• 盛邦安全
    公司新聞
    讓網(wǎng)絡(luò)空間更有序

    聯(lián)系我們

    *姓名
    *單位
    *電話
    *驗(yàn)證碼
    發(fā)送驗(yàn)證碼
    郵箱
    *需求概述
    當(dāng)前位置: 首頁(yè) > 關(guān)于我們 > 公司動(dòng)態(tài) > 公司新聞
    盛邦觀察丨中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀(3)

    发布日期:2020/06/19文章來源:盛邦安全

     

    盛邦安全在同眾多銀行業(yè)金融機(jī)構(gòu)的溝通和服務(wù)過程中,對(duì)當(dāng)前銀行業(yè)金融機(jī)構(gòu),尤其是中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的現(xiàn)狀有了較深入的了解,本系列文章旨在基于對(duì)中小銀行信息科技風(fēng)險(xiǎn)管理的整體現(xiàn)狀的認(rèn)知,提煉和分享當(dāng)前行業(yè)信息科技風(fēng)險(xiǎn)管理體系建設(shè)的面臨的問題和良好實(shí)踐,以期啟發(fā)更多的行業(yè)思考和討論。

     

    本期討論的主題是中小銀行信息安全管理。金融行業(yè)關(guān)系到國(guó)計(jì)民生,支撐其運(yùn)營(yíng)的重要的信息系統(tǒng)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施,是信息安全重點(diǎn)保護(hù)對(duì)象。由于互聯(lián)網(wǎng)金融的快速發(fā)展,以及來自互聯(lián)網(wǎng)的安全威脅層出不窮,以銀行業(yè)為代表的金融行業(yè)的安全建設(shè)思路開始發(fā)生深刻變化,變化趨勢(shì)和特點(diǎn)有以下幾點(diǎn):

     

    ◆ 監(jiān)管合規(guī)向自身業(yè)務(wù)安全需求導(dǎo)向轉(zhuǎn)變;

    ◆ 安全技術(shù)體系向安全運(yùn)營(yíng)體系轉(zhuǎn)變;

    ◆ 安全防護(hù)能力向攻防對(duì)抗能力轉(zhuǎn)變;

    ◆ 靜態(tài)防護(hù)向動(dòng)態(tài)智能化防護(hù)轉(zhuǎn)變;

    ◆ 邊界防護(hù)向零信任體系轉(zhuǎn)變。

     

    在目前的大趨勢(shì)下,中小銀行業(yè)金融機(jī)構(gòu)總體上處于被動(dòng)應(yīng)對(duì)的狀態(tài),普遍缺乏洞察變化后的主動(dòng)調(diào)整和跟進(jìn),反映在金融企業(yè)內(nèi)部安全建設(shè)上,仍然存在頭痛醫(yī)頭、腳痛醫(yī)腳,整體網(wǎng)絡(luò)安全能力建設(shè)難以適應(yīng)外部環(huán)境變化。網(wǎng)絡(luò)安全團(tuán)隊(duì)和人員,不論是理念意識(shí)、知識(shí)技能,還是實(shí)戰(zhàn)經(jīng)驗(yàn),以及同實(shí)際保障業(yè)務(wù)安全的需求上存在很大差距。

     

    在這樣的背景下,我們重新來回顧《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》(以下簡(jiǎn)稱《指引》)中關(guān)于信息安全管理的監(jiān)管要求,我們會(huì)發(fā)現(xiàn),監(jiān)管層面的底線要求仍然在發(fā)揮著重要的指導(dǎo)作用,我們會(huì)圍繞這些核心監(jiān)管要求,并結(jié)合當(dāng)前中小銀行信息科技安全管理實(shí)操的現(xiàn)狀,分享行業(yè)內(nèi)的一些出色或有效實(shí)踐??紤]到安全部分的管理要求較多,我們本次分享的領(lǐng)域主要包括信息分類保護(hù)和人員意識(shí)、安全管理職能、用戶訪問控制機(jī)制、物理安全保護(hù)區(qū)域、邏輯安全保護(hù)區(qū)域的管控現(xiàn)狀;操作系統(tǒng)和系統(tǒng)軟件安全、信息(業(yè)務(wù))系統(tǒng)安全、日志安全、信息加密、終端設(shè)備安全、數(shù)據(jù)安全、安全意識(shí)部分的內(nèi)容后續(xù)分享。     

      

    一、信息分類保護(hù)和意識(shí)

     

