电子安全与电子金融 外文翻译.docx

1、电子安全与电子金融 外文翻译文献出处：Glaessner, Thomas and Kellerman, Tom and McNevin, Valerie, Electronic Security: Risk Mitigation in Financial Transactions - Public Policy Issues (July 2002). World Bank Policy Research Working Paper No. 2870. Available at SSRN: 第一部分为译文，第二部分为原文。默认格式：中文五号宋体，英文五号Times New Roma，行间距1.5

2、倍。电子安全：降低金融交易风险的公共政策问题 摘要：本文建立在电子安全对电子金融利益输送的一个关键组成部分的文件的研究基础上。本文及其技术附件确定和讨论促进安全的电子环境的培养的七个关键因素。因此，它是为那些制定广泛的政策，在电子安全领域和那些与金融服务提供商等服务的。本文的详细附件是负责建立分层安全首席信息和安全管理者。首先，本文给出了电子金融和电子安全的定义并解释了为什么这些问题值得关注。接下来，呈现给大家一些蓬勃发展的全球电子安防行业的图片。然后指出了风险研究在电子安全基础设施固有的风险管理框架，还提供了可以与电子安全政策框架的设计对于技术创新，私密性，服务质量和安全性产生权衡的例子。最

3、后概述了经常需要注意在适当的电子安全基础设施的建设七个相互关联的领域的问题。它们是：（一）法律框架和执法；（二）支付系统的电子安全；（三）监督和预防的挑战；（四）商业保险作为必要的监督机制的作用；（五）认证，标准，以及公共和私营部门的作用；（六）提高约电子安全事故信息的准确性和创建分享这些信息更好的安排；及（七）提高对这些问题作为重点，以强化预防教育整体。电子金融和电子安全的定义为了解电子安全的需要，首先必须精确地定义什么是电子金融的意思。对于本文的目的，电子金融是采用电子方式交流信息，传递的价值符号和交涉，并在商业环境中进行事务处理。电子金融包括四个主要信道：电子资金转帐（EFTS）；电子数

4、据交换（EDI）；电子好处传输（EBTS）；电子交易确认（ETCS）。EFT，始于20世纪60年代初，是电子货币传送的最古老的形式。钱由EFT移动量为2万亿$每天和成长。全球EFT使用的量为677411204 transactions.1电子货币运动的第二个最古老的形式是EDI。EDI是用于实现货币支付的订单和条形码。条形码是在全球超过70个国家运营。它的使用增加了一倍，在过去五年，等于全球采购的50到75。第三老信道是EBT。优点已经通过电子方式传输了十年超过37多个国家和地区，其中包括许多新兴经济体。仅在美国，EBT移动现金的权利，如粮票，社会保障金，子女援助效益500强十亿$。EBT交易

5、在美国的总体积为568981051的速度递增。电子安全性，一方面说明那些方针政策，流程，并使电子交易所需采取的行动与破坏，入侵或被盗的风险降到最低来进行。在另一方面，电子商务的安全性是任何工具，技术，或用来保护系统的信息资产的过程。信息是必须的管理和保护，因此一个宝贵的战略资产。用于任何活动的电子安全的程度应该是成正比的活动的潜在价值。因此，安全性是一个风险管理或降低风险的工具，和适当的安全装置，用于在与它的值的基础交易的风险的减轻。对安全的需求是在互联网上做生意，因为在本质上，互联网是一个广播媒体的恒定。电子安全增强或增加价值，赤裸裸的网络由两个“软”和“硬”基础设施。软基础设施组件是那些政

6、策，程序，协议和创造保护环境，以保持系统的指导和妥协的数据。硬基础设施由保护系统和安全外部和内部威胁其数据所需要的实际硬件和软件。电子交易的增长潜力电子金融服务的数量和种类都显著上升，以及使用电子媒体，做生意，无论是在网上或通过远程机制，在过去十年中迅速蔓延。国家，不只是消费者，正越来越多地得到连接。如图1是显而易见的，“这些新技术不仅使各国能够在连接越级，他们还开设提供电子金融服务的新渠道”（克拉森，Glaessner和Klingebiel，2001）。自1990年代中期以来，在金融技术的投资都集中在网上银行和经纪服务，以提高便利性并降低成本。同时与这些现实，四项新技术相关的金融服务行业的发

