銀行信息安全審計與操作風險控制
前言 近年來,銀行IT系統(tǒng)對銀行業(yè)務的發(fā)展起到極大的推進作用。同時,隨著銀行業(yè)務對IT系統(tǒng)的依賴程度越來越高,IT風險對業(yè)務風險的影響也越來越大。而IT風險中70%以上屬于操作風險,即由人工操作不當(無
前言
近年來,銀行IT系統(tǒng)對銀行業(yè)務的發(fā)展起到極大的推進作用。同時,隨著銀行業(yè)務對IT系統(tǒng)的依賴程度越來越高,IT風險對業(yè)務風險的影響也越來越大。而IT風險中70%以上屬于操作風險,即由人工操作不當(無意或故意)引起的風險。因此,有效地控制IT風險,尤其是操作風險,對銀行業(yè)務的安全運營至關重要。
國家信息化專家咨詢委員會的曲成義委員指出:要確保應用安全,安全廠商應當真正擺脫產(chǎn)品本位的思想,深入到行業(yè)內部、對一些典型應用進行深入的調查和研究,從而提出以應用為主的新型安全解決方案。
本文正是在這樣一種思路的指導下,對銀行的信息安全審計需求進行分析,并針對如何有效地進行操作審計進行深入討論。
銀行信息安全審計需求
根據(jù)審計的目的不同,可以分為合規(guī)性審計與績效審計。就信息安全審計而言,目前主要是合規(guī)性審計。
在此,合規(guī)性指銀行的行為需要符合相關的法律、標準、規(guī)范、文件精神的要求。而信息安全合規(guī)性則指銀行在建設與運行IT系統(tǒng)中的行為需要符合相關的法律、標準、規(guī)范、文件精神的要求。
以下討論的銀行信息安全審計限于銀行IT系統(tǒng)運行的合規(guī)性審計。
目前以四大銀行為代表的國有銀行均已制訂了成文的信息安全策略,信息安全策略的貫徹執(zhí)行需要相應的檢查手段。信息安全審計作為銀行風險控制的主要內容之一,是檢查安全策略落實情況的一種手段。
下面從操作風險生命周期的角度淺顯地分析信息安全審計在操作風險控制中發(fā)揮的作用。
操作風險成為現(xiàn)實的事件(或者事故)一般需要經(jīng)歷三個階段:隱患、誘發(fā)、已發(fā)生。
導致存在操作風險隱患的原因有兩點:一是信息安全策略本身存在漏洞,二是信息安全策略沒有得到很好的貫徹執(zhí)行,尤其是缺乏相應的技術保障措施。
誘發(fā)操作風險的原因則多種多樣。無論是人為的有意越權訪問或者無意誤操作,還是各種安全事件(病毒感染、蠕蟲爆發(fā)、惡意程序植入等),都會把風險變成實實在在的損失。
操作風險發(fā)生后表現(xiàn)為安全事件(事故),對事件(事故)的處理通常遵循如下圖所示的流程:
圖1.事件(事故)處理的一般流程
信息安全審計正好包含標識事件、分析事件、收集相關證據(jù)等活動,從而為策略調整和優(yōu)化提供依據(jù)。
信息安全審計的范圍至少應該包括:
1、安全策略的一致性檢查
2、人工操作的記錄與分析(操作審計)
3、程序行為的記錄與分析(日志分析與審計)
一般來說,信息安全審計的主要依據(jù)為信息安全管理相關的標準。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風險(尤其是操作風險),從而提高安全性。
當前信息安全審計主要為合規(guī)性審計。對銀行來說,這意味著要符合所有適用的法案、條約等。例如薩班斯-奧克斯利法案(SOx Act)與巴塞爾協(xié)議(Basel)都對風險控制有明確的要求。其中前者側重操作風險控制,后者側重業(yè)務風險(金融交易風險)控制。如前所述,由于銀行業(yè)務對IT系統(tǒng)的依賴性越來越高,操作風險導致業(yè)務風險的案例屢見不鮮,因此有效地控制操作風險是業(yè)務風險控制的重要內容。
銀行信息安全審計的實現(xiàn)
信息安全審計不能離開信息安全策略而獨立存在,因此信息安全審計的實現(xiàn)必須與信息安全策略的制訂與落實緊密結合在一起,才能有效地控制風險。
因此,銀行信息安全審計的實現(xiàn)需要考慮如下因素:
1、制訂信息安全策略所依據(jù)的標準(如ISO/IEC 17799);
2、IT系統(tǒng)中實際執(zhí)行的訪問控制策略(如交換機與路由器的ACL、防火墻的規(guī)則等);