    《指引》第二十條規(guī)定,商業(yè)銀行信息科技部門負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系,商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性,并組織提供必要的培訓(xùn),讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。從目前來看,中小商業(yè)銀行對(duì)于信息分類的管理在逐步重視,制定了信息的分類分級(jí)保護(hù)制度或者策略,但大多數(shù)中小銀行并沒有落地有針對(duì)性的分類管理;比較典型的場(chǎng)景是,目前銀行信息系統(tǒng)每年都要根據(jù)備案的情況開展等保測(cè)評(píng) ,而不管在公安機(jī)關(guān)備案的信息系統(tǒng)是二級(jí)、三級(jí)還是四級(jí),其實(shí)在信息科技安全防護(hù)方面大多并沒有采取差異性的防護(hù)策略,基本都是繼承生產(chǎn)網(wǎng)中統(tǒng)一架構(gòu)的防護(hù)體系。在話術(shù)上,一般都是生產(chǎn)環(huán)境的系統(tǒng)采取基本一致的高級(jí)別的防護(hù)機(jī)制;對(duì)銀行而言,共享了防護(hù)能力,不過也提升了防護(hù)成本。

     

    如果從信息本身的角度來看,目前金融機(jī)構(gòu)生產(chǎn)網(wǎng)中的數(shù)據(jù)在開發(fā)測(cè)試網(wǎng)、辦公網(wǎng)中也被廣泛用來做系統(tǒng)測(cè)試、數(shù)據(jù)分析和建模、監(jiān)管上報(bào)、以及業(yè)務(wù)部門特定業(yè)務(wù)場(chǎng)景的打印和下載;脫離了生產(chǎn)網(wǎng)防護(hù)體系的數(shù)據(jù),普遍面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

     

    針對(duì)信息泄露的風(fēng)險(xiǎn),管控良好的中小銀行對(duì)涉及用戶隱私和交易數(shù)據(jù)采取了數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏、虛擬桌面、終端管控等機(jī)制,較大程度保證數(shù)據(jù)不落地,并對(duì)業(yè)務(wù)部門落實(shí)使用過程中的保密管理要求;對(duì)于涉及客戶信息的保密安全意識(shí)方面,很多銀行采取保密安全意識(shí)培訓(xùn)、在工作場(chǎng)所懸掛保密要求、在電梯內(nèi)和樓梯間播放相關(guān)信息保密宣傳視頻等方式提升信息安全意識(shí)。

     

    二、安全管理職能

     

    《指引》第二十一條規(guī)定,商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能并制定信息安全策略。目前絕大多數(shù)中小商業(yè)銀行的信息科技部門都成立了專門的信息安全團(tuán)隊(duì)承擔(dān)信息安全管理職能,負(fù)責(zé)本行信息安全策略和管制制度制定、安全防控體系建設(shè),組織信息安全風(fēng)險(xiǎn)評(píng)估和日常安全運(yùn)營(yíng)工作;部分領(lǐng)先的中小銀行,建立了主動(dòng)安全攻擊團(tuán)隊(duì),專門負(fù)責(zé)本行業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的漏洞挖掘和修補(bǔ)建議。

     

    從合規(guī)的角度,幾乎所有銀行都制定了安全管理策略和安全管理制度,但普遍存在的問題是安全策略和安全制度的全面性和可實(shí)施性存在不足;根據(jù)我們的觀察和實(shí)踐,總會(huì)找到某些管理環(huán)節(jié)缺乏明確的安全管理要求;總是會(huì)有些安全管理制度停留在紙面,管理規(guī)定的落實(shí)不具備可審計(jì)性。

     

    領(lǐng)先的銀行業(yè)金融機(jī)構(gòu)非常重視信息安全策略和制度的完備性,基于安全是涉及系統(tǒng)全生命周期各個(gè)環(huán)節(jié),涉及信息系統(tǒng)的各個(gè)組成組件,一般比較良好的安全管理制度在制定的時(shí)候,我們發(fā)現(xiàn)都有如下三個(gè)特點(diǎn),一是全面性,既涵蓋信息科技全生命周期的所有管理活動(dòng),又包含信息系統(tǒng)所有組成單元;二是一致性,即針對(duì)某一個(gè)特定管理環(huán)節(jié)或者特定資產(chǎn)組件的安全管理規(guī)定在所有制度中是一致的,沒有歧義和沖突;三是可操作性,所有的管理規(guī)定都是基于可落地的實(shí)操層面的提煉,要么借助技術(shù)手段實(shí)現(xiàn)強(qiáng)制落地;要么通過具體的管理規(guī)定規(guī)范人員操作;不流于形式,管理規(guī)定的落地具備可審計(jì)性。

     

    三、訪問控制機(jī)制

     

    《指引》第二十二條規(guī)定,商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程。對(duì)于當(dāng)下的銀行而言,用戶認(rèn)證機(jī)制和訪問控制機(jī)制都是普遍采取的安全控制機(jī)制,但具體落地和使用場(chǎng)景非常多,也非常復(fù)雜;包括但不限于面向銀行客戶(含對(duì)公客戶和對(duì)私客戶)的用戶認(rèn)證和訪問控制機(jī)制;面向銀行各業(yè)務(wù)部門和業(yè)務(wù)合作伙伴的用戶認(rèn)證和訪問控制;面向銀行內(nèi)部參與信息系統(tǒng)管理人員的用戶認(rèn)證和訪問控制;在具體技術(shù)方面,主要采取的用戶認(rèn)證機(jī)制包括但不限于生物特征認(rèn)證、證書認(rèn)證、動(dòng)態(tài)口令、普通密碼等方式,認(rèn)證強(qiáng)度跟系統(tǒng)的重要性程度和具體訪問場(chǎng)景相關(guān),如重要交易系統(tǒng)的訪問以及通過互聯(lián)網(wǎng)渠道的訪問的場(chǎng)景,通常會(huì)選擇用戶名加證書或者一次性動(dòng)態(tài)口令的方式,認(rèn)證機(jī)制普遍較強(qiáng),同時(shí),面向銀行客戶的認(rèn)證機(jī)制還會(huì)結(jié)合交易反欺詐的檢測(cè)機(jī)制附加一些帶外的認(rèn)證來保證客戶資金安全;而對(duì)于內(nèi)網(wǎng)中的辦公系統(tǒng)大多采用用戶名和口令的方式;對(duì)于本地重要系統(tǒng)或本地重要訪問環(huán)境的訪問,大多會(huì)參與生物識(shí)別的方式;此外,在銀行內(nèi)部訪問控制機(jī)制上采用了包括但不限于堡壘機(jī)、IAM(統(tǒng)一身份和訪問管理)平臺(tái)、網(wǎng)絡(luò)訪問控制、邊界訪問控制、VPN等等。

     

    對(duì)于銀行如此復(fù)雜的用戶認(rèn)證和訪問控制體系,要想沒有一點(diǎn)管理漏洞其實(shí)很難,因?yàn)椴粌H是技術(shù)本身會(huì)有缺陷,而且還涉及人的管理漏洞和意識(shí)漏洞;我們?cè)谝恍﹥?nèi)網(wǎng)的安全評(píng)估項(xiàng)目和滲透測(cè)試服務(wù)過程中,會(huì)經(jīng)常重復(fù)的發(fā)現(xiàn)一些常規(guī)的管理薄弱環(huán)節(jié);例如訪問控制機(jī)制沒有涵蓋所有要管理的信息系統(tǒng)或資產(chǎn);例如密碼/令牌的保管和使用不符合管理要求;網(wǎng)絡(luò)訪問或邊界控制機(jī)制不嚴(yán)格;行內(nèi)/行外系統(tǒng)間功能集成缺乏或安全認(rèn)證機(jī)制薄弱;人員調(diào)崗/離崗/外包人員離場(chǎng)帶來的賬號(hào)變更問題;業(yè)務(wù)系統(tǒng)功能的授權(quán)訪問控制細(xì)粒度不足;非重要信息系統(tǒng)或非重要區(qū)域信息系統(tǒng)的訪問控制機(jī)制薄弱導(dǎo)致的衍生問題等等。

     

    從行業(yè)良好實(shí)踐角度,我們發(fā)現(xiàn)中小銀行在訪問控制機(jī)制方面做的比較優(yōu)秀的機(jī)構(gòu),主要在如下幾方面做了更多的工作:一是集約管理,由統(tǒng)一的安全管理部門牽頭,來制定和落實(shí)全行統(tǒng)一的信息系統(tǒng)訪問控制機(jī)制和標(biāo)準(zhǔn);二是加強(qiáng)信息資產(chǎn)的全面安全治理,梳理建立全行范圍的資產(chǎn)清單,為全面的信息系統(tǒng)訪問控制打好基礎(chǔ),保證沒有遺漏以及未納入管理體系的資產(chǎn);三是不斷積累問題場(chǎng)景采取技術(shù)化手段來發(fā)現(xiàn)和解決管理問題,例如最近在行業(yè)內(nèi)興起網(wǎng)絡(luò)空間資產(chǎn)自動(dòng)探測(cè)和發(fā)現(xiàn)工具、訪問控制設(shè)備策略梳理工具、以及基于內(nèi)外部用戶行為模式發(fā)現(xiàn)潛在惡意登錄和操作行為的工具;四是借助內(nèi)外部資源,加強(qiáng)檢查和評(píng)估,查漏補(bǔ)缺。

