前言:中文期刊网精心挑选了信息安全等级保护条例范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全等级保护条例范文1
[关键词]等级保护;等级备案;等级测评
doi:10.3969/j.issn.1673 - 0194.2017.04.115
[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2017)02-0-02
0 引 言
随着全球信息技术的快速发展,我国国民经济的繁荣和社会信息化水平的日益提升,信息安全已上升为国家层面的重要内容。为进一步提高信息安全保障工作的能力和水平,2016年国家网络安全宣传周首次在全国范围内统一举办,并首次在地方城市举行开幕式等重要活动。由此信息安全等级保护制度也越来越成为信息社会必不可少的一项制度,等级测评工作也将随之逐步成为一项常规化工作,对保障国家网络安全具有重要意义。下文对信息安全等级保护的概念及发展状况进行梳理。
1 信息安全等级保护的概念
信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作,是国际上很多国家都实施的一项信息安全工作。在中国,信息安全等级保护广义上是为涉及信息安全工作的标准、产品、系统、信息等依据等级保护思想确立的安全工作;狭义上一般指信息系统安全等级保护。
2 信息安全等级保护的发展历程
全球化网络快速发展的同时其脆弱性和安全性也日益彰显,西方发达国家制定了一系列强化网络信息安全建设的政策和标准,其核心就是将不同重要程度的信息系统划分为不同的安全等级,以便于对不同领域的信息安全工作进行指导。鉴于此,我国相关部门和专家结合我国信息领域的实际情况经过多年的研究,于1994年由国务院下发了《中华人民共和国计算机信息系统安全保护条例》,首次提出了信息安全等级保护的概念,用于解决我国信息安全问题。之后经过了十几年的摸索和探究出台了一系列从中央到地方的政策法规,并实施工程。从计算机系统的定级到等级保护测评,信息安全工作逐步完善。详情见表1。
随着国家对信息安全工作的重视以及各类等级保护规范标准的出台,各行业及监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。目前,国家已出台70多个国标、行标及报批标准,展开了对所属安全系统进行先定级后测评的工作。
3 信息安全等级保护具体实施过程
信息安全等级保护具体的实施过程,如图1所示。
3.1 定级
2007年开始在全国范围内进行信息系统等级保护的定级工作。四级以上的定级要求请国家信息安全保护等级专家评审委员会评审定级。此项工作历时一年基本完成。
定级标准为公安部66号文件。主要依据是《信息系统安全保护等级定级指南》(国家)或行业制定的定级指南。对于等级的划分,见表2。
定级注意事项
第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级一些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如:不涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等。
第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业及控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等,例如,网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如:电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等。
第五级信息系统:适用于国家特殊领域的极其重要系统。
3.2 等级备案
已运行的系统在安全保护等级定级后30日内,由运营、使用单位到所在地区的市级以上公安机关办理备案手续。新建的系统,在通过立项申请后30日内办理。将定级情况报各地公安部门备案。
办理备案手续时备案单位需向公安机关网监部门提交以下备案材料。①《信息系统安全等级保护备案表》纸质材料一式两份。该表由“等级保护备案端软件”生成,操作时请详细阅读软件使用说明书。第二级以上信息系统备案时需提交表中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交表四及其有关材料。②《信息系统安全等级保护定级报告》纸质材料一式两份。每个备案的信息系统均需提供对应的《信息系统安全等级保护定级报告》。
③备案电子数据。每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,以压缩文件(RAR格式)方式保存。
3.3 对照等级标准和要求进行安全建设分析整改
备案工作完成后,需要对照所定的级别对信息系统进行安全建设整改。从满足政策、满足标准和满足用户需求入手,有条件的单位可以请专业机构帮助给出整改意见,在技术和管理两个方面进行整体规划和设计。在设计过程中要考虑近期和远期规划,从而给出总体和详细的方案,特别要把技术体系、物理安全、管理安全、应急与灾备全面进行细分,细分为不同的子项,分项完善。之后就可以进入具体实施操作阶段。
3.4 等级测评
信息系统完成建O整改实施操作之后就可以进行等级保护的测评。等级保护测评工作需要由有“DJCP”(公安部信息安全等级保护测评)认证的测评机构来完成。有“DJCP”资质的机构在“中国信息安全等级保护网”可以查询到。测评时间一般为一个月。测评过程如下。
(1)测评准备阶段:召开项目启动会布置测评需要准备的材料(系统拓扑图、规章制度、设备参数等),测评机构根据提供的材料准备下一步的测评工具和表单。
(2)测评方案编制阶段:测评机构针对测评对象制定测评指标,填写测评内容,并编制测评方案书。双方进一步沟通测评时间及测评场地的测评内容和测评流程。
(3)现场测评阶段:测评机构按照测评方案的测评内容对项目中的管理和技术测评项进行逐一的测评,记录测评相关数据。需要注意的是在现场测评过程中尽量不要影响被测系统的正常运行。可以选择错开业务高峰期或下班后的时间。为了保证被测系统不受影响,系统维护人员应在现场进行配合。
(4)报告编制阶段:测评机构根据测评内容和数据进行整理,给出测评报告,告知风险点和测评发现的问题。
测评结果有三种:不符合,即未通过测评;部分符合和全部符合,后两种为通过测评。
在等级保护测评方面,按照要求,三级的信息系统应当每年至少进行一次安全自查和安全测评;四级的信息系统应当每半年至少进行一次安全自查和安全测评;五级的应当依据特殊安全要求进行安全自查和安全测评。
4 信息安全等级保护的发展现状
随着信息技术的不断发展,云计算、移动互联、物联网、工业控制、大数据等概念的出现对信息系统等级保护提出了新的要求。在新技术应用背景下,等级保护的标准和规范也将随之不断调整,信息系统和测评机构都需要不断提高自身的技术能力以适应新技术发展的需求。保证信息系统的循序建设和长期稳定的运行,是等级保护建设的重要意义。
主要参考文献
信息安全等级保护条例范文2
【 关键词 】 信息安全;等级保护;定性分析;定量分析
【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws, such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme, the accuracy of classified protection of information system could be promoted.
