銀行信息安全審計(jì)與操作風(fēng)險(xiǎn)控制
前言 近年來,銀行IT系統(tǒng)對(duì)銀行業(yè)務(wù)的發(fā)展起到極大的推進(jìn)作用。同時(shí),隨著銀行業(yè)務(wù)對(duì)IT系統(tǒng)的依賴程度越來越高,IT風(fēng)險(xiǎn)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的影響也越來越大。而IT風(fēng)險(xiǎn)中70%以上屬于操作風(fēng)險(xiǎn),即由人工操作不當(dāng)(無(wú)
前言
近年來,銀行IT系統(tǒng)對(duì)銀行業(yè)務(wù)的發(fā)展起到極大的推進(jìn)作用。同時(shí),隨著銀行業(yè)務(wù)對(duì)IT系統(tǒng)的依賴程度越來越高,IT風(fēng)險(xiǎn)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的影響也越來越大。而IT風(fēng)險(xiǎn)中70%以上屬于操作風(fēng)險(xiǎn),即由人工操作不當(dāng)(無(wú)意或故意)引起的風(fēng)險(xiǎn)。因此,有效地控制IT風(fēng)險(xiǎn),尤其是操作風(fēng)險(xiǎn),對(duì)銀行業(yè)務(wù)的安全運(yùn)營(yíng)至關(guān)重要。
國(guó)家信息化專家咨詢委員會(huì)的曲成義委員指出:要確保應(yīng)用安全,安全廠商應(yīng)當(dāng)真正擺脫產(chǎn)品本位的思想,深入到行業(yè)內(nèi)部、對(duì)一些典型應(yīng)用進(jìn)行深入的調(diào)查和研究,從而提出以應(yīng)用為主的新型安全解決方案。
本文正是在這樣一種思路的指導(dǎo)下,對(duì)銀行的信息安全審計(jì)需求進(jìn)行分析,并針對(duì)如何有效地進(jìn)行操作審計(jì)進(jìn)行深入討論。
銀行信息安全審計(jì)需求
根據(jù)審計(jì)的目的不同,可以分為合規(guī)性審計(jì)與績(jī)效審計(jì)。就信息安全審計(jì)而言,目前主要是合規(guī)性審計(jì)。
在此,合規(guī)性指銀行的行為需要符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求。而信息安全合規(guī)性則指銀行在建設(shè)與運(yùn)行IT系統(tǒng)中的行為需要符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求。
以下討論的銀行信息安全審計(jì)限于銀行IT系統(tǒng)運(yùn)行的合規(guī)性審計(jì)。
目前以四大銀行為代表的國(guó)有銀行均已制訂了成文的信息安全策略,信息安全策略的貫徹執(zhí)行需要相應(yīng)的檢查手段。信息安全審計(jì)作為銀行風(fēng)險(xiǎn)控制的主要內(nèi)容之一,是檢查安全策略落實(shí)情況的一種手段。
下面從操作風(fēng)險(xiǎn)生命周期的角度淺顯地分析信息安全審計(jì)在操作風(fēng)險(xiǎn)控制中發(fā)揮的作用。
操作風(fēng)險(xiǎn)成為現(xiàn)實(shí)的事件(或者事故)一般需要經(jīng)歷三個(gè)階段:隱患、誘發(fā)、已發(fā)生。
導(dǎo)致存在操作風(fēng)險(xiǎn)隱患的原因有兩點(diǎn):一是信息安全策略本身存在漏洞,二是信息安全策略沒有得到很好的貫徹執(zhí)行,尤其是缺乏相應(yīng)的技術(shù)保障措施。
誘發(fā)操作風(fēng)險(xiǎn)的原因則多種多樣。無(wú)論是人為的有意越權(quán)訪問或者無(wú)意誤操作,還是各種安全事件(病毒感染、蠕蟲爆發(fā)、惡意程序植入等),都會(huì)把風(fēng)險(xiǎn)變成實(shí)實(shí)在在的損失。
操作風(fēng)險(xiǎn)發(fā)生后表現(xiàn)為安全事件(事故),對(duì)事件(事故)的處理通常遵循如下圖所示的流程:
圖1.事件(事故)處理的一般流程
信息安全審計(jì)正好包含標(biāo)識(shí)事件、分析事件、收集相關(guān)證據(jù)等活動(dòng),從而為策略調(diào)整和優(yōu)化提供依據(jù)。
信息安全審計(jì)的范圍至少應(yīng)該包括:
1、安全策略的一致性檢查
2、人工操作的記錄與分析(操作審計(jì))
3、程序行為的記錄與分析(日志分析與審計(jì))
