信息安全等級保護條例范例6篇

前言：中文期刊網精心挑選了信息安全等級保護條例范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息安全等級保護條例范文1

［關鍵詞］等級保護；等級備案；等級測評

doi：10.3969/j.issn.1673 - 0194.2017.04.115

［中圖分類號］TP309 ［文獻標識碼］A ［文章編號］1673-0194（2017）02-0-02

0 引　言

隨著全球信息技術的快速發展，我國國民經濟的繁榮和社會信息化水平的日益提升，信息安全已上升為國家層面的重要內容。為進一步提高信息安全保障工作的能力和水平，2016年國家網絡安全宣傳周首次在全國范圍內統一舉辦，并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度，等級測評工作也將隨之逐步成為一項常規化工作，對保障國家網絡安全具有重要意義。下文對信息安全等級保護的概念及發展狀況進行梳理。

1 信息安全等級保護的概念

信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作，是國際上很多國家都實施的一項信息安全工作。在中國，信息安全等級保護廣義上是為涉及信息安全工作的標準、產品、系統、信息等依據等級保護思想確立的安全工作；狹義上一般指信息系統安全等級保護。

2 信息安全等級保護的發展歷程

全球化網絡快速發展的同時其脆弱性和安全性也日益彰顯，西方發達國家制定了一系列強化網絡信息安全建設的政策和標準，其核心就是將不同重要程度的信息系統劃分為不同的安全等級，以便于對不同領域的信息安全工作進行指導。鑒于此，我國相關部門和專家結合我國信息領域的實際情況經過多年的研究，于1994年由國務院下發了《中華人民共和國計算機信息系統安全保護條例》，首次提出了信息安全等級保護的概念，用于解決我國信息安全問題。之后經過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規，并實施工程。從計算機系統的定級到等級保護測評，信息安全工作逐步完善。詳情見表1。

隨著國家對信息安全工作的重視以及各類等級保護規范標準的出臺，各行業及監管部門迅速發文響應并落實行業內信息系統安全等級保護工作。建立、健全信息安全管理制度，落實安全保護技術措施，全面貫徹落實信息安全等級保護制度。目前，國家已出臺70多個國標、行標及報批標準，展開了對所屬安全系統進行先定級后測評的工作。

3 信息安全等級保護具體實施過程

信息安全等級保護具體的實施過程，如圖1所示。

3.1 定級

2007年開始在全國范圍內進行信息系統等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。

定級標準為公安部66號文件。主要依據是《信息系統安全保護等級定級指南》（國家）或行業制定的定級指南。對于等級的劃分，見表2。

定級注意事項

第一級信息系統：適用于小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中一般的信息系統。

第二級信息系統：適用于縣級一些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統。例如：不涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統，地市級以上國家機關、企事業單位網站等。

第三級信息系統：一般適用于地市級以上國家機關、企事業單位內部重要的信息系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業及控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、省門戶網站和重要網站；跨省連接的網絡系統等，例如，網上銀行系統、證券集中交易系統、海關通關系統、民航離港控制系統等為三級信息系統。

第四級信息系統：一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全、影響社會穩定的核心系統。例如：電信骨干傳輸網、電力能量管理系統、銀行核心業務系統、鐵路票客系統、列車指揮調度系統等。

第五級信息系統：適用于國家特殊領域的極其重要系統。

3.2 等級備案

已運行的系統在安全保護等級定級后30日內，由運營、使用單位到所在地區的市級以上公安機關辦理備案手續。新建的系統，在通過立項申請后30日內辦理。將定級情況報各地公安部門備案。

辦理備案手續時備案單位需向公安機關網監部門提交以下備案材料。①《信息系統安全等級保護備案表》紙質材料一式兩份。該表由“等級保護備案端軟件”生成，操作時請詳細閱讀軟件使用說明書。第二級以上信息系統備案時需提交表中的表一、二、三；第三級以上信息系統還應當在系統整改、測評完成后30日內提交表四及其有關材料。②《信息系統安全等級保護定級報告》紙質材料一式兩份。每個備案的信息系統均需提供對應的《信息系統安全等級保護定級報告》。

③備案電子數據。每個備案的信息系統，均需通過“等級保護備案端軟件”填寫信息，以壓縮文件（RAR格式）方式保存。

3.3 對照等級標準和要求進行安全建設分析整改

備案工作完成后，需要對照所定的級別對信息系統進行安全建設整改。從滿足政策、滿足標準和滿足用戶需求入手，有條件的單位可以請專業機構幫助給出整改意見，在技術和管理兩個方面進行整體規劃和設計。在設計過程中要考慮近期和遠期規劃，從而給出總體和詳細的方案，特別要把技術體系、物理安全、管理安全、應急與災備全面進行細分，細分為不同的子項，分項完善。之后就可以進入具體實施操作階段。

3.4 等級測評

信息系統完成建O整改實施操作之后就可以進行等級保護的測評。等級保護測評工作需要由有“DJCP”（公安部信息安全等級保護測評）認證的測評機構來完成。有“DJCP”資質的機構在“中國信息安全等級保護網”可以查詢到。測評時間一般為一個月。測評過程如下。

（1）測評準備階段：召開項目啟動會布置測評需要準備的材料（系統拓撲圖、規章制度、設備參數等），測評機構根據提供的材料準備下一步的測評工具和表單。

（2）測評方案編制階段：測評機構針對測評對象制定測評指標，填寫測評內容，并編制測評方案書。雙方進一步溝通測評時間及測評場地的測評內容和測評流程。

（3）現場測評階段：測評機構按照測評方案的測評內容對項目中的管理和技術測評項進行逐一的測評，記錄測評相關數據。需要注意的是在現場測評過程中盡量不要影響被測系統的正常運行。可以選擇錯開業務高峰期或下班后的時間。為了保證被測系統不受影響，系統維護人員應在現場進行配合。

（4）報告編制階段：測評機構根據測評內容和數據進行整理，給出測評報告，告知風險點和測評發現的問題。

測評結果有三種：不符合，即未通過測評；部分符合和全部符合，后兩種為通過測評。

在等級保護測評方面，按照要求，三級的信息系統應當每年至少進行一次安全自查和安全測評；四級的信息系統應當每半年至少進行一次安全自查和安全測評；五級的應當依據特殊安全要求進行安全自查和安全測評。

4 信息安全等級保護的發展現狀

隨著信息技術的不斷發展，云計算、移動互聯、物聯網、工業控制、大數據等概念的出現對信息系統等級保護提出了新的要求。在新技術應用背景下，等級保護的標準和規范也將隨之不斷調整，信息系統和測評機構都需要不斷提高自身的技術能力以適應新技術發展的需求。保證信息系統的循序建設和長期穩定的運行，是等級保護建設的重要意義。

主要參考文獻

信息安全等級保護條例范文2

【 關鍵詞 】 信息安全；等級保護；定性分析；定量分析

【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws， such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme， the accuracy of classified protection of information system could be promoted.

