韩强 王小林
在银行高度依赖信息科技的当下,信息科技与银行业务已融为一体,“科技即业务”的理念在全国性银行机构中已然成为共识,但作为区域性银行的城商行,对信息科技的认知大多停留在“后台支撑”层面,而忽略其催化、提升业务价值的属性,信息化广度和深度差距甚远。特别是科技人员奇缺,对外包服务依赖严重,项目开发缺乏系统性的长远规划,仓促上马,针对新型技术的安全防护能力较弱,潜在的信息安全隐患依然突出。面对金融科技新时代,信息安全已经走到变革的交叉路口,加快城商行信息安全管理转型势在必行。
近年来,西安银行从多个维度针对互联网类业务进行逐层加固,不断完善细化安全事件防御工作的颗粒度,逐步完成整个体系的建设,在金融业信息安全防范领域做出了有益的探索。
当前信息安全管理中的突出问题
(一)金融开发团队大多是新建立的团队,外包人员较多,开发规范不够健全,开发人员的经验和安全意识参差不齐
一是由于地域、规模和资源的局限性,绝大多数城商行科技人员的缺失率普遍高于50%,不少城商行项目开发人员占科技人员比例低于20%,无法满足开发生命周期中的岗位设置要求,而且人员新、经验少,甚至混杂许多缺乏专业背景的半路出家者,严重拖累项目开发质量与效率。二是人员紧张,兼岗现象突出,制约机制缺失。未设立专门的开发管理团队以及独立的测试团队,开发人员甚至兼职系统维护。三是自身开发能力不足,外包依赖度较高,且缺乏安全管理措施,外包监控手段较弱,外包引发的信息安全风险事件时有发生。四是制度流程不完善。部分城商行尚未制定涵盖系统开发生命周期的完整开发管理制度和流程,现有制度对立项审批、可行性研究、需求分析、设计、编码、测试以及项目质量控制、风险控制等规定不详实、不到位。
(二)项目上线没有给系统开发预留足够时间,导致出现大量的快速开发现象,使项目安全风险增大
一是项目开发缺乏系统性的长远规划。临时起意开发项目居多,可行性论证、成本效益分析、风险评估等前期准备工作不充分。二是项目开发盲目抢工期。普遍未开展CMMI等软件能力成熟度认证,未采用标准的项目管理工具对开发项目实施管理,系统开发进度和质量控制不到位,风险识别不充分。三是测试工作简单化、走过场。部分城商行缺乏完整的测试方案,未有效区分功能性测试与非功能性测试,压力测试、边界测试不到位,业务部门参与测试工作不足。
(三)针对新型技术的安全防护能力较弱
一是缺乏针对新型技术的信息安全防护策略,原有防御手段难以满足新环境下的安全保障。云计算等新型技术由于其虚拟性、高可靠性、动态可扩展性、超强计算和存储等特点,对租户角色信任、隐私数据保护等方面提出了更高的安全需求,而目前城商行普遍没有建立起完整规范的信息安全防护架构和安全方案,安全风险极易快速蔓延。二是数据安全管理手段落后。城商行应对数据安全漏洞的手段仍然集中于传统的数据分级、数据访问权限控制、数据加密等方式,而在大数据和云计算场景下,数据内容不停衍化、数据边界日益模糊、访问主体和客体关系异常复杂、硬件性能更是无法满足海量数据的加解密需求。
(四)信息安全事件分析体系不健全,以防御为主,缺少通过事件分析预警和研判风险的能力
目前城商行由于信息安全管理体系架构不健全,缺乏有效的信息安全事件分析机制,对风险事件的分析和预警存在以下问题:一是缺乏风险数据积累,风险损失数据的收集和报送机制尚未成型,导致对风险事件的识别、监测和预警缺乏历史数据支撑。二是尚未建立起有效的信息风险事件预警模型,缺乏对风险事件的预警和研判。目前,城商行在对信息安全事件的分析中,主要侧重于防御,仅就风险事件发生的概率、原因进行分析并进行改进和完善,并没有通过构建风险预警模型,充分利用历史风险数据有效预测和及时预警风险事件发生。
信息安全管理的改进建议
