2016年6月27日银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》(简称“通知”)正式发布。通知指出,银行业网络和重要信息系统是国家关键信息基础设施,为进一步加强互联网安全风险应对,提升银行业整体防护能力,按照国家关键信息基础设施保护、网络安全风险专项应对工作的整体安排,决定组织开展银行业网络安全风险专项评估治理工作。同时,根据中央网信办《关于开展关键信息基础设施网络安全检查的通知》(中网办发文[2016]3号)的要求,需要各银监局、银行业金融机构认真做好国家关键信息基础设施网络安全检查相关工作。
通知共分两个部分:第一部分是银行业网络安全风险专项评估治理,提出四个工作要求,包含:(1)网络和信息系统安全风险评估(2)高级持续性威胁专项评估(3)网络安全应急预案评估(4)网络安全应急演练,明确了各银监局、各政策性银行、大型银行、股份制银行、邮储银行、中央结算公司需要开展的网络安全评估治理工作。第二部分是中央网信办要求的关键信息基础设施网络安全检查有关工作,包含:(1)银行业金融机构积极配合完成关键信息基础设施网络安全检查、(2)银监会系统关键信息基础设施网络安全检查,此部分工作主要是各银行业金融机构和各银监局按照中网办发文[2016]3号文要求做好关键信息基础设施的网络安全信息报送工作。
通知的核心内容是开展银行业网络安全风险专项评估治理工作,该部分内容也是以银行业近年发生的安全事件为出发点,总结银行业面临的安全风险,制定相应的监管要求和自查工作安排,避免银行业遭受攻击,从而防患于未然。
【工作要求】网络和信息系统安全风险评估
【安全挑战】截止2016年7月,国内某漏洞平台统计数据显示,国内银行业金融机构在互联网上提供服务的信息系统存在3000余个安全漏洞,其中银行业存在1000多个高危漏洞,证券行业存在800多个高危漏洞。
【文件要求】银行业金融机构要对数据中心基础设施、信息系统开展一次全面的网络安全风险专项评估,针对内外部网络攻击威胁,评估信息系统提供持续服务的能力和数据安全保护水平,重点关注安全管理制度和网络安全防护技术体系的有效性,摸清底数、查找短板,制定威胁应对方案。工作内容分解如下:
| 评估目标 | 评估要点 | 评估工具 | 报告要点 |
| 互联网业务系统(包括客户端、移动应用)、门户网站、第三方外联系统,数据中心基础设施、通讯网络以及后台系统(包含管理信息系统、办公系统) | 安全管理措施
技术防护措施 网络攻击威胁 失泄密风险 |
管理调研
架构分析 渗透测试 App测试 二进制测试 |
问题描述
风险分析 风险等级 应对措施 整改计划 |
【专家建议】随着银行业金融机构的高速发展,互联网相关业务也越来越丰富,也暴露出越来越多的安全风险,监管机构也开始及其关注其安全风险,而风险评估工作也逐渐成为银行业金融机构的常态化网络安全工作的重要部分,《银行业金融机构安全评估办法》、《电子银行安全评估指引》、《商业银行信息科技风险管理指引》等要求成为风险评估的标准和规范,指导银行业金融机构完成风险评估工作。而本次网络安全风险专项评估提出了更高标准的要求,评估范围涉及互联网业务系统(包括客户端、移动应用)、门户网站、第三方外联系统,数据中心基础设施、通讯网络以及后台系统(包含管理信息系统、办公系统),本次专项评估的范围广,业务类型多,建议银行业金融机构先做好全面的业务梳理工作,借助外部专业化的评估机构完成安全评估。
【专家问答】
Q:渗透测试、等保测评等的报告能否作为风险评估的报告提交?
A:不能,但可作为风险评估的补充,减少重复工作。渗透测试是风险评估的技术检查部分的工作;而等保测评与风险评估有一定联系,但还是存在区别,等保测评是以符合等级保护的要求为目的,而风险评估是以风险管理为目的,两者参照的标准、工作的流程以及最终的报告内容都有所不同。
【工作要求】高级持续性威胁专项评估
【安全挑战】2015年初针对金融高管的勒索邮件开始大规模传播造成严重损失。2015年SWIFT系统漏洞导致惊天银行大劫案导致过亿美元损失; 2016年7月台湾第一银行ATM机“自动吐钱”事件导致8000余万新台币被盗;
【文件要求】政策性银行、大型银行、股份制银行、邮储银行还要针对高级持续性威胁、精准式网络攻击进行安全评估,对威胁和攻击进行分类场景设定,有针对性的排查系统漏洞、分析脆弱性;形成应对此类攻击的防护措施专项评估报告。工作内容分解如下:
| 评估目标 | 评估要点 | 评估工具 | 报告要点 |
| 政策性银行、大型银行、股份制银行、邮储银行的信息系统 | 高级持续性威胁
精准式网络攻击 分场景设定分析 |
未知威胁分析
统一威胁管理 全网态势感知 |
技术防御体系
监控平台 测试工具 仿真平台 |
【专家建议】不同与以往的病毒、木马攻击,高级持续性威胁(简称APT)攻击具有针对性,渗透力强,潜伏期长,攻击覆盖面广,传统技术措施很难进行辨认,同时造成的损失更加庞大。从近几年由APT攻击造成的安全事件可以看出,APT攻击具有很强的针对性,已经成为网络安全的首要威胁,而由于银行业金融机构的特殊性,已成为APT攻击的主要目标。建议银行业金融机构参考业内成熟经验,开展对网络、安全设备、主机及终端等综合多方面的防护水平评估,如采取从行内办公网段对行内指定的服务器主机进行入侵和权限提升测试,尝试包含应用配置测试、登录验证测试、指定内网网络域访问控制测试等科目,并对行内信息科技相关员工进行专业的针对APT攻击形式的安全知识培训,做到知己知彼,才能做好APT攻击防御。
【专家问答】
Q:什么是高级持续性威胁攻击?部署防火墙、入侵防护、防毒墙等设备能否满足要求?如何构建针对高级持续性威胁的防御体系?
