盛邦安全在同眾多銀行業(yè)金融機(jī)構(gòu)的溝通和服務(wù)過(guò)程中，對(duì)當(dāng)前銀行業(yè)金融機(jī)構(gòu)，尤其是中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的現(xiàn)狀有了較深入的了解，本系列文章旨在基于對(duì)中小銀行信息科技風(fēng)險(xiǎn)管理的整體現(xiàn)狀的認(rèn)知，提煉和分享當(dāng)前行業(yè)信息科技風(fēng)險(xiǎn)管理體系建設(shè)的面臨的問(wèn)題和良好實(shí)踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期繼續(xù)討論中小銀行信息安全管理。上期提到，金融行業(yè)關(guān)系到國(guó)計(jì)民生，支撐其運(yùn)營(yíng)的重要的信息系統(tǒng)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，是信息安全重點(diǎn)保護(hù)對(duì)象。由于互聯(lián)網(wǎng)金融的快速發(fā)展，以及來(lái)自互聯(lián)網(wǎng)的安全威脅層出不窮，以銀行業(yè)為代表的金融行業(yè)的安全建設(shè)思路開始發(fā)生深刻變化，變化趨勢(shì)和特點(diǎn)有以下幾點(diǎn)：

◆ 監(jiān)管合規(guī)向自身業(yè)務(wù)安全需求導(dǎo)向轉(zhuǎn)變；

◆ 安全技術(shù)體系向安全運(yùn)營(yíng)體系轉(zhuǎn)變；

◆ 安全防護(hù)能力向攻防對(duì)抗能力轉(zhuǎn)變；

◆ 靜態(tài)防護(hù)向動(dòng)態(tài)智能化防護(hù)轉(zhuǎn)變；

◆ 邊界防護(hù)向零信任體系轉(zhuǎn)變。

在目前的大趨勢(shì)下，中小銀行業(yè)金融機(jī)構(gòu)總體上處于被動(dòng)應(yīng)對(duì)的狀態(tài)，普遍缺乏洞察變化后的主動(dòng)調(diào)整和跟進(jìn)，反映在金融企業(yè)內(nèi)部安全建設(shè)上，仍然存在頭痛醫(yī)頭、腳痛醫(yī)腳，整體網(wǎng)絡(luò)安全能力建設(shè)難以適應(yīng)外部環(huán)境變化。網(wǎng)絡(luò)安全團(tuán)隊(duì)和人員，不論是理念意識(shí)、知識(shí)技能，還是實(shí)戰(zhàn)經(jīng)驗(yàn)，以及同實(shí)際保障業(yè)務(wù)安全的需求上存在很大差距。

在這樣的背景下，我們重新來(lái)回顧《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡(jiǎn)稱《指引》）中關(guān)于信息安全管理的監(jiān)管要求，我們會(huì)發(fā)現(xiàn)，監(jiān)管層面的底線要求仍然在發(fā)揮著重要的指導(dǎo)作用，我們會(huì)圍繞這些核心監(jiān)管要求，并結(jié)合當(dāng)前中小銀行信息科技安全管理實(shí)操的現(xiàn)狀，分享行業(yè)內(nèi)的一些出色或有效實(shí)踐。

上期我們分享了（一）信息分類保護(hù)和人員意識(shí)、（二）安全管理職能、（三）用戶訪問(wèn)控制機(jī)制、（四）物理安全保護(hù)區(qū)域、（五）邏輯安全保護(hù)區(qū)域的現(xiàn)狀和出色實(shí)踐。如果想了解上期內(nèi)容，可以參考文章【盛邦觀察：中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀（3）】。

我們本次接著分享的領(lǐng)域是（六）操作系統(tǒng)和系統(tǒng)軟件安全、（七）信息系統(tǒng)安全、（八）日志安全、（九）信息加密等部分；下期將分享（十）終端設(shè)備安全、（十一）數(shù)據(jù)安全、（十二）安全意識(shí)等部分。

六、操作系統(tǒng)和系統(tǒng)軟件安全

《指引》第二十五條對(duì)操作系統(tǒng)和系統(tǒng)軟件安全做出了明確管控措施的要求，簡(jiǎn)單歸納一下包括基線安全、訪問(wèn)權(quán)限控制、特權(quán)賬號(hào)控制、補(bǔ)丁管理、日常監(jiān)控管理等。

目前大多數(shù)中小銀行都在監(jiān)管檢查的推動(dòng)下制定了本行的操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等系統(tǒng)的安全基線核查標(biāo)準(zhǔn)，普遍存在的問(wèn)題是基線標(biāo)準(zhǔn)并沒有涵蓋所有系統(tǒng)軟件，以及基線標(biāo)準(zhǔn)執(zhí)行和檢查力度不夠；領(lǐng)先的城商行會(huì)加強(qiáng)對(duì)系統(tǒng)上線前的基線核查，不滿足基線標(biāo)準(zhǔn)的系統(tǒng)整改后才可上線，此外基線的變更和生產(chǎn)環(huán)境的配置變更保持同步。

對(duì)操作系統(tǒng)和相關(guān)系統(tǒng)軟件的訪問(wèn)控制權(quán)限，尤其是針對(duì)生產(chǎn)網(wǎng)的訪問(wèn)控制權(quán)限一般都較為嚴(yán)格，通過(guò)生產(chǎn)網(wǎng)的堡壘機(jī)或4A平臺(tái)來(lái)控制訪問(wèn)權(quán)限，這個(gè)控制環(huán)節(jié)存在的普遍問(wèn)題是部分系統(tǒng)未納入統(tǒng)一訪問(wèn)控制機(jī)制，以及存在授權(quán)訪問(wèn)權(quán)限細(xì)粒度不夠的情形，尤其是對(duì)于關(guān)鍵敏感操作命令的控制權(quán)限；領(lǐng)先的城商行會(huì)對(duì)堡壘機(jī)或4A系統(tǒng)的賬號(hào)權(quán)限進(jìn)行定期復(fù)核和評(píng)估，以確保不必要的系統(tǒng)訪問(wèn)帶來(lái)的風(fēng)險(xiǎn)。

對(duì)于重要系統(tǒng)的特權(quán)賬號(hào)或高權(quán)限賬號(hào)部分銀行也采取了雙人保管密碼、雙人登錄以及定期特權(quán)賬號(hào)審查等方式來(lái)加強(qiáng)控制和審計(jì)，但對(duì)于大多數(shù)中小銀行這部分的控制往往因?yàn)檫\(yùn)維人員人力和管理意識(shí)不足的原因，并沒有采取嚴(yán)格控制。

補(bǔ)丁管理方面大多數(shù)中小銀行都建立了生產(chǎn)環(huán)境補(bǔ)丁管理的機(jī)制，銀行不會(huì)采取自動(dòng)的補(bǔ)丁修補(bǔ)機(jī)制，但在實(shí)際執(zhí)行時(shí)又因?yàn)闇y(cè)試環(huán)境不滿足測(cè)試需求等原因而不能在生產(chǎn)網(wǎng)對(duì)所有的補(bǔ)丁進(jìn)行手工修補(bǔ)；領(lǐng)先的城商行會(huì)建立漏洞/補(bǔ)丁修補(bǔ)評(píng)估機(jī)制，對(duì)于不滿足修補(bǔ)條件的情形建立授權(quán)審批機(jī)制。

對(duì)于操作系統(tǒng)和系統(tǒng)軟件的日常監(jiān)控管理方面，一般都會(huì)開啟和保留系統(tǒng)相關(guān)日志，但是大多中小銀行不會(huì)主動(dòng)對(duì)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問(wèn)、對(duì)用戶賬戶的修改等有關(guān)重要事項(xiàng)進(jìn)行審計(jì)和分析，這項(xiàng)工作確實(shí)是比較費(fèi)力的一個(gè)環(huán)節(jié)，同時(shí)又需要一定的分析能力，通過(guò)自動(dòng)化的日志分析工具或態(tài)勢(shì)感知分析一定程度上可以幫助運(yùn)維人員簡(jiǎn)化人工分析的壓力。

領(lǐng)先的城商行會(huì)積極探索基于UEBA(用戶及實(shí)體行為分析)的分析技術(shù)和解決方案，結(jié)合SIEM（安全信息和事件管理系統(tǒng)/平臺(tái)）/SOC（安全管理中心/平臺(tái)）等相關(guān)技術(shù)來(lái)綜合分析重要的異?？蛻粜袨椋瑥亩悄艿暮Y選出可能的關(guān)注事項(xiàng)。

七、信息系統(tǒng)安全

《指引》第二十六條對(duì)信息系統(tǒng)安全做出了明確管控措施的要求，簡(jiǎn)單歸納一下包括系統(tǒng)管理者和使用者的角色和職責(zé)、采取有效的身份驗(yàn)證方法、關(guān)鍵和敏感崗位采取雙重控制、系統(tǒng)的輸入輸出驗(yàn)證和核對(duì)、保密信息的輸入和輸出控制、系統(tǒng)出現(xiàn)例外的處置、系統(tǒng)審計(jì)軌跡以及對(duì)未成功的登錄和修改行為進(jìn)行審查等。

