银行信息安全管理与实践
一、信息安全管理面临的挑战
信息技术的快速发展和广泛应用,使金融行业对信息科技高度依赖,银行信息安全事件往往会导致服务质量下降、业务中断、账务差错;或者造成资金损失、敏感信息泄露、数据损毁等严重后果;或者衍生出违反内部操作规程、违反法律法规等案件。传统的信息安全管理已经上升为科技风险管理的高度,银行的信息科技风险来源于自然因素、人员因素、技术因素、业务因素等四个方面;科技风险管控的要素包括人、流程和技术,其中人是最关键因素,信息科技风险管理的核心就是对人的管控。
对金融行业来说,广义的信息安全管理目标从微观到宏观可以概括为信息安全、业务连续性、金融安全、经济安全、社会稳定等多个层面。具体而言,网络、系统、数据是安全运营的底层和基础,支撑上层的产品与服务,以及客户和机构的运营。就目标而言,信息安全保障业务连续性,业务连续性的目标是金融安全,金融安全为了经济安全,经济安全为了国家安全和社会稳定。
1.银行IT风险概述
信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷所产生的操作、法律和声誉等风险。
银保监会已将信息科技风险与信用风险、市场风险、操作风险等并列为重要风险领域,并要求银行设立或指派特定部门负责信息科技风险管理工作,将信息科技风险管理纳入全行风险管理、内部控制和应急处置体系。银监会对商业银行进行监管评级中,信息科技风险占比达10%,信息科技风险与资本充足状况、资产质量、管理状况等指标一样,已成为直接影响商业银行业务发展的考核指标。在银行各类风险中,信息科技风险是唯一能够导致银行全部业务在瞬间瘫痪的风险,具有隐蔽性、突发性和灾难性的特征。
银行信息安全管理的目标是通过建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,促进信息系统安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
图1为信息安全和科技风险的关系,根据银监会《商业银行信息科技风险管理指引》,信息科技风险主要分布在IT治理、信息安全等八个领域。作为信息科技风险的重要组成部分,信息安全管理做不好一定会导致科技风险,任何一个金融机构或者其他机构,信息安全管理一定是贯穿在各个条线、各个业务流程中的。
图1 信息安全和科技风险的关系
2.银行信息化的新趋势和新挑战
当前,银行信息化发展趋势主要表现在业务科技深度融合与DevOps(开发运维一体化)、跨界业务联动与互联网金融生态蓬勃发展、移动互联普及与极致客户体验追求、新技术的广泛应用与数字化智能化转型等方面。由此带来信息安全管理的新挑战,一是敏捷开发快速迭代对运维安全的挑战,大型商业银行每年投产的软件版本多达上万个,其中一半以上是敏捷和快速迭代需求,给运维带来较大压力。二是互联网金融生态对网络安全防护能力的挑战,银行传统的网络安全策略是通过防火墙实现内外网隔离,现在互联网金融生态使得内外网关联度日益密切,总行、分行、附属公司都需要与不同的合作单位对接;此外,银行的APP为了场景生态建设直接调用合作方的接口,双方的SDK开发组件嵌入对方APP中,诸如此类的做法存在很多风险和不安全因素,包括身份认证、数据保护、交易完整性等,对安全管理带来很大挑战。三是业务联动和信息共享对数据安全的挑战,“让数据多跑路,让百姓少跑腿”已成为移动互联发展的共识。实际上,在衣食住行越来越方便、快捷的背后是数据在政府部门、金融机构和不同企业之间的广泛流动和共享,其中的数据泄露风险不言而喻。对银行来说,为了老百姓能享受到更加便捷的金融服务,需要与很多合作机构共享数据,数据共享的同时如何做好数据保护?对中国银行来说,还面临较大的海外监管压力,需要应对包括GDPR欧盟一般数据保护法案(欧盟个人隐私保护法)等的在数据隐私安全方面的严格的要求。四是大数据、人工智能、生物识别技术对个人隐私保护的挑战,大数据透露个人行为和隐私,生物识别技术本身的局限可能造成身体特征一次泄露影响终生,这些问题都给信息安全管理带来了严峻的挑战。
二、信息安全管理工作概述
1、信息安全管理工作的特点、难点和原则