A:高级持续性威胁攻击,又称APT攻击,是指融合情报、黑客技术、社会工程等各种手段,针对有价值的信息资产或通过IT系统控制的重要控制系统,发起的长期、复杂而专业攻击,主要的目标就是就是长期占有系统的控制权并不断的窃取敏感信息。
由于APT攻击具有极强的隐蔽性,攻击者往往会利用多种攻击技术、攻击手段,不仅会利用已知安全漏洞、木马后门,还可能会利用0DAY漏洞、特种木马,通常会结合社会工程学的相关知识,并且攻击路径复杂,掩盖攻击行踪,躲避常规安全产品的检测,并且整个攻击过程时间跨度较大,部署传统的防护设备无法满足防御的要求。
APT攻击无法通过单一的安全产品和安全技术进行有效的检测、防护,建议银行业金融机构结合现有的安全防护体系,补充专业的高级持续性威胁分析系统,并完善管理体系,只有建立以安全技术与安全管理相结合的纵深防护体系,才能抵御APT攻击的威胁。
【工作要求】网络安全应急预案评估
【安全挑战】2009年 DNS解析故障导致“六省断网事件”;银行互联网业务遭受黑客DDOS攻击导致服务中断;“Gozi”银行木马短短几天攻击24家银行盗窃数百万美元;2016年7月亦庄某数据中心故障致多家金融机构设备宕机,服务全部中断。
【文件要求】银行业金融机构要对网络和重要信息系统应对网络安全攻击的应急预案开展评估,针对主要网络安全攻击场景,评估预案的全面性、有效性、可操作性。根据评估结果,建立应急预案的制定、修订计划并组织实施。工作内容分解如下:
| 评估目标 | 工作要点 | 常见场景 |
| 银行业金融机构应急预案的全面性、有效性、可操作性 | 细化网络安全突发事件分级标准
细分网络攻击类型及安全威胁场景 应急准备要全面、人员职责要明确 业务和科技跨部门协同机制充分有效 高级持续性威胁攻击 ① 机房供电、空调、通信、关键设备 |
拒绝服务攻击
网站漏洞攻击 木马病毒攻击 邮件钓鱼攻击 高级持续性威胁攻击 断电断网物理攻击 |
注:① 针对政策性银行、大型银行、股份制银行、邮储银行的要求
【专家建议】网络安全应急预案的制定可实现预防或最大程度地减少银行业突发事件给金融业及其他产业带来的经济损失,预防或最大程度的减轻银行业突发事件给金融消费者权益带来的损害,维护国家金融稳定。建议银行业金融机构可根据《中华人民共和国银行业监督管理法》 、中国银监会《银行业突发事件应急预案》等相关规章和标准,结合近年银行业发生的安全事件和面临的安全风险,制定符合自身组织架构的网络安全应急预案,明确各个部门的责任,准备措施以及应对突发事件的配合机制。
【专家问答】
Q:银行在建立之初就制定了完善的《突发事件应急预案》,可以直接提交吗?
A:由于银行业近几年处于高速发展阶段,新业务新技术较多,如网上银行、手机银行、微信银行、直销银行等新业务,虚拟化桌面技术、云平台等新兴技术也不断在银行业中展开实践和推广,面临的安全风险也与以往不尽相同,因此需要结合实际情况对《突发事件应急预案》进行更新。
【工作要求】网络安全应急演练
【安全挑战】2011年4月韩国农协银行服务器数据被黑客删除导致全国1154个分行业务中断,而异地灾备服务器没有按照应急预案及时恢复数据导致业务无法恢复。国内某银行业务系统故障导致业务中断,而异地容灾中心并未及时切换。2013年12月花旗银行一名内部员工恶意删除10台核心路由器配置导致110个分行网络异常,占花旗银行所有分支机构总数的90%,备份路由器发挥了作用,没有造成全面停运,但还是导致了网络和分支机构出现“拥堵”情况。
【文件要求】银行业金融机构要对数据中心基础设施、信息系统开展一次全面的网络安全风险专项评估,针对内外部网络攻击威胁,评估信息系统提供持续服务的能力和数据安全保护水平,重点关注安全管理制度和网络安全防护技术体系的有效性,摸清底数、查找短板,制定威胁应对方案。评估内容分解如下:
| 评估目标 | 工作要点 | 演练场景 |
| 银行业金融机构 | 建立常态化开展网络安全应急演练制度
针对主要网络安全攻击场景进行演练 |
拒绝服务攻击
网站漏洞攻击 木马病毒攻击 邮件钓鱼攻击 |
| 政策性银行、大型银行、股份制银行、邮储银行 | ①开展应对高级可持续性威胁、精准式网络攻击的演练,以真实业务接管为目标,加强攻防对抗模拟和跨部门协同演练
②开展银行同业、外包服务商、外联机构的协同演练,或与公安、电信部门及其他国家信息安全、公共事业管理部门开展联防演练 |
攻防演练
协同演练 联防演练 |
| 其他机构 | 加强数据中心关键基础设施服务、重要信息系统故障场景的业务连续性演练,积极开展真切实换演练。 | 断网断电
物理攻击 异地灾备 |
注:对该项工作突出的单位,银监会将工作情况纳入监管评级结果中。
【专家建议】网络安全应急演练可直接验证网络安全应急预案的全面性、有效性和可操作性,确保发生安全事件,网络安全应急预案能够发挥作用,保障信息系统的安全、稳定、持续运行,从而避免出现“纸上谈兵”的情况。建议银行金融机构借助同业的丰富经验和专业安全厂家的力量,进行全面的、多场景的应急演练,调动相关部门资源积极配合完成演练工作,才能保证在真实发生安全事件时,合理有效、配合有序的应对各类威胁。
【专家问答】
Q:网络安全应急演练主要涉及哪些方面?
A:网络安全应急演练的制定可参考《网络安全应急预案》,根据事件类型和场景,结合银行业务场景,制定网络安全应急演练方案,如门户网站被篡改、网上银行遭受拒绝服务供给无法访问、内部网络遭受未知病毒攻击、银行网络或电力中断等,更大范围的演练可协同本地其他银行、电信运营商、公安机关等机构进行协同演练。
本次通知要求比较具体和全面,覆盖了风险管理的评估、整改、演练、应急各个环节,并且与中央网信办的要求同时下发,对银行业金融机构提出个更高的安全要求。
附:工作分解表
| 工作内容 | 具体要求 | 关键词 | 报告要求 | 时间要求 |
| 网络和信息系统安全风险评估 | 互联网业务系统(包括客户端和移动应用)、门户网站、第三方外联系统、数据中心基础设施、通讯网络以及后台系统(包括管理信息系统、办公系统) | 技术防护措施、安全管理措施 | 问题描述、风险分析、风险等级、整改措施 | 8月31日 |
| 高级持续性威胁专项评估 | 针对高级持续性威胁、精准式网络攻击进行安全评估,对威胁和攻击进行分类场景设定。 | 高级持续性威胁、精准式网络攻击、防护措施 | 监控平台、测试工具、仿真平台 | 11月5日 |
| 网络安全应急预案评估及修订完善 | 细化网络安全突发事件分级标准,根据不同的网络攻击、安全威胁场景进行评估 | 细化事件分级标准、分场景评估 | 应急准备充分、组织职责明确、部门协作 | 9月30日 |
| 网络安全应急演练 | 建立常态化开展网络安全应急演练的制度,针对主要网络安全攻击场景,开展应急演练。 | 攻防对抗模拟、跨部门协同演练 | 工作开展情况纳入年度监管评级结果 | 6月30日 |
| 网络安全风险专项评估治理总结报告 | 对组织开展、应对措施落实、专项治理、应急演练、关键基础设施安全检查、防控成效和经验进行总结 | 工作成果汇报 | 不走过场、认真实施、确保成效 | 11月5日 |
| 关键信息基础设施登记表 | 面向公众提供网络信息服务或支撑重要行业运行的信息系统或工业控制系统,一旦损坏将影响行业正常运行。 | 功能、范围、数据存储、危害性 | 加强领导、积极准备、认真配合 | 7月27日 |
| 中央和国家机关网络安全自查表 | 完成责任制落实、日常管理、防护、应急工作、教育培训、技术产品使用、商用密码使用等网络安全检查。 | 提升自主可控水平和安全防护能力 | 全面排查、突出问题、切实减少威胁 | 8月31日 |
银监会对此次专项评估治理工作开展情况进行质量抽查,并作为年度信息科技监管评级的重要参考依据,抽查方案另行通知。
如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669