(一)系统化构建信息安全运营体系,加快信息安全管理转型,实现从“重建设、轻管理、无运营”模式向“管理、运营与建设并重”模式转变,从事后向事前、事中转变
城商行应当树立信息安全运营理念,积极推进信息安全运营体系建设,通过运营将管理与建设串联起来,使得信息安全工作由点变面,形成整体协调的信息安全治理和运作体系。具体而言,信息安全运营体系建设至少具有两方面作用:一方面通过信息安全运营,能够将信息安全管理的目标、方针及策略进一步细化成为具体的工作目标、任务和监督指标,进而促进安全工作的执行,并推动信息安全的工作协同;另一方面,信息安全运营又能将信息安全管控和建设中的重点工作,如安全监控、安全分析、安全事件管理、安全响应及应急、协同等,化零为整,组成系统化工作运作板块,改变信息安全“竖井式”建设带来的应对威胁零碎化、面对新的威胁又无法整合力量进行积极应对等诸多弊端。近年来,西安银行注重系统化构建信息安全运营体系,依托第三方安全服务公司协同防御,并引入新兴技术主动响应、智能分析,全方位强化运维监控。
一是自行监控。明确监控目标与监控内容,制定监控管理流程,针对全网各类软硬件系统进行日志统一审计,关联展现;针对重要系统进行流量可视化监控;针对当前安全设备运行状况,系统运行状况进行实时状态监测;所有监控结果通过事件管理流程进行统一分配,任何超閥值的告警信息实行自动短信、微信通知到人,运维人员7*24小时轮班值守,确保基础运行环境的稳定运行。
二是第三方安全服务公司协同监控。与第三方具备国家认可的信息安全应急服务资质的的公司签订服务合同,针对所有需要实时监控的系统进行7*24小时监控,并且定义事件等级,根据事件等级通知。西安银行依托第三方安全服务公司,重点对门户网站、网银等互联网开放业务系统进行长期不间断的安全监测和定期的安全检查。安全监测的内容包括远程网站漏洞扫描、远程网页挂马实时监控、远程网页敏感内容实时监测、网站可用性监测、远程网页篡改监测和钓鱼网站。
远程网站漏洞扫描:通过远程方式,对网站定期安全检查,由安全专家进行专业分析,筛查网站存在的隐患和漏洞,提供安全扫描报告,确保漏洞的及时修复。
远程网页挂马实时监控:采用多种检测技术对网站挂马进行监测,发现网站被挂马后及时告警,减少风险。
远程网页敏感内容实时监测:对网页中出现的敏感内容进行监测,如发现敏感内容及时告警并进行处理。
远程可用性监测:对服务站点进行实时远程访问可用性监视,跟踪重点对象的访问情况,并根据严重程度及时发出报警信号,第一时间告警,减少网站中断对用户业务的影响,保障网站的可用性。
防钓鱼监控:针对近年来国内钓鱼攻击网银欺诈案件频发问题,西安银行高度重视网上银行风险管控,与“国家互联网应急中心”签订专项协议,加强对仿冒网站等“钓鱼”欺诈事件的追踪分析与防范,构建反“钓鱼”应急处置机制,有效切断“钓鱼”诈骗渠道。
(二)开展信息安全管理体系优化,建立涵盖系统开发生命周期的完整开发管理制度和流程,为信息安全管理与项目风险控制提供组织及制度保障
信息安全管理体系优化,主要包括主动优化信息安全治理结构,完善信息安全组织架构和队伍建设,调整信息安全职责分工,并强化和完善基础安全的管理要求等。一是进一步明确全行信息安全的治理架构。二是要从企业战略层面开展信息科技整体规划,董事会及高管层要做好统筹管理,并注重与业务战略有机融合、协同发展。项目实施部门应定期向董事会及高管层提交重大信息科技项目的进度报告,由其进行审核监督。三是建立涵盖系统开发生命周期的完整开发管理制度和流程,对立项审批、项目设计、编码、测试以及项目质量控制、风险控制等做出详实规定。四是建立有效的项目开发团队、测试团队,尤其要确保测试团队的独立性与专业化,并选择恰当的测试方式,全面开展功能性测试与非功能性测试,加强压力测试、边界测试。