【 Keywords 】 information security; classified protection; qualitative analysis; quantitative analysis
1 引言
按照国家相关法律和国家标准,一些重要行业、重要单位需要根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民法人和其他组织的合法权益的危害程度等因素,对重要的信息系统确定其应该达到的安全保护等级(分为五个级别),信息系统安全保护能力随着其被确定的安全保护等级的增高,逐渐增强。在对信息系统进行定级、采取安全防卫措施后,还需要确认该系统是否已经达到相应的保护等级及在未达到的情况下给出整改方案。
按照《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全保护等级划分准则》等法规和标准,信息系统的安全等级保护流程分为:确定等级、安全建设、等级测评、安全整改、安全检查等五个步骤。
2 定级流程
现有方法在定级流程的第二和第三步,即评定定级对象的业务信息安全保护等级和系统服务安全保护等级时,国家标准GB 17859-1999《信息系统安全保护等级定级指南》中建议各行业可根据本行业信息特点和系统服务特点,制定客体被侵害程度的综合评定方法。但现实中缺乏一套通用的准则和方法,因此在评价客体被侵害程度时受到人为因素的影响程度较大,定级过程中人员的主观性强,对定级结果产生不利影响,如果定级不够准确,则将影响该信息系统的后续防护工作,即不能实施与国家标准中匹配的防护强度,给防护带来较大的安全隐患。
本文主要针对现有定级工作定级缺乏可行的准则,定级结果主观成分大,定量不足的缺点,提出一种定性与定量结合的定级方法,提高信息系统的安全保护等级的定级准确性,从而安全建设环节根据定级结果做好重要信息系统的安全防护。
2.1 确定定级对象和受侵害的客体
为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
2.3 确定对客体的侵害程度
(1)侵害的客观方面。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。(2)综合判定侵害程度。国家标准GB 17859-1999《信息系统安全保护等级定级指南》种,将不同危害后果的三种危害程度描述:一般损害、严重损害、特别严重损害。
2.4 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
3 基于层次分析法的定级
本文采用层次分析法来进客体被侵害程度的定量确定。
3.1 建立层次分析模型
建立层次分析模型的过程:首先建立最高层(解决问题的目的);中间层(实现总目标而采取的各种措施、必须考虑的准则等,也可称策略层、约束层、准则层等);以电信业务这一客体被侵害时受到影响必须考虑的因素为例,通常需要考察电信业务的覆盖区域(面积)、该电信业务覆盖范围内的用户人数、区域内业务量(一定时间周期内的用户拨打和接听电话的时间长度)三个指标,需要说明的是,电信业务客体受到侵害需要考虑的不止以上提到的三个因素,在实践中,还可以考虑其他因素。
最低层(用于解决问题的各种措施、方案等,也称为方案层)。备选的方案为国家标准GB 17859-1999《信息系统安全保护等级定级指南》中确定的五个等级,分别是第一级、第二级、第三级、第四级和第五级。
针对确定客体被侵害程度问题建立的层次分析模型如图1所示。
3.2 构造成对比较矩阵
从层次分析模型的第二层开始,对于从属于(或影响)上一层每个因素的同一层诸因素,用成对比较法和1-9比较尺度构建成对比较矩阵,直到最下层。下面结合实例,构造成对比较矩阵。以某地电信部门的电信系统的业务客体被侵害为例,得到三个指标的重要性依次为:区域内业务量>该电信业务区域的用户人数>电信业务区域覆盖范围。在矩阵中令区域业务量为m11,当前可用上传带宽为m22,电信业务区域覆盖范围为m33。
构造一个三阶矩阵Mij(3*3),根据长期积累的经验,其中m12=3,表示区域内业务量相比该电信业务区域的用户人数略重要,m13=5,表示区域内业务量相比电信业务区域覆盖范围重要,m23=3,表示该电信业务区域的用户人数比电信业务区域覆盖范围略重要,从而得到三阶矩阵。
3.3 计算权向量并做一致性检验
要求成对比较矩阵具备一定的一致性即可。由分析可知,对完全一致的成对比较矩阵,其绝对值最大的特征值等于该矩阵的维数。
检验成对比较矩阵M一致性的步骤如下:计算衡量一个成对比矩阵M(n>1阶方阵)不一致程度的指标CI为:
CI=
其中max(M)是矩阵M 的最大特征值,n为矩阵的阶数。
通过计算,λmax为3.0385,特征向量为(0.6370, 0.2583,0.1047),即权重分别为0.637, 0.258和0.104
CI==0.01925
CI=0,有完全的一致性。CI接近于0,有满意的一致性,反之CI越大,不一致越严重
按公式计算成对比较矩阵M 的随机一致性比率CR:
CR=
RI称为平均随机一致性指标,它只与矩阵的阶数有关,可从有关资料查出检验成对比较矩阵M一致性的标准RI。查表得出三阶矩阵对应的RI为0.58,故有:
CR==0.033
判断方法:(1) 当CR
3.4 计算客体被侵害的程度
在计算出每个评价因素的权重后,由于每个评价因素的数值隶属于不同体系,因此要在同一标准体系下进行评价,在本例中,区域是以平方公里为单位,业务受到影响的用户数量以万人为单位,业务量是以万小时/天为单位,在实践中将每个评价因素的实际数值采用Decimal scaling小数定标标准化方法进行归一化,通过归一化因子,将每个评价因素的取值范围限定于[0,1]。
国家标准GB 17859-1999《信息系统安全保护等级定级指南》中将等级保护对象受到破坏后对客体造成侵害的程度归结为三种:a.造成一般损害;b.造成严重损害;c.造成特别严重损害。