7、展趋势已经发生：外包，开放式架构，集成策略，和电子支付的新方法。新的趋势已经被降低成本方面的考虑，需要改进服务质量，但在将它们放在地位的过程中，安全问题往往被认为是不太重要或有时认为是理所当然的。图1说明全球电子金融渗透的投射率。到2005年，即完成网上银行的份额可能从8.5上升到工业国家的50，从1到10在新兴市场。有了更好的连接性，新兴市场的网上银行交易可能在2005年（Glaessner，克拉森和Klingebiel，2001）进一步上升至20。一些估计，万亿$ 6.3银行对银行的交易将在2005年上线。一个平行的趋势给全球使用电子金融是采用了新的技术，可以采取行动，扩大电子金融和金融服

8、务的范围。新兴市场越来越多地发现它更有利的是使用“新”技术，如无线蜂窝技术，电子金融，而不是互联网。表1表明，在各种新兴市场，无线技术，如通过细胞电话普及率测量，迅速超过了互联网的普及。新技术的风险随着新技术的优势也带来了新的和潜在致命的风险（见图2）。表2显示，1995年以来，事故报告2000年至2001年在美国就有增加61。技术有利于更高效，更快捷的方式来实施旧犯罪，如诈骗和盗窃。远程访问，高品质的图形和印花，以及新的多用途工具和平台，提供更大的方式实施此类犯罪的盗窃和冒充在线。令人不安的是，随着技术越来越高级，肇事者需要较少的技能，犯下这些罪行。例如，网上渗透的艺术（如黑客）曾经是一个高

9、度复杂的技术。信息时代的到来，然而，已经允许，现在必要打入金融平台的多方面工具供应不三不四的人在地下黑客网站的温床。此类网站的www.astalavista.box.sk和www.attrition.or G供应复杂的恶意代码和病毒，使新手用户渗透的银行系统。在开放式网络的巨大增长创造了一个穿透的电子环境类似于瑞士奶酪片的圆。金融机构越来越依赖于技术，处理，存储和检索数据，但在计算机硬件，软件的进步和通信技术提高金融业的脆弱性的内部和外部的攻击。如果没有强大的安全控制，银行风险的金融损失，法律责任和声誉损害的可能性。互联网的不安全性进一步暴露了金融机构对内部系统和专有信息未被发现的，全球性的，

10、几乎瞬间攻击。这包括罪犯或黑客始发国内的外国政府和恐怖分子袭击的攻击，以及。银行和供应商与弱的安全控制很容易受到业务中断，数据破坏盗窃，关键记录腐败和欺诈。无线上网将进一步使问题复杂化的发展通过使外国政府，恐怖分子，罪犯和黑客，单独或音乐会，在国家工作没有先进的通信基础设施和足够的安全协议（见附件三）地点。因此，现在的建筑与电子融资相关风险的关键性的认识，并促进产业用积极的减缓是至关重要的。尽管相对缺乏有关实际入侵和相关损失，表2列出了一些在的已公开发布电子金融服务领域的电子攻击的最普遍的场地准确的信息。在这个舞台上最常见的问题是：内部人员滥用，身份盗窃，欺诈，以及破门而入，往往被黑客进行。电

11、子安防行业今天的电子安防行业拥有不断增长的公司的阵列。荆ES的类型和数量可以为专家混乱和铺天盖地的新手。这些公司都参与了保护金融服务提供商所使用的网络的每一个方面。他们从那些提供活动内容过滤和监控服务（甚至病毒检测公司就是一个例子），对那些从事入侵检测试验，建立防火墙，进行渗透测试，开发加密软件和服务，并提供认证服务。在范围内，电子安全行业逐渐就成为了全世界的存在，因为它的增长与扩大与互联网的连接并行。互联网，无线，互联网服务提供商（IP），电话和卫星之间日益融合的技术将电子安全和金融服务业的结构和电子金融也出现了新的挑战。从金融服务供应商的有利位置，越早安全纳入设计过程中，更大的将是他们在与

