商业银行信息安全标准介绍

随着标准化的发展演变，现在世界范围内的信息安全标准数量、种类繁多。其中，与商业银行信息系统研发风险相关的主要是信息安全标准。商业银行研发风险管控工作常用的信息安全标准主要有以下几类^[21]：

1.信息安全评估标准

由于信息安全技术的复杂性和信息安全产品国际市场的逐步形成，单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求，于是多国共同制定了统一的信息安全评估标准。信息安全评估标准的主要作用是明确企业信息系统安全现状，确定企业信息系统的主要安全风险，指导企业信息系统安全技术体系与管理体系建设。当前世界上主要的信息安全评估标准如下：

（1）可信的计算机系统安全评估标准（TCSEC，从桔皮书到彩虹系列） 由美国国防部于1985年公布，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全从高到低分为A、B、C、D四类，再细分为A1、B1、B2、B3、C1、C2、D七个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了要求。

TCSEC桔皮书的产生是具有划时代意义的第一个对信息产品的安全性进行评估和分级的标准。但是TCSEC最初主要解决保密性问题，随着TCSEC应用的不断推广进入商业领域，人们对TCSEC提出许多意见和问题，包括没有考虑网络、数据库等方面的问题；对完整性要求不足；测试周期过长，过于严格等。为此，人们在TCSEC的基础上对范围进行了扩展，形成了包括数据库、网络等方面的一系列文件，根据其出版的文件封面颜色的不同，统称为彩虹系列。彩虹系列的主要文件包括红皮书-TCSEC的可信网络解释（TNI）和紫皮书-TCSEC的可信数据库管理系统解释（TDI）等^[22]。

（2）信息技术安全评估标准（ITSEC，欧洲白皮书） 是由英、法、荷、德欧洲四国于20世纪90年代初联合发布的，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1～F10共分10级。F1～F5级对应于TCSEC的D到A。F6～F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性和完整性的网络安全。

与TCSEC不同，它并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。另外，TCSEC把保密作为安全的重点，而ITSEC把完整性、可用性与保密性作为同等要素。ITSEC定义了从E0级到E6级的7个安全等级，对每个系统，安全功能可分别定义。ITSEC把可信计算机概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深远影响。

（3）信息技术安全评估通用准则（ISO/IEC 15408，简称CC） 信息技术安全评估通用准则已成为评估信息系统及产品安全性的世界通用准则。它定义了作为评估信息技术产品和产品系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构以及如何正确有效地实施这些功能的保证要求，是目前系统安全认证方面最权威的标准。该标准已经被我国等同采用为国家标准《信息技术安全技术信息技术安全性评估准则》（GB/T 18336—2008）。作为评估信息技术产品和系统安全性的世界性标准，通用准则是信息技术安全评估结果实现国际互认的基础^[23]。

ISO/IEC 15408通用准则共分为三部分。第一部分“简介和一般模型”介绍了通用准则的基本概念和基本原理，包括有关术语、概念、一般模型及与评估有关的一些框架；第二部分“安全功能要求”按照“类—子类—组件”的方式提出了安全功能要求；第三部分“安全保证要求”定义了评估保证级别，介绍了保护轮廓和安全目标的评估，并按照“类—子类—组件”的方式提出了安全保证要求。

通用准则对信息安全产品和系统进行评估时，并不直接使用通用准则，而是引入了保护轮廓（PP）和安全目标（ST）以及功能和保证的概念。整个评估过程从概念上可以分为以下步骤^[22]：

1）第一步，根据产品的类型和用户的安全需求，使用通用准则来编制适用于某一类型产品（如防火墙、入侵检测系统和操作系统等产品类型）标准化的安全需求，为用户编制对应的保护轮廓，也就是说保护轮廓是用户对某一类安全产品标准化安全需求的标准化、结构化和规范化的描述文件。

2）第二步，产品厂商根据保护轮廓（PP）针对其具体的安全产品编制相对应的安全目标（ST）以描述其具体安全产品对用户的需求，也就是保护轮廓满足情况的描述。

3）第三步，当经过认可的通用准则测试实验室拿到标准化用户需求的保护轮廓（PP）、厂商所编制的具体产品的安全目标（ST）和IT产品后，测试实验室用通用准则评估方法检查厂商所编制的安全目标（ST）相对于保护轮廓的符合性、安全产品相对于安全目标的符合性以及安全产品的保证级别，得出正式的测试报告。在测试报告中，根据客观的测试证据，描述安全产品功能是否符合保护轮廓的要求以及安全产品的保证级别。

4）第四步，通用准则的认可机构根据认证认可的标准、规定和流程，对通用准则测试机构所得出的测试报告进行确认，并给安全产品厂商发放相应的认证报告。在认证报告中描述了所测试评估的安全产品功能上符合的产品类型以及安全产品的保证级别。