定义:损害值D(Oi)为客体Oi被侵害的分值。
:D(Oi)∈(0,0.3],则定义该客体受到的损害为一般损害
∈(0.3,0.8],则定义该客体受到的损害为严重损害
∈(0.8,1],则该客体受到的损害为特别严重损害
实践中,可根据需要调整区间大小。
举例来说,某市某区常住人口为60万,电信业务量为平均80万小时/每天,该区面积为250平方公里,通过归一化公式X'=,其中,j是使得X'落入[0,1]的最小整数。
可计算出:
人口Pg=0.6,电信业务量Tg=0.8,业务覆盖面积Sg=0.25 α=0.6370,β =0.2583 γ=0.1047,将归一化后的三个评价因素,代入公式D(Oi)= αPg+βTg+γSg,求得D(Oi)=0.61。
从定义可以看出,客体受到“严重损害”,该客体属于社会秩序和公众利益范畴,根据业务信息安全保护等级矩阵表,侵害程度为第三级,故该信息系统的业务信息安全等级被定为“三级” 。对该信息系统的系统服务安全等级,可遵循同样的方式计算得到,最后比较两个等级,取最高等级作为最终该信息系统的安全保护等级。
4 结束语
本文针对现有信息系统的安全保护定级工作缺乏可行的定级准则,定级结果较大程度上取决于人的主观感受、定性成分大和定量分析不足的缺点,提出一种定性与定量结合的定级方法,提高信息系统的安全保护等级的定级准确性,从而根据定级结果做好重要信息系统的安全防护。
参考文献
[1] 姜政伟,赵文瑞,刘宇,刘宝旭.基于等级保护的云计算安全评估模型[J]. 计算机科学, 2013(08).
[2] 陈志宾.基于等级保护思想的信息平台安全研究与实现[D].河北工业大学,2012.
[3] 曾颖.医院信息系统等级保护安全体系设计[J].微型电脑应用,2014(03).
[4] 肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011(07).
[5] 韩岳.高安全等级网站系统服务器安全研究[D].中国人民信息工程大学,2011.
基金项目:
广东省战略性新型产业发展专项资金(高端新型电子信息产业)项目资助(项目编号:2012556028)。
作者简介:
王伟(1983-),男,重庆人,博士;主要研究方向与关注领域:信息安全、云计算。
信息安全等级保护条例范文3
【 关键词 】 信息安全;规划;规范;完善;信息系统
Research Into the Information Security Status Quo at Home and Abroad
Lin Lin
(Information Security Department of the Patent Office Beijing 100088)
【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis, for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect, standardization of information security system provides some reference opinions.
【 Keywords 】 information security; planning; specification; perfect; information system
1 引言
在当今全球一体化的环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势,世界各国高度重视信息安全保障。2015年已然过半,在安全行业,不同规模的攻击者,无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善,信息保障已成为美军组织实施信息化作战的指导思想。
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有几个:ISO(国际标准化组织)、IEC(国际电工委员会)、ITU(国际电信联盟)、IETF(Internet工程任务组)等。除了上述标准组织,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。
2 国外IT新技术信息安全
随着全球信息化浪潮的不断推进,信息技术正在经历一场新的革命,使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现,对信息安全提出了新的要求,拓展了信息安全产业的发展空间。同时,新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度,催生云安全等新的信息安全应用领域,为国外企业与国际同步发展提供了契机。
2.1 云计算
“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的,云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险:(1)数据丢失/泄漏;(2)共享技术漏洞;(3)内部控制;(4)账户、服务和通信劫持;(5)不安全的应用程序接口;(6)没有正确运用云计算;(7)透明度问题。
2.2 虚拟化
咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位,而在2014年初预测中,更是大胆断言到2015年20%的企业将不再拥有IT资产,因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产,这些趋势主要是虚拟化、云计算服务等。而虚拟化技术,作为云计算的一个支撑技术,必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少,但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类:逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。