3、在安全策略中規(guī)定但未落實到技術措施的安全策略(如口令更換周期、口令強度、不可共同賬號、最小授權等);
4、安全事件(病毒感染、蠕蟲傳播、惡意程序植入等)對信息安全(機密性、完整性以及可用性)的破壞;
5、盜版軟件、企業(yè)機密信息在網(wǎng)絡上的傳播與濫用;
6、安全策略中未明確規(guī)定但隱含的與法律要求一致的內容。
相應地,銀行信息安全審計可以考慮如下實現(xiàn)方法:
1、行為記錄:記錄所有進入、離開特定物理區(qū)域、IT系統(tǒng)區(qū)域的信息以及在IT系統(tǒng)中進行的各種操作(業(yè)務訪問、系統(tǒng)維護、策略配置等);
2、日志審計:采集、分析IT系統(tǒng)(操作系統(tǒng)、數(shù)據(jù)庫、可管理的網(wǎng)絡設備等)自身的日志;
3、網(wǎng)絡活動審計:采集網(wǎng)絡數(shù)據(jù)包,通過協(xié)議解協(xié)還原網(wǎng)絡活動并記錄;
4、對重點監(jiān)控對象(如存放有機密文件的辦公PC)進行細粒度的行為(擊鍵、文件讀寫、拷貝等)記錄與分析。
顯然,上述幾種方法只能獨立地滿足不同的審計要求,尚不足以構成完整的IT審計體系。因此,需要采用合適的技術將各種不同的審計方法整合在一起,形成獨立、完整的綜合審計平臺。從而建立一個行為不可抵賴,數(shù)據(jù)可靠、完整的IT審計體系,全面增強事件(事故)的標識、分析、收集證據(jù)以及策略調整等環(huán)節(jié),有效地追查事故原因并輔助界定責任。
結束語
在合規(guī)性使命越來越緊迫的驅動下,銀行信息安全審計正在逐漸成為銀行業(yè)務風險(尤其是操作風險)控制的重要內容之一。銀行信息安全審計必須建立在功能完整、技術可靠的綜合審計平臺之上,相對獨立地運行,發(fā)揮監(jiān)督與促進作用,從而有效地控制IT相關的操作風險。
近年來,銀行IT系統(tǒng)對銀行業(yè)務的發(fā)展起到極大的推進作用。同時,隨著銀行業(yè)務對IT系統(tǒng)的依賴程度越來越高,IT風險對業(yè)務風險的影響也越來越大。而IT風險中70%以上屬于操作風險,即由人工操作不當(無意或故意)引起的風險。因此,有效地控制IT風險,尤其是操作風險,對銀行業(yè)務的安全運營至關重要。
國家信息化專家咨詢委員會的曲成義委員指出:要確保應用安全,安全廠商應當真正擺脫產(chǎn)品本位的思想,深入到行業(yè)內部、對一些典型應用進行深入的調查和研究,從而提出以應用為主的新型安全解決方案。
本文正是在這樣一種思路的指導下,對銀行的信息安全審計需求進行分析,并針對如何有效地進行操作審計進行深入討論。
銀行信息安全審計需求
根據(jù)審計的目的不同,可以分為合規(guī)性審計與績效審計。就信息安全審計而言,目前主要是合規(guī)性審計。
在此,合規(guī)性指銀行的行為需要符合相關的法律、標準、規(guī)范、文件精神的要求。而信息安全合規(guī)性則指銀行在建設與運行IT系統(tǒng)中的行為需要符合相關的法律、標準、規(guī)范、文件精神的要求。
以下討論的銀行信息安全審計限于銀行IT系統(tǒng)運行的合規(guī)性審計。
目前以四大銀行為代表的國有銀行均已制訂了成文的信息安全策略,信息安全策略的貫徹執(zhí)行需要相應的檢查手段。信息安全審計作為銀行風險控制的主要內容之一,是檢查安全策略落實情況的一種手段。
下面從操作風險生命周期的角度淺顯地分析信息安全審計在操作風險控制中發(fā)揮的作用。
操作風險成為現(xiàn)實的事件(或者事故)一般需要經(jīng)歷三個階段:隱患、誘發(fā)、已發(fā)生。
導致存在操作風險隱患的原因有兩點:一是信息安全策略本身存在漏洞,二是信息安全策略沒有得到很好的貫徹執(zhí)行,尤其是缺乏相應的技術保障措施。
誘發(fā)操作風險的原因則多種多樣。無論是人為的有意越權訪問或者無意誤操作,還是各種安全事件(病毒感染、蠕蟲爆發(fā)、惡意程序植入等),都會把風險變成實實在在的損失。
操作風險發(fā)生后表現(xiàn)為安全事件(事故),對事件(事故)的處理通常遵循如下圖所示的流程:
圖1.事件(事故)處理的一般流程
