李婧 唐剛 張博

(中國(guó)軟件評(píng)測(cè)中心,北京 100048)

由木桶原理看非金融支付機(jī)構(gòu)等級(jí)測(cè)評(píng)必要性

李婧 唐剛 張博

(中國(guó)軟件評(píng)測(cè)中心,北京 100048)

近年來(lái)非金融支付機(jī)構(gòu)在中國(guó)大陸地區(qū)發(fā)展得十分迅速,其安全性也得到社會(huì)各界的廣泛重視。本文從木桶原理出發(fā),結(jié)合北京地區(qū)非金融支付機(jī)構(gòu)的等級(jí)保護(hù)檢查情況,對(duì)非金融支付機(jī)構(gòu)的安全情況進(jìn)行了分析。最后,本文得出非金融支付機(jī)構(gòu)應(yīng)該依從信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)的結(jié)論。

信息安全 信息系統(tǒng)安全等級(jí)保護(hù) 非金融支付機(jī)構(gòu) 第三方支付機(jī)構(gòu)

1 引言

本文首先簡(jiǎn)要介紹非金融支付機(jī)構(gòu)的相關(guān)定義及其業(yè)務(wù)系統(tǒng)的檢測(cè)認(rèn)證制度,繼而簡(jiǎn)要介紹信息系統(tǒng)等級(jí)保護(hù)制度,向讀者交待清楚相關(guān)的背景。然后,本文介紹木桶原理及其相關(guān)推理,并從理論上推出將信息系統(tǒng)等級(jí)保護(hù)制度(主要是GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,以下簡(jiǎn)稱(chēng)《基本要求》)[1]應(yīng)用于非金融支付機(jī)構(gòu)的可行性及必要性。隨后,本文介紹了北京市公安局網(wǎng)安總隊(duì)六大隊(duì)對(duì)北京地區(qū)所有的非金融支付機(jī)構(gòu)等保檢查的情況。

1.1 非金融支付機(jī)構(gòu)簡(jiǎn)介

1.1.1 非金融機(jī)構(gòu)支付服務(wù)定義

按照中國(guó)人民銀行令〔2010〕第2號(hào)頒布的《非金融機(jī)構(gòu)支付服務(wù)管理辦法》(以下簡(jiǎn)稱(chēng)《非金管理辦法》)中第二條的規(guī)定,非金融機(jī)構(gòu)支付服務(wù)是指非金融機(jī)構(gòu)在收付款人之間作為中介機(jī)構(gòu)提供《非金管理辦法》中所列部分或全部貨幣資金轉(zhuǎn)移服務(wù)。非金管理辦法允許非金融支付提供的支付服務(wù)包括:

(1)網(wǎng)絡(luò)支付服務(wù)。網(wǎng)絡(luò)支付是指依托公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)在收付款人之間轉(zhuǎn)移貨幣資金的行為,包括貨幣匯兌、互聯(lián)網(wǎng)支付、移動(dòng)電話(huà)支付、固定電話(huà)支付、數(shù)字電視支付等。

(2)預(yù)付卡的發(fā)行與受理。預(yù)付卡是指以營(yíng)利為目的發(fā)行的、在發(fā)行機(jī)構(gòu)之外購(gòu)買(mǎi)商品或服務(wù)的預(yù)付價(jià)值,包括采取磁條、芯片等技術(shù)以卡片、密碼等形式發(fā)行的預(yù)付卡。

(3)銀行卡收單服務(wù)。銀行卡收單是指通過(guò)銷(xiāo)售點(diǎn)(POS)終端等為銀行卡特約商戶(hù)代收貨幣資金的行為。

(4)中國(guó)人民銀行確定的其他支付服務(wù)。

1.1.2 非金融支付機(jī)構(gòu)定義

按照《非金管理辦法》中第三條的規(guī)定,非金融機(jī)構(gòu)提供支付服務(wù),應(yīng)當(dāng)依據(jù)《非金管理辦法》規(guī)定取得《支付業(yè)務(wù)許可證》,成為支付機(jī)構(gòu)。所以,非金融支付機(jī)構(gòu)是指依據(jù)《非金管理辦法》取得《支付業(yè)務(wù)許可證》的支付機(jī)構(gòu)。

