區(qū)域性商業(yè)銀行信息安全淺談

韓強 王小林

在銀行高度依賴信息科技的當下，信息科技與銀行業(yè)務已融為一體，“科技即業(yè)務”的理念在全國性銀行機構(gòu)中已然成為共識，但作為區(qū)域性銀行的城商行，對信息科技的認知大多停留在“后臺支撐”層面，而忽略其催化、提升業(yè)務價值的屬性，信息化廣度和深度差距甚遠。特別是科技人員奇缺，對外包服務依賴嚴重，項目開發(fā)缺乏系統(tǒng)性的長遠規(guī)劃，倉促上馬，針對新型技術(shù)的安全防護能力較弱，潛在的信息安全隱患依然突出。面對金融科技新時代，信息安全已經(jīng)走到變革的交叉路口，加快城商行信息安全管理轉(zhuǎn)型勢在必行。

近年來，西安銀行從多個維度針對互聯(lián)網(wǎng)類業(yè)務進行逐層加固，不斷完善細化安全事件防御工作的顆粒度，逐步完成整個體系的建設，在金融業(yè)信息安全防范領(lǐng)域做出了有益的探索。

當前信息安全管理中的突出問題

（一）金融開發(fā)團隊大多是新建立的團隊，外包人員較多，開發(fā)規(guī)范不夠健全，開發(fā)人員的經(jīng)驗和安全意識參差不齊

一是由于地域、規(guī)模和資源的局限性，絕大多數(shù)城商行科技人員的缺失率普遍高于50%，不少城商行項目開發(fā)人員占科技人員比例低于20%，無法滿足開發(fā)生命周期中的崗位設置要求，而且人員新、經(jīng)驗少，甚至混雜許多缺乏專業(yè)背景的半路出家者，嚴重拖累項目開發(fā)質(zhì)量與效率。二是人員緊張，兼崗現(xiàn)象突出，制約機制缺失。未設立專門的開發(fā)管理團隊以及獨立的測試團隊，開發(fā)人員甚至兼職系統(tǒng)維護。三是自身開發(fā)能力不足，外包依賴度較高，且缺乏安全管理措施，外包監(jiān)控手段較弱，外包引發(fā)的信息安全風險事件時有發(fā)生。四是制度流程不完善。部分城商行尚未制定涵蓋系統(tǒng)開發(fā)生命周期的完整開發(fā)管理制度和流程，現(xiàn)有制度對立項審批、可行性研究、需求分析、設計、編碼、測試以及項目質(zhì)量控制、風險控制等規(guī)定不詳實、不到位。

（二）項目上線沒有給系統(tǒng)開發(fā)預留足夠時間，導致出現(xiàn)大量的快速開發(fā)現(xiàn)象，使項目安全風險增大

一是項目開發(fā)缺乏系統(tǒng)性的長遠規(guī)劃。臨時起意開發(fā)項目居多，可行性論證、成本效益分析、風險評估等前期準備工作不充分。二是項目開發(fā)盲目搶工期。普遍未開展CMMI等軟件能力成熟度認證，未采用標準的項目管理工具對開發(fā)項目實施管理，系統(tǒng)開發(fā)進度和質(zhì)量控制不到位，風險識別不充分。三是測試工作簡單化、走過場。部分城商行缺乏完整的測試方案，未有效區(qū)分功能性測試與非功能性測試，壓力測試、邊界測試不到位，業(yè)務部門參與測試工作不足。

（三）針對新型技術(shù)的安全防護能力較弱

一是缺乏針對新型技術(shù)的信息安全防護策略，原有防御手段難以滿足新環(huán)境下的安全保障。云計算等新型技術(shù)由于其虛擬性、高可靠性、動態(tài)可擴展性、超強計算和存儲等特點，對租戶角色信任、隱私數(shù)據(jù)保護等方面提出了更高的安全需求，而目前城商行普遍沒有建立起完整規(guī)范的信息安全防護架構(gòu)和安全方案，安全風險極易快速蔓延。二是數(shù)據(jù)安全管理手段落后。城商行應對數(shù)據(jù)安全漏洞的手段仍然集中于傳統(tǒng)的數(shù)據(jù)分級、數(shù)據(jù)訪問權(quán)限控制、數(shù)據(jù)加密等方式，而在大數(shù)據(jù)和云計算場景下，數(shù)據(jù)內(nèi)容不停衍化、數(shù)據(jù)邊界日益模糊、訪問主體和客體關(guān)系異常復雜、硬件性能更是無法滿足海量數(shù)據(jù)的加解密需求。

（四）信息安全事件分析體系不健全，以防御為主，缺少通過事件分析預警和研判風險的能力

目前城商行由于信息安全管理體系架構(gòu)不健全，缺乏有效的信息安全事件分析機制，對風險事件的分析和預警存在以下問題：一是缺乏風險數(shù)據(jù)積累，風險損失數(shù)據(jù)的收集和報送機制尚未成型，導致對風險事件的識別、監(jiān)測和預警缺乏歷史數(shù)據(jù)支撐。二是尚未建立起有效的信息風險事件預警模型，缺乏對風險事件的預警和研判。目前，城商行在對信息安全事件的分析中，主要側(cè)重于防御，僅就風險事件發(fā)生的概率、原因進行分析并進行改進和完善，并沒有通過構(gòu)建風險預警模型，充分利用歷史風險數(shù)據(jù)有效預測和及時預警風險事件發(fā)生。

信息安全管理的改進建議

（一）系統(tǒng)化構(gòu)建信息安全運營體系，加快信息安全管理轉(zhuǎn)型，實現(xiàn)從“重建設、輕管理、無運營”模式向“管理、運營與建設并重”模式轉(zhuǎn)變，從事后向事前、事中轉(zhuǎn)變

城商行應當樹立信息安全運營理念，積極推進信息安全運營體系建設，通過運營將管理與建設串聯(lián)起來，使得信息安全工作由點變面，形成整體協(xié)調(diào)的信息安全治理和運作體系。具體而言，信息安全運營體系建設至少具有兩方面作用：一方面通過信息安全運營，能夠?qū)⑿畔踩芾淼哪繕?、方針及策略進一步細化成為具體的工作目標、任務和監(jiān)督指標，進而促進安全工作的執(zhí)行，并推動信息安全的工作協(xié)同；另一方面，信息安全運營又能將信息安全管控和建設中的重點工作，如安全監(jiān)控、安全分析、安全事件管理、安全響應及應急、協(xié)同等，化零為整，組成系統(tǒng)化工作運作板塊，改變信息安全“豎井式”建設帶來的應對威脅零碎化、面對新的威脅又無法整合力量進行積極應對等諸多弊端。近年來，西安銀行注重系統(tǒng)化構(gòu)建信息安全運營體系，依托第三方安全服務公司協(xié)同防御，并引入新興技術(shù)主動響應、智能分析，全方位強化運維監(jiān)控。

一是自行監(jiān)控。明確監(jiān)控目標與監(jiān)控內(nèi)容，制定監(jiān)控管理流程，針對全網(wǎng)各類軟硬件系統(tǒng)進行日志統(tǒng)一審計，關(guān)聯(lián)展現(xiàn)；針對重要系統(tǒng)進行流量可視化監(jiān)控；針對當前安全設備運行狀況，系統(tǒng)運行狀況進行實時狀態(tài)監(jiān)測；所有監(jiān)控結(jié)果通過事件管理流程進行統(tǒng)一分配，任何超閥值的告警信息實行自動短信、微信通知到人，運維人員7*24小時輪班值守，確?；A運行環(huán)境的穩(wěn)定運行。

