电子支付与网络银行 第六章精品.pptVIP

电子支付与网络银行 中国人民大学财政金融学院 周虹 第六章 电子支付体系安全策略 第一节　信息安全概述 一、信息安全含义 保密性 完整性 可用性 可控性 不可否认性 二、金融信息安全现状及发展趋势 随着国际互联网络的迅速发展和信息网络技术应用层次的不断深入，应用领域开始从传统的、小型业务系统逐渐向大型的、关键业务系统扩展。与此同时，计算机犯罪数量呈现持续上升的趋势，信息网络的安全问题已成为信息社会的严重问题。网络犯罪不仅数量急剧增多，而且日趋复杂。 其主要形式有：通过互联网络未经许可地进入他人的计算机设施，破解他人的密码，使用他人的计算机资源；通过网络向他人计算机系统散布计算机病毒；进行间谍活动，窃取、篡改或者删除国家机密信息；进行商业间谍活动，窃取、篡改或者删除企事业单位存储的商业秘密和计算机程序；非法转移资金；盗窃银行中他人存款，进行各种金融犯罪等。 （一）国外金融业信息安全现状 1. 美国 1998年5月，美国政府颁发了《保护美国关键基础设施》总统令，同时围绕信息保障成立了多个组织，其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。同年，美国国家安全局(NSA)制定了《信息保障技术框架》，提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。针对未来的信息安全问题，美国于2002年9月18日和20日先后发布了《保护网络空间的国家战略》（草案）和《美国国家安全战略》。在新的国家安全战略中，明确将信息安全与国土安全作为国家安全有机结合的组成部分，明确把银行与金融部门列为国家关键基础设施组成部分，并制定了一整套安全措施，强调各部门合作、产品认证、成立金融信息共享与分析中心，形成了“准备与防范”、“检测与响应”、“重建与恢复”的安全保护战略框架。 2. 俄罗斯 俄罗斯于1995年颁布了《联邦信息、信息化和信息保护法》，为提供高效益、高质量的信息保障创造了条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。2000年9月发布了《俄罗斯联邦信息安全学说》，明确了联邦信息安全建设的目的、任务、原则和主要内容，第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。它指出国家安全依赖于信息安全的保障，保障信息安全必须从法律、技术组织及经济等方面采取措施。 3. 欧共体 欧共体委员会2001年提交了《网络与信息安全——欧洲政策措施建议》，指出网络与信息安全应该保障所提供服务的可用性、真实性、完整性、不可否认性和保密性，必须抵御外来事件和恶意破坏。 4. 亚太地区 日本已经制定了国家信息通信技术发展战略，强调“信息安全保障是日本综合安全保障体系的核心”，并出台了《21世纪信息通信构想》和《信息通信产业技术战略》。 除了《电讯事业法》、《规范互联网服务商责任法》、《规范电子邮件法》等专项互联网管理法令，具体界定相关违法行为、网站的责任和义务外，日本还通过《刑法》、《著作权法》、《打击毒品犯罪法》等，明确规定“违法信息”包括侵权诽谤、毒品交易、诈骗、色情淫秽等。 1995年韩国颁布《电信事业法》，提出对“危险通信信息”进行监管。2001年，再次颁布《互联网内容过滤法令》，确立信息过滤的合法性。近年来又陆续制定了《促进信息化基本法》、《信息通信基本保护法》、《促进信息通信网络使用及保护信息法》等法律，管理互联网信息。 新西兰2003年通过了《电讯（截收）法》，规定警察为开展调查可以通过技术手段进入个人电脑，可对电子邮件进行过滤审查。警方根据案件调查需要，可以对单位或个人计算机信息进行调查。根据情报部门或警方要求，电信公司、网络服务商应向其提供相关用户的网络地址、登录名及密码、个人身份等信息。如拒绝提供，将被追究刑事责任。 （二）我国金融业信息安全现状 信息安全是信息化建设成败的关键，我国金融业对信息安全工作给予高度的重视，多年来，伴随着我国银行信息化建设，做了大量细致的、卓有成效的工作，一直贯彻从组织体系、制度体系和技术体系三个方面入手，逐步建立金融信息安全保障体系的方针。 从总体、宏观的角度看，我国银行计算机网络与信息系统基本上是安全的，在现有条件下基本能够满足支撑银行业务职能、保持平稳运行的要求。 （三）金融信息安全发展趋势 目前金融信息安全的主要威胁有： （1）人为失误。 （2）欺诈行为。 （3）内部人员破坏行为。 （4）物理资源服务丧失。 （5）黑客攻击。 （6）商业信息泄密。 （7）病毒（恶意程序）侵袭。 （8）程序系统自身的缺陷。 三、信息安全评估标准 1. 可信计算机系统评估标准 可信计算机系统评估标准（Trusted C