西安银行在互联网业务程序开发设计上,注重安全开发规范的建立,同时组织开展严格的代码审计,从业务逻辑、代码逻辑、代码漏洞、数据泄露等方面进行筛查、测试、验证,从而实现代码层面对互联网业务进行安全防范。
制定安全开发规范:在开发实施初期,西安银行为提高软件开发质量,详实制定团队各项质量保障的规范,对信息安全提出明确标准与要求。
开展项目安全开发培训:对相关项目开发人员进行专业严格、系统的程序设计开发原理与开发规范培训,以提升安全意识与安全管理水准。
进行严格代码审计:针对最新开发设计的应用系统软件中可能存在的安全缺陷(漏洞),组织开展严格的代码审计,安全测试人员应用各种技术和测试策略,来高效的发现和挖掘这些缺陷。具体而言,应用系统源代码安全审计服务的实施人员,根据用户提供的资料(需要用户提供与软件系统相关的设计文档、源代码,以及与开发人员之间的必要沟通),对其应用系统进行源代码检查,预先发现其中的安全漏洞和具有潜在威胁的地方,提供相应的代码完善建议,并且根据用户应用系统安全现状提供问题解决方案,同时根据用户的需求,有针对性的对用户系统操作人员、开发人员和测试人员提供源代码安全培训服务。
实践证明,应用系统源代码安全审计服务具有重要作用,通过专业化的源代码安全检查,可发现应用系统现有的和潜在的安全问题,能够非常有效地防范、降低用户应用系统所面临的政治压力、经济损失和数据泄密等安全风险。
(三)建立常态化IT风险评估机制,实现以定期IT风险专项评估为主向“嵌入式”“触发式”评估为主转变,提升风险识别评估的及时性和有效性
当前信息科技已全面融入银行业务经营的每一个角落,IT风险管理不能仅靠科技部门单打独斗,也不能依赖科技部门和业务部门“自己管自己”,需要风险管理部门作为第二道防线发挥监督、制约和协调作用,从“另一视角”独立管控IT风险。为此,作为第二道防线的风险管理部门有必要组建稳定的IT 风险评估团队,梳理重点领域的IT风险点,制定IT风险评估手册,明确评估方法和标准,建立嵌入流程并能自动触发的常态化IT风险评估机制,从当前以定期IT风险专项评估为主,逐步转变为以“嵌入式”、“触发式”评估为主。其中,“嵌入式”评估是指将风险评估流程嵌入新产品、新业务、新系统的立项、实施、投产和运行环节,在事前、事中及时识别风险。“触发式”评估指发生重大风险事件或风险隐患较大时,立即开展有针对性的风险评估。
(四)建立系统支撑的IT风险监测平台,提高风险预警的敏感性
一是在梳理重点领域各流程环节关键风险的基础上,建立IT风险监测系统,整合对接核心系统生产运行、网络安全、基础设施、应用系统等相关数据,建立IT风险监测平台,将核心生产系统交易量、交易成功率、主机和开放系统运行情况等系统监控和应用监控信息纳入风险管理部门日常监控范围。二是要科学设定IT关键风险指标体系,对重要系统可用率、灾备覆盖率、监控覆盖率、重大变更成功率等关键风险指标进行持续监测。三是针对大数据、人工智能等新技术应用风险,要积极引入更为先进的安全防御技术,比如采用深度流量检测、沙箱技术、大数据综合流量日志分析等先进技术管理手段,及时监测和识别可疑网络攻击,同时部署入侵防御系统、智能终端安全管理系统等,建立各个终端安全防线。四是建立IT 風险报告系统,收集全行IT风险事件,定期向高管层报告IT风险状况,并对重大IT风险事件开展调查分析。
近年来,西安银行积极推进具有体系化的网络风险监测平台建设,通过区域化设计网络结构、部署不同层面的安全监测防御设备以及未知威胁感知系统,有效实施网络数据流的控制、过滤及清洗,保证了互联网类业务的安全隔离。
1.区域化设计网络结构,制定访问要求;
2.部署不同层面的安全监测防御设备;
3.控制业务流的访问条件;
4.部署“未知威胁感知系统”。
(五)优化完善IT风险计量方法,提升风险计量的科学性
