电子银行安全评估方法探讨摘要:本文首先对目前各类电子银行相关的规范和制度进行了描述和总结,之后结合电子银行的行业评估现状,提出了一种新的基于加权平均方法的电子银行评估方式,最后针对下一步工作提出了有益的建议关键词:加权平均 电子银行 评估1 序言电子银行的概念起源于上世纪70年代,发展至今已有近40年随着其业务种类的创新,电子银行已成为集、、网络等多种方式,以及自助查询终端、ATM、POS等多渠道于一体的自助全方位服务,可在3A的情况下(即:任何时间、任何地点、任何方式)为客户提供全天候金融服务电子银行业务的出现彻底打破了银行在服务时间和空间上的约束,使银行无所不在在电子银行发展初期,由于其安全性问题及虚拟性特征,人们对其发展存在着各种疑虑随着近几年各类技术规范和标准的逐步出台,以及各家银行管理技术和能力逐步走向成熟,业务也得到快速发展据统计,2011年我国主要银行的电子渠道交易替代率已达65.6%,电子银行已发展成为业务办理的最主要渠道之一然而,伴随着电子银行的迅猛发展、受关注程度的提高,近几年来,各类信息泄露、账户盗用事件的案发率也呈现逐年上升态势,根据CNNIC最新统计显示,网络电子信息泄露的比例已超过信息泄露总量的70%,国家秘密和公众隐私的安全保密问题已非常突出⑴⑴ 2011年CNNIC中国互联网络发展状况统计报告。
基于以上情况,针对电子银行的业务发展、安全状况进行评估是时下热点之一各家商业银行由于其业务种类的特殊性,对其安全评估历来较为复杂、且技术性要求较高,现阶段基本通过聘请外部审计机构来完成考虑到各类审计机构的关注点不同,且涉及商业机密,即便是行业内部人士也很难能对该领域的总体情况进行研究剖析本文下面将首先对现有的电子银行规范进行归纳比较,并结合不同类别机构电子银行的发展现状,提出一种新的评估方式2 当前电子银行评估方法2.1 现有各类制度规范电子银行现有评估标准共有四个大类,经归纳可以概括为:技术类标准、行业监管标准、国家基础标准和国际标准四种在对电子银行进行评估的过程中,我们可充分根据关注点和视角的不同,选取其中合适的标准进行评估,或者结合多种评估方式进行综合考虑下面对几类标准进行简单介绍1)技术类标准这一类标准主要是国家技术规范,包括《GB/T18336信息技术安全性评估准则》(2008年)、《GB/T 20983信息安全技术网上银行系统信息安全保障评估准则(2007年)、《GB17859计算机信息系统安全保护等级划分准则》(1999年)、《计算机信息系统安全专用产品分类原则》(1997年)等国家标准,这一类标准由国家统一制定,并非电子银行业务类的标准,通用性强,覆盖面广,但是却难以涉及具体设计规范和技术的个性化要求。
2)监管类标准这一类标准包括人民银行颁发的《网上银行系统信息安全通用规范》(2012年)、《电子支付指引》(2006年),以及银监会颁发的《电子银行业务管理办法》(2005年)、《电子银行安全评估指引》(2006年)等,这一类标准一般较为细致和全面,但是其不足在于多为侧重风险,属于行业监管和政策性的导向要求3)国家基础标准这一类标准主要由公安部和全国信息安全标准化技术委员会制定的《信息系统安全等级保护标准》(2007年)、以及国家质检总局颁布的《网上银行系统安全保障要求》(2004年)等构成,这一类标准多为基础性要求,其中各技术类的指标较为详细,要求难度也相对适中4)国际标准这一类标准主要由ISO27000系列安全管理标准(2005年)、《BS 25999业务连续性管理标准》(2007年),以及ITIL等国际规范构成,此外,巴塞尔银行管理委员会制定的《电子银行风险管理原则》(2003年)也是一项重要的参考2.2现有评估方法及评估方式所谓评估方法,实际上就是通过一定的评估方式,对其评估结果进行量化的评定,并结合最终的评估结论进行判断,以提供决策的最终依据根据我国各行业监管机构以及著名的国际四大咨询公司日常工作准则,一般常见的主要评估手段有以下五种:调阅资料和报表、实地访谈、现场查看、手工核查、工具检测。
1)调阅资料和报表该方式主要是通过翻阅主要规范、制度和过程记录,对被评估对象进行深入了解,获取其设计规范、管理情况、配套资源2)实地访谈该方式主要是借助评估人员的主观经验,在与被访谈人员实际交流过程中,获取其安全意识、知识、技能、对制度的理解等真实情况,并同时通过访谈正向指导评估人员对于制度理解的准确度3)现场查看该方式主要由评估人员实地了解各项措施的落实情况,以及各项基础设施配套安全工作的真实性4)手工核查该方式主要对于评估人员对主要技术的掌握度要求较高,主要通过评估人员查看一些工作簿、日志、配置,通过多个角度,多元化的了解各类设备安全手段、措施的执行情况5)工具检测该方式是一种近几年诞生的新型检查方法,有利有弊优势在于可极大程度的提高检查效率、放大检查成果,降低检查结论的偶然性;弊端在于工具的效果难以预先测算,时效性强、淘汰快,且好的工具需要购买和使用成本2.3 常见的评估工具一般常见的电子银行类IT评估审计工具,主要分为系统级检测工具、应用级分析、数据挖掘工具三种系统性检测工具分为:端口测试工具(普通的如ping和tracert等系统工具,专用的有Currports、NetCat等)、网络渗透性工具(Nikto、Acunetix Scanner)、消息捕获及控件工具(Anyview)、系统设备情况捕获工具(Lansee)等,有一些在互联网上就可以下载。
应用级分析工具一般而言,需对系统应用有所了解,其逻辑设计要求与系统设计应能够吻合,所以该类审计工具一般由系统开发商、系统集成商提供接口,方能进一步进行设计开发而数据挖掘工具,则是在应用级分析工具的基础上,对各类参数、模型、分析结果进行深加工,例如SPSS等3创新方式:基于风险点的加权评估考虑现有评估方式难以对各类风险的程度、总体走势进行判断,也无法深入分析和对比其关联性,得分点的设计一般也较为主观本文对现有评估方式进行了创新,在对电子银行主要风险点进行分类提取基础上,提出了一种基于主要风险点的加权平均值计算评估方式 3.1 电子银行的主要风险点分类本文在对国内部分国有大型银行、外资银行、城商行和农村中小金融机构调研的基础上,翻阅了多份电子银行安全评估报告,结合我国的目前电子银行经营特色,将电子银行存在的主要风险点归纳为如下三个方面:一是业务信息类风险这一方面主要包括服务器端信息泄漏、客户端信息泄漏、网络钓鱼事件、授权操作类漏洞、误操作类事件等该类别主要关注的是业务类数据的本身,当其环境、使用目的发生一定变化时带来的风险该类风险基本属于可控类风险,其评估价值属于中等水平二是系统服务类风险。
这一方面主要包括各类外部渗透性攻击、木马移植、欺骗风险、网络阻塞、黑客事件(客户资金损失)以及合作方项目意外中断等,该类风险将导致系统对外服务受到一定影响,并可能造成恶劣的社会负面影响三是设备本身固有的风险该类风险包括有各类软硬件故障、系统主机密钥及加密算法弱、灾难性数据丢失、意外灾害等,该类风险一般都属于较高级别,可能直接导致系统停机3.2 基于加权平均方式的电子银行风险评估根据上节所述,对于以上风险可控程度和影响度,我们近似的对其进行了分级评定,其中调整范围主要是指根据检查点获取信息的情况,酌情进行评值上下浮动例如,某单位机房正在装修,其软硬件故障度将可能在短时间内有一定增幅,因此可以酌情对软硬件故障的评估值适当调高,以降低因故障率而冲高的小概率事件影响风险类别评估子类n(a,b…)建议权重(p)调整范围(k)业务信息类A服务端信息泄漏0.40.1以内B客户端信息泄漏0.250.1以内C网络钓鱼事件0.30.1以内D授权操作漏洞0.60.1以内E误操作事件0.30.1以内系统服务类F渗透攻击0.40.2以内G木马移植0.40.2以内H网络阻塞0.60.2以内I其它黑客事件0.40.2以内(部分导致严重后果的可放大)设备固有类J软硬件故障0.60.3以内K密钥及加密算法0.80.3以内L意外灾害0.90.3以内M灾难性数据丢失0.90.3以内………根据上表,以上3大项共13小项,基本覆盖了主要的电子银行风险事件,这些评估标准与银监会2006年3月发布的《电子银行安全评估指引》的指导原则是基本相符的。
本文通过加权平均法则方式,根据某家代表性银行评估的结果,选取连续若干年度的数据进行了加权平均计算,并对变化幅度较小的风险进行风险值放大,从而最后得出该银行电子银行系统性风险的发展趋势其具体计算过程为:1)计算当前风险值(F1/F2)当年评估风险值∑(k1,n,p)=(k1(a1,p)+ k1(b1,p)+ k1(c1,p)+..... k1(m1,p))=F1―――(公式1)后续评估风险值∑(k2,n,p)=(k2(a1,p)+ k2(b1,p)+ k2(c1,p)+..... k2(m1,p))=F2―――(公式2)2)计算连续风险值(F)F=(F1×W1+F2×W2+….Fn×Wn)/(W1+W2+… Wn)―――(公式3)其中的W1-Wn值是所评估年的风险事件、管理水平、评级标准等的一个综合权重值(一般设定为0-1之间的某个值)3)分析结论我们随机选取了某家商业银行(总资产规模在1万亿以上)2009至2011年连续三年电子银行业务发展状况作为评估样本,对照3个大项、13个子项进行了评估,并按照上节提出的公式,进行了加权平均计算(具体中间计算过程限于篇幅,此处不再赘述),所取样本见图表。