     

    四、物理安全保護(hù)區(qū)域

     

    《指引》第二十三條規(guī)定,商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域,包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放置網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域,明確相應(yīng)的職責(zé),采取必要的預(yù)防、檢測(cè)和恢復(fù)控制措施。

     

    從我們的觀察來看,目前商業(yè)銀行在數(shù)據(jù)中心的建設(shè)的投入和防護(hù)方面是優(yōu)秀的行業(yè)之一。普遍建立了滿足A類機(jī)房標(biāo)準(zhǔn)的數(shù)據(jù)中心,各種硬件設(shè)施以及機(jī)房配套設(shè)施都很完備;區(qū)域劃分基本合理;建立了專業(yè)的數(shù)據(jù)中心運(yùn)維管理團(tuán)隊(duì),一般都建立了7*24小時(shí)的值班和巡檢機(jī)制,數(shù)據(jù)機(jī)房的物理訪問控制一般都很嚴(yán)格。

     

    對(duì)于中小銀行業(yè)金融機(jī)構(gòu),目前普遍存在的問題是“兩地三中心”的數(shù)據(jù)中心架構(gòu)中,主機(jī)房條件較好管控較嚴(yán),而同城或異地的備份數(shù)據(jù)中心管控相對(duì)要松一些;例如,同城災(zāi)備機(jī)房和異地機(jī)房往往沒有做良好的區(qū)域劃分;也做不到了7*24小時(shí)的值班和巡檢機(jī)制。在監(jiān)管推動(dòng)重視業(yè)務(wù)連續(xù)性管理以及多活數(shù)據(jù)中心技術(shù)的成熟應(yīng)用的背景下,每個(gè)數(shù)據(jù)中心都同時(shí)承擔(dān)了生產(chǎn)的重任,能否做到“一視同仁”對(duì)于中小銀行是個(gè)不小的投入。

     

    五、邏輯安全域

     

    《指引》第二十四條規(guī)定,商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。目前中小銀行的網(wǎng)絡(luò)普遍分為生產(chǎn)網(wǎng)、開發(fā)測(cè)試網(wǎng)和辦公網(wǎng)等獨(dú)立或者邏輯隔離的網(wǎng)段;其中生產(chǎn)網(wǎng)比較典型的邏輯安全域劃分一般包括互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、分支機(jī)構(gòu)互聯(lián)區(qū)、核心業(yè)務(wù)區(qū)、非核心業(yè)務(wù)區(qū)、外聯(lián)業(yè)務(wù)區(qū)、運(yùn)維管理區(qū)、核心交換區(qū)、災(zāi)備系統(tǒng)接入?yún)^(qū)等;

     

    從網(wǎng)絡(luò)隔離控制的角度,目前大多數(shù)銀行的生產(chǎn)網(wǎng)和開發(fā)測(cè)試網(wǎng)以及辦公網(wǎng)大多通過防火墻或網(wǎng)閘進(jìn)行邏輯隔離,也有些銀行把生產(chǎn)網(wǎng)同其他網(wǎng)絡(luò)做了物理隔離或者準(zhǔn)物理隔離;生產(chǎn)網(wǎng)段,各個(gè)區(qū)域邊界普遍采取網(wǎng)絡(luò)防火墻做邏輯隔離,各個(gè)區(qū)域一般會(huì)部署網(wǎng)絡(luò)入侵防護(hù)系統(tǒng);互聯(lián)網(wǎng)業(yè)務(wù)區(qū)一般會(huì)采取負(fù)載均衡、邊界防火墻、入侵防護(hù)、流量清洗、WEB應(yīng)用防火墻等傳統(tǒng)訪問控制機(jī)制進(jìn)行重點(diǎn)防控;目前也有很多銀行在互聯(lián)網(wǎng)網(wǎng)關(guān)部署威脅情報(bào)檢測(cè)和阻斷機(jī)制。考慮到生產(chǎn)網(wǎng)系統(tǒng)復(fù)雜多樣,大多數(shù)銀行在核心交換上很少配置訪問控制策略(ACL)。此外在網(wǎng)絡(luò)安全攻擊檢測(cè)方面,普遍采取基于流量分析的監(jiān)測(cè)和預(yù)警機(jī)制,在互聯(lián)網(wǎng)業(yè)務(wù)區(qū),部署網(wǎng)絡(luò)誘捕系統(tǒng)(蜜罐)也是一個(gè)趨勢(shì)。

