电子支付与网络银行 第六章

电子支付与网络银行

中国人民大学财政金融学院 周虹

第六章 电子支付体系安全策略

第一节 信息安全概述一、信息安全含义保密性 完整性 可用性 可控性 不可否认性

二、金融信息安全现状及发展趋势随着国际互联网络的迅速发展和信息网络技术应用层次的 不断深入，应用领域开始从传统的、小型业务系统逐渐向 大型的、关键业务系统扩展。与此同时，计算机犯罪数量 呈现持续上升的趋势，信息网络的安全问题已成为信息社 会的严重问题。网络犯罪不仅数量急剧增多，而且日趋复 杂。 其主要形式有：通过互联网络未经许可地进入他人的计算 机设施，破解他人的密码，使用他人的计算机资源；通过 网络向他人计算机系统散布计算机病毒；进行间谍活动， 窃取、篡改或者删除国家机密信息；进行商业间谍活动， 窃取、篡改或者删除企事业单位存储的商业秘密和计算机 程序；非法转移资金；盗窃银行中他人存款，进行各种金 融犯罪等。

(一)国外金融业信息安全现状1. 美国 1998年5月，美国政府颁发了《保护美国关键基础设施》总统 令，同时围绕信息保障成立了多个组织，其中包括全国信息保 障委员会、全国信息保障同盟、关键基础设施保障办公室、首 席信息官委员会、联邦计算机事件响应能动组等10多个全国性 机构。同年，美国国家安全局(NSA)制定了《信息保障技术框 架》,提出了“深度防御策略”,确定了包括网络与基础设施 防御、区域边界防御、计算环境防御和支撑性基础设施的深度 防御目标。针对未来的信息安全问题，美国于2002年9月18日 和20日先后发布了《保护网络空间的国家战略》(草案)和 《美国国家安全战略》。在新的国家安全战略中，明确将信息 安全与国土安全作为国家安全有机结合的组成部分，明确把银 行与金融部门列为国家关键基础设施组成部分，并制定了一整 套安全措施，强调各部门合作、产品认证、成立金融信息共享 与分析中心，形成了“准备与防范”、“检测与响应”、“重 建与恢复”的安全保护战略框架。

2. 俄罗斯 俄罗斯于1995年颁布了《联邦信息、信息化和信息保 护法》,为提供高效益、高质量的信息保障创造了条 件，明确界定了信息资源开放和保密的范畴，提出了 保护信息的法律责任。2000年9月发布了《俄罗斯联 邦信息安全学说》,明确了联邦信息安全建设的目的、 任务、原则和主要内容，第一次明确指出了俄罗斯在 信息领域的利益是什么、受到的威胁是什么以及为确 保信息安全首先要采取的措施等。它指出国家安全依 赖于信息安全的保障，保障信息

安全必须从法律、技 术组织及经济等方面采取措施。 3. 欧共体 欧共体委员会2001年提交了《网络与信息安全——欧 洲政策措施建议》,指出网络与信息安全应该保障所 提供服务的可用性、真实性、完整性、不可否认性和 保密性，必须抵御外来事件和恶意破坏。

4. 亚太地区 日本已经制定了国家信息通信技术发展战略，强调“信息安全 保障是日本综合安全保障体系的核心”,并出台了《21世纪信 息通信构想》和《信息通信产业技术战略》。 除了《电讯事业法》、《规范互联网服务商责任法》、《规范 电子邮件法》等专项互联网管理法令，具体界定相关违法行为、 网站的责任和义务外，日本还通过《刑法》、《著作权法》、 《打击毒品犯罪法》等，明确规定“违法信息”包括侵权诽谤、 毒品交易、诈骗、色情淫秽等。 1995年韩国颁布《电信事业法》,提出对“危险通信信息”进 行监管。2001年，再次颁布《互联网内容过滤法令》,确立信 息过滤的合法性。近年来又陆续制定了《促进信息化基本法》、 《信息通信基本保护法》、《促进信息通信网络使用及保护信 息法》等法律，管理互联网信息。 新西兰2003年通过了《电讯(截收)法》,规定警察为开展调 查可以通过技术手段进入个人电脑，可对电子邮件进行过滤审 查。警方根据案件调查需要，可以对单位或个人计算机信息进 行调查。根据情报部门或警方要求，电信公司、网络服务商应 向其提供相关用户的网络地址、登录名及密码、个人身份等信 息。如拒绝提供，将被追究刑事责任。

