金融信息安全(11)-系统运营中的风险管理
金融业信息科技风险的管理.doc
信息科技风险管理办法第一章总则第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。
第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引是由中国人民银行出台的金融机构信息系统风险管理的指导性文件,旨在为银行业和其他金融机构提供风险管理指导。
该指引概括了银行业金融机构信息系统风险管理的原则、方法和要求,以帮助金融机构更好地管理信息系统风险。
一、原则银行业金融机构信息系统风险管理要求,金融机构必须坚持“安全第一、合规第一”的原则,以安全、可靠、高效的信息系统实现信息安全管理,促进信息安全和服务质量的持续改进。
二、方法(1)金融机构要建立健全信息系统风险管理体系,明确信息系统风险管理职责,建立相应的管理机制,增强信息系统风险意识,完善风险监测和评估体系,加强风险处置能力。
(2)金融机构要建立完善的信息系统安全防护体系,实施和完善信息系统安全防护措施,加强应用系统的安全管理,健全应用系统安全防护策略,并定期进行安全测试和审计,确保信息系统能够正常运行。
(3)金融机构要建立完善的信息系统维护体系,健全信息系统运维政策和流程,完善信息系统管理制度,提高信息系统管理水平,加强信息系统运维监控,保障信息系统正常运行。
三、要求(1)金融机构要结合自身实际,制定信息系统风险管理规范和措施,健全信息系统风险管理框架,细化信息系统风险管理流程,实施信息系统风险管理政策,加强信息系统风险管理,保障信息系统安全运行。
(2)金融机构要定期开展信息系统风险管理考核,积极推进信息系统风险管理持续改进,不断提高信息系统风险管理水平,保障信息系统正常运行。
(3)金融机构要实施信息系统风险管理责任制,将信息系统风险管理纳入内部管理制度,严格执行信息系统风险控制要求,保障信息系统风险管理的有效实施。
以上就是银行业金融机构信息系统风险管理指引的详细说明,通过坚持“安全第一、合规第一”的原则,建立健全信息系统风险管理体系,实施和完善信息系统安全防护措施,建立完善的信息系统维护体系,实施信息系统风险管理责任制,金融机构可以更好的管理信息系统风险,进而保障信息安全和服务质量的持续改进。
2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目含解析
2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()A、2019B、2017C、2016D、20212、当发生不符合时,组织应()。
A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果3、()是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由()A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前,用投资项问商的私钥数字签名邮件D、电子邮件发送前,用投资顾向商的私钥加密邮件7、管理者应()A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的处理方式不包括()A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑:()A、区域内信息和资产的敏感性分类B、重点考虑计算机机房,而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指()A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人,实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么中哪一项不是针对该问题的纠正措施?()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时,可以不考虑的因素是()A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中,支持性基础设施指:()A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有()A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应()A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准,不属于第三方服务监视和评审范畴的是()。