假设我们进一步为样本值设定置信度(假设子项变化范围设定在0.2以内,W值均暂定为1、即连续不变),通过计算将可以得出如下评估结果:a、该银行第六项(渗透攻击)、第七项(木马移植)值三年以来总变动幅度最大;b、该银行第九项(其它黑客事件)2011单年变化幅度最大;c、该银行总风险值(F1为5.95,F2为6.79,F3为8.19)呈现逐年放大趋势根据对评估结果的分析,可得出该评估方式具有以下三点优势:第一,每年各子项的评估调整值,可借助趋势图直观的体现出来(如下图2009、2010、2011三条横向曲线),通过三条曲线的走势可分析出,除部分子项变化较小或存在异动以外,其余大部分评估项随着业务的发展,其风险呈现逐年放大的态势第二,每年计算出的Fn值大小、以及最终F值的结果,将说明该行电子银行业务发展的总体风险趋势,如Fn值与上一年同比增加较多,且F值为历年最高值,将说明在过去的一年中风险值的增加是前所未有的,应适当考虑审慎的经营与发展;第三,通过设定置信区间,可以体现出单项风险点的变化,从而判断其是否超出了预警界限,并更进一步为决策提出依据某商业银行2009至2011年电子银行业务发展趋势评估表)4 结论4.1 对商业银行电子银行业务的评估价值就目前国内各家商业银行的电子银行业务发展而言,一方面,由于大部分银行电子银行业务起步晚、发展历程短,其中中小银行受其技术力量、投入所限,既不具备实力、也难以准确的自行对其现有电子银行业务风险进行评估,而在大中型银行中,也仅有部分邀请了外部机构开展了业务风险安全评审。
根据我们对大部分评审结果的跟踪,发现目前的审计过程有三个显著特征:一是评审费用十分高昂,且耗费人力物力、协调成本较大二是评审时间一般较短(多为2-4周),对被审机构该领域的业务发展状况难以形成全面认识,其结论普遍缺乏趋势性的预测和分析三是大部分评审机构作出的结论均较为类似,对被审机构的下一步发展、总体业务分析和风险偏好均缺少个性化指导价值另一方面,电子银行其行业竞争十分激烈,受市场需求导向,新业务投放市场的时间在不断受到压缩信息科技、电子银行部门受其制约,在业务系统上线的整个过程处于十分被动的状态,因而在客户体验、系统设计以及数据安全性方面,均缺乏有效考量,直接导致了软件产品在其健壮性、可用性方面大打折扣针对以上两方面观点,本文提出的评估方式,对于商业银行而言,不仅可在软件新版本的上线前的自我评审中,参考该模式以填补风险趋势评估方面的欠缺;同时,本文也对当前业界各类电子银行业务内部审计的框架、思路和目标起到一定的导向性作用4.2 监管部门的评估工作应加速转型电子银行与传统银行业务相比,可以说已经具备了新型的风险特征,其兴起也增加了风险管理的难度因此,监管部门在评估的内容、手段、方法等方面也应作出相应的调整,一是应加大对新兴领域风险的关注度,如银行、电视银行等方式的新风险点,积极转变监管思路;二是随着银行向客户提供的金融服务多样化、综合化,以及金融行业之间的业务交叉程度加深,分业管理的难度正在迅速加大。
当监管的边界无法明确界定时,现有的评估应更多考虑一些边缘结合点,通过跨行业、跨区域联动方式实现深度评估;三是随着电子交易替代率的上涨,交易量的逐年增加,各类电子渠道已暴露和可能暴露出的风险,单纯通过手工方式去发现将显得十分被动,传统的监管方式也正显现出其瓶颈,应打破这一桎梏,以提高监管效能为目标,通过引入一些自动化的检测、监控工具,并借助外力来实现辅助评估例如银监会自2010年起,已连续三年针对不同类别机构进行了电子银行渗透性测试与评估,就是一项非常有益的尝试4.3 本文下一步的工作本文提出的基于加权平均值计算的风险评估公式,是一种对风险评估的有益创新,在初步完成的基础上,下一阶段仍然存在很多工作:一是公式本身设计的风险点仍然有待完善,随着技术的变更,更多的新风险将会产生和受到关注;二是加权平均其权重值设计是一个难点,如何设计的更加合理,0-1之间的指标值如何取定,需对当前业界发展状况、行业业务热点进行综合考虑,将需要更多的人参与到这项工作中,也需要更多实地经验的积累,在今后有兴趣的同仁可与笔者共同建模并深入分析探讨;三是趋势判断的结论,其指导意义对于被评估机构以及监管部门,需要有成熟规范或制度来推动,在此我们也呼吁能够尽快对电子银行的(包括网上银行、银行、银行等不同渠道)分类监管标准进行创新,将新的技术和标准引入到电子银行这一瞬息万变的领域中,真正做到与时俱进,为广大公民打造真正安全可靠的运行环境。