電子銀行安全評估方法探討

1、PAGE 電子銀行安全評估方法探討摘要：本文首先對目前各類電子銀行相關(guān)的規(guī)范和制度進(jìn)行了描述和總結(jié)，之后結(jié)合電子銀行的行業(yè)評估現(xiàn)狀，提出了一種新的基于加權(quán)平均方法的電子銀行評估方式，最后針對下一步工作提出了有益的建議。關(guān)鍵詞：加權(quán)平均 電子銀行 評估1 序言電子銀行的概念起源于上世紀(jì)70年代，發(fā)展至今已有近40年。隨著其業(yè)務(wù)種類的創(chuàng)新，電子銀行已成為集電話、手機(jī)、網(wǎng)絡(luò)等多種方式，以及自助查詢終端、ATM、POS等多渠道于一體的自助全方位服務(wù)，可在3A的情況下（即：任何時間、任何地點(diǎn)、任何方式）為客戶提供全天候金融服務(wù)。電子銀行業(yè)務(wù)的出現(xiàn)徹底打破了銀行在服務(wù)時間和空間上的約束，使銀行無所不在。在

2、電子銀行發(fā)展初期，由于其安全性問題及虛擬性特征，人們對其發(fā)展存在著各種疑慮。隨著近幾年各類技術(shù)規(guī)范和標(biāo)準(zhǔn)的逐步出臺，以及各家銀行管理技術(shù)和能力逐步走向成熟，業(yè)務(wù)也得到快速發(fā)展。據(jù)統(tǒng)計(jì)，2011年我國主要銀行的電子渠道交易替代率已達(dá)65.6%，電子銀行已發(fā)展成為業(yè)務(wù)辦理的最主要渠道之一。然而，伴隨著電子銀行的迅猛發(fā)展、受關(guān)注程度的提高，近幾年來，各類信息泄露、賬戶盜用事件的案發(fā)率也呈現(xiàn)逐年上升態(tài)勢，根據(jù)CNNIC最新統(tǒng)計(jì)顯示，網(wǎng)絡(luò)電子信息泄露的比例已超過信息泄露總量的70%，國家秘密和公眾隱私的安全保密問題已非常突出 2011年CNNIC中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告。基于以上情況，針對電子銀行的

3、業(yè)務(wù)發(fā)展、安全狀況進(jìn)行評估是時下熱點(diǎn)之一。各家商業(yè)銀行由于其業(yè)務(wù)種類的特殊性，對其安全評估歷來較為復(fù)雜、且技術(shù)性要求較高，現(xiàn)階段基本通過聘請外部審計(jì)機(jī)構(gòu)來完成?？紤]到各類審計(jì)機(jī)構(gòu)的關(guān)注點(diǎn)不同，且涉及商業(yè)機(jī)密，即便是行業(yè)內(nèi)部人士也很難能對該領(lǐng)域的總體情況進(jìn)行研究剖析。本文下面將首先對現(xiàn)有的電子銀行規(guī)范進(jìn)行歸納比較，并結(jié)合不同類別機(jī)構(gòu)電子銀行的發(fā)展現(xiàn)狀，提出一種新的評估方式。2 當(dāng)前電子銀行評估方法2.1 現(xiàn)有各類制度規(guī)范電子銀行現(xiàn)有評估標(biāo)準(zhǔn)共有四個大類，經(jīng)歸納可以概括為：技術(shù)類標(biāo)準(zhǔn)、行業(yè)監(jiān)管標(biāo)準(zhǔn)、國家基礎(chǔ)標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)四種。在對電子銀行進(jìn)行評估的過程中，我們可充分根據(jù)關(guān)注點(diǎn)和視角的不同，選取其中

4、合適的標(biāo)準(zhǔn)進(jìn)行評估，或者結(jié)合多種評估方式進(jìn)行綜合考慮。下面對幾類標(biāo)準(zhǔn)進(jìn)行簡單介紹。1）技術(shù)類標(biāo)準(zhǔn)。這一類標(biāo)準(zhǔn)主要是國家技術(shù)規(guī)范，包括GB/T18336信息技術(shù)安全性評估準(zhǔn)則（2008年）、GB/T 20983信息安全技術(shù)網(wǎng)上銀行系統(tǒng)信息安全保障評估準(zhǔn)則（2007年）、GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（1999年）、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則（1997年）等國家標(biāo)準(zhǔn)，這一類標(biāo)準(zhǔn)由國家統(tǒng)一制定，并非電子銀行業(yè)務(wù)類的標(biāo)準(zhǔn)，通用性強(qiáng)，覆蓋面廣，但是卻難以涉及具體設(shè)計(jì)規(guī)范和技術(shù)的個性化要求。2）監(jiān)管類標(biāo)準(zhǔn)。這一類標(biāo)準(zhǔn)包括人民銀行頒發(fā)的網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（2012年）、電

