图书介绍

银行计算机信息系统安全技术规范PDF|Epub|txt|kindle电子书版本下载

银行计算机信息系统安全技术规范
  • 中国人民银行编 著
  • 出版社: 北京:电子工业出版社
  • ISBN:7505365533
  • 出版时间:2001
  • 标注页数:214页
  • 文件大小:9MB
  • 文件页数:229页
  • 主题词:银行(学科: 商用计算机 学科: 信息系统 学科: 安全技术 学科: 规范) 银行 商用计算机 信息系统

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:93261c52581aff98d7524a2e21b88744

下载说明

银行计算机信息系统安全技术规范PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

前言1

目录1

第1章 引言3

第2章 范围5

2.1 适用的系统5

2.2 防护的对象5

2.3 银行信息系统安全建设的国家性、行业性和企业性6

2.4 说明6

2.4.1 一般说明6

2.4.2 如何阅读本规范7

3.1 什么是信息系统安全9

第3章 概述9

3.2 信息安全是核心10

3.3 信息系统安全是信息安全的保障10

3.4 信息与信息系统安全的基本方法10

3.4.1 安全防护的基本方法11

3.4.2 安全检测的基本方法11

3.4.3 安全事件反应的基本方法12

3.5 信息系统安全要落实在信息系统建设和运营的全过程中12

3.6 人是信息系统安全的关键要素12

3.8 信息系统安全是基于时间的13

3.7 提高信息系统安全PDR综合能力13

3.9.1 银行信息系统安全建设要区别新建和已建系统14

3.9 银行信息系统安全建设的内容和技术要求14

3.9.2 银行信息系统安全建设内容和技术要求15

3.9.3 银行信息系统安全技术的总体方案16

3.9.4 用户安全、站点安全和平台安全18

3.9.5 银行信息系统安全监控网络和安全监控中心19

3.10 信息安全产品的测评和认证19

3.10.1 国外信息产品的安全测评和认证19

3.10.2 我国信息安全的测评和认证23

3.10.5 信息技术安全的测评认证和PDR安全方案模型的关系26

3.103 信息技术安全的测评认证方法(CEM)26

3.10.4 安全信息系统能力成熟模型(CMM)26

3.11 最可信赖的是信息拷贝27

3.12 依靠法律强化信息系统安全建设27

第4章 安全标准29

4.1 强制标准概念29

4.2 信息处理安全标准29

4.2.1 计算机安全标准29

4.2.2 操作系统服务安全标准29

4.2.4 应用平台安全标准30

4.2.3 应用软件实体安全标准30

4.3 信息传输标准32

4.3.1 终端系统安全标准32

4.3.1.1 主机安全标准32

4.3.1.2 安全算法32

4.3.1.3 安全协议32

4.3.1.4 评估准则安全性标准33

4.3.2 网络安全标准34

4.4 信息模型化和信息安全标准35

4.5 人机接口安全标准35

4.6.2 银行业务加密算法标准36

4.6.3 个人识别号(PIN)标准36

4.6 金融业务安全标准36

4.6.1 银行业务报文鉴别标准36

4.6.4 银行业务数字签名标准37

4.6.5 银行业务密钥管理标准37

4.6.6 银行信用卡业务安全标准37

4.6.7 银行电子商务安全标准37

4.6.8 银行网络支付安全标准39

4.6.9 银行信息保密等级标准39

4.6.10 银行信息完整性等级标准40

5.1.2 信息系统安全威胁41

5.1.1 信息系统安全假设41

第5章 安全策略与模型41

5.1 信息安全环境41

5.1.3 信息系统安全策略42

5.2 信息系统安全目标43

5.2.1 信息系统安全的一般目标43

5.2.2 信息系统安全目标的说明43

5.3.3 安全认证需求44

5.4 计划安全系统44

5.3.4 安全需求的说明44

5.3.2 安全功能需求44

5.3.1 IT环境的安全需求44

5.3 信息系统的安全需求44

5.5 安全策略执行和人员45

第6章 系统安全结构47

6.1 银行信息系统安全总体结构框架47

6.1.1 金融信息系统平台(金融信息基础设施公共操作环境COE)体系结构48

6.1.2 FII COE安全服务体系结构框架49

6.1.3 银行信息系统平台安全防护总体结构框架50

6.1.4 银行信息系统安全检测总体结构框架51

6.1.5 银行信息系统安全反应总体结构框架51

6.2.1.1 通信系统物理安全52

6.2.1 通信系统安全防护结构52

6.2 通信系统安全结构52

6.2.1.2 通信系统防泄露和防截获53

6.2.1.3 通信系统加密53

6.2.1.4 通信系统抗拒绝服务53

6.2.2 通信系统安全检测结构54

6.2.2.1 通信信道断路检测54

6.2.2.2 通信连接检测54

6.2.3 通信系统安全反应结构54

6.3.1 计算机网络系统安全防护结构55

6.3.1.1 计算机网络物理安全和加密55

6.3 计算机网络系统安全结构55

6.3.1.2 计算机网络安全路由器56

6.3.1.3 计算机网络安全防火墙56

6.3.1.4 计算机网络安全网关58

6.3.1.5 计算机网络代理服务器58

6.3.1.6 计算机网络安全(访问控制)服务器59

6.3.1.7 服务器软件防火墙60

6.3.1.8 在网络设备的操作系统上设置网络安全防护服务套件60

6.3.1.9 IP的安全结构60

6.3.2 计算机网络系统安全检测结构60

6.3.2.3 WEB服务器已知漏洞检测61

6.3.2.2 TCP/IP 网络协议和网络服务已知漏洞检测61

6.3.2.1 计算机网络布线系统检测61

6.3.2.4 防火墙、代理服务器和访问控制服务器已知漏洞检测62

6.3.2.5 Intranet网络已知漏洞检测62

6.3.2.6 网络攻击实时监控63

6.3.2.7 网络数据流的实时监控63

6.3.2.8 网络检测服务套件64

6.3.3 计算机网络系统安全反应结构64

6.4 计算机硬件系统安全结构64

6.4.1 计算机硬件系统安全防护结构64

6.5 计算机操作系统安全结构65

6.5.1 计算机操作系统安全防护结构65

6.4.3 计算机硬件系统安全反应结构65

6.4.2 计算机硬件系统安全检测结构65

6.5.1.1 操作系统相当于C2级TCB66

6.5.1.2 操作系统相当于B级TCB66

6.5.1.3 操作系统安全加固套件66

6.5.2 计算机操作系统安全检测结构67

6.5.2.1 相当于C级操作系统已知安全漏洞检测67

6.5.2.2 相当于B级操作系统已知安全漏洞检测67

6.5.2.3 操作系统攻击实时监控67

6.6. 1数据库与应用系统安全防护结构68

6.6 数据库与应用系统安全结构68

6.5.3 计算机操作系统安全反应结构68

6.6.1.1 相当于C2级数据库与应用系统安全应用开发69

6.6.1.2 相当于C2级协同工作软件安全应用开发69

6.6.1.3 相当于B级数据库与应用系统安全应用开发69

6.6.1.4 相当于B级协同工作软件安全应用开发69

6.6.2.1 相当于C2级数据库系统已知安全漏洞检测70

6.6.2.3 数据库系统攻击实时监控70

6.6.2.2 相当于B级数据库系统已知安全漏洞检测70

6.6.2 数据库与应用系统安全检测结构70

6.6.1.5 应用软件安全防护服务套件70

6.6.3 数据库与应用系统安全反应结构71

6.7 信息加密和完整性结构71

6.7.1 加密算法71

6.7.2 信息完整性、抗抵赖技术——数字签名72

6.7.3 加密软件72

6.7.4 加密设备72

6.7.5 密钥管理73

7.3 鉴别75

