安全评估方案
中国金融认证中心(CFCA)
2008-4
目 录
1 概述 .............................................................................................................................................. 5
1.1 1.2 1.3 1.4
评估背景 ................................................................................................................... 5 目标 ........................................................................................................................... 6 评估参考依据 ........................................................................................................... 6 评估方式 ................................................................................................................... 7
2 评估范围....................................................................................................................................... 7 3 评估内容..................................................................................................................................... 10
3.1 3.2 3.3
电子银行安全管理评估 ......................................................................................... 10 电子银行系统平台安全评估 ................................................................................. 12 电子银行业务控制评估 ......................................................................................... 14
4 评估方法..................................................................................................................................... 16
4.1
评估流程 ................................................................................................................. 16 4.1.1 4.1.2 4.1.3 4.2
业务及IT应用现状调研 ............................................................................... 16 现场评估 ......................................................................................................... 18 综合评价 ......................................................................................................... 19
评估手段 ................................................................................................................. 19 4.2.1 4.2.2 4.2.3 4.2.4
调查 ................................................................................................................. 20 检查 ................................................................................................................. 21 测试 ................................................................................................................. 21 人工分析 ......................................................................................................... 21
4.3 评估工具 ................................................................................................................. 22
4.3.1 4.3.2 4.3.3 4.3.4
调查问卷 ......................................................................................................... 22 现场调查表 ..................................................................................................... 22 评估表/Checklist ............................................................................................. 23 自动化测试工具 ............................................................................................. 24
5 项目阶段与时间估算 ................................................................................................................. 24
5.1
项目阶段划分 ......................................................................................................... 24 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.2
项目准备 ......................................................................................................... 25 现状调研与分析 ............................................................................................. 26 实施评估 ......................................................................................................... 28 改进建议 ......................................................................................................... 30 项目总结 ......................................................................................................... 31
时间估算 ................................................................................................................. 32
6 项目组织与人员安排 ................................................................................................................. 34
6.1 6.2 6.3
组织机构 ................................................................................................................. 34 主要人员安排 ......................................................................................................... 35 主要人员介绍 ......................................................................................................... 36
7 项目管理..................................................................................................................................... 36
7.1 7.2 7.3
质量保证 ................................................................................................................. 36 实施过程中的风险控制 ......................................................................................... 36 交流与沟通 ............................................................................................................. 37
8 主要项目文档 ............................................................................................................................. 38 附件1:电子银行整体安全评价准则 .......................................................................................... 38