优化系统中断时间与损失金额的转化标准,借鉴操作风险标准法和高级计量法(主要是损失分布法)的计量原理,优化IT风险计量标准和模型。基于IT风险指标、风险评估要点设计评分卡,逐步建立符合IT风险特点的计量方法、标准和模型,提升计量的科学性,扩大计量结果在经济资本管理领域的应用深度。
(六)前移信息安全事件防控关口,建立科学的信息风险事件预警模型,提高信息安全监测敏感度,增强处置信息系统突发事件的主动性
信息安全事件防控是一项科学化、系统化工程,包括事前、事中、事后三个阶段。随着信息科技飞速发展,大数据、云计算等新兴技术的广泛应用,信息安全隐患问题更加隐蔽,信息安全事件传染性、破坏性更加突出,因而事前检测预防变得尤为重要。可通过渗透测试、系统级漏洞扫描、流量清洗服务等多种方式,事先发现信息安全漏洞。
同時,还要注重信息安全事件事后总结分析,健全信息安全事件分析体系,建立科学的信息风险事件预警模型。一是要制定信息风险损失数据收集模板和信息风险事件内容模板,建立健全信息风险损失数据的收集和报送机制,并通过加强数据处理的检查和考核,提升风险数据收集的准确性和完整性,为实施信息风险监测和预警提供良好的数据支撑。二是建立科学有效的信息风险事件预警模型,通过主成分分析法、贝叶斯网络法、模糊评价法等分析方法,加强对风险事件的分析,并以“目标”和“过程控制”为导向,针对关键信息风险设置一定的指标和阙值,结合每年风险变化情况,对指标和阙值进行调整,以达到实时动态监测预警的目的。
西安银行在信息安全事件防范中,妥善处理事前、事中、事后三者关系,将风险防范关口前移,综合采取多种检测预防手段堵塞风险漏洞。
1.事前阶段:
设备管理:确保所有服务器、网络及安全设备的日志保存完整性,确保所有设备的配置保存备份;部署泰和日志审计系统,实现了统一日志汇总审计功能,并能够根据日志级别进行告警。
基线检查:依托公安部规定的等级保护测评,就操作系统、数据库、中间件、网络及安全设备的配置方法及规范等方面对所有业务系统运行的基础环境进行问题排查,确保设置合理规范,无逻辑或安全隐患。
渗透测试:与有资质的安全服务公司签订安全服务协议,其中包含渗透测试服务,渗透测试可以模拟攻击者的入侵思路与技术手段。目前主要以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制范围之内。通过渗透测试可以了解和检测信息系统安全运营状况;符合相关监管部门的合规性要求。
系统级漏洞扫描:定期针对业务程序所部属的服务器,在部署完毕程序后,通过专业的漏洞扫描设备对服务器进行漏扫,从操作系统层面对已知漏洞进行修补,确保业务上线后操作系统层面的安全性。
流量清洗服务:与互联网服务提供商签订大流量DDOS清洗服务,以确保在运营商可用的情况下对此类攻击的防御。
应急预案:根据目前已知安全事件类型的场景制定信息安全事件预案,并定期开展演练,确保在发生此类事件后最短时间内予以有效处置。
2.事中阶段:
发现安全事件后,第一时间上报领导;根据应急预案中的场景,按照预案中的操作流程与规范进行具体处理;联系安全服务公司专业人员进行现场应急;根据情况联系运营商进行流量清洗,进行DDOS攻击处置;保留入侵访问的痕迹。
3.事后阶段:
记录事件发生时间、对相关系统产生的影响、业务影响范围以及持续时间,总结事件特征,列入知识库,为后续事件防范做案例文档;根据APT系统记录的数据进行入侵行为溯源追踪,根据实际情况具体处理;编写事件处理报告,开会讨论总结。
(七)强化IT风险管理的考核与激励,以考核促管理。
要将IT 风险纳入分支行的经济资本计量考核,在计量评分卡中设置IT风险、业务连续性管控情况等定性与定量指标,奖优惩劣,推动各级行主动加强IT风险防控。同时,还要将核心系统累计中断时间纳入科技部门、相关业务部门的综合绩效考核体系,以考核促进管理。