联系我们
发布日期:2020/06/19文章来源:盛邦安全
盛邦安全在同众多银行业金融机构的沟通和服务过程中,对当前银行业金融机构,尤其是中小银行业金融机构信息科技风险管理的现状有了较深入的了解,本系列文章旨在基于对中小银行信息科技风险管理的整体现状的认知,提炼和分享当前行业信息科技风险管理体系建设的面临的问题和良好实践,以期启发更多的行业思考和讨论。
本期讨论的主题是中小银行信息安全管理。金融行业关系到国计民生,支撑其运营的重要的信息系统是国家关键基础设施,是信息安全重点保护对象。由于互联网金融的快速发展,以及来自互联网的安全威胁层出不穷,以银行业为代表的金融行业的安全建设思路开始发生深刻变化,变化趋势和特点有以下几点:
◆ 监管合规向自身业务安全需求导向转变;
◆ 安全技术体系向安全运营体系转变;
◆ 安全防护能力向攻防对抗能力转变;
◆ 静态防护向动态智能化防护转变;
◆ 边界防护向零信任体系转变。
在目前的大趋势下,中小银行业金融机构总体上处于被动应对的状态,普遍缺乏洞察变化后的主动调整和跟进,反映在金融企业内部安全建设上,仍然存在头痛医头、脚痛医脚,整体网络安全能力建设难以适应外部环境变化。网络安全团队和人员,不论是理念意识、知识技能,还是实战经验,以及同实际保障业务安全的需求上存在很大差距。
在这样的背景下,我们重新来回顾《商业银行信息科技风险管理指引》(以下简称《指引》)中关于信息安全管理的监管要求,我们会发现,监管层面的底线要求仍然在发挥着重要的指导作用,我们会围绕这些核心监管要求,并结合当前中小银行信息科技安全管理实操的现状,分享行业内的一些出色或有效实践。考虑到安全部分的管理要求较多,我们本次分享的领域主要包括信息分类保护和人员意识、安全管理职能、用户访问控制机制、物理安全保护区域、逻辑安全保护区域的管控现状;操作系统和系统软件安全、信息(业务)系统安全、日志安全、信息加密、终端设备安全、数据安全、安全意识部分的内容后续分享。
一、信息分类保护和意识
《指引》第二十条规定,商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。从目前来看,中小商业银行对于信息分类的管理在逐步重视,制定了信息的分类分级保护制度或者策略,但大多数中小银行并没有落地有针对性的分类管理;比较典型的场景是,目前银行信息系统每年都要根据备案的情况开展等保测评 ,而不管在公安机关备案的信息系统是二级、三级还是四级,其实在信息科技安全防护方面大多并没有采取差异性的防护策略,基本都是继承生产网中统一架构的防护体系。在话术上,一般都是生产环境的系统采取基本一致的高级别的防护机制;对银行而言,共享了防护能力,不过也提升了防护成本。
如果从信息本身的角度来看,目前金融机构生产网中的数据在开发测试网、办公网中也被广泛用来做系统测试、数据分析和建模、监管上报、以及业务部门特定业务场景的打印和下载;脱离了生产网防护体系的数据,普遍面临数据泄露的风险。
针对信息泄露的风险,管控良好的中小银行对涉及用户隐私和交易数据采取了数据脱敏、数据防泄漏、虚拟桌面、终端管控等机制,较大程度保证数据不落地,并对业务部门落实使用过程中的保密管理要求;对于涉及客户信息的保密安全意识方面,很多银行采取保密安全意识培训、在工作场所悬挂保密要求、在电梯内和楼梯间播放相关信息保密宣传视频等方式提升信息安全意识。
二、安全管理职能
《指引》第二十一条规定,商业银行信息科技部门应落实信息安全管理职能并制定信息安全策略。目前绝大多数中小商业银行的信息科技部门都成立了专门的信息安全团队承担信息安全管理职能,负责本行信息安全策略和管制制度制定、安全防控体系建设,组织信息安全风险评估和日常安全运营工作;部分领先的中小银行,建立了主动安全攻击团队,专门负责本行业务系统和网络的漏洞挖掘和修补建议。
