網上銀行安全風險管控暨評估機制探析

孫風超，呂晶璐

（1.山東大學，青島 266237；2.青島農商銀行，青島 266520）

《2017中國電子銀行調查研究報告》數據顯示，在地級以上城市13歲及以上常住人口中，個人網上銀行用戶比例為51%，企業網上銀行用戶比例為79%，網上銀行已逐漸成為各銀行拓展服務渠道、提升服務水平、促進服務轉型的重要舉措。在網上銀行業務快速發展的同時，中國人民銀行不斷推進金融業信息安全等級保護工作，各銀行也充分認識到互聯網環境下網上銀行所面臨的安全形勢，通過推進網上銀行系統定級、明確網上銀行風險管控理念、梳理網上銀行信息安全管理體系、開展內部審計與外部評估等各項工作，漸進式地將系統等級保護思想融入到信息安全體系建設和管理的實際工作中，以逐步提升網銀系統的風險防護能力，確保網銀系統的安全穩健運行。

1 網上銀行安全風險管控

1.1 網上銀行安全風險

根據《網上銀行安全風險管理指引》定義，網上銀行安全風險是指“商業銀行在網上銀行的業務經營和管理過程中，由于環境因素、人員原因、安全漏洞和流程缺陷導致的操作、法律和聲譽等風險”[1]。盡管各銀行不斷加強網上銀行安全保障工作，但自2012年以來仍發生多起因基礎設施建設、運行維護管理、軟硬件故障等原因導致的網上銀行業務中斷事件，部分安全事件如表1所示。

表1 自2012年以來國內銀行發生的部分網上銀行安全事件

從網上銀行安全風險定義及上述安全事件可以看出，影響網銀安全的威脅和脆弱點存在于內控管理、產品研發、業務運營、系統運維、信息安全保障等多個環節，因此，各銀行需牢固樹立“要創新、更要安全”的經營管理理念，盡快建立與網上銀行安全風險管理相適應的組織架構，健全網上銀行安全風險的持續監測機制，定期對網銀安全事件進行回顧分析，剖析欺詐過程、識別典型特征，分析自身業務及現有控制措施的弱點，積極改進控制措施，同時，根據監管部門要求、網銀安全動向以及內外部環境的變化情況，通過自我檢查、內部審計、外部評估等手段，及時掌控網銀安全風險變化情況，驗證已有控制措施有效性，制定系統加固方案并進行優化完善[1]。

1.2 網上銀行安全風險管控

安全風險就如漂浮在海面上的冰山，一個安全問題暴露出來，必定有眾多的安全隱患掩蓋于其下。鑒于網上銀行是一個涉及眾多應用系統、用戶對象、敏感數據與主管部門的復雜系統，人民銀行、銀監會等主管部門正逐步強化銀行業信息科技風險監管工作，完善信息科技風險尤其是網上銀行安全風險的監測和預警，并相繼出臺了《銀行業信息系統災難恢復管理規范》（JR/T0044-2008）、《商業銀行信息科技風險管理指引》（銀監辦發〔2009〕19號）、《中國人民銀行關于銀行業金融機構信息系統安全等級保護定級的指導意見》（銀發〔2012〕163 號）、《網上銀行系統信息安全通用規范》（JR/T 0068-2012）、《銀行業金融機構信息科技外包風險監管指引》（銀監辦發〔2013〕5號）、《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見 》（銀監辦發〔2014〕39號）等一系列的技術標準與法規文件，不斷引導各銀行強化信息科技風險評估，提高風險敏感性，增強對風險趨勢的把控能力。各銀行應依據相關的技術標準與法律法規，結合自身業務特點和內部管理需要，認真梳理網上銀行安全所涉及的信息資產管理、物理環境安全、主機系統安全、網絡環境安全、應用研發安全等12個方面[2]，科學制定風險偏好模型和評價指標，并根據網上銀行業務和技術的變化情況適時修訂和完善，確保網上銀行的安全防護能力，其安全風險管理體系如圖1所示。

