由木桶原理看非金融支付机构等级测评必要性

李婧 唐刚 张博

(中国软件评测中心,北京 100048)

由木桶原理看非金融支付机构等级测评必要性

李婧 唐刚 张博

(中国软件评测中心,北京 100048)

近年来非金融支付机构在中国大陆地区发展得十分迅速,其安全性也得到社会各界的广泛重视。本文从木桶原理出发,结合北京地区非金融支付机构的等级保护检查情况,对非金融支付机构的安全情况进行了分析。最后,本文得出非金融支付机构应该依从信息系统等级保护标准的结论。

信息安全 信息系统安全等级保护 非金融支付机构 第三方支付机构

1 引言

本文首先简要介绍非金融支付机构的相关定义及其业务系统的检测认证制度,继而简要介绍信息系统等级保护制度,向读者交待清楚相关的背景。然后,本文介绍木桶原理及其相关推理,并从理论上推出将信息系统等级保护制度(主要是GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》,以下简称《基本要求》)[1]应用于非金融支付机构的可行性及必要性。随后,本文介绍了北京市公安局网安总队六大队对北京地区所有的非金融支付机构等保检查的情况。

1.1 非金融支付机构简介

1.1.1 非金融机构支付服务定义

按照中国人民银行令〔2010〕第2号颁布的《非金融机构支付服务管理办法》(以下简称《非金管理办法》)中第二条的规定,非金融机构支付服务是指非金融机构在收付款人之间作为中介机构提供《非金管理办法》中所列部分或全部货币资金转移服务。非金管理办法允许非金融支付提供的支付服务包括:

(1)网络支付服务。网络支付是指依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。

(2)预付卡的发行与受理。预付卡是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。

(3)银行卡收单服务。银行卡收单是指通过销售点(POS)终端等为银行卡特约商户代收货币资金的行为。

(4)中国人民银行确定的其他支付服务。

1.1.2 非金融支付机构定义

按照《非金管理办法》中第三条的规定,非金融机构提供支付服务,应当依据《非金管理办法》规定取得《支付业务许可证》,成为支付机构。所以,非金融支付机构是指依据《非金管理办法》取得《支付业务许可证》的支付机构。

由非金融支付机构的定义可以看出,其并非收款人,也并非付款人,而只是在收付款人之间作为中介机构。于是,非金融支付机构又通常被称作第三方支付机构,其中第三方是指非金融支付机构既不是交易中的甲方也不是乙方。这也是第三方支付机构这个名字比较流行的原因。同理可得,非金融机构支付服务也通常被称作第三方支付服务,简称第三方支付。

1.2 非金融机构支付服务业务系统检测简介

按照中国人民银行公告〔2011〕第14号颁布的《非金融机构支付服务业务系统检测认证管理规定》(以下简称《非金检测规定》)中第二条的规定,非金融机构支付服务业务系统检测认证是指对申请《支付业务许可证》的非金融机构或《非金融机构支付服务管理办法》所指的支付机构,其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。

按照《非金检测规定》中第三条的规定,非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证;非金融支付机构应根据其支付业务发展和安全管理的要求,至少每3年对其业务系统进行一次全面的检测认证。

1.3 信息系统等级保护测评简介

等级测评是指,测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。

信息安全等级保护管理办法(公通字[2007]43号)第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

等级测评的意义在于:

(1)通过对信息系统进行等级测评,使信息系统的使用单位和运营单位能够了解目前的安全保护实际情况。

(2)信息系统经过等级测评后,可以知道信息系统相对于对应等级的《基本要求》的差距,并进一步明确信息系统中存在的安全问题。

(3)等级测评的输出成果(问题单)可以作为信息系统整改工作的输入,用来明确安全需求,为后续的建设和整改工作提供参考和依据。

2 透过木桶原理看第三方支付机构

2.1 木桶原理简介

木桶原理是由美国管理学家彼得提出的,其具体内容是:由多块木板构成的木桶,其价值在于其盛水量的多少,但决定木桶盛水量多少的关键因素不是其最长的板块,而是其最短的板块。这就是说任何一个组织或者系统,可能面临的一个共同问题,即构成组织或者系统的各个部分往往是优劣不齐的,而劣势部分往往决定整个组织或者系统的水平。

