資源描述:
《電子銀行安全評估方法探討》由會員上傳分享����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1�、電子銀行安全評估方法探討摘要:本文首先對目前各類電子銀行相關(guān)的規(guī)范和制度進(jìn)行了描述和總結(jié)�����,之后結(jié)合電子銀行的行業(yè)評估現(xiàn)狀���,提出了一種新的基于加權(quán)平均方法的電子銀行評估方式���,最后針對下一步工作提出了有益的建議。關(guān)鍵詞:加權(quán)平均電子銀行評估1序言電子銀行的概念起源于上世紀(jì)70年代�����,發(fā)展至今已有近40年����。隨著其業(yè)務(wù)種類的創(chuàng)新���,電子銀行已成為集電話、手機(jī)��、網(wǎng)絡(luò)等多種方式��,以及自助查詢終端�、ATM����、POS等多渠道于一體的自助全方位服務(wù),可在3A的情況下(即:任何時(shí)間��、任何地點(diǎn)���、任何方式)為客戶提供全天候金融服務(wù)����。電子
2��、銀行業(yè)務(wù)的出現(xiàn)徹底打破了銀行在服務(wù)時(shí)間和空間上的約束���,使銀行無所不在�。在電子銀行發(fā)展初期,由于其安全性問題及虛擬性特征�,人們對其發(fā)展存在著各種疑慮。隨著近幾年各類技術(shù)規(guī)范和標(biāo)準(zhǔn)的逐步出臺�,以及各家銀行管理技術(shù)和能力逐步走向成熟,業(yè)務(wù)也得到快速發(fā)展�����。據(jù)統(tǒng)計(jì)�,2011年我國主要銀行的電子渠道交易替代率已達(dá)65.6%,電子銀行已發(fā)展成為業(yè)務(wù)辦理的最主要渠道之一���。然而�,伴隨著電子銀行的迅猛發(fā)展�����、受關(guān)注程度的提高�����,近幾年來���,各類信息泄露����、賬戶盜用事件的案發(fā)率也呈現(xiàn)逐年上升態(tài)勢,根據(jù)CNNIC最新統(tǒng)計(jì)顯示�����,網(wǎng)絡(luò)電子信息
3��、泄露的比例已超過信息泄露總量的70%��,國家秘密和公眾隱私的安全保密問題已非常突出⑴⑴2011年CNNIC中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告�����?����;谝陨锨闆r���,針對電子銀行的業(yè)務(wù)發(fā)展、安全狀況進(jìn)行評估是時(shí)下熱點(diǎn)之一����。各家商業(yè)銀行由于其業(yè)務(wù)種類的特殊性�����,對其安全10評估歷來較為復(fù)雜��、且技術(shù)性要求較高�,現(xiàn)階段基本通過聘請外部審計(jì)機(jī)構(gòu)來完成�����?����?紤]到各類審計(jì)機(jī)構(gòu)的關(guān)注點(diǎn)不同�����,且涉及商業(yè)機(jī)密�,即便是行業(yè)內(nèi)部人士也很難能對該領(lǐng)域的總體情況進(jìn)行研究剖析。本文下面將首先對現(xiàn)有的電子銀行規(guī)范進(jìn)行歸納比較�����,并結(jié)合不同類別機(jī)構(gòu)電子銀行的發(fā)展
4、現(xiàn)狀�����,提出一種新的評估方式����。2當(dāng)前電子銀行評估方法2.1現(xiàn)有各類制度規(guī)范電子銀行現(xiàn)有評估標(biāo)準(zhǔn)共有四個(gè)大類,經(jīng)歸納可以概括為:技術(shù)類標(biāo)準(zhǔn)���、行業(yè)監(jiān)管標(biāo)準(zhǔn)��、國家基礎(chǔ)標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)四種����。在對電子銀行進(jìn)行評估的過程中�����,我們可充分根據(jù)關(guān)注點(diǎn)和視角的不同�����,選取其中合適的標(biāo)準(zhǔn)進(jìn)行評估����,或者結(jié)合多種評估方式進(jìn)行綜合考慮。下面對幾類標(biāo)準(zhǔn)進(jìn)行簡單介紹�����。1)技術(shù)類標(biāo)準(zhǔn)��。這一類標(biāo)準(zhǔn)主要是國家技術(shù)規(guī)范��,包括《GB/T18336信息技術(shù)安全性評估準(zhǔn)則》(2008年)����、《GB/T20983信息安全技術(shù)網(wǎng)上銀行系統(tǒng)信息安全保障評估準(zhǔn)則(20