由非金融支付機(jī)構(gòu)的定義可以看出,其并非收款人,也并非付款人,而只是在收付款人之間作為中介機(jī)構(gòu)。于是,非金融支付機(jī)構(gòu)又通常被稱(chēng)作第三方支付機(jī)構(gòu),其中第三方是指非金融支付機(jī)構(gòu)既不是交易中的甲方也不是乙方。這也是第三方支付機(jī)構(gòu)這個(gè)名字比較流行的原因。同理可得,非金融機(jī)構(gòu)支付服務(wù)也通常被稱(chēng)作第三方支付服務(wù),簡(jiǎn)稱(chēng)第三方支付。

1.2 非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)簡(jiǎn)介

按照中國(guó)人民銀行公告〔2011〕第14號(hào)頒布的《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定》(以下簡(jiǎn)稱(chēng)《非金檢測(cè)規(guī)定》)中第二條的規(guī)定,非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證是指對(duì)申請(qǐng)《支付業(yè)務(wù)許可證》的非金融機(jī)構(gòu)或《非金融機(jī)構(gòu)支付服務(wù)管理辦法》所指的支付機(jī)構(gòu),其支付業(yè)務(wù)處理系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)以及容納上述系統(tǒng)的專(zhuān)用機(jī)房進(jìn)行的技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測(cè)認(rèn)證工作。

按照《非金檢測(cè)規(guī)定》中第三條的規(guī)定,非金融機(jī)構(gòu)在申請(qǐng)《支付業(yè)務(wù)許可證》前6個(gè)月內(nèi)應(yīng)對(duì)其業(yè)務(wù)系統(tǒng)進(jìn)行檢測(cè)認(rèn)證;非金融支付機(jī)構(gòu)應(yīng)根據(jù)其支付業(yè)務(wù)發(fā)展和安全管理的要求,至少每3年對(duì)其業(yè)務(wù)系統(tǒng)進(jìn)行一次全面的檢測(cè)認(rèn)證。

1.3 信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)簡(jiǎn)介

等級(jí)測(cè)評(píng)是指,測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)非涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

信息安全等級(jí)保護(hù)管理辦法(公通字[2007]43號(hào))第十四條規(guī)定:信息系統(tǒng)建設(shè)完成后,運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng),第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。

等級(jí)測(cè)評(píng)的意義在于:

(1)通過(guò)對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng),使信息系統(tǒng)的使用單位和運(yùn)營(yíng)單位能夠了解目前的安全保護(hù)實(shí)際情況。

(2)信息系統(tǒng)經(jīng)過(guò)等級(jí)測(cè)評(píng)后,可以知道信息系統(tǒng)相對(duì)于對(duì)應(yīng)等級(jí)的《基本要求》的差距,并進(jìn)一步明確信息系統(tǒng)中存在的安全問(wèn)題。

(3)等級(jí)測(cè)評(píng)的輸出成果(問(wèn)題單)可以作為信息系統(tǒng)整改工作的輸入,用來(lái)明確安全需求,為后續(xù)的建設(shè)和整改工作提供參考和依據(jù)。

2 透過(guò)木桶原理看第三方支付機(jī)構(gòu)

2.1 木桶原理簡(jiǎn)介

木桶原理是由美國(guó)管理學(xué)家彼得提出的,其具體內(nèi)容是:由多塊木板構(gòu)成的木桶,其價(jià)值在于其盛水量的多少,但決定木桶盛水量多少的關(guān)鍵因素不是其最長(zhǎng)的板塊,而是其最短的板塊。這就是說(shuō)任何一個(gè)組織或者系統(tǒng),可能面臨的一個(gè)共同問(wèn)題,即構(gòu)成組織或者系統(tǒng)的各個(gè)部分往往是優(yōu)劣不齊的,而劣勢(shì)部分往往決定整個(gè)組織或者系統(tǒng)的水平。

對(duì)于木桶原理這個(gè)理論,咋一聽(tīng)時(shí)有人會(huì)提出懷疑——最長(zhǎng)的怎么反而不如最短的？然而,細(xì)細(xì)品位就會(huì)理解:木桶盛水量的多少,起決定性作用的不是那塊最長(zhǎng)的木板,而是那塊最短的木板。因?yàn)?如果將木桶水平放置,長(zhǎng)的板子再長(zhǎng)也沒(méi)有用,水的界面是與最短的木板平齊的。

如果一個(gè)組織或者系統(tǒng)想成為一個(gè)結(jié)實(shí)耐用的木桶,首先要做的就是想方設(shè)法提高所有板子的長(zhǎng)度。只有讓所有的木板都維持足夠的高度,才能充分體現(xiàn)團(tuán)隊(duì)精神,完全發(fā)揮團(tuán)隊(duì)作用。

此外,木桶原理還有幾種演變推論:

(1)木桶直徑原理:一個(gè)木桶的儲(chǔ)水量,還取決于木桶的直徑大小。每個(gè)組織或者系統(tǒng)都是不同的木桶,因此,木桶的大小也不可能完全一致。直徑大的木桶,其儲(chǔ)水量自然要大于其它木桶。

(2)木桶形狀原理:在每塊木板都相同的情況下,木桶的儲(chǔ)水量還取決于木桶的形狀。物理學(xué)中有一個(gè)定律,在周長(zhǎng)相同的條件下,圓形的面積大于方形的面積。所以,圓形木桶是所有形狀的木桶中儲(chǔ)水量最大的。

(3)木桶使用狀態(tài)原理:木桶的最終儲(chǔ)水量,還取決于木桶的使用狀態(tài)。在特定的使用狀態(tài)下,如有意識(shí)地把木桶向長(zhǎng)板方向傾斜,其儲(chǔ)水量就比正立時(shí)的木桶多得多。

(4)木桶各木板相互配合原理:木桶儲(chǔ)水多少同樣取決于各塊板之間的配合程度。木桶儲(chǔ)水的多少也取決于板與板之間的配合程度,即板與板之間的縫隙大小。

(5)木板厚度原理:木桶儲(chǔ)水多少還取決于各塊木板的厚度。如果木板的厚度不夠。那么,水桶的直徑越大,木板越長(zhǎng)就越危險(xiǎn)。

(6)木桶底面積原理:木桶儲(chǔ)水多少還取決于木桶底面的面積。如果一個(gè)水桶的底面面積不夠?qū)?就等于沒(méi)有了一個(gè)平臺(tái),即使再短的板子也需要他必須的空間。

(7)木桶箍原理:木桶的儲(chǔ)水量還取決于木桶的箍。如果沒(méi)有箍或者箍的數(shù)量不夠,就無(wú)法將組成木桶的木板整合成為一個(gè)整體。

木桶原理在第三方支付機(jī)構(gòu)中的運(yùn)用。

如果把信息系統(tǒng)比作一個(gè)木桶,而把信息系統(tǒng)的各個(gè)部分比作組成木桶的木條、桶底或者木桶的提手,那么信息系統(tǒng)的構(gòu)建標(biāo)準(zhǔn)就是木桶箍,而信息系統(tǒng)的服務(wù)能力則由木桶能夠盛水的量來(lái)表示。

第三方支付機(jī)構(gòu)在取得《支付業(yè)務(wù)許可證》的時(shí)候,需要依據(jù)非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)標(biāo)準(zhǔn)進(jìn)行的檢測(cè),而檢測(cè)遵循的標(biāo)準(zhǔn)就是第三方支付機(jī)構(gòu)這個(gè)木桶中最基本的木桶箍。由木桶原理和木桶箍原理可知,信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)也可以作為第三方支付系統(tǒng)這個(gè)木桶的木桶箍,來(lái)幫助其提高信息系統(tǒng)的安全能力。

