|
|
|
|
|
|
来源: 发布日期:2017.12.15 点击量:
根据中国银行业监督管理委员会的《电子银行业务管理办法》要求,在境内开展电子银行业务的金融机构应定期对电子银行系统进行安全评估,并将其作为电子银行风险管理的重要组成部分。
安言咨询将根据中国银监会的《电子银行安全评估指引》和《网上银行安全评估内部审核规范》,参照《电子银行业务管理办法》、《网上银行系统信息安全通用规范》等相关制度规范的要求,开展电子银行安全评估工作。
1.符合性核查依据
本次电子银行安全评估工作主要依据以下政策法规和标准规范:
《电子银行安全评估指引》(中国银行业监督管理委员会)
2.项目进度及范围
依据《电子银行业务管理办法》的要求在风险管理架构和制度、安全策略文档、系统安全性及业务连续性四个主要安全域,包括了安全策略、内控制度建设、系统安全性、业务连续性、业务应急、风险管理状况及风险预警七方面内容对电子银行进行综合评估。
2.1项目评估范围
具体安全评估内容及评估执行级别请见下表:
|
评估域 |
评估项 |
|
风险管理架构和制度 |
电子银行业务高级管理职责和制度设计 |
|
董事会和高管层的认识和支持 |
|
|
电子银行业务管理部门岗位设置和内部制约 |
|
|
风险管理配备与培训 |
|
|
电子银行业务风险管理的规章制度与操作规定 |
|
|
电子银行业务的风险管理的关键流程 |
|
|
外包风险管理 |
|
|
风险预警体系建设 |
|
|
内部审计制度的建设与运行情况 |
|
|
安全策略文档 |
安全策略制定的流程 |
|
系统设计与开发的安全策略 |
|
|
系统测试与验收的安全策略 |
|
|
系统运维安全策略 |
|
|
系统备份与应急的安全策略 |
|
|
客户信息安全策略 |
|
|
系统安全性 |
物理环境安全 |
|
通讯安全 |
|
|
主机系统安全 |
|
|
应用系统安全 |
|
|
密钥管理 |
|
|
客户信息认证与保密 |
|
|
入侵监测和反应机制 |
|
|
业务连续性 |
业务连续性设施和能力 |
|
业务连续性制度和文档 |
|
|
应急预案的制定、更新和培训 |
|
|
应急预案定期检测与演练情况 |
|
|
突发事件管理能力 |
3.符合性评估方法
从评估的方法来看,本次符合性评估主要包括系统安全性测试评估和管理制度评估两大部分。
系统安全性测试的内容包括但不局限于安全配置核查、案例验证、漏洞扫描测试、渗透性测试(系统内部或外部发起),如下:
安全配置核查:评估人员使用配置核查列表等工具对系统的重要网络设备、安全设备(如防火墙、交换机和IDS系统等)和主机系统(主要是各个重要的服务器操作系统、数据库)的安全配置项进行核查,主要检测由系统本身配置不当带来的脆弱性。在进行安全配置检查时考虑到被评估系统为运行系统,因此一般不在其上面安装自动化的安全配置检测工具,而主要是采用上机手工操作方式来查看评估对象的安全保护措施是否符合评估要求。安全配置核查需要委托单位的技术人员的全程陪同协助完成。
案例验证:评估人员通过对评估对象按照预定的方法、工具使其产生特定的行为,并查看、分析输出结果,以证明评估对象的安全保护措施是否符合评估要求。
漏洞扫描测试:评估人员采用自动化工具对系统网络、主机操作系统、数据库、应用系统等进行扫描检测,在系统不同层次上检测并统计所暴露的安全漏洞和脆弱点,确定系统的综合安全状况。
渗透性测试:评估人员根据漏洞扫描的结果,按用户要求进行漏洞验证。依据漏洞可能被利用的程度,设计案例并实施模拟攻击测试,以验证评估对象抗攻击能力。渗透性测试是模拟渗透攻击者对系统进行渗透,检测系统抵抗攻击的能力,但与恶意的攻击者不同,这种模拟的渗透攻击不会对被测试系统造成损害。但仍建议用户提前做好备份工作并制定相应的应急恢复预案。
管理制度的评估方式包括但不局限于现场访谈、文档核查等,具体如下:
现场访谈:评估人员通过与电子银行的设计、建设、运行、管理等环节的有关人员(个人/群体)进行交流、讨论,获取证据以证明某项安全保护措施是否有效。
文档核查:评估人员通过对银行提供的管理制度文档及其执行情况和记录等进行查验、分析,获取证据以证明某项安全保护措施是否有效实施。
4. 符合性评估流程
在与委托单位正式签署有关电子银行安全评估的委托评估协议以后,整个安全评估工作将经历评估准备、现场评估、整改复核、总结报告四个主要阶段。
相关客户案例:
版权所有©上海安言信息技术有限公司 2014-2015