商业银行网上交易信息系统安全方案.ppt

*2010年3月《银行业金融机构信息系统风险管理指引》《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国外资银行管理条例》2009年中国开始针对上市公司强制执行企业内控规范---业界称之为中国的“塞班斯法案”《网上银行系统信息安全保障评估准则》《金融机构计算机信息系统安全保护工作暂行规定》网上银行信息安全参考规范及安全要求网上银行信息安全现状及安全规划网上银行信息安全解决方案产品资源一、网上银行定义网上银行业务是指商业银行等银行业金融机构利用计算机和互联网为客户提供的银行服务。网上银行是银行传统业务的电子化表现形式，拓展了银行服务的时间和空间。网上银行是现代信息技术在银行管理及其金融服务中的拓展，是促使金融服务组织机构与服务形式创新的重要成果之一。网上银行通过国际互联网这一公共资源及其相关技术实现银行与客户之间安全、方便、友好连接，为客户提供多种金融服务。信息安全保障是网上银行系统建设和运行中必须解决的基础和根本性问题，它关系到客户与银行的切身利益。网上银行系统是一种特定的信息系统（即用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和），它的信息安全保障工作必须结合银行行业的特点，以风险和策略为出发点和核心，即从网上银行系统所面临的风险和所处的环境出发制定网上银行系统的安全保障策略，通过在网上银行系统的整个生命周期中从技术、工程、管理和人员等方面提出安全保障要求，确保信息的保密性、完整性和可用性特征，实现和贯彻组织机构策略并将风险降低到可接受的程度，达到保护网上银行的信息和信息系统资产，从而保障网上银行业务安全、可靠开展的最终目的。二、网上银行系统信息安全保障涵盖以下几个方面:网上银行系统信息安全保障应贯穿网上银行系统的整个生命周期，包括规划组织、开发采购、实施交付、运行维护和废弃五个阶段，以获得网上银行系统信息安全保障能力的持续性；b)网上银行系统信息安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障网上银行系统安全。在安全技术上，不仅要考虑具体的产品和技术，更要考虑网上银行系统的安全技术体系架构；在安全管理上，不仅要考虑基本安全管理实践，更要结合组织的特点建立相应的安全保障管理体系，形成长效和持续改进的安全管理机制；在安全工程上，不仅要考虑网上银行系统建设的最终结果，更要结合系统工程的方法，注重工程各个阶段的规范化实施；在人员安全上，要考虑与网上银行系统相关的所有人员包括规划者、设计者、管理者、运营维护者、评估者、使用者等的安全意识以及安全专业技能和能力等；c)网上银行系统信息安全保障是基于过程的保障。通过风险识别、风险分析、风险评估、风险控制等风险管理活动，降低网上银行系统的风险，从而实现网上银行系统信息安全保障；d)网上银行系统信息安全保障的目的不仅是保护信息和资产的安全，更重要的是通过保障网上银行系统的安全，保障网上银行系统所支持的业务，从而达到实现组织机构使命的目的；e)网上银行系统信息安全保障是主观和客观的结合。通过在技术、管理、工程和人员方面客观地评估安全保障措施，向网上银行系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。因此，它是一种通过客观证据向网上银行系统所有者提供主观信心的活动，是主观和客观综合评估的结果；f)保障网上银行系统安全不仅是系统所有者自身的职责，而且需要社会各方参与，包括电信、电力、国家信息安全基础设施等提供的支撑。保障网上银行系统安全不仅要满足系统所有者自身的安全需求，而且要满足国家相关法律、政策的要求，包括为其它机构或个人提供保密、公共安全和国家安全等社会职责。网上银行信息系统安全域通常由五个部分组成：—外部区域：网上银行的公众用户和第三方系统可以通过互联网或专用网访问网上银行业务系统；—网上银行业务系统；—银行内部其他系统：—各银行内部核心业务系统；—公钥基础设施。网上银行系统主要包括：客户端、网上银行访问子网和网上银行业务系统、CA和中间隔离设备。—外部区域：网上银行的用户，安装网上银行客户端，通过互联网访问网上银行；—安全域1：网上银行访问子网，主要提供客户的web访问和证书认证；—安全域2：网上银行业务系统，主要进行网上银行的业务处理；—银行内部系统：银行处理系统，主要进行银行内部的数据处理。图中CA是证书颁发和管理机构，它主要为银行客户、银行工作人员以及网上银行WEB服务器等设备提供公开密钥证书服务。某些银行安全区域1和安全区域2合为一个安全区域。技术体系是信息系统描述的基础，需要对现有的各种应用、相应