对于木桶原理这个理论,咋一听时有人会提出怀疑——最长的怎么反而不如最短的？然而,细细品位就会理解:木桶盛水量的多少,起决定性作用的不是那块最长的木板,而是那块最短的木板。因为,如果将木桶水平放置,长的板子再长也没有用,水的界面是与最短的木板平齐的。

如果一个组织或者系统想成为一个结实耐用的木桶,首先要做的就是想方设法提高所有板子的长度。只有让所有的木板都维持足够的高度,才能充分体现团队精神,完全发挥团队作用。

此外,木桶原理还有几种演变推论:

(1)木桶直径原理:一个木桶的储水量,还取决于木桶的直径大小。每个组织或者系统都是不同的木桶,因此,木桶的大小也不可能完全一致。直径大的木桶,其储水量自然要大于其它木桶。

(2)木桶形状原理:在每块木板都相同的情况下,木桶的储水量还取决于木桶的形状。物理学中有一个定律,在周长相同的条件下,圆形的面积大于方形的面积。所以,圆形木桶是所有形状的木桶中储水量最大的。

(3)木桶使用状态原理:木桶的最终储水量,还取决于木桶的使用状态。在特定的使用状态下,如有意识地把木桶向长板方向倾斜,其储水量就比正立时的木桶多得多。

(4)木桶各木板相互配合原理:木桶储水多少同样取决于各块板之间的配合程度。木桶储水的多少也取决于板与板之间的配合程度,即板与板之间的缝隙大小。

(5)木板厚度原理:木桶储水多少还取决于各块木板的厚度。如果木板的厚度不够。那么,水桶的直径越大,木板越长就越危险。

(6)木桶底面积原理:木桶储水多少还取决于木桶底面的面积。如果一个水桶的底面面积不够宽,就等于没有了一个平台,即使再短的板子也需要他必须的空间。

(7)木桶箍原理:木桶的储水量还取决于木桶的箍。如果没有箍或者箍的数量不够,就无法将组成木桶的木板整合成为一个整体。

木桶原理在第三方支付机构中的运用。

如果把信息系统比作一个木桶,而把信息系统的各个部分比作组成木桶的木条、桶底或者木桶的提手,那么信息系统的构建标准就是木桶箍,而信息系统的服务能力则由木桶能够盛水的量来表示。

第三方支付机构在取得《支付业务许可证》的时候,需要依据非金融机构支付服务业务系统检测标准进行的检测,而检测遵循的标准就是第三方支付机构这个木桶中最基本的木桶箍。由木桶原理和木桶箍原理可知,信息系统等级保护标准也可以作为第三方支付系统这个木桶的木桶箍,来帮助其提高信息系统的安全能力。

3 北京地区第三方支付机构等保检查情况简介

本次对北京地区的第三方支付机构进行的等保检测涵盖45家第三方支付机构的56个系统,下面对检查情况进行简要介绍。

3.1 信息安全整体情况

与银行和证券等传统金融行业相比,第三方支付行业信息安全整体水平有待提高。

(1)重视程度不高,“重经营、轻防范”的思维普遍存在,在信息安全方面投入的人力、资源不足。

(2)工作部署和组织实施情况不容乐观,由于对等级保护政策、标准了解有限,绝大多数支付机构未及时出台有关工作意见或方案,新获得《支付业务许可证》的第三方支付机构尤为突出。