圖1 網上銀行安全風險管理體系

2 網上銀行安全風險評估

2.1 安全風險評估原則

安全風險評估作為等級保護的首要和必要組成部分，是全面風險管理的基礎，可以幫助深入了解和衡量信息安全管理體系的整體情況，明確其各組成部分的風險級別，從而制定更有效的安全策略。專業的安全風險評估應遵循“科學規劃、規范操作、測試充分、影響最小”等原則，綜合使用問卷調查、人員訪談、現場走查、文檔審查、制度建設、漏洞掃描、登錄查看、截包分析、現場滲透性測試與遠程滲透性驗證等多種檢測手段，科學選取覆蓋各維度的測試評估用例，盡可能發現網上銀行在安全策略、內控制度、風險管理、系統安全、客戶保護等方面存在的安全隱患，同時，對前期未達到預期控制目標或者衍生出新風險的控制措施，以及已經接受的安全風險，應適時重啟評估流程[3]。

2.2 網上銀行安全風險評估

網上銀行安全涉及信息科技、業務條線、內部審計等多個部門，各部門需明確職責分工并進行歸口管理，其中，信息科技部門作為網上銀行信息系統開發測試、運行維護的主管部門，除常規的系統開發工作外，更需要積極關注網銀安全風險新動向，及時快速處置各類突發事件，定期組織信息系統的安全評估，全面提升網上銀行系統的信息安全防范能力。考慮到網上銀行安全風險評估涉及到網上銀行各方面，下面僅以網上銀行信息系統的安全風險評估內容（如圖2）為例，講解安全風險評估的主要流程。

圖2 網上銀行信息系統安全風險評估內容

2.2.1 現場檢測階段安全評估

該階段主要是按照評估方案對信息資產、系統建設、生產部署等方面進行審查，其中，信息資產主要檢查源碼版本管理歷史追溯性、開發測試文檔全面規范性、資產信息統計真實準確性以及系統運維體系科學有效性，系統建設主要檢查系統架構設計合理性、業務需求管理有效性、程序開發測試規范性、安全控制措施完備性、變更發布流程實用性等，生產環境主要審查物理環境可靠性、生產設備可用性、服務配置合理性、數據保護科學性等。通過現場檢測，發現其中存在的問題和隱患，量化評估風險等級，全面了解網上銀行信息系統建設和運維情況。

2.2.2 遠程滲透階段安全評估

滲透測試作為安全評估的重要組成部分，通過利用Nmap、Nessus、AWVS等工具，結合使用Fuzzing測試、內存暴力搜索、接口逆向等攻擊方法，發現并驗證其存在的敏感信息泄露、SQL注入、跨站腳本漏洞等安全隱患，進而制定安全加固建議，從而提高系統整體的抗風險水平[4]。滲透測試分為前期交互（確定滲透測試計劃）、信息收集（了解系統建設運維情況）、威脅建模（標識目標系統潛在漏洞）、漏洞分析（根據漏洞確定攻擊計劃）、滲透攻擊（根據計劃攻擊漏洞）、后滲透攻擊（提升權限深度攻擊）、輸出報告（列明成果提出建議）等7個階段。遠程滲透測試的檢測內容主要包括拒絕服務測試、客戶端登錄認證機制測試、會話管理測試、業務邏輯測試、數據有效性驗證、敏感信息泄露等[5]。網上銀行信息系統較為常見的脆弱性列表如表2所示。

3 結束語

伴隨著網上銀行業務的快速發展和信息技術的不斷進步，網上銀行風險事件逐步呈現出“攻擊手段多變、事前預防困難、輿情擴散快速、信譽重建漫長、責任界定復雜”等特點，因此，人民銀行、銀監會等監管部門和各銀行應盡快樹立和培養信息科技風險意識，根據“監管約束、市場激勵、信息共享、積極防御”的方針，明晰風險管理策略、建立風險分析模型、完善風險控制流程，全面提升網上銀行風險防控水平，確保“業務不停、網絡不斷、數據不丟”，實現網上銀行業務的健康有序發展。

表2 部分常見脆弱性列表