返回
电子银行安全评估方法探讨

电子银行安全评估方法探讨

ID:25637569

大小:74.50 KB

页数:10页

时间:2018-11-21

电子银行安全评估方法探讨_第1页
电子银行安全评估方法探讨_第2页
电子银行安全评估方法探讨_第3页
电子银行安全评估方法探讨_第4页
电子银行安全评估方法探讨_第5页
资源描述:

《电子银行安全评估方法探讨》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、电子银行安全评估方法探讨摘要:本文首先对目前各类电子银行相关的规范和制度进行了描述和总结,之后结合电子银行的行业评估现状,提出了一种新的基于加权平均方法的电子银行评估方式,最后针对下一步工作提出了有益的建议。关键词:加权平均电子银行评估1序言电子银行的概念起源于上世纪70年代,发展至今已有近40年。随着其业务种类的创新,电子银行已成为集电话、手机、网络等多种方式,以及自助查询终端、ATM、POS等多渠道于一体的自助全方位服务,可在3A的情况下(即:任何时间、任何地点、任何方式)为客户提供全天候金融服务。电子

2、银行业务的出现彻底打破了银行在服务时间和空间上的约束,使银行无所不在。在电子银行发展初期,由于其安全性问题及虚拟性特征,人们对其发展存在着各种疑虑。随着近几年各类技术规范和标准的逐步出台,以及各家银行管理技术和能力逐步走向成熟,业务也得到快速发展。据统计,2011年我国主要银行的电子渠道交易替代率已达65.6%,电子银行已发展成为业务办理的最主要渠道之一。然而,伴随着电子银行的迅猛发展、受关注程度的提高,近几年来,各类信息泄露、账户盗用事件的案发率也呈现逐年上升态势,根据CNNIC最新统计显示,网络电子信息

3、泄露的比例已超过信息泄露总量的70%,国家秘密和公众隐私的安全保密问题已非常突出⑴⑴2011年CNNIC中国互联网络发展状况统计报告。基于以上情况,针对电子银行的业务发展、安全状况进行评估是时下热点之一。各家商业银行由于其业务种类的特殊性,对其安全10评估历来较为复杂、且技术性要求较高,现阶段基本通过聘请外部审计机构来完成。考虑到各类审计机构的关注点不同,且涉及商业机密,即便是行业内部人士也很难能对该领域的总体情况进行研究剖析。本文下面将首先对现有的电子银行规范进行归纳比较,并结合不同类别机构电子银行的发展

4、现状,提出一种新的评估方式。2当前电子银行评估方法2.1现有各类制度规范电子银行现有评估标准共有四个大类,经归纳可以概括为:技术类标准、行业监管标准、国家基础标准和国际标准四种。在对电子银行进行评估的过程中,我们可充分根据关注点和视角的不同,选取其中合适的标准进行评估,或者结合多种评估方式进行综合考虑。下面对几类标准进行简单介绍。1)技术类标准。这一类标准主要是国家技术规范,包括《GB/T18336信息技术安全性评估准则》(2008年)、《GB/T20983信息安全技术网上银行系统信息安全保障评估准则(20

5、07年)、《GB17859计算机信息系统安全保护等级划分准则》(1999年)、《计算机信息系统安全专用产品分类原则》(1997年)等国家标准,这一类标准由国家统一制定,并非电子银行业务类的标准,通用性强,覆盖面广,但是却难以涉及具体设计规范和技术的个性化要求。2)监管类标准。这一类标准包括人民银行颁发的《网上银行系统信息安全通用规范》(2012年)、《电子支付指引》(2006年),以及银监会颁发的《电子银行业务管理办法》(2005年)、《电子银行安全评估指引》(2006年)等,这一类标准一般较为细致和全面,

6、但是其不足在于多为侧重风险,属于行业监管和政策性的导向要求。103)国家基础标准。这一类标准主要由公安部和全国信息安全标准化技术委员会制定的《信息系统安全等级保护标准》(2007年)、以及国家质检总局颁布的《网上银行系统安全保障要求》(2004年)等构成,这一类标准多为基础性要求,其中各技术类的指标较为详细,要求难度也相对适中。4)国际标准。这一类标准主要由ISO27000系列安全管理标准(2005年)、《BS25999业务连续性管理标准》(2007年),以及ITIL等国际规范构成,此外,巴塞尔银行管理委员

7、会制定的《电子银行风险管理原则》(2003年)也是一项重要的参考。2.2现有评估方法及评估方式所谓评估方法,实际上就是通过一定的评估方式,对其评估结果进行量化的评定,并结合最终的评估结论进行判断,以提供决策的最终依据。根据我国各行业监管机构以及著名的国际四大咨询公司日常工作准则,一般常见的主要评估手段有以下五种:调阅资料和报表、实地访谈、现场查看、手工核查、工具检测。1)调阅资料和报表。该方式主要是通过翻阅主要规范、制度和过程记录,对被评估对象进行深入了解,获取其设计规范、管理情况、配套资源。2)实地访谈。

8、该方式主要是借助评估人员的主观经验,在与被访谈人员实际交流过程中,获取其安全意识、知识、技能、对制度的理解等真实情况,并同时通过访谈正向指导评估人员对于制度理解的准确度。3)现场查看。该方式主要由评估人员实地了解各项措施的落实情况,以及各项基础设施配套安全工作的真实性。104)手工核查。该方式主要对于评估人员对主要技术的掌握度要求较高,主要通过评估人员查看一些工作簿、日志、配置,通过多个角度,多元化的了解各类设备

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。