LOGO面向金融行業(yè)的經(jīng)濟信息工程學(xué)院 個人介紹興趣領(lǐng)域信息系統(tǒng)安全各領(lǐng)域：密碼分析、協(xié)議驗證、網(wǎng)絡(luò)攻防等開放網(wǎng)絡(luò)中的隱私保護問題高性能計算在研項目國家自然科學(xué)基金項目電子商務(wù)協(xié)議交易相關(guān)安全屬性的形式化驗證 CNAPS原型系統(tǒng)項目 為什么要開這門課？ 安全問題的緊迫性信息系統(tǒng)已全面滲入到人們的工作、生活，各種基于信息系統(tǒng)的應(yīng)用開展的如火如荼。安全問題已經(jīng)成為了進一步推廣、普及這些應(yīng)用的最大障礙。而金融行業(yè)又由于其特殊性和敏感性，對安全問題更加重視。 “在有預(yù)謀的網(wǎng)絡(luò)犯罪中，90%以上集中在銀行、 證券和保險領(lǐng)域 ”金融行業(yè)等級保護研討會 金融行業(yè)的安全每年招商銀行花在信息安全方面的費用都超過一個億，仍在逐年遞增。國家銀監(jiān)會、證監(jiān)會每年都會檢查各家網(wǎng)上銀行、網(wǎng)上證券交易系統(tǒng)的安全。在奧運、國慶、世博等重大活動期間，保障網(wǎng)銀、證券交易等金融系統(tǒng)的安全是維穩(wěn)工作的重要內(nèi)容之一，具有很強的社會意義和政治意義。 桂敏杰副主席在今年維穩(wěn)會議上的講話中國資本市場大部分環(huán)節(jié)電子化，高度依賴計算機系統(tǒng)，信息系統(tǒng)的穩(wěn)定相當?shù)闹匾?。通過證監(jiān)會調(diào)研發(fā)現(xiàn)大部分公司“重業(yè)務(wù)，輕技術(shù)”，信息系統(tǒng)資金、人員投入不足，技術(shù)人員流失，主要是公司領(lǐng)導(dǎo)重視不夠，今后IT治理要作為公司治理的一部分。門戶網(wǎng)站，網(wǎng)上交易系統(tǒng)能力弱，存在嚴重的漏洞，有的公司網(wǎng)上交易軟件輕易被捆綁木馬病毒而不知道。有的公司門戶網(wǎng)與交易網(wǎng)在同一網(wǎng)段，能通過攻破門戶網(wǎng)而進入交易網(wǎng)，暴露客戶的信息。生產(chǎn)網(wǎng)、辦公網(wǎng)和門戶網(wǎng)沒有分開。核心系統(tǒng)、通訊、備份系統(tǒng)薄弱。 安全制度執(zhí)行力差。對關(guān)鍵系統(tǒng)安全監(jiān)控不足，有的公司網(wǎng)站已被攻破而渾然不知。有的公司為求方便，對維護廠商開通遠程維護端口。應(yīng)急預(yù)案操作性差。 什么是信息系統(tǒng)安全信息系統(tǒng)安全是指信息系統(tǒng)的硬件、軟件及其中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。信息系統(tǒng)的安全已成為當今社會關(guān)注的焦點和熱點，信息安全也成了國家重點發(fā)展的新興交叉學(xué)科，具有廣闊的發(fā)展前景。 這門課講什么？ 課程內(nèi)容實際案例貫穿整個課程，結(jié)合系統(tǒng)解決方案介紹各安全技術(shù)第1講 信息安全概述 第2講 密碼學(xué)基礎(chǔ) 第3講 認證技術(shù)身份認證、消息認證、認證協(xié)議 第4講 PKI公鑰基礎(chǔ)設(shè)施 第5講 訪問控制技術(shù) 第6講 網(wǎng)絡(luò)信息安全 Ipsec、SSL、Kerbero、PGP 第7講 網(wǎng)絡(luò)攻防技術(shù) 殺毒防毒、入侵檢測、漏洞掃描、安全審計 案例某證券公司網(wǎng)上交易系統(tǒng)安全解決方案 證券交易系統(tǒng)邏輯拓撲網(wǎng)上證券交易系統(tǒng)的網(wǎng)絡(luò)邏輯上分為幾個部分：交易代理部分、交易部分。 證券交易系統(tǒng)物理拓撲 系統(tǒng)安全體系結(jié)構(gòu)在信息系統(tǒng)安全體系的設(shè)計與實施過程中，整體安全意識及安全體系模型極為重要，只有具有清晰的模型構(gòu)建，才能夠從根本上有效地對系統(tǒng)所需要的安全建設(shè)進行分類和設(shè)計。 安全技術(shù)體系系統(tǒng)安全的實現(xiàn)是一個過程，在循環(huán)往復(fù)的由評估預(yù)警、安全防護、入侵監(jiān)控、應(yīng)急恢復(fù)等環(huán)節(jié)組成的生命周期中得到螺旋式的提高。