电子银行系统风险评估技术创新与实践
The electronic banking system risk assessment techniques
and practice of innovation
盛京银行 姜志坤
摘 要:在信息安全领域,基于等级保护框架的信息系统风险评估的创新模式,对信息系统开展风险评估工作是十分重要的。作为信息系统安全保障建设的必要步骤,识别资产、威胁、脆弱性是信息系统风险评估过程中的关键环节。其中“成本”与“安全”的平衡也是信息系统安全保障建设需要解决的问题之一。本文是基于此种创新模式,给出了电子银行系统风险评估实践中的评估方法和评估要点。
关键词:电子银行系统;等级保护;风险评估;创新模式
引 言:电子银行是指银行利用电子计算机技术和网络通信技术,采用网上银行、电话银行、手机银行、自动柜员机、POS 机、转账电话、缴费机等渠道和手段来为客户提供存取现金、转账、修改密码、账户查询、异地汇款等常规金融服务,以及代缴公用事业费、银证转账、基金买卖、黄金买卖、网上支付等新兴理财服务。
电子银行安全评估是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。从风险管理角度,运用科学的方法和手段,系统地分析电子银行系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。风险评估的基本要素包括资产、威胁、脆弱性和安全措施。风险评估的主要内容用一句话说就是对资产、威胁、脆弱性的识别,对已采取安全措施的确认以及进行风险分析。
近几年,随着银行业信息系统,尤其是电子银行系统的广泛应用,信息安全问题日益严重。自2007年国家发布了《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)。银行业监管部门也相继出台了《商业银行信息科技风险管理指引》、《电子银行安全评估指引》等一系列指导性文件。风险评估作为信息安全保障体系建设的重要组成部分受到关注和重视。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
一、创新型风险评估模式
[2]
[2]
[1]
风险评估是信息系统安全保障建设的基础。是科学的分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。通过风险评估将导出信息系统的安全需求,因此,电子银行系统的安全建设应以风险评估为起点。
“成本”与“安全”的平衡是信息系统安全保障建设需要解决的问题之一。基于创新型风险评估模式一定程度上解决了“成本”与“安全”平衡的问题。等级保护框架的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五个等级。
等级保护工作主要包括系统定级、总体安全规划、安全设计与实施、安全运行与维护和系统终止,是一个全生命周期过程。风险评估贯穿于信息系统生命周期的各个阶段。在安全规划阶段,通过风险评估以确定系统建设应达到的安全目标;在设计阶段,通过风险评估对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据;在实施阶段,通过风险评估以确定系统的安全目标达成与否;在运行维护阶段,要针对安全形势和问题,定期或不定期的进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。
创新型风险评估模式是分级保护和突出重点的具体体现。众所周知,不存在绝对的安全,实践中也做不到绝对的安全,安全风险总是客观存在的,盲目追求安全和完全规避风险都是不现实的。因此,要从实际出发,坚持分级防护、突出重点,就必须正确的评估风险,以便采取有效、科学、客观和经济的措施。
二、风险评估关系模型
风险评估中各要素的关系如图1所示:
[2]
[3]
图1 风险评估要素关系图
图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1中的风险要素及属性之间存在着以下关系:
1. 业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; 2. 资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大; 3. 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件; 4. 资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大; 5. 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产; 6. 风险的存在及对风险的认识导出安全需求;
7. 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; 8. 安全措施可抵御威胁,降低风险;
9. 残余风险有些是安全措施不当或无效, 需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;
10. 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。 三、风险评估原理 风险评估原理如图2所示:
[2]
图2 风险评估原理图
