金融信息安全（簡體書）

《服務外包工程教育規劃教材：金融信息安全》圍繞金融信息化發展與金融服務創新過程中引起社會公眾廣泛關注的金融信息安全主題展開。第1章介紹金融信息化的內容、特點，分析其必然性和重要性及其系統的基本構成；第2章介紹金融信息化與服務外包中金融信息面臨的安全問題及金融信息安全的重要性與複雜性；第3章涵蓋金融信息安全體系，包括信息安全體系的基本結構、信息安全體系的組成、信息安全防禦模型以及信息安全風險分析與評估；第4章重點介紹主要信息安全技術，包括物理層安全技術、網絡層安全技術、系統層安全技術、應用層安全技術、數據安全技術與內容安全技術；第5章涵蓋信息安全管理體系、信息安全規劃、信息安全風險評估技術、信息安全策略的制訂、信息安全管理標準、信息安全的法律法規與道德規範等；第6章分析金融服務外包所面臨的各種新的金融信息安全問題以及對這些新金融信息安全問題的應對措施。書中包含大量金融信息安全的案例，每章後附有適量的練習與思考，供讀者學習與複習。

徐成賢，西安交通大學理學院教授、博士生導師，杭州師範大學特聘教授，1994年起享受國務院特殊津貼。1969年畢業于西安交通大學，1981年獲西安交通大學計算數學專業碩士學位，1987年獲英國Dundee大學理學博士學位。曾多次到荷蘭埃因霍芬理工大學、德國卡爾斯魯厄大學、意大利羅馬大學、新加坡國立大學、香港城市大學、美國佛羅里達大學、美國弗吉尼亞理工大學訪問、講學或開展合作研究。現擔任中國經濟數學和管理數學學會理事長，陝西省工業與應用數學學會名譽理事長。曾任國家自然科學基金委數理科學部評委，教育部理科計算數學和應用數學教學指導組成員，工科研究生數學教學指導組成員，西安交通大學理學院副院長。長期從事運籌學與最優化算法、理論與應用，金融工程與金融計算，以及金融服務的研究，在國內外主要學術刊物上發表論文180餘篇，被SCI收錄60餘篇，出版著作與教材6部。獲省部級科技進步獎兩項，完成或正在承擔自然科學基金項目5項，及多項國際橫向合作項目。

《服務外包工程教育規劃教材:金融信息安全》由清華大學出版社出版。

第1章金融信息化概述1．1金融信息化概述1．1．1金融信息化的基本概念1．1．2金融信息化電子化的內容1．1．3金融信息化的特點1．2金融信息化的意義1．2．1金融信息化的必然性1．2．2金融信息化的意義1．2．3金融信息化的影響1．3國內外金融信息化的發展與現狀1．3．1國外金融信息化發展概況1．3．2中國金融業信息化的發展過程與現狀1．3．3我國金融信息化面臨的問題1．4金融信息系統的組成1．4．1金融信息系統的空間結構1．4．2金融信息系統的邏輯結構1．4．3銀行事務處理系統的結構1．4．4金融事務系統中的交易練習與思考第2章金融信息安全2．1金融信息安全的基本概念2．1．1信息安全的概念2．1．2信息安全的發展過程2．1．3金融信息安全的目標2．2金融信息安全面臨的風險2．2．1金融信息安全的幾個概念2．2．2金融信息系統可能面臨的安全威脅2．2．3電腦病毒2．2．4金融信息系統信息安全風險產生的原因2．2．5金融信息安全的主要風險點2．2．6金融交易中的風險點2．3金融信息安全的重要性2．4金融信息安全的複雜性2．4．1金融信息系統本身的複雜性2．4．2金融信息系統安全風險的科技特性2．4．3計算機金融犯罪的特性2．4．4金融信息安全的特性練習與思考第3章信息安全體系3．1金融信息安全體系概述3．1．1面向目標的知識體系結構3．1．2面向應用的層次型技術體系結構3．1．3面向過程的信息安全保障體系結構3．2信息安全體系框架3．2．1技術體系3．2．2組織體系3．2．3管理體系3．3信息安全防禦模型3．4信息安全風險分析練習與思考第4章信息安全技術4．1物理層安全技術4．1．1物理訪問控制4．1．2防災4．1．3防信息洩露4．1．4容錯容災4．2網絡層安全技術4．2．1防火牆技術4．2．2虛擬專用網（VPN）技術4．2．3新一代安全網關4．3系統層安全技術4．3．1安全掃描技術4．3．2入侵檢測技術……第5章信息安全管理第6章金融服務外包中的信息安全附錄A我國已發佈的相關信息安全標準（至2010年）附錄B我國已頒佈的信息安全管理體系標準附錄C與銀行業務有關的國際信息安全標準附錄D我國涉及信息安全方面條款的法律法規附錄E中國互聯網協會頒發的行業自律規範附錄F銀監會《電子銀行業務管理辦法》第五章對業務外包管理的有關規定附錄G《銀行業金融機構信息系統管理指引》第六章外包風險控制附錄H關於境內企業承接服務外包業務信息保護的若干規定附錄I《商業銀行外包風險管理指引》（徵求意見稿）參考文獻

