1、GB/T20983-2007表7系统边界安全保障技术要求中主体对客体采取的操作对照表举例34表8系统边界安全保障技术要求的网上信息流控制策略举例35表9系统边界安全保障技术要求的可审计安全事件类型37表10系统边界安全保障技术要求的可查阅审计记录39表11系统边界安全保障技术要求中安全角色对系统安全功能行为的管理权限40表12支撑性基础设施安全保障技术要求的可审计安全事件类型43表13支撑性基础设施安全保障技术要求的可查阅审计记录45表A,1安全保障技术目标和威胁、策略的对应表67表A,2安全保障管理、安全保障工程目标和威胁、策眙的对应表69表A3安全保障技术目标和安全保障技术要求映射71表A
2、4安全保障管理目标和安全保障管理要求映射75表A.5安全保障工程目标和安全保障工程要求映射75乡GB/T20983-2007引言0.1网上银行系统信息安全保障的含义网上银行业务是指商业银行等银行业金融机构利用计算机和互联网为客户提供的银行服务。网上银行是银行传统业务的电子化表现形式,拓展了银行服务的时间和空间。网上银行是现代信息技术在银行管理及其金融服务中的拓展,是促使金融服务组织机构与服务形式创新的重要成果之一。网上银行通过国际互联网这一公共资源及其相关技术实现银行与客户之间安全、方便、友好连接,为客户提供多种金融服务。信息安全保障是网上银行系统建设和运行中必须解决的基础和根本性同题,它关系
3、到客户与银行的切身利益。网上银行系统是一种特定的信息系统(即用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和),它的信息安全保障工作必须结合银行行业的特点,以风险和策略为出发点和核心,即从网上银行系统所面临的风险和所处的环境出发制定网上银行系统的安全保障策略,在网上银行系统的整个生命周期中从技术、工程、管理和人员等方面提出安全保障要求,确保信息的保密性、完整性和可用性特征,实现和贯彻组织机构策略并将风险降低到可接受的程度,达到保护网上银行的信息和信息系统资产,从而保障网上银行业务安全、可靠开展的最终目的。网上银行系统信总安全保障涵盖以下几个方面:)网上银行系
4、统信息安全保障应贯穿网上银行系统的整个生命周期,包括规划组织、开发采购、实施交付、运行维护和废弃五个阶段,以获得网上银行系统信息安全保障能力的持续性。b)网上银行系统信息安全保障不仅涉及安全技术,还应综合考虑安全管理,安全工程和人员安全等,以全面保障网上银行系统安全,在安全技术上,不仅要考虑具体的产品和技术,更要考虑网上银行系统的安全技术体系架构;在安全管理上,不仅要考虑基本安全管理实践,更要结合组织的特点建立相应的安全保障管理体系,形成长效和持续改进的安全管理机制:在安全工程上,不仅要考虑网上银行系统建设的最终结果,更要结合系统工程的方法,注重工程各个阶段的规范化实施:在人员安全上,要考虑与
5、网上银行系统相关的所有人员包括规划者、设计者、管理者、运营维护者、评估者、使用者等的安全意识以及安全专业技能和能力等。)网上银行系统信息安全保障是贯穿全过程的保障。通过风险识别、风险分析、风险评估、风险控制等风险管理活动,降低网上银行系统的风险,从而实现网上银行系统信息安全保障。)网上银行系统信息安全保障的目的不仅是保护信息和资产的安全,更重要的是通过保瘴网上银行系统的安全,保摩网上银行系统所支持的业务,从而达到实现组织机构使命的目的。)网上银行系统信息安全保障是主观和客观的结合。通过在技术、管理、工程和人员方面客观地评估安全保障措施,向网上银行系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。因此,它是一种通过客观证据向网上银行系统所有者提供主观信心的活动,是主观和客观综合评估的结果。D保障网上银行系统安全不仅是系统所有者自身的职责,而且需要社会各方参与,包括电信、电力、国家信息安全基础设施等提供的支撑。保障网上银行系统安全不仅要满足系统所有者自身的安全需求,而且要满足国家相关法律、政策的要求,包括为其他机构或个人提供保密、公共安全和国家安全等社会职责。