2.3 物联网
物联网和互联网一样,都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统,其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些特殊的安全问题主要有几个方面:(l)物联网机器/感知节点的本地安全问题;(2)感知网络的传输与信息安全问题;(3)核心网络的传输与信息安全问题;(4)物联网应用的安全问题。
2.4 IPv6
为适应Intemet的迅速发展及对网络安全性的需要,由IETF(The Internet Engineer Task Force)建议制定的下一代网际协议(IPNextGeneration Protocol,IPng),又被称为IP版本6(1Pv6),除了扩展到128位地址来解决地址匮乏外,在网络安全上也做了多项改进,可以有效地提高网络的安全性。
由于IPv6与IPv4网络将会,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
3 国外信息安全发展趋势
据Gartner分析,当前国际大型企业在信息安全领域主要有几个发展趋势:(1) 信息安全投资从基础架构向应用系统转移;(2)信息安全的重心从技术向管理转移;(3)信息安全管理与企业风险管理、内控体系建设的结合日益紧密;(4)信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势,国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型,着力建立全面的企业信息安全体系架构,使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。
4 国外信息安全总结
信息安全在国外已经上升到了国家战略层次,国外的信息安全总体发展领先于国内,特别是欧美,研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多,都有其适用范围和缺点,并不完全符合我国现状,可选取框架的先进理念和组成部分为我国所用,如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。
5 国内信息安全综述
目前,国家开始高度重视信息安全问题,以等级保护和分级保护工作为主要手段,加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态,信息与网络安全,目前处于忙于封堵现有信息系统的安全漏洞,要解决这 些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。
6 国内信息安全标准
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。
在信息安全标准方面,我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准,初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。
7 国内IT新技术信息安全
7.1 云计算
目前我国的云计算应用还处于初始阶段,关注的重点是数据中心建设、虚拟化技术方面,因此,我国的云安全技术多数集中在虚拟化安全方面,对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案,但云安全仍处于起步阶段,除了可能发生的大规模计算资源的系统故障外,云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。
7.2 虚拟化
由于虚拟化技术能够通过服务器整合而显著降低投资成本,并通过构建内部云和外部云节省大量的运营成本,因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实:存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面,企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步,发展势头比之前预想的还要迅猛。
7.3 IPv6
我国IPv6标准整体上仍处于跟随国际标准的地位,IPv6标准进展与国际标准基本一致,在过渡类标准方面有所创新(如软线技术标准和 IVI技术标准等),已进入国际标准。中国运营企业在IPv6网络的发展,奠定了中国在世界范围内IPv6领域的地位,积累了一定的运营经验。但总体来看,我国IPv6运营业发展缓慢,主要体现在IPv6网络集中在骨干网层面,向边缘网络延伸不足,难以为IPv6特色业务的开发和规模商用提供有效平台。此外,由于运营企业积极申请IPv4地址,或采用私有地址,对于发展IPv6用户并不积极,直接影响了其他产业环节的IPv6投入力度。
8 国内信息安全发展趋势
随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,主动防御技术成为信息安全技术发展的重点。
第一,向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御,产品功能集成化、系统化趋势明显,功能越来越丰富,性能不断提高;产品问自适应联动防护、综合防御水平不断提高。
第二,向网络化、智能化方向发展。计算技术的重心从计算机转向互联网,互联网正在逐步成为软件开发、部署、运行和服务的平台,对高效防范和综合治理的要求日益提高,信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。