3 北京地區(qū)第三方支付機(jī)構(gòu)等保檢查情況簡(jiǎn)介

本次對(duì)北京地區(qū)的第三方支付機(jī)構(gòu)進(jìn)行的等保檢測(cè)涵蓋45家第三方支付機(jī)構(gòu)的56個(gè)系統(tǒng),下面對(duì)檢查情況進(jìn)行簡(jiǎn)要介紹。

3.1 信息安全整體情況

與銀行和證券等傳統(tǒng)金融行業(yè)相比,第三方支付行業(yè)信息安全整體水平有待提高。

(1)重視程度不高,“重經(jīng)營(yíng)、輕防范”的思維普遍存在,在信息安全方面投入的人力、資源不足。

(2)工作部署和組織實(shí)施情況不容樂(lè)觀,由于對(duì)等級(jí)保護(hù)政策、標(biāo)準(zhǔn)了解有限,絕大多數(shù)支付機(jī)構(gòu)未及時(shí)出臺(tái)有關(guān)工作意見(jiàn)或方案,新獲得《支付業(yè)務(wù)許可證》的第三方支付機(jī)構(gòu)尤為突出。

(3)等級(jí)保護(hù)落實(shí)力度不夠,備案率不足七成。

(4)信息安全保障體系需進(jìn)一步完善,應(yīng)急方案有待于進(jìn)一步細(xì)化、擴(kuò)展,應(yīng)急管理體系未經(jīng)過(guò)實(shí)踐檢驗(yàn)。

3.2 安全管理制度建設(shè)情況

第三方支付行業(yè)內(nèi)各機(jī)構(gòu)的信息安全管理體系還不完善,存在較多的問(wèn)題。

(1)信息安全管理制度不規(guī)范。例如:約兩成的第三方支付機(jī)構(gòu)沒(méi)有規(guī)范的制定發(fā)布程序,統(tǒng)一版本控制格式。

(2)部分制度未固化形成正式文件。例如:信息安全產(chǎn)品采購(gòu)、使用管理制度;在辦公環(huán)境管理方面的安全保密規(guī)則等。

(3)相關(guān)工作缺乏有效的記錄。例如:約三成的第三方支付機(jī)構(gòu)沒(méi)有人員安全意識(shí)教育和培訓(xùn)等方面的工作記錄。

(4)某些層面的制度需要進(jìn)一步豐富。例如:約半數(shù)的第三方支付機(jī)構(gòu)未能實(shí)現(xiàn)系統(tǒng)關(guān)鍵管理崗位的AB角分工,兼職現(xiàn)象嚴(yán)重。

(5)管理制度貫徹落實(shí)不嚴(yán)格。

3.3 技術(shù)防范措施建設(shè)情況

從信息系統(tǒng)以及安全產(chǎn)品的配備、配置看,第三方支付機(jī)構(gòu)信息安全防范體系與國(guó)家標(biāo)準(zhǔn)要求存在一定的差距。

(1)基礎(chǔ)設(shè)施方面,大部分支付機(jī)構(gòu)投入較多,相對(duì)完善。

(2)系統(tǒng)安全架構(gòu)方面,系統(tǒng)復(fù)雜程度隨各支付機(jī)構(gòu)業(yè)務(wù)規(guī)模的不同而遞增。

(3)安全控制粒度方面,安全策略普遍不夠細(xì)致。

(4)應(yīng)用安全和數(shù)據(jù)保護(hù)方面,部分第三方支付機(jī)構(gòu)不滿(mǎn)足《基本要求》中的相關(guān)規(guī)定。