2.信息安全管理标准

（1）ISO27001 ISO27001是目前被全球普遍认同的权威的信息安全管理标准，提供了一整套针对企业信息安全管理的最佳实践和实施指南，适合包括商业银行在内的各类企业使用。信息安全管理实用规则ISO 27001的前身为英国的BS7799标准，是由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成。1999年BSI重新修改了该标准。

BS7799分为两个部分：

1）BS7799-1，信息安全管理实施规则，对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。

2）BS7799-2，信息安全管理体系规范，说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799再次修订，BS7799-2也于2005年被ISO27001：2005代替。

ISO27001标准指出“信息”也是一种资产，对组织具有价值，因此需要合适地加以保护。信息安全专注于防止信息受到各种威胁，使业务受到损害的风险减至最小，确保组织的业务连续性。ISO27001指出应通过确定体系范围、制定信息安全策略、明确管理职责、风险评估、内部审核、管理评审、持续改进等步骤为组织建立一套完整的信息安全管理体系（Information Security Management System，简称ISMS），并通过PDCA过程模式（规划Plan、实施Do、检查Check、处置Act，如图2-5所示），持续改进组织的安全管理水平。

图2-5 应用于ISMS过程的PDCA模型

ISO27001给出了11个领域共137项安全控制措施来帮助组织实现信息安全，见表2-1。

表2-1 ISO27001安全管理领域划分

2008年，ISO27001被全国信息安全标准化技术委员会等同采用为GB/T22080。2013年ISO/IEC根据新版国际标准架构、新的风险管理原则和指南以及信息技术的新发展对ISO27001的正文和附录进行了大幅度修订。

（2）COBIT COBIT（信息和相关技术的控制目标）模型是美国ISACA协会所提出的一个IT审计和治理框架。它为信息系统审计和治理提供了一整套控制目标、管理措施、审计指南。COBIT控制模型架起了沟通强调业务的控制模型（如COSO）和强调IT的控制模型（如BS7799）之间的桥梁。COBIT提供了包含规划和组织、采购和实施、交付和支持以及监控4个域，34个表达IT过程的高层控制目标，通过解决这34个高层控制目标，组织机构可以确保已为其IT环境提供了一个充分的控制系统，支持这些IT过程的是用于有效实施的300多个详细控制目标^[18]。

（3）ITIL ITIL即IT基础架构库，由英国政府部门CCTA在20世纪80年代末制定，现由英国商务部负责管理。20世纪90年代后期，ITIL的思想和方法被美国、澳大利亚、南非等国家广泛引用并进一步发展。2001年，英国标准协会（BSI）在国际IT服务管理论坛年会上，正式发布了基于ITIL的英国国家标准BS15000。ITIL的核心内容是服务支持和服务交付，共11个流程。在ITIL的最新版本2.0中，ITIL主要包括六个模块，即业务管理、服务管理、ICT基础架构管理、IT服务管理规划与实施、应用管理和安全管理。

（4）等级保护标准 早在1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）就规定“计算机信息系统实行安全等级保护”。2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。随后的几年，中华人民共和国公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部委共同颁布《关于印发＜关于信息安全等级保护工作的实施意见＞的通知》（公通字[2004]66号）、《关于印发＜信息安全等级保护管理办法＞的通知》（公通字[2007]43号文件）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）等文件，不断推动等级保护工作开展^[24]。2012年，中国人民银行发布《金融行业信息系统信息安全等级保护实施指引》等三项行业标准，对金融行业开展等级保护工作进行了规范。

等级保护相关文件包括：

1）政策法规：《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）、《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）等。

2）基础性标准：《计算机信息系统安全保护等级划分准则》（GB 17859—1999）。

3）主要技术标准：《信息安全等级保护实施指南》（国标报批稿）、《信息安全等级保护定级指南》（GB/T 22240—2008）、《信息安全等级保护基本要求》（GB/T 22239—2008）、《信息安全等级保护测评要求》（国标报批稿）、《信息安全技术信息系统通用安全技术要求》（GB/T 20271—2006）、《网络基础安全技术要求》（GB/T 20270—2006）、《信息系统物理安全技术要求》（GB/T 21052—2007）等。

4）主要管理标准：《信息系统安全管理要求》（GB/T 20269—2006）、《信息系统安全工程管理要求》（GB/T 20282—2006）等。

5）金融行业等级保护标准：《金融行业信息系统信息安全等级保护实施指引》（JR-T 0071—2012）、《金融行业信息安全等级保护测评服务安全指引》（JR-T 0073—2012）、《金融行业信息系统信息安全等级保护测评指南》（JR-T 0072—2012）。

从标准间的承接关系上讲，系统主管部门根据《信息系统安全等级保护定级指南》确定出系统等级后，需要根据《信息安全等级保护基本要求》选择相应等级的安全保护要求进行系统建设实施。《信息系统安全等级保护测评准则》是针对《信息安全等级保护基本要求》的具体控制要求开发的测评要求，旨在当系统建设完成后，检验系统的各项保护要求是否符合相应等级的基本要求。(www.zuozong.com)