此處的信息系統(tǒng)安全，我們理解的是偏狹義銀行業(yè)務(wù)系統(tǒng)的安全，因?yàn)樵谄渌念I(lǐng)域和條款中對(duì)于業(yè)務(wù)系統(tǒng)之外的系統(tǒng)安全都有專門的要求。《指引》中明確要求所有的信息系統(tǒng)都要考慮上述的控制機(jī)制，至于控制機(jī)制的強(qiáng)弱則要根據(jù)系統(tǒng)重要性、處理信息的敏感性去考量。

對(duì)于銀行的業(yè)務(wù)系統(tǒng)而言，是一個(gè)大的范疇，概要來(lái)說(shuō)涵蓋產(chǎn)品管理類系統(tǒng)、渠道管理類系統(tǒng)、客戶管理類系統(tǒng)、財(cái)務(wù)管理類系統(tǒng)、決策支持類系統(tǒng)、共享支持類系統(tǒng)等。我們觀察到面向客戶、賬戶和交易類的業(yè)務(wù)處理，系統(tǒng)通常分布在產(chǎn)品管理類、渠道管理類以及客戶管理類系統(tǒng)類別中，這類系統(tǒng)的安全管控標(biāo)準(zhǔn)往往比較嚴(yán)格，采用的技術(shù)的安全性也非常高，尤其是面向互聯(lián)網(wǎng)的交易系統(tǒng)，這也符合重要業(yè)務(wù)系統(tǒng)本身的防護(hù)定位。但是對(duì)于非面向賬戶、客戶以及交易類的系統(tǒng)，往往安全管控機(jī)制會(huì)弱很多；這里面存在的一個(gè)問(wèn)題是，這些非面向客戶、賬戶和交易類的系統(tǒng)，例如財(cái)務(wù)數(shù)據(jù)處理相關(guān)系統(tǒng)、決策分析類系統(tǒng)以及共享支持類系統(tǒng)中，很多處理的數(shù)據(jù)的敏感性并不低，甚至本身也處理跟客戶、賬戶和交易類系統(tǒng)所產(chǎn)生的敏感數(shù)據(jù)，如果考慮到這些因素，那么對(duì)于這些系統(tǒng)的安全管控機(jī)制就普遍存在管控弱點(diǎn)，這些弱點(diǎn)可能會(huì)造成銀行的敏感數(shù)據(jù)的泄露；一旦發(fā)生數(shù)據(jù)泄露，如果系統(tǒng)日志管理和設(shè)計(jì)有缺陷又很難審計(jì)和回溯。

而實(shí)際上，我們發(fā)現(xiàn)對(duì)于大多數(shù)銀行客戶內(nèi)部的決策支持類、財(cái)務(wù)管理類、共享支持類系統(tǒng)的安全控制機(jī)制和管理機(jī)制都很薄弱，普遍存在賬號(hào)權(quán)限分配不合理、共享管理賬號(hào)、敏感信息傳輸和存儲(chǔ)不加密、審計(jì)信息不完備、系統(tǒng)使用過(guò)程的監(jiān)控和審計(jì)機(jī)制缺失等問(wèn)題。目前銀行普遍采取的滲透測(cè)試和代碼審計(jì)等安全檢測(cè)機(jī)制，也很少應(yīng)用到這些非客戶、賬戶以及非交易類系統(tǒng)領(lǐng)域，很少揭露這類系統(tǒng)的漏洞，而這些漏洞目前在銀行內(nèi)潛在的風(fēng)險(xiǎn)比較大，很容易被惡意的銀行員工或者第三方人員利用，造成里面處理的敏感數(shù)據(jù)泄露。

領(lǐng)先的城商行會(huì)在全行范圍執(zhí)行統(tǒng)一的業(yè)務(wù)系統(tǒng)安全控制架構(gòu)和標(biāo)準(zhǔn)，發(fā)揮架構(gòu)管理的優(yōu)勢(shì)，這些安全控制架構(gòu)和標(biāo)準(zhǔn)本身涵蓋針對(duì)特定業(yè)務(wù)處理場(chǎng)景的安全控制要求和管理要求，在保留統(tǒng)一架構(gòu)的前提下，通過(guò)場(chǎng)景安全評(píng)估，保留系統(tǒng)建設(shè)的彈性，杜絕“一刀切”；此外，領(lǐng)先銀行也在開展基于信息系統(tǒng)生命周期（SDLC）的安全體系建設(shè)，從技術(shù)平臺(tái)和管理體系兩個(gè)方面提升信息系統(tǒng)安全能力，較大程度杜絕“帶病上線”的系統(tǒng)。

八、日志安全管理

《指引》第二十七條對(duì)日志的管理提出了明確要求，明確規(guī)定商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。指引把日志劃分為交易日志和系統(tǒng)日志兩大類，對(duì)于日志要包含的信息以及保管期限都明確做了規(guī)定。

我們發(fā)現(xiàn)，銀行設(shè)計(jì)交易的信息系統(tǒng)產(chǎn)生的交易日志基本都涵蓋監(jiān)管要求的用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等；對(duì)于交易日志的保管要求基本都是無(wú)限期保管，大多都能依托“兩地三中心”的數(shù)據(jù)中心災(zāi)備架構(gòu)來(lái)保管，能夠滿足國(guó)家會(huì)計(jì)準(zhǔn)則的要求。

對(duì)于系統(tǒng)日志，大多數(shù)銀行都開啟了包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等設(shè)施的日志功能，內(nèi)容一般涵蓋管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等；對(duì)于系統(tǒng)日志的保存期限，目前大多數(shù)銀行也是無(wú)限期保存，基本滿足監(jiān)管要求的一年的保存期限。大多數(shù)銀行也都部署了集中日志管理系統(tǒng)，統(tǒng)一收集各類系統(tǒng)和設(shè)備的日志信息，有些日志平臺(tái)能夠按照檢測(cè)規(guī)則實(shí)現(xiàn)實(shí)時(shí)的監(jiān)控和報(bào)警；有些銀行會(huì)明確定期對(duì)日志進(jìn)行回顧和分析的要求；而我們實(shí)際工作中發(fā)現(xiàn)，真正落實(shí)對(duì)日志開展定期復(fù)核機(jī)制的很少，基本還是依靠日常運(yùn)維監(jiān)控過(guò)程中發(fā)生的報(bào)警事件進(jìn)行響應(yīng)和分析。

《指引》對(duì)于日志復(fù)查頻率和保存周期有個(gè)細(xì)節(jié)要求，就是由科技部門和業(yè)務(wù)部門共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)；大多數(shù)銀行都忽略了這個(gè)要求；也有些銀行是把日志復(fù)查頻率和保存周期明確在相關(guān)的安全管理制度中，安全管理制度的發(fā)布是要通過(guò)信息科技管理委員會(huì)審議通過(guò)才能行內(nèi)發(fā)布，因此也可以滿足監(jiān)管的這個(gè)細(xì)節(jié)要求，而沒有必要針對(duì)這一個(gè)細(xì)節(jié)專門提報(bào)信息科技管理委員會(huì)批準(zhǔn)。

九、信息加密

《指引》第二十七條明確對(duì)涉密信息在傳輸、處理、存儲(chǔ)過(guò)程中采取加密機(jī)制，防范出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密碼設(shè)備管理制度。主要要求包括采用符合國(guó)家要求的機(jī)密技術(shù)或者設(shè)備、加強(qiáng)涉及密碼設(shè)備人員的管理、加密強(qiáng)度滿足機(jī)密性要求、加強(qiáng)密鑰和證書的管理。

商業(yè)銀行加密體系的管理基本都類似，一般都建設(shè)了加密平臺(tái)和加密設(shè)備，普遍采用滿足國(guó)密算法的加解密體系；涉及交易的應(yīng)用系統(tǒng)通過(guò)統(tǒng)一調(diào)用加密平臺(tái)的加密接口；管理比較嚴(yán)格的銀行一般密鑰都是由多人保管，并存放在保險(xiǎn)箱；保險(xiǎn)箱的密碼又是另外一個(gè)人管理，密鑰使用申請(qǐng)需要走審批流程。

總體來(lái)說(shuō)，銀行業(yè)金融機(jī)構(gòu)對(duì)交易信息的傳輸和存儲(chǔ)是非常重視，在技術(shù)層面的配置一般都比較完備，面臨的一個(gè)問(wèn)題類似我們之前在業(yè)務(wù)系統(tǒng)安全里面談到的，非交易類系統(tǒng)使用交易數(shù)據(jù)或者其他敏感的客戶或者賬戶數(shù)據(jù)，在傳輸、處理和存儲(chǔ)過(guò)程中的加密處理機(jī)制上往往就比較缺乏，應(yīng)當(dāng)引起足夠的重視。

安全部分的現(xiàn)狀觀察未完待續(xù)，我們下期會(huì)分享中小銀行終端設(shè)備安全、數(shù)據(jù)安全、安全意識(shí)等部分的現(xiàn)狀觀察。

本文內(nèi)容來(lái)自盛邦安全對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的觀察與調(diào)研，難免管中窺豹，其中不全面或不當(dāng)之處歡迎大家交流指正，也請(qǐng)各位不要對(duì)號(hào)入座。針對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀觀察的系列文章將陸續(xù)發(fā)布，敬請(qǐng)期待。