银行网络金融安全与个人信息保护考核试卷
4. ×
5. ×
6. ×
7. √
8. ×
9. √
10. ×
五、主观题(参考)
1.银行网络金融安全关乎用户资金安全和银行声誉,常见威胁包括黑客攻击、内部泄露、钓鱼网站等。
2.在网络金融活动中,应明确告知用户信息收集目的,获取用户同意,最小化收集信息,并采取加密措施保护信息。
3.应急响应流程包括监测、评估、处置和总结。银行应建立应急团队,制定预案,定期演练,提高应对能力。
8.所有网络金融交易都必须进行二次验证以确保安全。()
9.网络安全演练是评估银行网络金融安全的有效手段。(√)
10.银行网络金融安全的风险管理可以由非专业人士负责。(×)
五、主观题(本题共4小题,每题5分,共20分)
1.请简述银行网络金融安全的重要性及其面临的常见威胁。
2.结合个人信息保护法,阐述在网络金融活动中应如何保护消费者的个人信息。
16.以下哪些技术可以用于保护银行网络的边界安全?()
A.防火墙
B.入侵检测系统
C.虚拟专用网络
D.网络隔离
17.以下哪些措施可以提升银行网络金融安全的应急响应能力?()
A.制定应急预案
B.进行应急演练
C.建立应急响应团队
D.定期评估应急响应效果
18.以下哪些因素可能导致银行网络金融安全的风险增加?()
12. B
13. B
14. A
15. D
16. A
17. C
18. D
19. A
20. D
二、多选题
1. ABC
2. ABCD
3. ABCD
4. ABCD
5. ABCD
6. ABC
7. ABCD
笔试题(一)一、单选题(50分,共50题,每题1分)
笔试题(一)一、单选题(50分,共50题,每题1分)1、EN-DC中,下面哪种测量目前协议未定义()AMCG下进行2/3G邻区测量BMCG下进行LTE邻区测量CSCG下进EN-DC中,下面哪种测量目前协议未定义()A、MCG下进行2/3G邻区测量B、MCG下进行LTE邻区测量C、SCG下进行LTE邻区测量D、SCG下进行NR邻区测量2、EN-DC中,MCG进行NR邻区测量使用的参考信号()ASSB RSBCSI-RSCC-RSDDM-RS EN-DC中,MCG进行NR邻区测量使用的参考信号()A、SSB RSB、CSI-RSC、C-RSD、DM-RS3、SRB3未建立时,SCG的测量结果,UE通过下面哪条消息上报给网络()A、MeasurementReportB、RRCConnectionReconfigurationCompleteC、RRCReconfigurationCompleteD、ULInformationTransferMRDC4、关于SS/PBCHBlocks的描述正确的是()A、SS/PBCHBlocks的周期可以是5/10/20/40/80/160ms;B、SS/PBCHBlock的传输是在1个系统帧的时间窗内;C、SS/PBCHBlocks传输窗内最大数目的SS/PBCHBlock可以是16;D、EN-DC下,若SS/PBCHBlocks的周期没有定义,则默认的周期为20ms;5、根据《网络安全法》的规定,()应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
A、电信企业B、电信科研机构C、网络合作商D、网络运营者6、国家建立网络安全监测预警和()制度。
国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
A、信息共享B、信息输送C、信息传达D、信息通报7、国家建立和完善网络安全标准体系。
()和国务院其他有关部门根据各自的职责,组织制订并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
中国银监会办公厅关于重要信息系统运行风险提示的通知-银监办发[2010]43号
![中国银监会办公厅关于重要信息系统运行风险提示的通知-银监办发[2010]43号](https://img.taocdn.com/s3/m/ff3cc1efbb0d4a7302768e9951e79b89680268ba.png)
中国银监会办公厅关于重要信息系统运行风险提示的通知正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 中国银监会办公厅关于重要信息系统运行风险提示的通知(银监办发〔2010〕43号)各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:2010年2月3日上午11点,民生银行核心系统数据库发生故障,核心系统服务停止,全国范围内柜面等各项业务停顿,至下午15时20分系统恢复。
此次故障的诱因是该行某分行当日凌晨发起大批量交易,使数据库出现长事务警告,进而导致数据库挂起、不能接受访问,但技术层面的根源在于核心系统超期服役、版本老化和系统负载过重,该行在重要信息系统运行维护和应急管理方面存在薄弱环节。
目前对事件仍在调查中,为防范该类事件再次发生,现将有关风险提示通知如下:一、加强核心系统更新和升级换代的风险管理,提高风险管控能力此次民生银行核心系统故障反映了银行业信息科技建设、管理滞后于业务发展的突出矛盾,折射出银行业在核心系统建设过程中普遍存在的风险隐患和问题。
一方面,业务交易量高速增长,对信息系统运营管理能力产生了巨大的压力;另一方面,新的核心系统建设过程中,老核心系统不能及时升级、更新,信息科技风险敞口不断扩大。
为此,各银行业金融机构要提高认识,严守风险底线,确保系统安全稳定运行;要加强核心系统更新和升级换代的风险管理,做好新旧系统的衔接工作;要在新系统上线前加强对旧系统的运行监控、安全管理和维护;要加强项目管理,严格控制新系统的项目延误风险,做好充足的风险应对准备;要做好新旧系统切换的规划工作,保障系统平稳过渡,特别是对分步实施的系统更新,要做好新旧系统并存期间的风险管控。
银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
2022年网络与信息安全技能竞赛题库208题并附全部答案
2022年网络与信息安全技能竞赛题库208题并附全部答案2022年网络与信息安全技能竞赛题库208一、单项选择题(90道)1、国务院于哪年的6月28日印发了《关于大力推进信息化发展和切实保障信息安全若干意见》()A、2022B、2022C、2022D、20222、2022年12月28日,由哪个机构通过了关于加强网络信息保护的决定()A、国务院B、全国人大常委会C、工信部D、国家网络与信息安全协调小组3、下列关于我国涉及网络信息安全的法律说法正确的是()A、在1979年的刑法中已经包含相关的计算机犯罪的罪名B、《关于维护互联网安全的决定》是我国目前为止直接规范网络信息安全的效力最高的法律文件C、2003年全国人大常委会审核通过了《中华人民共和国电子签名法》D、《中华人民共和国电子签名法》的实施年份是2004年4、我国哪部法律法规对禁止以计算机病毒或者其他方式攻击通信设施,危害网络安全和信息安全等行为作出了详细规定()A、《中华人民共和国信息安全法》B、《中华人民共和国电信条例》C、《中华人民共和国计算机信息系统安全保护条例》D、《中华人民共和国个人信息保护法》5、我国第一部保护计算机信息系统安全的专门法规是()A、《计算机信息网络国际联网管理暂行规定》B、《中华人民共和国信息安全法》C、《中华人民共和国电信条例》D、《中华人民共和国计算机信息系统安全保护条例》6、不属于《中华人民共和国保守国家秘密法》中第48条规定的违法行为的选项是()A、未经他人同意而在互联网上公开他人隐私信息的行为B、通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的行为C、在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的行为D、擅自卸载、修改涉密信息系统的安全技术程序、管理程序的行为7、《中华人民共和国电子签名法》的实施时间是()A、1994年2月28日B、2004年8月28日C、2005年4月1日D、2005年6月23日8、下列哪部法律法规从法律层面规定了国际联网、互联网络、接入网络等信息技术术语()A、《计算机信息网络国际联网管理暂行规定》B、《中华人民共和国计算机信息系统安全保护条例》C、《计算机信息网络国际联网管理暂行规定实施办法》D、《中华人民共和国电信条例》10、下列哪个选项不是全国人民代表大会常务委员会在2000年12月颁布实施的《关于维护互联网安全的决定》中规定的犯罪行为()A、损害互联网运行安全B、扰乱社会主义市场经济秩序和社会管理秩序C、对个人造成精神创伤D、破坏国家安全和社会稳定11、计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行()等处理的人机系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 管理和维护失效和例外
– 跟踪记录系统维护方面的问题,以便标识需要额外关 注的地方,内容包括对正常管理及维护程序的例外情 况的描述,其中包括该例外情况出现的原因和持续的 时间。