二是第三方安全服務公司協(xié)同監(jiān)控。與第三方具備國家認可的信息安全應急服務資質(zhì)的的公司簽訂服務合同，針對所有需要實時監(jiān)控的系統(tǒng)進行7*24小時監(jiān)控，并且定義事件等級，根據(jù)事件等級通知。西安銀行依托第三方安全服務公司，重點對門戶網(wǎng)站、網(wǎng)銀等互聯(lián)網(wǎng)開放業(yè)務系統(tǒng)進行長期不間斷的安全監(jiān)測和定期的安全檢查。安全監(jiān)測的內(nèi)容包括遠程網(wǎng)站漏洞掃描、遠程網(wǎng)頁掛馬實時監(jiān)控、遠程網(wǎng)頁敏感內(nèi)容實時監(jiān)測、網(wǎng)站可用性監(jiān)測、遠程網(wǎng)頁篡改監(jiān)測和釣魚網(wǎng)站。

遠程網(wǎng)站漏洞掃描：通過遠程方式，對網(wǎng)站定期安全檢查，由安全專家進行專業(yè)分析，篩查網(wǎng)站存在的隱患和漏洞，提供安全掃描報告，確保漏洞的及時修復。

遠程網(wǎng)頁掛馬實時監(jiān)控：采用多種檢測技術(shù)對網(wǎng)站掛馬進行監(jiān)測，發(fā)現(xiàn)網(wǎng)站被掛馬后及時告警，減少風險。

遠程網(wǎng)頁敏感內(nèi)容實時監(jiān)測：對網(wǎng)頁中出現(xiàn)的敏感內(nèi)容進行監(jiān)測，如發(fā)現(xiàn)敏感內(nèi)容及時告警并進行處理。

遠程可用性監(jiān)測：對服務站點進行實時遠程訪問可用性監(jiān)視，跟蹤重點對象的訪問情況，并根據(jù)嚴重程度及時發(fā)出報警信號，第一時間告警，減少網(wǎng)站中斷對用戶業(yè)務的影響，保障網(wǎng)站的可用性。

防釣魚監(jiān)控：針對近年來國內(nèi)釣魚攻擊網(wǎng)銀欺詐案件頻發(fā)問題，西安銀行高度重視網(wǎng)上銀行風險管控，與“國家互聯(lián)網(wǎng)應急中心”簽訂專項協(xié)議，加強對仿冒網(wǎng)站等“釣魚”欺詐事件的追蹤分析與防范，構(gòu)建反“釣魚”應急處置機制，有效切斷“釣魚”詐騙渠道。

（二）開展信息安全管理體系優(yōu)化，建立涵蓋系統(tǒng)開發(fā)生命周期的完整開發(fā)管理制度和流程，為信息安全管理與項目風險控制提供組織及制度保障

信息安全管理體系優(yōu)化，主要包括主動優(yōu)化信息安全治理結(jié)構(gòu)，完善信息安全組織架構(gòu)和隊伍建設，調(diào)整信息安全職責分工，并強化和完善基礎安全的管理要求等。一是進一步明確全行信息安全的治理架構(gòu)。二是要從企業(yè)戰(zhàn)略層面開展信息科技整體規(guī)劃，董事會及高管層要做好統(tǒng)籌管理，并注重與業(yè)務戰(zhàn)略有機融合、協(xié)同發(fā)展。項目實施部門應定期向董事會及高管層提交重大信息科技項目的進度報告，由其進行審核監(jiān)督。三是建立涵蓋系統(tǒng)開發(fā)生命周期的完整開發(fā)管理制度和流程，對立項審批、項目設計、編碼、測試以及項目質(zhì)量控制、風險控制等做出詳實規(guī)定。四是建立有效的項目開發(fā)團隊、測試團隊，尤其要確保測試團隊的獨立性與專業(yè)化，并選擇恰當?shù)臏y試方式，全面開展功能性測試與非功能性測試，加強壓力測試、邊界測試。

西安銀行在互聯(lián)網(wǎng)業(yè)務程序開發(fā)設計上，注重安全開發(fā)規(guī)范的建立，同時組織開展嚴格的代碼審計，從業(yè)務邏輯、代碼邏輯、代碼漏洞、數(shù)據(jù)泄露等方面進行篩查、測試、驗證，從而實現(xiàn)代碼層面對互聯(lián)網(wǎng)業(yè)務進行安全防范。

制定安全開發(fā)規(guī)范：在開發(fā)實施初期，西安銀行為提高軟件開發(fā)質(zhì)量，詳實制定團隊各項質(zhì)量保障的規(guī)范，對信息安全提出明確標準與要求。

開展項目安全開發(fā)培訓：對相關(guān)項目開發(fā)人員進行專業(yè)嚴格、系統(tǒng)的程序設計開發(fā)原理與開發(fā)規(guī)范培訓，以提升安全意識與安全管理水準。

進行嚴格代碼審計：針對最新開發(fā)設計的應用系統(tǒng)軟件中可能存在的安全缺陷（漏洞），組織開展嚴格的代碼審計，安全測試人員應用各種技術(shù)和測試策略，來高效的發(fā)現(xiàn)和挖掘這些缺陷。具體而言，應用系統(tǒng)源代碼安全審計服務的實施人員，根據(jù)用戶提供的資料（需要用戶提供與軟件系統(tǒng)相關(guān)的設計文檔、源代碼，以及與開發(fā)人員之間的必要溝通），對其應用系統(tǒng)進行源代碼檢查，預先發(fā)現(xiàn)其中的安全漏洞和具有潛在威脅的地方，提供相應的代碼完善建議，并且根據(jù)用戶應用系統(tǒng)安全現(xiàn)狀提供問題解決方案，同時根據(jù)用戶的需求，有針對性的對用戶系統(tǒng)操作人員、開發(fā)人員和測試人員提供源代碼安全培訓服務。

實踐證明，應用系統(tǒng)源代碼安全審計服務具有重要作用，通過專業(yè)化的源代碼安全檢查，可發(fā)現(xiàn)應用系統(tǒng)現(xiàn)有的和潛在的安全問題，能夠非常有效地防范、降低用戶應用系統(tǒng)所面臨的政治壓力、經(jīng)濟損失和數(shù)據(jù)泄密等安全風險。

（三）建立常態(tài)化IT風險評估機制，實現(xiàn)以定期IT風險專項評估為主向“嵌入式”“觸發(fā)式”評估為主轉(zhuǎn)變，提升風險識別評估的及時性和有效性

當前信息科技已全面融入銀行業(yè)務經(jīng)營的每一個角落，IT風險管理不能僅靠科技部門單打獨斗，也不能依賴科技部門和業(yè)務部門“自己管自己”，需要風險管理部門作為第二道防線發(fā)揮監(jiān)督、制約和協(xié)調(diào)作用，從“另一視角”獨立管控IT風險。為此，作為第二道防線的風險管理部門有必要組建穩(wěn)定的IT 風險評估團隊，梳理重點領(lǐng)域的IT風險點，制定IT風險評估手冊，明確評估方法和標準，建立嵌入流程并能自動觸發(fā)的常態(tài)化IT風險評估機制，從當前以定期IT風險專項評估為主，逐步轉(zhuǎn)變?yōu)橐浴扒度胧健薄ⅰ坝|發(fā)式”評估為主。其中，“嵌入式”評估是指將風險評估流程嵌入新產(chǎn)品、新業(yè)務、新系統(tǒng)的立項、實施、投產(chǎn)和運行環(huán)節(jié)，在事前、事中及時識別風險?！坝|發(fā)式”評估指發(fā)生重大風險事件或風險隱患較大時，立即開展有針對性的風險評估。

（四）建立系統(tǒng)支撐的IT風險監(jiān)測平臺，提高風險預警的敏感性

一是在梳理重點領(lǐng)域各流程環(huán)節(jié)關(guān)鍵風險的基礎上，建立IT風險監(jiān)測系統(tǒng)，整合對接核心系統(tǒng)生產(chǎn)運行、網(wǎng)絡安全、基礎設施、應用系統(tǒng)等相關(guān)數(shù)據(jù)，建立IT風險監(jiān)測平臺，將核心生產(chǎn)系統(tǒng)交易量、交易成功率、主機和開放系統(tǒng)運行情況等系統(tǒng)監(jiān)控和應用監(jiān)控信息納入風險管理部門日常監(jiān)控范圍。二是要科學設定IT關(guān)鍵風險指標體系，對重要系統(tǒng)可用率、災備覆蓋率、監(jiān)控覆蓋率、重大變更成功率等關(guān)鍵風險指標進行持續(xù)監(jiān)測。三是針對大數(shù)據(jù)、人工智能等新技術(shù)應用風險，要積極引入更為先進的安全防御技術(shù)，比如采用深度流量檢測、沙箱技術(shù)、大數(shù)據(jù)綜合流量日志分析等先進技術(shù)管理手段，及時監(jiān)測和識別可疑網(wǎng)絡攻擊，同時部署入侵防御系統(tǒng)、智能終端安全管理系統(tǒng)等，建立各個終端安全防線。四是建立IT 風險報告系統(tǒng)，收集全行IT風險事件，定期向高管層報告IT風險狀況，并對重大IT風險事件開展調(diào)查分析。

近年來，西安銀行積極推進具有體系化的網(wǎng)絡風險監(jiān)測平臺建設，通過區(qū)域化設計網(wǎng)絡結(jié)構(gòu)、部署不同層面的安全監(jiān)測防御設備以及未知威脅感知系統(tǒng)，有效實施網(wǎng)絡數(shù)據(jù)流的控制、過濾及清洗，保證了互聯(lián)網(wǎng)類業(yè)務的安全隔離。

1.區(qū)域化設計網(wǎng)絡結(jié)構(gòu)，制定訪問要求；

2.部署不同層面的安全監(jiān)測防御設備；

3.控制業(yè)務流的訪問條件；

4.部署“未知威脅感知系統(tǒng)”。

（五）優(yōu)化完善IT風險計量方法，提升風險計量的科學性

優(yōu)化系統(tǒng)中斷時間與損失金額的轉(zhuǎn)化標準，借鑒操作風險標準法和高級計量法（主要是損失分布法）的計量原理，優(yōu)化IT風險計量標準和模型?；贗T風險指標、風險評估要點設計評分卡，逐步建立符合IT風險特點的計量方法、標準和模型，提升計量的科學性，擴大計量結(jié)果在經(jīng)濟資本管理領(lǐng)域的應用深度。

（六）前移信息安全事件防控關(guān)口，建立科學的信息風險事件預警模型，提高信息安全監(jiān)測敏感度，增強處置信息系統(tǒng)突發(fā)事件的主動性

信息安全事件防控是一項科學化、系統(tǒng)化工程，包括事前、事中、事后三個階段。隨著信息科技飛速發(fā)展，大數(shù)據(jù)、云計算等新興技術(shù)的廣泛應用，信息安全隱患問題更加隱蔽，信息安全事件傳染性、破壞性更加突出，因而事前檢測預防變得尤為重要。可通過滲透測試、系統(tǒng)級漏洞掃描、流量清洗服務等多種方式，事先發(fā)現(xiàn)信息安全漏洞。

同時，還要注重信息安全事件事后總結(jié)分析，健全信息安全事件分析體系，建立科學的信息風險事件預警模型。一是要制定信息風險損失數(shù)據(jù)收集模板和信息風險事件內(nèi)容模板，建立健全信息風險損失數(shù)據(jù)的收集和報送機制，并通過加強數(shù)據(jù)處理的檢查和考核，提升風險數(shù)據(jù)收集的準確性和完整性，為實施信息風險監(jiān)測和預警提供良好的數(shù)據(jù)支撐。二是建立科學有效的信息風險事件預警模型，通過主成分分析法、貝葉斯網(wǎng)絡法、模糊評價法等分析方法，加強對風險事件的分析，并以“目標”和“過程控制”為導向，針對關(guān)鍵信息風險設置一定的指標和闕值，結(jié)合每年風險變化情況，對指標和闕值進行調(diào)整，以達到實時動態(tài)監(jiān)測預警的目的。

西安銀行在信息安全事件防范中，妥善處理事前、事中、事后三者關(guān)系，將風險防范關(guān)口前移，綜合采取多種檢測預防手段堵塞風險漏洞。

1.事前階段：

設備管理：確保所有服務器、網(wǎng)絡及安全設備的日志保存完整性，確保所有設備的配置保存?zhèn)浞?；部署泰和日志審計系統(tǒng)，實現(xiàn)了統(tǒng)一日志匯總審計功能，并能夠根據(jù)日志級別進行告警。

基線檢查：依托公安部規(guī)定的等級保護測評，就操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡及安全設備的配置方法及規(guī)范等方面對所有業(yè)務系統(tǒng)運行的基礎環(huán)境進行問題排查，確保設置合理規(guī)范，無邏輯或安全隱患。

滲透測試：與有資質(zhì)的安全服務公司簽訂安全服務協(xié)議，其中包含滲透測試服務，滲透測試可以模擬攻擊者的入侵思路與技術(shù)手段。目前主要以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個滲透測試過程都在可以控制范圍之內(nèi)。通過滲透測試可以了解和檢測信息系統(tǒng)安全運營狀況；符合相關(guān)監(jiān)管部門的合規(guī)性要求。

系統(tǒng)級漏洞掃描：定期針對業(yè)務程序所部屬的服務器，在部署完畢程序后，通過專業(yè)的漏洞掃描設備對服務器進行漏掃，從操作系統(tǒng)層面對已知漏洞進行修補，確保業(yè)務上線后操作系統(tǒng)層面的安全性。

流量清洗服務：與互聯(lián)網(wǎng)服務提供商簽訂大流量DDOS清洗服務，以確保在運營商可用的情況下對此類攻擊的防御。

應急預案：根據(jù)目前已知安全事件類型的場景制定信息安全事件預案，并定期開展演練，確保在發(fā)生此類事件后最短時間內(nèi)予以有效處置。

2.事中階段：

發(fā)現(xiàn)安全事件后，第一時間上報領(lǐng)導；根據(jù)應急預案中的場景，按照預案中的操作流程與規(guī)范進行具體處理；聯(lián)系安全服務公司專業(yè)人員進行現(xiàn)場應急；根據(jù)情況聯(lián)系運營商進行流量清洗，進行DDOS攻擊處置；保留入侵訪問的痕跡。

3.事后階段：

記錄事件發(fā)生時間、對相關(guān)系統(tǒng)產(chǎn)生的影響、業(yè)務影響范圍以及持續(xù)時間，總結(jié)事件特征，列入知識庫，為后續(xù)事件防范做案例文檔；根據(jù)APT系統(tǒng)記錄的數(shù)據(jù)進行入侵行為溯源追蹤，根據(jù)實際情況具體處理；編寫事件處理報告，開會討論總結(jié)。

（七）強化IT風險管理的考核與激勵，以考核促管理。

要將IT 風險納入分支行的經(jīng)濟資本計量考核，在計量評分卡中設置IT風險、業(yè)務連續(xù)性管控情況等定性與定量指標，獎優(yōu)懲劣，推動各級行主動加強IT風險防控。同時，還要將核心系統(tǒng)累計中斷時間納入科技部門、相關(guān)業(yè)務部門的綜合績效考核體系，以考核促進管理。