风险评估中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险评估的主要内容为:
1. 对资产进行识别,并对资产的价值进行赋值;
2. 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值; 3. 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值; 4. 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
5. 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失; 6. 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
四、电子银行系统风险评估实践
由于信息系统安全风险评估与信息系统安全等级保护的密切关系,以及电子银行系统在金融行业信息系统中的重要作用。以下主要总结基于创新型风险评估模式在实践中的评估方法和评估要点。
电子银行系统风险评估实施必须确定评估范围、明确评估对象。对于电子银行系统建议以定级对象确定评估范围,即确定为定级对象的信息系统应具有:
1. 唯一确定的安全责任单位; 2. 具有信息系统的基本要素;
3. 承载单一或相对独立的业务应用三个基本特征。
在确定了评估范围之后,需进一步明确评估对象。风险评估实施资产识别所确定的重要资产往往就是重要评估对象。另外,风险评估对象也可根据信息系统自身组成的特点确定,我们知道典型的信息系统由三部分组成:硬件系统(计算机硬件系统、网络硬件系统、安全产品等) ;系统软件(计算机系统软件、网络系统软件等) ;应用软件(包括由其处理、存储业务信息的应用系统) ,因此,可以确定如整体对象:机房系统、办公环境、网络系统等;具体对象:网络设备——交换机、路由器,安全设备——防火墙、入侵检测系统、漏洞扫描系统、主机监控与审计、防计算机病毒恶意代码、安全隔离与信息交换系统、违规外联监控系统等,用户终端和服务器,操作系统、数据库管理系统,应用系统(如手机银行系统、电话银行系统、网上银行系统、ATM 系统、电视银行系统、支付系统等);除了技术方面,风险评估对象还应包括管理方面,如安全管理机构、安全管理制度、安全管理人员、系统建设管理、系统运维管理等。风险评估对象最佳的方法是基于用例库/知识库,结合系统调查快速确定。
风险评估所采用的方法总体来说主要有:问卷调查、顾问访谈、人工检查、文档查阅、工具检测、渗透性测试及综合分析等。访谈是指评估人员与被评估组织内的有关人员就评估所关注的问题进行有针对性的询问和交流的过程,该过程可以帮助评估者了解现状、澄清疑问或获得证据。检查是指对评估对象进行观察、调查、评审、分析或核查的过程。与访谈类似,该过
[4]
程可以帮助评估者了解现状、澄清疑问或获得证据。比较典型的检查行为包括:对安全配置的核查、对安全策略的分析和评审等。测试是指在特定环境中运行一个或多个评估对象并将实际结果与预期结果进行比较的过程。测试的目标是判定对象是否符合预定的一组规格。测试过程可以帮助评估者获得证据。测试可以分为功能测试、结构化测试、渗透性测试三类。功能测试:即黒盒测试,测试人员在测试前已经了解被测评目标的功能规格、高层设计和操作规范。结构化测试:即灰盒测试和白盒测试,测试人员在测试前已经掌握被测评项目的内部结构,如详细设计、代码实现等。渗透性测试:测试人员可以利用所有可用的资料和手段来企图绕开被测评项目的安全特性。
基于创新型风险评估模式,脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理环境、网络系统及架构、主机服务器、业务应用系统等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,包括物理和环境、设备和介质、网络和系统、备份与恢复、病毒与恶意代码防护、应急响应等方面;后者与管理环境相关,包括安全管理机构、安全管理制度、安全管理人员等方面。
具体技术类评估见表1:评估方法、工具、评估要点和常见问题汇总。
表1:评估方法、工具、评估要点和常见问题汇总
结束语
在进行电子银行系统风险评估的过程中,自动化测试工具的使用提高了评估效率,并在一定程度上解决了手动评估的局限性,但是,仅仅使用工具还远远不够,很多实际应用问题是工具不能发现的,尤其是脆弱性识别更需要具有丰富实践经验的评估人员,需要通过人工核查、渗透性测试、综合分析等多种方法综合运用。最后,衷心希望从事风险评估相关工作的信息安全人员,能够针对每一个评估对象、每一个评估要点,在实践中建立并不断完善相应的测试用例,最终形成风险评估用例库和知识库,提高信息系统风险评估质量水平,为信息系统安全保障建设做好服务。
参考文献
[1] 《电子银行安全评估指引》 (银监发〔2006〕13号) [2] GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 [3] GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》 [4] GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》 [5] GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》