【 Keywords 】 information security； classified protection； qualitative analysis； quantitative analysis

1 引言

按照國家相關法律和國家標準，一些重要行業、重要單位需要根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民法人和其他組織的合法權益的危害程度等因素，對重要的信息系統確定其應該達到的安全保護等級（分為五個級別），信息系統安全保護能力隨著其被確定的安全保護等級的增高，逐漸增強。在對信息系統進行定級、采取安全防衛措施后，還需要確認該系統是否已經達到相應的保護等級及在未達到的情況下給出整改方案。

按照《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統安全保護等級劃分準則》等法規和標準，信息系統的安全等級保護流程分為：確定等級、安全建設、等級測評、安全整改、安全檢查等五個步驟。

2 定級流程

現有方法在定級流程的第二和第三步，即評定定級對象的業務信息安全保護等級和系統服務安全保護等級時，國家標準GB 17859-1999《信息系統安全保護等級定級指南》中建議各行業可根據本行業信息特點和系統服務特點，制定客體被侵害程度的綜合評定方法。但現實中缺乏一套通用的準則和方法，因此在評價客體被侵害程度時受到人為因素的影響程度較大，定級過程中人員的主觀性強，對定級結果產生不利影響，如果定級不夠準確，則將影響該信息系統的后續防護工作，即不能實施與國家標準中匹配的防護強度，給防護帶來較大的安全隱患。

本文主要針對現有定級工作定級缺乏可行的準則，定級結果主觀成分大，定量不足的缺點，提出一種定性與定量結合的定級方法，提高信息系統的安全保護等級的定級準確性，從而安全建設環節根據定級結果做好重要信息系統的安全防護。

2.1 確定定級對象和受侵害的客體

為了體現重要部分重點保護，有效控制信息安全建設成本，優化信息安全資源配置的等級保護原則，將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。

2.3 確定對客體的侵害程度

（1）侵害的客觀方面。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。（2）綜合判定侵害程度。國家標準GB 17859-1999《信息系統安全保護等級定級指南》種，將不同危害后果的三種危害程度描述：一般損害、嚴重損害、特別嚴重損害。

2.4 確定定級對象的安全保護等級

根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據業務信息安全保護等級矩陣表，即可得到業務信息安全保護等級。根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據系統服務安全保護等級矩陣表，即可得到系統服務安全保護等級。作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。

3 基于層次分析法的定級

本文采用層次分析法來進客體被侵害程度的定量確定。

3.1 建立層次分析模型

建立層次分析模型的過程：首先建立最高層（解決問題的目的）；中間層（實現總目標而采取的各種措施、必須考慮的準則等，也可稱策略層、約束層、準則層等）；以電信業務這一客體被侵害時受到影響必須考慮的因素為例，通常需要考察電信業務的覆蓋區域（面積）、該電信業務覆蓋范圍內的用戶人數、區域內業務量（一定時間周期內的用戶撥打和接聽電話的時間長度）三個指標，需要說明的是，電信業務客體受到侵害需要考慮的不止以上提到的三個因素，在實踐中，還可以考慮其他因素。

最低層（用于解決問題的各種措施、方案等，也稱為方案層）。備選的方案為國家標準GB 17859-1999《信息系統安全保護等級定級指南》中確定的五個等級，分別是第一級、第二級、第三級、第四級和第五級。

針對確定客體被侵害程度問題建立的層次分析模型如圖1所示。

3.2 構造成對比較矩陣

從層次分析模型的第二層開始，對于從屬于（或影響）上一層每個因素的同一層諸因素，用成對比較法和1-9比較尺度構建成對比較矩陣，直到最下層。下面結合實例，構造成對比較矩陣。以某地電信部門的電信系統的業務客體被侵害為例，得到三個指標的重要性依次為：區域內業務量>該電信業務區域的用戶人數>電信業務區域覆蓋范圍。在矩陣中令區域業務量為m11，當前可用上傳帶寬為m22，電信業務區域覆蓋范圍為m33。

構造一個三階矩陣Mij（3*3），根據長期積累的經驗，其中m12=3，表示區域內業務量相比該電信業務區域的用戶人數略重要，m13=5，表示區域內業務量相比電信業務區域覆蓋范圍重要，m23=3，表示該電信業務區域的用戶人數比電信業務區域覆蓋范圍略重要，從而得到三階矩陣。

3.3 計算權向量并做一致性檢驗

要求成對比較矩陣具備一定的一致性即可。由分析可知，對完全一致的成對比較矩陣，其絕對值最大的特征值等于該矩陣的維數。

檢驗成對比較矩陣M一致性的步驟如下：計算衡量一個成對比矩陣M（n>1階方陣）不一致程度的指標CI為：

CI=

其中max（M）是矩陣M 的最大特征值，n為矩陣的階數。

通過計算，λmax為3.0385，特征向量為（0.6370， 0.2583，0.1047），即權重分別為0.637， 0.258和0.104

CI==0.01925

CI=0，有完全的一致性。CI接近于0，有滿意的一致性，反之CI越大，不一致越嚴重

按公式計算成對比較矩陣M 的隨機一致性比率CR：

CR=

RI稱為平均隨機一致性指標，它只與矩陣的階數有關，可從有關資料查出檢驗成對比較矩陣M一致性的標準RI。查表得出三階矩陣對應的RI為0.58，故有：

CR==0.033

判斷方法：（1） 當CR

3.4 計算客體被侵害的程度

在計算出每個評價因素的權重后，由于每個評價因素的數值隸屬于不同體系，因此要在同一標準體系下進行評價，在本例中，區域是以平方公里為單位，業務受到影響的用戶數量以萬人為單位，業務量是以萬小時/天為單位，在實踐中將每個評價因素的實際數值采用Decimal scaling小數定標標準化方法進行歸一化，通過歸一化因子，將每個評價因素的取值范圍限定于[0，1]。

