网上银行系统信息安全保障评估准则
信息安全技术网上银行系统信息安全保障评估准则Information security technology-Evaluation criteria for online banking system information security assurance言弓10. 1网上银行系统信息安全保障的含义网上银行业务是指商业银行等银行业金融机构利用计算机和互联网为客户提供的银行服务,网上 银行 是银行传统业务的电 子化表现形式 ,拓展了银行服务的时间 和空间 。网上银 行是现代信息 技术在银行管理及其金融服务中的拓 展一是促使金融 服务组织 机构与服务形式创新的 项要成果之- -, 网上银行通过国际互联网这一公共资源及其相关技术实现银行与客户之间安全、方便、友好连接,为客户提供 多种金恐服务。信息安全保啼是网上银行系统建设和运行中必须解决的基础和根木性问题,它关系到客户与银行 的切身利益。网上银行系统是一种特定的信息系统(即用于采栠、处理、存储传输、分发和部署信息的 整个基础设施、组织结构、人员和组件的总和)它的信息安全保障工作必须结合银行行业的特点,以风 险和策略为出发点和核心即从网上银行系统所面临的风险和所处的环境出发制定网上银行系统的安 全保障策略在网上银行系统的整个生命周期中从技术、上程、管理和人员等方面提出安全保障要求,确 保伯息的保密性、完整性和可用性特征实现和贯彻组织机构策略并将风险降低到可接受的程度,达到保护网上银行的信息和信息系统资产,从而保跻网上银行业务安全、可靠开展的最终目的网上银行系统信息安全保障活盖以下几个方而:a) 网上银行系统信息安全保院应贯穿网上银行系统的整个生命周期包括规划组织、开发采购、实施交付、运行维护和废弃五个阶段,以获得网上银行系统信息安全保隙能力的持续性心b) 网上银行系统信息安全保陀不仅涉及安全技术,还府综合考虑安令管理、安全工程和人员安 全等以全面保降网上银行系统安全口在安全技术上不仅要考虑具体的产品和技术更要考 虑网上银行系统的安全技术体系架构;在安全管理上、不仅要考虑基本安全管理实践,更要结 合组织的特点建立相应的安全保阱管理体系,形成长效和持续改进的安全管理机制,在安全工 程七,不仅要考虑网上银行系统建设的奻终结果更要结合系统工程的方法注重工程各个阶 段的规范化实施 ; 在人员 安全上婓考虑与网 I 银行系统相关的所有人员包括规划者、设计者 、管理者、运营维护者、评估者、使用者等的安全,意识以及安全专业技能和能力等,c) 网上银行系统信息安全保降是贯穿全过程的保隙。通过风险识别、风险分析、风险评估风险控制等风险管理活动降低网上银行系统的风险,从而实现网上银行系统信息安全保障d) 网上银行系统信息安全保璋的目的不仅是保护信息和资产的安全,更重要的是通过保陓网上银行系统的安全保障网上银行系统所支持的业务从而达到实现组织机构使命的目的e) 网上银行系统信息安全保障是主观和客观的结合,通过在技术管理、工程和人员方面客观地评估安全保障措施,向网上银行系统的所有者提供其现有安全保障工作是否满足其安全保陷 目标的信心。因此,它是一种通过客观证据向网上银行系统所有者提供主观信心的活动,是主观和客观综合评估的结果,f) 保障网上银行系统安全不仅是系统所有者自身的职资,而且俙要社会各方参与,包括电信、电力、国家信息安全基础设施等提供的支撑。保啼网上银行系统安全不仅要满足系统所有者自 身的安全需求,而且要滞足国家相关法律、政策的要求包括为其他机构或个人提供保密公共 安全和国家安全等社会职责II信息安全技术网上银行系统信息安全保障评估准则范即本标准规定了网上银行系统的描述、安全环境、安全保障目的、安全保隙要求及网上银行系统信息安全保障目的和安全保陀要求的符合性声明。本标准适用于规范网上银行系统在进行网上交易过程中涉及信息安全的评估工作。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件 ,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准 ,然而,鼓励根据本标准达成 协议的各方研究是否可使用这些文件的 最新版本。凡是不注日期的引 用文件,其最新版本适用 于本标 准,GBJT 202 74( 所有部分) 信息安全技术信息系统安全保障评估框架3 术语和定义GB / T 20274 确立的以及下列术 语和定义适用于本标准。网上银行online banking商业银行通过互联 网等公众网络基础设施 ,向其客户提供各种金融业务 。4 系统描述4. 1 网上银行系统概述网上银行系统是商业银行通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要的信息系统,在进行网上银行系统的信息安全保障工作时首先必须建立对网上银行系统的充 分了解和理解。本标准 所使用的网上银行系统的描述框架如图 。信息系统使命信息系统概述信息系统标识信息系统环境描述信息系统评估边界和接口描述信息系统安全域描述组织机构描述管理制度、法规描述系统资产描述信息系统详细描述管理体系技术体系业务体系网络基础设施描述技术应用描述适用技术标准描述主类业务应用描述业务流程描述廿务信息流描述图 1网上银行系统描述框架GB/T 20983 一2007 所屈银行: X X 银行 版本, X X X 时间,x x x x - x x- x x 版权信息、,x x4. 