附件2:关键资产安全风险评价准则 .......................................................................................... 45
1概述
为掌握电子银行整体业务应用及安全状况,了解当前电子银行风险管理状况与中国银监会(以下简称银监会)相关要求之间的差距,全面加强电子银行风险管理,最终推动电子银行业务的开展,**银行决定针对电子银行开展安全评估,以期发现并弥补电子银行在安全管理、系统平台安全以及业务控制等方面存在的弱点或问题。
1.1 评估背景
随着国民经济、信息技术以及信息化的发展,银行的业务开展模式发生了巨大的变化,最明显的就是以信息技术为支撑平台的电子银行逐渐成为各家银行的重要业务渠道。
与传统银行业务渠道相比,电子银行具有许多优势。一是由于电子银行主要利用公共网络资源,不需设置物理的分支机构或营业网点,大大降低银行经营成本,有效提高银行盈利能力。二是电子银行业务打破了传统银行业务的地域、时间限制,具有能在任何时候(Anytime)、任何地方(Anywhere)、以任何方式(Anyhow)为客户提供金融服务的特点,这既有利于吸引和保留优质客户,又能主动扩大客户群,开辟新的利润来源。三是电子银行有利于服务创新,向客户提供多种类、个性化服务。
但由于其特定的运作方式和网络环境,电子银行在带给人们极大便利的同时,也带来了更多的传统或新的银行风险。通常情况下,电子银行业务的开展可能会给银行带来大量的交易或操作风险、符合性/法律风险以及声誉风险,如:
服务中断、客户信息泄露、客户资金被盗等。此外一些传统的风险,如:战略风险、信用风险、流动性/价格/市场等风险也会因电子银行的特点而发生变化,如:由于银行与客户不直接见面、客户分散、业务区域跨度大、市场变化快等原因,银行难以准确判断客户的信誉状况、抵押品价值变化。同时,电子银行业务在许多方面突破了传统的法律框架,这也给电子银行业务运营和监管带来一些体制性障碍。
为有效防范风险,确保电子银行的安全,必须加强对电子银行的监督与管理。为此银监会发布了《电子银行业务管理办法》和《电子银行安全评估指引》,要求申请和开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,利用外部专业评估机构或内部独立于电子银行业务运营及管理的评估部门,定期对电子银行进行安全评估,安全评估包括对电子银行安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
1.2 目标
本次电子银行安全评估工作的目标主要有:
➢ ➢ ➢ ➢
掌握电子银行业务应用及安全状况; 按照银监会相关要求完成电子银行安全评估; 针对评估中发现的问题提出改进建议或方案; 为**银行将来电子银行风险管理积累经验。
1.3 评估参考依据
本次电子银行安全评估主要参考依据包括:
1. 《信息安全风险评估指南》(GB/T××××—××××送审稿); 2. 《商业银行内部控制评价办法》(银监会); 3. 《银行业金融机构内部审计指引》(银监会); 4. 《银行业金融机构信息系统风险管理指引》(银监会); 5. 《电子银行业务管理办法》(银监会); 6. 《电子银行安全评估指引》(银监会);
7. 《电子银行风险管理原则》(巴塞尔银行监管委员会); 8. ISO/IEC 27000系列标准。
1.4 评估方式
本次电子银行安全评估是由中国金融认证中心(以下简称CFCA)按照银监会《电子银行业务管理办法》以及《电子银行安全评估指引》要求实施的外部第三方评估,评估过程与评估结果将作为**银行申请电子银行业务的依据材料,上报银监会。
2评估范围
依据银监会《电子银行业务管理办法》、《电子银行安全评估指引》以及**银行电子银行业务开展状况,本次电子银行安全评估的范围如下:
组织范围
通常来说,与电子银行相关的部门包括:
➢ 业务部门(电子银行部):负责电子银行日常业务的开展。 ➢ IT
部门(科技部):负责电子银行系统平台的开发、获取及日常运维。
➢ 风险管理部门:负责与电子银行有关的风险识别、风险评估、风险处置与
风险监控等。
➢ 内部审计部门(审计部或合规部):负责电子银行业务及风险管理审核。
为全面评估电子银行的安全管理状况,本次安全评估涵盖与电子银行风险管理相关的所有部门,包括**银行总部电子银行部、信息科技部、操作及其他风险管理部、组织及生产力促进部、法规监管部、法律事务部等,基于**银行的特点,本次安全评估不涉及下属分行或支行。
系统范围
根据银监会发布的《电子银行管理办法》,电子银行业务是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。
电子银行业务包括利用计算机和互联网开展的银行业务(以下简称网上银行业务),利用电话等声讯设备和电信网络开展的银行业务(以下简称电话银行业务),利用移动电话和无线网络开展的银行业务(以下简称手机银行业务),以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务。
本次电子银行安全评估的系统范围只包括与网上银行(包括信息网站以及交易网站)相关的网络平台、操作系统/数据库/中间件平台以及应用系统等,下图是**银行网上银行系统网络拓扑图。
根据上图所示,本次电子银行安全评估涉及的网络设备、系统/平台大致范围包括如下表:
业务范围
根据服务对象的不同,电子银行业务通常分为:
➢ 个人银行; ➢ 企业银行;
➢ 电子银行内部管理。
本次安全评估涉及**银行网上银行的个人银行、企业银行以及相关的网银管理三大类业务。
3评估内容
作为机构IT业务应用之一,电子银行需要与其它业务应用一起纳入机构全面的风险管理体系中。电子银行安全评估涉及电子银行业务控制评估、电子银行系统平台安全评估以及与电子银行相关的总体安全管理评估三个层面。
3.1 电子银行安全管理评估