國家標準GB 17859-1999《信息系統安全保護等級定級指南》中將等級保護對象受到破壞后對客體造成侵害的程度歸結為三種：a.造成一般損害；b.造成嚴重損害；c.造成特別嚴重損害。

定義：損害值D（Oi）為客體Oi被侵害的分值。

：D（Oi）∈（0，0.3]，則定義該客體受到的損害為一般損害

∈（0.3，0.8]，則定義該客體受到的損害為嚴重損害

∈（0.8，1]，則該客體受到的損害為特別嚴重損害

實踐中，可根據需要調整區間大小。

舉例來說，某市某區常住人口為60萬，電信業務量為平均80萬小時/每天，該區面積為250平方公里，通過歸一化公式X'=，其中，j是使得X'落入[0，1]的最小整數。

可計算出：

人口Pg=0.6，電信業務量Tg=0.8，業務覆蓋面積Sg=0.25 α=0.6370，β =0.2583 γ=0.1047，將歸一化后的三個評價因素，代入公式D（Oi）= αPg+βTg+γSg，求得D（Oi）=0.61。

從定義可以看出，客體受到“嚴重損害”，該客體屬于社會秩序和公眾利益范疇，根據業務信息安全保護等級矩陣表，侵害程度為第三級，故該信息系統的業務信息安全等級被定為“三級” 。對該信息系統的系統服務安全等級，可遵循同樣的方式計算得到，最后比較兩個等級，取最高等級作為最終該信息系統的安全保護等級。

4 結束語

本文針對現有信息系統的安全保護定級工作缺乏可行的定級準則，定級結果較大程度上取決于人的主觀感受、定性成分大和定量分析不足的缺點，提出一種定性與定量結合的定級方法，提高信息系統的安全保護等級的定級準確性，從而根據定級結果做好重要信息系統的安全防護。

參考文獻

[1] 姜政偉，趙文瑞，劉宇，劉寶旭.基于等級保護的云計算安全評估模型[J]. 計算機科學， 2013（08）.

[2] 陳志賓.基于等級保護思想的信息平臺安全研究與實現[D].河北工業大學，2012.

[3] 曾穎.醫院信息系統等級保護安全體系設計[J].微型電腦應用，2014（03）.

[4] 肖國煜.信息系統等級保護測評實踐[J].信息網絡安全， 2011（07）.

[5] 韓岳.高安全等級網站系統服務器安全研究[D].中國人民信息工程大學，2011.

基金項目：

廣東省戰略性新型產業發展專項資金（高端新型電子信息產業）項目資助（項目編號：2012556028）。

作者簡介：

王偉（1983-），男，重慶人，博士；主要研究方向與關注領域：信息安全、云計算。

信息安全等級保護條例范文3

【 關鍵詞 】 信息安全；規劃；規范；完善；信息系統

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在當今全球一體化的環境中，信息的重要性被廣泛接受，信息系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統不斷增長的依賴性，加上在信息系統上運作業務的風險、收益和機會，使得信息安全管理成為信息化管理越來越關鍵的一部分。面對越來越嚴峻的安全形勢，世界各國高度重視信息安全保障。2015年已然過半，在安全行業，不同規模的攻擊者，無論是技術還是組織都在快速提升。相比之下美國信息安全保障體系建設比較完善，信息保障已成為美軍組織實施信息化作戰的指導思想。

國際上信息安全標準化工作興起于20世紀70年代中期，80年代有了較快的發展，90年代引起了世界各國的普遍關注。目前世界上有近300個國際和區域性組織制定標準或技術規則，與信息安全標準化有關的組織主要有幾個：ISO（國際標準化組織）、IEC（國際電工委員會）、ITU（國際電信聯盟）、IETF（Internet工程任務組）等。除了上述標準組織，世界各國的官方機構和行業監管機構還有許多信息安全方面的標準、指引和建議的操作實踐。

2 國外IT新技術信息安全

隨著全球信息化浪潮的不斷推進，信息技術正在經歷一場新的革命，使社會經濟生活各方面都發生著日新月異的變化。虛擬化、云計算、物聯網、IPv6等新技術、新應用和新模式的出現，對信息安全提出了新的要求，拓展了信息安全產業的發展空間。同時，新技術、新應用和新模式在國外市場的全面開拓將加快國外信息安全技術創新速度，催生云安全等新的信息安全應用領域，為國外企業與國際同步發展提供了契機。

2.1 云計算

“云安全”是繼“云計算”、“云存儲”之后出現的“云”技術的重要應用，已經在反病毒軟件中取得了廣泛的應用，發揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全聯盟CSA是在2009年的RSA大會上宣布成立的，云安全聯盟成立的目的是為了在云計算環境下提供最佳的安全方案。同時云安全聯盟列出了云計算的七大安全風險：（1）數據丟失/泄漏；（2）共享技術漏洞；（3）內部控制；（4）賬戶、服務和通信劫持；（5）不安全的應用程序接口；（6）沒有正確運用云計算；（7）透明度問題。

2.2 虛擬化

咨詢公司Gartner將虛擬化技術列為2013年十大戰略技術第一位，而在2014年初預測中，更是大膽斷言到2015年20%的企業將不再擁有IT資產，因為多個內在關聯的趨勢正在推動企業去逐步減少IT硬件資產，這些趨勢主要是虛擬化、云計算服務等。而虛擬化技術，作為云計算的一個支撐技術，必將成為未來最重要的最值得研究的IT技術之一。雖然目前針對各組件安全的保護措施不少，但是從CVE的公告中可以看出安全威脅仍然存在。目前針對虛擬化環境的主要威脅有三類：逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問題。

2.3 物聯網

物聯網和互聯網一樣，都是一把“雙刃劍”。物聯網是一種虛擬網絡與現實世界實時交互的新型系統，其特點是無處不在的數據感知、以無線為主的信息傳輸、智能化的信息處理。根據物聯網自身的特點，物聯網除了面對移動通信網絡的傳統網絡安全問題之外，還存在著一些與已有移動網絡安全不同的特殊安全問題。這是由于物聯網是由大量的機器構成，缺少人對設備的有效監控，并且數量龐大，設備集群等相關特點造成的，這些特殊的安全問題主要有幾個方面：（l）物聯網機器/感知節點的本地安全問題；（2）感知網絡的傳輸與信息安全問題；（3）核心網絡的傳輸與信息安全問題；（4）物聯網應用的安全問題。