12、安全相关的服务的投资回报。例如，研究表明，花费1$到修复漏洞在设计过程中节省了100$在系统中实现，必须花后99 $（见2002年Berinato；2001洙胡胡）。这避免成本或成本节约使或打破许多IT项目。增加的幅度，以技术平台推动其金融服务，并在其计算机电子安全事件正在发生增加率强调商业决策，以避免未来更大的成本使用风险管理的重要性。电子安全供应商丰富多样的供应商中是什么成为了全球业界对电子产品安全运行。许多类型的公司在这个行业工作。仅在美国，$ 5.1十亿在安全软件比前year.10这些公司都参与了保护在其提供金融服务的广域网的方方面面2000年，增长了33出售。以下是大类厂商的简要描述

13、。（也参见图3）有源内容监视和参与活动内容监视和过滤产生的工具，用于检查潜在的破坏性内容材料进入网络Filtering.Companies。这些供应商提供的工具来监控进入了恶意代码，如有害属性的网络的所有内容。木马，蠕虫和病毒都是使用一次作案者进入系统部署的攻击方法。病毒是通过自我复制感染同一个系统上的其他程序的程序。病毒扫描程序在缓解这些攻击的关键。病毒扫描程序的供应商提供扫描和清除网络和定期更新的软件。产生的网络入侵检测系统，入侵检测系统Vendors.Companies提供产品来监控网络流量，并与当有人试图获得XX的访问报警提醒系统管理员。产生防火墙防火墙Vendors.Companie

14、s提供一个虚拟的“安全卫士”在客户的设施大门。防火墙是强制执行两个网络之间的访问控制策略的系统。供应商创建这些虚拟防护装置，保障网络的完整性。渗透测试公司。这些咨询机构模拟在网络的攻击，以测试系统的固有缺陷。然后，他们在打补丁的模拟发现攻击的漏洞。通常情况下，基于漏洞的扫描工具提供了系统漏洞的当前快照。谁提供这种产品的加密通信Vendors.Vendors使客户公司，保护与加密信封的通信。加密使用复杂的算法来屏蔽通过公共信道发送的消息。它提供了从A点到B点的安全通道当消息到达目的地时，接收方使用另一个算法钥匙打开它。强烈建议由移动员工和/或大非集中的企业或机构使用。认证供应商。认证要求用户这样

15、的问题：“你是谁？”和“你允许这样做吗？”，并允许用户访问，只有这些问题都回答正确的系统。这种类型的服务可以分成四大类：密码，令牌或智能卡，生物测定，和加密。（见附件I的更多细节。）由于电子保安公司正变得日益具有全球性，它设计公共政策，以了解这些公司和电子金融业之间的联系时，是很重要的。图4提供了一些多种类型的电子安全服务和金融服务供应商的供应商之间的联系的文体例子。图4还显示了关于电子安全行业潜在令人不安的现实。一个供应商可以以几个相互关联的客户提供多种服务。例如，供应商可以提供安全的金融服务供应商的网上平台。此相同的供应商也可直接提供担保服务，银行为其下线的计算机系统。此外，它可以向托管公

16、司提供安全服务。电信公司在许多新兴市场提供托管，或者是许多称之为银行界“电子启动服务”。通过建立便捷的网上平台，客户可以通过各种电子设备的访问，这些托管公司已经成为有组织犯罪的目标。在很多新兴市场，电信公司可能有兴趣或拥有完全的ISP提供商和托管公司，并可以提供各种形式的金融服务也是如此。此外，许多电信公司也有许多不同形式的技术供应商的多方利益，从固定电话到无线到卫星。这种产业结构应引起关注，它需要讨论和辩论现在已经很难公共政策问题，如竞争政策，以及如何将这些问题可能会在设计本框架的新的法律和监管的元素来解决（参见克拉森，Glaessner和Klingebiel 2002）。伴随着一个复杂的产

