i.
……
支行A 2017/8/14
支行B
支行C
支行D
支行E
支行F
数据备份
主备份服务器 下达备份指令 下达备份指令 磁带库/存储2
Security Team
备份数据流写入磁带/磁盘2
远程备份
备份数据流写入磁带/磁盘1 磁带库/存储1 分支行前置服务器
执行指令 备份数据流
执行指令
总行前置
网银前置
ATM前置
操作平台
网络平台（网络设备、安全产品、网络协议、网络软件）
Internet
2017/8/14
背景介绍
信息化智能化是必然趋势
Security Team
然而，技术革新带来巨大效益的同时，也带来了新的安全威胁
数据安全 威胁
环境安全 威胁 网络安全 威胁
应用安全 威胁
系统安全 威胁
2017/8/14
应急处置类
2017/8/14
预判检测类
物理层面 供电质量检测、温湿度检测、防雷检测、消防检测 、电磁检测、尘埃检测、气体检测、照度检测、噪 声检测等 其他层面 端口扫描、漏洞扫描、木马病毒检测、安全配置核
Security Team
查、性能检测、WIFI安全检测、终端安全检测、源
代码安全检测、网络安全检测、系统安全检测、应 用安全检测等
Intranet
分支机构
联动防火墙、IPS IDS 终止连接
外部攻击
2017/8/14
入侵检测（二）
分行A
Security Team
DMZ 核心区 网银区 外联区 。。。
中继 路由
Internet
分行B
分行C
内部攻击行为
Intranet
联动防火墙、 IPS 分行D 终止连接 IDS
记录事件并告警!
开源改变世界
信息安全培训课程
——安全技术体系
Security Team
内容提纲
安全技术体系 概述
背景介绍、定义 安全模型、体系架构 身份鉴别及认证技术 访问控制技术 信息安全 技术 加解密技术 入侵检测技术 病毒防护技术等等 体系实现思路 整体落地方案
Security Team
安全技术体系
安全技术体系 实现
系统层威胁
数据层威胁
监测
PRMAD多层模型
应用层威胁
2017/8/14
PRMAD多层安全技术体系架构
安全层次 供 配 物理层 电 身 份 鉴 别 证 认 温 湿 度 控 制 访 问 控 制 抗 抵 赖 预 数据层 过 分 应 安全机制
2017/8/14
Security Team
静 电 防 护 安 全 审 计 判 资 源 控 制
定义 用于精确地和形式地描述信息系统的安全特征，以 及用于解释信息系统安全的相关行为 作用 准确描述安全的重要方面与系统行为的关系 提高对成功实现关键安全需求的理解层次 主要的安全模型包括： 多维安全模型、IATF模型、OSI模型、PDR模型、
Security Team
PPDRR模型、WPDRRC模型
过程监测及分析溯源类
物理层面 漏水检测、供电监测、UPS监测、电池监测、发电 机监测、温湿度监测、消防监测、防盗报警、视频 监控、气体监测等 其他层面 安全审计、入侵检测、性能监测、故障监测等
安全机制
安全服务
2017/8/14
PDR模型
Security Team
2017/8/14
PPDRR模型
Security Team
恢复 Recovery
防护 Protection
策略 Policy
响应 Response
检测 Detection
2017/8/14
WPDRRC模型
Security Team
威胁无处不在
木马后门 黑客渗透 操作风险 病毒和蠕虫 流氓软件
Security Team
拒绝服务 系统漏洞
信息资产
社会工程
硬件故障 地震
网络通信故障 雷雨
供电中断
失火
因此建立安全技术体系成为必然
2017/8/14
安全技术体系定义
是由相互联系、相互作用的安全要素组成，以保障信息
Security Team
Server
验证 通过
验证用户名 与口令
Permission
R RW
Username Password
椰子 芒果 123abc 13579
香蕉
草莓
24680
111aaa
RE
RWE
End user
2017/8/14
身份鉴别（二）
基于生物特征 Workstation 发送特征信息，发起登录请求 返回登录请求，允许登录 读取 特征 信息 获得 特征 信息
internet
验证签名 证实数据来源真实可靠
lili
2017/8/14
数据完整性校验
10001010 10001010
Security Team
Hash 10010001 01010010 10000100 00001101 10001010 10010001 01010010 10000100 00001101 10001010
预警W
保护P
技术 策略 反击C 人员 检测D
恢复R
响应R
2017/8/14
OSI体系架构
信息系统安全体系框架
培训 培训
安 全 策 略 与 服 务
Security Team
OSI 安全服务 物理 系统 密 状态 入侵 安全 钥 检测 检测 安全 安全 安全机制 管理 管 理 审计 OSI安全技术 运行环境及系统安全技术 技术管理 技术机制
2017/8/14
多维安全模型
可 安全服务 用 性 完 整 性 保 密 性 可 鉴 别 抗 抵 赖
Security Team
传输
存储 安全措施 处理 信息状态
2017/8/14
运行 人员 技术
IATF模型
Security Team
安全管理
安 全 管 理
安全策略
安 全 管 理
安全管理
2017/8/14
Security Team
Server
读取 用户 信息 读卡器
获得 用户 信息
Username xiaoxiao dada changchang duanduan
验证 通过
Information 1111 2222 3333 4444
验证 用户 身份
Permission R RW RE RWE
2017/8/14
技术标准和规范 技术机制 技术产品 技术管理
运行操作管理
防护
OS安全 访问控制
检测
入侵检测 病毒检测
响应
应急响应 事件处理
恢复
备份 恢复
防火墙
数据加密 认证授权
2017/8/14
安全审计
漏洞扫描
调查取证
设备联动
Security Team
2017/8/14
身份鉴别（一）
基于用户名、口令
Security Team
2017/8/14
Security Team
2017/8/14
前言
PC客户端 移动客户端 WEB客户端 信息流
Security Team
近年来，信息技术的快速发展和广泛 应用，给国家带来了巨大的社会效益 和经济效益。
信息流
信息流
网上银行 手机银行 支付平台
其他APP
应用客户端
核心系统
应用服务端
操作平台
边界防护
用户A
2017/8/14
分支机构B
分支机构A
访问控制（二）
Access list 16.1.1.2 to 192.168.1.2 基于源IP地址 基于源端口 基于目的端口 基于时间
Security Team
基于用户
Access nat 192.168.2.0 to any pass
2017/8/14
加固防护类
物理层面 供配电、温湿度控制、静电防护、防雷接地、消防 、电磁防护、门禁控制、照明、隔音降噪、防尘、 防腐蚀、有毒气体过滤等 其他层面 身份鉴别、认证、访问控制、抗抵赖、资源控制、
Security Team
入侵防御、加密、病毒防护、数据防护、补丁分发
等
2017/8/14
管 理 体 系
制度
技术体系
法律
机 构 岗 位 人 事
组织体系
2017/8/14
P-POT-PDRR体系架构
信息安全策略
策略/标准/指南/程序 法律法规/行业规范 合同条约
Security Team
文 档 化 管 理
人员
组织架构 角色责任 意识培训 人员管理
操作
评估/实施/维护/监 视/检测/审计
技术
一切OK，恢复成功
按照提示插入系统光盘
2017/8/14
Security Team
2017/8/14
一种安全技术体系
物理层威胁
网络层威胁
Security Team
Predict
（预测）
处置
预测
Reinforce（加固）
Monitor （监测）
分析
技术体系
加固
Analysis （分析） Dispose （处置）
核心数据库
网银数据库 手机银行数据库
信贷数据库
不管是什么样的数据平台，专业备份软件能使用统一的数据格式进行备份
2017/8/14