(3)等级保护落实力度不够,备案率不足七成。

(4)信息安全保障体系需进一步完善,应急方案有待于进一步细化、扩展,应急管理体系未经过实践检验。

3.2 安全管理制度建设情况

第三方支付行业内各机构的信息安全管理体系还不完善,存在较多的问题。

(1)信息安全管理制度不规范。例如:约两成的第三方支付机构没有规范的制定发布程序,统一版本控制格式。

(2)部分制度未固化形成正式文件。例如:信息安全产品采购、使用管理制度;在办公环境管理方面的安全保密规则等。

(3)相关工作缺乏有效的记录。例如:约三成的第三方支付机构没有人员安全意识教育和培训等方面的工作记录。

(4)某些层面的制度需要进一步丰富。例如:约半数的第三方支付机构未能实现系统关键管理岗位的AB角分工,兼职现象严重。

(5)管理制度贯彻落实不严格。

3.3 技术防范措施建设情况

从信息系统以及安全产品的配备、配置看,第三方支付机构信息安全防范体系与国家标准要求存在一定的差距。

(1)基础设施方面,大部分支付机构投入较多,相对完善。

(2)系统安全架构方面,系统复杂程度随各支付机构业务规模的不同而递增。

(3)安全控制粒度方面,安全策略普遍不够细致。

(4)应用安全和数据保护方面,部分第三方支付机构不满足《基本要求》中的相关规定。

4 总结和讨论

在标准适用性方面,中国工程院沈昌祥院士曾经说过,等级保护标准适用于所有信息系统。所以,等保标准也适用于第三方支付系统。这一点在对北京地区第三方支付机构的等保检查中也可以看出来。此外,根据木桶原理及其演变原理可以推断出,第三方支付系统遵循等级保护标准是有助于提升其安全性的。由北京市公安局网安总队对北京地区第三方支付机构的等保检查结果可知,第三方支付机构确实在某些方面(管理或者技术)存在不符合《基本要求》的情况。综上所述,为了提高第三方支付机构的安全性,有必要对第三方支付机构的信息系统这个木桶再加上信息系统等级保护这个桶箍。

[1]GB/T 22239(2008)信息安全技术.信息系统安全等级保护基本要求.

[2]GB 17859(1999)计算机信息系统.安全保护等级划分准则.

[3]GB/T25058(2010)信息安全技术.信息系统安全等级保护实施指南.

[4]GB/T 22240(2008)信息安全技术.信息系统安全保护等级定级指南.

[5]GB/T 22239(2008)信息安全技术.信息系统安全等级保护基本要求.

[6]GB/T 25070(2010)信息系统等级保护安全设计技术要求.

[7]GB/T 22081(2008)信息技术安全技术.信息安全管理实用规则.

[8]GB/T 28448(2012)信息安全技术.信息系统安全等级保护测评要求.

[9]GB/T 28449(2012)信息安全技术.信息系统安全等级保护测评过程指南.

In recent years, the Non-financial Payment Institutions have developed very fast in main land China, where the security are also been kept an eye on by the society. Starting from the Barrel Principle and incorporating the inspection results of Information System Security Classified Protection to the Non-financial Payment Institutions in Beijing, this paper gives out an analysis of the security situations of the Non-financial Payment Institutions. Finally, a conclusion is reached that it is essential for the Non-financial Payment Institutions to apply the Information System Security Classified Protection standards.

Information Security Information System Security Classified Protection Non-financial Payment Institutions The Third Party Payment Institutions Barrel Principle

李婧(1988－),女,吉林省白城市,CISP,硕士研究生,主要研究方向为信息安全测评技术和网络安全防护技术。唐刚(1981－),男,四川,信息安全测评部主任,硕士研究生,主要研究方向为信息安全测评技术。

张博(1981－),男,辽宁省盖州市,软件测评工程师(中级),博士研究生,主要研究方向为信息安全测评技术和电子认证相关技术。

本文得到以下基金资助:国家科技支撑计划《电子签名服务质量评估与验证技术研发》(2009BAH39B00);国家发展和改革委员会信息安全专项《电子认证服务风险评估与验证专业化服务项目》;工业和信息化部基建项目《电子认证实验室建设》;中国软件评测中心研发创新基金《源代码安全规范编制》。