文档介绍:精品文档
附件3
征信信息平安应急处置预案
一、总那么
〔一〕编制目的
信息平安涉及以设备为中心的信息平安,技术涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统;涉及计算机
病毒的防范、入侵的监控;涉及以用
操作系统的平安性是系统平安管理的根底。数据库效劳器、
中间层效劳器,以及各类业务和办公客户机等设备所使用的操作
系统,不管是微软操作系统,还是Unix操作系统都存在信息平安
漏洞,由操作系统信息平安漏洞带来的平安风险是最普遍的平安
风险。
数据库平安风险
征信信息系统运行的数据都是需要平安保护的信息资产,不
仅需要统一的数据备份和恢复以及高可用性的保障机制,还需要
对数据库的平安管理,包括访问控制,敏感数据的平安标签,日
志审计等多方面提升平安管理级别,躲避风险。建立在征信信息
系统上的各种应用系统软件在数据的平安管理设计上也不可防止
地存在或多或少的平安缺陷,需要对数据库和应用的平安性能进
行综合的检测和评估。
病毒危害风险
.
精品文档
计算机病毒的传播会破坏数据信息,占用系统资源,影响计算机运行速度,引起网络堵塞甚至瘫痪。尽管防病毒软件安装率已大幅度提升,但如果没有好的防毒概念,从不进行病毒代码升级,而新病毒层出不穷,因此威胁性愈来愈大。
***风险
一方面入侵者通过网络探测、扫描征信信息系统存在的平安漏洞,如网络IP地址、应用操作系统的类型、开放TCP端口号、系统保存用户名和口令等平安信息的关键文件等,并采用相应的攻
击程序进行攻击。另一方面入侵者通过网络监听、用户渗透、系统渗透、拒绝效劳、木马等综合手段获得合法用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取征信信息,或使系统终止效劳。所以,必须要对外部和内部网络进行必要的隔离,防止信息外泄;同时还要对外网的效劳请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求效劳在到达主机之前就应该遭到拒绝。
〔四〕应用平安风险
身份认证与授权控制的平安风险
依靠用户名和口令的认证很不平安,容易被猜想或盗取,会
带来很大的平安风险。为此,动态口令认证、CA第三方认证等被
认为是先进的认证方式。但是,如果使用和管理不当,同样会带
来平安风险。要基于征信信息系统建立基于统一策略的用户身份
.
精品文档
认证与授权控制机制,以区别不同的用户和信息访问者,并授予
他们不同的信息访问和事务处理权限。
信息传输的机密性和不可抵赖性风险
必须保证征信信息系统处理的实时信息传输的机密性和网上
活动的不可抵赖性,能否做到这一点,关键在于采用什么样的加
密方式、密码算法和密钥管理方式。采用国内经过国家密码管理
委员会和公安部批准的加密方式、密码算法和密钥管理技术来强
化这一环节的平安保障。
管理层平安风险分析
管理是整个征信信息平安中最为重要的一环,认真地分析管
理所带来的平安风险,并采取相应的平安措施。责权不明、管理混乱、平安管理制度不健全及缺乏可操作性等都可能引起管理平安的风险。
由于征信平安管理、异议管理、查询使用、数据上报、个人不良信息告知等级方面存在违规操作造成信用报告泄露等征信信息平安事故,未能进行实时的检测、监控、报告与预警。
五、预防预警
〔一〕完善征信信息平安突发公共事件监测、预测和预警制
度。
加强对征信信息平安突发事件和可能引起突发征信信息平安突发公共事件的有关信息的收集、分析、判断和持续监测。当检
.
精品文档
查到有征信信息平安突发事件发生或可能发生时,应及时对发生
事件或可能发生事件进行调查核实、保存相关证据,并立即向应
急领导小组报告。报告内容主要包括信息来源、影响范围、事件
性质、事件开展趋势和采取的措施建议等。
假设发现以下情况应及时向应急领导小组报告:利用征信信息
从事违法犯罪活动;征信信息系统通信和资源使用异常;征信信
息系统瘫痪,应用效劳中断或数据篡改、丧失;其他影响征信信
息平安的信息。
〔二〕设定征信信息平安等级保护,实行征信信息平安风险评
估。
通过相关设备实时监控征信信息平安状况。征信信息系统建
设要充分考虑抗毁性和灾难恢复,制定并不断完善征信信息平安
应急处理预案。针对征信信息的突发性、大规模平安事件,建立
制度优化、程序化的处理流程。
〔三〕做好效劳器及数据中心的数据备份及登记工作,建立灾
难性数据恢复机制。
一旦发生征信信息平安事件,立即启动应急预案,采取应急
处置措施,判定事件危害程度,并立即将情况向有关领导报告。