一般來說,信息安全審計(jì)的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn)。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。這些標(biāo)準(zhǔn)實(shí)際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風(fēng)險(xiǎn)(尤其是操作風(fēng)險(xiǎn)),從而提高安全性。
當(dāng)前信息安全審計(jì)主要為合規(guī)性審計(jì)。對(duì)銀行來說,這意味著要符合所有適用的法案、條約等。例如薩班斯-奧克斯利法案(SOx Act)與巴塞爾協(xié)議(Basel)都對(duì)風(fēng)險(xiǎn)控制有明確的要求。其中前者側(cè)重操作風(fēng)險(xiǎn)控制,后者側(cè)重業(yè)務(wù)風(fēng)險(xiǎn)(金融交易風(fēng)險(xiǎn))控制。如前所述,由于銀行業(yè)務(wù)對(duì)IT系統(tǒng)的依賴性越來越高,操作風(fēng)險(xiǎn)導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)的案例屢見不鮮,因此有效地控制操作風(fēng)險(xiǎn)是業(yè)務(wù)風(fēng)險(xiǎn)控制的重要內(nèi)容。
銀行信息安全審計(jì)的實(shí)現(xiàn)
信息安全審計(jì)不能離開信息安全策略而獨(dú)立存在,因此信息安全審計(jì)的實(shí)現(xiàn)必須與信息安全策略的制訂與落實(shí)緊密結(jié)合在一起,才能有效地控制風(fēng)險(xiǎn)。
因此,銀行信息安全審計(jì)的實(shí)現(xiàn)需要考慮如下因素:
1、制訂信息安全策略所依據(jù)的標(biāo)準(zhǔn)(如ISO/IEC 17799);
2、IT系統(tǒng)中實(shí)際執(zhí)行的訪問控制策略(如交換機(jī)與路由器的ACL、防火墻的規(guī)則等);
3、在安全策略中規(guī)定但未落實(shí)到技術(shù)措施的安全策略(如口令更換周期、口令強(qiáng)度、不可共同賬號(hào)、最小授權(quán)等);
4、安全事件(病毒感染、蠕蟲傳播、惡意程序植入等)對(duì)信息安全(機(jī)密性、完整性以及可用性)的破壞;
5、盜版軟件、企業(yè)機(jī)密信息在網(wǎng)絡(luò)上的傳播與濫用;
6、安全策略中未明確規(guī)定但隱含的與法律要求一致的內(nèi)容。
相應(yīng)地,銀行信息安全審計(jì)可以考慮如下實(shí)現(xiàn)方法:
1、行為記錄:記錄所有進(jìn)入、離開特定物理區(qū)域、IT系統(tǒng)區(qū)域的信息以及在IT系統(tǒng)中進(jìn)行的各種操作(業(yè)務(wù)訪問、系統(tǒng)維護(hù)、策略配置等);
2、日志審計(jì):采集、分析IT系統(tǒng)(操作系統(tǒng)、數(shù)據(jù)庫(kù)、可管理的網(wǎng)絡(luò)設(shè)備等)自身的日志;
3、網(wǎng)絡(luò)活動(dòng)審計(jì):采集網(wǎng)絡(luò)數(shù)據(jù)包,通過協(xié)議解協(xié)還原網(wǎng)絡(luò)活動(dòng)并記錄;
4、對(duì)重點(diǎn)監(jiān)控對(duì)象(如存放有機(jī)密文件的辦公PC)進(jìn)行細(xì)粒度的行為(擊鍵、文件讀寫、拷貝等)記錄與分析。
顯然,上述幾種方法只能獨(dú)立地滿足不同的審計(jì)要求,尚不足以構(gòu)成完整的IT審計(jì)體系。因此,需要采用合適的技術(shù)將各種不同的審計(jì)方法整合在一起,形成獨(dú)立、完整的綜合審計(jì)平臺(tái)。從而建立一個(gè)行為不可抵賴,數(shù)據(jù)可靠、完整的IT審計(jì)體系,全面增強(qiáng)事件(事故)的標(biāo)識(shí)、分析、收集證據(jù)以及策略調(diào)整等環(huán)節(jié),有效地追查事故原因并輔助界定責(zé)任。
結(jié)束語(yǔ)
在合規(guī)性使命越來越緊迫的驅(qū)動(dòng)下,銀行信息安全審計(jì)正在逐漸成為銀行業(yè)務(wù)風(fēng)險(xiǎn)(尤其是操作風(fēng)險(xiǎn))控制的重要內(nèi)容之一。銀行信息安全審計(jì)必須建立在功能完整、技術(shù)可靠的綜合審計(jì)平臺(tái)之上,相對(duì)獨(dú)立地運(yùn)行,發(fā)揮監(jiān)督與促進(jìn)作用,從而有效地控制IT相關(guān)的操作風(fēng)險(xiǎn)。
