小特权原则 190
16.4 操作系统安全加固 191
16.5 数据库安全配置 192
16.6 PC终端安全 193
16.6.1 内部PC终端安全 193
16.6.2 客户PC终端安全 194
16.7 智能终端安全 194
16.8 案例介绍:银行移动智能终端安全 196
第17章 应用安全 199
17.1 应用安全概述 199
17.2 应用安全通用要求 199
17.3 WEB应用安全面临的主要威胁 200
17.4 WEB安全加固 202
17.5 应用架构安全 203
17.5.1 WEB应用安全的现状及重要性 203
17.5.2 常见的WEB应用漏洞及解决方案 204
17.5.3 应用安全开发 206
17.6 案例分析:应用安全防护案例 207
第18章 密码和身份鉴别技术 208
18.1 密码技术概述 208
18.2 国产密码算法的介绍 210
18.2.1 SM2非对称算法 211
18.2.2 SM3杂凑算法 212
18.2.3 SM4对称算法 212
18.3 身份鉴别技术 213
18.3.1 业务交易中的身份认证 214
18.3.2 身份鉴别中常用的安全工具 215
18.3.3 身份鉴别中的生物识别技术 217
18.3.4 应用范围 218
18.4 案例介绍:密码技术在银行系统的应用实践 219
18.4.1 密码技术中的身份鉴别 220
18.4.2 密码通信数据完整性保护的应用 221
18.4.3 银行国密算法改造实例 222
18.4.4 加密机在银行中的应用 224
18.4.5 密钥管理平台 225
18.5 案例介绍:身份鉴别技术在银行系统中的应用实践 227
18.5.1 身份鉴别技术在网银中的应用 227
18.5.2 身份鉴别技术在手机银行系统中的使用 227
第19章 数据安全 229
19.1 数据安全概述 229
19.2 数据生命周期 230
19.3 数据安全技术 231
19.3.1 数据加密技术 231
19.3.2 数据存储安全技术 231
19.4 数据防泄密技术(DLP) 232
19.5 案例介绍:数据防泄密技术在银行的实践 233
19.5.1 数据安全分析 233
19.5.2 安全桌面功能框架 236
19.5.3 安全桌面技术说明 238
19.5.4 防数据泄漏平台介绍 240
第20章 安全检测与渗透测试技术 242
20.1 系统安全检测及渗透技术 242
20.1.1 系统安全检测方法概述 242
20.1.2 主流检测技术介绍 245
20.2 案例分析:银行渗透测试方案 249
20.2.1 渗透目标和范围 250
20.2.2 测试内容 250
20.2.3 测试流程 251
20.2.4 测试工具 252
20.2.5 测试的风险规避 252
第21章 安全运营技术 254
21.1 系统安全运营技术 254
21.1.1 深度包检测技术(DPI) 254
21.1.2 大数据技术 255
21.1.3 数据融合技术 256
21.1.4 数据挖掘技术 257
21.1.5 可视化技术 257
21.2 系统安全态势感知技术 258
21.3 系统安全运营的内容与流程 259
21 3.1 安全运营的内容 259
21.3.2 安全运营流程 260
第22章 灾难备份与恢复技术 261
22.1 技术与发展趋势 262
22.1.1 数据存储技术 262
22.1.2 数据复制技术 263
22.1.3 技术发展趋势 268
22.2 灾难备份系统技术方案的实现 269
22.2.1 技术方案的设计 269
22.2.2 技术方案的验证、确认和系统开发 269
22.2.3 系统安装和测试 269
22.3 灾难恢复策略的制定 269
22.3.1 灾难恢复资源的获取方式 270
22.3.2 灾难恢复资源的要求 271
第四篇 实践篇 273
第23章 银行信息安全风险管理实践与案例 273
23.1 某股份制商业银行安保平台建设实例 273
23.1.1 安保平台建设背景 273
23.1.2 安保平台建设基本思路 275
23.1.3 安保平台建设过程 276
23.2 基于大数据的网络安全态势实践 278
23.2.1 当时的状况和问题 278
23.2.2 解决问题的思路 280
23.2.3 具体方案 281
23.2.4 实际达到的效果 284
23.3 同城双中心灾备建设实例 285
23.3.1 生产中心信息技术架构整合实践 285
23.3.2 同城一体化数据中心实践 289
23.3.3 同城双中心一体化网络实践 290
23.3.4 应用系统双活实践 291
23.3.5 数据库容灾技术实践 293
23.3.6 灾备指挥与自动化切换平台实践 293
23.3.7 同城双中心一体化运维管理体系实践 295
23.3.8 信息技术服务连续性管理体系建设实践 297
参考文献 299