3. 2系统环境描述描述系统运行 环奖以及系统 开发、棠成和维护的 环境。在网上银行系统信息安全保障目标中用户(系统的 使用方)应给出其 所评估的网上银行系统的详细环挠描述。4. 3. 3评估边界和接口描述描述所要评估系统的边界和接口。应根括所需 评估的 系统的 实际情况,综合考虑安全域等原则进行边界划分 ,在具体描述时必须用图 表或文字清晰地描述和界定所要评 估的系统边界和接口。图 2 给出了网上银行 系统的一个通用 概念 化的图 表描述实例,具 体特 定的网上银行系统可以 参考此图对其评估边界和接口进 行详细描述。网上银行信息系统安全域通常由五个部分组成: 外部区域 网上银行的公众用户和第三方系统可以通过互 联网或专用网访问网上银行业务系统;一网上银行业务系统;银行内部其他系统;一各银行内部核心业务系统; 一公钥基础设施七:雀其中评估边界 不包括客户端、互联网、公钥基础设施和核 心业务系统 。 - . .安全评估区域 ;三、互、-联一网产客户埮:广一一一飞;图 2网上银行系统评估边界和接口描述示意图4. 3. 4安全域描述网上银行系统是一个涉及多种不同的应用系统、用户对象、数据敏感程度、主管部门等的复杂信息系统。在网上银行系统的描述中,应根据应用系统、用户对象、数据敏感程度、主管部门等划分安全域。安全域是 一种逻辑的 划分,它是逍可相同的安全策略的用户和系统的棠合。通过对安全域的描述和界定,就能更好对网上银行系统的信息系统安全保陬进行描述。以OO 2 网 上银行 系统评估边界和接口示意图为例,在安全评估区域内的网上银行业务系统的安全域可根据需要进一步划分子安全域 。图 3 为网上 银行 系统的子安全域划分示例。具体而言 ,网上银行 系统主要包括:客户端 、网上银行访问 子网和网上银行业务系统 、CA 和中间隔离设备。如图 3 所示:一外部区域:网上银行的用户,安装网上银行客户端,通过互联网访问网上银行业务系统; 安全域 1 : 网上银行访问子网主要提供客户的 we b 访问和证书认 证; 一一安全域 2 网上银行业务系统 ,主要 进行网上银行的业务处 理,银行内部系统:银行处理系统,主要进行银行内部的数据处理。图中 CA 是证书颁发和管理机构 ,它主要为银 行客户、银行工作人员 以及网上银行 we b 服务器等设备提供公开密钥 证书 服务。某些银行安全区域 1 和安全区域 2 合为一 个安全 区域。GB/T 20983一2007这个载体才能 影响网上银行系统使命的实现。在网上银行 系统中,资产分为物理资 产和信 息资产。4. 4. 1. 3. 1物理资产物理资产:指网上银行系统中的各种硬件、软件和物理 设施例如系统 的各种网络设 备和软件资产 在网上银行系统信息安全保障目标中,应详细列 出所评估的特定网上银行系统中的所有重要资产。下面仅列出在网上银行 系统中所包含的部分物理资产示例作为参 考a) 物理设施物理设 施包括场地、机房、电力供给(负荷量 及冗余、备份、净化)、灾 难应急(防水、火、地贮、雷击等)、文档及介质存储。b) 硬件资产硬件资产包括:l)计莫机: 包括大中小型计算 机、个人计算机;2) 网络设备 包括交换机、集线 器、网关设备 或路由器、中 继器、桥接设备、调制 解悯器Modem 池、配线架3) 传 输介质及转换器:包括同轴电缆(粗细)、双绞线、光缆光端机、卫屋信道(收发转换装置)、微波信道(收发转换装置);4) 输入输出设备:包括键盘、电话机、传真机、扫描仪、打印机(激光针式喷墨)、显示器、 终端(数据图像);5) 存 储介质 :包括纸介质、磁盘、磁光盘、光盘(只读一次写 入多 次擦写) 、磁带、录音录像带;6) 监控设备:包括摄像机、监视器、电视机、报菩装置。c) 软件资产软件资产包括;1) 计摔 机揉作系统 l2) )网络操作系统:3 )网络管理软件;4 )数据库管理软件;5)业务应用 软件 。4. 4. 1. 3. 2信息资产信息资产:指在网上银行系统计划组织、开发采购、实施交付、运行维护和废弃这一网上银行系统生 命周期过程中产生的同网上银行系统 本身相关的有价值的信息以及网 上银行系统 所存储、处理和传输的各种相关的业务、管理和维 护等信息。例如,系统的网络 配笐信息、各种维护升级记录、各种业务应 用信息等。下面仅列出在网上银行系统中所包含的 部分信息资产示例作为参考:网上银行业务信息;客户档案信息、客户操作记录、安全信息和交易业务数据等;网上银行业务管理信息:柜员档案信息、柜员操作记录、安全信息 :系统维护管理信息:包括系统运行日志、系统审计日志、系统监督日志、人侵检测记录、系统口 令、系统权限设置 、数据存储分 配、内部网络地址 、系统配置数据、网络设备 的配贺信息、路由信息、IP 地址分配信息 、设备采购信息 、设备维护及升级 记录、布线图纸、布线系统维护及升级记录、通信线路参数、以及其他信息等。4. 4. 2 网上银行系统技术体系-3技术体系是信息系统描述的基础,斋要对现有的各种应用、相应的网络基础设施和所使用的技术标 准进行描述,这些描述将帮助了 解网 上银行系统并为进 一步描述业务系统 提供基础和支待。技术体系描述包括业务支持层、系统服务层 和基础设施层的描述。见图 4。