2.4 IPv6

為適應Intemet的迅速發展及對網絡安全性的需要，由IETF（The Internet Engineer Task Force）建議制定的下一代網際協議（IPNextGeneration Protocol，IPng），又被稱為IP版本6（1Pv6），除了擴展到128位地址來解決地址匱乏外，在網絡安全上也做了多項改進，可以有效地提高網絡的安全性。

由于IPv6與IPv4網絡將會，網絡必然會同時存在兩者的安全問題，或由此產生新的安全漏洞。已經發現從IPv4向IPv6轉移時出現的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協議的LAN的網絡資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

3 國外信息安全發展趨勢

據Gartner分析，當前國際大型企業在信息安全領域主要有幾個發展趨勢：（1） 信息安全投資從基礎架構向應用系統轉移；（2）信息安全的重心從技術向管理轉移；（3）信息安全管理與企業風險管理、內控體系建設的結合日益緊密；（4）信息技術逐步向信息安全管理滲透。結合大型企業信息安全發展趨勢，國際各大咨詢公司、廠商等機構紛紛提出了符合大型企業業務和信息化發展需要的信息安全體系架構模型，著力建立全面的企業信息安全體系架構，使企業的信息安全保護模式從較為單一的保護模式發展成為系統、全面的保護模式。

4 國外信息安全總結

信息安全在國外已經上升到了國家戰略層次，國外的信息安全總體發展領先于國內，特別是歐美，研究國外的信息安全現狀有助于我國的信息安全規劃。國外的主流的信息安全體系框架較多，都有其適用范圍和缺點，并不完全符合我國現狀，可選取框架的先進理念和組成部分為我國所用，如IATF的縱深防御理念和分層分區理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

5 國內信息安全綜述

目前，國家開始高度重視信息安全問題，以等級保護和分級保護工作為主要手段，加強我國企事業單位的信息安全保障水平。 目前我國信息于網絡安全的防護能力處于發展的初級階段，許多應用系統處于不設防狀態，信息與網絡安全，目前處于忙于封堵現有信息系統的安全漏洞，要解決這 些迫在眉睫的問題，歸根結底取決于信息安全保障體系的建設。

6 國內信息安全標準

國內的安全標準組織主要有信息技術安全標準化技術委員會（CITS）、中國通信標準化協會（CCSA）下轄的網絡與信息安全技術工作委員會、公安部信息系統安全標準化技術委員會、國家保密局、國家密碼管理委員會等部門。

在信息安全標準方面，我國已了《信息技術 安全技術 公鑰基礎設施在線證書狀態協議》、《信息技術 安全技術 公鑰基礎設施證書管理協議》等幾十項重要的國家信息安全基礎標準，初步形成了包括基礎標準、技術標準、管理標準和測評標準在內的信息安全標準體系框架。

7 國內IT新技術信息安全

7.1 云計算

目前我國的云計算應用還處于初始階段，關注的重點是數據中心建設、虛擬化技術方面，因此，我國的云安全技術多數集中在虛擬化安全方面，對于云應用的安全技術所涉及的還不多。雖然當前眾多廠商提出了各種云安全解決方案，但云安全仍處于起步階段，除了可能發生的大規模計算資源的系統故障外，云計算安全隱患還包括缺乏統一的安全標準、適用法規、以及對于用戶的隱私保護、數據、遷移、傳輸安全、災備等問題。

7.2 虛擬化

由于虛擬化技術能夠通過服務器整合而顯著降低投資成本，并通過構建內部云和外部云節省大量的運營成本，因此加速了虛擬化在全球范圍的普及與應用。目前許多預測已經成為現實：存儲虛擬化真正落地、高端應用程序虛擬化漸成主流、網絡虛擬化逐漸普及、虛擬化數據中心朝著云計算的方向大步邁進、管理工具比以往更加關注虛擬數據中心。在虛擬化技術應用方面，企業桌面虛擬化、手機虛擬化、面向虛擬化的安全解決方案、虛擬化推動綠色中心發展等領域也取得了長足進步，發展勢頭比之前預想的還要迅猛。

7.3 IPv6

我國IPv6標準整體上仍處于跟隨國際標準的地位，IPv6標準進展與國際標準基本一致，在過渡類標準方面有所創新（如軟線技術標準和 IVI技術標準等），已進入國際標準。中國運營企業在IPv6網絡的發展，奠定了中國在世界范圍內IPv6領域的地位，積累了一定的運營經驗。但總體來看，我國IPv6運營業發展緩慢，主要體現在IPv6網絡集中在骨干網層面，向邊緣網絡延伸不足，難以為IPv6特色業務的開發和規模商用提供有效平臺。此外，由于運營企業積極申請IPv4地址，或采用私有地址，對于發展IPv6用戶并不積極，直接影響了其他產業環節的IPv6投入力度。

8 國內信息安全發展趨勢

隨著信息技術的快速發展和廣泛應用，基礎信息網絡和重要信息系統安全、信息資源安全以及個人信息安全等問題與日俱增，應用安全日益受到關注，主動防御技術成為信息安全技術發展的重點。

第一，向系統化、主動防御方向發展。信息安全保障逐步由傳統的被動防護轉向"監測-響應式"的主動防御，產品功能集成化、系統化趨勢明顯，功能越來越豐富，性能不斷提高；產品問自適應聯動防護、綜合防御水平不斷提高。

第二，向網絡化、智能化方向發展。計算技術的重心從計算機轉向互聯網，互聯網正在逐步成為軟件開發、部署、運行和服務的平臺，對高效防范和綜合治理的要求日益提高，信息安全產品向網絡化、智能化方向發展。網絡身份認證、安全智能技術、新型密碼算法等信息安全技術日益受到重視。

第三，向服務化方向發展。信息安全內容正從技術、產品主導向技術、產品、服務并重調整，安全服務逐步成為發展重點。

9 國內信息安全總結

國內的信息安全較國外有一定距離，不過也正在快速趕上，國內現在以等級保護體系和分級保護體系為主要手段，以保護重點為特點，強制實施以提高對重點系統和設施的信息安全保障水平，國內的信息安全標準通過引進和消化也已經初步成了體系，我國在規劃時，需考慮合規因素，如等級保護和分級保護。國內的信息安全體系框架較少，主要是等級保護和分級保護，也有國內專家個人推崇的框架，總體來講，以合規為主要目的。

參考資料

[1] 中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例.1994.

[2] 公安部，國家保密局，國家密碼管理局，國務院信息化工作辦公室.信息安全等級保護管理辦法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April， 2006.