2.信息安全階段
20世紀80年代至90年代初期，計算機網絡逐步產生并發展起來，計算機系統成為信息安全的主要保護對象。計算機系統是由計算機及其相關的配套設備、設施構成的，按照一定的應用目標和規格，對信息進行采集、加工、存儲、傳輸和檢索等處理的系統。在這一時期，人們認識到，除了信息保密的需要之外，信息在存儲、處理和傳輸的過程中不應被未經授權者進行插入、刪除和修改（完整性要求），以及在需要使用的時間、地點可以保證提供使用（可用性要求），也是信息安全的重要、基本需求。“完整性”和“可用性”需求是保密性之外的兩個基本的信息安全屬性。安全重點是確保計算機系統中的硬件、軟件及正在處理、存儲、傳輸信息的機密性、完整性和可控性，主要安全威脅擴展到非法訪問、惡意代碼、脆弱口令等。主要保護措施是安全操作系統設計技術（TCB）。主要標志是l983年美國國防部公布的可信計算機系統評估準則（TCSEC），將操作系統的安全級別分為4類7個級別（D、C1、C2、B1、B2、B3、A1），后補充TN1和TD1。1991年，歐共體發布了“信息技術安全評價準則”（Information Technology Security Evaluation Criteria，ITSEC）。ITSEC擴展了人們對信息安全的認識，最早提出了CIA的概念（Confidential機密性、Integrity完整性、Availability可用性），形成了信息安全屬性的基本共識。
在這一時期，公開密鑰密碼技術得到了長足發展，著名的RSA公開密鑰密碼算法獲得了日益廣泛的應用。對用于完整性校驗的Hash函數的研究也日趨成熟。1991年，NIST提出了采用數字簽名算法（DSA）的數字簽名標準（DSS），為實現對信息完整性的保護奠定了基礎。
3.信息保障階段
20世紀90年代以來，由于互聯網技術的飛速發展，無論是對內還是對外，信息都得到極大開放，由此產生的信息安全問題跨越了時間和空間，信息安全的焦點已經不僅僅是傳統的保密性、完整性和可用性3個原則了，由此衍生出了諸如可控性、抗抵賴性、真實性等其他原則和目標，信息安全也轉化為從整體角度考慮其體系建設的信息保障，重點保護信息存儲、處理、傳輸過程中及信息系統不被破壞，確保合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施。除了強調信息的保密性、可用性和完整性，還提出了新的安全屬性，如可認證性（Authenticity）、不可抵賴性（Non—repudiation）和可核查性（Accountability）等。主要安全威脅發展到網絡入侵、病毒破壞、信息對抗的攻擊等。主要保護措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKI、VPN等。主要標志是提出了新的信息安全評估標準CC（IS015408）、IPv6等安全性設計。