7.2 配置管理75

7.3.1 一次性口令75

第7章 系统安全服务和过程75

7.1 安装75

7.3.2 Kerberos鉴别系统76

7.3.3 DCE分布式计算系统76

7.3.4 SESAME鉴别系统76

7.4 保密性76

7.5 完整性76

7.8 审计77

7.9 检测和监控77

7.10 安全事件处理77

7.7 授权和用户管理77

7.6 访问控制77

7.11 安全备份78

7.12 安全管理服务软件系统78

第8章 系统安全事件处理79

8.1 系统安全事件处理计划79

8.1.1 系统安全事件处理目标79

8.1.2 系统安全事件处理优先级80

8.2 记录系统安全事件80

8.3 系统安全事件核实与判断80

8.3.1 核实系统安全事件真实性80

8.3.2 判断系统安全事件类型和范围81

8.4.3 紧急恢复82

8.4.2 紧急消除82

8.4.4 切换82

8.4 系统安全事件现场处理方案选择82

8.3.3 判断系统安全事件危害性82

8.4.1 克制态度82

8.4.5 监视83

8.4.6 跟踪83

8.4.7 报警83

8.4.8 权力机关的反击83

8.5 系统安全事件处理服务和过程83

8.6.2 事件后恢复84

8.6.4 分析原因84

8.6.3 修补和弥补系统的脆弱性84

8.6.1 事件后消除84

8.6 系统安全事件后处理84

8.6.5 总结教训85

8.6.6 完善安全策略、结构、服务和过程85

8.6.7 系统安全事件责任85

8.6.8 系统安全事件处理通报85

第9章 系统管理、安全和操作人员87

9.1 安全员、管理人员和操作员87

9.1.1 系统安全员87

9.1.2 网络安全员87

9.2.2 网络安全员的职责88

9.2.1 信息系统安全员的职责88

9.2.3 系统管理员的职责88

9.1.4 网络管理员88

9.1.5 操作人员88

9.1.3 系统管理员88

9.2 安全员、管理人员和操作人员的职责88

9.2.4 网络管理员的职责89

9.2.5 操作人员的职责89

9.3 安全员、管理人员和操作人员的工作内容89

9.3.1 信息系统安全员(ISSO)的工作内容89

9.3.3 系统管理员的工作内容90

9.3.4 网络管理员的工作内容90

9.3.2 网络安全员的工作内容90

9.3.5 操作员的工作内容91

附录A 安全问题93

A.1 信息系统安全脆弱性和可腐败性93

A.1.1 信息系统安全脆弱性是体制性的94

A.1.2 信息系统安全模型的不完备性95

A.1.3 信息系统安全问题判断的复杂性95

A.1.4 信息系统安全的防护和检测机制96

A.2 信息系统安全威胁96

A.2.1 非授权注册和访问97

A.2.5 信息犯罪98

A.2.4 拒绝服务攻击98

A.2.2 篡改或破坏信息98

A.2.3 侵入攻击98

A.2.6 信息恐怖分子99

A.2.7 信息战争99

A.2.8 信息系统的攻击机制99

A.2.8.1 管理类攻击机制99

A.2.8.2 系统类攻击机制99

A.3.2 分布性100

A.3.3 备份性100

A.3.4 恢复性100

A.3.1 多样性100

A.3 生存性问题100

A.3.5 自主性101

A.3.6 可控性101

A.3.7 时代性101

A.3.8 可用性101

A.3.9 经济性101

A.4 计算机安全问题102

A.4.1 可信计算机系统102

A.4.1.1 可信计算机硬件系统102

A.4.3 数据完整性103

A.4.2 保密性103

A.4.1.3 可信计算机外部设备103

A.4.1.2 可信(安全)操作系统103

A.4.4 行为完整性104

A.4.5 安全核与可信计算基104

A.4.5.1 主体104

A.4.5.2 客体104

A.4.5.3 引用监控器104

A.4.5.4 抗篡改性105