信息安全等級保護條例范文4

關鍵詞 網絡安全 網絡管理 網絡安全管理制度

中圖分類號：TP315 文獻標識碼：A

在網絡化信息化快速發展的今天，網絡安全問題幾乎對任何一個團體都不再是可有可無的話題。據賽門鐵克諾頓2012 年 9 月11日公布的一年一度的諾頓網絡安全報告推測，在之前的一年中網絡犯罪致使全球個人用戶蒙受的直接損失高達 1，100億美元，而在中國，估計有超過2.57億人成為網絡犯罪受害者，所蒙受的直接經濟損失達人民幣2，890億元。

網絡安全已經受到各國家、企業團體的高度重視。美國國防部的《可信計算機系統評估準則》，將計算機安全劃分為四個等級，帶動了國際計算機安全的評估研究。加拿大頒布了《網絡加密法》《個人保護與電子文檔法》《保護消費者在電子商務活動中權益的規定》。我國也相繼制定了一系列信息安全管理的法規制度，包括《計算機信息系統安全保護條例》《商用密碼管理條例》《計算機信息網絡國際聯網安全保護管理辦法》《互聯網安全保護技術措施規定》《計算機病毒防治管理辦法》《信息安全等級保護管理辦法》等，并將計算機犯罪納入刑事立法體系。各國對網絡安全的重視也促進本國的企業團體的網絡安全建設。我國各企事業單位、社會團體對網絡安全管理越來越重視，紛紛制定本單位的網絡安全監測、管理制度。但是由于網絡技術的不斷進步、網絡新應用的持續發展，網絡安全新情況、新問題仍然不斷發生。

1目前網絡安全建設存在的問題

1.1忽視對網絡安全技術人員的培訓

很多單位對網絡和安全設備等有形資產舍得投資，但對網絡安全技術人員的培訓等方面的投資卻不夠重視。好的設備需要掌握相關技能的人員操作管理才能充分發揮其功能，由缺乏技能的人員管理安全設備常常并不能起到安全保護作用。配置不當的網絡和安全設備本身也有可能成為攻擊對象，例如使用telnet、http等非安全方式登錄管理設備，未限制或未關閉設備本身的FINGER 服務、tftp 服務等。

1.2對非信息安全部門的員工教育不足

現在很多網絡攻擊行為常常使用社會工程學等非技術方法，而且這種攻擊行為越來越多。社會工程學是利用人的弱點，以順從你的意愿、滿足你的欲望的方式，讓你上當的一些方法、一門藝術與學問。 Gartner集團信息安全與風險研究主任Rich Mogull認為：“社會工程學是未來10年最大的安全風險，許多破壞力最大的行為是由于社會工程學而不是黑客或破壞行為造成的?！?/p>

這種攻擊行為本身并不需要太多的計算機網絡技術，所以單純靠提高網絡安全技術人員的技術水平無法解決此類安全問題。這需要加強對員工的網絡安全教育，提高所有員工的網絡安全意識，使以符合網絡安全規則的方式做事成為員工的習慣。

1.2.1網絡安全管理制度建設缺乏持續性

網絡安全管理是一個動態的系統工程。網絡安全管理制度需要根據網絡安全技術的發展、業務系統的發展而更新改進。網絡安全管理制度既體現網絡安全管理者對團體成員的行為標準的要求，又建立了一個保證安全策略及時下發實施的上傳下達的通道，保證重大緊急事件的及時處理。例如安全事故處理流程既要規定各級管理人員能夠自行處理的事件的級別，又要規定事故匯報請示流程，保證領導層能夠掌握重要安全事件處理進度，及時做出決策。

1.2.2在網絡安全評估量化方面存在困難

現在存在很多以量化指標衡量網絡系統的安全程度的方法，例如以網絡系統中各個分量的重要程度、被入侵的概率等作為權重來計算整個系統的安全量化指標，或者以系統從受到攻擊到入侵成功所需時間來衡量其安全程度。這些方法對于網絡安全系統的建設和評估具有重要指導意義，但是由于現實中網絡安全涉及的不可控因素太多，這些衡量方法的使用效果并不總是令人滿意。網絡安全服從木桶理論，一個系統中的安全短板決定著這個系統整體的安全程度。不當的安全評估量化方法無法準確評估一個系統的安全程度，無法給領導層和網絡安全管理人員以正確的回饋。

2網絡安全建設建議

2.1結合本單位業務細化網絡安全管理

首先，根據業務特點和安全要求，對整體網絡進行物理和邏輯安全分區，在安全區域邊界設置訪問控制措施，防止越權訪問資源。對于不同安全需求，可以采用單獨組網、網閘隔離、防火墻等安全設備隔離、靜態和動態VLAN邏輯隔離和ACL訪問控制等。在服務器等重要區域，可以增設IPS或IDS、WEB防護設備、網頁防篡改系統等增強保護力度。

第二，加強對IP地址和接入端口的管理。在條件允許的情況下，對于平時位置和配置固定的服務器和PC機，采用用戶名/密碼/MAC地址結合網絡接入設備端口的身份驗證策略，強制用戶使用分配的IP地址和接入端口，不允許其隨意修改。對于暫時不用的交換機端口應該予以關閉，避免外來計算機隨意接入內部網絡。

第三，網絡和安全管理人員的管理權限、管理范圍必須界定清楚，網絡和安全設備的操作日志必須保存好。網絡和安全管理人員的管理權限和范圍根據各人的職責分工、管理能力進行劃分，保證每位管理人員必要的操作管理權限，同時防止設備管理混亂。網絡和安全設備操作日志應詳細記錄每個操作人員的操作，需要時應該可以追蹤到所有操作人員的操作過程。

第四，以統一的安全管理策略利用安全設備和安全軟件進行監管，減少人為干擾產生的例外情況。安全策略部署中的例外情況日后往往會成為安全隱患，例如，一些人員以各種借口拒絕在其工作用機上實施安全策略，或者需要開通特殊網絡服務等。對于無法避免的例外情況應該指定專人負責記錄、提醒、監督相關管理人員及時更改和恢復策略等。

