盛邦安全在同眾多銀行業(yè)金融機(jī)構(gòu)的溝通和服務(wù)過程中�,對(duì)當(dāng)前銀行業(yè)金融機(jī)構(gòu),尤其是中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的現(xiàn)狀有了較深入的了解����,本系列文章旨在基于對(duì)中小銀行信息科技風(fēng)險(xiǎn)管理的整體現(xiàn)狀的認(rèn)知,提煉和分享當(dāng)前行業(yè)信息科技風(fēng)險(xiǎn)管理體系建設(shè)的面臨的問題和良好實(shí)踐����,以期啟發(fā)更多的行業(yè)思考和討論。
本期討論的主題是銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)開發(fā)����、測(cè)試和運(yùn)維管理實(shí)操��。信息系統(tǒng)的開發(fā)和維護(hù)一直被視為銀行業(yè)金融機(jī)構(gòu)的核心能力���,也是監(jiān)管機(jī)構(gòu)非常重視的信息科技風(fēng)險(xiǎn)監(jiān)管領(lǐng)域�����,因?yàn)樾畔⑾到y(tǒng)的開發(fā)和運(yùn)維潛藏著影響巨大的固有風(fēng)險(xiǎn)���。這些固有風(fēng)險(xiǎn)包括但不限于大范圍的系統(tǒng)中斷����、數(shù)據(jù)篡改�、信息泄露等;尤其是針對(duì)銀行業(yè)金融機(jī)構(gòu)����,此類風(fēng)險(xiǎn)事件一旦發(fā)生,造成的影響��,不論是直接的賬戶資金損失�����,還是機(jī)構(gòu)聲譽(yù)損失�,都是金融機(jī)構(gòu)不希望面對(duì)的。
最近幾年在銀行業(yè)金融機(jī)構(gòu)發(fā)生多起網(wǎng)絡(luò)安全相關(guān)案件���,暴露出涉案金融機(jī)構(gòu)在信息系統(tǒng)的研發(fā)、測(cè)試以及運(yùn)維環(huán)節(jié)存在機(jī)制缺失或執(zhí)行中存在漏洞。加強(qiáng)對(duì)信息系統(tǒng)開發(fā)和維護(hù)的管控��,其重要性不言而喻。從實(shí)際案例來看監(jiān)管要求,我們會(huì)發(fā)現(xiàn)監(jiān)管指引或者辦法的監(jiān)管舉措,著實(shí)是從防范風(fēng)險(xiǎn)的角度提出來的����,如果能按照監(jiān)管要求提到的原則開展信息系統(tǒng)的開發(fā)和運(yùn)維�,以上安全事件發(fā)生的可能性會(huì)大大降低。
本期��,我們以《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》(以下簡稱《指引》)第五章信息系統(tǒng)開發(fā)���、測(cè)試和維護(hù)的監(jiān)管要求出發(fā)��,來看當(dāng)前中小銀行金融機(jī)構(gòu)在信息系統(tǒng)開發(fā)��、測(cè)試和運(yùn)維的管控現(xiàn)狀和出色實(shí)踐�。
一��、關(guān)于信息系統(tǒng)開發(fā)����、測(cè)試和運(yùn)維能力
《指引》第三十二條提到,“商業(yè)銀行應(yīng)有能力對(duì)信息系統(tǒng)進(jìn)行需求分析���、規(guī)劃����、采購�����、開發(fā)���、測(cè)試��、部署���、維護(hù)、升級(jí)和報(bào)廢”; 此外還提到���,“應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)�����,組織對(duì)系統(tǒng)的后評(píng)價(jià)�����。” 從監(jiān)管要求中我們可以看到���,信息系統(tǒng)建設(shè)和維護(hù)的能力涵蓋整個(gè)生命周期的各個(gè)階段��,同時(shí)���,加強(qiáng)信息系統(tǒng)建設(shè)的后評(píng)價(jià)機(jī)制,也是通過回顧的方式檢查和發(fā)現(xiàn)潛在的系統(tǒng)建設(shè)改進(jìn)和優(yōu)化環(huán)節(jié)�。
目前中小銀行普遍建立了涵蓋信息系統(tǒng)生命周期的信息系統(tǒng)建設(shè)管理制度體系,明確了各個(gè)階段的管理要求�、執(zhí)行流程以及操作細(xì)則,但完全依賴行方的技術(shù)能力和人員配置���,還不足以承擔(dān)所有信息系統(tǒng)的規(guī)劃���、需求、開發(fā)����、測(cè)試以及維護(hù);中小銀行普遍存在研發(fā)人員配置不足以及人員能力缺失的現(xiàn)狀��,基本上大多數(shù)信息系統(tǒng)項(xiàng)目的開發(fā)和測(cè)試,甚至運(yùn)維�����,需要依賴外包商或者外包人員的方式來開展���;也是基于此,監(jiān)管機(jī)構(gòu)推出了《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》�,用以明確信息科技外包策略,規(guī)范銀行業(yè)金融機(jī)構(gòu)外包商和外包人員的管理���,控制因各類外包活動(dòng)帶來的風(fēng)險(xiǎn)��。
針對(duì)后評(píng)價(jià)機(jī)制�,目前我們發(fā)現(xiàn)大多數(shù)中小銀行雖然有類似的管理機(jī)制�����,但評(píng)估或者評(píng)價(jià)的目標(biāo)更貼近于項(xiàng)目驗(yàn)收的內(nèi)容�;有的后評(píng)價(jià)執(zhí)行過程中關(guān)注的是參與項(xiàng)目的外包商或者外包人員的評(píng)價(jià);缺少對(duì)于設(shè)計(jì)和落地的差距分析��、投入和產(chǎn)出分析��、項(xiàng)目預(yù)算和決算分析等關(guān)鍵指標(biāo)的后評(píng)價(jià),并通過這些指標(biāo)能進(jìn)一步追溯根本原因�����,為后續(xù)的信息系統(tǒng)建設(shè)整體機(jī)制持續(xù)提供優(yōu)化和提升的建議����。
中小銀行信息系統(tǒng)開發(fā)建設(shè)以及維護(hù)的全面能力的提升,首先需要來自于銀行管理層對(duì)信息科技重視程度的提升�;金融機(jī)構(gòu)管理層能夠認(rèn)識(shí)到信息科技能力對(duì)于銀行業(yè)務(wù)轉(zhuǎn)型和創(chuàng)新帶來的價(jià)值,就會(huì)在信息科技進(jìn)行持續(xù)投入��;我們看到部分領(lǐng)先的中小銀行設(shè)置了“一部兩中心”的模式����,其中開發(fā)中心的開發(fā)人員編制大幅提升,開發(fā)人員超過一兩百人的規(guī)模��,部分銀行甚至更多���;部分中小商業(yè)銀行為了招募有競爭力的人才��,研發(fā)中心往往設(shè)在人才聚集的一線或省會(huì)城市���。
二���、關(guān)于信息科技項(xiàng)目風(fēng)險(xiǎn)
《指引》第三十三條提到,商業(yè)銀行應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)�,包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成本���,并采取適當(dāng)?shù)捻?xiàng)目管理方法����,控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)���。
目前大多數(shù)中小銀行都制定了圍繞系統(tǒng)開發(fā)建設(shè)的項(xiàng)目管理辦法,一般都明確了項(xiàng)目的預(yù)算��、立項(xiàng)��、可行性分析��、實(shí)施�����、質(zhì)量管理����、交付�、投產(chǎn)���、驗(yàn)收��、后評(píng)價(jià)等環(huán)節(jié)的管理要求���;以及明確了各個(gè)環(huán)節(jié)的參與部門及各自承擔(dān)的職責(zé)。
我們發(fā)現(xiàn)�����,大多數(shù)中小銀行的信息系統(tǒng)建設(shè)很少會(huì)引入風(fēng)險(xiǎn)管理部門或合規(guī)部門參與信息系統(tǒng)的業(yè)務(wù)流程需求和設(shè)計(jì)����,這些業(yè)務(wù)流程大多由業(yè)務(wù)需求部門、開發(fā)商的固有流程確定��,并最終落地上線����,系統(tǒng)是否存在可能不合規(guī)的操作風(fēng)險(xiǎn)或者業(yè)務(wù)邏輯漏洞,往往沒有進(jìn)行評(píng)估或者驗(yàn)證。之前曾經(jīng)發(fā)生過的某股份制商業(yè)銀行的ATM虛增存款的案例���,攻擊者利用的就是系統(tǒng)存在確保交易的唯一性的機(jī)制存在嚴(yán)重不足的漏洞���,從而會(huì)讓一筆真實(shí)的交易被復(fù)制提交并被確認(rèn),從而產(chǎn)生“虛增”�。