表1.事件(事故)處理流程與操作風險三階段的對應表
操作風險階段 |
事件(事故)處理 |
說明 |
隱患 |
策略調整 |
對策略進行調整和優(yōu)化,彌補策略漏洞,防止同類事件再次發(fā)生。 |
誘發(fā) |
標識、分析、收集證據(jù) |
分析引發(fā)事件的原因,為策略調整與優(yōu)化提供依據(jù)。 |
已發(fā)生 |
抑制、轉移、根除 |
控制風險,防止事件造成的損失進一步擴大。 |
信息安全審計正好包含標識事件、分析事件、收集相關證據(jù)等活動,從而為策略調整和優(yōu)化提供依據(jù)。
信息安全審計的范圍至少應該包括:
1、安全策略的一致性檢查
2、人工操作的記錄與分析(操作審計)
3、程序行為的記錄與分析(日志分析與審計)
一般來說,信息安全審計的主要依據(jù)為信息安全管理相關的標準。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風險(尤其是操作風險),從而提高安全性。
當前信息安全審計主要為合規(guī)性審計。對銀行來說,這意味著要符合所有適用的法案、條約等。例如薩班斯-奧克斯利法案(SOx Act)與巴塞爾協(xié)議(Basel)都對風險控制有明確的要求。其中前者側重操作風險控制,后者側重業(yè)務風險(金融交易風險)控制。如前所述,由于銀行業(yè)務對IT系統(tǒng)的依賴性越來越高,操作風險導致業(yè)務風險的案例屢見不鮮,因此有效地控制操作風險是業(yè)務風險控制的重要內容。
銀行信息安全審計的實現(xiàn)
信息安全審計不能離開信息安全策略而獨立存在,因此信息安全審計的實現(xiàn)必須與信息安全策略的制訂與落實緊密結合在一起,才能有效地控制風險。
因此,銀行信息安全審計的實現(xiàn)需要考慮如下因素:
1、制訂信息安全策略所依據(jù)的標準(如ISO/IEC 17799);
2、IT系統(tǒng)中實際執(zhí)行的訪問控制策略(如交換機與路由器的ACL、防火墻的規(guī)則等);
3、在安全策略中規(guī)定但未落實到技術措施的安全策略(如口令更換周期、口令強度、不可共同賬號、最小授權等);
4、安全事件(病毒感染、蠕蟲傳播、惡意程序植入等)對信息安全(機密性、完整性以及可用性)的破壞;
5、盜版軟件、企業(yè)機密信息在網(wǎng)絡上的傳播與濫用;
6、安全策略中未明確規(guī)定但隱含的與法律要求一致的內容。
相應地,銀行信息安全審計可以考慮如下實現(xiàn)方法:
1、行為記錄:記錄所有進入、離開特定物理區(qū)域、IT系統(tǒng)區(qū)域的信息以及在IT系統(tǒng)中進行的各種操作(業(yè)務訪問、系統(tǒng)維護、策略配置等);
2、日志審計:采集、分析IT系統(tǒng)(操作系統(tǒng)、數(shù)據(jù)庫、可管理的網(wǎng)絡設備等)自身的日志;
3、網(wǎng)絡活動審計:采集網(wǎng)絡數(shù)據(jù)包,通過協(xié)議解協(xié)還原網(wǎng)絡活動并記錄;
4、對重點監(jiān)控對象(如存放有機密文件的辦公PC)進行細粒度的行為(擊鍵、文件讀寫、拷貝等)記錄與分析。
顯然,上述幾種方法只能獨立地滿足不同的審計要求,尚不足以構成完整的IT審計體系。因此,需要采用合適的技術將各種不同的審計方法整合在一起,形成獨立、完整的綜合審計平臺。從而建立一個行為不可抵賴,數(shù)據(jù)可靠、完整的IT審計體系,全面增強事件(事故)的標識、分析、收集證據(jù)以及策略調整等環(huán)節(jié),有效地追查事故原因并輔助界定責任。
結束語
在合規(guī)性使命越來越緊迫的驅動下,銀行信息安全審計正在逐漸成為銀行業(yè)務風險(尤其是操作風險)控制的重要內容之一。銀行信息安全審計必須建立在功能完整、技術可靠的綜合審計平臺之上,相對獨立地運行,發(fā)揮監(jiān)督與促進作用,從而有效地控制IT相關的操作風險。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經(jīng)本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡
