金融机构ICT供应链信息安全风险分析及应对措施研究

丁丽媛

(银联数据服务有限公司 上海 201201)

1 金融机构ICT供应链信息安全现状及相关政策要求

随着金融机构数字化转型的快速推进,更多的金融业务借助互联网平台来实现,为了给消费者提供更便捷的服务,多家机构合作开展线上业务,从而形成了复杂的ICT供应链条,但是衍生出来的安全问题也逐渐凸显.作为国家重要行业的金融机构必须在网络安全工作中重视和探索加强供应链信息安全管理,有效防控金融风险.

随着网络安全3大法及配套法规标准的颁布实施,国家对供应链信息安全管理作出系列相关规定(如表1所示).此外2021年12月发布的《银行保险机构信息科技外包风险监管办法》 (银保监办发〔2021〕 141号),要求银行保险机构要建立外包商管理体系,其中规范了全生命周期的外包商管理动作,是金融行业建立自身外包商管理体系的重要指导文件.2021年9月发布的《关于规范金融业开源技术应用与发展的意见》(银办发〔2021〕146号),对开源技术在金融业各领域的应用作了全面具体的规定.金融机构要首先保证法律法规方面的合规,然后结合实际情况建立适合企业发展的供应链信息安全管理框架.

表1 ICT供应链信息安全相关标准发展脉络[1]

2 金融机构ICT供应链信息安全风险分析

在金融数字化业务中,金融机构作为业务需求方,在供应链条中属于下游,上游任何环节发生安全问题都会引发信息安全风险,因此金融机构除了要做好自身的信息安全保障外,还要对上游供应链带来的安全风险予以识别和控制[2].金融机构ICT供应链信息安全风险主要如下:

1) 信息泄露风险.金融机构保存的数据都是与客户个人身份、财务状况等息息相关的关键数据,数据在供应链之间流转的各个环节如果控制不严都可能引发信息泄露,而对于信息泄露的结果,客户并不关心数据泄露是谁的责任,他们认为自己的数据保存在金融机构就是金融机构的责任.所以防控信息泄露风险是供应链安全防控的重点.

2) 数据篡改风险.金融机构的数据直接关系到个人身份信息和钱袋子,一旦发生交易数据篡改的事件,产生的将是直接的财务损失.而数据在供应链之间流转过程中涉及多层数据校验,通常是各自负责各自节点的校验,下游节点会默认信任上游节点的数据,所以每个节点都要层层把关,做好数据校验,才能防范数据篡改风险.

3) 业务中断或不可用风险.服务和业务的连续性对企业来说至关重要,尤其是金融机构,现在网上支付占据了支付行业的主导地位,如果因为供应链条发生问题或中断而引发的服务不可用、产品不可用,将会直接影响用户体验,引发舆情风险,也影响客户对企业的信任度.

综上所述,金融机构供应链面临诸多风险,亟需一套较完善的供应链信息安全防护体系进行管控.

3 基于全生命周期的供应链信息安全综合防控体系设计与实现

金融机构供应链信息安全与企业信息安全管理相同,它不是纯粹的IT问题,而是涉及上下游企业、组织、人员、流程以及操作问题的综合治理,所以要建立全方位的供应链信息安全管控体系,就要从攻击者的角度去思考,建立整体的安全防御体系,从供应链的整个生命周期出发设计和建设供应链信息安全防控体系(如图1所示).

图1 基于全生命周期的供应链信息安全综合防控体系框架

3.1 供应商进场的安全风险管控

3.1.1 组织、人员及制度管理

1) 供应链信息安全管控要有完备的组织体系作支撑.金融是强监管行业,内部组织体系较为完善,可以在现有架构基础上成立供应链信息安全管理机构,牵头各相关单位进行全生命周期的供应链信息安全管控,明确相关方的管理职责,制定相关制度和要求,定期评估供应链信息安全风险及管控措施的落实情况.

2) 人员管理.金融机构外包人员管理一直是重点关注的对象,金融机构要对服务提供商和外包人员进行定期的信息安全培训并签订安全保密协议.而对于内部供应链安全管理人员来说,也需要具备相应的能力和资质[3],明确相关方的职责定位和权限级别,建立操作规范并具备完善的操作日志记录,以备后续风险排查、漏洞分析以及攻击溯源使用.

3) 制度管理.金融机构要在现有制度体系基础上建立供应链信息安全风险管理体系,基于供应链全生命周期,针对自主研发软件、外购商业软件、第三方组件、外部云平台等相关供应关系制定风险管理制度、流程和机制,当发生安全事件时能及时报告并进行应急处置[4].

3.1.2 供应商资质审核、采购和合同管理

供应商进场前需要作准入审核,明确供应商的准入标准并进行充分地风险评估,主要的评估标准包括以下方面:

1) 供应商的服务资质、金融行业服务经验、所提供的产品和服务是否能够满足金融数字化发展要求以及知识产权归属和产品授权情况.

2) 供应商的网络和信息安全保障能力是否能保障金融交易产品及服务的安全性和连续性,在断供、停服等情况下能够提供可操作且安全的替代方案,如果发生安全事件能够及时响应处置.

3) 供应商的风险和合规性评估是否满足法律法规和金融监管的合规及风险管理要求.强化采购渠道安全,在产品性能及服务能力大致相同的情况下优先选择渠道安全的供应商.

以上内容要在供应商合同签署前进行详尽的调查,并依据金融行业特殊的业务需求和合规标准进行采购,在合同签订环节要对评估过程中约定的内容尽可能体现到法律合同文本中,以降低法律风险.

3.1.3 信息安全风险评估

供应商进场前需经过充分的信息安全风险评估,逐步构建和完善风险评估模型[5].

1) 资产梳理.重点是明确采用了哪些软硬件产品和服务,尤其是开源软件,目前行业内比较成熟的是软件物料清单(software bill of materials, SBOM)[6],金融机构在使用产品前应要求供应商提供SBOM,从而了解软件供应关系及依赖情况,以供后续进行安全检查.

2) 产品的性能及安全风险检测.即在进场前先对软硬件产品进行安全测试,包括但不限于软件资产识别、漏洞扫描、后门检测等,尤其是涉及金融交易的功能.同时依据国家和金融行业合规标准以及内部安全基线进行风险评估,以判断该产品是否满足企业的安全与合规要求.

3) 第三方风险管理.一方面金融机构将用户个人信息发送给第三方处理需要经过个人的授权同意,而在信息科技外包项目中,信息系统服务商如需将金融数据和个人信息发送给第三方处理也需要得到金融机构的授权,总之整个数据流转的各个节点都应该获得相关方的授权;另一方面关于与第三方数据交互中数据传输和存储的安全性也要得到充分的评估,比如是否涉及敏感信息、传输的过程及数据存储是否安全等.

3.2 供应商产品及服务运行阶段的安全风险管控

3.2.1 供应商管理

在完成供应商采购流程进入运行环节后,企业需要对供应商继续采取以下相应的供应商管理措施:

1) 供应商信息安全管理.

供应商产品和人员进入金融机构进行服务需要遵守金融机构的信息安全策略并签署保密协议,金融机构要为供应商设置最小访问权限并保证供应商对资产的访问是安全可控的.供应商提供的产品或服务交付物要满足金融机构的安全要求,同时金融机构要定期对其信息安全情况进行监督检查.

2) 供应商连续性.

供应商产品和服务运行中可能面临服务连续性风险,比如某金融应用部署在供应商的云平台上,由于网络攻击等原因导致不可用且短时间内不可恢复,那么就要切换到备用产品及服务以快速恢复业务.所以金融机构有必要维护1份备用供应商及产品清单,尤其是关键信息基础设施,需要建立供应商替代方案,以防范供应链连续性风险[7].

3) 供应商质量.

对于已经合作的供应商,金融机构应当定期对其服务质量进行评估,在产品使用和服务过程中出现的安全事件应当记录并督促整改,并作为后续供应商准入的评估依据,对发生严重安全事件并影响到数据安全的供应商,则应从供应商名录中去除,避免由于供应商风险造成企业自身风险.

3.2.2 安全工具检测

在制定完善的供应链信息安全管理制度和流程的基础上,需要结合安全工具检测的技术手段(如图2所示)落地实施.

图2 信息技术供应链应用安全工具检测模型

1) 软件成分分析及组件漏洞匹配.

金融科技开源基金会(FINOS)发布的《2022年金融服务业开源状态》显示,金融服务业有58%的开源软件用于Web和应用程序开发,并有增长趋势.开源软件的广泛使用也给金融机构带来更多的安全风险.解决方案是建立企业级的组件仓库,使内部组织在安全可控的平台下载和更新组件,同时结合使用软件成分分析(software compostition analysis, SCA)方法识别引用的组件、开源许可、安全漏洞等信息,从而梳理出开源组件清单并对漏洞进行排查和修复[6].

2) 代码审计、漏洞扫描和渗透测试.

在金融行业,代码审计、漏洞扫描和渗透测试是最通用的安全检测手段.其中代码审计是使用静态源代码扫描工具结合人工分析发现系统的安全漏洞,它可以从源代码层面发现漏洞,但时效较低且对人员经验依赖较大,所以要结合黑盒工具进行测试.即Web应用安全漏洞扫描和人工渗透测试相结合,模拟黑客对应用系统发起攻击,在系统运行阶段进行迭代测试以达到安全检查的目的[8].

3) 持续应用安全DevSecOps.

