IT零碎信息安全风险不容忽视.doc

IT系统信息安全风险不容忽视 【编者按】2011年至今，广东银监局共组织实施信息科技现场检查17次，发现辖内机构IT风险点120处，提出整改建议83条，通过督促整改，消除了一批风险隐患，降低了风险水平。辖内16家接受评级的法人机构2011年度信息科技风险评估结果显示，三级以上的机构增至14家，机构IT风险管理能力已有改观。但从今年的IT风险现场检查情况看，在风险水平总体下降的同时，辖内银行业金融机构信息安全风险管控状况不尽理想，仍需进一步改善。 一、银行业机构信息安全管理力度不足、风险隐患突出 2012年7月份以来，广东银监局组织了9场次信息科技风险现场检查，从检查情况看，辖内机构在信息安全管理方面存在的问题不容忽视： （一）对核心信息的管控强度不足、控制结构混乱。检查发现：被查机构对应用系统源代码审核基本都不落实，显然“招行成都分行网银案”(代码漏洞)风险警示未被足够重视; 多家机构对重要系统备份介质保管未实施双重控制，甚至有机构将电子银行系统关键密钥交由单人保管；网上银行客户端安全性保护未能达到《网上银行系统信息安全通用规范》（国标）要求;核心网络设备、运行管理系统等重要部件由多人共同使用超级用户；部分机构核心系统中，uucp、nfs等敏感闲置用户未作删除，理论上有被利用于非法入侵可能；在对某机构测试环境检查时发现测试数据库中的海量生产数据未完全脱敏，且客户机可下载数据表，说明机构对敏感信息的控制强度不足。 （二）对银行终端设备管理较为松懈。中资机构对桌面系统、客户机的安全管理较松懈，基本没有效实施简约客户机模式。如工行、农行近年在改造桌面系统、限制移动接口等方面做过一些尝试，但从高层到普通员工的认同度都不高，至今难于推行，而内网客户机功能过强是很明显的风险点；在银行桌面系统中允许使用移动存储介质是普遍现状，而屏幕摄录日志并未覆盖所有内网机器；另外，大部分机构对内外网交叉连接也未实施有效限制。 （三）信息安全管理制度不全或执行不到位。今年7月，我局检查组在对某城商行现场检查中抽查了银行卡制卡机、后台权限管理客户机各一台，发现：（1）制卡机中存放有2000余条完整的客户制卡明码信息，如果外泄，有可能造成该行银行卡被批量克隆的严重后果，而监管部门之前的风险提示与整改建议未被认真对待；（2）后台管理客户机中有约20张账号、户名、印章齐全的高清支票照片，存在客户机中已超过一年，如外流，将直接威胁客户的账户安全。查阅该行数据管理制度未见有对上述类型信息作存期、获取、使用、销毁等限制性规定内容。 （四）信息安全控制措施的有效性存在疑问。某小型银行虽对内网机器作了移动接口监视，但未对移动存储介质带离银行进行严格管束，也未见该行有定期检查移动介质内容的记录或制定相关审核管控制度，管控方式存在漏洞，易于造成涉密信息外流。如：通过更改客户机、移动介质中的信息变动痕迹，即可使内网监视软件对信息流向的追踪失去目标、形同虚设。此外，对多家中小银行的检查显示，机构对客户机系统软件的安全控制一般只做到黑名单管理层面，未发现有采用更有效的白名单管理模式。 （五）外包流程可能产生信息安全风险隐患。小型机构对外包依赖性较强，但对外包的风险控制措施不到位。广东省局对多家中小型机构的现场检查发现，项目建设期间，外包方人员几乎掌握应用项目的所有信息，并被赋予很高的系统权限，外包协议规定外包商拥有项目建设的关键文档、参数、应用代码等核心信息，并可随时利用开发设备等完整带离机构。这种合作方式有形成“韩国农协行式信息科技风险”隐患可能。 （六）高管层对信息安全风险管控的认知不足。从访谈信息看，辖内银行业机构大部分CIO在信息安全风险识别、监测、控制等方面自我感觉良好，认为本机构信息安全不存在较大问题。但将现场检查、巡查、调查发现的信息对照《广东省银行业金融机构信息科技风险管理指导意见》要求的比较结果表明，当前在任CIO在知识背景、战略意识、对IT风险的认识深度、对监管法规的了解、所主持建立的IT风险防范措施有效性以及与监管部门的沟通能力等方面均存在差距，管理层的引领能力不尽理想。 二、信息安全管理风险突出的原因 （一）高层对信息科技风险管理定位不明确，导致资源配备错位。表现为：认为信息安全管理是科技部门的工作，将科技部门视为信息安全风险的主要管理者，既负责制度制定也负责执行、监督，信息安全风险责任由IT部门兜底；在部分设置了CIO的机构，也因各种原因未能充分体现其作用。被查机构IT人力资源相对缺乏的现象普遍存在，IT员工比例基本都在5%以下，部分机构甚至不能确保基本的岗位配备需要，致使信息安全岗位、人员的安排被忽视。 （二）内控系统不完善是引发信息安全问题的重要原因。机构高层对信息安全风险认识程度不够，没有采取恰当的风险管理战略，鲜有通过充分宣传、教育引导全员提高信息安