2.2合理安排崗位職責

在一個大中型局域網中，網絡管理人員不但需要保證諸如重要服務器、存儲設備、門戶網站等的網絡暢通，而且常常需要擔負IP地址規劃、員工機器網絡故障處理、網絡系統升級改造、設備維保管理、機房環境管理、最新網絡和安全技術跟進、新型網絡和安全設備測試等諸多事項，所以一般無法做到單人單崗，人員的職責劃分難免出現重疊區域。對于這種情況，應該按照重要程度對各崗位職責進行等級劃分，把關系全局、實時性要求高的應用系統、數據存儲系統等關鍵網絡應用系統的網絡安全保障作為關鍵工作，指定2～3人重點負責，并且把關鍵工作的維護人員之間的分工合作方式以制度的形式確定下來。

2.3管理層的重視和支持

首先，網絡安全問題的暴露都具有滯后性，安全管理缺位造成的影響短期內并不一定能夠顯現出來，但是長期持續下去必然導致安全問題的發生。領導層應該對網絡安全建設常抓不懈，并以制度的方式予以保證。

其次，網絡安全基本數據、各部門對安全的需求等基礎信息收集工作的開展常需要管理層的支持和協調，網絡和安全管理策略的實施更是離不開管理層支持。目前網絡安全很多威脅不是來自外部，而是緣自內部人員對網絡安全知識的缺乏和對安全制度、措施的漠視，例如，個別內部機器不按要求安裝主機安全軟件、私自下載安裝來源不明軟件等。所以應該指定領導專門負責網絡安全的實施和監督，配合網絡安全部門技術人員完成安全措施的部署落實，做好網絡安全的定期檢查工作。

第三，大部分企事業單位里安全投資是屬于運營成本，領導層難以期望安全投資會直接帶來利潤。ITIL（Information Technology Infrastructure Library，信息技術基礎架構庫）提供了對IT資源進行財務計量的方法，在企事業內部把IT部門為其它部門提供的服務進行量化，以便更好地體現IT部門的經濟效益。但是從企事業單位的整體來看，對于大部分企事業單位，內部網絡安全管理的投入仍然劃歸為基礎運營成本。盡管如此，網絡安全管理的重要性不應被忽視。

信息安全等級保護條例范文5

國外手機銀行起步早，發展程度和特色各異，目前比較有代表性的國家有日本、韓國、美國和歐洲。

日本手機銀行業務發展中最大的特點是：推動該業務的主體是移動運營商，不是銀行，銀行是配合連接支付。移動運營商利用自身在產業鏈中的優勢地位，整合終端廠商和設備提供商的資源，聯合銀行提供手機銀行業務。在日本，手機銀行的安全管理受到高度重視，終端可以直接使用Java和SSL，交易的信號經過了多重加密，再加上與各銀行間使用專線網，因此，銀行業和消費者對這一業務的信賴程度十分高。同時，移動運營商把移動支付作為重點業務予以積極推進，目前手機銀行在日本已經成為主流支付方式。

韓國手機銀行業務已經形成一定規模，幾乎所有韓國的零售銀行都能提供手機銀行業務。韓國人在購買新手機時，會選擇具備特殊記憶卡的插槽，用以儲存銀行交易資料，并進行交易時的信息加密。在韓國有幾萬家餐館和商店擁有能從手機通過紅外線讀取信用卡信息的終端，使顧客能夠通過手機進行消費支付。韓國手機銀行業務飛速發展的關鍵在于韓國銀行業對手機銀行業務的高度重視，積極推進。銀行期盼客戶使用手機銀行，因為這將為銀行節省大量柜面操作成本，從而使銀行員工可以集中精力于其他具有更高價值的活動，同時也可使客戶享受到現代支付的便捷和實惠。

美國手機銀行市場近年來進入快速發展階段。2009年Nielsen公司統計美國手機銀行用戶達到1300萬，其中約三分之二仍在使用SMS模式的手機銀行。而據comScore公司的分析報告，至2011年6月份，美國約有13.9%的移動通訊用戶，即3200萬人曾經使用過手機銀行，比2010年第四季度增長了21%，其中僅客戶端應用形式的手機銀行用戶就有1200萬，相比2010年第四季度增長了45%。

我國手機用戶發展潛力不容小覷。自1999 年中國移動與中國銀行、中國工商銀行、招商銀行合作推出最早的手機銀行業務，工商銀行等幾家銀行幾乎同時于2000年5月推出基于SIM卡的手機銀行業務。2003-2004年期間，隨著短信應用的普及，各家銀行先后推出基于短信的手機銀行業務。2005-2008年出現了JAVA、WAP技術為主的多樣化手機銀行。截至2011年11月末，工、農、中、建行手機銀行客戶約1億戶，交易量達27144億元。這與我國10億多手機用戶相比，占比不足10%，其發展潛力不容小覷。所以，各大銀行均在積極開展手機銀行業務，“搶灘登陸”，以期在信息化變革中分得“一杯羹”。

二、手機銀行技術發展歷程

手機銀行隨手機技術突破漸次發展。每一次的技術突破都使手機銀行上一新臺階?？v觀手機銀行采用的技術經歷，主要有STK、SMS、USSD、BREW、WAP、JAVA移動客戶端應用等方式。

基于短消息（SMS）的手機銀行由手機、GSM短信中心和銀行系統構成。在手機銀行的操作過程中，客戶通過SIM卡上的菜單對銀行發出指令后，SIM卡根據客戶指令生成規定格式的短信并加密，通過GSM網絡發出短信給相應的銀行系統，銀行處理客戶的請求，并把結果轉換成短信格式發給客戶。

基于STK卡的短消息方式是將銀行服務的菜單寫入特制的STK卡，從而便于客戶的菜單式操作，同時，STK卡本身有比較完善的身份認證機制，能有效保障交易安全。其缺陷是：STK卡的容量有限，通常只能在卡里寫入一家銀行的應用程序，而且不能更改，OTA空中下載技術雖可以更新STK卡里的內容，對服務進行升級，但仍然比較麻煩；短信的存儲轉發機制會使交易在網絡運營商的服務器那里留下記錄；業務和商業模式存在缺陷，盡管可以將換卡手續改在銀行柜臺辦理，但這需要銀行與網絡運營商的更深層次的合作。

USSD即非結構化補充數據業務，是一種基于GSM網絡的新型交互式數據業務。USSD消息通過7號信令通道傳輸，可與各種應用業務保持對話。USSD將現有GSM網絡作為一個透明的承載實體，可自行制定符合本地客戶需求的相應業務，對原有的通訊系統幾乎沒有什么影響。USSD方式的優勢在于：客戶群體不需要換卡，適用大多數型號的GSM手機；實時在線，一筆交易僅需一次接入。其局限則是：不同類型的手機的界面顯示有較大差異；從銀行端到手機端的下行信息無法實現端到端的加密。目前該業務在國內尚未普及。