信息安全工作具有无边界、无小事、无止境、无声息的特点。信息安全管理是一门科学,根据木桶理论与链条原理,安全的度是由最薄弱的环节决定,提升安全性的方法就是找差距、补短板,但薄弱环节和短板往往只有在发生安全事件的时候才能被认识到。信息安全管理是一门艺术,难点在于需要处理好安全与发展、管理与技术、自主与外包、防守与反击等多重对立统一的关系。
信息安全管理的原则:第一,以人为本,脚踏实地。“人是生产力中的决定性因素”,人也是安全流程中的执行者和控制者,只有把人管好,按照流程、规定办事,安全工作才有可能做好。第二,明确基线,界定红线。基线如严禁在第三方APP上输入客户账户密码(借记卡、信用卡、存折等),以防由于第三方系统不可靠导致客户密码被盗取的风险。红线如严禁员工将客户信息批量下载到自己的手机或电脑上,类似的安全基线和红线一定要有清晰的界定。第三,统一规划,分步实施。安全防护体系的建设是永无止境、螺旋提升的过程,要有统一的规划和循序渐进的实施计划,比如可以制定三年规划和每年的工作计划。第四,取长补短,持续优化。“安全行业是天然的同盟军”,面对黑客组织和敌对势力,必须建立统一战线,在实际工作中的交流互鉴很重要,安全行业应建立共同防线,别人出问题的时候正是自己最需要扎紧篱笆和补短板的时候,在安全实践中互相验证有效性和共同提升安全管理的水平。第五,亡羊补牢,举一反三。出现安全问题不可避免,但要及时解决,引以为戒,同样的问题不能屡次出现,大银行、大机构尤为如此。
此外,信息安全管理要有体系、有参照,ISO27001共包含14个控制域,35个控制目标及114个控制点,是一个可对标的通用信息安全管理体系。需要强调的是,信息安全永无止境,开展27001认证是手段而不是目的,通过认证只能说明信息安全工作站在了新的起点,进入了新的阶段。
2. 信息安全控制
安全控制策略包括:遵守政府的法律和监管机构的法规要求;提供IT服务的同时,实施必要的风险管理和安全控制机制;IT系统规划时,同时考虑安全管控措施,同步实施,同步运行;管理措施与技术手段并重,持续完善安全管控机制等。实际上,安全控制的方法主要分为事前防范、事中控制、事后检查,事前做好规划、设计和实施;事中做好风险监测、应急管理、事件管理;事后做好评估、审计和整改。
图2是中行信息安全体系架构,参照ISO27001的控制域、控制点,逐一落实。每一个控制域和控制点都需要根据具体的业务场景进行风险分析,提出安全策略和控制要求,以下列示了数据安全管理、备份管理和变更管理三个控制点需要遵循的策略和管控要求。
图2 中行信息安全体系架构
(1)数据安全管理。遵循全生命周期保护、最小授权、分级保护、敏感信息脱敏、定期审计、可审计原则,采取分级(数据分为公开、内部、敏感、关键四级,不同级别数据采取不同保护措施)、获取/处理(使用数据须经数据所有者授权;建立完善的数据管理流程,包括需求受理、审批、处理和交付等内容;数据用于测试演练等非生产目的时,需进行脱敏处理)、存储(对不同机构的数据进行隔离存储保护;各机构只能操作本机构数据;根据备份策略对数据进行备份)、传输(数据传输采取加密措施,各一级分行、海外机构与总行建立数据传输专线)、销毁(对废弃存储介质进行彻底数据清除;建立待销毁存储介质入库登记和安全销毁的完整管理流程)管理措施。
(2)备份管理。根据监管要求以及业务需要,制定应用系统数据备份方案;数据备份方案需经过技术管理委员会评审通过后实施;定期对备份数据进行有效性检查,包括备份执行情况和数据恢复验证。备份实施措施,一是根据应用系统数据恢复要求,实施同城或异地备份策略;二是根据系统平台和数据保存期限不同,采用磁盘、磁带等不同存储介质进行备份;三是根据不同业务需求采取不同备份周期策略,包括:日备份、月备份、年备份以及重要时点备份;四是对备份数据和介质的有效性进行定期检查。
(3)变更管理。传统的变更管理有一套严格的控制流程,包括:制定变更实施计划,按照计划实施;变更实施前进行全面的风险评估,并采取风险控制措施,尽量降低变更风险;所有变更均需审批,未经审批的变更不得实施;建立完善生产变更流程,严格按照变更流程实施。变更控制措施包括:由技术专家组对生产变更进行全面风险评估;根据业务影响,通过门户网站、公告、客服等途径告知客户,并根据监管要求报备;建立了严格的变更流程,在变更的开发、SIT、UAT、演练等环节进行控制;变更前制定回退方案,在紧急情况下实施回退;生产变更原则上安排在对客户服务影响最小的时间段实施;变更实施过程中进行现场双人复核,避免操作失误和非法操作;对变更过程进行记录并进行定期审计。
