商业银行信息安全服务体系建设研讨交流内容提纲一、安全风险分析1.1商业银行信息科技风险的来源威胁来源威胁种类政治及军事领域1989年10月WANK蠕虫入侵美国宇航局1991年1月间谍软件用于海湾战争：开战前，美国中央情报局派特工到伊拉克，将其从法国购买的防空系统使用的打印机芯片换上了植入间谍软件的芯片。在战略空袭前，又用遥控手段激活了该间谍软件病毒，致使伊防空指挥中心主计算机系统程序错乱，防空系统的C3I系统失灵。保证了战斗顺利进行，直至最后胜利。1991年11月荷兰黑客入侵国防部的计算机，修改或复制了一些非保密的与战争相关的敏感情报，包括军事人员、运往海湾的军事装备和重要武器装备开发情况等。1994年2月，两个名为“DataStream”和“Kuji”的黑客入侵了格里菲斯（Griffith）空军基地、美国航空航天局以及数百个其他系统。1994年5月，英国电信公司一位计算机操作员“侵入”本公司内部数据库，获得了英国政府防务机构和反间谍机构的电话号码和地址，其中包括英国情报机构、政府的核地下掩体、军事指挥部以及控制中心、英国导弹基地等机密电话号码和梅杰首相的住处以及白金汉宫的私人电话号码，并将这些电话号码公布在互联网上。1994年8月黑客入侵美国联邦调查局通讯网络线路1998年2月黑客攻击美国五角大楼1998年5月中国与印尼黑客大战1999年5月首次中美黑客大战1999年黑客有预谋地黑掉了美国国防部“天网”军用卫星导致军事通讯中断，并直接端掉了该卫星的控制系统，把人家的主控程序搞乱了2000年中台黑客之战2001年2月中日黑客硝烟再起2001年4月中美黑客巅峰较量2003年3月美伊战争引发美国历史上最大的黑客恐怖袭击2008年12月俄黑客成功侵入美军中央司令部网络，2010年google被攻击事件金融领域1994年美国花旗银行遭黑客入侵，被盗走1000万美元1998年8月西安某银行系统被黑客入侵后，被提走80.6万元现金，同年9月，扬州某银行被黑客攻击，利用虚存账号提走26万元现金2004年，花旗银行被进行钓鱼攻击；2006年4月，银联全国跨行交易系统瘫痪6小时，国内大部分商户的POS机无法刷卡，所有银行的ATM终端无法进行跨行操作，以日均量估算，“停刷”阻断交易量246.6万笔，金额1287.7亿元，2006年9月6日，美国花旗银行被入侵,安全问题和答案被修改.2006年8月11日，由于被keylogger攻击，汇丰银行泄露上百万的客户信息。1.3国内外信息安全事件追踪个人隐私及其他方面1989年，末日黑客组织控制了美国南方贝尔公司的电话系统，可以像技术人员那样窃听电话、进行网络路由调用。2003年1月全球遭拒绝服务攻击2006年11月熊猫烧香完美登场，引发病毒狂潮2007年3月灰鸽子病毒大规模爆发危害超熊猫烧香2004年马加爵事件2008年1月“艳照门”事件2009年各种“门”事件2010年暴风影音遭受攻击，全国范围内大面积断网2010年广西烟草系统某局长艳情日记事件二、安全服务介绍2.1通用安全服务类型2.2金融行业风险防范的四象限图2.3金融行业安全服务类型模拟黑客攻击差距评估2.6安全域防护整体解决方案2.6安全域防护整体解决方案：生产2.6安全域防护整体解决方案：办公2.6安全域防护整体解决方案：网银综合审计系统可以主动发现哪些操作是合法的，哪些操作是非法的，能够实现跨平台收集日志，从目前的事后处理向事前、事中的控制发展。可以帮助商业银行建立责任认定体系，实现合规性管理，从而更好的进行内控。三、渗透测试介绍3.4渗透测试技术：定义3.4渗透测试技术：好处3.4渗透测试技术：内容3.4渗透测试技术：分类实施流程3.4渗透测试技术：常用方法3.5渗透测试项目案例3.4渗透测试项目案例进一步实施攻击后，我方获取了如下的信息：跨站脚本漏洞：信息泄露：四、启明星辰介绍1996年创立国内最具实力的网络安全产品、可信安全管理平台、安全服务与解决方案综合提供商拥有完全自主知识产权总部位于北京，在全国各省市自治区设立30多家分支机构，并拥有覆盖全国的渠道体系和技术支持中心员工800多人自主创新积累14项国家专利40余项软件著作权国家网络安全技术与产品科研基地，承担国家级、省部级重点科研项目50多项4.3安全产品线分类全国人民代表大会最高人民检察院中央办公厅国务院办公厅中共中央组织部中共中央宣传部中央政府门户网站国家发展和改革委员会国家保密技术研究所财政部科学技术部公安部人事部人民解放军总参某部人民解放军总装某部人民解放军总后某部人民解放军总政某部人民解放军海军某部人民解放军空军某部人民解放军二炮某部……4.5