WAP為無線應用協議的簡稱，是開發移動網絡上類似互聯網應用的一系列規范的組合。它使新一代無線通信設備能夠可靠地接入Internet。由于無線網絡系統和固定網絡系統不一樣，加上移動終端的屏幕和鍵盤都很小，所以WAP不適于采用HTML（超文本標識語言），而需采用專門的WML（無線標記語言）。WAP2.0采用TLS作為端到端加密的算法。WAP方式的優勢在于：開發量很小，僅需在網上銀行的基礎上開發WML的版本即可；字符內容瀏覽，實時交易；GPRS的出現，改善了瀏覽速度。其局限在于：客戶手機需要支持WAP協議；只能處理文字，可交互性差，界面簡單。

BREW（無線二進制運行環境）是一種基于CDMA網絡的技術?？蛻艨梢酝ㄟ^下載應用軟件到手機上運行，從而實現各種功能。BREW位于芯片軟件系統層和應用軟件層之間，提供了通用的中間件，直接集成在芯片上，不必通過中間代碼就可以直接執行。運營商也可以通過無線方式為客戶下載、升級軟件。BREW支持各種加密算法。BREW在安全性和終端表現的一致性上要優于Java方式，但因是高通公司的專利技術，開放性不如Java。

最新的智能手機一般專門定制手機銀行客戶端應用程序。比如Andriod手機采用J2ME平臺，可以按照需要使用Java技術開發、下載、運行新的應用。J2ME的配置和框架使得應用程序安裝的靈活性得到很大提高。其優勢在于：能實時在線交互式對話；圖形化界面，操作友好；采用1024位的RSA認證加密技術和128位的三重DES加解密技術，安全性相對較高。IPhone手機銀行客戶端雖然用不同的開發工具和運行環境，但底層同樣是基于移動通訊的分組交換網絡。

與網上銀行相比，手機銀行以移動通訊運營商的專用網絡承載接入，在安全保密性上更勝一籌，而網上銀行以開放的因特網為載體，易受各種黑客、病毒侵入，安全性一直廣受關注。手機銀行的弱項是客戶終端功能偏弱，無線接口的數據傳輸速率較慢。但隨著移動3G網絡和智能手機的應用普及，這些瓶頸已被逐漸克服，手機銀行面臨著廣闊的發展空間。

三、手機銀行風險控制

手機銀行業務風險主要表現為操作風險、聲譽風險和法律風險。因信息科技風險在操作風險中占比高，特提出來單獨討論。

1.信息科技風險

由于金融科技領域發展迅速，信息科技監管首先應把握技術方向，控制主要風險，輔之以對技術細節的關注。

手機銀行的特殊運行環境要求銀行必須選擇特定技術解決方案。技術方案在設計上潛在的缺陷或漏洞，在實際運行過程中都會使銀行和客戶面臨實際風險，不僅會給客戶造成經濟上的損失，還會給銀行及相關機構帶來經濟上和聲譽上的傷害。

手機銀行系統應當配備適當的安全措施如防火墻、入侵檢測系統、監控系統和快速恢復機制保證數據安全。手機銀行系統的完整性保護機制應當能夠對系統、文件編碼進行完整性檢測，以禁止所有未經授權的軟件和硬件篡改。

黑客攻擊手機銀行的主要手段有：手機克隆、會話劫持、惡意代碼、中間人攻擊、網絡釣魚、通訊重定向、IP欺騙和社會工程等。為防止黑客利用手機安全漏洞來攔截客戶信息，采用端對端的應用層加密可以提高傳送信息的安全性。這種安全機制，用來保證敏感信息從輸入設備開始到接收端為止的全程數據安全加密；且敏感信息不能在網絡系統、服務器、網關和其他傳輸通道中使用明碼。

當手機銀行客戶需要輸入密碼和個人身份號碼時，數據應該立即被加密編碼，同時必須保證機密信息傳輸的單向性。在這一過程中，敏感信息不能在手機終端上被顯示，用以防止密碼被其他人看到。為了保證加密和身份鑒定通訊過程中的數據完整，當手機通訊線路傳輸特性突變或通訊過程被阻斷時，系統應重復進行身份鑒定過程。

手機銀行的災難恢復包括數據災難恢復和系統災難恢復。數據災難恢復是面對自然災害、計算機系統遭受誤操作、病毒侵襲、硬件故障、系統攻擊等事件后，將客戶數據從無法讀取的存儲設備中拯救出來，讓系統重新投入運行，從而將損失減低到最小。系統災難恢復是建立必要的系統備份，保證系統的可恢復性和高可靠性，將系統故障所造成的服務中斷風險降低到最小。

客戶每次業務操作信息均應由客戶的私人密鑰進行數字簽名，所有信息的數字簽名就如同客戶實際的簽名和印簽一樣，可以作為客戶操作的證據?？蛻粼诓僮鬟^程中的各種數據信息，如移動公司的通訊記錄信息，也可作為確認客戶身份的輔助手段。

2.操作風險

操作風險主要是指客戶在進行手機銀行業務操作時不熟悉相關知識和對手機銀行業務操作方式不熟悉所導致的風險，或者是銀行內部人員對手機銀行業務操作失誤致使客戶遭受損失的風險。

在銀行內控方面，防范操作風險最有效的方法就是制定盡可能詳細的業務規章制度和操作流程，使內控制度建設與業務發展同步，并提高制度執行力。針對手機銀行業務是銀行新開展的一項新業務，銀行應制定詳細的業務規章制度，及時發現并彌補制度設計和執行上的缺陷，不斷完善管理制度體系。銀行要切實強化風險責任的追究機制，加大對責任人員的查處力度，并強化教育，提高銀行員工綜合素質。同時監管部門要加強對手機銀行業務監管，對手機銀行進行適當的監管可以有效的降低風險。

技術外包是指商業銀行將銀行信息系統的部分或全部委托給外部機構進行處理的開發方式。在這種商業模式中，銀行通過利用外部專業化資源降低成本，提高開發效率。但一方面銀行信息部門對外部技術的認知和掌握需要一個過程，另一方面外部公司由于自身并非專門的金融機構，對可能導致的金融風險認識不足，并且外部公司的專業化水平、資質等參差不齊，因此，銀行在采用外包技術時面臨著一定的風險。

由于商業銀行對整個手機銀行服務流程的宏觀考慮不全面，或是缺乏對涉及的外部合作機構的有效控制也會造成操作風險。據閩東日報報道，2011年5月福建寧德某用戶的手機無故無法使用，后發現其銀行賬戶上少了九千多元，經警方調查發現，犯罪嫌疑人通過使用假的身份證到移動營業廳補辦被害人的手機卡號，隨后通過手機銀行將其存款轉賬到事先開設好的賬戶。在此事件中，移動營業廳負有責任：犯罪嫌疑人偽造的被害人身份證復印件上的地址、有效期都與原件不符；按規定，若本人沒來辦理，委托辦理者也要向移動營業廳提供自己的身份證原件和復印件，而當警方前來調查時，移動營業廳提供不出委托人的有效身份證明。此事例說明銀行在開展手機銀行業務時必須對合作方的有關操作流程及管控措施有所了解，并且制定自身相應的風險應對預案。

客戶行為疏于防范也構成手機銀行操作風險的一部分。銀行應該對客戶進行指導并普及手機銀行使用知識，降低客戶使用手機銀行過程中存在的操作風險。比如教育客戶如何識別網絡釣魚電子郵件，如何保護手機密碼。此外，當使用手機瀏覽網頁或訪問移動應用程序時，應提醒客戶采取和在PC上面操作時相同的預防措施，如安裝手機安全軟件；注意軟件高級權限的變化；盡量通過官方網站下載軟件；購物時使用安全的超文本傳輸協議在網站上輸入敏感的付款數據，而不是基本的超文本傳輸協議。

3.聲譽風險

所謂聲譽風險，是由于銀行的負面公眾輿論引發的銀行客戶嚴重流失的風險。聲譽風險包括使公眾對銀行整體運行產生持續負面印象的行為，這些行為嚴重地損害了銀行建立和維持客戶關系的能力。如果公眾對銀行處理臨界問題的能力喪失信心，也會引發聲譽風險。對開展手機銀行服務的銀行來說，若不能持續地提供安全、準確和及時有效的手機金融服務，銀行的信譽將受到損害。

防范聲譽風險的重點是防范利用手機銀行進行金融欺詐的行為，以及加強銀行內部的操作風險控制，采取必要措施有效地識別、評估、監測、控制及緩釋操作風險。應建立和完善科學的操作規范和嚴格的內部制約機制，執行職責分離、關鍵崗位輪崗、強制性休假和離崗審計制度。任何進入系統的操作必須在系統運行記錄中記載。防范利用手機銀行進行金融欺詐，應適時對登錄手機銀行的重點客戶加強監控，尤其應對大額資金進出的背景進行監控。按照巴塞爾協議監管核心原則和《關于洗錢、扣押、沒收犯罪所得公約》等國際條約，以及《中華人民共和國反洗錢法》，手機銀行應進行交易跟蹤，并通過數據挖掘軟件，對可疑資金交易進行分析，防范利用手機銀行進行非法資金交易。

銀行應將手機銀行聲譽風險管理納入公司治理及全面風險管理體系，主動、有效地防范聲譽風險，建立相關的聲譽事件分類分級管理和應急處理機制，提高對手機銀行引發的聲譽事件的應對能力。

4.法律風險

手機銀行的法律風險來自違反法律、法規的可能性及有關交易各方的法律權利和義務的不明確性。目前，我國消費者保護法對手機銀行運作的適用性還不明確，并且客戶通過電子媒介所達成協議的有效性也具有不確定性，這些都會引發手機銀行法律風險。在客戶信息披露和隱私權保護方面，手機銀行也面臨著法律風險。主要體現在三個方面：一是第三人侵權和違法犯罪行為引發的法律風險，主要是犯罪分子未經客戶授權進行手機銀行交易，表現為手機銀行客戶的密碼或電子簽名被冒用；二是未適當執行手機指令的法律風險，主要是客戶通過銀行的電子簽名驗證后，發出了正確的交易指令，但由于手機銀行交易系統故障等原因沒有及時、正確執行交易指令，從而給客戶造成損失，也有些情況是客戶發出了指令但發出的指令無效，銀行繼續執行，造成客戶損失；三是風險揭示不充分的法律風險，主要是客戶被犯罪分子欺詐后，以銀行對手機銀行法律風險沒有充分揭示為由，要求銀行承擔責任，此類情況主要是客戶欠缺自我保護意識，疏于防范，造成賬戶信息泄露。

上述法律風險歸納為一點，就是手機支付的安全問題。來自艾瑞市場調研的一組數據也驗證了此項事實，由于網絡欺詐、網絡“釣魚”等現象的持續泛濫，近六成智能手機用戶表示擔心手機支付安全。這在很大程度上影響了手機銀行業務的推廣。

若因擔心風險防范問題，就使手機銀行業務躑躅不前，甚至斷然放棄此項業務，當然是不對的，甚至是片面的。最好的策略無疑是在保持手機銀行業務較好較快發展的基礎上，做好法律風險防范。這就需要銀行、社會、消費者三個層面共同努力來實現。

首先，就銀行而言，要建立統一的手機銀行風險控制平臺，對手機銀行交易進行實時監控，出現問題及時處理；進一步完善手機銀行合同文本，區分客戶與銀行的責任，防范法律風險；加強手機銀行業務的全流程管理，尤其是手機銀行開立，手機銀行規章制度的執行和操作風險管理、媒體輿情監測等方面；加強與銀行同業、銀聯、公安部門之間的溝通和聯系，在發生手機銀行風險案件時，及時通報信息，實現信息共享，聯手應對。

其次，就社會而言，相關部門要進一步完善手機銀行業務的相關法律法規，從制度上保障手機銀行產品的使用安全。依據我國現行《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律來擬定手機銀行與客戶或者合作方的相關協議。依據《中華人民共和國計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》等制定信息技術安全方面標準和流程來保障手機銀行的技術安全。依據銀監會頒布的《電子銀行業務管理辦法》、《電子銀行安全評估指引》、《商業銀行信息科技風險管理指引》、《商業銀行操作風險管理指引》、《銀行業金融機構外包風險管理指引》等規章以及關于客戶信息管理及個人金融信息保護方面的規范要求，制定有關業務流程和業務處理規定，保障手機交易安全和日常運維管理規范。此外，監管部門應切實發揮監管職能，推出具有針對性的規范性文件，指導手機銀行業務依法有序開展。