孫風(fēng)超，呂晶璐

（1.山東大學(xué)，青島 266237；2.青島農(nóng)商銀行，青島 266520）

《2017中國電子銀行調(diào)查研究報(bào)告》數(shù)據(jù)顯示，在地級(jí)以上城市13歲及以上常住人口中，個(gè)人網(wǎng)上銀行用戶比例為51%，企業(yè)網(wǎng)上銀行用戶比例為79%，網(wǎng)上銀行已逐漸成為各銀行拓展服務(wù)渠道、提升服務(wù)水平、促進(jìn)服務(wù)轉(zhuǎn)型的重要舉措。在網(wǎng)上銀行業(yè)務(wù)快速發(fā)展的同時(shí)，中國人民銀行不斷推進(jìn)金融業(yè)信息安全等級(jí)保護(hù)工作，各銀行也充分認(rèn)識(shí)到互聯(lián)網(wǎng)環(huán)境下網(wǎng)上銀行所面臨的安全形勢(shì)，通過推進(jìn)網(wǎng)上銀行系統(tǒng)定級(jí)、明確網(wǎng)上銀行風(fēng)險(xiǎn)管控理念、梳理網(wǎng)上銀行信息安全管理體系、開展內(nèi)部審計(jì)與外部評(píng)估等各項(xiàng)工作，漸進(jìn)式地將系統(tǒng)等級(jí)保護(hù)思想融入到信息安全體系建設(shè)和管理的實(shí)際工作中，以逐步提升網(wǎng)銀系統(tǒng)的風(fēng)險(xiǎn)防護(hù)能力，確保網(wǎng)銀系統(tǒng)的安全穩(wěn)健運(yùn)行。

1 網(wǎng)上銀行安全風(fēng)險(xiǎn)管控

1.1 網(wǎng)上銀行安全風(fēng)險(xiǎn)

根據(jù)《網(wǎng)上銀行安全風(fēng)險(xiǎn)管理指引》定義，網(wǎng)上銀行安全風(fēng)險(xiǎn)是指“商業(yè)銀行在網(wǎng)上銀行的業(yè)務(wù)經(jīng)營和管理過程中，由于環(huán)境因素、人員原因、安全漏洞和流程缺陷導(dǎo)致的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)”[1]。盡管各銀行不斷加強(qiáng)網(wǎng)上銀行安全保障工作，但自2012年以來仍發(fā)生多起因基礎(chǔ)設(shè)施建設(shè)、運(yùn)行維護(hù)管理、軟硬件故障等原因?qū)е碌木W(wǎng)上銀行業(yè)務(wù)中斷事件，部分安全事件如表1所示。

表1 自2012年以來國內(nèi)銀行發(fā)生的部分網(wǎng)上銀行安全事件

從網(wǎng)上銀行安全風(fēng)險(xiǎn)定義及上述安全事件可以看出，影響網(wǎng)銀安全的威脅和脆弱點(diǎn)存在于內(nèi)控管理、產(chǎn)品研發(fā)、業(yè)務(wù)運(yùn)營、系統(tǒng)運(yùn)維、信息安全保障等多個(gè)環(huán)節(jié)，因此，各銀行需牢固樹立“要?jiǎng)?chuàng)新、更要安全”的經(jīng)營管理理念，盡快建立與網(wǎng)上銀行安全風(fēng)險(xiǎn)管理相適應(yīng)的組織架構(gòu)，健全網(wǎng)上銀行安全風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)機(jī)制，定期對(duì)網(wǎng)銀安全事件進(jìn)行回顧分析，剖析欺詐過程、識(shí)別典型特征，分析自身業(yè)務(wù)及現(xiàn)有控制措施的弱點(diǎn)，積極改進(jìn)控制措施，同時(shí)，根據(jù)監(jiān)管部門要求、網(wǎng)銀安全動(dòng)向以及內(nèi)外部環(huán)境的變化情況，通過自我檢查、內(nèi)部審計(jì)、外部評(píng)估等手段，及時(shí)掌控網(wǎng)銀安全風(fēng)險(xiǎn)變化情況，驗(yàn)證已有控制措施有效性，制定系統(tǒng)加固方案并進(jìn)行優(yōu)化完善[1]。