4 總結(jié)和討論

在標(biāo)準(zhǔn)適用性方面,中國(guó)工程院沈昌祥院士曾經(jīng)說(shuō)過(guò),等級(jí)保護(hù)標(biāo)準(zhǔn)適用于所有信息系統(tǒng)。所以,等保標(biāo)準(zhǔn)也適用于第三方支付系統(tǒng)。這一點(diǎn)在對(duì)北京地區(qū)第三方支付機(jī)構(gòu)的等保檢查中也可以看出來(lái)。此外,根據(jù)木桶原理及其演變?cè)砜梢酝茢喑?第三方支付系統(tǒng)遵循等級(jí)保護(hù)標(biāo)準(zhǔn)是有助于提升其安全性的。由北京市公安局網(wǎng)安總隊(duì)對(duì)北京地區(qū)第三方支付機(jī)構(gòu)的等保檢查結(jié)果可知,第三方支付機(jī)構(gòu)確實(shí)在某些方面(管理或者技術(shù))存在不符合《基本要求》的情況。綜上所述,為了提高第三方支付機(jī)構(gòu)的安全性,有必要對(duì)第三方支付機(jī)構(gòu)的信息系統(tǒng)這個(gè)木桶再加上信息系統(tǒng)等級(jí)保護(hù)這個(gè)桶箍。

[1]GB/T 22239(2008)信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[2]GB 17859(1999)計(jì)算機(jī)信息系統(tǒng).安全保護(hù)等級(jí)劃分準(zhǔn)則.

[3]GB/T25058(2010)信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南.

[4]GB/T 22240(2008)信息安全技術(shù).信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南.

[5]GB/T 22239(2008)信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[6]GB/T 25070(2010)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求.

[7]GB/T 22081(2008)信息技術(shù)安全技術(shù).信息安全管理實(shí)用規(guī)則.

[8]GB/T 28448(2012)信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求.

[9]GB/T 28449(2012)信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南.

In recent years, the Non-financial Payment Institutions have developed very fast in main land China, where the security are also been kept an eye on by the society. Starting from the Barrel Principle and incorporating the inspection results of Information System Security Classified Protection to the Non-financial Payment Institutions in Beijing, this paper gives out an analysis of the security situations of the Non-financial Payment Institutions. Finally, a conclusion is reached that it is essential for the Non-financial Payment Institutions to apply the Information System Security Classified Protection standards.

Information Security Information System Security Classified Protection Non-financial Payment Institutions The Third Party Payment Institutions Barrel Principle

李婧(1988－),女,吉林省白城市,CISP,碩士研究生,主要研究方向?yàn)樾畔踩珳y(cè)評(píng)技術(shù)和網(wǎng)絡(luò)安全防護(hù)技術(shù)。唐剛(1981－),男,四川,信息安全測(cè)評(píng)部主任,碩士研究生,主要研究方向?yàn)樾畔踩珳y(cè)評(píng)技術(shù)。

張博(1981－),男,遼寧省蓋州市,軟件測(cè)評(píng)工程師(中級(jí)),博士研究生,主要研究方向?yàn)樾畔踩珳y(cè)評(píng)技術(shù)和電子認(rèn)證相關(guān)技術(shù)。

本文得到以下基金資助:國(guó)家科技支撐計(jì)劃《電子簽名服務(wù)質(zhì)量評(píng)估與驗(yàn)證技術(shù)研發(fā)》(2009BAH39B00);國(guó)家發(fā)展和改革委員會(huì)信息安全專(zhuān)項(xiàng)《電子認(rèn)證服務(wù)風(fēng)險(xiǎn)評(píng)估與驗(yàn)證專(zhuān)業(yè)化服務(wù)項(xiàng)目》;工業(yè)和信息化部基建項(xiàng)目《電子認(rèn)證實(shí)驗(yàn)室建設(shè)》;中國(guó)軟件評(píng)測(cè)中心研發(fā)創(chuàng)新基金《源代碼安全規(guī)范編制》。