定 價(jià):79.8 元
叢書(shū)名:銀行業(yè)信息化叢書(shū)
- 作者:洪崎
- 出版時(shí)間:2015/12/1
- ISBN:9787111522522
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:F832.29
- 頁(yè)碼:298
- 紙張:膠版紙
- 版次:1
- 開(kāi)本:16開(kāi)
本書(shū)力圖通過(guò)對(duì)我國(guó)銀行業(yè)信息安全的實(shí)踐介紹���,讓讀者對(duì)我國(guó)銀行業(yè)在信息安全的管理思路���、管理方法、管理內(nèi)容及使用技術(shù)等方面有一個(gè)清晰和全面的認(rèn)識(shí)����。全書(shū)分為四篇,分別介紹了我國(guó)銀行業(yè)信息安全的發(fā)展現(xiàn)狀�����,分析了銀行業(yè)面臨的威脅��,總結(jié)了我國(guó)銀行業(yè)在信息安全建設(shè)上取得的巨大成就����。從信息安全管理角度出發(fā),將銀行信息安全管理體系作為一個(gè)整體,系統(tǒng)地分析它所包含的相關(guān)內(nèi)容�,并給出了銀行業(yè)信息安全管理體系參考的框架結(jié)構(gòu);從技術(shù)的角度出發(fā)����,從作用方式和作用層次兩個(gè)維度對(duì)我國(guó)銀行業(yè)采用的各種信息安全技術(shù)進(jìn)行了梳理和總結(jié)。通過(guò)具體的案例�,使讀者更加深刻地理解銀行業(yè)信息安全技術(shù)與管理體系,對(duì)我國(guó)銀行業(yè)信息安全實(shí)踐有一個(gè)直觀的認(rèn)識(shí)����。
本書(shū)主要供銀行信息科技人員閱讀,也可供從事信息安全的工作人員和科研人員參考���,還可作為信息安全與金融類專業(yè)的教學(xué)參考書(shū)�����。
目錄
總序
序
前言
**篇現(xiàn)狀篇
第1章概述
1.1我國(guó)銀行業(yè)取得的豐碩成果
1.1.1資產(chǎn)增長(zhǎng)速度迅猛
1.1.2國(guó)際化步伐加快
1.1.3銀行業(yè)體制機(jī)制改革實(shí)現(xiàn)歷史性突破
1.1.4銀行業(yè)風(fēng)險(xiǎn)管控和抵御能力大幅提升
1.1.5銀行業(yè)發(fā)展模式發(fā)生深刻變化
1.2信息技術(shù)在我國(guó)銀行業(yè)的發(fā)展
1.2.1商業(yè)銀行信息科技發(fā)展階段
1.2.2信息技術(shù)對(duì)銀行發(fā)展的重要意義
1.2.3信息技術(shù)在銀行業(yè)中的應(yīng)用前景
1.2.4信息技術(shù)在銀行業(yè)中的主要作用
1.2.5我國(guó)銀行業(yè)信息化建設(shè)發(fā)展進(jìn)入快車道
1.2.6未來(lái)幾年我國(guó)銀行業(yè)信息技術(shù)發(fā)展的趨勢(shì)
1.3銀行業(yè)信息安全概述
1.3.1信息安全重要性日益凸顯
1.3.2信息安全在銀行業(yè)中的發(fā)展階段
1.3.3信息安全是銀行業(yè)永久性的話題
第2章銀行業(yè)信息安全發(fā)展現(xiàn)狀
2.1信息安全含義及范圍
2.2銀行業(yè)面臨的威脅分析
2.2.1銀行業(yè)面臨的攻擊威脅
2.2.2銀行信息安全風(fēng)險(xiǎn)成因
2.3銀行業(yè)信息安全政策的制定與監(jiān)管趨于完善
2.4銀行業(yè)在信息安全建設(shè)方面取得的卓越成效
2.4.1明確信息安全管理目標(biāo)和策略����,完善信息安全制度體系
2.4.2以國(guó)家等級(jí)保護(hù)要求為指導(dǎo)�����,構(gòu)建信息安全技術(shù)保障體系
2.4.3借鑒國(guó)際標(biāo)準(zhǔn),完善信息安全開(kāi)發(fā)和運(yùn)維
2.4.4持續(xù)開(kāi)展信息安全管理文化建設(shè)�����,提高全員安全意識(shí)和安全技能
2.4.5全面提升信息科技內(nèi)控水平
2.4.6針對(duì)新形勢(shì)積極探索信息安全應(yīng)對(duì)策略
第二篇管理篇
第3章銀行信息安全管理體系參考框架
3.1信息安全管理體系參考標(biāo)準(zhǔn)和規(guī)范