主要标准使用说明如下：

1）《信息系统安全等级保护实施指南》介绍了实施信息系统等级保护过程中涉及的阶段和从事的活动，通过过程和活动的介绍，使读者了解对信息系统实施等级保护的方法，不同的角色在不同阶段的作用等。该指南还给出了等级保护各阶段应使用哪些等级保护标准，具体见表2-2。

表2-2 等级保护各阶段使用标准情况

2）《信息系统安全等级保护定级指南》提供了一套按照“管理办法”要求而细化的定级方法，将系统按重要程度分为五级。定级的结果确定了国家主管部门对系统的监管强度，定级的过程也是一次需求分析和确定的过程，可以帮助运营、使用单位为其信息系统选择合适的安全控制措施^[25]。

3）《信息系统安全等级保护基本要求》是信息系统安全保护基本“标尺”或达标线，信息系统安全建设整改应以落实《基本要求》为主要目标，满足《基本要求》意味着信息系统具有相应等级的基本安全保护能力，达到了一种基本的安全状态。《基本要求》的内容分技术和管理两大部分，其中技术部分包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复5大类，管理部分包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5大类，如图2-6所示。

图2-6 信息系统安全等级保护基本要求的内容

4）《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。

根据《信息系统安全等级保护实施指南》，结合信息系统生命周期，新建信息系统的等级保护实施流程，大致可以划分为5个阶段，如图2-7所示。

图2-7 信息系统安全等级保护实施流程

1）信息系统定级。信息系统定级阶段的目标是确定信息系统的安全保护等级，并且定级的结果应当经主管部门审核批准。

2）制定总体安全规划。总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。

3）安全设计与实施。安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。

4）安全运行与维护。安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及内容大致包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。

5）信息系统终止。当信息系统被转移、终止或废弃时，需要正确处理系统内的敏感信息并确保机构信息资产的安全。

3.信息安全技术标准

（1）网上银行系统信息安全通用规范 随着网上银行业务的迅速发展，网上银行的犯罪呈高发态势，网银安全问题突出，影响了公众利益和金融机构声誉。为了提高网上银行系统安全水平，防范网上银行系统建设、运维以及与技术相关的关键业务运作的风险，中国人民银行于2012年发布了《网上银行系统信息安全通用规范》（JR/T 0068—2012）行业标准。

标准明确了网上银行系统的定义，对系统进行了简要描述，并从安全技术、安全管理和业务运作三个方面详细阐述了安全规范的具体内容。安全技术规范从客户端安全、专用安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出要求；安全管理规范从安全管理机构、安全策略、管理制度、人员安全管理、系统建设管理、系统运维管理等方面提出要求；业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育及权益保护几个方面提出要求。另外，标准还包含与网上银行相关的网上支付部分安全技术要求。

（2）支付卡行业数据安全标准（PCIDSS） 为了防范窃取身份信息和信用卡欺诈等犯罪行为，信用卡行业采取了积极的措施，以稳定客户对信用卡安全的信心。起初是每个信用卡供应商制定自己的安全标准，最后，各个信用卡品牌联合起来制定了支付卡行业数据安全标准（Payment Card Industry Data Security Standard，简称PCIDSS）。随后成立的PCI安全标准委员会（PCI Security Standard Council）是一个独立的组织机构，主要负责维护和实施PCI数据安全标准^[18]。

PCIDSS适用于任何处理、传输、存储或接受信用卡数据的组织机构。根据客户的多少和交易的数量，PCIDSS能够提供不同级别的合规性与处罚。但是，信用卡的用户成千上万，使用它的地方也数不胜数，这意味着世界上几乎每一家公司都必须遵守PCIDSS。

PCI数据安全标准一共由12个主要要求组成，并划分为6大类。PCIDSS的6个类别分别是：构建和维护一个安全网络；保护持卡人数据；维持一个脆弱性管理计划；实现严格的访问控制措施；定期监控和测试网络；维持一个信息安全策略。PCIDSS通过下列12个要求实现其控制目标：

1）使用和维护一个防火墙。

2）将系统密码和其他安全参数重置为供应商提供的默认值。

3）保护持卡人数据的安全。

4）在持有人数据通过公共网络传输时对其进行加密。

5）使用和更新防病毒软件。

6）开发系统和应用程序时必须牢记安全。

7）必须通过业务的“知其所需”来限制对持卡人数据的访问。

8）使用计算机访问的每个人都必须被指派一个唯一的ID。

9）对持卡人数据的物理访问应受到限制。

10）必须跟踪与监视对网络资源和持卡人数据的所有访问。

11）必须定期测试安全系统和措施。

12）必须维持一个保护地址信息安全的策略[18]。

[1]本书主要研究对象为“商业银行信息系统研发风险”，为便于读者阅读，以下简称“商业银行研发风险”。——编者注