联系我们
发布日期:2020/09/03文章来源:盛邦安全
盛邦安全在同众多银行业金融机构的沟通和服务过程中,对当前银行业金融机构,尤其是中小银行业金融机构信息科技风险管理的现状有了较深入的了解,本系列文章旨在基于对中小银行信息科技风险管理的整体现状的认知,提炼和分享当前行业信息科技风险管理体系建设的面临的问题和良好实践,以期启发更多的行业思考和讨论。
本期继续讨论中小银行信息安全管理。之前两期观察提到,金融行业关系到国计民生,支撑其运营的重要的信息系统是国家关键基础设施,是信息安全重点保护对象。由于互联网金融的快速发展,以及来自互联网的安全威胁层出不穷,以银行业为代表的金融行业的安全建设思路开始发生深刻变化,主要有以下几个趋势和特点:
◆ 监管合规向自身业务安全需求导向转变;
◆ 安全技术体系向安全运营体系转变;
◆ 安全防护能力向攻防对抗能力转变;
◆ 静态防护向动态智能化防护转变;
◆ 边界防护向零信任体系转变。
在目前的大趋势下,中小银行业金融机构总体上处于被动应对的状态,普遍缺乏洞察变化后的主动调整和跟进,反映在金融企业内部安全建设上,仍然存在头痛医头、脚痛医脚,整体网络安全能力建设难以适应外部环境变化。网络安全团队和人员,不论是理念意识、知识技能,还是实战经验,以及同实际保障业务安全的需求上存在很大差距。
在这样的背景下,当回顾《商业银行信息科技风险管理指引》(以下简称《指引》)中关于信息安全管理的监管要求时,我们会发现,监管层面的底线要求仍然在发挥着重要的指导作用,我们会围绕这些核心监管要求,并结合当前中小银行信息科技安全管理实操的现状,分享行业内的一些出色而有效的实践。
上两期我们分享了(一)信息分类保护和人员意识、(二)安全管理职能、(三)用户访问控制机制、(四)物理安全保护区域、(五)逻辑安全保护区域、(六)操作系统和系统软件安全、(七)信息系统安全、(八)日志安全、(九)信息加密等领域的现状和杰出实践。如果想了解上两期内容,可以参考本公众号文章【盛邦观察:中小银行业金融机构信息科技风险管理现状(3)(4)】。我们本次接着分享的安全管理领域是(十)终端设备安全、(十一)数据安全、(十二)安全意识等部分。
十、终端设备安全
《指引》第二十六条对终端设备安全管理明确要求商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查。
银行的终端涉及面非常广,涵盖生产终端、开发测试终端、办公终端、互联网终端等不同类别,不同类别的管控模式根据使用场景又有很大差别。大多数中小银行非常重视终端管理方面的管控,通常普遍采用的控制机制包括但不限于:在终端接入网络时,通常通过网络设备启用网络接入认证;接入网络后,普遍建立了域管控机制,统一部署终端管理软件、统一安装防病毒软件,并启用病毒代码更新机制;普遍建立了终端软件安装白名单机制。终端的账号密码、补丁更新、安全锁屏、端口使用等一般都建立了统一的全行策略。普遍建立了终端安全检查的例行机制,定期检查各类终端的合规性要求。
针对特定场景的终端管控,又有一些特殊的管控考虑;例如,生产运维终端涉及文件或者数据的传输,只能在特定终端上通过专用加密移动介质进行文件传递;针对开发测试环境的终端,考虑到代码安全性,一般会部署虚拟桌面机制,确保系统代码、敏感数据不会下载到研发或测试终端,除非根据实际工作需要获取明确的权限。针对日常互联网访问,普遍采取配备专用互联网终端,互联网终端同日常办公终端物理隔离,同时对互联网的访问一般配置上网行为管控机制。
对于外包人员终端管控方面,一般会严格要求外包人员终端接入符合行内终端管理统一策略;对于敏感场景的操作,例如开发或者敏感数据访问,一般都会指定行内终端进行操作,而不得使用个人终端。
目前银行在终端管理方面,借助相对成熟的管控技术,可以实现比较严格和有效的管理效果;在行业内,较大的挑战不是技术层面,而是因为技术管控本身带来的便利性的影响;考虑便利性,一般都会开放一些特权终端方便终端使用人员操作;以及因为安全意识不足或者操作的便利性,共享终端登录权限等管理问题带来的潜在漏洞。考虑到上述因素,终端管控比较严格的银行会重点加强对特权终端的检测和检查力度,防止成为管控链条中薄弱的一环。
此外,部分领先银行会部署网络空间资产探测机制,来发现潜在的非法外联终端设备;以及部署非法外联检测机制,来检测因内部恶意或只图访问便利的跨网访问的隐患。这些机制可以作为通用管控机制失效的补偿机制来发现潜在威胁。
十一、数据安全
《指引》第三十六条对数据安全做出了原则性的要求,商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