一些領(lǐng)先的中小銀行在信息系統(tǒng)(尤其是業(yè)務(wù)/交易系統(tǒng))需求和設(shè)計(jì)階段,便會(huì)引入風(fēng)險(xiǎn)管理?xiàng)l線的相關(guān)操作風(fēng)險(xiǎn)或合規(guī)專家參與其中�。此外,一些領(lǐng)先的中小銀行中�,推行“一二道防線融合機(jī)制”,風(fēng)險(xiǎn)管理部門(二道防線)會(huì)將信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì)派駐到信息科技部門參與一道防線信息系統(tǒng)建設(shè)的過程風(fēng)險(xiǎn)評(píng)估�,把控各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)控制機(jī)制的執(zhí)行��,并根據(jù)業(yè)務(wù)實(shí)際情況調(diào)整和優(yōu)化相關(guān)管控機(jī)制��。
三�、關(guān)于信息系統(tǒng)開發(fā)方法
《指引》第三十四條提到“商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法,控制信息系統(tǒng)的生命周期”以及“所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模����、性質(zhì)和復(fù)雜度。”
銀行傳統(tǒng)的開發(fā)模式通常采用“瀑布模式”�,即包含問題定義、可行性分析�����、需求分析、系統(tǒng)概要設(shè)計(jì)�、詳細(xì)設(shè)計(jì)、編程調(diào)試����、測(cè)試發(fā)版、上線運(yùn)行等明確的步驟和階段���。
傳統(tǒng)開發(fā)模式管控機(jī)制嚴(yán)格���,可以較大程度控制開發(fā)風(fēng)險(xiǎn),在生產(chǎn)環(huán)境發(fā)布經(jīng)過嚴(yán)格測(cè)試的軟件版本�����,保證系統(tǒng)運(yùn)行的安全穩(wěn)定����。但隨著互聯(lián)網(wǎng)金融的發(fā)展,面向客戶需求���,需要對(duì)銀行自身的金融產(chǎn)品(如理財(cái)或者消費(fèi)金融產(chǎn)品)進(jìn)行快速響應(yīng)和迭代���,傳統(tǒng)的開發(fā)模式很明顯不能滿足這種需求場(chǎng)景���。“敏捷開發(fā)”模式就成為金融行業(yè)必須要增加的一個(gè)選項(xiàng)。
在很多金融機(jī)構(gòu)�,目前開發(fā)模式被定義為“雙速IT”,即以穩(wěn)定為基本需求的信息系統(tǒng)(如銀行核心��、網(wǎng)銀���、支付等)采用傳統(tǒng)的瀑布式開發(fā)模式�;而以“響應(yīng)速度”為基本需求的信息系統(tǒng)則采取“敏捷”的模式����。
針對(duì)“敏捷”開發(fā)可能帶來的人員�、技術(shù)、產(chǎn)品�����、過程等常見風(fēng)險(xiǎn)�,領(lǐng)先的中小銀行金融機(jī)構(gòu)設(shè)計(jì)了圍繞“敏捷”開發(fā)的管理體系,建立了支持敏捷開發(fā)的DevOps機(jī)制(含系統(tǒng)及安全風(fēng)險(xiǎn)控制機(jī)制)。對(duì)于銀行業(yè)客戶有個(gè)特色���,即使是基于敏捷開發(fā)的模式����,響應(yīng)的項(xiàng)目依然需要補(bǔ)充必要的系統(tǒng)開發(fā)的必要文檔���,如需求說明�����、設(shè)計(jì)說明���、測(cè)試文檔、變更說明等等�,大多數(shù)都是通過后續(xù)補(bǔ)充來達(dá)到制度或監(jiān)管的要求。
四����、關(guān)于信息系統(tǒng)變更和升級(jí)
《指引》第三十五條和第三十八條分別提到了信息系統(tǒng)變更和升級(jí)的要求。第三十五條中主要強(qiáng)調(diào)商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程����,確保系統(tǒng)的可靠性�����、完整性和可維護(hù)性�����,具體要求包括(一) 生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)����、測(cè)試系統(tǒng)有效隔離���。(二) 生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)�����、測(cè)試系統(tǒng)的管理職能相分離�����。(三) 除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外�����,禁止應(yīng)用程序開發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)���,且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核。(四) 將完成開發(fā)和測(cè)試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)�,應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn),并對(duì)變更進(jìn)行及時(shí)記錄和定期復(fù)查����。第三十八條中主要強(qiáng)調(diào)商業(yè)銀行應(yīng)制定相關(guān)制度和流程,控制系統(tǒng)升級(jí)過程�����。