– 对系统运行过程中出现的故障,能从系统软件、应用 软件等不同层次提供故障码。特别是应用系统应该提 供故障点、诊断信息以及故障库等。
– 相关的硬件和软件的性能/价格比变化。跟踪所有IT资源的分配成 本,包括但不限于此:
• 硬件、 外围设、线路、 应用开发和支持、 行政管理的开销、• 外部 卖主的服务成本、维护
• 系统选择
– 分析不同的成本分类的性能和关于成本效益的外部基准,以便允 许与行业预期或可选择的服务来源进行比较。
– 同时注意不应过于依赖于同一个供应商。
– 在此策略中,投资较大,需要数据备份的主机或后备运行主机, 如果采用数据通信方式传送关键数据,还有一定的通信费用支出。
– 此外,在此策略中,孤立数据与定期备份+关键数据备份策略一 样多。
数据备份策略
– (4)实时备份异步更新
• 数据更新操作的日志在被记录进运行系统日志的同 时,通过数据通信线路传送到灾难备份系统,并立 即对备份系统的数据影像拷贝进行更新。
– 在核心的自动化规则比如可用性、安全、优化和预先配置之间进 行协调,根据应用的优先级自动分配资源,确保需求达到峰值时 的应用服务水平。
• 在年终结算的业务高峰期,只需一个简单命令,就可以把其他设备聚 合成一台超大设备,集中所有资源,全面应对峰值业务。而在平时, 则可把闲置资源用于人事系统、办公系统等。
– 在使用时,考察基准程序是否符合企业真实的业务流程和运作模式。当 同样的主机用在不同的系统中时,tpC值可能有相当大的变化。
• 选择主机
– 主机系统应该具备与业务规模和特点相适应的处理能力。
• 主机系统的处理要求应与每笔业务所消耗的主机CPU处理能力和系统 要求达到的单位时间内的交易笔数相关。
• 由于某种特殊情况的出现,可能导致突发性的业务尖峰,为了避免由 于业务出现的突发尖峰导致系统崩溃,我们需要对资源的占用作出相 应的控制。
– (2)基础数据(INFRASTRUCTURE DATA)
• 基础数据主要是指保证应用系统正常运行所使用的系统目录、用户 目录、系统配置文件、网络配置文件、应用配置文件、存取权限控制 等。基础数据随应用系统运行环境的变化而变化,一般作为系统档案 进行保存。
– (3)应用数据(APPLICATION DATA)
• 对不同的数据类型应根据其易变性采取不同的备份周期。
– (2)定期备份+关键数据备份
• 除对数据作定期备份之外,还更新数据的日志或流水等关键数 据及时地备份下来传送到安全的地方,关键数据备份的时间间 隔比定期备份要短,也可以是实时备份。
• 数据库管理系统一般支持此种策略,可以用归档/备份工具作 定期备份(如informix的0级备份),同时采用日志备份工具 对日志作及时备份(如informix的逻辑日志连续备份)。
– (8)遗失数据(LOST DATA)
• 是指无法恢复或弥补的数据。
数据类型特点
快
临时数据
应用数据
数据变化与更
(数据量)
大
数据量增长速度、数据变化频率关系示意图
数据备份策略
• 根据采取的数据备份技术和数据备份方式可以将 数据备份策略分为以下几类:
– (1)定期备份
• 指按一定的时间间隔(一般为一天)将系统某一时刻的数据备 份到磁带等介质上。
– 确保所有雇员、合同工和第三方用户都意识到信息安全威胁、利 害关系、责任和义务。
– 加强对从业人员,特别是一线员工的业务培训,促使员工熟练掌 握各业务环节的操作规范,减少或避免出现操作失误。
– 明确解聘责任,要求返还资产,去除访问权限,确保雇员、合同 工和第三方用户按照既定方式离职或变更职位。
日常管理例程
• 关联
– 安全事件报告 – 风险实时控制
• 基于范例的推理
TPC
• TPC(TransactionProcessing PerformanceCouncil,事务处理性能委 员会)制定商务应用基准程序(Benchmark)的标准规范、性能和价格度 量,并管理测试结果的发布。TPC-C是在线事务处理(OLTP)的基准 程序。
端不可用时,使用手工压卡机进行信用卡交易。这是应用级冗余的例子。
• 不同层次使用不同的机制,用于不同的目的。
– 冗余磁盘不能防止恶意程序员删除账户文件
– 备份不能阻止它插入越来越多的错误,更不能保护数据的机密性。
系统选择标准
• 系统配置的考量标准
– 一是性能和容量方面的要求,对资源性能、应用规模和工作量需 求方面的数据进行收集、分析和报告,
– 主机、网络设备、前置机等关键易损件是否有备份.硬件如多CPU和硬盘 镜像并行服务器、 廉价磁盘冗余阵列 (RAID s)。
