利用信息系统审计建立银行信息科技风险第三道防线王新杰2016.04o审计署《信息系统审计指南》编写组成员o全国金融标准化技术委员会第三届专家委员o全国信息安全标准化技术委员会委员o中国合格评定认可委员会ISMS/ITSMS评审技术专家oITSS工作组成员o国际信息安全标准化组织ISO/IECJTC1/SC27中国专家o国际信息系统安全认证联盟(ISC)2中国顾问o亚洲信息安全论坛(RAISEForum)成员自我介绍23欢迎参加银行信息科技风险管理课程本次课程大约需要120分钟。提高信息科技风险防范意识和防护技能,对于保障银行业务连续性和数据安全至关重要。本课程将帮助您:了解网络安全国家政策认识银行面临的信息科技风险掌握信息科技风险防范三道防线欢迎您对本课程的内容、授课方式等任何方面提出宝贵意见和建议。本课程中引用的案例均选自Internet公开报道,相关方如有任何异议请联系:王新杰,电话:13701275907,电子邮件:wangxinjie@powertime.cn。4“SomehackerfromanobscureuniversityinChinaatemyhomework.”“一个来自中国不知名大学的黑客把我的家庭作业给吃了。”从两幅漫画说起……5“Youknow,youcandothisjustaseasilyonline.”“你知道,你可以在线搞的,那样会更容易。”银行出纳与劫匪对话当黑客尝试将第5笔2000万美元汇至斯里兰卡一个非营利组织时,却把收款机构名称中的“foundation”(基金会),误拼成“fandation”,促使负责转账的德意志银行向孟加拉国央行要求验证,进而阻止了这笔交易,以及其余约8.7亿美元的未处理指令。2016年2月,孟加拉国央行信息系统被黑客入侵损失8100万美元,行长引咎辞职6“美国旧金山时间2013年7月25日,巴纳比·杰克(BarnabyJack)死了,就在他准备去拉斯维加斯,演示如何黑掉一个心脏起搏器前夕,而且他才35岁。这位新西兰黑客准备的演讲题目为《入侵人体》”。2010年,让ATM吐钱的白帽子黑客:巴纳比·杰克(BarnabyJack)7主要内容1.近期国家网络安全政策形势2.银行会面临哪些信息科技风险3.利用审计建立风险防范第三道防线4.问与答81.近期国家网络安全政策形势乌镇会议五点主张国家网络安全法网络空间安全一级学科国家网络安全宣传周中央网络安全和信息化领导小组92015年12月16日,习主席在第二届乌镇会议上的主旨演讲:五点主张“第四,保障网络安全,促进有序发展。安全和发展是一体之两翼、驱动之双轮。安全是发展的保障,发展是安全的目的。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”第一,加快全球网络基础设施建设,促进互联互通。第二,打造网上文化交流共享平台,促进交流互鉴。第三,推动网络经济创新发展,促进共同繁荣。第四,保障网络安全,促进有序发展。第五,构建互联网治理体系,促进公平正义。102015年6月,全国人大就《国家网络安全法》草案征求意见112015年6月11日,为实施国家安全战略,加快网络空间安全高层次人才培养,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,学科代码为“0839”,授予“工学”学位。要求各单位加强“网络空间安全”的学科建设,做好人才培养工作。122014年11月24日-30日,首届国家网络安全宣传周举办“共建网络安全,共享网络文明”13“当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。我国正处在这个大潮之中,受到的影响越来越深。”--习近平2014年2月27日,中央网络安全和信息化领导小组成立14“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”--习近平2016年4月19日,中央网络安全和信息化工作座谈会15123456789项目数量网民数量6.88亿手机网民6.20亿网站数423万国际出口5,392,116MbpsIPv4地址3.37亿域名数3102万截止日期2015-12-30我国网络基础数据16主要内容1.近期国家网络安全政策形势2.银行会面临哪些信息科技风险3.利用审计建立风险防范第三道防线4.问与答172.银行会面临哪些信息科技风险业务系统中断数据泄露和损毁恶意入侵18发生在我们眼前的业务中断事故2014.6.25重庆农商行数据中心火灾2014.7.1宁夏银行系统中断37小时2015.5.27支付宝系统中断超2个小时192015.01.05工行三方存管系统中断202013.06.23工行主机系统中断内部通报文件2013年6月23日上午,全国多地中国工商银行柜台、ATM、网银业务出现故障,持续近1个小时。作为服务2.92亿个人客户及400多万公司客户的全国金融服务巨头,工行此次故障波及北京、上海、广州、武汉、哈尔滨等多个大中型城市。212013.06.24中国银行系统故障222014.09.21交行借记卡系统中断23《商业银行业务连续性监管指引》(银监发[2011]104号)事件级别定级条件特别重大运营中断事件(Ⅰ级)1)重要系统服务中断或数据损毁泄露,对公众利益、社会秩序和国家安全造成特别严重损害;2)导致一个(含)以上省级的多家金融机构业务中断达3个小时(含);3)导致单家金融机构两个(含)以上省级业务中断达3个小时(含)以上,或一个省级业务中断达6个小时(含)以上;4)业务服务时段外故障或事件救治未果、可能产生上述1至3类事件。