銀行業(yè)金融機(jī)構(gòu)都按照監(jiān)管機(jī)構(gòu)要求制定了信息系統(tǒng)變更和升級(jí)的管理制度�,一般都規(guī)定了變更的分類和變更級(jí)別、職責(zé)分工���、變更申請(qǐng)��、變更受理����、變更規(guī)劃�����、變更測(cè)試、變更評(píng)估����、變更審批、變更實(shí)施����、變更復(fù)核、變更后處理����、變更歸檔等相關(guān)環(huán)節(jié);在變更流程中���,一般都區(qū)分了一般變更��、重大變更和緊急變更的區(qū)別流程�。
銀行業(yè)金融機(jī)構(gòu)的生產(chǎn)系統(tǒng)�����、開發(fā)系統(tǒng)和測(cè)試系統(tǒng)�,一般都采取了嚴(yán)格的隔離機(jī)制;領(lǐng)先的中小銀行�����,采用了物理隔離或者準(zhǔn)物理隔離的機(jī)制��;開發(fā)和測(cè)試區(qū)域不能直接訪問生產(chǎn)區(qū)域�����,也有很多中小銀行在隔離方面并不嚴(yán)謹(jǐn)�����,存在為變更和升級(jí)操作方便��,開發(fā)測(cè)試網(wǎng)絡(luò)訪問生產(chǎn)網(wǎng)絡(luò)的控制不嚴(yán)格的風(fēng)險(xiǎn)點(diǎn)����。大多數(shù)中小銀行業(yè)金融機(jī)構(gòu)系統(tǒng)開發(fā)、測(cè)試�、運(yùn)維的職責(zé)進(jìn)行了職責(zé)分離,不過部分中小銀行也因?yàn)槿藛T崗位編制限制�����,普遍存在開發(fā)���、測(cè)試和運(yùn)維崗位兼職的情況���;存在開發(fā)人員訪問生產(chǎn)環(huán)境沒有嚴(yán)格執(zhí)行審批或授權(quán)的控制環(huán)節(jié)��。此外��,生產(chǎn)環(huán)境的變更和升級(jí)�,我們發(fā)現(xiàn)大多數(shù)中小金融機(jī)構(gòu)并沒有按照監(jiān)管要求引入業(yè)務(wù)部門的聯(lián)合批準(zhǔn)����;我們之前提到的某股份制商業(yè)銀行的研發(fā)人員進(jìn)入生產(chǎn)環(huán)境惡意操控核心系統(tǒng),盜竊銀行大額資金案中��,存在生產(chǎn)環(huán)境對(duì)開發(fā)人員防控控制機(jī)制和執(zhí)行上的漏洞��。因此���,我們發(fā)現(xiàn)環(huán)境隔離���、職責(zé)分離、變更審核�����、聯(lián)合審批,都是較大程度上防止或者減少惡意人員通過變更或者升級(jí)環(huán)節(jié)對(duì)生產(chǎn)環(huán)境惡意操作風(fēng)險(xiǎn)的必要舉措�。
五、關(guān)于信息系統(tǒng)開發(fā)中的數(shù)據(jù)安全
《指引》第三十六條提到商業(yè)銀行應(yīng)確保信息系統(tǒng)開發(fā)��、測(cè)試��、維護(hù)過程中數(shù)據(jù)的完整性����、保密性和可用性�。我們上期也提到《指引》第三十條對(duì)數(shù)據(jù)安全做出了原則性的要求,商業(yè)銀行應(yīng)制定相關(guān)制度和流程�,嚴(yán)格管理客戶信息的采集、處理����、存貯、傳輸�����、分發(fā)�、備份、恢復(fù)、清理和銷毀�。所以針對(duì)信息系統(tǒng)開發(fā)這個(gè)大場(chǎng)景,會(huì)涉及生產(chǎn)數(shù)據(jù)的采集����、處理、存儲(chǔ)����、傳輸、分發(fā)����、清理和銷毀這些環(huán)節(jié),尤其是測(cè)試環(huán)境會(huì)用到生產(chǎn)數(shù)據(jù)����。
