網(wǎng)上銀行安全風(fēng)險管控暨評估機(jī)制探析

孫風(fēng)超，呂晶璐

（1.山東大學(xué)，青島 266237；2.青島農(nóng)商銀行，青島 266520）

《2017中國電子銀行調(diào)查研究報告》數(shù)據(jù)顯示，在地級以上城市13歲及以上常住人口中，個人網(wǎng)上銀行用戶比例為51%，企業(yè)網(wǎng)上銀行用戶比例為79%，網(wǎng)上銀行已逐漸成為各銀行拓展服務(wù)渠道、提升服務(wù)水平、促進(jìn)服務(wù)轉(zhuǎn)型的重要舉措。在網(wǎng)上銀行業(yè)務(wù)快速發(fā)展的同時，中國人民銀行不斷推進(jìn)金融業(yè)信息安全等級保護(hù)工作，各銀行也充分認(rèn)識到互聯(lián)網(wǎng)環(huán)境下網(wǎng)上銀行所面臨的安全形勢，通過推進(jìn)網(wǎng)上銀行系統(tǒng)定級、明確網(wǎng)上銀行風(fēng)險管控理念、梳理網(wǎng)上銀行信息安全管理體系、開展內(nèi)部審計與外部評估等各項(xiàng)工作，漸進(jìn)式地將系統(tǒng)等級保護(hù)思想融入到信息安全體系建設(shè)和管理的實(shí)際工作中，以逐步提升網(wǎng)銀系統(tǒng)的風(fēng)險防護(hù)能力，確保網(wǎng)銀系統(tǒng)的安全穩(wěn)健運(yùn)行。

1 網(wǎng)上銀行安全風(fēng)險管控

1.1 網(wǎng)上銀行安全風(fēng)險

根據(jù)《網(wǎng)上銀行安全風(fēng)險管理指引》定義，網(wǎng)上銀行安全風(fēng)險是指“商業(yè)銀行在網(wǎng)上銀行的業(yè)務(wù)經(jīng)營和管理過程中，由于環(huán)境因素、人員原因、安全漏洞和流程缺陷導(dǎo)致的操作、法律和聲譽(yù)等風(fēng)險”[1]。盡管各銀行不斷加強(qiáng)網(wǎng)上銀行安全保障工作，但自2012年以來仍發(fā)生多起因基礎(chǔ)設(shè)施建設(shè)、運(yùn)行維護(hù)管理、軟硬件故障等原因?qū)е碌木W(wǎng)上銀行業(yè)務(wù)中斷事件，部分安全事件如表1所示。

表1 自2012年以來國內(nèi)銀行發(fā)生的部分網(wǎng)上銀行安全事件

從網(wǎng)上銀行安全風(fēng)險定義及上述安全事件可以看出，影響網(wǎng)銀安全的威脅和脆弱點(diǎn)存在于內(nèi)控管理、產(chǎn)品研發(fā)、業(yè)務(wù)運(yùn)營、系統(tǒng)運(yùn)維、信息安全保障等多個環(huán)節(jié)，因此，各銀行需牢固樹立“要創(chuàng)新、更要安全”的經(jīng)營管理理念，盡快建立與網(wǎng)上銀行安全風(fēng)險管理相適應(yīng)的組織架構(gòu)，健全網(wǎng)上銀行安全風(fēng)險的持續(xù)監(jiān)測機(jī)制，定期對網(wǎng)銀安全事件進(jìn)行回顧分析，剖析欺詐過程、識別典型特征，分析自身業(yè)務(wù)及現(xiàn)有控制措施的弱點(diǎn)，積極改進(jìn)控制措施，同時，根據(jù)監(jiān)管部門要求、網(wǎng)銀安全動向以及內(nèi)外部環(huán)境的變化情況，通過自我檢查、內(nèi)部審計、外部評估等手段，及時掌控網(wǎng)銀安全風(fēng)險變化情況，驗(yàn)證已有控制措施有效性，制定系統(tǒng)加固方案并進(jìn)行優(yōu)化完善[1]。