近年來,銀行IT系統(tǒng)對(duì)銀行業(yè)務(wù)的發(fā)展起到極大的推進(jìn)作用。同時(shí),隨著銀行業(yè)務(wù)對(duì)IT系統(tǒng)的依賴程度越來越高,IT風(fēng)險(xiǎn)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的影響也越來越大。而IT風(fēng)險(xiǎn)中70%以上屬于操作風(fēng)險(xiǎn),即由人工操作不當(dāng)(無(wú)意或故意)引起的風(fēng)險(xiǎn)。因此,有效地控制IT風(fēng)險(xiǎn),尤其是操作風(fēng)險(xiǎn),對(duì)銀行業(yè)務(wù)的安全運(yùn)營(yíng)至關(guān)重要。
國(guó)家信息化專家咨詢委員會(huì)的曲成義委員指出:要確保應(yīng)用安全,安全廠商應(yīng)當(dāng)真正擺脫產(chǎn)品本位的思想,深入到行業(yè)內(nèi)部、對(duì)一些典型應(yīng)用進(jìn)行深入的調(diào)查和研究,從而提出以應(yīng)用為主的新型安全解決方案。
本文正是在這樣一種思路的指導(dǎo)下,對(duì)銀行的信息安全審計(jì)需求進(jìn)行分析,并針對(duì)如何有效地進(jìn)行操作審計(jì)進(jìn)行深入討論。
銀行信息安全審計(jì)需求
根據(jù)審計(jì)的目的不同,可以分為合規(guī)性審計(jì)與績(jī)效審計(jì)。就信息安全審計(jì)而言,目前主要是合規(guī)性審計(jì)。
在此,合規(guī)性指銀行的行為需要符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求。而信息安全合規(guī)性則指銀行在建設(shè)與運(yùn)行IT系統(tǒng)中的行為需要符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求。
以下討論的銀行信息安全審計(jì)限于銀行IT系統(tǒng)運(yùn)行的合規(guī)性審計(jì)。
目前以四大銀行為代表的國(guó)有銀行均已制訂了成文的信息安全策略,信息安全策略的貫徹執(zhí)行需要相應(yīng)的檢查手段。信息安全審計(jì)作為銀行風(fēng)險(xiǎn)控制的主要內(nèi)容之一,是檢查安全策略落實(shí)情況的一種手段。
下面從操作風(fēng)險(xiǎn)生命周期的角度淺顯地分析信息安全審計(jì)在操作風(fēng)險(xiǎn)控制中發(fā)揮的作用。
操作風(fēng)險(xiǎn)成為現(xiàn)實(shí)的事件(或者事故)一般需要經(jīng)歷三個(gè)階段:隱患、誘發(fā)、已發(fā)生。
導(dǎo)致存在操作風(fēng)險(xiǎn)隱患的原因有兩點(diǎn):一是信息安全策略本身存在漏洞,二是信息安全策略沒有得到很好的貫徹執(zhí)行,尤其是缺乏相應(yīng)的技術(shù)保障措施。
誘發(fā)操作風(fēng)險(xiǎn)的原因則多種多樣。無(wú)論是人為的有意越權(quán)訪問或者無(wú)意誤操作,還是各種安全事件(病毒感染、蠕蟲爆發(fā)、惡意程序植入等),都會(huì)把風(fēng)險(xiǎn)變成實(shí)實(shí)在在的損失。
操作風(fēng)險(xiǎn)發(fā)生后表現(xiàn)為安全事件(事故),對(duì)事件(事故)的處理通常遵循如下圖所示的流程:
圖1.事件(事故)處理的一般流程
表1.事件(事故)處理流程與操作風(fēng)險(xiǎn)三階段的對(duì)應(yīng)表
操作風(fēng)險(xiǎn)階段 |
事件(事故)處理 |
說明 |
隱患 |
策略調(diào)整 |
對(duì)策略進(jìn)行調(diào)整和優(yōu)化,彌補(bǔ)策略漏洞,防止同類事件再次發(fā)生。 |
誘發(fā) |
標(biāo)識(shí)、分析、收集證據(jù) |
分析引發(fā)事件的原因,為策略調(diào)整與優(yōu)化提供依據(jù)。 |
已發(fā)生 |
抑制、轉(zhuǎn)移、根除 |
控制風(fēng)險(xiǎn),防止事件造成的損失進(jìn)一步擴(kuò)大。 |
信息安全審計(jì)正好包含標(biāo)識(shí)事件、分析事件、收集相關(guān)證據(jù)等活動(dòng),從而為策略調(diào)整和優(yōu)化提供依據(jù)。
信息安全審計(jì)的范圍至少應(yīng)該包括:
1、安全策略的一致性檢查
2、人工操作的記錄與分析(操作審計(jì))
3、程序行為的記錄與分析(日志分析與審計(jì))