1.2 網(wǎng)上銀行安全風(fēng)險(xiǎn)管控

安全風(fēng)險(xiǎn)就如漂浮在海面上的冰山，一個(gè)安全問題暴露出來，必定有眾多的安全隱患掩蓋于其下。鑒于網(wǎng)上銀行是一個(gè)涉及眾多應(yīng)用系統(tǒng)、用戶對(duì)象、敏感數(shù)據(jù)與主管部門的復(fù)雜系統(tǒng)，人民銀行、銀監(jiān)會(huì)等主管部門正逐步強(qiáng)化銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管工作，完善信息科技風(fēng)險(xiǎn)尤其是網(wǎng)上銀行安全風(fēng)險(xiǎn)的監(jiān)測(cè)和預(yù)警，并相繼出臺(tái)了《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》（JR/T0044-2008）、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（銀監(jiān)辦發(fā)〔2009〕19號(hào)）、《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)的指導(dǎo)意見》（銀發(fā)〔2012〕163 號(hào)）、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（JR/T 0068-2012）、《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》（銀監(jiān)辦發(fā)〔2013〕5號(hào)）、《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見 》（銀監(jiān)辦發(fā)〔2014〕39號(hào)）等一系列的技術(shù)標(biāo)準(zhǔn)與法規(guī)文件，不斷引導(dǎo)各銀行強(qiáng)化信息科技風(fēng)險(xiǎn)評(píng)估，提高風(fēng)險(xiǎn)敏感性，增強(qiáng)對(duì)風(fēng)險(xiǎn)趨勢(shì)的把控能力。各銀行應(yīng)依據(jù)相關(guān)的技術(shù)標(biāo)準(zhǔn)與法律法規(guī)，結(jié)合自身業(yè)務(wù)特點(diǎn)和內(nèi)部管理需要，認(rèn)真梳理網(wǎng)上銀行安全所涉及的信息資產(chǎn)管理、物理環(huán)境安全、主機(jī)系統(tǒng)安全、網(wǎng)絡(luò)環(huán)境安全、應(yīng)用研發(fā)安全等12個(gè)方面[2]，科學(xué)制定風(fēng)險(xiǎn)偏好模型和評(píng)價(jià)指標(biāo)，并根據(jù)網(wǎng)上銀行業(yè)務(wù)和技術(shù)的變化情況適時(shí)修訂和完善，確保網(wǎng)上銀行的安全防護(hù)能力，其安全風(fēng)險(xiǎn)管理體系如圖1所示。

圖1 網(wǎng)上銀行安全風(fēng)險(xiǎn)管理體系

2 網(wǎng)上銀行安全風(fēng)險(xiǎn)評(píng)估

2.1 安全風(fēng)險(xiǎn)評(píng)估原則

安全風(fēng)險(xiǎn)評(píng)估作為等級(jí)保護(hù)的首要和必要組成部分，是全面風(fēng)險(xiǎn)管理的基礎(chǔ)，可以幫助深入了解和衡量信息安全管理體系的整體情況，明確其各組成部分的風(fēng)險(xiǎn)級(jí)別，從而制定更有效的安全策略。專業(yè)的安全風(fēng)險(xiǎn)評(píng)估應(yīng)遵循“科學(xué)規(guī)劃、規(guī)范操作、測(cè)試充分、影響最小”等原則，綜合使用問卷調(diào)查、人員訪談、現(xiàn)場(chǎng)走查、文檔審查、制度建設(shè)、漏洞掃描、登錄查看、截包分析、現(xiàn)場(chǎng)滲透性測(cè)試與遠(yuǎn)程滲透性驗(yàn)證等多種檢測(cè)手段，科學(xué)選取覆蓋各維度的測(cè)試評(píng)估用例，盡可能發(fā)現(xiàn)網(wǎng)上銀行在安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全、客戶保護(hù)等方面存在的安全隱患，同時(shí)，對(duì)前期未達(dá)到預(yù)期控制目標(biāo)或者衍生出新風(fēng)險(xiǎn)的控制措施，以及已經(jīng)接受的安全風(fēng)險(xiǎn)，應(yīng)適時(shí)重啟評(píng)估流程[3]。

2.2 網(wǎng)上銀行安全風(fēng)險(xiǎn)評(píng)估

網(wǎng)上銀行安全涉及信息科技、業(yè)務(wù)條線、內(nèi)部審計(jì)等多個(gè)部門，各部門需明確職責(zé)分工并進(jìn)行歸口管理，其中，信息科技部門作為網(wǎng)上銀行信息系統(tǒng)開發(fā)測(cè)試、運(yùn)行維護(hù)的主管部門，除常規(guī)的系統(tǒng)開發(fā)工作外，更需要積極關(guān)注網(wǎng)銀安全風(fēng)險(xiǎn)新動(dòng)向，及時(shí)快速處置各類突發(fā)事件，定期組織信息系統(tǒng)的安全評(píng)估，全面提升網(wǎng)上銀行系統(tǒng)的信息安全防范能力?？紤]到網(wǎng)上銀行安全風(fēng)險(xiǎn)評(píng)估涉及到網(wǎng)上銀行各方面，下面僅以網(wǎng)上銀行信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估內(nèi)容（如圖2）為例，講解安全風(fēng)險(xiǎn)評(píng)估的主要流程。

