|
|
|
|
|
|
來源: 發布日期:2017.12.15 點擊量:
根據中國銀行業監督管理委員會的《電子銀行業務管理辦法》要求,在境內開展電子銀行業務的金融機構應定期對電子銀行系統進行安全評估,并將其作為電子銀行風險管理的重要組成部分。
安言咨詢將根據中國銀監會的《電子銀行安全評估指引》和《網上銀行安全評估內部審核規范》,參照《電子銀行業務管理辦法》、《網上銀行系統信息安全通用規范》等相關制度規范的要求,開展電子銀行安全評估工作。
1.符合性核查依據
本次電子銀行安全評估工作主要依據以下政策法規和標準規范:
《電子銀行安全評估指引》(中國銀行業監督管理委員會)
2.項目進度及范圍
依據《電子銀行業務管理辦法》的要求在風險管理架構和制度、安全策略文檔、系統安全性及業務連續性四個主要安全域,包括了安全策略、內控制度建設、系統安全性、業務連續性、業務應急、風險管理狀況及風險預警七方面內容對電子銀行進行綜合評估。
2.1項目評估范圍
具體安全評估內容及評估執行級別請見下表:
|
評估域 |
評估項 |
|
風險管理架構和制度 |
電子銀行業務高級管理職責和制度設計 |
|
董事會和高管層的認識和支持 |
|
|
電子銀行業務管理部門崗位設置和內部制約 |
|
|
風險管理配備與培訓 |
|
|
電子銀行業務風險管理的規章制度與操作規定 |
|
|
電子銀行業務的風險管理的關鍵流程 |
|
|
外包風險管理 |
|
|
風險預警體系建設 |
|
|
內部審計制度的建設與運行情況 |
|
|
安全策略文檔 |
安全策略制定的流程 |
|
系統設計與開發的安全策略 |
|
|
系統測試與驗收的安全策略 |
|
|
系統運維安全策略 |
|
|
系統備份與應急的安全策略 |
|
|
客戶信息安全策略 |
|
|
系統安全性 |
物理環境安全 |
|
通訊安全 |
|
|
主機系統安全 |
|
|
應用系統安全 |
|
|
密鑰管理 |
|
|
客戶信息認證與保密 |
|
|
入侵監測和反應機制 |
|
|
業務連續性 |
業務連續性設施和能力 |
|
業務連續性制度和文檔 |
|
|
應急預案的制定、更新和培訓 |
|
|
應急預案定期檢測與演練情況 |
|
|
突發事件管理能力 |
3.符合性評估方法
從評估的方法來看,本次符合性評估主要包括系統安全性測試評估和管理制度評估兩大部分。
系統安全性測試的內容包括但不局限于安全配置核查、案例驗證、漏洞掃描測試、滲透性測試(系統內部或外部發起),如下:
安全配置核查:評估人員使用配置核查列表等工具對系統的重要網絡設備、安全設備(如防火墻、交換機和IDS系統等)和主機系統(主要是各個重要的服務器操作系統、數據庫)的安全配置項進行核查,主要檢測由系統本身配置不當帶來的脆弱性。在進行安全配置檢查時考慮到被評估系統為運行系統,因此一般不在其上面安裝自動化的安全配置檢測工具,而主要是采用上機手工操作方式來查看評估對象的安全保護措施是否符合評估要求。安全配置核查需要委托單位的技術人員的全程陪同協助完成。
案例驗證:評估人員通過對評估對象按照預定的方法、工具使其產生特定的行為,并查看、分析輸出結果,以證明評估對象的安全保護措施是否符合評估要求。
漏洞掃描測試:評估人員采用自動化工具對系統網絡、主機操作系統、數據庫、應用系統等進行掃描檢測,在系統不同層次上檢測并統計所暴露的安全漏洞和脆弱點,確定系統的綜合安全狀況。
滲透性測試:評估人員根據漏洞掃描的結果,按用戶要求進行漏洞驗證。依據漏洞可能被利用的程度,設計案例并實施模擬攻擊測試,以驗證評估對象抗攻擊能力。滲透性測試是模擬滲透攻擊者對系統進行滲透,檢測系統抵抗攻擊的能力,但與惡意的攻擊者不同,這種模擬的滲透攻擊不會對被測試系統造成損害。但仍建議用戶提前做好備份工作并制定相應的應急恢復預案。
管理制度的評估方式包括但不局限于現場訪談、文檔核查等,具體如下:
現場訪談:評估人員通過與電子銀行的設計、建設、運行、管理等環節的有關人員(個人/群體)進行交流、討論,獲取證據以證明某項安全保護措施是否有效。
文檔核查:評估人員通過對銀行提供的管理制度文檔及其執行情況和記錄等進行查驗、分析,獲取證據以證明某項安全保護措施是否有效實施。
4. 符合性評估流程
在與委托單位正式簽署有關電子銀行安全評估的委托評估協議以后,整個安全評估工作將經歷評估準備、現場評估、整改復核、總結報告四個主要階段。
相關客戶案例: