跟着金融机构对计较机收集和软件系统的依托程度逐步增加,和电子金融产品的不竭推出,新信息手艺在给营业带来巨大年夜便利、高效的同时,也带来了暗藏的巨大年夜风险。因为我国的商业化利用系统测评系统起步晚,成长也还没有成熟,加上金融利用系统有其本身的特别性,所以今朝在金融行业还没有一套系统化的测试编制,这使得金融行业利用系统的安然风险防备工作略显不足,是以在金融机构内部成立本身的利用系统安然测试系统,可有效晋升安然防备能力,削减因利用系统安然标题问题带来的隐患。
利用系统安然标题问题亟待解决
2011年某银行5万客户遭受网银进级骗局,造成客户资金巨大年夜损掉,给银行名誉带来重大年夜影响;同年花旗银行证实遭到黑客攻击,约有1%的诺言卡用户遭到了影响,客户的姓名、账号、联系编制等信息均被黑客获得。
不管是哪类事务,利用系统安然标题问题首要回纳为以下六类:
1、身份棍骗。利用系统的身份认证办法不足,导致报复打击者可能冒用他人的系统身份把持账号,从而操纵他人的权限获得相干信息资料,并进行资金盗取等把持。
2、窜改数据。利用系统的数据呵护办法不足,导致金额、暗码、联系编制等数据信息可能被报复打击者歹意窜改,从而造成账户资金被盗等后果。
3、信息泄漏。利用系统开辟设计或建设不当,贫乏敏感信息呵护功能,导致可能产生源代码泄漏、目次遍历等后果,报复打击者操纵泄漏的信息可以更等闲的实施进侵。
4、权限晋升。利用系统的权限治理功能不足,导致报复打击者可能绕过权限限制,进行未经授权或超出授权的把持,使得报复打击者获得系统权限或拜候系统中的首要数据。
5、拒尽办事。利用系统安然呵护能力不足,贫乏延续不变运行的能力,可能遭到利用资本耗损等DDoS报复打击,或因为任务调剂死锁等启事导致系统宕机或运行迟缓,没法继续对外供给办事。
6、行动否定。利用系统对用户把持行动贫乏可托的监查机制,导致没法供给有效证据,以证实该用户是不是进行了某一把持。
行业监管机构曾对利用系统安然提出了具体要求,如银监会2009年下发的19号文《信息科技风险治理》、银监会2011年62号文及人行121号文《网上银行利用的安然通用规范》等。别的我国浩繁金融机构,如国有四大年夜行、股分制银行及部门首要保险公司均在多年前就开端了对利用系统的安然测试工作,从最初的对互联网利用系统进行渗入测试到对安然控件的黑盒测试再到后来对利用系统代码的白盒测试等,这些都充分辩了然利用系统的安然标题问题标严竣性和其首要性。
解决之道
经由过程细心阐发浩繁金融机构所做的大年夜量的利用系统测试工作,启明星斗发当今朝整体仍存在以下不足:
1、需求方面安然考虑不足。启明星斗在为大都金融机构供给咨询办事过程中发现,需求方面的安然考虑不充分,如在需求阶段对安然需求描述不敷完全、对安然风险场景设计较为简单,对安然鸿沟的统一打算不足,需求阶段对利用系统敏感信息防泄漏考虑不足。
2、开辟环节安然节制不足。启明星斗在为各金融机构进行白盒测试、渗入测试及安然测试的过程中发现利用系统安然存在SQL注进、跨站脚本信息泄漏、越权把持等安然标题问题,包含浩繁大年夜型银行,同时过程中也发现不按编码规范履行和代码安然查抄不足的标题问题,这些都是开辟环节节制不足的表现。
3、利用系统安然测试工作范围局限。利用系统安然测试今朝在大年夜多机构仅仅是在安然部门进行,全部测试编制与理念未贯穿于系统开辟全过程,需乞降设计过程仍未触及较系统化的安然办法和节制点。
4、外包开辟和外购模块的风险节制不足。大都机构外购的产品贫乏可托赖的第三方评估机构,别的第三方开辟商不成能遵守金融机构本身的开辟规范,是以没法节制相干风险。
针对上述标题问题,当然有些金融机构采纳了一些响应的办法应对,如对网页敏感信息加固,对新版本进行安然测试,系统等保测评或外购模块安然测试等。但这些办法都仅是“头痛医头、脚痛医脚”,未解决底子标题问题。启明星斗阐发存在上述标题问题标本源以下:
1、效力和安然性矛盾。所有机构在开辟时优先存眷功能,只能牺牲必然的安然。
2、制约机制不足。大年夜多机构中,相干的安然规范由开辟人员自行拟定、发布、履行、查抄,安然测试未成为利用系统可否上线的关头环节。
3、 分离治理的标题问题。机构各部门分离治理利用系统及其各自的安然,未构成统一治理。