从合规的角度,几乎所有银行都制定了安全管理策略和安全管理制度,但普遍存在的问题是安全策略和安全制度的全面性和可实施性存在不足;根据我们的观察和实践,总会找到某些管理环节缺乏明确的安全管理要求;总是会有些安全管理制度停留在纸面,管理规定的落实不具备可审计性。
领先的银行业金融机构非常重视信息安全策略和制度的完备性,基于安全是涉及系统全生命周期各个环节,涉及信息系统的各个组成组件,一般比较良好的安全管理制度在制定的时候,我们发现都有如下三个特点,一是全面性,既涵盖信息科技全生命周期的所有管理活动,又包含信息系统所有组成单元;二是一致性,即针对某一个特定管理环节或者特定资产组件的安全管理规定在所有制度中是一致的,没有歧义和冲突;三是可操作性,所有的管理规定都是基于可落地的实操层面的提炼,要么借助技术手段实现强制落地;要么通过具体的管理规定规范人员操作;不流于形式,管理规定的落地具备可审计性。
三、访问控制机制
《指引》第二十二条规定,商业银行应建立有效管理用户认证和访问控制的流程。对于当下的银行而言,用户认证机制和访问控制机制都是普遍采取的安全控制机制,但具体落地和使用场景非常多,也非常复杂;包括但不限于面向银行客户(含对公客户和对私客户)的用户认证和访问控制机制;面向银行各业务部门和业务合作伙伴的用户认证和访问控制;面向银行内部参与信息系统管理人员的用户认证和访问控制;在具体技术方面,主要采取的用户认证机制包括但不限于生物特征认证、证书认证、动态口令、普通密码等方式,认证强度跟系统的重要性程度和具体访问场景相关,如重要交易系统的访问以及通过互联网渠道的访问的场景,通常会选择用户名加证书或者一次性动态口令的方式,认证机制普遍较强,同时,面向银行客户的认证机制还会结合交易反欺诈的检测机制附加一些带外的认证来保证客户资金安全;而对于内网中的办公系统大多采用用户名和口令的方式;对于本地重要系统或本地重要访问环境的访问,大多会参与生物识别的方式;此外,在银行内部访问控制机制上采用了包括但不限于堡垒机、IAM(统一身份和访问管理)平台、网络访问控制、边界访问控制、VPN等等。
对于银行如此复杂的用户认证和访问控制体系,要想没有一点管理漏洞其实很难,因为不仅是技术本身会有缺陷,而且还涉及人的管理漏洞和意识漏洞;我们在一些内网的安全评估项目和渗透测试服务过程中,会经常重复的发现一些常规的管理薄弱环节;例如访问控制机制没有涵盖所有要管理的信息系统或资产;例如密码/令牌的保管和使用不符合管理要求;网络访问或边界控制机制不严格;行内/行外系统间功能集成缺乏或安全认证机制薄弱;人员调岗/离岗/外包人员离场带来的账号变更问题;业务系统功能的授权访问控制细粒度不足;非重要信息系统或非重要区域信息系统的访问控制机制薄弱导致的衍生问题等等。
从行业良好实践角度,我们发现中小银行在访问控制机制方面做的比较优秀的机构,主要在如下几方面做了更多的工作:一是集约管理,由统一的安全管理部门牵头,来制定和落实全行统一的信息系统访问控制机制和标准;二是加强信息资产的全面安全治理,梳理建立全行范围的资产清单,为全面的信息系统访问控制打好基础,保证没有遗漏以及未纳入管理体系的资产;三是不断积累问题场景采取技术化手段来发现和解决管理问题,例如最近在行业内兴起网络空间资产自动探测和发现工具、访问控制设备策略梳理工具、以及基于内外部用户行为模式发现潜在恶意登录和操作行为的工具;四是借助内外部资源,加强检查和评估,查漏补缺。
四、物理安全保护区域
《指引》第二十三条规定,商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
