网络银行安全评估.ppt

e-business UIBE 网络银行安全评估 对外经济贸易大学 现代服务业研究中心 主要内容 网上银行评估机构 网上银行评估内容 网上银行评估方法 网上银行业务操作系统评估机构 （1）评估机构具有充分的独立性，即评估机构的评估独立于网上银行业务系统的开发者和使用者，评估结论不受系统开发者和使用者的影响； （2）评估机构具有完整的评估框架，制定了系统全面的内部评估手册，或内部评估指导文件，包括评估内容、评估程序、评估方法和依据的评估标准； （3）评估机构拥有充足的、合格的专业评估师，掌握国际和中国相关行业的行业标准和专业技能，能胜任对网上银行业务操作系统的评估”。 评估机构的资格 具备合格的评估人员，是否有一个人员充足的专家队伍 评估机构开发了一套科学的安全性评估框架 评估机构要制定系统全面的内部评估手册，或内部评估指导文件，明确了评估内容、评估程序、评估方法和依据的评估标准。详细列明评估要点，覆盖网上银行业务操作系统的各个环节和风险点，对评估的工作流程作出详细的规定。 信息安全性评估 安全策略、物理安全、数据通讯安全、应用系统安全、运行安全、系统资源安全、安全检查、合规性、组织建设和其他方面，概括了制度建设、物理环境、系统构造、技术水平、人员素质、与其他方的关系等方面的要求 。 安全评估1 1 安全政策，指银行高级管理层制定和发布的有关信息安全管理方面的政策； 2．组织安全，指银行应在银行全系统内建立一个启动和实施各项信息安全措施的管理框架； 3．资产分类和控制，指银行应根据信息的敏感程度对银行的信息资产进行分类，并针对不同类别给予不同级次的保护和管理； 4．人员安全，应赋予相关人员，包括第三方用户以明确的安全责任，对一些敏感岗位，应签定保密协议； 5．物理和环境安全，包括安全区域和设备安全； 安全评估2 6 通讯和操作管理，要求要明确对所有信息处理方式，例如电子邮件、电子商务的操作和管理的责任和程序； 7．系统访问控制，要根据“除非得到明确许可，对信息的任何访问都应禁止”而不是“除非得到明确禁止，对信息的任何访问都应许可”的原则设置对信息的访问控制； 8．系统开发与维护，这包括基础设施的建设、业务应用和用户应用的开发和设计，在设计和开发之前，应明确应采用的安全技术，包括加密、数字签名等； 9．业务连续性管理，为减少因灾难、安全漏洞而造成的业务中断，应实施业务连续性管理程序； 10．合规性，信息系统的设计和应用应符合各项法律法规，例如知识产权保护法、消费者权益保护法等。 人民银行的作用 “银行开办网上银行业务，应接受中国人民银行认可的权威评估机构对其业务操作系统的安全性进行评估”。 中国人民银行可以参与银行机构的评估程序，了解评估质量，对不合格的评估，可要求银行机构重新评估。 网络银行安全评估要求 银行机构开办交易性网上银行业务，其高级管理层每年应组织对网上银行业务操作系统至少进行一次独立的安全性评估。 交易性网上银行业务是指银行与客户之间通过因特网发生了实质性的资金往来或形成债权债务关系的业务，包括网上支付、外汇买卖和存贷款等业务。 网上银行业务操作系统的安全性 （一）保密性，能保证信息仅为获得授权的用户访问； （二）准确性，能保证信息在传输和处理过程中不发生偏误和差错； （三）完整性，能保证信息在传输和处理过程中不发生遗漏、损毁； （四）可用性，保证获得授权的用户能根据需要使用信息和享受服务。 网上银行业务操作系统 （一）安全策略，要求银行高级管理层制定网上银行发展战略，制定全面、综合、重点突出、层次分明的信息安全规章制度和操作程序； （二）物理安全，要求银行机构采取有效的安全措施，禁止未经授权的人员对关键计算机、网络设备、密钥的非法访问； （三）数据通讯安全，要求银行机构，采用合适的技术，保证网上银行业务数据传输的保密性和完整性； （四）应用系统安全，要求银行采取合适的技术，确保客户身份和授权的真实性，以及通过互联网交易的不可否认性； （五）运行安全，主要是指银行计算机系统运行的内部控制制度，这包括银行应急计划和业务连续性计划、管理人员和业务人员授权、口令/pin号码管理等方面的内容。 （六）系统资源安全，系统资源安全则主要指构成系统的软硬件本身和人员，软硬件的配置是否达到先进水平，是否符合安全标准，业务人员、技术人员和管理人员的专业能力和管理能力是否达到风险控制和业务发展的要求，是否明确了相应的保密责任等。 （七）安全检查，即银行是否有对网上银行业务操作系统进行定期检测的制度安排，包括是否有定期安全性评估安排，是否设置了相应的内部审计职能； （八）合规性，即银行通过网上银行业务操作系统开办网上银行业务是否符合国家