– 通过通信端口备份 ,可提高网络响应速度,实现网络容错和恢复。
– 操作系统、中间件、数据库系统和应用系统应能提供安全恢复机制,例 如,数据库的日志和锁定。
– 应用备用系统
一般来说,可实现的服务级别要低。例如,当电子终
• 关键系统如芯片、操作系统、主要应用软件的国产化问题。 • 十五期间,中科院计算所将在通用CPU设计上取得重大突破,表明
Linux操作系统在银行应用也是可行的。目前关键的问题 是组织力量 开发与IBM公司软件相当的大型应用软件。
提高主机的利用效率
• IT虚拟化技术 可达到多操作系统平台上的集成虚拟化:
– (5)数据库数据(DATABASE DATA)
• 是指通过数据库管理系统(DBMS)来进行存取和管理的数据。
– (6)非数据库数据(NON-DATABASE DATA)
• 是指通过文件管理系统等非数据库管理系统来进行存取和管理的数 据。
– (7)孤立数据(ORPHAN DATA)
• 是指从最后一次应用数据备份后到事件发生、系统运行停止前未备 份的数据。这部分数据通常需要通过人工等方法重新录入到系统中。 一般情况下,孤立数据越多,系统恢复的时间就越长,业务的停顿时 间也就越长。孤立数据的多少与数据备份的周期有很大关系。
– 能够将用户的资源利用率从平均20%提升到50%,并减少30%40%的管理时间。
– 更重要的是,即使某个部分出现故障,适应性IT系统也能自动调 用资源,接管相应计算,避免因故障而宕机,实现不间断稳定的 业务运行。
网络配置
• 网络负担是影响系统成败的一个重要因素。 • 线路
– 检查可供客户使用的容量,采取必要的措施保证接入线路的通畅, 并采用适当的备份和负载均衡技术,保证客户服务的可用性。
– 网点合法性管理、网络隔离、网络运行监控管理、网络信道安全 管理、网络设备设施安全管理等内容
– 操作系统安全管理主要包括系统管理员级别划分、访问权限控制 管理、日常维护安全管理、故障诊断及处理、审计跟踪等几方面 内容
日常操作
– 数据库访问控制管理、数据备份管理、数据使用授权 管理、数据存储时限管理、数据密级管理等
数据备份策略
• 此方式孤立数据较定期备份方式要少得多。但是,数据恢复的 时间仍然较长。有时仍需要依靠纸质凭证或其他介质来恢复孤 立数据。
– (3)关键数据备份连续恢复
• 在备份系统中,装有运行系统的数据影像拷贝,关键数据及时 地抽取后,立即在备份系统上更新数据库。
• 由于备份中心已将数据恢复到最近的状态,数据组织形式与运 行系统相同,因而恢复时间将缩短很多。
– 操作规程最初的时间安排以及这些时间安排的变更,应被适当地 授权。
– 通过归档、定期地测试以及根据需要进行调整,IT管理层应确保 操作人员对启动程序和其它操作任务足够的熟悉和自信。
– 管理模式和管理措施应随着业务的变化和客观环境的需要进行调 整、补充和完善。
• 针对不同安全岗位的操作管理
– 对重要设施设备的接触、检查、维修和应急处理,应有明确的权 限界定、责任划分和操作流程。
系统运营中的风险管理
李改成 lgc@
主要内容
• 资源配置和优化 • 系统切换 • 日常运行
– 管理例程、日常操作
• 备份和恢复
– 数据备份、数据恢复 、安全恢复 – 灾难恢复
• 灾难恢复层次 恢复指标 成本-效益分析
• 安全事件管理
– 流程
• 安全事件管理工具
– 审计、安全警报、审计日志 – 事件分析
• 网络设备
– 所有关键网络设备如交换机、路由器等均采用双机冗余热备份措 施
– 采用优先级队列、数据压缩等技术灵活有效地利用带宽。
• 密码加速设备
– 解决对CPU资源过量需求的安全协议所造成的性能问题。
日常管理例程
• 人员管理和沟通
– 在聘用前进行详细的考察,确定有无犯罪记录,确保雇员、合同 工和第三方用户理解其自身责任,适合角色定位,减少偷窃、欺 诈或误用设施带来的风险。
– 每个安全应用必须涉及建立适当的安全参数,实现这 些参数,监视和分析运行结果并调整这些参数。
数据备份
• 数据类型 从数据用途角度一般可将数据分为系统数据、 基础数据、应用数据、临时数据;根据数据存贮与管理方 式又可分为数据库数据、非数据库数据。
– (1)系统数据(SYSTEM DATA)
• 系统数据主要是指操作系统、数据库系统和应用系统执行程序。系统 数据在系统安装后基本上不再变动,只有在操作系统、数据库系统版 本升级或应用程序调整时才发生变化。系统数据一般都有标准的安装 介质(软盘、磁带、光盘)。
• 由于数据更新操作被及时追加到灾难备份系统,因 而,孤立数据很少,另外备份数据的组织形式与运 行系统相同,所以恢复时间很短,主要是追补孤立 数据和网络切换的时间。