A.4.5.5 访问控制的非旁路性106

A.4.6 自主访问控制107

A.4.5.6 可测试与可分析性107

A.4.6.1 授权108

A.4.6.2 口令108

A.4.6.3 文件访问控制108

A.4.6.4 访问控制表109

A.4.6.5 用户帐号109

A.4.7 强制访问控制109

A.4.8 安全标识111

A.4.8.4 完整性级别112

A.4.8.3 安全范畴112

A.4.8.2 安全级112

A.4.8.1 安全标识的类型与完整性112

A.4.8.5 完整性范畴113

A.4.8.6 可信主体113

A.4.9 客体重用113

A.4.10 识别与鉴别113

A.4.11 审计114

A.4.12 可信通路114

A.4.13 系统完整性114

A.4.14 可信设施管理115

A.4.15 可信恢复115

A.4.16.2 隐蔽时间通道116

A.4.17 安全测试116

A.4.16 隐蔽通道116

A.4.16.1 隐蔽存储通道116

A.4.18 可信文档117

A.4.19 系统漏洞检测117

A.4.20 系统漏洞消除117

A.4.21 系统攻击检测117

A.4.22 系统攻击反应117

A.5 计算机数据库与应用系统安全问题117

A.5.4 TCB子集118

A.5.3 数据库数据的完整性118

A.5.2 数据库保密性118

A.5.1 可信数据库系统118

A.5.5 TCB子集可信依赖关系119

A.5.6 数据库访问控制119

A.5.7 数据库漏洞检测120

A.5.8 数据库漏洞消除120

A.5.9 数据库攻击检测120

A.5.10 数据库攻击反应120

A.6 通信与计算机网络安全问题120

A.6.1.3 协同业务需要121

A.6.1.4 控制业务网络化的需要121

A.6.1.1 共享业务需要121

A.6.1.2 交换业务需要121

A.6.1 要求安全的业务121

A.6.2 可信网络122

A.6.2.1 可信网络结构122

A.6.2.2 可信网络设备122

A.6.2.3 安全网络协议123

A.6.2.4 安全网络服务123

A.6.2.5 网络安全机制123

A.6.4 网络信息的保密性124

A.6.3 网络安全鉴别124

A.6.6 网络的抗抵赖性125

A.6.7 网络访问控制125

A.6.5 网络的完整性125

A.6.7.1 分布网络访问控制126

A.6.7.2 集中网络访问控制126

A.6.8 传输安全和线路安全127

A.6.9 路由安全127

A.6.11.1 网络漏洞消除128

A.7 安全信息资源128

A.6.11.2 网络被攻击反应128

A.6.10.2 网络系统被攻击安全检测128

A.6.11 网络安全反应128

A.6.10.1 网络系统漏洞安全检测128

A.6.10 网络安全检测128

A.7.1 信息安全机构129

A.7.2 信息安全站点129

A.7.3 安全反应机构129

附录B 基于时间的PDR安全模型131

B.1 经典信息安全模型131

B.4 基于时间的PDR安全模型132

B.3 教训132

B.2 过时的防护思想132

B.5 系统暴露时间134

B.6 TBS和I A135

B.7 TBS和DoS136

B.8 TBS和加密136

B.9 TBS和访问控制136

B.10 时间表136

附录C 中国国家信息安全测评认证139

C.1 中国国家信息安全测评认证中心简介139

附录D 彩虹系列141

附录E ITSEC文档结构149

附件F ISO/IEC 15408 IT安全评估准则153

F.1 安全功能类别154

F.2 安全认证类别161

F.3 TOE评估认证级别类别165

F.4 预评估类别167

F.5 公共评估方法167

附录G 有关安全方面的RFC171

STD索引195

附录H 缩写词汇表203

热门推荐