我們上期也提到,目前中小銀行的數(shù)據(jù)安全管控在監(jiān)管的推動(dòng)下����,已經(jīng)建立了體系化的管控策略,普遍制定了生產(chǎn)數(shù)據(jù)的管理策略和制度����,涵蓋了數(shù)據(jù)采集、處理、保管����、備份、銷毀等環(huán)節(jié)��;部署了數(shù)據(jù)安全防護(hù)的技術(shù)體系����,包括但不限于如下環(huán)節(jié):數(shù)據(jù)加密、數(shù)據(jù)庫訪問控制����、數(shù)據(jù)庫審計(jì)�����、數(shù)據(jù)脫敏�、數(shù)據(jù)防泄漏等。此外���,圍繞數(shù)據(jù)所處的使用環(huán)境�,分別在應(yīng)用安全�����、網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施安全等方面都對(duì)數(shù)據(jù)的采集���、傳輸�����、存儲(chǔ)和使用方面提高了安全管控強(qiáng)度��。
針對(duì)中小銀行開發(fā)和測(cè)試環(huán)境�,大多數(shù)中小銀行業(yè)金融機(jī)構(gòu)都建立了生產(chǎn)數(shù)據(jù)使用申請(qǐng)的審批和執(zhí)行機(jī)制����,申請(qǐng)時(shí)明確數(shù)據(jù)使用范圍和使用期限,無需真實(shí)生產(chǎn)數(shù)據(jù)都需要借助脫敏工具進(jìn)行脫敏操作�;數(shù)據(jù)脫敏操作人員和數(shù)據(jù)使用人員職責(zé)分離;數(shù)據(jù)使用完畢����,進(jìn)行數(shù)據(jù)的刪除或者覆蓋操作(尤其針對(duì)真實(shí)數(shù)據(jù)測(cè)試場(chǎng)景);對(duì)于參與研發(fā)和測(cè)試的人員如需真實(shí)數(shù)據(jù)�����,領(lǐng)先的中小銀行采用虛擬桌面的方式訪問測(cè)試系統(tǒng)和生產(chǎn)數(shù)據(jù),生產(chǎn)數(shù)據(jù)“不落地”�����。部分中小銀行也建立了定期抽查開發(fā)和測(cè)試終端是否存在敏感數(shù)據(jù)的機(jī)制��,涵蓋外包開發(fā)人員的終端��。
此外��,開發(fā)測(cè)試環(huán)境的生產(chǎn)數(shù)據(jù)的存儲(chǔ)和訪問����,尤其是目前針對(duì)大數(shù)據(jù)開發(fā)和測(cè)試的場(chǎng)景,數(shù)據(jù)使用范圍廣�����,使用周期長�����,考慮到開發(fā)和測(cè)試環(huán)境的訪問控制機(jī)制相對(duì)生產(chǎn)環(huán)境會(huì)“薄弱”很多�����,往往沒有專人負(fù)責(zé)這些數(shù)據(jù)的保管�,以及配套相應(yīng)的技術(shù)控制機(jī)制,因此潛在的泄露風(fēng)險(xiǎn)也會(huì)加大���。
六�����、關(guān)于問題管理
《指引》第三十七條提到商業(yè)銀行應(yīng)建立并完善有效的問題管理流程�,以確保全面地追蹤���、分析和解決信息系統(tǒng)問題���。
大多數(shù)中小銀行都建立了問題或事件管理相關(guān)制度,以及建立了問題或者事件管理的信息化管理平臺(tái)��。目前普遍存在的問題是中小銀行沒有真正將事件管理和問題管理區(qū)分開來進(jìn)行管理�����;事件管理更多的是圍繞單次發(fā)生的故障采取的處置管理流程�����,而問題管理則是圍繞多次同類事件而開展的根本原因分析而采取的管理流程,以期能夠從根本上杜絕因同一問題而導(dǎo)致的類似事件再次發(fā)生��。
領(lǐng)先的中小銀行�,會(huì)基于IS020000(信息技術(shù)服務(wù)管理體系)要求,或者通過ISO20000體系的認(rèn)證��,建立和完善事件管理和問題管理流程��,從行內(nèi)發(fā)生的信息系統(tǒng)多個(gè)事件來開展問題根源分析��,并根據(jù)發(fā)現(xiàn)的問題根源�,配置必要資源并進(jìn)行解決。問題管理流程的輸入����,通常是多個(gè)事件的處置信息,而非一個(gè)事件的閉環(huán)處置流程��,這樣能夠大大降低事件的發(fā)生頻率和影響后果�。
本文內(nèi)容來自于盛邦安全對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的有限了解���,難免管中窺豹��,其中不準(zhǔn)確����、不正確、不恰當(dāng)之處也請(qǐng)讀者諒解和指正���,尊貴的銀行業(yè)金融機(jī)構(gòu)也請(qǐng)不要對(duì)號(hào)入座�。盛邦安全將在本年度陸續(xù)發(fā)布針對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀觀察系列文章���,如有興趣���,敬請(qǐng)期待。