电子银行安全管理评估的目的是评估电子银行安全管理框架及体系的健全性、符合性和有效性,一般来说电子银行安全管理框架及体系的建设运行涉及电子银行部门、IT部门(科技部)、审计部门以及风险管理部门等。针对这些部门的安全管理评估包括:
➢ 风险管理框架建设与运行
✓ 各级人员的风险管理意识或认知; ✓ 风险模型或框架定义; ✓ 相关职责划分/人员安排;
✓ 与目标设定、风险识别、风险评估、风险控制以及风险监测相关的
流程及操作程序; ✓ 风险管理程序执行情况;
✓ 董事会及高管对风险管理的监查。 ➢ 内部控制体系建设与运行
✓ 管理层对电子银行内部控制的认知能力与水平; ✓ 相关职责划分/人员安排;
✓ 控制环境建设情况;
✓ 与电子银行整个生命周期(开发、获取、运营、废弃等)相关的控
制体系建设情况; ✓ 控制机制执行情况;
✓ 沟通与监控机制的建设与运行情况; ✓ 内部审计制度的建设与运行情况。 ➢ 开发与获取管理
✓ 与开发及获取相关的职责安排,组织架构是否合理; ✓ 开发及获取的标准、方法论及实践; ✓ 开发质量保证过程; ✓ 开发及获取变更控制过程; ✓ 电子银行系统补丁与发布管理; ✓ 与电子银行相关的开发文档管理与控制。 ➢ 运营管理
✓ 相关职责划分/人员安排; ✓ 事件/问题或知识/管理流程; ✓ 变更管理/发布管理流程; ✓ 配置管理流程; ✓ 电子银行监控; ✓ 电子银行用户支持;
✓ 其它电子银行日常操作流程,如:巡检、备份、定期报告等。 ➢ 应急响应与业务连续性管理
✓ 应急响应与业务连续性管理流程建设; ✓ 相关职责划分/人员安排;
✓ 电子银行应急预案与业务连续性计划制定情况; ✓ 与电子银行相关的灾备及其它技术控制情况; ✓ 电子银行应急与业务连续性定期演练情况。 ➢ 外包管理
✓ 外包管理流程建设; ✓ 相关职责划分/人员安排;
✓ 与电子银行相关的外包管理执行情况。 ➢ 安全管理
✓ 安全管理策略/制度/流程建设; ✓ 相关职责划分/人员安排; ✓ 安全管理执行情况。
3.2 电子银行系统平台安全评估
电子银行系统平台安全评估的目的是评估支撑电子银行业务运行的系统平台的安全性,通常情况下,支撑电子银行业务的系统平台包括物理环境、网络设施、主机系统平台以及应用系统等。针对上述对象的具体评估内容如下:
➢ 物理环境安全
✓ 物理环境安全(机房环境、出入管理、监控措施); ✓ 设备安全(设备管理、设备维护等);
✓ 介质安全(各种存储介质管理、备份介质管理、应急介质管理)。
➢ 网络平台安全
✓ 网络及边界安全(网络接入控制、访问控制、边界防护); ✓ 网络系统安全设计(网络结构安全、网络服务质量保证); ✓ 网络设备安全功能及使用(网络内在安全措施配置管理等); ✓ 网络访问控制; ✓ 网络安全检测分析; ✓ 网络连接; ✓ 网络可用性。 ➢ 操作系统/平台安全
✓ 帐号安全; ✓ 文件系统安全; ✓ 网络服务安全; ✓ 系统访问控制; ✓ 日志及监控审计; ✓ 拒绝服务保护; ✓ 补丁管理;
✓ 病毒及恶意代码防护; ✓ 系统备份与恢复。 ➢ 数据库安全
✓ 数据库帐号安全; ✓ 数据库访问控制; ✓ 存储过程安全;
✓ 补丁管理; ✓ 系统备份与恢复; ✓ 日志及监控审计。 ➢ 应用系统安全
✓ 身份鉴别; ✓ 访问控制; ✓ 交易的安全性; ✓ 数据的安全性; ✓ 密码支持; ✓ 异常处理; ✓ 输入输出合法性; ✓ 备份与故障恢复; ✓ 安全审计; ✓ 资源利用; ✓ 安全管理。
3.3 电子银行业务控制评估
电子银行业务控制评估的目的是评估电子银行业务开展过程中内部控制措施的健全性、符合性及有效性,评估的对象是所有电子银行业务流程,如:开户、转账、查询、统计等,针对每个业务流程的具体评估内容如下:
➢ 业务流程建设状况
✓ 流程目的与目标;
✓ 流程所有权;
✓ 业务流程策略、计划及程序; ✓ 角色划分、职责定义与人员安排; ✓ 流程活动定义; ✓ 流程绩效。 ➢ 业务应用控制
✓ 原始数据准备与授权; ✓ 原始数据收集与录入;
✓ 交易准确性、完全性、真实性检查; ✓ 处理完整性与有效性;
✓ 输出的检查、调整与错误处理; ✓ 交易鉴别与完整性。 ➢ 业务控制
业务控制是指电子银行业务处理过程中的控制,一般来说主要涉及与IT无关的固有业务控制。
✓ 开户; ✓ 账户查询; ✓ 存/贷款; ✓ 支付/转账; ✓ 交费; ✓ 网上理财;
✓ 集团服务/现金管理;
✓ ……。
4评估方法
本次安全评估将结合基于弱点的安全评估和基于资产的风险评估两种方法,通过调查访谈、现场检测、分析研究等手段评估电子银行存在的弱点,并对电子银行涉及的主要信息资产进行基于资产的风险评估,最后从电子银行安全管理、电子银行系统平台安全以及电子银行业务控制三个方面评价电子银行的安全状况,给出整改建议。
4.1 评估流程
本次安全评估的过程主要包括:业务及IT应用现状调研、现场评估、综合评价三大阶段。如下图:
业务及IT应用现状调研 现场评估 评安安系评估全全统估管评平理估台 业务控制综合评价 评安评资评价全价产价管安理全 业务控制
4.1.1 业务及IT应用现状调研
业务及IT应用现状调研的目的在于全面掌握电子银行的基本信息,包括电
子银行管理组织、电子银行业务类别/业务流程、电子银行系统平台信息等,重点收集整理分析电子银行应用状况与业务流程信息。现状调研完成后需要形成《电子银行业务及IT应用现状调研报告》。
主要工作任务包括: ➢ 填写调查问卷; ➢ 相关文档收集与查阅; ➢ 面对面访谈;
➢ 系统平台配置信息/状态信息收集; ➢ 上述信息的分析整理。
需要调研的详细信息包括: ➢ 电子银行管理组织架构; ➢ 电子银行业务类别及业务流程; ➢ 电子银行用户情况;
➢ 电子银行系统网络架构及部署情况; ➢ 电子银行应用系统功能;
➢ 电子银行主要信息资产(网络设备、系统/平台等)。
评估小组将主要采取人工调查(调查问卷、现场面谈、文档检查)的方式收集信息,需要相关主管及操作人员的参与及帮助。
4.1.2 现场评估
现场评估主要通过访谈、检测以及核查等方式对电子银行安全管理、电子银行系统平台安全以及电子银行业务控制三个方面的内容进行评估,目的在于发掘电子银行存在的弱点或漏洞。现场评估将会形成一系列工作过程文档,包括各种实施计划以及相关的访谈记录,扫描报告、渗透测试报告、人工检测报告等。
现场评估的工作任务包括: ➢ 安全管理评估 ✓ 安全管理访谈; ✓ 制度文档审阅;
✓ 制度符合性/有效性检查。 ➢ 业务风险分析 ✓ 业务控制访谈; ✓ 业务控制核查。 ➢ IT基础设施安全评估 ✓ 关键资产评估; ✓ 威胁评估; ✓ 安全访谈; ✓ 安全扫描; ✓ 人工检测; ✓ 渗透测试。
现场评估涉及访谈、扫描、人工检测等多种手段,事先应该根据前期了解的
电子银行相关信息,分别制定详细实施计划,并在实施过程中需要相关主管及操作人员的参与及帮助。 4.1.3 综合评价
综合分析现状调研以及现场评估的结果,分别从安全管理、系统平台安全以及业务控制三个方面综合评价电子银行的安全状况,并依据前期收集的信息对电子银行关键资产进行风险评价。
综合评价的具体工作任务包括: ➢ 电子银行安全综合评价
依照电子银行整体安全评价准则(参见附件1:电子银行整体安全评价准则),分别从安全管理、系统平台安全以及业务控制三个方面综合评价电子银行的安全状况,形成《电子银行安全管理评估报告》、《电子银行系统平台安全评估报告》、《电子银行业务控制评估报告》。
➢ 电子银行系统关键信息资产风险评价
依照关键资产安全风险评价准则(参见附件2:关键资产安全风险评价准则),对电子银行关键信息资产进行安全风险评价,形成《电子银行系统关键信息资产安全风险评估表》。
4.2 评估手段
本次安全评估将主要采用调查、检查、安全测试、分析等手段进行信息收集与安全分析评估。
➢ 调查
主要用于电子银行业务现状及安全状况信息收集。访谈包括问卷、远程访谈与现场访谈。
➢ 检查
主要用于电子银行弱点分析,包括文档核查,执行检查等。 ➢ 测试
主要用于弱点分析,包括手工测试、自动工具测试。 ➢ 人工分析
主要用于资产分析、威胁分析、安全措施分析及安全评价。 4.2.1 调查
调查对象包括各级管理人员、开发人员、部署/配置人员等。 ➢ 问卷调查
发放调查问卷,由调查对象填写并回收。 ➢ 远程访谈
通过电话或邮寄调查表进行。 ➢ 现场访谈
与电子银行用户、管理或开发员工面对面会谈。
调查工作需要电子银行相关部门的支持与帮助。
4.2.2 检查
通过对电子银行系统开发与运行的相关文档的检查,了解该系统的安全态势、风险管理和控制计划及其执行情况、紧急响应能力、信息安全的培训工作等情况,从中找出安全漏洞或弱点。检查的文档包括但不仅限于:
1) 系统安全建设文档;
2) 系统开发文档:例如系统用户指南、系统管理手册、系统设计和需求分
析文档等;
3) 系统运行文档:例如系统日志、防火墙、IDS日志等;
4) 其它相关文档:例如已往的审计报告、风险管理报告、系统测试结果、
系统安全规划、执行记录等。
4.2.3 测试
➢ 手工测试
本次评估将采用手工测试,进一步了解操作系统、数据库系统、应用系统、网络/安全设备的特点和安全状况。并对通过其它方式搜集的信息进行印证和修正,从而保证信息的准确性。
➢ 自动工具测试
自动工具的使用可快速发现系统的弱点,在短时间内收集大量的脆弱性信息,大大提高评估效率。本次评估将使用自动扫描工具进行弱点探测。 4.2.4 人工分析
通过安全专业人员的分析来保证评估的有效性。
4.3 评估工具
评估工具包括文档模板与自动化工具,前者包括调查问卷、现场调查表、Checklist或评估表等,后者包括自动扫描及测试工具、自动分析评价工具等。 4.3.1 调查问卷
通过调查问卷收集电子银行相关信息,如:管理状况、安全事件等。调查问卷由电子银行相关人员填写并反馈评估人员。调查问卷包括:
✓ 威胁/事件调查问卷; ✓ 管理调查问卷等。 4.3.2 现场调查表
利用调查表收集评估对象现状信息,调查表由评估人员在现场访谈时使用,调查表包括:
✓ 组织基本信息调查表
电子银行组织架构、岗位职责、人员安排、电子银行目标使命等。 ✓ 网络现状调查表
链路状况、网络拓扑、设备产品部署、管理平台/手段、配置状况(IP、端口、服务)、安全措施。
✓ 系统现状调查表
操作系统版本、补丁状况、口令帐号管理、文件管理、服务管理、备份、安全措施等。
✓ 业务及应用现状调查表
业务种类、业务路径、应用架构、开发文档、数据库、安全功能。 ✓ 管理现状调查表
组织结构、制度流程、培训。 4.3.3 评估表/Checklist
利用评估表或Checklist检查系统是否存在弱点,评估表或Checklist由评估人员在安全访谈、检查与测试时使用,本次安全评估使用的评估表或Checklist可能包括:
✓ 风险管理框架评估表; ✓ 内部控制体系评估表; ✓ 开发与获取管理评估表; ✓ 运营管理评估表;
✓ 应急响应与业务连续性管理评估表; ✓ 外包管理评估表; ✓ 安全管理评估表; ✓ 物理安全评估表; ✓ 网络设计安全评估表; ✓ 交换机安全评估表; ✓ 路由器安全评估表; ✓ 防火墙安全评估表; ✓ Solaris安全评估表; ✓ Linux安全评估表;
✓ Apache安全评估表; ✓ Weblogic安全评估表; ✓ Oracle安全评估表; ✓ 应用安全评估表; ✓ 桌面安全评估表; ✓ 业务流程评估表; ✓ 业务应用控制评估表; ✓ 业务控制评估表。 4.3.4 自动化测试工具
自动化测试工具包括扫描工具、口令破解攻击、攻击工具等。用于检测系统可能存在的漏洞或弱点。
5项目阶段与时间估算
5.1 项目阶段划分
第一步 第二步 第三步 第四步 第五步 项目准备 现状调研与分析 实施评估 改进建议 项目总结
本次安全评估分项目准备、现状调研与分析、实施评估、改进建议、及项目总结五个阶段,各个阶段工作定义说明如下:
项目准备
项目实施前期工作,包括成立项目组,确定评估范围,制定项目实施计划,收集整理开发各种评估工具等。
现状调研与分析
通过远程或现场访谈,收集、整理、分析电子银行业务及IT应用信息,形成业务及IT应用现状报告。
实施评估
采用前面描述的评估方法,从安全管理、系统平台安全以及业务控制三个方面实施电子银行安全评估,形成电子银行安全评估报告。
改进建议
根据评估的结果,参照相关标准或最佳实践,确定完善电子银行安全管理需要进行的主要工作,对具体实施内容进行综合分析,提出改进建议与实施规划。
项目总结
完善评估成果、进行项目总结。 5.1.1 项目准备