重大运营中断事件(Ⅱ级)1)重要系统服务中断或重要数据损毁泄露,对银行或客户利益造成严重损害;2)导致一个(含)以上省级多家金融机构业务中断达半个小时(含)以上;3)导致单家金融机构两个(含)以上省级业务达达半个小时(含)以上,或一个省级业务中断达3个小时(含)以上;4)业务服务时段以外故障或事件救治未果、可能产生上述1至3类事件。较大运营中断事件(Ⅲ级)1)重要系统服务中断,或重要数据损毁、泄露,对银行或客户利益造成较大损害;2)导致一个省级业务中断达半个小时(含)以上;3)业务服务时段以外故障或事件救治未果、可能产生上述1至2类事件。24业务系统中断原因分析序号业务中断原因范围1数据中心基础设施故障风、火、水、电2关键信息基础设施故障主机、网络、数据库、中间件3关键业务应用系统缺陷源代码设计缺陷、编译环境漏洞4内部人员误操作或恶意破坏疏忽、谋财、泄愤5外部恶意攻击黑客、商业间谍、敌对方6自然灾害地震、洪水、火灾、台风25银行信息系统被恶意入侵孟加拉国央行韩国农协银行花旗银行2627VladimirLevin全球首次黑客侵入银行系统并盗取巨额资金事件1994年,弗拉迪米.列文通过花旗银行的电汇系统获取几个公司的账号和密码,把总额1070万美金的巨款转移到自己位于美国、芬兰、荷兰、以色列和德国的帐户。他的3个同伙在取款时被当场逮捕,他本人直到1995年才在伦敦机场被逮捕。1997年他被引渡到美国,被判处3年徒刑并赔偿花旗银行24万美元。2011年4月12日韩国农协银行(3,000万用户、5,000家分行、553台服务器)。服务持续中断6天,涉及1,154家分行,540万名信用卡客户的交易记录被删除。外包雇员主机感染木马渗透获得SuperRoot权限向核心系统下达删除命令灾备服务器群同时失效数据丢失,业务持续中断韩国农协银行遭遇大规模业务中断2829“我不喜欢课堂上学的知识,我只喜欢电脑技术。当我三年级第一次凭自己的实力破解了电脑开机密码后,我就对网络黑客特别感兴趣。我认为黑客就是破密码、盗号、卖装备。在网上,我有志同道合的朋友,也有很多‘客户’。我可以不费吹灰之力盗来上百个QQ号,我上个月还从‘地下城与勇士’里盗来一件宝物卖了800元钱。只要运气好,每天赚1000元都没问题。”30银行数据泄露和损毁3132美国4000万信用卡用户资料被盗取2005年6月19日,万事达公司宣布,储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵,被盗账号信息资料可能被用于金融欺诈活动。随后,在美国一家网站iaaca.com上出现了这样一条广告“你想要一辆好车吗?你想入住舒适的酒店和漂亮女孩约会吗……只要购买我们的‘产品’,这一切你都可以拥有”。这条广告上兜售的“产品”,正是包括Master和VISA等在内全球著名信用卡公司的客户资料,包括姓名、电话、账单寄送地址等,每条信息售价100美元。33“在微信及一些电子商务平台,“电话销售交流圈”“销售行业资料群”也大量存在。多位“信息贩子”均表示,可以“按地区定制,先试用后付款”。此外,根据个人信息“品质”的不同,价格也分为“三六九等”,每条价格从2分钱到5元钱不等。”3435“老杨说,他在广州、深圳一带活动,专门复制中国境内的银行卡。多次周旋之后,老杨答应卖给记者一台银行卡复制器,并承诺教会使用这台复制器。3月18号,记者在支付了8000元之后,拿到了这台银行卡复制器。”序号入侵和泄密原因范围1主机系统漏洞Windows,Linux,小型机,大型机2网络系统漏洞交换机,路由器,防火墙3应用系统漏洞网银,手机银行,其它电子银行渠道4安全意识薄弱IT专业人员,业务人员5恶意程序病毒、木马、僵尸程序6人为恶意/黑客内部人员,外包人员,黑客数据泄露和损毁恶意入侵363738网络病毒39木马僵尸程序蠕虫404142网站安全43事件处理网页仿冒4445CNVD收集漏洞4647484950勒索病毒软件肆虐51①将有更多APT攻击事件被曝光②云平台和大数据的安全防护能力将是关注重点③行业合作和国际合作需求继续加强④物联网智能设备将面临更多网络安全威胁⑤精准网络诈骗和敲诈勒索行为将更加猖獗2016年值得关注的热点问题如何防范?业务系统中断数据泄露和损毁恶意入侵o合规是首要任务,银监会监管指引,等级保护o建立信息科技风险管理体系,如ISO/IEC27001o建立信息科技风险防范技术体系,物理、主机、网络、应用、数据o建立信息科技风险防范应急体系,应急预案,应急演练o建立信息科技风险审计监督机制,内审,外审52主要内容1.近期国家网络安全政策形势2.银行会面临哪些信息科技风险3.利用审计建立风险防范第三道防线4.问与答53术语定义o信息科技风险审计-银监会o信息系统审计–审计署/ISACAoIT审计–全国信息技术标准化委员会ITSS工作组o信息系统控制审计–GAO美国审计署o相关专项审计信息安全审计数据中心审计业务连续性审计信息科技外包审计数据质量审计系统投产变更审计今天的讨论,我们统一用“信息系统审计”这一术语。54中国人民银行中国银监会国际组织o银行自身需要—安全生产要求o外部监管要求—合规风险为什么要开展信息系统审计5556中国银监会银监会文件文件要求《商业银行信息科技风险管理指引》银监发[2009]19号第六十五条商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。《银行业金融机构重要信息系统投产及变更管理办法》银监办发[2009]437号第九条银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。《银行业金融机构信息科技外包风险管理指引》银监发[2013]5号第二十四条银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。《商业银行业务连续性监管指引》银监发[2011]104号第五十八条商业银行应当每年