余 博
余博/广东理工职业学院教师,硕士(广东广州510091)。
商业银行的电子化建设始于20世纪50年代,美国的商业银行开始为客户提供电子支付服务。70年代开始,随着全球金融一体化的进程,全球金融机构通过SWIFT系统[1]实现通讯连接。经过五十多年的发展,商业银行已经全面进入真正的电子银行时代(ebank)。
电子银行[2]是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。其业务主要包括利用网上银行业务,电话银行业务,手机银行业务,以及客户通过自助服务方式完成金融交易的业务,如自助终端、ATM、POS等。随着金融创新和通讯技术的高速发展,电子银行已经成为商业银行运行业务的最重要的渠道之一。它可以打破传统的网点服务上时间和空间的限制,全天候24小时不间断为客户提供金融服务。然而,随着电子银行业务的快速发展,其安全问题也日益突出,短信诈骗、黑客攻击、病毒入侵、系统漏洞等问题层出不穷,轻则会影响电子银行业务的正常使用,重则会导致商业银行出现较大损失。2005年,以色列的一个黑客团伙利用“按键记录”软件入侵一家日本银行在英国伦敦的办事处,窃取账户和密码,企图非法转移2.2亿英镑(约合2.94亿美元)的资金,震惊世界,如果他们得逞,将是历史上最严重的网络金融安全事件。2011年,美国花旗银行被黑客侵入,21万北美地区银行卡客户的重要信息泄露。2013年,韩国新韩和农业协同两家银行疑遭电脑黑客袭击,其电脑网络瘫痪了三天,数以万计的客户受影响,损失严重。
因此,电子银行风险防范与安全管理成为现代金融机构亟待解决的重要问题。通常,电子银行业务主要面临四种风险:安全风险、管理风险、合规风险和声誉风险。其中,安全风险涉及客户和银行的资金安全,是电子银行业务的核心问题。因此,加强电子银行安全保障水平是实现金融稳定运行、保持国民经济持续快速健康发展的重要支撑。电子银行的安全风险主要包括:计算机系统的故障、黑客攻击造成的服务中断、数据外泄、应用系统差错、客户认证和数字签名被破译等。本文主要阐述安全风险的评估。
为了有效控制电子银行安全风险,尽快完善电子银行业务的监管规章体系,银监会在认真分析总结我国商业银行电子银行业务发展的基础上,结合我国现有金融法律制度,借鉴了国外有关机构对电子银行业务的监管经验,先后发布了《电子银行业务管理办法》和《电子银行安全评估指引》,并于2006年3月1日起开始施行。从此,电子银行安全评估也有了政策上的支持。在技术支持方面,商业银行除了自身设立专门的安全风险管控和信息技术部门来防范电子银行安全风险外,更多地把这项业务外包给更加专业的网络安全公司。商业银行可以通过全面安全评估及安全改进,使电子银行系统的安全保障能力符合国家的相关政策法规和自身业务的安全需求,从而增强电子银行用户的使用信心,提高银行的市场竞争力。
安全风险评估中最关键的步骤就是要找到一种合适的评估方法,这样既可以提高效率,又可以节约人力和时间成本。本文将阐述几种在不同的信息系统环境下经常采用的评估方法供电子银行在选择安全风险评估方法时进行参考。
问卷调查是一种最简单,成本较低的安全评估方法。问卷的对象主要是使用电子银行的业务操作人员和客户。它由一组关联的封闭式或开放式问题组成。用于在评估过程中获取信息系统的安全策略、信息安全组织、人力资源管理、资产管理、物理和环境安全、访问控制、通讯与运维管理、系统开发和维护、业务连续性计划、安全事件管理、符合性等11个方面。
由评估人员查阅被评估银行的电子银行安全体系的相关文件,主要从安全策略、规范、制度、表单的汇总、检查与分析这几方面入手,梳理文件的逻辑结构,从中发现错误、遗漏、陈旧、可改进项等问题。它和问卷调查都属于较初级的安全评估方法,不能完成整个安全评估体系的构成,只能为佐证成果的客观性和全面性提供有力的证据。
顾问访谈是结合问卷调查和文件分析有效的管理评估方式。通过对不同对象的访谈,包括银行相关领导、风险管理人员、审计管理员、网络系统管理员、普通员工和最终用户,可以对绝大部分的安全管理实现细节进行了解,并对上述的管理问卷调查结果和体系文件进行分析确认,访谈结果将直接影响组织各项安全控制的评估结果。审核的内容是根据《商业银行信息科技风险管理指引》、《电子银行业务管理办法》、《电子银行安全评估指引》、《网上银行信息系统通用规范(试行)》等相关国家和行业标准问卷的问题。
在电子银行安全体系的建设中,运用安全扫描软件是一种进行风险分析的有力工具,它可以大规模减少安全管理员的手工劳动,有利于保持整个系统安全政策的稳定。安全扫描主要是通过评估工具以本地扫描的方式对电子银行的系统和网络进行安全扫描,对隔离区服务器、应用区服务器、网络设备三大区域的主机系统、中间件、数据库系统等的漏洞情况进行全面的评估。
我们从网络层次的角度将安全扫描分为以下三个方面:
(1)系统层。这一层的安全问题来自网络运行的操作系统,比如UNIX系列、Linux系列、Windows NT系列以及专用服务器操作系统等。系统层安全评估主要是通过安全漏洞扫描方式对网上银行系统中,承载电子银行业务的应用主机服务器的操作系统进行安全性评估。
(2)网络层。网络层安全评估主要是通过网上银行系统进行网络架构分析评估方法对网上银行系统的网络结构、网络出口、Cisco路由器和交换机以及防火墙等网络设备的安全性进行评估。
(3)应用层。这一层的安全问题是考虑网络对用户提供服务所采用的应用软件和数据的安全性,包括网上银行客户端、电子支付系统、信用卡系统、基于Android系统的手机银行客户端、动态电子口令以及其他网络服务系统等。
为了给电子银行业务做更全面的安全风险评估,需要利用入侵检测系统[3]对可能存在的安全威胁进行实时采样收集。入侵检测正是为保证计算机网络系统的安全而设计的一种能够及时发现并报告网络系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。主要的入侵检测技术有两种,即特征检测和异常检测。
入侵检测系统相比较一些传统静态的安全评估方法,能够动态地为电子银行业务提供内外部攻击和错误操作的保护,成为防火墙之后又一道安全防线,也是目前电子银行安全风险评估必不可少的评估方法。
针对商业银行电子银行的网络设备、数据库、服务器、操作系统、应用系统等软硬件设备,安全评估人员利用安全评估软件扫描其存在的安全漏洞,找出潜在的风险,并给出相应的整改措施。然而,由于安全评估软件的科技水平有限,并不能全方位地检测出全部评估范围内硬件和系统的全部漏洞,因此,为了弥补这一不足,安全评估人员的手工检测就显得尤为重要,当然这样会增加安全评估的人力成本和时间成本。
另外,许多安全设备如防火墙、入侵检测等设备也是人工评估的主要对象。因为这些安全系统的作用是为网络和应用系统提供必要的保护,其安全性也必然关系到网络和应用系统的安全性是否可用、可控和可信。目前还没有针对安全系统进行安全评估的系统和工具,只能通过手工的方式进行安全评估。
渗透测试借鉴了黑客攻击的手法和技巧,通过内网渗透测试和外网渗透测试两种方式充分暴露和发掘潜在的漏洞,高度精确地反映客户系统面临的风险。这种测试方法耗时短、效率高,在网络安全评估方法中是一种发现严重安全漏洞的最有效的方法。通常情况下,考虑到电子银行的使用环境,这一类渗透测试都是在电子银行业务应用较为空闲01:00-07:00时段进行,或者构建一个仿真模拟的系统测试环境下进行。另外,渗透测试软件和黑客攻击手段都必须通过银行严格的审核同意,并准备充分完善的系统恢复方案,在测试之前必须提前网站公示,及时通知客户,将对电子银行业务的影响程度降到最低。
在远程渗透测试过程中,商业银行可以根据自身情况,选择测试的强度和范围,例如不准许测试人员对某些重要的服务器和应用程序进行测试以影响其正常运行;严格控制渗透测试的时间,一般选择电子银行业务相对空闲时段,不能长时间测试而影响业务正常运作。
安全策略评估目前是公认的最全面、最有效、最详细的电子银行安全评估方法,它对整个电子银行的网络设备和系统在安全控制、风险管理、客户保护、安全交易结算等方面进行综述及建议。这一种综合性的电子银行安全评估方法,是从整体网络安全的角度对现有的电子银行网络安全策略进行全局性的评估,它包含了技术和管理方面的内容,具体包括:安全策略评估是否能全面覆盖了电子银行网络系统的安全性描述;在安全策略中描述的所有安全控制、风险管理、客户保护、交易结算的措施是否正确和有效;安全策略评估中的每一项内容是否在相应的部门得到确认和具体落实。
在整个评估过程中,要求安全评估人员要“量体裁衣”,根据不同的网络系统给出相应的安全策略,要涵盖对整个网络系统有关安全的所有问题,例如如何确保用户客户端密码输入安全,如何实现数据传输的保密性和完整性,组建应急响应小组的成员和制定完善的应急响应程序,灾难恢复计划的制定等问题。对所有问题有相应的制定计划和解决方案,就相当于针对整个网络系统的一份完整的安全策略。策略一旦制定,将成为整个网络安全行为的准则,商业银行的每一个部门的工作人员都必须严格遵守。
总而言之,在具体的实践过程中,针对不同的商业银行的电子银行系统,分析其安全风险的应用需求,一般不会单一地使用某种安全评估方法,而是结合多种策略,行程一套行之有效的安全风险评估报告,对被评估商业银行的网络系统改进和监管机构的政策制定都有深远的意义。
注释:
[1]SWIFT 是 society for worldwide interbank financial telecommunications(环球同业银行金融电信协会或环球银行间金融通信协会)的缩写,是国际银行同业间的国际合作组织,目前全球大多数国家大多数银行已使用SWIFT系统。
[2]《电子银行业务管理办法》(中国银行业监督管理委员会2006年3月1日实施)中的有关定义。
[3]入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
[1]徐杰.电子银行安全评估方法探讨[J].中国金融电脑,2012,(11)
[2]李欢.浅谈电子银行安全风险及防范[J].新财经,2010,(12)
[3]胡晓荷.电子银行安全评估:让防范更精准[J].信息安全与通信保密,2009,(3)
[4]狄卫平,梁洪泽.网络金融研究[J].金融研究,2000,(11)
[5]牟冰.我国电子银行业务创新及其风险防范研究[D].对外经济贸易大学,2006
[6]中国工商银行教育部杭州金融研修学院.电子银行[M].北京:中国金融出版社,2003