     

    我們觀察到,銀行生產(chǎn)網(wǎng)絡(luò)的邏輯安全域的防護(hù)和監(jiān)測(cè)機(jī)制手段總體比較豐富,面向互聯(lián)網(wǎng)區(qū)的防護(hù)體系是重中之重;相比較而言,開發(fā)測(cè)試網(wǎng)和辦公網(wǎng)的防護(hù)相對(duì)薄弱,尤其在開發(fā)測(cè)試網(wǎng)和辦公網(wǎng)同生產(chǎn)網(wǎng)數(shù)據(jù)交互的大背景下,間接對(duì)生產(chǎn)網(wǎng)的防護(hù)帶來了壓力??紤]到銀行業(yè)務(wù)的不斷發(fā)展,對(duì)信息科技的依賴越來越大,外包和項(xiàng)目人員持續(xù)增加,對(duì)辦公測(cè)試網(wǎng)絡(luò)的訪問需求越來越復(fù)雜,來自于該區(qū)域的敏感信息泄漏以及通過開發(fā)測(cè)試辦公網(wǎng)作為跳板來攻擊生產(chǎn)網(wǎng)的可能性越來越大。

     

    領(lǐng)先的中小銀行認(rèn)識(shí)到當(dāng)前來自非生產(chǎn)網(wǎng)帶來的敏感信息泄漏可能造成的影響和危害,推動(dòng)全行統(tǒng)一網(wǎng)絡(luò)管控策略,加強(qiáng)辦公測(cè)試網(wǎng)絡(luò)敏感信息的保護(hù),尤其加強(qiáng)來自各分支機(jī)構(gòu)以及外包單位和個(gè)人對(duì)開發(fā)測(cè)試辦公網(wǎng)絡(luò)的訪問控制,對(duì)于因業(yè)務(wù)需要而進(jìn)入辦公測(cè)試網(wǎng)絡(luò)的非脫敏生產(chǎn)數(shù)據(jù)以及相關(guān)服務(wù)器尤其加強(qiáng)管控,嚴(yán)格網(wǎng)絡(luò)訪問控制,確保存儲(chǔ)敏感數(shù)據(jù)的辦公和測(cè)試服務(wù)器不遭受非授權(quán)訪問。同時(shí)加強(qiáng)辦公和測(cè)試網(wǎng)的補(bǔ)丁和漏洞管理,防止通過網(wǎng)絡(luò)攻擊獲取敏感信息。加強(qiáng)針對(duì)部門級(jí)信息服務(wù)站點(diǎn)的管控機(jī)制,禁止部門或個(gè)人在辦公測(cè)試網(wǎng)絡(luò)中私搭亂建非授權(quán)的站點(diǎn);對(duì)辦公網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行普查和備案,確保辦公測(cè)試網(wǎng)絡(luò)中的資產(chǎn)得到充足的識(shí)別和防護(hù)。此外一些基于生產(chǎn)網(wǎng)的一些防控機(jī)制也適當(dāng)在生產(chǎn)開發(fā)測(cè)試網(wǎng)進(jìn)行應(yīng)用,例如監(jiān)測(cè)檢測(cè)類機(jī)制和手段。

     

    安全部分的現(xiàn)狀觀察未完待續(xù),我們下期會(huì)分享中小銀行信息(業(yè)務(wù))系統(tǒng)安全、日志安全、信息加密、終端設(shè)備安全、數(shù)據(jù)安全、安全意識(shí)部分的現(xiàn)狀觀察。

     

    本文內(nèi)容來自盛邦安全對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的觀察與調(diào)研,難免管中窺豹,其中不全面或不當(dāng)之處歡迎大家交流指正,也請(qǐng)各位不要對(duì)號(hào)入座。針對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀觀察的系列文章將陸續(xù)發(fā)布,敬請(qǐng)期待。

    申請(qǐng)下載

    *姓名
    *單位
    *電話
    *驗(yàn)證碼
    發(fā)送驗(yàn)證碼
    郵箱
    *需求概述

    項(xiàng)目咨詢

    *姓名
    *單位
    *電話
    *驗(yàn)證碼
    發(fā)送驗(yàn)證碼
    *您感興趣的產(chǎn)品
    項(xiàng)目規(guī)格
    *需求概述
    *所在地
    *意向行業(yè)
    +