1)过程(活动)描述
✓ 确定项目任务、目标; ✓ 成立项目组; ✓ 确定评估范围、内容; ✓ 制定评估实施计划; ✓ 收集整理开发各种评估工具。
2)工作方式与参与人员 活动 1.1确定项目任务、目标 1.2成立项目组 1.3确定评估范围、内容 1.4制定评估实施计划 计划讨论、文档CFCA 工作方式 交流、讨论 主要参与人员 电子银行相关部门 CFCA 1.5收集整理开发各种评估撰写整理 工具 1.6启动会 1.7项目知识、工具转移与培训 3)输入 4)输出
✓ 《安全评估计划》(主要是业务及IT应用现状调研实施计划); ✓ 《安全评估调查问卷》; ✓ 《业务及IT应用信息调查表》; ✓ 各种评估表或Checklist; ✓ 《安全评价表》。
5.1.2 现状调研与分析
1)过程(活动)描述
✓ 填写调查问卷;
启动会议 电子银行相关部门 CFCA ✓ 文档收集与查阅; ✓ 现场访谈;
✓ 配置信息/状态信息收集; ✓ 业务及IT信息分析整理; ✓ 撰写现状报告; ✓ 制定下一阶段实施计划。 2)工作方式与参与人员 活动 2.1填写调查问卷 2.2文档收集与查阅 工作方式 主要参与人员 集中或单个填写 电子银行相关部门 现场查阅或远程CFCA 查阅 2.3现场访谈 面对面访谈 CFCA、电子银行相关人员 2.4配置信息/状态信息收手工或远程测试 CFCA、电子银行系集 2.5业务及IT信息分析整理 内部讨论 2.6撰写现状报告 文档撰写 统相关配合人员 CFCA CFCA 2.7制定下一阶段实施计划 计划讨论,文档CFCA 撰写 3)输入
✓ 《业务及IT应用现状调研实施计划》; ✓ 《业务及IT应用信息调查表》。
4)输出
✓ 调查结果表; ✓ 系统配置信息;
✓ 《电子银行安全访谈实施计划》; ✓ 《电子银行系统安全扫描实施计划》; ✓ 《电子银行系统人工检测实施计划》; ✓ 《电子银行系统渗透测试实施计划》; ✓ 《电子银行业务及IT应用现状报告》。
5.1.3 实施评估
1)过程(活动)描述
✓ 安全管理评估
安全管理访谈; 制度文档审阅;
制度符合性/有效性检查。 ✓ 业务控制评估
业务控制访谈; 业务控制核查。 ✓ IT基础设施安全评估
资产评估; 威胁评估; 安全访谈;
安全扫描; 人工检测; 渗透测试。 ✓ 整理/撰写报告;
✓ (如果需要)制定下一步工作计划。 2)工作方式与参与人员 活动 3.1安全管理评估 工作方式 访谈、检查 主要参与人员 电子银行系统相关人员,CFCA 3.2业务控制评估 访谈、检查 电子银行系统相关人员,CFCA 3.3IT基础设施安全评估 访谈、检查、手电子银行系统相关工检测、工具扫人员,CFCA 描等 3.4整理/撰写报告 内部讨论,文档CFCA 撰写 3.5制定下一步工作计划计划讨论,文档CFCA (如果需要) 3)输入
✓ 自动评估工具;
✓ 各种评估表或checklist; ✓ 各种实施计划。
撰写 4)输出
✓ 《电子银行安全评估报告 》(提交银监会); ✓ 《电子银行安全管理评估报告 》; ✓ 《电子银行IT基础设施安全评估报告》; ✓ 《电子银行业务流程风险评估报告》; ✓ 各种访谈/检测报告;
✓ 下一步工作计划(如果需要)。
5.1.4 改进建议
1)过程(活动)描述
✓ 改进建议(制度/标准/指南/方案);
✓ (如果需要)整理制度/标准/指南/方案模板; ✓ (如果需要)撰写制度/标准/指南/方案; ✓ (如果需要)评审制度/标准/指南/方案。 2)工作方式与参与人员 活动 工作方式 主要参与人员 CFCA 4.1改进建议(制度/标准/内部讨论 指南/方案) 4.2(如果需要)整理制度/整理、撰写模板 CFCA 标准/指南/方案模板 4.2(如果需要)撰写制度/撰写文档 标准/指南/方案 CFCA,电子银行相关部门 4.4(如果需要)评审制度/评审会 标准/指南/方案 3)输入
✓ 电子银行业务及IT应用现状报告; ✓ 各种测试报告; ✓ 各种安全评估报告; ✓ 工作计划。 4)输出
✓ 《电子银行安全建议书》;
CFCA,电子银行相关部门 ✓ 电子银行安全管理相关模板(如果需要);
✓ 电子银行安全管理相关制度/标准/指南/方案(如果需要); ✓ 电子银行安全规划(如果需要)。
5.1.5 项目总结
1)过程(活动)描述
✓ 成果完善; ✓ 撰写汇报材料; ✓ 项目汇报。 2)工作方式与参与人员 活动 5.1成果完善 5.2撰写汇报材料 工作方式 文档整理 撰写材料 主要参与人员 CFCA CFCA 5.3项目汇报 总结会 电子银行系统相关人员,CFCA 3)输入
✓ 前期各种工作过程文档及报告。 4)输出
✓ 汇报材料。
5.2 时间估算
实施阶段 实施任务 1.1确定项目任务、目标 1.2 确定评估范围、内容 1.3成立项目组 1.4制定评估实施计划 实施内容 3个工作日 3人 1个工作日 时间安排 人员安排 1项目准备 1.5收集整理开发各种评估工 具 1.6启动会 1.7项目知识、工具转移与培 训 2.1填写调查问卷 2业务及IT应用现状调研与分析 2.3现场访谈 2.4系统配置信息收集 2.2文档收集 1个工作日 3人 4个工作日 1个工作日 2人 1人 2.5现场检测计划 2.6业务流程分析整理 3.1安全安全管理访谈 管理评制度文档审阅 估 3个工作日 5个工作日 2个工作日 2个工作日 1人 3人 制度符合性/有效 性检查 1个工作日 2人 3.2业务业务控制访谈 控制评业务控制核查 估 3实施评估 3.3IT基资产评估 础设施威胁评估 安全评安全访谈 估 安全扫描 人工检测 渗透测试 3.4整理/撰写报告 2个工作日 1个工作日 2个工作日 1个工作日 1个工作日 1-2人 4个工作日 10个工作日 1个工作日 1个工作日 1个工作日 3人 3人 3人 3人 4.1成果及工作过程文档整理 4项目总结 4.2撰写汇报材料 4.3项目汇报 总计 34个工作日 4.6人月 6项目组织与人员安排
6.1 组织机构
项目领导小组技术经理项目组成员 项目经理 银行项目小组 CFCA项目小组 项目经理 资深安全顾问高级安全顾问IT部门配合成员 风险管理部门配合成员内部审计部门配合成员业务部门配合成员其它部门配合成员项目领导小组:由**银行和CFCA相关领导组成,对评估项目能够有充分的重视,对项目进行的关键环节作出决策,使项目的发展保持正确的方向。