一般來說,信息安全審計(jì)的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn)。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。這些標(biāo)準(zhǔn)實(shí)際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風(fēng)險(xiǎn)(尤其是操作風(fēng)險(xiǎn)),從而提高安全性。
當(dāng)前信息安全審計(jì)主要為合規(guī)性審計(jì)。對(duì)銀行來說,這意味著要符合所有適用的法案、條約等。例如薩班斯-奧克斯利法案(SOx Act)與巴塞爾協(xié)議(Basel)都對(duì)風(fēng)險(xiǎn)控制有明確的要求。其中前者側(cè)重操作風(fēng)險(xiǎn)控制,后者側(cè)重業(yè)務(wù)風(fēng)險(xiǎn)(金融交易風(fēng)險(xiǎn))控制。如前所述,由于銀行業(yè)務(wù)對(duì)IT系統(tǒng)的依賴性越來越高,操作風(fēng)險(xiǎn)導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)的案例屢見不鮮,因此有效地控制操作風(fēng)險(xiǎn)是業(yè)務(wù)風(fēng)險(xiǎn)控制的重要內(nèi)容。
銀行信息安全審計(jì)的實(shí)現(xiàn)
信息安全審計(jì)不能離開信息安全策略而獨(dú)立存在,因此信息安全審計(jì)的實(shí)現(xiàn)必須與信息安全策略的制訂與落實(shí)緊密結(jié)合在一起,才能有效地控制風(fēng)險(xiǎn)。
因此,銀行信息安全審計(jì)的實(shí)現(xiàn)需要考慮如下因素:
1、制訂信息安全策略所依據(jù)的標(biāo)準(zhǔn)(如ISO/IEC 17799);
2、IT系統(tǒng)中實(shí)際執(zhí)行的訪問控制策略(如交換機(jī)與路由器的ACL、防火墻的規(guī)則等);
3、在安全策略中規(guī)定但未落實(shí)到技術(shù)措施的安全策略(如口令更換周期、口令強(qiáng)度、不可共同賬號(hào)、最小授權(quán)等);
4、安全事件(病毒感染、蠕蟲傳播、惡意程序植入等)對(duì)信息安全(機(jī)密性、完整性以及可用性)的破壞;
5、盜版軟件、企業(yè)機(jī)密信息在網(wǎng)絡(luò)上的傳播與濫用;
6、安全策略中未明確規(guī)定但隱含的與法律要求一致的內(nèi)容。
相應(yīng)地,銀行信息安全審計(jì)可以考慮如下實(shí)現(xiàn)方法:
1、行為記錄:記錄所有進(jìn)入、離開特定物理區(qū)域、IT系統(tǒng)區(qū)域的信息以及在IT系統(tǒng)中進(jìn)行的各種操作(業(yè)務(wù)訪問、系統(tǒng)維護(hù)、策略配置等);
2、日志審計(jì):采集、分析IT系統(tǒng)(操作系統(tǒng)、數(shù)據(jù)庫(kù)、可管理的網(wǎng)絡(luò)設(shè)備等)自身的日志;
3、網(wǎng)絡(luò)活動(dòng)審計(jì):采集網(wǎng)絡(luò)數(shù)據(jù)包,通過協(xié)議解協(xié)還原網(wǎng)絡(luò)活動(dòng)并記錄;
4、對(duì)重點(diǎn)監(jiān)控對(duì)象(如存放有機(jī)密文件的辦公PC)進(jìn)行細(xì)粒度的行為(擊鍵、文件讀寫、拷貝等)記錄與分析。
顯然,上述幾種方法只能獨(dú)立地滿足不同的審計(jì)要求,尚不足以構(gòu)成完整的IT審計(jì)體系。因此,需要采用合適的技術(shù)將各種不同的審計(jì)方法整合在一起,形成獨(dú)立、完整的綜合審計(jì)平臺(tái)。從而建立一個(gè)行為不可抵賴,數(shù)據(jù)可靠、完整的IT審計(jì)體系,全面增強(qiáng)事件(事故)的標(biāo)識(shí)、分析、收集證據(jù)以及策略調(diào)整等環(huán)節(jié),有效地追查事故原因并輔助界定責(zé)任。
結(jié)束語(yǔ)
在合規(guī)性使命越來越緊迫的驅(qū)動(dòng)下,銀行信息安全審計(jì)正在逐漸成為銀行業(yè)務(wù)風(fēng)險(xiǎn)(尤其是操作風(fēng)險(xiǎn))控制的重要內(nèi)容之一。銀行信息安全審計(jì)必須建立在功能完整、技術(shù)可靠的綜合審計(jì)平臺(tái)之上,相對(duì)獨(dú)立地運(yùn)行,發(fā)揮監(jiān)督與促進(jìn)作用,從而有效地控制IT相關(guān)的操作風(fēng)險(xiǎn)。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》
