信息科技风险监管讲座解说.ppt

信息科技风险监管知识讲座 2010 年 8 月 主要内容 一、信息科技风险监管概况 信息科风险监管背景 银监会信息科技监管历程 银监会开展的主要工作 制定一系列制度和标准 持续开展信息科技风险监管培训 组织开展信息科技风险现场检查 推动实施信息科技非现场监管 组织开展重要时点信息科技自查整改 及时发布各类信息科技风险提示 银行机构信息科技风险状况 科技风险管控意识提高 科技治理架构初步建立 科技基础设施不断完善 运行维护能力不断加强 重视加强灾备建设及开展应急演练 银行机构信息科技风险状况 个别银行科技治理认识不到位 重眼前建设轻长远规划 科技治理架构未有效运行 应急演练开展实战性不足 基层银行机构科技力量薄弱 二、信息科技风险监管目标与手段 信息科技风险监管目标 信息科技风险监管目标 连续性： 即业务连续性，保证信息系统稳定、持续地提供服务，通俗地说就是系统“不能断”。 安全性： 保证数据的保密性、完整性、可用性，通俗地说就是数据“不能丢”。 所有科技风险事件都可以归于信息系统连续性或安全性出问题的事件。 信息科技风险监管目标 连续性事件案例 案例1：2008年11月上旬，某大型银行某省分行在供电部门预先通知停电的情况下，因发电机故障、主机存储控制卡损坏等原因，造成全省业务无法正常运营达7小时15分钟。 案例2：2009年12月21日，某行网上银行系统发生一起因DDOS攻击引发的系统故障，经内外部专家诊断为外部分布式攻击。攻击来自互联网多个地方和多台机器，持续时间500分钟。故障刚发生阶段的现象表现为网银客户登录网银主页面缓慢或超时无法访问。监控系统显示网上银行主页服务器系统资源压力迅速增大，进程达到系统最大进程数，超过日常监控进程数四倍。 案例3：2010年2月3日某全国性银行核心业务系统数据库故障导致全国柜面等各项业务中断近四小时。 案例4：2007年12月16日11：05至13：57，某分行综合前置机系统出现故障，造成全辖15个网点对外营业中断近三个小时。 信息科技风险监管目标 安全性事件案例 案例1：2008年12月31日至2009年1月4日，某银行成都分行发生一起网上银行客户资金被盗案件，涉及被盗帐号12个，总金额12万元。犯罪嫌疑人通过本人及雇用他人在银行办理借记卡并开通个人网银业务，以合法身份进入该银行大众版网银系统，然后利用网络下载的黑客软件对该银行大众版网银系统进行攻击和破译，发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转出卡号、转入帐号客户隶属关系进行校验，而且主机系统对网银服务端上传的个别交易数据验证不充分的程序逻辑缺陷，通过模拟浏览器与服务端通讯的方式，非法截取并篡改交易数据，盗取他人资金。 信息科技风险监管目标 安全性事件案例 案例2：某行市分行发生一起内部员工违规利用网银动用客户资金的案件。2008年10月份，支行客户部网银操作员及复核员在为客户办理网银业务时发现操作IC卡已经过期，遂联系市分行网银管理员黄某办理换卡事宜，并告知其操作密码。黄某利用自己作为管理员保管“管理证书”之便，进入系统，修改了某对公客户的网银证书和密码，再通过集团理财帐户实行网银转帐，动用客户帐户上233.7万元用于炒权证。 案例3：某行柜员在为客户办理购买基金手续过程中,利用电脑终端画面可以屏幕打印功能,没有进行实际交易,套打基金交易凭证交予客户,将客户资金转入其控制的账户.涉案金额85万元。电脑终端可随意进行屏幕打印,存在明显缺陷,使作案人有机可乘 信息科技风险监管目标 安全性事件案例 案例4：近期，某银行机构发现不法分子根据互联网上下载的“特征码识别程序”自行编写密码猜解软件，通过锁定某一固定密码反复轮训帐号的方式，对多家银行网银系统发起暴力猜测攻击，最终非法获取两家银行数百个客户的网银帐号、查询密码等信息。 案例5：近期，某银行机构发现不法分子根据互联网上下载的“特征码识别程序”自行编写密码猜解软件，通过锁定某一固定密码反复轮训帐号的方式，对多家银行网银系统发起暴力猜测攻击，最终非法获取两家银行数百个客户的网银帐号。 案例6 ：某行借记卡被通过手机银行猜解密码，涉及1007张借记卡。 信息科技风险监管目标 如何判断是否达到目标？ 信息科技风险（包括连续性和安全性风险）的计量 判断信息科技风险程度是否在可接受范围 基本概念 资产 对组织具有价值的信息或资源，是安全策略保护的对象。主要包括： ——支持设施（例如建筑、供电、供水、空调等） ——硬件资产（例如计算机设备、路由交换机、交换机等） ——信息资产（例如数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序等） ——软件资产（例如应用软件、系统软件、开发工具