美国金融业信息保障战略(待续)

信息安全概念发展到“信息保障”之后,信息的安全属性已经与有效的信息安全管理密不可分。美国政府在信息保障工作方面进行了长期的实践,在总结了大量的经验、教训的基础上,制定了美国信息保障国家战略。日前,信息安全国家重点实验室翻译了这部战略中的大部分文件,本刊将分三部分就金融业信息保障战略的主要内容和相关背景材料作详细介绍。     

美国《信息系统保护国家计划》执行摘要(待续)

美国政府2000年制订的21世纪《信息系统保护国家计划》在信息安全发展史上是一篇具有里程碑意义的文档，我们在上一期杂志中刊登了对这篇计划的介绍分析后，很多读者和单位对此非常关心，纷纷来信来电表示希望能看到原文。为此，经与信息安全国家重点实验室协商，我们在本期开始对这篇计划的执行摘要进行连载，以飨读者。这项工作受到了国家973计划的资助，有关部门领导对这篇计划的翻译与研究工作极为关注，我们希望这篇执行摘要的刊登将进一步推动我国的信息安全保护工作，也希望会对我国金融电子化、信息化的过程产生积极的促进作用。“十五”期间，计算机安全与金融风险防范是摆在金融界面前极为重要的课题，人民银行正在组织制订有关计算机安全的“十五”规划以及信息安全的总体框架，我们相信，这篇摘要的刊出对金融系统的计算机安全及信息安全工作同样具有借鉴意义。     

美国《信息系统保护国家计划》执行摘要(续前)

内容２：检测攻击和非法入侵。 第二项内容为我们的敏感的计算机系统安装了多层保护，包括先进的防火墙、入侵检测监控器、异常行为识别器、企业级管理系统和恶意代码扫描器。为了保护关键的联邦系统，计算机安全操作中心（先是在国防部，然后是与其他联邦机构相协调的联邦入侵检测网络［ＦＩＤＮｅｔ］）将收到这些检测设备发来的警告，也可以从计算机应急响应组（ＣＥＲＴｓ）或其他途径获得攻击警告，用来分析并协助各站点抵御攻击。 我们确认和矫正脆弱性的工作能够延缓但不能阻止对信息系统的恶意入侵。通用软件仍将继续具有脆弱性，不…     

美国《信息系统保护国家计划》简析

信息技术为人类社会带来了巨大变革，但同时也使世界各国面临严峻的信息系统保护任 务 。美国作为信息时代的领头羊，在信息安全保护领域具有世界领先水平。2000年1月,美国发 布了《信息系统保护国家计划》,此举引起了世界各国的广泛关注。本文特别就该计划作一 简要叙述,以飨读者。     

美国《信息系统保护国家计划》执行摘要(续前)

内容6:为支持内容1～5,加强研究和开发. 第6项内容系统地确立了实现这个计划所必需的研究要求和优先级顺序,确保了这些研究的资金来源,而且,该步骤中还建立了一个系统,用来保证我们的信息安全技术始终紧跟整个信息系统中威胁的变化.     

美国金融业信息保障战略(续前)

第三部分脆弱性评估一、评估与评估方法1.1997年11月,BAH(Booz-AllenHamilton)对美国的金融服务部门进行了一次脆弱性评估。这是在宏观层次上对金融服务部门脆弱性问题进行的为数不多的研究之一。BAH报告涉及关键资产确定、部门元素、影响金融服务部门风险暴露情况的工业发展趋     

美国金融业信息保障战略(待续)

第二部分战略正文 美国金融行业现阶段安全工作重点 为解决脆弱性问题,金融行业各部门必须积极制定联合解决方案.方案中必须解释个人机构业务连续性计划范围以外的问题.这样的合作将使企业能在整体上解决由基础设施面临的威胁所带来的潜在影响.主要措施包括:①建立金融服务信息共享和分析中心(FS/ISAC),共享有关威胁、脆弱性和事件的信息;②BITS产品认证程序(全名为BITS金融服务安全实验室),根据特定标准和产品档案进行测试,以确定金融行业的安全目标和要求;③美国银行家协会(ABA)和证券工业协会(SIA),致力于保护客户的数据、防止洗钱活动和认证金融交易;④在整个证券行业实施证券工业协会业务连续性计划;⑤设定安全标准,增加行业安全意识.