**银行项目小组:由**银行电子银行部、科技部、风险管理部、审计部等电子银行相关单位人员组成,根据需要参与、支持、评审、监督电子银行评估工作。
**银行项目经理:**银行项目小组负责人,制定项目计划,落实人员安排,管理项目进度,与CFCA协调评估项目事宜。
**银行技术经理:**银行项目小组的电子银行技术负责人。
**银行配合人员:由各参与部门相关人员组成,负责评估项目的帮助支持工作,包括资料提供、信息收集,并根据需要参与部分工作。
CFCA项目小组:由CFCA相关人员组成,负责实施电子银行安全评估,撰
安全顾问/助理 客户经理 写评估报告及相关改进建议。
CFCA项目经理:CFCA项目小组负责人,负责制定项目计划,落实人员安排,管理项目进度,与**银行协调评估项目事宜。
CFCA客户经理:CFCA项目小组商务负责人。
CFCA资深安全顾问:由CFCA资深安全顾问担当,负责制定评估方案、开发评估工具、指导高级安全顾问及安全顾问/助理实施安全评估,并根据需要参与具体评估工作。
CFCA高级安全顾问:由CFCA有丰富实践经验的技术人员组成,负责评估项目的具体实施工作,如:访谈、测试、手工检查等,并撰写评估报告及相关改进建议。
CFCA安全顾问/助理:由CFCA相关技术人员组成,参与评估项目的具体实施工作,如:访谈、测试、手工检查等。
6.2 主要人员安排
CFCA项目组长: CFCA项目经理: CFCA资深安全顾问: CFCA高级安全顾问: CFCA安全顾问/助理:
6.3 主要人员介绍
7项目管理
7.1 质量保证
实施计划评审:在项目实施过程中,对各种评估实施计划的内容进行评审,并形成正规化文件。
评估实施:严格按评估实施方案和评估实施计划实施评估。
文件管理:对所有的项目文件进行有效的控制和管理,以保证评估的正规化和规范化。这些文件包括评估实施方案、评估实施计划、工具集以及中间文档记录等。
7.2 实施过程中的风险控制
由于评估过程中会涉及大量电子银行业务及系统相关的敏感信息,同时也会针对电子银行系统使用多种攻击性检测工具,因此评估可能会给电子银行安全带来一定的潜在威胁,对此主要采取以下控制措施。
1. 对所有参与电子银行安全评估的员工进行背景调查,并按规定签署保密
协议,进行保密教育。
2. 评估实施前制定详细实施计划,所有工作计划必须获得领导批准,并严
格按照计划执行。
3. 对于项目中的任何变更,项目实施人员均要通知项目组长或领导组成员,
项目组长或领导组成员需要对是否允许变更做出批示。对于重要的变更,需要书面的变更申请,并更新相关计划。
4. 在评估实施前,对电子银行系统的重要数据,如:网络系统关键设备配
置、服务器系统配置参数等,根据评估活动可能带来的风险大小,做好相应的备份,保证能够快速恢复系统。
5. 根据评估活动可能带来的各种威胁及风险,做好相应的应急预案。 6. 挑选具有丰富经验的技术人员参与技术测试,避免因操作失误而造成电
子银行系统故障。
7. 除非必须,否则尽量不对生产系统进行实际操作,对电子银行系统的技
术测试尽量选择在测试环境中进行。
7.3 交流与沟通
项目过程中的交流与沟通能确保及时、有效地收集、产生、发布、保存和处理项目信息。它是人、思路和信息之间的关系纽带,是成功所必须的。本项目主要采用如下几种沟通方式
➢ 会议,包括:
✓ 多方参与的项目启动会议;
✓ 项目组的周例会,主要由项目组人员参与; ✓ 项目阶段工作会议,主要由项目组人员参与; ✓ 多方参与的项目总结会议。 ➢ 日常沟通、记录和备忘录,主要包括:
✓ 各种非正式会议; ✓ 电话; ✓ 传真;
✓ 邮件。 ➢ 报告,包括:
✓ 项目计划和进展报告; ✓ 项目总结报告;
✓ 以及在各个阶段输出的项目成果文本等。
8主要项目文档
1. 《电子银行安全评估方案》;
2. 《电子银行安全评估实施计划》(系列); 3. 《电子银行安全评估调查问卷》(系列); 4. 《电子银行业务及IT应用现状报告》; 5. 《电子银行系统重要资产清单》; 6. 《电子银行系统重要资产风险评估表》; 7. 《电子银行系统安全扫描报告》; 8. 《电子银行系统手工安全检测报告》; 9. 《电子银行系统渗透测试报告》; 10. 《电子银行安全评估报告》。
附件1:电子银行整体安全评价准则
电子银行的整体安全评价从安全管理、系统平台安全以及业务控制三个方面进行。每个方面包含一系列评价内容描述(可能包含多级描述),针对每个最终
评价内容(非中间级)的赋值准则如下:
评价赋值L 0-完全不符合 33-少部分符合 66-基本符合 100-完全符合 描述 当前状况完全不符合评价内容描述。 当前状况少部分符合评价内容描述。 当前状况基本不符合评价内容描述。 当前状况完全评价内容描述。 每个中间级的评价内容值L由下述公式确定:
L=∑(Wi×li)/∑Wi,i>0。 其中:
L是某级评价内容的赋值。
具体的评价内容描述及权重参考(在实际评价时可能根据具体情况调整)如下:
➢ 安全管理评价内容及权重 进行如下内容评价:
各级人员的风险管理意识或认知(权重10%) 风险模型或框架定义(权重10%) 风险管理框架建设与运行相关职责划分/人员安排(权重20%) (权重10%) 与目标设定、风险识别、风险评估、风险控制以及风险监测相关的流程及操作程序(权重20%)