三、银行信息安全管理实践
1.信息安全制度体系建设
信息安全制度体系是信息安全管理、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。完善的信息安全制度体系应由管理政策、管理办法、管理流程、实施指引等各级制度组成。
中行信息安全制度体系分为四级,一级为管理政策:明确管理目标、原则、架构等;二级为管理办法和流程:为落实政策框架做出安排,并对管理流程提出基本要求;三级为实施细则和指引:用于指导落实各项管理要求和管理流程;四级为具体记录和表单:用于具体操作和记录。
中行信息安全制度覆盖ISO27001信息安全管理各领域,并定期更新。同时因地制宜,针对境内分行和海外分(子)行的不同需求,分别进行指引。
图3 信息安全制度体系
2.安全培训
目前中行主要开展了信息安全专业认证培训、信息安全管理及技术培训、信息安全意识教育培训。
3.应用系统全生命周期安全管控
将信息安全融入软件开发全生命周期,并在投产、运维阶段持续强化安全管理。开展上线前安全测评,将安全工作前移,对信息系统投产进行安全准入控制,避免投产后安全修复带来的变更风险和业务影响。
4.移动APP安全治理
主要对APP进行安全加固,包括APK加固、代码扫描、APP检测、数据传输安全、密码安全、高强度认证等方面的工作。
5.漏洞管理
首先明确管理部门、开发单位、运维单位、业务部门等的责任。其次对不同系统制定风险等级,如核心银行系统、网上银行系统、信用卡系统等支撑客户的资金交易,存储或处理大量客户敏感信息,遭受破坏将产生重大影响的系统为高风险应用系统;风控系统、报表系统、数据查询系统等支撑非核心交易业务或支持内部管理,涉及部分客户,存储或处理部分客户敏感信息的系统为中风险应用系统;医疗管理、后勤保障、人力资源辅助系统等不涉及面向客户的业务,不涉及客户信息,仅针对内部员工办公使用,安全威胁低,遭受安全破坏时影响较低的系统为低风险应用系统。再次,根据风险等级采取修复、容忍、补偿控制、临时下线等不同的漏洞处置方法。最后,将漏洞处置时限分为特高危漏洞(确认后24小时内完成处置)、高危漏洞(确认后15天内完成处置)、中危漏洞(确认后3个月内完成处置)、低危漏洞(确认后6个月内完成处置)。此外,通过漏洞信息库对漏洞进行统一监控、管理。
6.多种认证级别和认证方式
认证级别分为:游客、弱实名、中实名、强实名。认证方式包括:密码、短信验证码、TOKEN/KEY、硬件设备绑定、指纹认证、人脸识别(活体检测)、SIM盾/手机盾等。根据不同的业务场景和风险度,在安全和客户体验中取得平衡。
7.网络安全防御技术框架
基于流量信息、资产信息、日志信息等建立主动防御、纵深防御体系。
8.网络攻防对抗演练
搭建指挥室和作战室,设立攻击方、防守方和裁判组;分别由行业高水平白帽子从互联网进行攻击,行内自有技术专家从内网进行攻击,验证被攻入DMZ或进入内网后的相关防御场景;演练期间互联网攻击队伍至少采用10种攻击行为,包括钓鱼邮件社工、Github等源码仓库、权限维持等,同时禁止采用高风险攻击行为,包括DDOS攻击、ARP欺骗攻击、DHCP欺骗等。通过攻防演练,全面提高了全体员工的网络安全防护意识,发现了潜在的网络安全薄弱环节,磨合、提升了联动处置效率。
9.信息安全与IT合规检查
信息科技风险与合规检查工作覆盖集团各类机构,通过开展现场检查工作,及时排查并处置IT风险与违规隐患,督促各机构提升IT合规管理水平,保障IT合规管理要求得到有效落实。将检查发现的问题分为风险和合规两类,合规问题要求100%整改,纳入绩效考核;风险问题以风险可控为前提,被查机构根据本机构风险容忍度,制定风险处置方案。同时综合主观调阅材料和客观数据,建立非现场检查工作平台,部分替代现场检查工作。
10.安全运营中心(SOC)
建立安全运营中心平台,对安全事件和问题进行集中监控、统一管理。
在日前由农信银资金清算中心主办、金科创新社承办的“2019农村金融科技创新与共享发展会议暨第三届农村金融科技创新优秀案例评选”上,中国银行信息科技部安全团队主管夏建伟先生从信息安全管理面临的挑战、信息安全管理的重点内容、银行信息安全管理实践三方面进行了经验分享,本文内容摘自此会议报告。