(二)我国金融业信息安全现状信息安全是信息化建设成败的关键，我国金融业对信 息安全工作给予高度的重视，多年来，伴随着我国银 行信息化建设，做了大量细致的、卓有成效的工作， 一直贯彻从组织体系、制度体系和技术体系三个方面 入手，逐步建立金融信息安全保障体系的方针。 从总体、宏观的角度看，我国银行计算机网络与信息 系统基本上是安全的，在现有条件下基本能够满足支 撑银行业务职能、保持平稳运行的要求。

(三)金融信息安全发展趋势目前金融信息安全的主要威胁有： (1)人为失误。 (2)欺诈行为。 (3)内部人员破坏行为。 (4)物理资源服务丧失。 (5)黑客攻击。 (6)商业信息泄密。 (7)病毒(恶意程序)侵袭。 (8)程序系统自身的缺陷。

三、信息安全评估标准1. 可信计算机系统评估标准可信计算机系统评估标准(Trusted Computer System Evaluation Criteria,TCSEC)是美国国防部1985年公布的，目的是为安全产品的 测评提供准则和方法，指导信息安全产品的

制造和应用。其评估标准主 要是基于系统安全策略(policy)的制定、系统使用状态的可审计性 (accountability)以及对安全策略的准确解释和实施的可靠性 (assurance)等方面的要求。但其仅适用于单机系统，而完全忽略了计 算机联网工作时会发生的情况。

2.ISO/IEC 15408评估标准随着互联网技术的发展，人们对信息安全概念的进一步深化。为适应信 息安全的需要，美国、加拿大、欧洲等共同发起并公布了ISO/IEC 15408标准，即通用评估标准(common criteria,CC),它从评估目标 的实现过程角度描述了信息安全概念。Common Criteria Project Sponsoring Organizations. Common Criteria for Information Security Evaluation. Version 2. 1. ISO/IEC 15408, Aug. 1999.ISO/IEC 15408评 估标准将安全要求区分为功能要求和保证要求，所选用的安全功能对安 全目标实现的保证体现在实现的正确性和有效性两方面。其中在安全功 能的定义方面，该标准提供了从常用安全应用领域中抽象出来的功能类， 并对安全保证要求提供了分级化的评估等级标准。

3.ISO/IEC 17799评估标准 ISO/IEC 17799,即《信息安全管理操作规则》于2000年12月出 版，作为通用的一个信息安全管理指南，其目的并不是告诉人们 有关“怎么做”的细节，它所阐述的主题是安全策略和优秀的、 具有普遍意义的安全操作。该标准特别声明，它是“制定一个机 构自己的标准时的出发点”,并不是说它所包含的所有方针和控 制策略都是放之四海而皆准的，也不是其他未列出的就不再要求。 ISO/IEC 17799不是一篇技术性的信息安全操作手册，它讨论的 主题很广泛。但是，它对每一项内容都没有深入讨论。所以， ISO/IEC 17799没有提供关于任何安全主题的确定或专门的材料。 ISO/IEC 17799也没提供足够的信息以帮助一个机构进行深入的 信息安全检查，它离认证项目也很远。但是，作为对各类信息安 全主题的高级别概述，ISO/IEC 17799显然是非常有用的，它有 助于人们在高级管理中理解每一类信息安全主题的基础性问题。 要符合ISO/IEC 17799或其他真正的安全标准，都不是一件简单 的事情。需要说明，目前已经有几个国家指出，ISO/IEC 17799 的某些部分与其国家法律存在着冲突，尤其是在隐私领域。

4. 其他安全评估标准 ① ISO国际标准 ② 美国标准局标准ANSI ③ 美国政府标准FIPS ④ Internet标准和RFC ⑤ RSA公司 …… 此处隐藏：2873字，全部文档内容请下载后查看。喜欢就下载吧 ……