网上电子支付与结算第八章 电子支付安全风险评估.ppt

② ABS可能引发的支付风险主要有以下几个方面。 第一，信用风险和流动性风险，ABS中由于债权债务关系相互交织，某一参与者在某一阶段出现支付困难都有可能引发连带性的清偿危机，从而影响整个系统的运行，主要表现为同城票据交换清算中非清算账户头寸不足影响资金清算的风险；清算账户不能及时筹资影响资金及时汇划的风险；贷款户违约不能按期归还贷款的风险等。 第二，运行风险，ABS使用的SCO Unix Openserver操作系统、Informix数据库，已属非主流产品，系统的运维风险较高、升级难度较大，并且一旦发生运行故障，将可能造成账务积压，进而引发支付风险。 第三，道德风险，ABS的业务处理流程较复杂，系统岗位设置刚性与人员总体较少的矛盾突出、中国人民银行县级支行业务量总体较少与人力资源结构性浪费的矛盾突出，导致内控措施难以落实，违规兼岗依然严重，存在道德风险隐患。 第四，自然风险。 第三节 金融信息平台信息管理系统风险评估应用 （一）金融信息平台风险评估概述 1．金融信息平台应用背景 2．金融信息安全风险评估 3．金融信息平台风险评估需求 （1）信息资产评估 （2）物理与环境安全 （3）网络支撑体系 （4）系统安全 （5）应用安全 （6）信息安全 （7）安全管理体系 （二）风险评估内容及流程 信息系统安全风险评估项目实施过程 项目准备阶段 项目实施阶段 风险综合分析阶段 风险报告生成阶段 ?T1成立风险项目组 ?T2项目计划 ?T3项目启动会 ?T4签署保密协议 ?T5项目宣讲及安全 培训 ?T7业务调研 ?T8关键业务分析 ?T9信息资产调研 ?T10脆弱性扫描 ?T11功能验证 ?T12配置检查 ?T13渗透测试 ?T14管理脆弱性调研 ?T15威胁问卷 ?T16体系结构分析 ?T17资产分析 ?T18脆弱性分析 ?T19威胁性分析 ?T20风险计算及分析 ?T21现状报告 ?T22风险评估报告 ?T23安全建议报告 ?T24客户报告确认 ?T25项目验收 表8-1 金融信息平台信息管理系统安全评估实施过程 1．准备阶段 准备阶段的主要工作流程： ① 项目组确立，人员分工； ② 项目计划制定并经用户确认； ③ 评估范围最终确定； ④ 保密协议的签署； ⑤ 客户信息系统相关资料的接收； ⑥ 风险评估方法宣讲； ⑦ 项目启动会。 2．工作实施阶段 （1）业务调研。 （2）信息资产调研。 （3）技术测试。 ① 脆弱性扫描是评估活动中一项重要的技术手段，它是对被测信息系统进行检查，了解被测信息现状，发现其中可被利用的漏洞，其扫描结果是对信息系统安全现状的一个反映，是信息系统安全评估的一个重要组成部分，也可为进一步对被测对象进行配置检查做前期的数据收集和技术准备。 一是网络拓扑发现。 二是主机信息收集及漏洞扫描。 三是基于预定策略模板进行安全配置检查。 四是网络设备、安全设备端口扫描。 ② 功能验证。 ③ 配置检查主要是检查安全功能的配置情况，对其安全功能配置的合理性进行符合性检测。 ④ 网络流量及内容分析系统主要是通过入侵保护系统来进行测试的。 ⑤ 渗透测试是指尽可能真实地模拟攻击者所使用的方法和技术对目标系统进行测试，对目标应用的安全性做深入的探测，发现系统最脆弱的环节的过程。 （4）管理现状调研。 这个阶段为整个风险评估项目收集数据，收集的数据包括：① 系统承载的业务及业务流程；② 系统安全需求；③ 单位的组织架构；④ 单位的制度体系；⑤ 信息系统拓扑结构；⑥ 信息资产的详细信息；⑦ 确认关键信息资产；⑧ 信息系统脆弱性；⑨ 信息系统面临威胁；⑩ 已有的安全控制措施。 3．风险综合分析阶段 ① 体系结构分析。 ② 业务综合分析。 ③ 信息资产分析。 ④ 脆弱性分析。 ⑤ 威胁分析。 ⑥ 已有安全控制措施分析。 ⑦ 风险分析。 主要分析的流程包括：① 各类分析工作的完成；② 完成实际需要所设计的额外项目内容；③ 完成报告修改与确认。 4．项目验收阶段 第八章 电子支付安全风险评估 教学要求 引导案例 第一节 信息安全评估现状 第二节 电子支付安全风险评估 一、电子支付系统安全风险分析 风险评估的目的是为了有效地实施风险控制，风险控制的目的是为了降低风险。 电子支付应该具备以下几个条件：安全性、方便性、处理成本低、广为金融市场所接受，而安全性是第一位的。 （一）电子支付的安全隐患范围 1．来自银行合作单位的安全隐患 2．来自不信任区域的安全隐患 3．来自互联网的安全隐患 4．来自内部网的安全隐患 5．管理安全的安全隐患 （二）电子支付的安全风险分析 （1）以非法手段窃取