第三,向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为发展重点。
9 国内信息安全总结
国内的信息安全较国外有一定距离,不过也正在快速赶上,国内现在以等级保护体系和分级保护体系为主要手段,以保护重点为特点,强制实施以提高对重点系统和设施的信息安全保障水平,国内的信息安全标准通过引进和消化也已经初步成了体系,我国在规划时,需考虑合规因素,如等级保护和分级保护。国内的信息安全体系框架较少,主要是等级保护和分级保护,也有国内专家个人推崇的框架,总体来讲,以合规为主要目的。
参考资料
[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.
[2] 公安部,国家保密局,国家密码管理局,国务院信息化工作办公室.信息安全等级保护管理办法.2007.
[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.
[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.
[5] Trustwave .2012 Global Security Report,2012.
[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April, 2006.
信息安全等级保护条例范文4
关键词 网络安全 网络管理 网络安全管理制度
中图分类号:TP315 文献标识码:A
在网络化信息化快速发展的今天,网络安全问题几乎对任何一个团体都不再是可有可无的话题。据赛门铁克诺顿2012 年 9 月11日公布的一年一度的诺顿网络安全报告推测,在之前的一年中网络犯罪致使全球个人用户蒙受的直接损失高达 1,100亿美元,而在中国,估计有超过2.57亿人成为网络犯罪受害者,所蒙受的直接经济损失达人民币2,890亿元。
网络安全已经受到各国家、企业团体的高度重视。美国国防部的《可信计算机系统评估准则》,将计算机安全划分为四个等级,带动了国际计算机安全的评估研究。加拿大颁布了《网络加密法》《个人保护与电子文档法》《保护消费者在电子商务活动中权益的规定》。我国也相继制定了一系列信息安全管理的法规制度,包括《计算机信息系统安全保护条例》《商用密码管理条例》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》《计算机病毒防治管理办法》《信息安全等级保护管理办法》等,并将计算机犯罪纳入刑事立法体系。各国对网络安全的重视也促进本国的企业团体的网络安全建设。我国各企事业单位、社会团体对网络安全管理越来越重视,纷纷制定本单位的网络安全监测、管理制度。但是由于网络技术的不断进步、网络新应用的持续发展,网络安全新情况、新问题仍然不断发生。
1目前网络安全建设存在的问题
1.1忽视对网络安全技术人员的培训
很多单位对网络和安全设备等有形资产舍得投资,但对网络安全技术人员的培训等方面的投资却不够重视。好的设备需要掌握相关技能的人员操作管理才能充分发挥其功能,由缺乏技能的人员管理安全设备常常并不能起到安全保护作用。配置不当的网络和安全设备本身也有可能成为攻击对象,例如使用telnet、http等非安全方式登录管理设备,未限制或未关闭设备本身的FINGER 服务、tftp 服务等。
1.2对非信息安全部门的员工教育不足
现在很多网络攻击行为常常使用社会工程学等非技术方法,而且这种攻击行为越来越多。社会工程学是利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问。 Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年最大的安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的。”
这种攻击行为本身并不需要太多的计算机网络技术,所以单纯靠提高网络安全技术人员的技术水平无法解决此类安全问题。这需要加强对员工的网络安全教育,提高所有员工的网络安全意识,使以符合网络安全规则的方式做事成为员工的习惯。
1.2.1网络安全管理制度建设缺乏持续性
网络安全管理是一个动态的系统工程。网络安全管理制度需要根据网络安全技术的发展、业务系统的发展而更新改进。网络安全管理制度既体现网络安全管理者对团体成员的行为标准的要求,又建立了一个保证安全策略及时下发实施的上传下达的通道,保证重大紧急事件的及时处理。例如安全事故处理流程既要规定各级管理人员能够自行处理的事件的级别,又要规定事故汇报请示流程,保证领导层能够掌握重要安全事件处理进度,及时做出决策。
1.2.2在网络安全评估量化方面存在困难
现在存在很多以量化指标衡量网络系统的安全程度的方法,例如以网络系统中各个分量的重要程度、被入侵的概率等作为权重来计算整个系统的安全量化指标,或者以系统从受到攻击到入侵成功所需时间来衡量其安全程度。这些方法对于网络安全系统的建设和评估具有重要指导意义,但是由于现实中网络安全涉及的不可控因素太多,这些衡量方法的使用效果并不总是令人满意。网络安全服从木桶理论,一个系统中的安全短板决定着这个系统整体的安全程度。不当的安全评估量化方法无法准确评估一个系统的安全程度,无法给领导层和网络安全管理人员以正确的回馈。
2网络安全建设建议
2.1结合本单位业务细化网络安全管理
首先,根据业务特点和安全要求,对整体网络进行物理和逻辑安全分区,在安全区域边界设置访问控制措施,防止越权访问资源。对于不同安全需求,可以采用单独组网、网闸隔离、防火墙等安全设备隔离、静态和动态VLAN逻辑隔离和ACL访问控制等。在服务器等重要区域,可以增设IPS或IDS、WEB防护设备、网页防篡改系统等增强保护力度。
第二,加强对IP地址和接入端口的管理。在条件允许的情况下,对于平时位置和配置固定的服务器和PC机,采用用户名/密码/MAC地址结合网络接入设备端口的身份验证策略,强制用户使用分配的IP地址和接入端口,不允许其随意修改。对于暂时不用的交换机端口应该予以关闭,避免外来计算机随意接入内部网络。
第三,网络和安全管理人员的管理权限、管理范围必须界定清楚,网络和安全设备的操作日志必须保存好。网络和安全管理人员的管理权限和范围根据各人的职责分工、管理能力进行划分,保证每位管理人员必要的操作管理权限,同时防止设备管理混乱。网络和安全设备操作日志应详细记录每个操作人员的操作,需要时应该可以追踪到所有操作人员的操作过程。
第四,以统一的安全管理策略利用安全设备和安全软件进行监管,减少人为干扰产生的例外情况。安全策略部署中的例外情况日后往往会成为安全隐患,例如,一些人员以各种借口拒绝在其工作用机上实施安全策略,或者需要开通特殊网络服务等。对于无法避免的例外情况应该指定专人负责记录、提醒、监督相关管理人员及时更改和恢复策略等。
2.2合理安排岗位职责
在一个大中型局域网中,网络管理人员不但需要保证诸如重要服务器、存储设备、门户网站等的网络畅通,而且常常需要担负IP地址规划、员工机器网络故障处理、网络系统升级改造、设备维保管理、机房环境管理、最新网络和安全技术跟进、新型网络和安全设备测试等诸多事项,所以一般无法做到单人单岗,人员的职责划分难免出现重叠区域。对于这种情况,应该按照重要程度对各岗位职责进行等级划分,把关系全局、实时性要求高的应用系统、数据存储系统等关键网络应用系统的网络安全保障作为关键工作,指定2~3人重点负责,并且把关键工作的维护人员之间的分工合作方式以制度的形式确定下来。
2.3管理层的重视和支持
首先,网络安全问题的暴露都具有滞后性,安全管理缺位造成的影响短期内并不一定能够显现出来,但是长期持续下去必然导致安全问题的发生。领导层应该对网络安全建设常抓不懈,并以制度的方式予以保证。
其次,网络安全基本数据、各部门对安全的需求等基础信息收集工作的开展常需要管理层的支持和协调,网络和安全管理策略的实施更是离不开管理层支持。目前网络安全很多威胁不是来自外部,而是缘自内部人员对网络安全知识的缺乏和对安全制度、措施的漠视,例如,个别内部机器不按要求安装主机安全软件、私自下载安装来源不明软件等。所以应该指定领导专门负责网络安全的实施和监督,配合网络安全部门技术人员完成安全措施的部署落实,做好网络安全的定期检查工作。
第三,大部分企事业单位里安全投资是属于运营成本,领导层难以期望安全投资会直接带来利润。ITIL(Information Technology Infrastructure Library,信息技术基础架构库)提供了对IT资源进行财务计量的方法,在企事业内部把IT部门为其它部门提供的服务进行量化,以便更好地体现IT部门的经济效益。但是从企事业单位的整体来看,对于大部分企事业单位,内部网络安全管理的投入仍然划归为基础运营成本。尽管如此,网络安全管理的重要性不应被忽视。
信息安全等级保护条例范文5
国外手机银行起步早,发展程度和特色各异,目前比较有代表性的国家有日本、韩国、美国和欧洲。
日本手机银行业务发展中最大的特点是:推动该业务的主体是移动运营商,不是银行,银行是配合连接支付。移动运营商利用自身在产业链中的优势地位,整合终端厂商和设备提供商的资源,联合银行提供手机银行业务。在日本,手机银行的安全管理受到高度重视,终端可以直接使用Java和SSL,交易的信号经过了多重加密,再加上与各银行间使用专线网,因此,银行业和消费者对这一业务的信赖程度十分高。同时,移动运营商把移动支付作为重点业务予以积极推进,目前手机银行在日本已经成为主流支付方式。
韩国手机银行业务已经形成一定规模,几乎所有韩国的零售银行都能提供手机银行业务。韩国人在购买新手机时,会选择具备特殊记忆卡的插槽,用以储存银行交易资料,并进行交易时的信息加密。在韩国有几万家餐馆和商店拥有能从手机通过红外线读取信用卡信息的终端,使顾客能够通过手机进行消费支付。韩国手机银行业务飞速发展的关键在于韩国银行业对手机银行业务的高度重视,积极推进。银行期盼客户使用手机银行,因为这将为银行节省大量柜面操作成本,从而使银行员工可以集中精力于其他具有更高价值的活动,同时也可使客户享受到现代支付的便捷和实惠。
美国手机银行市场近年来进入快速发展阶段。2009年Nielsen公司统计美国手机银行用户达到1300万,其中约三分之二仍在使用SMS模式的手机银行。而据comScore公司的分析报告,至2011年6月份,美国约有13.9%的移动通讯用户,即3200万人曾经使用过手机银行,比2010年第四季度增长了21%,其中仅客户端应用形式的手机银行用户就有1200万,相比2010年第四季度增长了45%。
我国手机用户发展潜力不容小觑。自1999 年中国移动与中国银行、中国工商银行、招商银行合作推出最早的手机银行业务,工商银行等几家银行几乎同时于2000年5月推出基于SIM卡的手机银行业务。2003-2004年期间,随着短信应用的普及,各家银行先后推出基于短信的手机银行业务。2005-2008年出现了JAVA、WAP技术为主的多样化手机银行。截至2011年11月末,工、农、中、建行手机银行客户约1亿户,交易量达27144亿元。这与我国10亿多手机用户相比,占比不足10%,其发展潜力不容小觑。所以,各大银行均在积极开展手机银行业务,“抢滩登陆”,以期在信息化变革中分得“一杯羹”。
二、手机银行技术发展历程
手机银行随手机技术突破渐次发展。每一次的技术突破都使手机银行上一新台阶。纵观手机银行采用的技术经历,主要有STK、SMS、USSD、BREW、WAP、JAVA移动客户端应用等方式。
基于短消息(SMS)的手机银行由手机、GSM短信中心和银行系统构成。在手机银行的操作过程中,客户通过SIM卡上的菜单对银行发出指令后,SIM卡根据客户指令生成规定格式的短信并加密,通过GSM网络发出短信给相应的银行系统,银行处理客户的请求,并把结果转换成短信格式发给客户。