从我们的观察来看,目前商业银行在数据中心的建设的投入和防护方面是优秀的行业之一。普遍建立了满足A类机房标准的数据中心,各种硬件设施以及机房配套设施都很完备;区域划分基本合理;建立了专业的数据中心运维管理团队,一般都建立了7*24小时的值班和巡检机制,数据机房的物理访问控制一般都很严格。
对于中小银行业金融机构,目前普遍存在的问题是“两地三中心”的数据中心架构中,主机房条件较好管控较严,而同城或异地的备份数据中心管控相对要松一些;例如,同城灾备机房和异地机房往往没有做良好的区域划分;也做不到了7*24小时的值班和巡检机制。在监管推动重视业务连续性管理以及多活数据中心技术的成熟应用的背景下,每个数据中心都同时承担了生产的重任,能否做到“一视同仁”对于中小银行是个不小的投入。
五、逻辑安全域
《指引》第二十四条规定,商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域。目前中小银行的网络普遍分为生产网、开发测试网和办公网等独立或者逻辑隔离的网段;其中生产网比较典型的逻辑安全域划分一般包括互联网业务区、分支机构互联区、核心业务区、非核心业务区、外联业务区、运维管理区、核心交换区、灾备系统接入区等;
从网络隔离控制的角度,目前大多数银行的生产网和开发测试网以及办公网大多通过防火墙或网闸进行逻辑隔离,也有些银行把生产网同其他网络做了物理隔离或者准物理隔离;生产网段,各个区域边界普遍采取网络防火墙做逻辑隔离,各个区域一般会部署网络入侵防护系统;互联网业务区一般会采取负载均衡、边界防火墙、入侵防护、流量清洗、WEB应用防火墙等传统访问控制机制进行重点防控;目前也有很多银行在互联网网关部署威胁情报检测和阻断机制。考虑到生产网系统复杂多样,大多数银行在核心交换上很少配置访问控制策略(ACL)。此外在网络安全攻击检测方面,普遍采取基于流量分析的监测和预警机制,在互联网业务区,部署网络诱捕系统(蜜罐)也是一个趋势。
我们观察到,银行生产网络的逻辑安全域的防护和监测机制手段总体比较丰富,面向互联网区的防护体系是重中之重;相比较而言,开发测试网和办公网的防护相对薄弱,尤其在开发测试网和办公网同生产网数据交互的大背景下,间接对生产网的防护带来了压力。考虑到银行业务的不断发展,对信息科技的依赖越来越大,外包和项目人员持续增加,对办公测试网络的访问需求越来越复杂,来自于该区域的敏感信息泄漏以及通过开发测试办公网作为跳板来攻击生产网的可能性越来越大。
领先的中小银行认识到当前来自非生产网带来的敏感信息泄漏可能造成的影响和危害,推动全行统一网络管控策略,加强办公测试网络敏感信息的保护,尤其加强来自各分支机构以及外包单位和个人对开发测试办公网络的访问控制,对于因业务需要而进入办公测试网络的非脱敏生产数据以及相关服务器尤其加强管控,严格网络访问控制,确保存储敏感数据的办公和测试服务器不遭受非授权访问。同时加强办公和测试网的补丁和漏洞管理,防止通过网络攻击获取敏感信息。加强针对部门级信息服务站点的管控机制,禁止部门或个人在办公测试网络中私搭乱建非授权的站点;对办公网络中的资产进行普查和备案,确保办公测试网络中的资产得到充足的识别和防护。此外一些基于生产网的一些防控机制也适当在生产开发测试网进行应用,例如监测检测类机制和手段。
安全部分的现状观察未完待续,我们下期会分享中小银行信息(业务)系统安全、日志安全、信息加密、终端设备安全、数据安全、安全意识部分的现状观察。
本文内容来自盛邦安全对中小金融机构信息科技风险管理现状的观察与调研,难免管中窥豹,其中不全面或不当之处欢迎大家交流指正,也请各位不要对号入座。针对中小金融机构信息科技风险管理现状观察的系列文章将陆续发布,敬请期待。