由木桶原理看非金融支付機構等級測評必要性

李婧 唐剛 張博

(中國軟件評測中心,北京 100048)

由木桶原理看非金融支付機構等級測評必要性

李婧 唐剛 張博

(中國軟件評測中心,北京 100048)

近年來非金融支付機構在中國大陸地區發展得十分迅速,其安全性也得到社會各界的廣泛重視。本文從木桶原理出發,結合北京地區非金融支付機構的等級保護檢查情況,對非金融支付機構的安全情況進行了分析。最后,本文得出非金融支付機構應該依從信息系統等級保護標準的結論。

信息安全 信息系統安全等級保護 非金融支付機構 第三方支付機構

1 引言

本文首先簡要介紹非金融支付機構的相關定義及其業務系統的檢測認證制度,繼而簡要介紹信息系統等級保護制度,向讀者交待清楚相關的背景。然后,本文介紹木桶原理及其相關推理,并從理論上推出將信息系統等級保護制度(主要是GB/T 22239-2008《信息安全技術信息系統安全等級保護基本要求》,以下簡稱《基本要求》)[1]應用于非金融支付機構的可行性及必要性。隨后,本文介紹了北京市公安局網安總隊六大隊對北京地區所有的非金融支付機構等保檢查的情況。

1.1 非金融支付機構簡介

1.1.1 非金融機構支付服務定義

按照中國人民銀行令〔2010〕第2號頒布的《非金融機構支付服務管理辦法》(以下簡稱《非金管理辦法》)中第二條的規定,非金融機構支付服務是指非金融機構在收付款人之間作為中介機構提供《非金管理辦法》中所列部分或全部貨幣資金轉移服務。非金管理辦法允許非金融支付提供的支付服務包括:

(1)網絡支付服務。網絡支付是指依托公共網絡或專用網絡在收付款人之間轉移貨幣資金的行為,包括貨幣匯兌、互聯網支付、移動電話支付、固定電話支付、數字電視支付等。

(2)預付卡的發行與受理。預付卡是指以營利為目的發行的、在發行機構之外購買商品或服務的預付價值,包括采取磁條、芯片等技術以卡片、密碼等形式發行的預付卡。

(3)銀行卡收單服務。銀行卡收單是指通過銷售點(POS)終端等為銀行卡特約商戶代收貨幣資金的行為。

(4)中國人民銀行確定的其他支付服務。

1.1.2 非金融支付機構定義

按照《非金管理辦法》中第三條的規定,非金融機構提供支付服務,應當依據《非金管理辦法》規定取得《支付業務許可證》,成為支付機構。所以,非金融支付機構是指依據《非金管理辦法》取得《支付業務許可證》的支付機構。

由非金融支付機構的定義可以看出,其并非收款人,也并非付款人,而只是在收付款人之間作為中介機構。于是,非金融支付機構又通常被稱作第三方支付機構,其中第三方是指非金融支付機構既不是交易中的甲方也不是乙方。這也是第三方支付機構這個名字比較流行的原因。同理可得,非金融機構支付服務也通常被稱作第三方支付服務,簡稱第三方支付。

1.2 非金融機構支付服務業務系統檢測簡介

按照中國人民銀行公告〔2011〕第14號頒布的《非金融機構支付服務業務系統檢測認證管理規定》(以下簡稱《非金檢測規定》)中第二條的規定,非金融機構支付服務業務系統檢測認證是指對申請《支付業務許可證》的非金融機構或《非金融機構支付服務管理辦法》所指的支付機構,其支付業務處理系統、網絡通信系統以及容納上述系統的專用機房進行的技術標準符合性和安全性檢測認證工作。

按照《非金檢測規定》中第三條的規定,非金融機構在申請《支付業務許可證》前6個月內應對其業務系統進行檢測認證;非金融支付機構應根據其支付業務發展和安全管理的要求,至少每3年對其業務系統進行一次全面的檢測認證。

1.3 信息系統等級保護測評簡介

等級測評是指,測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。

信息安全等級保護管理辦法(公通字[2007]43號)第十四條規定:信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。

等級測評的意義在于:

(1)通過對信息系統進行等級測評,使信息系統的使用單位和運營單位能夠了解目前的安全保護實際情況。

(2)信息系統經過等級測評后,可以知道信息系統相對于對應等級的《基本要求》的差距,并進一步明確信息系統中存在的安全問題。

(3)等級測評的輸出成果(問題單)可以作為信息系統整改工作的輸入,用來明確安全需求,為后續的建設和整改工作提供參考和依據。

2 透過木桶原理看第三方支付機構

2.1 木桶原理簡介

木桶原理是由美國管理學家彼得提出的,其具體內容是:由多塊木板構成的木桶,其價值在于其盛水量的多少,但決定木桶盛水量多少的關鍵因素不是其最長的板塊,而是其最短的板塊。這就是說任何一個組織或者系統,可能面臨的一個共同問題,即構成組織或者系統的各個部分往往是優劣不齊的,而劣勢部分往往決定整個組織或者系統的水平。

對于木桶原理這個理論,咋一聽時有人會提出懷疑——最長的怎么反而不如最短的？然而,細細品位就會理解:木桶盛水量的多少,起決定性作用的不是那塊最長的木板,而是那塊最短的木板。因為,如果將木桶水平放置,長的板子再長也沒有用,水的界面是與最短的木板平齊的。

如果一個組織或者系統想成為一個結實耐用的木桶,首先要做的就是想方設法提高所有板子的長度。只有讓所有的木板都維持足夠的高度,才能充分體現團隊精神,完全發揮團隊作用。

此外,木桶原理還有幾種演變推論:

(1)木桶直徑原理:一個木桶的儲水量,還取決于木桶的直徑大小。每個組織或者系統都是不同的木桶,因此,木桶的大小也不可能完全一致。直徑大的木桶,其儲水量自然要大于其它木桶。

(2)木桶形狀原理:在每塊木板都相同的情況下,木桶的儲水量還取決于木桶的形狀。物理學中有一個定律,在周長相同的條件下,圓形的面積大于方形的面積。所以,圓形木桶是所有形狀的木桶中儲水量最大的。

(3)木桶使用狀態原理:木桶的最終儲水量,還取決于木桶的使用狀態。在特定的使用狀態下,如有意識地把木桶向長板方向傾斜,其儲水量就比正立時的木桶多得多。

(4)木桶各木板相互配合原理:木桶儲水多少同樣取決于各塊板之間的配合程度。木桶儲水的多少也取決于板與板之間的配合程度,即板與板之間的縫隙大小。

(5)木板厚度原理:木桶儲水多少還取決于各塊木板的厚度。如果木板的厚度不夠。那么,水桶的直徑越大,木板越長就越危險。

(6)木桶底面積原理:木桶儲水多少還取決于木桶底面的面積。如果一個水桶的底面面積不夠寬,就等于沒有了一個平臺,即使再短的板子也需要他必須的空間。

(7)木桶箍原理:木桶的儲水量還取決于木桶的箍。如果沒有箍或者箍的數量不夠,就無法將組成木桶的木板整合成為一個整體。

木桶原理在第三方支付機構中的運用。

如果把信息系統比作一個木桶,而把信息系統的各個部分比作組成木桶的木條、桶底或者木桶的提手,那么信息系統的構建標準就是木桶箍,而信息系統的服務能力則由木桶能夠盛水的量來表示。

第三方支付機構在取得《支付業務許可證》的時候,需要依據非金融機構支付服務業務系統檢測標準進行的檢測,而檢測遵循的標準就是第三方支付機構這個木桶中最基本的木桶箍。由木桶原理和木桶箍原理可知,信息系統等級保護標準也可以作為第三方支付系統這個木桶的木桶箍,來幫助其提高信息系統的安全能力。

3 北京地區第三方支付機構等保檢查情況簡介

本次對北京地區的第三方支付機構進行的等保檢測涵蓋45家第三方支付機構的56個系統,下面對檢查情況進行簡要介紹。

3.1 信息安全整體情況

與銀行和證券等傳統金融行業相比,第三方支付行業信息安全整體水平有待提高。

(1)重視程度不高,“重經營、輕防范”的思維普遍存在,在信息安全方面投入的人力、資源不足。

(2)工作部署和組織實施情況不容樂觀,由于對等級保護政策、標準了解有限,絕大多數支付機構未及時出臺有關工作意見或方案,新獲得《支付業務許可證》的第三方支付機構尤為突出。

