信息系统的安全需求分析是安全对策的依据。每一个信 息系统所采取的任何安全对策,都来自对系统安全需求的 分析。安全需求分析一般包括:安全风险分析和安全需求 内容分析两方面的内容。安全需求是以安全风险为前提的 不用系统具有不同的安全风险和安全需求。下面引用方 勇和刘嘉勇在《信息系统安全导轮》中给出的三个典型系 统的安全需求分析实例,供分析其他系统安全需求时参考
信息系统的安全需求分析是安全对策的依据。每一个信 息系统所采取的任何安全对策,都来自对系统安全需求的 分析。安全需求分析一般包括:安全风险分析和安全需求 内容分析两方面的内容。安全需求是以安全风险为前提的。 不用系统具有不同的安全风险和安全需求。下面引用方 勇和刘嘉勇在《信息系统安全导轮》中给出的三个典型系 统的安全需求分析实例,供分析其他系统安全需求时参考
91.1金融信息系统安全需求分析 1.安全风险分析 金融信息系统的普遍性安全风险包括: (1)非法用户通过网络进入系统; 2)通过窃取或者修改数据对金融机构的电子诈骗; (3)与系统有关人员勾结,通过非法修改程序与操作 侵害系统,以谋私利;
9.1.1 金融信息系统安全需求分析 1.安全风险分析 金融信息系统的普遍性安全风险包括: (1)非法用户通过网络进入系统; (2)通过窃取或者修改数据对金融机构的电子诈骗; (3)与系统有关人员勾结,通过非法修改程序与操作 侵害系统,以谋私利;
2.安全需求基本原则 金融信息系统的安全需求原则是: (1)授权原则 所有接触信息系统的人员都必须获得授权。 实行最小化授权; 阻止越权操作行为; 每种资源实行使用权限管理; 阻止越权使用资源行为; 确定每一授权用户的职责范围
2. 安全需求基本原则 金融信息系统的安全需求原则是: (1)授权原则 所有接触信息系统的人员都必须获得授权。 ·实行最小化授权; ·阻止越权操作行为; ·每种资源实行使用权限管理; ·阻止越权使用资源行为; ·确定每一授权用户的职责范围
2)确认原则 采集数据的合法性 输入数据的有效性; 业务与账务处理的正确性 传送存储数据的安全性 (3)跟踪原则 设置完善的跟踪日志,进行有效跟踪; 监视和发现系统故障差错以及恶意入侵行为; 防止非法使用信息跟踪工具 (4)效能投资相容原则 确定与金融信息系统价值相适应的安全需求,以最小 的投资获得最大的安全
(2)确认原则 · 采集数据的合法性; · 输入数据的有效性; ·业务与账务处理的正确性; · 传送存储数据的安全性。 (3)跟踪原则 ·设置完善的跟踪日志,进行有效跟踪; ·监视和发现系统故障差错以及恶意入侵行为; ·防止非法使用信息跟踪工具。 (4)效能投资相容原则 确定与金融信息系统价值相适应的安全需求,以最小 的投资获得最大的安全
3.安全需求内容 (1)传送数据应加密保护 (2)加密保护应有等级之分; (3)对联机柜台系统、联机清算系统和电子资金转账系 统的密码应互相分离; (4)对个人识别号(PIN)应加密保护 5)对银行卡(CARD)应加密保护 (6)对PIN,CARD要有身份鉴别; 7)丢失或盜来的银行凭证(如支票、存折、信用卡) 有防诈骗技术措施;
3. 安全需求内容 (1)传送数据应加密保护; (2)加密保护应有等级之分; (3)对联机柜台系统、联机清算系统和电子资金转账系 统的密码应互相分离; (4)对个人识别号(PIN)应加密保护; (5)对银行卡(CARD)应加密保护; (6)对PIN,CARD要有身份鉴别; (7)丢失或盗来的银行凭证(如支票、存折、信用卡) 有防诈骗技术措施;