电子银行系统风险评估技术创新与实践
The electronic banking system risk assessment techniques
and practice of innovation
盛京银行 姜志坤
摘 要:在信息安全领域,基于等级保护框架的信息系统风险评估的创新模式,对信息系统开展风险评估工作是十分重要的。作为信息系统安全保障建设的必要步骤,识别资产、威胁、脆弱性是信息系统风险评估过程中的关键环节。其中“成本”与“安全”的平衡也是信息系统安全保障建设需要解决的问题之一。本文是基于此种创新模式,给出了电子银行系统风险评估实践中的评估方法和评估要点。
关键词:电子银行系统;等级保护;风险评估;创新模式
引 言:电子银行是指银行利用电子计算机技术和网络通信技术,采用网上银行、电话银行、手机银行、自动柜员机、POS 机、转账电话、缴费机等渠道和手段来为客户提供存取现金、转账、修改密码、账户查询、异地汇款等常规金融服务,以及代缴公用事业费、银证转账、基金买卖、黄金买卖、网上支付等新兴理财服务。
电子银行安全评估是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。从风险管理角度,运用科学的方法和手段,系统地分析电子银行系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。风险评估的基本要素包括资产、威胁、脆弱性和安全措施。风险评估的主要内容用一句话说就是对资产、威胁、脆弱性的识别,对已采取安全措施的确认以及进行风险分析。
近几年,随着银行业信息系统,尤其是电子银行系统的广泛应用,信息安全问题日益严重。自2007年国家发布了《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)。银行业监管部门也相继出台了《商业银行信息科技风险管理指引》、《电子银行安全评估指引》等一系列指导性文件。风险评估作为信息安全保障体系建设的重要组成部分受到关注和重视。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
一、创新型风险评估模式
[2]
[2]
[1]
风险评估是信息系统安全保障建设的基础。是科学的分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。通过风险评估将导出信息系统的安全需求,因此,电子银行系统的安全建设应以风险评估为起点。
“成本”与“安全”的平衡是信息系统安全保障建设需要解决的问题之一。基于创新型风险评估模式一定程度上解决了“成本”与“安全”平衡的问题。等级保护框架的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五个等级。
等级保护工作主要包括系统定级、总体安全规划、安全设计与实施、安全运行与维护和系统终止,是一个全生命周期过程。风险评估贯穿于信息系统生命周期的各个阶段。在安全规划阶段,通过风险评估以确定系统建设应达到的安全目标;在设计阶段,通过风险评估对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据;在实施阶段,通过风险评估以确定系统的安全目标达成与否;在运行维护阶段,要针对安全形势和问题,定期或不定期的进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。
创新型风险评估模式是分级保护和突出重点的具体体现。众所周知,不存在绝对的安全,实践中也做不到绝对的安全,安全风险总是客观存在的,盲目追求安全和完全规避风险都是不现实的。因此,要从实际出发,坚持分级防护、突出重点,就必须正确的评估风险,以便采取有效、科学、客观和经济的措施。
二、风险评估关系模型
风险评估中各要素的关系如图1所示:
[2]
[3]
图1 风险评估要素关系图
图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1中的风险要素及属性之间存在着以下关系:
1. 业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; 2. 资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大; 3. 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件; 4. 资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大; 5. 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产; 6. 风险的存在及对风险的认识导出安全需求;
7. 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; 8. 安全措施可抵御威胁,降低风险;
9. 残余风险有些是安全措施不当或无效, 需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;
10. 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。 三、风险评估原理 风险评估原理如图2所示:
[2]
图2 风险评估原理图