(3)等級保護落實力度不夠,備案率不足七成。

(4)信息安全保障體系需進一步完善,應急方案有待于進一步細化、擴展,應急管理體系未經過實踐檢驗。

3.2 安全管理制度建設情況

第三方支付行業內各機構的信息安全管理體系還不完善,存在較多的問題。

(1)信息安全管理制度不規范。例如:約兩成的第三方支付機構沒有規范的制定發布程序,統一版本控制格式。

(2)部分制度未固化形成正式文件。例如:信息安全產品采購、使用管理制度;在辦公環境管理方面的安全保密規則等。

(3)相關工作缺乏有效的記錄。例如:約三成的第三方支付機構沒有人員安全意識教育和培訓等方面的工作記錄。

(4)某些層面的制度需要進一步豐富。例如:約半數的第三方支付機構未能實現系統關鍵管理崗位的AB角分工,兼職現象嚴重。

(5)管理制度貫徹落實不嚴格。

3.3 技術防范措施建設情況

從信息系統以及安全產品的配備、配置看,第三方支付機構信息安全防范體系與國家標準要求存在一定的差距。

(1)基礎設施方面,大部分支付機構投入較多,相對完善。

(2)系統安全架構方面,系統復雜程度隨各支付機構業務規模的不同而遞增。

(3)安全控制粒度方面,安全策略普遍不夠細致。

(4)應用安全和數據保護方面,部分第三方支付機構不滿足《基本要求》中的相關規定。

4 總結和討論

在標準適用性方面,中國工程院沈昌祥院士曾經說過,等級保護標準適用于所有信息系統。所以,等保標準也適用于第三方支付系統。這一點在對北京地區第三方支付機構的等保檢查中也可以看出來。此外,根據木桶原理及其演變原理可以推斷出,第三方支付系統遵循等級保護標準是有助于提升其安全性的。由北京市公安局網安總隊對北京地區第三方支付機構的等保檢查結果可知,第三方支付機構確實在某些方面(管理或者技術)存在不符合《基本要求》的情況。綜上所述,為了提高第三方支付機構的安全性,有必要對第三方支付機構的信息系統這個木桶再加上信息系統等級保護這個桶箍。

[1]GB/T 22239(2008)信息安全技術.信息系統安全等級保護基本要求.

[2]GB 17859(1999)計算機信息系統.安全保護等級劃分準則.

[3]GB/T25058(2010)信息安全技術.信息系統安全等級保護實施指南.

[4]GB/T 22240(2008)信息安全技術.信息系統安全保護等級定級指南.

[5]GB/T 22239(2008)信息安全技術.信息系統安全等級保護基本要求.

[6]GB/T 25070(2010)信息系統等級保護安全設計技術要求.

[7]GB/T 22081(2008)信息技術安全技術.信息安全管理實用規則.

[8]GB/T 28448(2012)信息安全技術.信息系統安全等級保護測評要求.

[9]GB/T 28449(2012)信息安全技術.信息系統安全等級保護測評過程指南.

In recent years, the Non-financial Payment Institutions have developed very fast in main land China, where the security are also been kept an eye on by the society. Starting from the Barrel Principle and incorporating the inspection results of Information System Security Classified Protection to the Non-financial Payment Institutions in Beijing, this paper gives out an analysis of the security situations of the Non-financial Payment Institutions. Finally, a conclusion is reached that it is essential for the Non-financial Payment Institutions to apply the Information System Security Classified Protection standards.

Information Security Information System Security Classified Protection Non-financial Payment Institutions The Third Party Payment Institutions Barrel Principle

李婧(1988－),女,吉林省白城市,CISP,碩士研究生,主要研究方向為信息安全測評技術和網絡安全防護技術。唐剛(1981－),男,四川,信息安全測評部主任,碩士研究生,主要研究方向為信息安全測評技術。

張博(1981－),男,遼寧省蓋州市,軟件測評工程師(中級),博士研究生,主要研究方向為信息安全測評技術和電子認證相關技術。

本文得到以下基金資助:國家科技支撐計劃《電子簽名服務質量評估與驗證技術研發》(2009BAH39B00);國家發展和改革委員會信息安全專項《電子認證服務風險評估與驗證專業化服務項目》;工業和信息化部基建項目《電子認證實驗室建設》;中國軟件評測中心研發創新基金《源代碼安全規范編制》。