5、07年)����、《GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(1999年)、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》(1997年)等國家標(biāo)準(zhǔn)����,這一類標(biāo)準(zhǔn)由國家統(tǒng)一制定,并非電子銀行業(yè)務(wù)類的標(biāo)準(zhǔn)����,通用性強(qiáng)�����,覆蓋面廣�,但是卻難以涉及具體設(shè)計(jì)規(guī)范和技術(shù)的個(gè)性化要求�。2)監(jiān)管類標(biāo)準(zhǔn)。這一類標(biāo)準(zhǔn)包括人民銀行頒發(fā)的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(2012年)���、《電子支付指引》(2006年)����,以及銀監(jiān)會頒發(fā)的《電子銀行業(yè)務(wù)管理辦法》(2005年)�、《電子銀行安全評估指引》(2006年)等,這一類標(biāo)準(zhǔn)一般較為細(xì)致和全面�����,
6��、但是其不足在于多為側(cè)重風(fēng)險(xiǎn)���,屬于行業(yè)監(jiān)管和政策性的導(dǎo)向要求。103)國家基礎(chǔ)標(biāo)準(zhǔn)。這一類標(biāo)準(zhǔn)主要由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會制定的《信息系統(tǒng)安全等級保護(hù)標(biāo)準(zhǔn)》(2007年)�����、以及國家質(zhì)檢總局頒布的《網(wǎng)上銀行系統(tǒng)安全保障要求》(2004年)等構(gòu)成����,這一類標(biāo)準(zhǔn)多為基礎(chǔ)性要求,其中各技術(shù)類的指標(biāo)較為詳細(xì)���,要求難度也相對適中�。4)國際標(biāo)準(zhǔn)�����。這一類標(biāo)準(zhǔn)主要由ISO27000系列安全管理標(biāo)準(zhǔn)(2005年)����、《BS25999業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)》(2007年),以及ITIL等國際規(guī)范構(gòu)成��,此外�����,巴塞爾銀行管理委員
7、會制定的《電子銀行風(fēng)險(xiǎn)管理原則》(2003年)也是一項(xiàng)重要的參考�。2.2現(xiàn)有評估方法及評估方式所謂評估方法,實(shí)際上就是通過一定的評估方式��,對其評估結(jié)果進(jìn)行量化的評定���,并結(jié)合最終的評估結(jié)論進(jìn)行判斷�����,以提供決策的最終依據(jù)�。根據(jù)我國各行業(yè)監(jiān)管機(jī)構(gòu)以及著名的國際四大咨詢公司日常工作準(zhǔn)則���,一般常見的主要評估手段有以下五種:調(diào)閱資料和報(bào)表���、實(shí)地訪談、現(xiàn)場查看���、手工核查����、工具檢測��。1)調(diào)閱資料和報(bào)表。該方式主要是通過翻閱主要規(guī)范�、制度和過程記錄�,對被評估對象進(jìn)行深入了解,獲取其設(shè)計(jì)規(guī)范���、管理情況��、配套資源��。2)實(shí)地訪談����。
8�、該方式主要是借助評估人員的主觀經(jīng)驗(yàn),在與被訪談人員實(shí)際交流過程中�����,獲取其安全意識�����、知識���、技能��、對制度的理解等真實(shí)情況����,并同時(shí)通過訪談?wù)蛑笇?dǎo)評估人員對于制度理解的準(zhǔn)確度。3)現(xiàn)場查看��。該方式主要由評估人員實(shí)地了解各項(xiàng)措施的落實(shí)情況���,以及各項(xiàng)基礎(chǔ)設(shè)施配套安全工作的真實(shí)性�����。104)手工核查��。該方式主要對于評估人員對主要技術(shù)的掌握度要求較高�,主要通過評估人員查看一些工作簿���、日志���、配置,通過多個(gè)角度����,多元化的了解各類設(shè)備