是以,要底子解决上述呈现的标题问题,必需将今朝分离的测试工作整合成一个整体,并成立起一个内部利用系统安然测试系统,如许就可以将安然测评整合于全部开辟和把持流程中,过程完全掌控,也能够或许更好的把控开辟质量;同时也能够或许使更多的部门融进到测评工作来,各营业部门对本身营业系统加倍熟谙,能从不合角度为安然测评供给更周全的撑持。
借鉴国表里优良经验
今朝国内及西方大年夜大都发财国度在国度层面的第三方测评机构方面都成立了比较完美的利用系统安然测试系统,我国金融机构在内部扶植本身的利用系统安然测试可以借鉴其组织架构的做法和参考的尺度。
不管国际仍是国内,今朝在利用系统测试方面主如果以国际通用评估准则(CC)为主,此尺度是在多个国度的测评尺度根本之上,由六国七方统一提出的全球35个国度互认的针对产品及利用系统的信息安然测评尺度,在1999年已成了国际尺度ISO15408,且美国欧洲良多当局机构采购里面都要求必需经由过程CC,别的良多电信、金融的招标要求里面也说起了CC认证的要求。此尺度今朝已经是针对利用系统及产品安然测试的利用最广的尺度,2011年国内已划一采取为GB/T18336,当然除此尺度外,在利用系统中触及暗码模块和暗码算法还会参考FIPS 140尺度,或触及具体某一类利用系统时也会参考相干的系统尺度,如国内针对网银系统安然有人行下发的网上银行系统信息安然通用规范(121号文)、银监会下发的《网上银行安然风险治理指引》和国度测评中间发布的《GBT 20983-2007 信息安然手艺 网上银行系统信息安然保障评估准则》。
除参考的优良尺度外,从国表里当局测评机构中还可以借鉴其组织架构模式,不管是国外仍是国内,测评系统都应实现三权分立,国内的测评系统以下图所示。
图1 中国信息安然测评认证系统组织层次
从上图中可以看出,认证机构与测评尝试室(即测评机构)均需获CNAS的认证承认,同时测评尝试室还需要获得认证中间的授权,测评尝试室完成对某一系统的测评后,认证中间负责颁布相干认证证书。
成立机构内部的利用系统测试系统之道
借鉴系统化的尺度和组织架构,金融机构便可成立利用系统测试系统,首要从以下几方面扶植:
1、 成立内部测试组织系统
任何一项工作没有杰出的组织保障就不克不及顺利展开,因为成立组织系统是第一要事。组织系统要将相干部门及相干岗亭人员都纳进,如许才能将相干工作都深进到各自的岗亭中,但大年夜多机构因为行政治理的启事,直采取进城市比较坚苦,是以凡是环境下虚实连络更等闲落实,以下图所示。当然有了组织必需配备以下图所示的相干手艺工程师。
图2 测试组织系统架构
2、 明白内部利用系统安然测试的流程内容
有了明白的组织人员后,就要拟定具体的利用系统安然测试的流程内容,凡是一个较完美的基于CC的利用系统测试系统流程首要分四个大年夜部门,即:预备测试阶段、猜想试阶段、履行测试阶段、结束测评阶段。具体流程及内容图以下所示。
图3 利用系统测评系统整体流程图
3、 扶植过程中要寄望的标题问题
本系统扶植不但有很高的手艺门槛,并且还需有很强的治理办法,是以过程中要寄望以下标题问题:
1) 必需带领正视。一个完美的系统扶植不但触及财力并且触及各部门的人力,需要带领将利用安然工作晋升高度,要有鞭策贯彻该系统的决心,过程中持久存眷,并包管资本,包含人力、物力、财力。
2) 要有统一的组织系统并明白责任分工。内部利用系统测评系统成立工作的顺利展开,离不开各部门的明白责任分工,例如营业部门负责介入编写ST,提出安然策略等。
3) 需要响应的手艺环境。一个完全系统必需有响应的手艺撑持,如白盒测试东西、扫描东西等整套撑持该系统的手艺和响应产品。
4) 成立内部利用系统测评系统应循序渐近,按打算分步实施。成立内部利用测评系统将会大年夜大年夜改变公司内部的治理及工作模式,所以不克不及急功近利,不然可能会呈现良多标题问题,乃至导致前功尽弃,别的各金融机构可根据本身公司的范围、复杂度等具体设计实施打算。
长远意义
当然成立该系统前期投进较大年夜,也需要足够的人员储蓄,但合适金融行业安然自立掌控的理念。鉴于今朝各大年夜金融机构均未成立此测试系统,所以一旦有机构成立,将会有以下长远意义:
1、使安然工作从开发泉源抓起,实现良性轮回,进步利用系统安然性在企业内部的可见度。
2、可以或许晋升全部机构整体利用系统安然程度,在行业内建立标杆形象,为商业化运作供给前提。
3、今朝各大年夜机构都在扩大海外营业,此测试系统的成立可为实施全球营业计谋奠定根本。