安全體系中包括上述四個部分，同時安全管理將在根本上提供組織和制度的保障，對實現(xiàn)整個安全體系提供強大的支持 安全整體解決方案安全模塊安全需求安全技術(shù)實現(xiàn)方式目標效果安全管理規(guī)劃安全組織體系管理體系設(shè)計服務(wù)服務(wù)規(guī)劃安全組織架構(gòu)，設(shè)計安全制度規(guī)范，形成系統(tǒng)化的統(tǒng)一安全管理體系制定安全策略、制度系統(tǒng)提高員工安全意識和技能安全培訓(xùn)服務(wù)服務(wù)對xx公司技術(shù)人員進行系統(tǒng)的安全培訓(xùn)，提高安全意識和基本安全防范能力 評估預(yù)警定期自查安全隱患漏洞掃描系統(tǒng)產(chǎn)品部署漏洞掃描系統(tǒng)，定期進行脆弱性評估，及時發(fā)現(xiàn)服務(wù)器存在的嚴重安全隱患和漏洞避免遭受最新流行的攻擊威脅預(yù)警通告服務(wù)服務(wù)采用預(yù)警通告服務(wù)，提供最新發(fā)布的漏洞、威脅、安全公告及應(yīng)對措施，提醒技術(shù)人員關(guān)注最新的安全信息，避免安全事件的發(fā)生防患于未然 安全整體解決方案安全防護邊界防護與訪問控制入侵防護系統(tǒng)產(chǎn)品在網(wǎng)絡(luò)邊界部署具有防火墻功能的IPS，作為訪問控制手段，隔離不同的網(wǎng)絡(luò)區(qū)域，避免安全影響擴散避免DDoS攻擊專用防DDoS系統(tǒng)產(chǎn)品在互聯(lián)網(wǎng)出口部署防拒絕服務(wù)系統(tǒng)，提高服務(wù)器對DDoS攻擊的抵抗能力，保證業(yè)務(wù)的可用性和連續(xù)性業(yè)務(wù)保障與行為控制流量管理與控制產(chǎn)品在互聯(lián)網(wǎng)出口部署流量管理系統(tǒng)，根據(jù)策略控制帶寬資源，確保關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)帶寬，阻斷和限制非關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)流量終端的管理/補 丁/監(jiān)控內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品在網(wǎng)絡(luò)內(nèi)部署內(nèi)網(wǎng)管理系統(tǒng)，實現(xiàn)對所有終端的安全管理/補丁分發(fā)，避免終端泄露重要信息或引入安全風險帳號與口令安全多因素動態(tài)口令認證產(chǎn)品使用雙因素口令認證系統(tǒng)，防止弱口令、口令泄露等造成的危害，解決口令難記的問題信息系統(tǒng)脆弱性修補安全加固服務(wù)服務(wù)根據(jù)漏洞掃描評估結(jié)果，采用安全加固服務(wù)，對服務(wù)器弱點進行安全性增強，將安全隱患消滅在爆發(fā)之前 安全整體解決方案入侵監(jiān)控黑客入侵的檢測與防護入侵檢測/防護系統(tǒng)產(chǎn)品部署入侵檢測系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)流量的實時監(jiān)控，發(fā)現(xiàn)異常及時阻斷和告警，保護重要系統(tǒng)免遭侵害異常事件的預(yù)警和追蹤日志審計系統(tǒng)產(chǎn)品使用日志審計系統(tǒng)，定位系統(tǒng)軟硬件故障、網(wǎng)絡(luò)問題、入侵攻擊行為和對數(shù)據(jù)進行恢復(fù) 應(yīng)急恢復(fù)重大安全事件的處理跟蹤應(yīng)急響應(yīng)服務(wù)服務(wù)采用應(yīng)急響應(yīng)服務(wù)，協(xié)助解決突發(fā)嚴重安全事件，盡快恢復(fù)系統(tǒng)的可用性，并對事件進行分析和處理快速準確處理日常安全事件安全咨詢服務(wù)服務(wù)采用安全咨詢服務(wù)，協(xié)助技術(shù)人員解決日常工作中的安全問題，給出安全問題的分析方法和處理建議 這門課的特點？ 授課對象本課程涉及密碼算法、消息認證、數(shù)字簽名、身份認證、訪問控制技術(shù)以及熱門網(wǎng)絡(luò)攻防技術(shù)。課程授課對象為經(jīng)濟信息工程學(xué)院計算機科學(xué)技術(shù)專業(yè)、電子商務(wù)專業(yè)和商務(wù)智能專業(yè)高年級本科生和研究生。在學(xué)生已具備一定的數(shù)學(xué)和邏輯知識、已掌握一定操作系統(tǒng)基礎(chǔ)原理、數(shù)據(jù)庫基礎(chǔ)原理、網(wǎng)絡(luò)基礎(chǔ)原理的基礎(chǔ)上，由淺入深地對信息系統(tǒng)安全的各方面進行學(xué)習。 通過學(xué)習這門課程使學(xué)生具備信息系統(tǒng)安全防護與保密等方面的理論知識和綜合技術(shù)，符合金融行業(yè)對高素質(zhì)復(fù)合型人才的需求。增強信息系統(tǒng)安全意識，培養(yǎng)信息安全職業(yè)道德。理解并掌握信息系統(tǒng)安全的基本要素。理解信息系統(tǒng)安全遭受的各種威脅及相應(yīng)的防護技術(shù)。 理論與實踐的結(jié)合整體與局部的把握課程特色服務(wù)金融行業(yè) 與其他課程的聯(lián)系與區(qū)別OS安全物理安全管理安全網(wǎng)絡(luò)安全 應(yīng)用安全DB安全 LOGO經(jīng)濟信息工程學(xué)院 劉家芬