5、子支付指引（2006年），以及銀監(jiān)會頒發(fā)的電子銀行業(yè)務(wù)管理辦法（2005年）、電子銀行安全評估指引（2006年）等，這一類標(biāo)準(zhǔn)一般較為細(xì)致和全面，但是其不足在于多為側(cè)重風(fēng)險，屬于行業(yè)監(jiān)管和政策性的導(dǎo)向要求。3）國家基礎(chǔ)標(biāo)準(zhǔn)。這一類標(biāo)準(zhǔn)主要由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會制定的信息系統(tǒng)安全等級保護(hù)標(biāo)準(zhǔn)（2007年）、以及國家質(zhì)檢總局頒布的網(wǎng)上銀行系統(tǒng)安全保障要求（2004年）等構(gòu)成，這一類標(biāo)準(zhǔn)多為基礎(chǔ)性要求，其中各技術(shù)類的指標(biāo)較為詳細(xì)，要求難度也相對適中。4）國際標(biāo)準(zhǔn)。這一類標(biāo)準(zhǔn)主要由ISO27000系列安全管理標(biāo)準(zhǔn)(2005年)、BS 25999業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)（2007年），以及IT

6、IL等國際規(guī)范構(gòu)成，此外，巴塞爾銀行管理委員會制定的電子銀行風(fēng)險管理原則(2003年)也是一項(xiàng)重要的參考。2.2現(xiàn)有評估方法及評估方式所謂評估方法，實(shí)際上就是通過一定的評估方式，對其評估結(jié)果進(jìn)行量化的評定，并結(jié)合最終的評估結(jié)論進(jìn)行判斷，以提供決策的最終依據(jù)。根據(jù)我國各行業(yè)監(jiān)管機(jī)構(gòu)以及著名的國際四大咨詢公司日常工作準(zhǔn)則，一般常見的主要評估手段有以下五種：調(diào)閱資料和報(bào)表、實(shí)地訪談、現(xiàn)場查看、手工核查、工具檢測。1）調(diào)閱資料和報(bào)表。該方式主要是通過翻閱主要規(guī)范、制度和過程記錄，對被評估對象進(jìn)行深入了解，獲取其設(shè)計(jì)規(guī)范、管理情況、配套資源。2）實(shí)地訪談。該方式主要是借助評估人員的主觀經(jīng)驗(yàn)，在與被訪談人

7、員實(shí)際交流過程中，獲取其安全意識、知識、技能、對制度的理解等真實(shí)情況，并同時通過訪談?wù)蛑笇?dǎo)評估人員對于制度理解的準(zhǔn)確度。3）現(xiàn)場查看。該方式主要由評估人員實(shí)地了解各項(xiàng)措施的落實(shí)情況，以及各項(xiàng)基礎(chǔ)設(shè)施配套安全工作的真實(shí)性。4）手工核查。該方式主要對于評估人員對主要技術(shù)的掌握度要求較高，主要通過評估人員查看一些工作簿、日志、配置，通過多個角度，多元化的了解各類設(shè)備安全手段、措施的執(zhí)行情況。5）工具檢測。該方式是一種近幾年誕生的新型檢查方法，有利有弊。優(yōu)勢在于可極大程度的提高檢查效率、放大檢查成果，降低檢查結(jié)論的偶然性；弊端在于工具的效果難以預(yù)先測算，時效性強(qiáng)、淘汰快，且好的工具需要購買和使用成本

8、。2.3 常見的評估工具一般常見的電子銀行類IT評估審計(jì)工具，主要分為系統(tǒng)級檢測工具、應(yīng)用級分析、數(shù)據(jù)挖掘工具三種。系統(tǒng)性檢測工具分為：端口測試工具（普通的如ping和tracert等系統(tǒng)工具，專用的有Currports、NetCat等）、網(wǎng)絡(luò)滲透性工具（Nikto、Acunetix Scanner）、消息捕獲及控件工具（Anyview）、系統(tǒng)設(shè)備情況捕獲工具（Lansee）等，有一些在互聯(lián)網(wǎng)上就可以下載。應(yīng)用級分析工具一般而言，需對系統(tǒng)應(yīng)用有所了解，其邏輯設(shè)計(jì)要求與系統(tǒng)設(shè)計(jì)應(yīng)能夠吻合，所以該類審計(jì)工具一般由系統(tǒng)開發(fā)商、系統(tǒng)集成商提供接口，方能進(jìn)一步進(jìn)行設(shè)計(jì)開發(fā)。而數(shù)據(jù)挖掘工具，則是在應(yīng)用級分

9、析工具的基礎(chǔ)上，對各類參數(shù)、模型、分析結(jié)果進(jìn)行深加工，例如SPSS等。3創(chuàng)新方式：基于風(fēng)險點(diǎn)的加權(quán)評估考慮現(xiàn)有評估方式難以對各類風(fēng)險的程度、總體走勢進(jìn)行判斷，也無法深入分析和對比其關(guān)聯(lián)性，得分點(diǎn)的設(shè)計(jì)一般也較為主觀。本文對現(xiàn)有評估方式進(jìn)行了創(chuàng)新，在對電子銀行主要風(fēng)險點(diǎn)進(jìn)行分類提取基礎(chǔ)上，提出了一種基于主要風(fēng)險點(diǎn)的加權(quán)平均值計(jì)算評估方式。 3.1 電子銀行的主要風(fēng)險點(diǎn)分類本文在對國內(nèi)部分國有大型銀行、外資銀行、城商行和農(nóng)村中小金融機(jī)構(gòu)調(diào)研的基礎(chǔ)上，翻閱了多份電子銀行安全評估報(bào)告，結(jié)合我國的目前電子銀行經(jīng)營特色，將電子銀行存在的主要風(fēng)險點(diǎn)歸納為如下三個方面：一是業(yè)務(wù)信息類風(fēng)險。這一方面主要包括服務(wù)

10、器端信息泄漏、客戶端信息泄漏、網(wǎng)絡(luò)釣魚事件、授權(quán)操作類漏洞、誤操作類事件等。該類別主要關(guān)注的是業(yè)務(wù)類數(shù)據(jù)的本身，當(dāng)其環(huán)境、使用目的發(fā)生一定變化時帶來的風(fēng)險。該類風(fēng)險基本屬于可控類風(fēng)險，其評估價值屬于中等水平。二是系統(tǒng)服務(wù)類風(fēng)險。這一方面主要包括各類外部滲透性攻擊、木馬移植、欺騙風(fēng)險、網(wǎng)絡(luò)阻塞、黑客事件（客戶資金損失）以及合作方項(xiàng)目意外中斷等，該類風(fēng)險將導(dǎo)致系統(tǒng)對外服務(wù)受到一定影響，并可能造成惡劣的社會負(fù)面影響。三是設(shè)備本身固有的風(fēng)險。該類風(fēng)險包括有各類軟硬件故障、系統(tǒng)主機(jī)密鑰及加密算法弱、災(zāi)難性數(shù)據(jù)丟失、意外災(zāi)害等，該類風(fēng)險一般都屬于較高級別，可能直接導(dǎo)致系統(tǒng)停機(jī)。3.2 基于加權(quán)平均方式的電

11、子銀行風(fēng)險評估根據(jù)上節(jié)所述，對于以上風(fēng)險可控程度和影響度，我們近似的對其進(jìn)行了分級評定，其中調(diào)整范圍主要是指根據(jù)檢查點(diǎn)獲取信息的情況，酌情進(jìn)行評值上下浮動。例如，某單位機(jī)房正在裝修，其軟硬件故障度將可能在短時間內(nèi)有一定增幅，因此可以酌情對軟硬件故障的評估值適當(dāng)調(diào)高，以降低因故障率而沖高的小概率事件影響。風(fēng)險類別評估子類n（a,b）建議權(quán)重（p）調(diào)整范圍（k）業(yè)務(wù)信息類A服務(wù)端信息泄漏0.40.1以內(nèi)B客戶端信息泄漏0.250.1以內(nèi)C網(wǎng)絡(luò)釣魚事件0.30.1以內(nèi)D授權(quán)操作漏洞0.60.1以內(nèi)E誤操作事件0.30.1以內(nèi)系統(tǒng)服務(wù)類F滲透攻擊0.40.2以內(nèi)G木馬移植0.40.2以內(nèi)H網(wǎng)絡(luò)阻塞0.

12、60.2以內(nèi)I其它黑客事件0.40.2以內(nèi)（部分導(dǎo)致嚴(yán)重后果的可放大）設(shè)備固有類J軟硬件故障0.60.3以內(nèi)K密鑰及加密算法0.80.3以內(nèi)L意外災(zāi)害0.90.3以內(nèi)M災(zāi)難性數(shù)據(jù)丟失0.90.3以內(nèi)根據(jù)上表，以上3大項(xiàng)共13小項(xiàng)，基本覆蓋了主要的電子銀行風(fēng)險事件，這些評估標(biāo)準(zhǔn)與銀監(jiān)會2006年3月發(fā)布的電子銀行安全評估指引的指導(dǎo)原則是基本相符的。本文通過加權(quán)平均法則方式，根據(jù)某家代表性銀行評估的結(jié)果，選取連續(xù)若干年度的數(shù)據(jù)進(jìn)行了加權(quán)平均計(jì)算，并對變化幅度較小的風(fēng)險進(jìn)行風(fēng)險值放大，從而最后得出該銀行電子銀行系統(tǒng)性風(fēng)險的發(fā)展趨勢。其具體計(jì)算過程為：1）計(jì)算當(dāng)前風(fēng)險值（F1/F2）當(dāng)年評估風(fēng)險值（k

13、1，n，p）（k1（a1,p）+ k1（b1,p）+ k1（c1,p）+ k1（m1,p）F1（公式1）后續(xù)評估風(fēng)險值（k2，n，p）（k2（a1,p）+ k2（b1,p）+ k2（c1,p）+ k2（m1,p）F2（公式2）2）計(jì)算連續(xù)風(fēng)險值（F）F（F1W1+F2W2.FnWn）/（W1+W2+ Wn）（公式3）其中的W1-Wn值是所評估年的風(fēng)險事件、管理水平、評級標(biāo)準(zhǔn)等的一個綜合權(quán)重值（一般設(shè)定為0-1之間的某個值）。3）分析結(jié)論我們隨機(jī)選取了某家商業(yè)銀行（總資產(chǎn)規(guī)模在1萬億以上）2009至2011年連續(xù)三年電子銀行業(yè)務(wù)發(fā)展?fàn)顩r作為評估樣本，對照3個大項(xiàng)、13個子項(xiàng)進(jìn)行了評估，并按照上節(jié)

14、提出的公式，進(jìn)行了加權(quán)平均計(jì)算（具體中間計(jì)算過程限于篇幅，此處不再贅述），所取樣本見圖表。假設(shè)我們進(jìn)一步為樣本值設(shè)定置信度（假設(shè)子項(xiàng)變化范圍設(shè)定在0.2以內(nèi)，W值均暫定為1、即連續(xù)不變），通過計(jì)算將可以得出如下評估結(jié)果：a、該銀行第六項(xiàng)（滲透攻擊）、第七項(xiàng)（木馬移植）值三年以來總變動幅度最大；b、該銀行第九項(xiàng)（其它黑客事件）2011單年變化幅度最大；c、該銀行總風(fēng)險值（F1為5.95，F(xiàn)2為6.79，F(xiàn)3為8.19）呈現(xiàn)逐年放大趨勢。根據(jù)對評估結(jié)果的分析，可得出該評估方式具有以下三點(diǎn)優(yōu)勢：第一，每年各子項(xiàng)的評估調(diào)整值，可借助趨勢圖直觀的體現(xiàn)出來（如下圖2009、2010、2011三條橫向曲線）

15、，通過三條曲線的走勢可分析出，除部分子項(xiàng)變化較小或存在異動以外，其余大部分評估項(xiàng)隨著業(yè)務(wù)的發(fā)展，其風(fēng)險呈現(xiàn)逐年放大的態(tài)勢。第二，每年計(jì)算出的Fn值大小、以及最終F值的結(jié)果，將說明該行電子銀行業(yè)務(wù)發(fā)展的總體風(fēng)險趨勢，如Fn值與上一年同比增加較多，且F值為歷年最高值，將說明在過去的一年中風(fēng)險值的增加是前所未有的，應(yīng)適當(dāng)考慮審慎的經(jīng)營與發(fā)展；第三，通過設(shè)定置信區(qū)間，可以體現(xiàn)出單項(xiàng)風(fēng)險點(diǎn)的變化，從而判斷其是否超出了預(yù)警界限，并更進(jìn)一步為決策提出依據(jù)。（某商業(yè)銀行2009至2011年電子銀行業(yè)務(wù)發(fā)展趨勢評估表）4 結(jié)論4.1 對商業(yè)銀行電子銀行業(yè)務(wù)的評估價值就目前國內(nèi)各家商業(yè)銀行的電子銀行業(yè)務(wù)發(fā)展而言，