随着金融数字化转型的推进及敏捷开发DevOps的发展,DevSecOps逐渐被推广使用.目前主流的解决方案是交互式应用安全测试(interactive application security testing, IAST)[9]和应用程序运行时防护(runtime application Self-Protection, RASP)[9],其中IAST是在程序运行过程中,通过插桩实现对程序运行上下文监控,对应用代码、请求数据和开源组件漏洞进行检查.而RASP是在程序运行时即功能调用前或调用时获取当前方法的参数信息从而分析是否满足安全要求.以上2种安全工具都需要结合金融行业特有的业务流程进行定制化调试才能达到最有效的防护效果.

4) 终端技术工具管控.

根据历年网络安全攻防演练实践经验,终端技术工具漏洞经常会成为企业网络边界的突破口.所以金融机构在重视生产安全的同时也要加强对终端技术工具的管理,设置相应的网络准入条件,设立软件工具白名单库,并且定期更新升级,保证终端技术工具的来源可靠并且及时更新维护.

3.2.3 持续的安全威胁监测

供应链信息安全应形成常态化的风险监测机制(如图3所示),及时发现并处置安全风险.

图3 持续的安全威胁监测模型

1) 供应链信息安全风险监测机制.

首先在网络和应用层面.由于金融机构的合作方很多是通过专线对接的,所以供应链信息安全风险不再只局限于互联网边界,内网专线边界同样重要,也要部署可阻断攻击源的安全设备进行防护,应用层面则要持续地进行应用安全工具检测来识别风险.

其次是数据安全层面.金融机构要对企业运营数据作保护:一是通过发现和分类工具对需要保护的数据进行识别并进行分类分级保护,尤其是个人身份信息和金融交易数据;二是通过身份认证和访问控制机制限制数据的访问权限;三是通过数据防泄露、数据防篡改、数据库审计等技术措施进行持续的监测和防护[10].

最后是安全运营中心(security operations center, SOC).金融机构要在现有的安全防护体系基础上建立统一的SOC,将威胁情报中心、安全态势感知平台、日志分析平台整合联动统一管理,便于从全局分析和发现安全问题.

2) 情报驱动应急响应.

金融机构要针对不同的安全事件场景制定应急预案及报告流程,尤其是数据泄露、业务中断等场景,要保证发生安全事件时能够及时监测到,并通知相关岗位评估分析和处置,以及在事件处置完成后回顾应急流程是否完备,形成PDCA的管理闭环.

3) 第三方API安全.

金融机构在与外部进行合作的过程中越来越多地调用第三方接口,尤其是涉及金融交易的第三方,如支付、放款等机构.为了做好防护,可以采用传统的问卷调查加工具流量检测的模式,通过问卷了解接口调用过程中的数据传输、数据存储、数据使用情况,然后通过API安全检测工具分析接口流量,从流量中梳理出企业调用的外部接口,形成资产清单,同时对检测到的API接口进行安全风险检测.

3.3 供应商合作结束的安全风险管控

3.3.1 访问权限及策略关闭

在供应商产品及服务合作结束后要及时关闭相应人员及系统的访问权限,并纳入到人员离场及产品服务下线流程中,以确保相关策略可以及时关闭.其中要注意的是相应的应用及网络策略关闭要彻底,如业务下线后应用已无访问权限,但是网络策略并未关闭,那么还会存在相关服务器作为跳板进行进一步攻击的风险,所以在下线流程中要形成开发、运维、人力等联动的通知及审批机制,及时关闭访问权限和策略.

3.3.2 数据迁移和删除

在与供应商合作结束后如数据不再使用则要采取不可恢复的方式彻底删除数据,但金融行业会有特别的数据保存规定,如业务交易记录至少要保留5年,这种情况就要依据具体的行业监管要求进行数据保存或者数据迁移,数据保存可以采取敏感信息脱敏变形后保存的方式,而数据迁移还要确保数据迁移过程中的安全性.

3.3.3 数据保密及脱敏期

合作结束后供应商要对过程文档、数据以及软件代码、知识产权等进行保护,不可随意对外泄露,如不可以将合作文档及代码上传到外部互联网平台(如GitHub),必要的情况下要进行脱敏后展示.总之合作虽然结束但是保密的义务没有结束,双方依然要按照合同约定履行保密的职责和义务.

4 结 语

随着金融机构数字化转型的逐步推进,如何建设安全可控的ICT供应链信息安全防护体系成为金融机构亟待解决的安全问题.针对金融机构的信息通信技术供应链安全风险,本文在分析了目前金融机构ICT供应链信息安全现状及相关政策要求以及金融机构ICT供应链存在的信息安全风险基础上, 提出了基于全生命周期的供应链信息安全综合防控体系设计与实现方法.

总之,金融机构ICT供应链信息安全管理要满足监管机构关于供应链信息安全管理的相关要求,在供应链信息安全防控体系的建设和维护过程中,形成闭环的安全管理,为企业纵深防御的信息安全管控体系守牢边界,把好信息安全的大门.