神州数码商业银行网上交易系统安全解决方案.ppt

神州数码商业银行网上交易系统 安全解决方案 * GB/T 20983-2007 《信息安全技术网上银行系统信息安全保障评估准则》 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20983-2008 信息安全技术 网上银行系统信息安全保障评估准则 GB/T 20984-2007 信息系统风险评估规范 《金融机构计算机信息系统安全保护工作暂行规定》 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 GB/T 18836.1-2008 信息技术 安全技术 信息技术安全性评估准则第1部分:简介和一般模型 GB/T 18836.2-2008 信息技术 安全技术 信息技术安全性评估准则第2部分:安全功能要求 GB/T 18836.3-2008 信息技术 安全技术 信息技术安全性评估准则第3部分:安全保证要求 GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理使用规则 GB/T 17544-1998 信息技术 软件包 质量要求和测试 GB/T 16260-2006 软件工程 产品质量 GB/T 18905-2002 软件工程 产品评测 GB/T 14394-2008 信息技术 计算机软件可靠性和可维护性管理 中华人民共和国国务院令第273号：《商用密码管理条例》 GB 9361-1998 计算机场地安全要求 GB/T 2887-2000 电子计算机站场地通用规范 GB 50174-2008 电子信息系统机房设计规范 GB 9254-2008 信息技术设备的无线电干扰极限值和测量方法 GB/T 8567-2006 计算机软件产品开发文件编制指南 GB/T 9385-2008 计算机软件需求说明编写指南 GB/T 9386-2008 计算机软件测试文件编制规范 CNS15408 信息技术 安全技术 信息技术安全性评估准则 Central Bank of Barbados: 2002 GUIDELINES FOR ELECTRONIC BANKING Monetary Authority of Singapore: 2008 INTERNET BANKING AND TECHOLOGY RISK MANAGEMENT GUIDELINES 3.0 FFIEC: 2003 E-Banking IT Examination Handbook PCI SSC: 2008 Payment Card Industry Data Security Standard 业务支持层 业务支持层为具体的网上银行服务提供支持，如web服务、网上银行客户端、安全信息交换等。 系统服务层 系统服务层为业务支持层和业务层提供所许的各种通用服务，如操作系统服务、数据库服务、系统管理服务等。 基础设施层 基础设施层向各类网上银行应用提供必要的基础环境、可靠有效的信息传输服务通道，是各类信息的最终承载者。因此，基础设施层位于整个技术体系结构的底层。具体包括有物理基础设施、网络基础设施、通信基础设施、支撑性基础设施等。 《银行业金融机构信息系统风险管理指引》 《中华人民共和国银行业监督管理法》 《中华人民共和国商业银行法》 《中华人民共和国外资银行管理条例》 2009年中国开始针对上市公司强制执行企业内控规范---业界称之为中国的“塞班斯法案” 《网上银行系统信息安全保障评估准则》 《金融机构计算机信息系统安全保护工作暂行规定》 网上银行信息安全参考规范及安全要求 网上银行信息安全现状及安全规划 网上银行信息安全解决方案 产品资源 一、网上银行定义 网上银行业务是指商业银行等银行业金融机构利用计算机和互联网为客户提供的银行服务。 网上银行是银行传统业务的电子化表现形式，拓展了银行服务的时间和空间。网上银行是 现代信息技术在银行管理及其金融服务中的拓展，是促使金融服务组织机构与服务形式创 新的重要成果之一。网上银行通过国际互联网这一公共资源及其相关技术实现银行与客户 之间安全、方便、友好连接，为客户提供多种金融服务。 信息安全保障是网上银行系统建设和运行中必须解决的基础和根本性问题，它关系到客户与银行的切身利益。网上银行系统是一种特定的信息系统（即用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和），它的信息安全保障工作必须结合银行行业的特点，以风险和策略为出发点和核心，即从网上银行系统所面临的风险和所处的环境出发制定网上银行系统的安全保障策略，通过在网上银行系统的整个生命周期中从技术、工程、管理和人员等方面提出安全保障要求，确保信息的