17、业组织，在技术的融合将介绍有关电子安全公共政策的设计特别的挑战。具体来说，脆弱的增长点会存在，任何精心设计的电子安全系统必须解决这些问题。这些漏洞的新的点可能包括客户接入设备之间潜在的接口，如与调制解调器，地面线路电话的PC，可以与任何互联网平台，通过语音识别，无线手机或个人数字助理（PDA）与链接在线平台。在该消息从一个信道到另一个腾点是它是最脆弱的点。因此，金融服务供应商将需要解决的风险更广泛的阵列和付出的努力，以确定责任和公共决策者将需要检查的潜在弱点，因为什么已经是一个复杂的电子金融产业结构的影响。当无线狮集团专用移动（GSM）手机用于通过与互联网的接口发起交易（例如，通过指示金融服务

18、提供商的网络平台上交易）发生的技术融合是如何创造的脆弱性的一个例子。具体而言，这两种技术，GSM和整合之间的安全的方式上网，是必要的。这通常需要无缝连接和集成的标准，包括全球安全性，今天不到位。无线信息必须通过一个网关，17它们渠道为重传有线网络（如互联网）到最终的目的地去旅行。在网关，发送的消息和加密的GSM中使用所谓无线应用协议（WAP）和无线传输层安全（WTLS）的相关使用时必须转换成安全的消息行业标准通过有线网络 - 安全套接字层（SSL）。此时（在网关），消息将被重新加密之前是未加密的，且有漏洞。电子安防行业的调控制定考虑在检查电子安全中出现的公共政策问题的框架，有必要确定的“公共利

19、益”的根本源泉，并在这方面规定的情况。由于一些原因，电子防盗现在值得某种形式的公共干预。首先，金融服务和支付系统特别是或银行更广泛地说，构成的八个确定领域的一个“关键基础设施。” 18由非法接入支付系统的妥协，黑客可以对整个经济产生广泛的影响，在其他关键基础设施领域可以类似的影响，从交通到能源，等等。因此，公共利益和福利可能受到威胁时，企业和商业不能满足一定的电子安全标准。其次，政府和执法部门的作用，可以充分理由的更熟悉的经典市场失败grounds.19具体而言，支持对电子安全问题的严重程度预测的信息，现有的基础基本上是有缺陷的。这是因为金融服务提供商，托管公司，以及其他能够使公司有动力不足的

20、报告准确地入侵或渗透的信息，因为他们对这些信息的披露，其两者的声誉和公众的信心在其业务的潜在损害正当关切。在这种情况下，保险市场不能在定价的精算公平的方式保险风险。同样，信息技术是受到大的规模报酬递增的需求方和供给方（参见，例如，夏皮罗和瓦里安1999）。在这样的行业（包括金融服务，这在很大程度上依赖于IT）市场的结果往往会有些浓，往往需要行业的标准化和协调。任何办法，明确通过法律和法规（包括审慎监管，如资本标准）的公共政策必须考虑影响电子安全考虑或缺乏对一组风险。具体而言，金融服务供应商反应的诱因。在许多情况下，分析师施压金融服务供应商，以生产有针对性的回报，而在同一时间推动他们为了降低成本

21、，外包。与此同时，技术进步创造了电子安全和不同类型的风险之间的更复杂的相互关系。实际上，电子防盗和电子金融可以对操作风险，身份盗窃，诈骗和敲诈勒索，信贷质量恶化的风险，系统性风险的影响，甚至可以在承担问题解决的风险的影响。操作风险。不足的电子安全会造成的工作中断和在某些情况下，这取决于备份系统，甚至关键信息丢失的性质和充分性。作为管理运营风险的一部分，金融服务供应商的全球需要更多地关注他们保护他们的IT系统的方式。如第VII节所讨论的，涉及电子安全的风险通常涉及勒索和声誉风险，这通常没有具体划出以覆盖操作风险分配考虑。身份盗窃，诈骗，勒索的风险。正如在第二部分指出，渗透黑客往往会导致需求的勒索

22、。此外，身份盗窃是电子金融服务供应商日益关注的问题。它的生长得到了快速的，但作为在黑客的情况下，它不及时或准确地报告；因此，它的生长会显着低估。这个问题是不是唯一的金融服务，同时也影响着聚集和征信机构，下游信贷决策评估信用信息的完整性和可靠性。信贷质量恶化的金融服务提供商的风险。虽然不经常承认，服务或长期侵扰大幅否认导致欺诈，假冒，或数据损坏可以有效地削弱银行的运营一段时间。如果时间足够，它可以永久性地损坏了银行的声誉，并可能损害其信誉。由于市场参与者的信心是至关重要的，这样的事件可能在相对较短的时间内有害影响。系统性风险。一个电子金融，电子安全和风险之间的最重要的环节是系统性影响的相关风险可

23、以通过交互相关的支付系统受损的网络。适当的安全应该是成正比的潜在交易的价值。出于这个原因，在大额票据交换所的情况下，大量的电子安全还是要到位。在支付系统的电子信息的任何入侵或中断可以很容易地创建显著全系统曝光。风险问题解决。随着电子inancial服务和安全交付相关风险的最终形式涉及当砖和点击或完全基于互联网的银行未能出台的风险。这里闭合的过程本身难以界定，更难以实现，如果实体有其离岸中心的服务器。封闭在这种情况下就需要在这可能是许多不同的司法管辖区的当局之间广泛的跨境协调。合作，并且因此关闭，可以不与可在非基于互联网银行的情况下，所施加的速度是可行的。在介入点，如果有关数字资产的记录和其他必

24、要的信息都没有下定义明确的准则保存，如果他们不固定或不能从服务器检索，然后，在最起码，索赔人的权利可能损害。Electronic Security:Risk Mitigation in Financial Transactions Public Policy IssuesThomas Glaessner, Tom Kellermann, Valerie McNevinAbstract: This paper builds on a previous series of papers that identified electronic security as a key component t

25、o the delivery of e-finance benefits. This paper and its technical annexes identify and discuss seven key pillars necessary to the fostering of a secure electronic environment. Hence, it is intended for those formulating broad policies in the area of electronic security and those working with financ

26、ial services providers. The detailed annexes of this paper are especially relevant for chief information and security officers responsible for establishing layered security.First, the paper provides definitions of electronic finance and electronic security and explains why these issues deserve atten

27、tion. Next, it presents a picture of the burgeoning global electronic security industry. Then, it develops a risk-management framework for understanding the trade-offs and risks inherent in the electronic security infrastructure. It also provides examples of trade-offs that may arise with respect to

28、 technological innovation, privacy, quality of service, and security in the design of an electronic security policy framework. Finally, it outlines issues in seven interrelated areas that often need attention in the building of an adequate electronic security infrastructure. These are (i) the legal

29、framework and enforcement; (ii) electronic security of payment systems; (iii) supervision and prevention challenges; (iv) the role of private insurance as an essential monitoring mechanism; (v) certification, standards, and the roles of the public and private sectors; (vi) improving the accuracy of

30、information about electronic security incidents and creating better arrangements for sharing this information; and (vii) improving overall education about these issues as a key to enhancing prevention.Definitions of E-Finance and E-SecurityTo understand the need for electronic security, one must fir

31、st precisely define what is meant by electronic finance. For purposes of this paper, e-finance is the use of electronic means to exchange information, to transfer signs and representations of value, and to execute transactions in a commercial environment. E-finance comprises four primary channels: e

32、lectronic funds transfers (EFTs); electronic data interchange (EDI); electronic benefits transfers (EBTs); and electronic trade confirmations (ETCs). EFT, which began in the early 1960s, is the oldest form of electronic money transmittal. The amount of money moving by EFT is $2 trillion per day and growing. The volume of EFT usage worldwide is 677,411,204 transactions.1 The second oldest form of electronic money movement is EDI. EDI is used to effect money payment orders and bar coding. Bar coding is operational in more than 70 countries worldw