2020年发布的《中华人民共和国数据安全法( 草案 )》第二十八条规定,重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。《指引》第三十六条的规定同《数据安全法》的规定的要求非常贴近。
此外,银保监会2019年发布的《银行业金融机构数据治理指引》第二十四条规定,银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。
从这些监管要求和法律法规文件可以看出国家层面非常重视数据安全,金融行业的数据安全尤其重要,不仅关系到国家关键基础设施的安全,而且数据安全本身也是金融机构安身立命的重要保障。
我们观察到目前中小银行的数据安全管控在监管的推动下,已经建立了体系化的管控策略,普遍制定了生产数据的管理策略和制度,涵盖了数据采集、处理、保管、备份、销毁等环节;部署了数据安全防护的技术体系,包括但不限于如下环节:数据加密、数据库访问控制、数据库审计、数据脱敏、数据防泄漏等。此外,围绕数据所处的使用环境,分别在应用安全、网络安全、基础设施安全等方面都对数据的采集、传输、存储和使用方面提高了安全管控强度。对于数据安全的意识教育,各金融机构也针对客户隐私数据的使用建立的行内的规章制度,并定期开展相关的培训和数据安全专项评估检查;部分中小银行也启动了客户个人信息保护的课题研究,建立了客户信息内外部流转视图、风险分析和防护框架。
通过我们观察,目前中小银行在数据安全方面普遍存在比较大的短板是数据安全的细粒化管控,整体的管理制度和技术框架还不能覆盖所有重要数据的生命周期,控制机制也不能覆盖所有可能导致数据差错或者数据泄露事件发生的作用方式。
对于银行而言,数据安全主要面临的威胁是数据的差错和数据泄露;而数据出现差错或者泄露最终会从数据流转的某一个具体的点发生,因此识别每一个数据流转的节点非常关键,识别到了才能采取有针对性的风险分析和应对。领先的中小银行已经开展重要数据使用场景的分析,以此建立重要数据的流转模型,例如确定网银系统为需要识别的业务系统,网银系统具有转账业务功能,而实现此业务功能需要产生交易数据,由此,我们可以识别出客户通过网银系统转账这一业务场景和交易数据这一类重要数据;在此基础上,识别交易数据流经的所有IT资产路径,包括但不限于服务器、网络设备、链路、终端等;然后分析交易数据流经具体IT资产以及IT资产组件可能会面临的威胁方式,细化到什么人通过什么方式导致数据发生差错或者泄密的潜在影响;只有把数据分析到这个细粒度,才能有针对性的评估现有控制机制是否能够覆盖分析出来的固有风险,以便采取有针对性的控制机制。
从上述优秀实践可以看出,重要数据的场景识别以及对应的风险分析是需要金融机构根据现有系统以及在建系统的实际需要来组织,前期需要投入较大的专家人力资源来开展;这个实践的重要性是能够较大程度上杜绝被忽略的数据篡改点或泄漏点,而不是将数据安全只停留在表面,目前业界也有尝试通过自动化的数据发现机制来提升重要数据传输路径识别的效率,这将会是对做好数据安全的一个重要技术支撑,但仍然代替不了专家参与的业务场景识别和体系化的分析。
十二、安全意识
《指引》第三十一条规定了商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
我们观察到,信息安全意识的培训是金融机构安全管理部门每年都定期不定期组织的常规活动,既有监管层面的推动和检查的外力作用,也有金融机构需要提升安全意识水平防止安全事件发生导致不必要的声誉损失和监管处罚的内部需要。
安全意识培训本身目前也发展成一门细分的专业领域,大多数中小银行会聘请外部安全专家给全行开展安全意识培训的课程;也有部分银行业金融机构将信息安全意识培训和提升包装成一类服务,外包给专业从事安全意识培训的外部机构来实施;不仅可以充分利用专业第三方的培训工具和手段提升培训效果和效率,而且可以通过灵活和体系化的培训机制,制定考核标准来评估安全意识培训的效果,并建立持续改进机制。
此外,我们观察到大多数中小银行,都建立了针对外包人员的安全培训和考核机制,其中很重要的一项就是需要外包人员学习和遵循银行的信息安全管理制度,防止因为引入外包人员带来的信息安全隐患。
《指引》涉及的信息安全领域的现状观察总共三期,已经全部完成,下期我们将开展《指引》中信息系统开发、测试和维护领域相关监管要求的现状观察。
本文内容来自盛邦安全对中小金融机构信息科技风险管理现状的观察与调研,难免管中窥豹,其中不全面或不当之处欢迎大家交流指正,也请各位不要对号入座。针对中小金融机构信息科技风险管理现状观察的系列文章将陆续发布,敬请期待。