3.1.1銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引
3.1.2等級(jí)保護(hù)
3.1.3ISO/IEC 2700
3.1.4COSO
3.1.5COBIT
3.1.6ITIL
3.1.7ISO 3100
3.1.8《巴塞爾協(xié)議》及其操作風(fēng)險(xiǎn)
3.2銀行實(shí)際信息安全管理體系參考框架介紹
3.2.1銀行信息安全管理體系參考框架設(shè)計(jì)意義
3.2.2銀行信息安全管理體系參考框架設(shè)計(jì)方法論
3.2.3銀行信息安全管理體系參考框架
第4章信息安全方針
4.1信息安全方針概述
4.2信息安全方針的原則
4.3信息安全方針的主要內(nèi)容
第5章信息安全組織及人員安全管理
5.1銀行信息安全組織的構(gòu)建原則
5.2銀行信息安全組織的架構(gòu)
5.3信息安全組織相關(guān)崗位及職責(zé)設(shè)計(jì)
5.3.1信息安全管理類相關(guān)崗位
5.3.2信息安全執(zhí)行類相關(guān)崗位
5.3.3信息安全監(jiān)督類相關(guān)崗位
5.3.4其他信息安全類崗位
5.4安全部門(mén)與行內(nèi)其他部門(mén)的關(guān)系定位
5.5人員安全管理
第6章信息安全管理制度
6.1文件化的信息安全管理
6.2信息安全管理制度的編寫(xiě)
6.3體系化的信息安全制度及其框架模型
6.4信息安全制度文件的控制
6.5信息安全制度的貫徹實(shí)施
6.6信息安全管理制度集合的組成
6.6.1體系化的信息安全管理制度集合
6.6.2對(duì)監(jiān)管要求的整合落實(shí)
6.6.3某商業(yè)銀行信息安全制度文件目錄示例
第7章信息安全風(fēng)險(xiǎn)管理
7.1信息安全風(fēng)險(xiǎn)管理的不同含義
7.1.1國(guó)際通用標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)的定義
7.1.2《巴塞爾協(xié)議》對(duì)風(fēng)險(xiǎn)的劃分
7.1.3國(guó)際標(biāo)準(zhǔn)ISO/IEC 27005對(duì)信息安全風(fēng)險(xiǎn)的描述
7.1.4國(guó)家標(biāo)準(zhǔn)GB/Z 24364及GB/T 20984對(duì)信息安全風(fēng)險(xiǎn)的定義和說(shuō)明
7.2銀行信息安全風(fēng)險(xiǎn)管理過(guò)程
7.2.1基于ISO/IEC 31000的風(fēng)險(xiǎn)管理過(guò)程
7.2.2基于操作風(fēng)險(xiǎn)的風(fēng)險(xiǎn)管理過(guò)程
7.2.3基于ISO/IEC 27005的風(fēng)險(xiǎn)管理過(guò)程
7.2.4銀行信息安全風(fēng)險(xiǎn)管理的關(guān)注重點(diǎn)
7.3銀行信息安全風(fēng)險(xiǎn)評(píng)估
7.3.1風(fēng)險(xiǎn)評(píng)估基本概念
7.3.2風(fēng)險(xiǎn)評(píng)估過(guò)程
7.3.3風(fēng)險(xiǎn)評(píng)估結(jié)果報(bào)告
7.3.4管理風(fēng)險(xiǎn)評(píng)估中引入的新風(fēng)險(xiǎn)
7.4風(fēng)險(xiǎn)評(píng)估的關(guān)鍵內(nèi)容說(shuō)明
7.4.1定量與定性的評(píng)估方法
7.4.2信息資產(chǎn)的分類和分級(jí)
7.4.3威脅的分類和分級(jí)
7.4.4資產(chǎn)弱點(diǎn)的嚴(yán)重性
7.4.5風(fēng)險(xiǎn)的計(jì)算
7.5銀行信息安全風(fēng)險(xiǎn)處置
7.5.1風(fēng)險(xiǎn)處置方式
7.5.2風(fēng)險(xiǎn)處置的針對(duì)性
7.5.3風(fēng)險(xiǎn)處置的過(guò)程
7.5.4風(fēng)險(xiǎn)處置的成本分析
7.5.5殘余風(fēng)險(xiǎn)管理
第8章信息安全規(guī)劃與建設(shè)
8.1信息安全規(guī)劃
8.1.1信息安全規(guī)劃的意義
8.1.2信息安全規(guī)劃的定位
8.1.3信息安全規(guī)劃的要求
8.1.4信息安全規(guī)劃的主要任務(wù)
8.1.5信息安全規(guī)劃的內(nèi)容�、主體與時(shí)間
8.1.6信息安全規(guī)劃的形式
8.2信息安全建設(shè)
8.2.1信息安全建設(shè)原則
8.2.2信息安全建設(shè)依據(jù)
8.2.3信息安全建設(shè)包含的內(nèi)容
8.2.4信息安全管理體系建設(shè)
8.2.5信息安全項(xiàng)目建設(shè)
8.3案例介紹:某股份制商業(yè)銀行信息安全規(guī)劃實(shí)例
8.3.1概述
8.3.2A行信息安全現(xiàn)狀
8.3.3A行當(dāng)前面臨的主要風(fēng)險(xiǎn)
8.3.4A行信息安全規(guī)劃內(nèi)容
第9章信息安全監(jiān)控與檢查
9.1信息安全監(jiān)控與檢查概述
9.2信息安全監(jiān)控的開(kāi)展
9.3信息安全檢查的開(kāi)展
9.3.1信息安全檢查的組織
9.3.2典型信息安全檢查的開(kāi)展方式
9.3.3信息安全檢查方式
9.3.4信息安全檢查內(nèi)容
第10章信息安全事件管理
10.1信息安全事件管理概述
10.2信息安全事件分類
10.2.1有害程序事件
10.2.2網(wǎng)絡(luò)攻擊事件
10.2.3信息破壞事件
10.2.4信息內(nèi)容安全事件
10.2.5設(shè)備設(shè)施故障
10.2.6災(zāi)害性事件
10.2.7其他信息安全事件
10.3信息安全事件的分級(jí)
10.3.1特別重大事件(Ⅰ級(jí))
10.3.2重大事件(Ⅱ級(jí))
10.3.3較大事件(Ⅲ級(jí))
10.3.4一般事件(Ⅳ級(jí))
10.4銀行業(yè)突發(fā)事件分級(jí)管理
10.4.1特別重大突發(fā)事件(Ⅰ級(jí))
10.4.2重大突發(fā)事件(Ⅱ級(jí))
10.4.3較大突發(fā)事件(Ⅲ級(jí))
10.5信息安全事件管理的過(guò)程
10.6信息安全事件應(yīng)急處理
10.7案例介紹:某商業(yè)銀行信息安全事件管理辦法
第11章業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理
11.1業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)概述
11.2我國(guó)銀行業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)管理的現(xiàn)狀與思考
11.2.1我國(guó)銀行業(yè)務(wù)連續(xù)性管理的現(xiàn)狀
11.2.2加強(qiáng)銀行業(yè)務(wù)連續(xù)性管理的意義
11.2.3《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》解讀
11.3災(zāi)難恢復(fù)管理的組織結(jié)構(gòu)
11.4災(zāi)難恢復(fù)管理流程
11.4.1災(zāi)難恢復(fù)需求分析
11.4.2災(zāi)難恢復(fù)能力等級(jí)及策略的制定
11.4.3災(zāi)難恢復(fù)策略的實(shí)現(xiàn)
11.4.4災(zāi)難恢復(fù)預(yù)案的制定和管理
11.5案例介紹:業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理實(shí)踐
第12章信息安全審計(jì)
12.1.1信息安全審計(jì)簡(jiǎn)介
12.1.2信息安全審計(jì)組織
12.1.3信息安全審計(jì)內(nèi)容
12.1.4信息安全審計(jì)流程
第三篇技術(shù)篇
第13章信息安全技術(shù)模型
13.1WPDRRC介紹
13.2安全技術(shù)的層次結(jié)構(gòu)模型
13.3基于WPDRRC的層次技術(shù)模型
第14章物理安全
14.1物理安全概述
14.2物理安全要素
14.2.1物理資產(chǎn)分類
14.2.2物理安全威脅
14.2.3物理安全脆弱性
14.3物理安全的要求及內(nèi)容
14.3.1物理位置的選擇
14.3.2物理訪問(wèn)的控制
14.3.3防盜竊和防破壞
14.3.4防雷擊
14.3.5防火
14.3.6防水和防潮
14.3.7電力供應(yīng)
14.3.8電磁防護(hù)
14.4案例介紹:物理安全建設(shè)實(shí)例
第15章網(wǎng)絡(luò)安全
15.1典型的銀行網(wǎng)絡(luò)安全設(shè)計(jì)實(shí)例
15.2防火墻技術(shù)
15.2.1防火墻概述
15.2.2防火墻的作用
15.2.3防火墻的功能
15.2.4防火墻的分類
15.2.5防火墻應(yīng)用場(chǎng)景分析
15.3網(wǎng)絡(luò)威脅檢測(cè)與防護(hù)技術(shù)
15.3.1IDS概念
15.3.2入侵檢測(cè)系統(tǒng)的功能和作用
15.3.3入侵檢測(cè)系統(tǒng)的分類
15.3.4入侵檢測(cè)的過(guò)程
15.3.5入侵檢測(cè)系統(tǒng)的部署與應(yīng)用
15.3.6入侵防御系統(tǒng)與WEB應(yīng)用防火墻
15.3.7入侵防御系統(tǒng)與WEB應(yīng)用防火墻的部署與應(yīng)用
15.4虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
15.4.1VPN基本概念
15.4.2VPN應(yīng)用場(chǎng)景
15.5無(wú)線局域網(wǎng)安全技術(shù)
15.5.1無(wú)線局域網(wǎng)簡(jiǎn)介
15.5.2無(wú)線局域網(wǎng)面臨的威脅
15.5.3無(wú)線局域網(wǎng)的應(yīng)用
15.6網(wǎng)絡(luò)設(shè)備安全防護(hù)
15.6.1VLAN劃分
15.6.2網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制
15.6.3網(wǎng)絡(luò)設(shè)備安全配置
15.7案例介紹:某股份制商業(yè)銀行網(wǎng)上銀行系統(tǒng)網(wǎng)絡(luò)安全建設(shè)實(shí)例
第16章主機(jī)安全
16.1主機(jī)安全概述
16.2主機(jī)安全保護(hù)要求
16.3操作系統(tǒng)安全機(jī)制
16.3.1標(biāo)識(shí)與鑒別
16.3.2訪問(wèn)控制
16.3.3*小特權(quán)原則
16.4操作系統(tǒng)安全加固
16.5數(shù)據(jù)庫(kù)安全配置
16.6PC終端安全
16.6.1內(nèi)部PC終端安全
16.6.2客戶PC終端安全
16.7智能終端安全
16.8案例介紹:銀行移動(dòng)智能終端安全
第17章應(yīng)用安全
17.1應(yīng)用安全概述
17.2應(yīng)用安全通用要求
17.3WEB應(yīng)用安全面臨的主要威脅
17.4WEB安全加固
17.5應(yīng)用架構(gòu)安全
17.5.1WEB應(yīng)用安全的現(xiàn)狀及重要性
17.5.2常見(jiàn)的WEB應(yīng)用漏洞及解決方案
17.5.3應(yīng)用安全開(kāi)發(fā)
17.6案例分析:應(yīng)用安全防護(hù)案例
第18章密碼和身份鑒別技術(shù)
18.1密碼技術(shù)概述
18.2國(guó)產(chǎn)密碼算法的介紹
18.2.1SM2非對(duì)稱算法
18.2.2SM3雜湊算法
18.2.3SM4對(duì)稱算法
18.3身份鑒別技術(shù)
18.3.1業(yè)務(wù)交易中的身份認(rèn)證
18.3.2身份鑒別中常用的安全工具
18.3.3身份鑒別中的生物識(shí)別技術(shù)
18.3.4應(yīng)用范圍
18.4案例介紹:密碼技術(shù)在銀行系統(tǒng)的應(yīng)用實(shí)踐
18.4.1密碼技術(shù)中的身份鑒別
18.4.2密碼通信數(shù)據(jù)完整性保護(hù)的應(yīng)用
18.4.3銀行國(guó)密算法改造實(shí)例
18.4.4加密機(jī)在銀行中的應(yīng)用
18.4.5密鑰管理平臺(tái)
18.5案例介紹:身份鑒別技術(shù)在銀行系統(tǒng)中的應(yīng)用實(shí)踐
18.5.1身份鑒別技術(shù)在網(wǎng)銀中的應(yīng)用
18.5.2身份鑒別技術(shù)在手機(jī)銀行系統(tǒng)中的使用
第19章數(shù)據(jù)安全
19.1數(shù)據(jù)安全概述
19.2數(shù)據(jù)生命周期
19.3數(shù)據(jù)安全技術(shù)
19.3.1數(shù)據(jù)加密技術(shù)
19.3.2數(shù)據(jù)存儲(chǔ)安全技術(shù)
19.4數(shù)據(jù)防泄密技術(shù)(DLP)
19.5案例介紹:數(shù)據(jù)防泄密技術(shù)在銀行的實(shí)踐
ⅩⅦⅩⅧ19.5.1數(shù)據(jù)安全分析
19.5.2安全桌面功能框架
19.5.3安全桌面技術(shù)說(shuō)明
19.5.4防數(shù)據(jù)泄漏平臺(tái)介紹
第20章安全檢測(cè)與滲透測(cè)試技術(shù)
20.1系統(tǒng)安全檢測(cè)及滲透技術(shù)
20.1.1系統(tǒng)安全檢測(cè)方法概述
20.1.2主流檢測(cè)技術(shù)介紹
20.2案例分析:銀行滲透測(cè)試方案
20.2.1滲透目標(biāo)和范圍
20.2.2測(cè)試內(nèi)容
20.2.3測(cè)試流程
20.2.4測(cè)試工具
20.2.5測(cè)試的風(fēng)險(xiǎn)規(guī)避
第21章安全運(yùn)營(yíng)技術(shù)
21.1系統(tǒng)安全運(yùn)營(yíng)技術(shù)
21.1.1深度包檢測(cè)技術(shù)(DPI)
21.1.2大數(shù)據(jù)技術(shù)
21.1.3數(shù)據(jù)融合技術(shù)
21.1.4數(shù)據(jù)挖掘技術(shù)
21.1.5可視化技術(shù)
21.2系統(tǒng)安全態(tài)勢(shì)感知技術(shù)
21.3系統(tǒng)安全運(yùn)營(yíng)的內(nèi)容與流程
21.3.1安全運(yùn)營(yíng)的內(nèi)容
21.3.2安全運(yùn)營(yíng)流程
第22章災(zāi)難備份與恢復(fù)技術(shù)
22.1技術(shù)與發(fā)展趨勢(shì)
22.1.1數(shù)據(jù)存儲(chǔ)技術(shù)
22.1.2數(shù)據(jù)復(fù)制技術(shù)
22.1.3技術(shù)發(fā)展趨勢(shì)
22.2災(zāi)難備份系統(tǒng)技術(shù)方案的實(shí)現(xiàn)
22.2.1技術(shù)方案的設(shè)計(jì)
22.2.2技術(shù)方案的驗(yàn)證��、確認(rèn)和系統(tǒng)開(kāi)發(fā)
22.2.3系統(tǒng)安裝和測(cè)試
22.3災(zāi)難恢復(fù)策略的制定
22.3.1災(zāi)難恢復(fù)資源的獲取方式
22.3.2災(zāi)難恢復(fù)資源的要求
第四篇實(shí)踐篇
第23章銀行信息安全風(fēng)險(xiǎn)管理實(shí)踐與案例
23.1某股份制商業(yè)銀行安保平臺(tái)建設(shè)實(shí)例
23.1.1安保平臺(tái)建設(shè)背景
23.1.2安保平臺(tái)建設(shè)基本思路
23.1.3安保平臺(tái)建設(shè)過(guò)程
23.2基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)踐
23.2.1當(dāng)時(shí)的狀況和問(wèn)題
23.2.2解決問(wèn)題的思路
23.2.3具體方案
23.2.4實(shí)際達(dá)到的效果
23.3同城雙中心災(zāi)備建設(shè)實(shí)例
23.3.1生產(chǎn)中心信息技術(shù)架構(gòu)整合實(shí)踐
23.3.2同城一體化數(shù)據(jù)中心實(shí)踐
23.3.3同城雙中心一體化網(wǎng)絡(luò)實(shí)踐
23.3.4應(yīng)用系統(tǒng)雙活實(shí)踐
23.3.5數(shù)據(jù)庫(kù)容災(zāi)技術(shù)實(shí)踐
23.3.6災(zāi)備指揮與自動(dòng)化切換平臺(tái)實(shí)踐
23.3.7同城雙中心一體化運(yùn)維管理體系實(shí)踐
23.3.8信息技術(shù)服務(wù)連續(xù)性管理體系建設(shè)實(shí)踐
參考文獻(xiàn)
書(shū)單推薦