圖2 網(wǎng)上銀行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容

2.2.1 現(xiàn)場(chǎng)檢測(cè)階段安全評(píng)估

該階段主要是按照評(píng)估方案對(duì)信息資產(chǎn)、系統(tǒng)建設(shè)、生產(chǎn)部署等方面進(jìn)行審查，其中，信息資產(chǎn)主要檢查源碼版本管理歷史追溯性、開發(fā)測(cè)試文檔全面規(guī)范性、資產(chǎn)信息統(tǒng)計(jì)真實(shí)準(zhǔn)確性以及系統(tǒng)運(yùn)維體系科學(xué)有效性，系統(tǒng)建設(shè)主要檢查系統(tǒng)架構(gòu)設(shè)計(jì)合理性、業(yè)務(wù)需求管理有效性、程序開發(fā)測(cè)試規(guī)范性、安全控制措施完備性、變更發(fā)布流程實(shí)用性等，生產(chǎn)環(huán)境主要審查物理環(huán)境可靠性、生產(chǎn)設(shè)備可用性、服務(wù)配置合理性、數(shù)據(jù)保護(hù)科學(xué)性等。通過現(xiàn)場(chǎng)檢測(cè)，發(fā)現(xiàn)其中存在的問題和隱患，量化評(píng)估風(fēng)險(xiǎn)等級(jí)，全面了解網(wǎng)上銀行信息系統(tǒng)建設(shè)和運(yùn)維情況。

2.2.2 遠(yuǎn)程滲透階段安全評(píng)估

滲透測(cè)試作為安全評(píng)估的重要組成部分，通過利用Nmap、Nessus、AWVS等工具，結(jié)合使用Fuzzing測(cè)試、內(nèi)存暴力搜索、接口逆向等攻擊方法，發(fā)現(xiàn)并驗(yàn)證其存在的敏感信息泄露、SQL注入、跨站腳本漏洞等安全隱患，進(jìn)而制定安全加固建議，從而提高系統(tǒng)整體的抗風(fēng)險(xiǎn)水平[4]。滲透測(cè)試分為前期交互（確定滲透測(cè)試計(jì)劃）、信息收集（了解系統(tǒng)建設(shè)運(yùn)維情況）、威脅建模（標(biāo)識(shí)目標(biāo)系統(tǒng)潛在漏洞）、漏洞分析（根據(jù)漏洞確定攻擊計(jì)劃）、滲透攻擊（根據(jù)計(jì)劃攻擊漏洞）、后滲透攻擊（提升權(quán)限深度攻擊）、輸出報(bào)告（列明成果提出建議）等7個(gè)階段。遠(yuǎn)程滲透測(cè)試的檢測(cè)內(nèi)容主要包括拒絕服務(wù)測(cè)試、客戶端登錄認(rèn)證機(jī)制測(cè)試、會(huì)話管理測(cè)試、業(yè)務(wù)邏輯測(cè)試、數(shù)據(jù)有效性驗(yàn)證、敏感信息泄露等[5]。網(wǎng)上銀行信息系統(tǒng)較為常見的脆弱性列表如表2所示。

3 結(jié)束語

伴隨著網(wǎng)上銀行業(yè)務(wù)的快速發(fā)展和信息技術(shù)的不斷進(jìn)步，網(wǎng)上銀行風(fēng)險(xiǎn)事件逐步呈現(xiàn)出“攻擊手段多變、事前預(yù)防困難、輿情擴(kuò)散快速、信譽(yù)重建漫長、責(zé)任界定復(fù)雜”等特點(diǎn)，因此，人民銀行、銀監(jiān)會(huì)等監(jiān)管部門和各銀行應(yīng)盡快樹立和培養(yǎng)信息科技風(fēng)險(xiǎn)意識(shí)，根據(jù)“監(jiān)管約束、市場(chǎng)激勵(lì)、信息共享、積極防御”的方針，明晰風(fēng)險(xiǎn)管理策略、建立風(fēng)險(xiǎn)分析模型、完善風(fēng)險(xiǎn)控制流程，全面提升網(wǎng)上銀行風(fēng)險(xiǎn)防控水平，確?！皹I(yè)務(wù)不停、網(wǎng)絡(luò)不斷、數(shù)據(jù)不丟”，實(shí)現(xiàn)網(wǎng)上銀行業(yè)務(wù)的健康有序發(fā)展。

表2 部分常見脆弱性列表