基于STK卡的短消息方式是将银行服务的菜单写入特制的STK卡,从而便于客户的菜单式操作,同时,STK卡本身有比较完善的身份认证机制,能有效保障交易安全。其缺陷是:STK卡的容量有限,通常只能在卡里写入一家银行的应用程序,而且不能更改,OTA空中下载技术虽可以更新STK卡里的内容,对服务进行升级,但仍然比较麻烦;短信的存储转发机制会使交易在网络运营商的服务器那里留下记录;业务和商业模式存在缺陷,尽管可以将换卡手续改在银行柜台办理,但这需要银行与网络运营商的更深层次的合作。
USSD即非结构化补充数据业务,是一种基于GSM网络的新型交互式数据业务。USSD消息通过7号信令通道传输,可与各种应用业务保持对话。USSD将现有GSM网络作为一个透明的承载实体,可自行制定符合本地客户需求的相应业务,对原有的通讯系统几乎没有什么影响。USSD方式的优势在于:客户群体不需要换卡,适用大多数型号的GSM手机;实时在线,一笔交易仅需一次接入。其局限则是:不同类型的手机的界面显示有较大差异;从银行端到手机端的下行信息无法实现端到端的加密。目前该业务在国内尚未普及。
WAP为无线应用协议的简称,是开发移动网络上类似互联网应用的一系列规范的组合。它使新一代无线通信设备能够可靠地接入Internet。由于无线网络系统和固定网络系统不一样,加上移动终端的屏幕和键盘都很小,所以WAP不适于采用HTML(超文本标识语言),而需采用专门的WML(无线标记语言)。WAP2.0采用TLS作为端到端加密的算法。WAP方式的优势在于:开发量很小,仅需在网上银行的基础上开发WML的版本即可;字符内容浏览,实时交易;GPRS的出现,改善了浏览速度。其局限在于:客户手机需要支持WAP协议;只能处理文字,可交互性差,界面简单。
BREW(无线二进制运行环境)是一种基于CDMA网络的技术。客户可以通过下载应用软件到手机上运行,从而实现各种功能。BREW位于芯片软件系统层和应用软件层之间,提供了通用的中间件,直接集成在芯片上,不必通过中间代码就可以直接执行。运营商也可以通过无线方式为客户下载、升级软件。BREW支持各种加密算法。BREW在安全性和终端表现的一致性上要优于Java方式,但因是高通公司的专利技术,开放性不如Java。
最新的智能手机一般专门定制手机银行客户端应用程序。比如Andriod手机采用J2ME平台,可以按照需要使用Java技术开发、下载、运行新的应用。J2ME的配置和框架使得应用程序安装的灵活性得到很大提高。其优势在于:能实时在线交互式对话;图形化界面,操作友好;采用1024位的RSA认证加密技术和128位的三重DES加解密技术,安全性相对较高。IPhone手机银行客户端虽然用不同的开发工具和运行环境,但底层同样是基于移动通讯的分组交换网络。
与网上银行相比,手机银行以移动通讯运营商的专用网络承载接入,在安全保密性上更胜一筹,而网上银行以开放的因特网为载体,易受各种黑客、病毒侵入,安全性一直广受关注。手机银行的弱项是客户终端功能偏弱,无线接口的数据传输速率较慢。但随着移动3G网络和智能手机的应用普及,这些瓶颈已被逐渐克服,手机银行面临着广阔的发展空间。
三、手机银行风险控制
手机银行业务风险主要表现为操作风险、声誉风险和法律风险。因信息科技风险在操作风险中占比高,特提出来单独讨论。
1.信息科技风险
由于金融科技领域发展迅速,信息科技监管首先应把握技术方向,控制主要风险,辅之以对技术细节的关注。
手机银行的特殊运行环境要求银行必须选择特定技术解决方案。技术方案在设计上潜在的缺陷或漏洞,在实际运行过程中都会使银行和客户面临实际风险,不仅会给客户造成经济上的损失,还会给银行及相关机构带来经济上和声誉上的伤害。
手机银行系统应当配备适当的安全措施如防火墙、入侵检测系统、监控系统和快速恢复机制保证数据安全。手机银行系统的完整性保护机制应当能够对系统、文件编码进行完整性检测,以禁止所有未经授权的软件和硬件篡改。
黑客攻击手机银行的主要手段有:手机克隆、会话劫持、恶意代码、中间人攻击、网络钓鱼、通讯重定向、IP欺骗和社会工程等。为防止黑客利用手机安全漏洞来拦截客户信息,采用端对端的应用层加密可以提高传送信息的安全性。这种安全机制,用来保证敏感信息从输入设备开始到接收端为止的全程数据安全加密;且敏感信息不能在网络系统、服务器、网关和其他传输通道中使用明码。
当手机银行客户需要输入密码和个人身份号码时,数据应该立即被加密编码,同时必须保证机密信息传输的单向性。在这一过程中,敏感信息不能在手机终端上被显示,用以防止密码被其他人看到。为了保证加密和身份鉴定通讯过程中的数据完整,当手机通讯线路传输特性突变或通讯过程被阻断时,系统应重复进行身份鉴定过程。
手机银行的灾难恢复包括数据灾难恢复和系统灾难恢复。数据灾难恢复是面对自然灾害、计算机系统遭受误操作、病毒侵袭、硬件故障、系统攻击等事件后,将客户数据从无法读取的存储设备中拯救出来,让系统重新投入运行,从而将损失减低到最小。系统灾难恢复是建立必要的系统备份,保证系统的可恢复性和高可靠性,将系统故障所造成的服务中断风险降低到最小。
客户每次业务操作信息均应由客户的私人密钥进行数字签名,所有信息的数字签名就如同客户实际的签名和印签一样,可以作为客户操作的证据。客户在操作过程中的各种数据信息,如移动公司的通讯记录信息,也可作为确认客户身份的辅助手段。
2.操作风险
操作风险主要是指客户在进行手机银行业务操作时不熟悉相关知识和对手机银行业务操作方式不熟悉所导致的风险,或者是银行内部人员对手机银行业务操作失误致使客户遭受损失的风险。
在银行内控方面,防范操作风险最有效的方法就是制定尽可能详细的业务规章制度和操作流程,使内控制度建设与业务发展同步,并提高制度执行力。针对手机银行业务是银行新开展的一项新业务,银行应制定详细的业务规章制度,及时发现并弥补制度设计和执行上的缺陷,不断完善管理制度体系。银行要切实强化风险责任的追究机制,加大对责任人员的查处力度,并强化教育,提高银行员工综合素质。同时监管部门要加强对手机银行业务监管,对手机银行进行适当的监管可以有效的降低风险。