风险管理程序执行情况(权重30%) 董事会及高管对风险管理的监察(权重10%) 管理层对电子银行内部控制的认知能力与水平(权重10%) 相关职责划分/人员安排(权重10%) 控制环境建设情况(权重10%) 内部控制体系建设与运行与电子银行整个生命周期(开发、获取、运营、(权重20%) 废弃等)相关的控制体系建设情况(权重20%) 控制机制执行情况(权重30%) 沟通与监控机制的建设与运行情况(权重10%) 内部审计制度的建设与运行情况(权重10%) 与开发及获取相关的职责安排,组织架构是否合理(权重10%) 开发及获取的标准、方法论及实践(权重30%) 开发质量保证过程(权重30%) 开发与获取管理(权重10%) 开发及获取变更控制过程(权重10%) 电子银行系统补丁与发布管理(权重10%) 与电子银行相关的开发文档管理与控制(权重10%) 相关职责划分/人员安排(权重10%) 运营管理(权重10%) 事件/问题或知识/管理流程(权重20%) 变更管理/发布管理流程(权重20%) 配置管理流程(权重20%) 电子银行监控(权重10%) 电子银行用户支持(权重10%) 其它电子银行日常操作流程,如:巡检、备份、定期报告等(权重10%) 应急响应与业务连续性管理流程建设(权重20%) 相关职责划分/人员安排(权重10%) 电子银行应急预案与业务连续性计划制定情况(权重30%) 与电子银行相关的灾备及其它技术控制情况(权重30%) 电子银行应急与业务连续性定期演练情况(权重10%) 外包管理流程建设(权重30%) 相关职责划分/人员安排(权重30%) 与电子银行相关的外包管理执行情况(权重40%) 安全管理策略/制度/流程建设(权重30%) 安全管理(权重30%) 相关职责划分/人员安排(权重30%) 安全管理执行情况(权重40%) 应急响应与业务连续性管理(权重10%) 外包管理(权重10%) ➢ 系统平台安全评价内容及权重
针对物理环境、系统平台架构以及每个网络/系统/设施/设备,进行如下内容评价:
物理环境(权重20%) 物理环境(权重10%) 设备安全(权重40%) 介质安全(权重40%) 网络及边界安全(网络接入控制、访问控制、边界防护(权重30%) 网络系统安全设计(网络结构安全、网络服务质量保证)(权重10%) 网络访问控制(权重10%) 网络平台(权重10%) 网络安全检测分析(权重10%) 网络连接(权重10%) 网络可用性(权重10%) 网络设备的安全管理与配置(权重20%) (本项内容是对电子银行所有(或关键)网络设备安全风险状况的综合考虑) 操作系统/平台(权重20%) 帐号安全(权重20%) (本项内容是对电子银行文件系统安全(权重10%) 所有(或关键)操作系统/网络服务安全(权重10%) 平台安全风险状况的综合系统访问控制(权重10%) 考虑) 日志及监控审计(权重10%) 拒绝服务保护(权重10%) 补丁管理(权重10%) 病毒及恶意代码防护(权重10%) 系统备份与恢复(权重10%) 数据库帐号安全(权重30%) 数据库(权重20%) 数据库访问控制(权重10%) (本项内容是对电子银行存储过程安全(权重10%) 所有(或关键)数据库系统补丁管理(权重10%) 安全风险状况的综合考虑) 系统备份与恢复(权重20%) 日志及监控审计(权重10%) 身份鉴别(权重10%) 访问控制(权重10%) 交易的安全性(权重10%) 数据的安全性(权重10%) 密码支持(权重10%) 应用系统(权重40%) 异常处理(权重10%) 输入输出合法性(权重10%) 备份与故障恢复(权重10%) 安全审计(权重5%) 资源利用(权重5%) 安全管理(权重10%) ➢ 业务控制评价内容及权重
针对每个业务,进行如下内容评价:
流程目的与目标(权重10%) 流程所有权(权重10%) 业务流程建设状况(权重业务流程策略、计划及程序(权重20%) 40%) 角色划分、职责定义与人员安排(权重20%) 流程活动定义(权重30%) 流程绩效(权重10%) 原始数据准备与授权(权重10%) 原始数据收集与录入(权重10%) 交易准确性、完全性、真实性检查(权重30%) 业务应用控制(权重30%) 处理完整性与有效性(权重20%) 输出的检查、调整与错误处理(权重10%) 交易鉴别与完整性(权重20%) 业务通用控制(50%) 业务控制(权重30%) 业务活动控制(50%) 对整个业务控制的综合评价由下面公式确定:
Lb=∑li/i,i>0。 其中:
附件2:关键资产安全风险评价准则
关键资产的安全风险由下面公式确定:
关键资产的安全风险值=威胁可能性值×该威胁利用弱点造成的影响值 ➢ 威胁可能性赋值
一个资产可能面临多种威胁,在分析威胁可能性时,需要综合考虑以下三个方面,以形成针对电子银行的各种威胁出现的频率:
(1) 以往安全事件报告中出现过的威胁及其频率的统计;
(2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计; (3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
威胁可能性赋值表如下: 威胁可能性赋值 描述 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 威胁出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。 威胁出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。 1 2 3 ➢ 威胁利用弱点造成的影响赋值
一种威胁可能利用资产存在的多个弱点或漏洞,应该针对资产的每个弱点或漏洞,分析特定威胁利用该弱点或漏洞造成的影响。
影响赋值表如下: 影响赋值 描述 对弱点的攻击(1)基本不会导致电子银行信息资1 产或资源的损失;(2)对电子银行系统的使命、组织的声誉、或利益基本没有影响; 对弱点的攻击(1)可能导致电子银行信息资产或2 资源的损失;(2)可能冲突、危害、或阻碍电子银行系统的使命、组织的声誉、或利益; 对弱点的攻击(1)可能导致电子银行信息资产或3 资源的高成本损失;(2)可能严重冲突、危害、或阻碍电子银行系统的使命、组织的声誉、或利益; ➢ 风险确定
应该针对每项关键资产,分析该资产所面临的每种威胁利用该资产存在的每个弱点或漏洞的而带来的风险。
✓ 确定风险等级
影响 威胁可能性 低(1) 中(2) 高(3) 高(3) 低1×3 = 3 中2×3 = 6 高3×3 = 9 中(2) 低1×2 = 2 中2×2 = 4 中3×2 = 6 低(1) 低1×1 = 1 低2×1 = 2 低3×1 = 3 ✓ 描述风险等级 风险级别 高(9) 中(4、6) 风险描述和必要行动 必须尽快部署整改措施。 必须在一个合理的时间段内部署整改措施。 低(3、2、1) 可以不部署整改措施。
因篇幅问题不能全部显示,请点此查看更多更全内容