16、一方面，由于大部分銀行電子銀行業(yè)務(wù)起步晚、發(fā)展歷程短，其中中小銀行受其技術(shù)力量、投入所限，既不具備實(shí)力、也難以準(zhǔn)確的自行對其現(xiàn)有電子銀行業(yè)務(wù)風(fēng)險進(jìn)行評估，而在大中型銀行中，也僅有部分邀請了外部機(jī)構(gòu)開展了業(yè)務(wù)風(fēng)險安全評審。根據(jù)我們對大部分評審結(jié)果的跟蹤，發(fā)現(xiàn)目前的審計(jì)過程有三個顯著特征：一是評審費(fèi)用十分高昂，且耗費(fèi)人力物力、協(xié)調(diào)成本較大。二是評審時間一般較短（多為24周），對被審機(jī)構(gòu)該領(lǐng)域的業(yè)務(wù)發(fā)展?fàn)顩r難以形成全面認(rèn)識，其結(jié)論普遍缺乏趨勢性的預(yù)測和分析。三是大部分評審機(jī)構(gòu)作出的結(jié)論均較為類似，對被審機(jī)構(gòu)的下一步發(fā)展、總體業(yè)務(wù)分析和風(fēng)險偏好均缺少個性化指導(dǎo)價值。另一方面，電子銀行其行業(yè)競爭十分激烈

17、，受市場需求導(dǎo)向，新業(yè)務(wù)投放市場的時間在不斷受到壓縮。信息科技、電子銀行部門受其制約，在業(yè)務(wù)系統(tǒng)上線的整個過程處于十分被動的狀態(tài)，因而在客戶體驗(yàn)、系統(tǒng)設(shè)計(jì)以及數(shù)據(jù)安全性方面，均缺乏有效考量，直接導(dǎo)致了軟件產(chǎn)品在其健壯性、可用性方面大打折扣。針對以上兩方面觀點(diǎn)，本文提出的評估方式，對于商業(yè)銀行而言，不僅可在軟件新版本的上線前的自我評審中，參考該模式以填補(bǔ)風(fēng)險趨勢評估方面的欠缺；同時，本文也對當(dāng)前業(yè)界各類電子銀行業(yè)務(wù)內(nèi)部審計(jì)的框架、思路和目標(biāo)起到一定的導(dǎo)向性作用。4.2 監(jiān)管部門的評估工作應(yīng)加速轉(zhuǎn)型電子銀行與傳統(tǒng)銀行業(yè)務(wù)相比，可以說已經(jīng)具備了新型的風(fēng)險特征，其興起也增加了風(fēng)險管理的難度。因此，監(jiān)管

18、部門在評估的內(nèi)容、手段、方法等方面也應(yīng)作出相應(yīng)的調(diào)整，一是應(yīng)加大對新興領(lǐng)域風(fēng)險的關(guān)注度，如手機(jī)銀行、電視銀行等方式的新風(fēng)險點(diǎn)，積極轉(zhuǎn)變監(jiān)管思路；二是隨著銀行向客戶提供的金融服務(wù)多樣化、綜合化，以及金融行業(yè)之間的業(yè)務(wù)交叉程度加深，分業(yè)管理的難度正在迅速加大。當(dāng)監(jiān)管的邊界無法明確界定時，現(xiàn)有的評估應(yīng)更多考慮一些邊緣結(jié)合點(diǎn)，通過跨行業(yè)、跨區(qū)域聯(lián)動方式實(shí)現(xiàn)深度評估；三是隨著電子交易替代率的上漲，交易量的逐年增加，各類電子渠道已暴露和可能暴露出的風(fēng)險，單純通過手工方式去發(fā)現(xiàn)將顯得十分被動，傳統(tǒng)的監(jiān)管方式也正顯現(xiàn)出其瓶頸，應(yīng)打破這一桎梏，以提高監(jiān)管效能為目標(biāo)，通過引入一些自動化的檢測、監(jiān)控工具，并借助外力來實(shí)現(xiàn)輔助評估。例如銀監(jiān)會自2010年起，已連續(xù)三年針對不同類別機(jī)構(gòu)進(jìn)行了電子銀行滲透性測試與評估，就是一項(xiàng)非常有益的嘗試。4.3 本文下一步的工作本文提出的基于加權(quán)平均值計(jì)算的風(fēng)險評估公式，是一種對風(fēng)險評估的有益創(chuàng)新，在初步完成的基礎(chǔ)上，下一階段仍然存在很多工作：一是公式本身設(shè)計(jì)的風(fēng)險點(diǎn)仍然有待完善