技术外包是指商业银行将银行信息系统的部分或全部委托给外部机构进行处理的开发方式。在这种商业模式中,银行通过利用外部专业化资源降低成本,提高开发效率。但一方面银行信息部门对外部技术的认知和掌握需要一个过程,另一方面外部公司由于自身并非专门的金融机构,对可能导致的金融风险认识不足,并且外部公司的专业化水平、资质等参差不齐,因此,银行在采用外包技术时面临着一定的风险。
由于商业银行对整个手机银行服务流程的宏观考虑不全面,或是缺乏对涉及的外部合作机构的有效控制也会造成操作风险。据闽东日报报道,2011年5月福建宁德某用户的手机无故无法使用,后发现其银行账户上少了九千多元,经警方调查发现,犯罪嫌疑人通过使用假的身份证到移动营业厅补办被害人的手机卡号,随后通过手机银行将其存款转账到事先开设好的账户。在此事件中,移动营业厅负有责任:犯罪嫌疑人伪造的被害人身份证复印件上的地址、有效期都与原件不符;按规定,若本人没来办理,委托办理者也要向移动营业厅提供自己的身份证原件和复印件,而当警方前来调查时,移动营业厅提供不出委托人的有效身份证明。此事例说明银行在开展手机银行业务时必须对合作方的有关操作流程及管控措施有所了解,并且制定自身相应的风险应对预案。
客户行为疏于防范也构成手机银行操作风险的一部分。银行应该对客户进行指导并普及手机银行使用知识,降低客户使用手机银行过程中存在的操作风险。比如教育客户如何识别网络钓鱼电子邮件,如何保护手机密码。此外,当使用手机浏览网页或访问移动应用程序时,应提醒客户采取和在PC上面操作时相同的预防措施,如安装手机安全软件;注意软件高级权限的变化;尽量通过官方网站下载软件;购物时使用安全的超文本传输协议在网站上输入敏感的付款数据,而不是基本的超文本传输协议。
3.声誉风险
所谓声誉风险,是由于银行的负面公众舆论引发的银行客户严重流失的风险。声誉风险包括使公众对银行整体运行产生持续负面印象的行为,这些行为严重地损害了银行建立和维持客户关系的能力。如果公众对银行处理临界问题的能力丧失信心,也会引发声誉风险。对开展手机银行服务的银行来说,若不能持续地提供安全、准确和及时有效的手机金融服务,银行的信誉将受到损害。
防范声誉风险的重点是防范利用手机银行进行金融欺诈的行为,以及加强银行内部的操作风险控制,采取必要措施有效地识别、评估、监测、控制及缓释操作风险。应建立和完善科学的操作规范和严格的内部制约机制,执行职责分离、关键岗位轮岗、强制性休假和离岗审计制度。任何进入系统的操作必须在系统运行记录中记载。防范利用手机银行进行金融欺诈,应适时对登录手机银行的重点客户加强监控,尤其应对大额资金进出的背景进行监控。按照巴塞尔协议监管核心原则和《关于洗钱、扣押、没收犯罪所得公约》等国际条约,以及《中华人民共和国反洗钱法》,手机银行应进行交易跟踪,并通过数据挖掘软件,对可疑资金交易进行分析,防范利用手机银行进行非法资金交易。
银行应将手机银行声誉风险管理纳入公司治理及全面风险管理体系,主动、有效地防范声誉风险,建立相关的声誉事件分类分级管理和应急处理机制,提高对手机银行引发的声誉事件的应对能力。
4.法律风险
手机银行的法律风险来自违反法律、法规的可能性及有关交易各方的法律权利和义务的不明确性。目前,我国消费者保护法对手机银行运作的适用性还不明确,并且客户通过电子媒介所达成协议的有效性也具有不确定性,这些都会引发手机银行法律风险。在客户信息披露和隐私权保护方面,手机银行也面临着法律风险。主要体现在三个方面:一是第三人侵权和违法犯罪行为引发的法律风险,主要是犯罪分子未经客户授权进行手机银行交易,表现为手机银行客户的密码或电子签名被冒用;二是未适当执行手机指令的法律风险,主要是客户通过银行的电子签名验证后,发出了正确的交易指令,但由于手机银行交易系统故障等原因没有及时、正确执行交易指令,从而给客户造成损失,也有些情况是客户发出了指令但发出的指令无效,银行继续执行,造成客户损失;三是风险揭示不充分的法律风险,主要是客户被犯罪分子欺诈后,以银行对手机银行法律风险没有充分揭示为由,要求银行承担责任,此类情况主要是客户欠缺自我保护意识,疏于防范,造成账户信息泄露。
上述法律风险归纳为一点,就是手机支付的安全问题。来自艾瑞市场调研的一组数据也验证了此项事实,由于网络欺诈、网络“钓鱼”等现象的持续泛滥,近六成智能手机用户表示担心手机支付安全。这在很大程度上影响了手机银行业务的推广。
若因担心风险防范问题,就使手机银行业务踯躅不前,甚至断然放弃此项业务,当然是不对的,甚至是片面的。最好的策略无疑是在保持手机银行业务较好较快发展的基础上,做好法律风险防范。这就需要银行、社会、消费者三个层面共同努力来实现。
首先,就银行而言,要建立统一的手机银行风险控制平台,对手机银行交易进行实时监控,出现问题及时处理;进一步完善手机银行合同文本,区分客户与银行的责任,防范法律风险;加强手机银行业务的全流程管理,尤其是手机银行开立,手机银行规章制度的执行和操作风险管理、媒体舆情监测等方面;加强与银行同业、银联、公安部门之间的沟通和联系,在发生手机银行风险案件时,及时通报信息,实现信息共享,联手应对。
其次,就社会而言,相关部门要进一步完善手机银行业务的相关法律法规,从制度上保障手机银行产品的使用安全。依据我国现行《合同法》、《会计法》、《票据法》、《支付结算办法》等法律来拟定手机银行与客户或者合作方的相关协议。依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等制定信息技术安全方面标准和流程来保障手机银行的技术安全。依据银监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、《商业银行信息科技风险管理指引》、《商业银行操作风险管理指引》、《银行业金融机构外包风险管理指引》等规章以及关于客户信息管理及个人金融信息保护方面的规范要求,制定有关业务流程和业务处理规定,保障手机交易安全和日常运维管理规范。此外,监管部门应切实发挥监管职能,推出具有针对性的规范性文件,指导手机银行业务依法有序开展。