风险评估中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险评估的主要内容为:
1. 对资产进行识别,并对资产的价值进行赋值;
2. 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值; 3. 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值; 4. 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
5. 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失; 6. 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
四、电子银行系统风险评估实践
由于信息系统安全风险评估与信息系统安全等级保护的密切关系,以及电子银行系统在金融行业信息系统中的重要作用。以下主要总结基于创新型风险评估模式在实践中的评估方法和评估要点。
电子银行系统风险评估实施必须确定评估范围、明确评估对象。对于电子银行系统建议以定级对象确定评估范围,即确定为定级对象的信息系统应具有:
1. 唯一确定的安全责任单位; 2. 具有信息系统的基本要素;
3. 承载单一或相对独立的业务应用三个基本特征。
在确定了评估范围之后,需进一步明确评估对象。风险评估实施资产识别所确定的重要资产往往就是重要评估对象。另外,风险评估对象也可根据信息系统自身组成的特点确定,我们知道典型的信息系统由三部分组成:硬件系统(计算机硬件系统、网络硬件系统、安全产品等) ;系统软件(计算机系统软件、网络系统软件等) ;应用软件(包括由其处理、存储业务信息的应用系统) ,因此,可以确定如整体对象:机房系统、办公环境、网络系统等;具体对象:网络设备——交换机、路由器,安全设备——防火墙、入侵检测系统、漏洞扫描系统、主机监控与审计、防计算机病毒恶意代码、安全隔离与信息交换系统、违规外联监控系统等,用户终端和服务器,操作系统、数据库管理系统,应用系统(如手机银行系统、电话银行系统、网上银行系统、ATM 系统、电视银行系统、支付系统等);除了技术方面,风险评估对象还应包括管理方面,如安全管理机构、安全管理制度、安全管理人员、系统建设管理、系统运维管理等。风险评估对象最佳的方法是基于用例库/知识库,结合系统调查快速确定。
风险评估所采用的方法总体来说主要有:问卷调查、顾问访谈、人工检查、文档查阅、工具检测、渗透性测试及综合分析等。访谈是指评估人员与被评估组织内的有关人员就评估所关注的问题进行有针对性的询问和交流的过程,该过程可以帮助评估者了解现状、澄清疑问或获得证据。检查是指对评估对象进行观察、调查、评审、分析或核查的过程。与访谈类似,该过
[4]
程可以帮助评估者了解现状、澄清疑问或获得证据。比较典型的检查行为包括:对安全配置的核查、对安全策略的分析和评审等。测试是指在特定环境中运行一个或多个评估对象并将实际结果与预期结果进行比较的过程。测试的目标是判定对象是否符合预定的一组规格。测试过程可以帮助评估者获得证据。测试可以分为功能测试、结构化测试、渗透性测试三类。功能测试:即黒盒测试,测试人员在测试前已经了解被测评目标的功能规格、高层设计和操作规范。结构化测试:即灰盒测试和白盒测试,测试人员在测试前已经掌握被测评项目的内部结构,如详细设计、代码实现等。渗透性测试:测试人员可以利用所有可用的资料和手段来企图绕开被测评项目的安全特性。
基于创新型风险评估模式,脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理环境、网络系统及架构、主机服务器、业务应用系统等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,包括物理和环境、设备和介质、网络和系统、备份与恢复、病毒与恶意代码防护、应急响应等方面;后者与管理环境相关,包括安全管理机构、安全管理制度、安全管理人员等方面。
具体技术类评估见表1:评估方法、工具、评估要点和常见问题汇总。
表1:评估方法、工具、评估要点和常见问题汇总
结束语
在进行电子银行系统风险评估的过程中,自动化测试工具的使用提高了评估效率,并在一定程度上解决了手动评估的局限性,但是,仅仅使用工具还远远不够,很多实际应用问题是工具不能发现的,尤其是脆弱性识别更需要具有丰富实践经验的评估人员,需要通过人工核查、渗透性测试、综合分析等多种方法综合运用。最后,衷心希望从事风险评估相关工作的信息安全人员,能够针对每一个评估对象、每一个评估要点,在实践中建立并不断完善相应的测试用例,最终形成风险评估用例库和知识库,提高信息系统风险评估质量水平,为信息系统安全保障建设做好服务。
参考文献
[1] 《电子银行安全评估指引》 (银监发〔2006〕13号) [2] GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 [3] GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》 [4] GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》 [5] GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》