1.2 網(wǎng)上銀行安全風(fēng)險管控

安全風(fēng)險就如漂浮在海面上的冰山，一個安全問題暴露出來，必定有眾多的安全隱患掩蓋于其下。鑒于網(wǎng)上銀行是一個涉及眾多應(yīng)用系統(tǒng)、用戶對象、敏感數(shù)據(jù)與主管部門的復(fù)雜系統(tǒng)，人民銀行、銀監(jiān)會等主管部門正逐步強(qiáng)化銀行業(yè)信息科技風(fēng)險監(jiān)管工作，完善信息科技風(fēng)險尤其是網(wǎng)上銀行安全風(fēng)險的監(jiān)測和預(yù)警，并相繼出臺了《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》（JR/T0044-2008）、《商業(yè)銀行信息科技風(fēng)險管理指引》（銀監(jiān)辦發(fā)〔2009〕19號）、《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級保護(hù)定級的指導(dǎo)意見》（銀發(fā)〔2012〕163 號）、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（JR/T 0068-2012）、《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管指引》（銀監(jiān)辦發(fā)〔2013〕5號）、《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見 》（銀監(jiān)辦發(fā)〔2014〕39號）等一系列的技術(shù)標(biāo)準(zhǔn)與法規(guī)文件，不斷引導(dǎo)各銀行強(qiáng)化信息科技風(fēng)險評估，提高風(fēng)險敏感性，增強(qiáng)對風(fēng)險趨勢的把控能力。各銀行應(yīng)依據(jù)相關(guān)的技術(shù)標(biāo)準(zhǔn)與法律法規(guī)，結(jié)合自身業(yè)務(wù)特點(diǎn)和內(nèi)部管理需要，認(rèn)真梳理網(wǎng)上銀行安全所涉及的信息資產(chǎn)管理、物理環(huán)境安全、主機(jī)系統(tǒng)安全、網(wǎng)絡(luò)環(huán)境安全、應(yīng)用研發(fā)安全等12個方面[2]，科學(xué)制定風(fēng)險偏好模型和評價指標(biāo)，并根據(jù)網(wǎng)上銀行業(yè)務(wù)和技術(shù)的變化情況適時修訂和完善，確保網(wǎng)上銀行的安全防護(hù)能力，其安全風(fēng)險管理體系如圖1所示。

圖1 網(wǎng)上銀行安全風(fēng)險管理體系

2 網(wǎng)上銀行安全風(fēng)險評估

2.1 安全風(fēng)險評估原則

安全風(fēng)險評估作為等級保護(hù)的首要和必要組成部分，是全面風(fēng)險管理的基礎(chǔ)，可以幫助深入了解和衡量信息安全管理體系的整體情況，明確其各組成部分的風(fēng)險級別，從而制定更有效的安全策略。專業(yè)的安全風(fēng)險評估應(yīng)遵循“科學(xué)規(guī)劃、規(guī)范操作、測試充分、影響最小”等原則，綜合使用問卷調(diào)查、人員訪談、現(xiàn)場走查、文檔審查、制度建設(shè)、漏洞掃描、登錄查看、截包分析、現(xiàn)場滲透性測試與遠(yuǎn)程滲透性驗(yàn)證等多種檢測手段，科學(xué)選取覆蓋各維度的測試評估用例，盡可能發(fā)現(xiàn)網(wǎng)上銀行在安全策略、內(nèi)控制度、風(fēng)險管理、系統(tǒng)安全、客戶保護(hù)等方面存在的安全隱患，同時，對前期未達(dá)到預(yù)期控制目標(biāo)或者衍生出新風(fēng)險的控制措施，以及已經(jīng)接受的安全風(fēng)險，應(yīng)適時重啟評估流程[3]。

2.2 網(wǎng)上銀行安全風(fēng)險評估

網(wǎng)上銀行安全涉及信息科技、業(yè)務(wù)條線、內(nèi)部審計等多個部門，各部門需明確職責(zé)分工并進(jìn)行歸口管理，其中，信息科技部門作為網(wǎng)上銀行信息系統(tǒng)開發(fā)測試、運(yùn)行維護(hù)的主管部門，除常規(guī)的系統(tǒng)開發(fā)工作外，更需要積極關(guān)注網(wǎng)銀安全風(fēng)險新動向，及時快速處置各類突發(fā)事件，定期組織信息系統(tǒng)的安全評估，全面提升網(wǎng)上銀行系統(tǒng)的信息安全防范能力。考慮到網(wǎng)上銀行安全風(fēng)險評估涉及到網(wǎng)上銀行各方面，下面僅以網(wǎng)上銀行信息系統(tǒng)的安全風(fēng)險評估內(nèi)容（如圖2）為例，講解安全風(fēng)險評估的主要流程。

圖2 網(wǎng)上銀行信息系統(tǒng)安全風(fēng)險評估內(nèi)容

2.2.1 現(xiàn)場檢測階段安全評估

該階段主要是按照評估方案對信息資產(chǎn)、系統(tǒng)建設(shè)、生產(chǎn)部署等方面進(jìn)行審查，其中，信息資產(chǎn)主要檢查源碼版本管理歷史追溯性、開發(fā)測試文檔全面規(guī)范性、資產(chǎn)信息統(tǒng)計真實(shí)準(zhǔn)確性以及系統(tǒng)運(yùn)維體系科學(xué)有效性，系統(tǒng)建設(shè)主要檢查系統(tǒng)架構(gòu)設(shè)計合理性、業(yè)務(wù)需求管理有效性、程序開發(fā)測試規(guī)范性、安全控制措施完備性、變更發(fā)布流程實(shí)用性等，生產(chǎn)環(huán)境主要審查物理環(huán)境可靠性、生產(chǎn)設(shè)備可用性、服務(wù)配置合理性、數(shù)據(jù)保護(hù)科學(xué)性等。通過現(xiàn)場檢測，發(fā)現(xiàn)其中存在的問題和隱患，量化評估風(fēng)險等級，全面了解網(wǎng)上銀行信息系統(tǒng)建設(shè)和運(yùn)維情況。

2.2.2 遠(yuǎn)程滲透階段安全評估

滲透測試作為安全評估的重要組成部分，通過利用Nmap、Nessus、AWVS等工具，結(jié)合使用Fuzzing測試、內(nèi)存暴力搜索、接口逆向等攻擊方法，發(fā)現(xiàn)并驗(yàn)證其存在的敏感信息泄露、SQL注入、跨站腳本漏洞等安全隱患，進(jìn)而制定安全加固建議，從而提高系統(tǒng)整體的抗風(fēng)險水平[4]。滲透測試分為前期交互（確定滲透測試計劃）、信息收集（了解系統(tǒng)建設(shè)運(yùn)維情況）、威脅建模（標(biāo)識目標(biāo)系統(tǒng)潛在漏洞）、漏洞分析（根據(jù)漏洞確定攻擊計劃）、滲透攻擊（根據(jù)計劃攻擊漏洞）、后滲透攻擊（提升權(quán)限深度攻擊）、輸出報告（列明成果提出建議）等7個階段。遠(yuǎn)程滲透測試的檢測內(nèi)容主要包括拒絕服務(wù)測試、客戶端登錄認(rèn)證機(jī)制測試、會話管理測試、業(yè)務(wù)邏輯測試、數(shù)據(jù)有效性驗(yàn)證、敏感信息泄露等[5]。網(wǎng)上銀行信息系統(tǒng)較為常見的脆弱性列表如表2所示。

3 結(jié)束語

伴隨著網(wǎng)上銀行業(yè)務(wù)的快速發(fā)展和信息技術(shù)的不斷進(jìn)步，網(wǎng)上銀行風(fēng)險事件逐步呈現(xiàn)出“攻擊手段多變、事前預(yù)防困難、輿情擴(kuò)散快速、信譽(yù)重建漫長、責(zé)任界定復(fù)雜”等特點(diǎn)，因此，人民銀行、銀監(jiān)會等監(jiān)管部門和各銀行應(yīng)盡快樹立和培養(yǎng)信息科技風(fēng)險意識，根據(jù)“監(jiān)管約束、市場激勵、信息共享、積極防御”的方針，明晰風(fēng)險管理策略、建立風(fēng)險分析模型、完善風(fēng)險控制流程，全面提升網(wǎng)上銀行風(fēng)險防控水平，確保“業(yè)務(wù)不停、網(wǎng)絡(luò)不斷、數(shù)據(jù)不丟”，實(shí)現(xiàn)網(wǎng)上銀行業(yè)務(wù)的健康有序發(fā)展。

表2 部分常見脆弱性列表