【正文】 Copyright by CHENYL 信息科技風(fēng)險(xiǎn)監(jiān)管知識(shí)講座 2023 年 8 月 主要內(nèi)容 一、信息科技風(fēng)險(xiǎn)監(jiān)管概況 二、 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)和手段 三、 主要監(jiān)管制度介紹 四、信息科技風(fēng)險(xiǎn)監(jiān)管體系簡(jiǎn)介 五、基層銀行機(jī)構(gòu)科技風(fēng)險(xiǎn)監(jiān)管的思考 一、信息科技風(fēng)險(xiǎn)監(jiān)管概況 信息科風(fēng)險(xiǎn)監(jiān)管背景 某 銀行核心系統(tǒng)故障全國(guó)中斷營(yíng)業(yè) 4小時(shí) 某行海南分行供電中斷導(dǎo)致停業(yè) 小時(shí) 2023年銀聯(lián)跨行交易全面中斷 8小時(shí) 屢次發(fā)生的網(wǎng)絡(luò)安全事件： 2023年 初多家銀行網(wǎng)銀系統(tǒng)遭受攻擊 2023年底我省某行網(wǎng)銀系統(tǒng)遭受 DDos攻擊 2023年底某行成都分行發(fā)生網(wǎng)銀客戶資金被盜事件 2023年奧運(yùn)開(kāi)幕式某國(guó)有銀行網(wǎng)絡(luò)遭攻擊 …. …. 2023 2023 2023 ?近年來(lái)，隨著銀行機(jī)構(gòu)系統(tǒng)網(wǎng)絡(luò)化、數(shù)據(jù)集中化，科技風(fēng)險(xiǎn)問(wèn)題日益突出 ?科技風(fēng)險(xiǎn)的特點(diǎn)是 風(fēng)險(xiǎn)變化快、蔓延快、影響范圍大 銀監(jiān)會(huì)信息科技監(jiān)管歷程 2023 2023 2023 2023 2023 ?發(fā)布信息科技風(fēng)險(xiǎn)管理指引 ?開(kāi)展信息科技風(fēng)險(xiǎn)內(nèi)部和外部評(píng)價(jià)審計(jì) ?開(kāi)展信息科技風(fēng)險(xiǎn)奧運(yùn)專項(xiàng)自查 ?發(fā)布新的 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?《 銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法 》 ? 部署信息科技風(fēng)險(xiǎn)非現(xiàn)場(chǎng)系統(tǒng) ?《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 》 ?自 2023年 8月發(fā)布 《 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引 》 開(kāi)始， 銀監(jiān)會(huì)正式對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)行監(jiān)管，近年來(lái)推出一系列制度和措施，監(jiān)管工作逐步走向規(guī)范化。 銀監(jiān)會(huì)開(kāi)展的主要工作 ?制定一系列制度和標(biāo)準(zhǔn) ?持續(xù)開(kāi)展信息科技風(fēng)險(xiǎn)監(jiān)管培訓(xùn) ?組織開(kāi)展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查 ?推動(dòng)實(shí)施信息科技非現(xiàn)場(chǎng)監(jiān)管 ?組織開(kāi)展重要時(shí)點(diǎn)信息科技自查整改 ?及時(shí)發(fā)布各類信息科技風(fēng)險(xiǎn)提示 銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況 ?科技風(fēng)險(xiǎn)管控意識(shí)提高 ?科技治理架構(gòu)初步建立 ?科技基礎(chǔ)設(shè)施不斷完善 ?運(yùn)行維護(hù)能力不斷加強(qiáng) ?重視加強(qiáng)災(zāi)備建設(shè)及開(kāi)展應(yīng)急演練 銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況 ?個(gè)別銀行科技治理認(rèn)識(shí)不到位 ?重眼前建設(shè)輕長(zhǎng)遠(yuǎn)規(guī)劃 ?科技治理架構(gòu)未有效運(yùn)行 ?應(yīng)急演練開(kāi)展實(shí)戰(zhàn)性不足 ?基層銀行機(jī)構(gòu)科技力量薄弱 二、 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)與手段 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) 降低信息系統(tǒng)連續(xù)性和 安全性風(fēng)險(xiǎn)程度到可接受范圍 保障 信息系統(tǒng)連續(xù)性 和 安全性 保護(hù)銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)） 保護(hù)存款人利益 維護(hù)社會(huì)穩(wěn)定 目標(biāo)層次 宏觀 具體 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?連續(xù)性： ? 即業(yè)務(wù)連續(xù)性 ， 保證信息系統(tǒng)穩(wěn)定 、 持續(xù)地提供服務(wù) ，通俗地說(shuō)就是系統(tǒng) “ 不能斷 ” 。 ?安全性： ? 保證數(shù)據(jù)的保密性 、 完整性 、 可用性 ， 通俗地說(shuō)就是數(shù)據(jù) “ 不能丟 ” 。 ? 所有科技風(fēng)險(xiǎn)事件都可以歸于信息系統(tǒng)連續(xù)性或安全性出問(wèn)題的事件 。 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?連續(xù)性事件案例 ? 案例 1： 2023年 11月上旬 ， 某大型銀行某省分行在供電部門(mén)預(yù)先通知停電的情況下 ， 因發(fā)電機(jī)故障 、 主機(jī)存儲(chǔ)控制卡損壞等原因 ，造成全省業(yè)務(wù)無(wú)法正常運(yùn)營(yíng)達(dá) 7小時(shí) 15分鐘 。 ? 案例 2： 2023年 12月 21日 ， 某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因 DDOS攻擊引發(fā)的系統(tǒng)故障 ， 經(jīng)內(nèi)外部專家診斷為外部分布式攻擊 。 攻擊來(lái)自互聯(lián)網(wǎng)多個(gè)地方和多臺(tái)機(jī)器 ， 持續(xù)時(shí)間 500分鐘 。 故障剛發(fā)生階段的現(xiàn)象表現(xiàn)為網(wǎng)銀客戶登錄網(wǎng)銀主頁(yè)面緩慢或超時(shí)無(wú)法訪問(wèn) 。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁(yè)服務(wù)器系統(tǒng)資源壓力迅速增大 ， 進(jìn)程達(dá)到系統(tǒng)最大進(jìn)程數(shù) ， 超過(guò)日常監(jiān)控進(jìn)程數(shù)四倍 。 ? 案例 3： 2023年 2月 3日某全國(guó)性銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)故障導(dǎo)致全國(guó)柜面等各項(xiàng)業(yè)務(wù)中斷近四小時(shí) 。 ? 案例 4： 2023年 12月 16日 11： 05至 13： 57， 某分行綜合前置機(jī)系統(tǒng)出現(xiàn)故障 ， 造成全轄 15個(gè)網(wǎng)點(diǎn)對(duì)外營(yíng)業(yè)中斷近三個(gè)小時(shí) 。 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?安全性事件案例 ? 案例 1： 2023年 12月 31日至 2023年 1月 4日 ， 某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件 ， 涉及被盜帳號(hào) 12個(gè) ， 總金額 12萬(wàn)元 。 犯罪嫌疑人通過(guò)本人及雇用他人在銀行辦理借記卡并開(kāi)通個(gè)人網(wǎng)銀業(yè)務(wù) ， 以合法身份進(jìn)入該銀行大眾版網(wǎng)銀系統(tǒng) ， 然后利用網(wǎng)絡(luò)下載的黑客軟件對(duì)該銀行大眾版網(wǎng)銀系統(tǒng)進(jìn)行攻擊和破譯 ，發(fā)現(xiàn)漏洞后作案 。 犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對(duì)轉(zhuǎn)出卡號(hào) 、 轉(zhuǎn)入帳號(hào)客戶隸屬關(guān)系進(jìn)行校驗(yàn) ， 而且主機(jī)系統(tǒng)對(duì)網(wǎng)銀服務(wù)端上傳的個(gè)別交易數(shù)據(jù)驗(yàn)證不充分的程序邏輯缺陷 ， 通過(guò)模擬瀏覽器與服務(wù)端通訊的方式 ， 非法截取并篡改交易數(shù)據(jù) ， 盜取他人資金 。 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?安全性事件案例 ? 案例 2： 某行市分行發(fā)生一起內(nèi)部員工違規(guī)利用網(wǎng)銀動(dòng)用客戶資金的案件 。 2023年 10月份 ， 支行客戶部網(wǎng)銀操作員及復(fù)核員在為客戶辦理網(wǎng)銀業(yè)務(wù)時(shí)發(fā)現(xiàn)操作 IC卡已經(jīng)過(guò)期 ， 遂聯(lián)系市分行網(wǎng)銀管理員黃某辦理?yè)Q卡事宜 ， 并告知其操作密碼 。 黃某利用自己作為管理員保管 “ 管理證書(shū) ” 之便 ， 進(jìn)入系統(tǒng) ， 修改了某對(duì)公客戶的網(wǎng)銀證書(shū)和密碼 ， 再通過(guò)集團(tuán)理財(cái)帳戶實(shí)行網(wǎng)銀轉(zhuǎn)帳 ， 動(dòng)用客戶帳戶上 。 ? 案例 3： 某行柜員在為客戶辦理購(gòu)買(mǎi)基金手續(xù)過(guò)程中 ,利用電腦終端畫(huà)面可以屏幕打印功能 ,沒(méi)有進(jìn)行實(shí)際交易 ,套打基金交易憑證交予客戶 ,將客戶資金轉(zhuǎn)入其控制的賬戶 .涉案金額 85萬(wàn)元 。 電腦終端可隨意進(jìn)行屏幕打印 ,存在明顯缺陷 ,使作案人有機(jī)可乘 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ?安全性事件案例 ? 案例 4： 近期 ， 某銀行機(jī)構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識(shí)別程序 ” 自行編寫(xiě)密碼猜解軟件 ， 通過(guò)鎖定某一固定密碼反復(fù)輪訓(xùn)帳號(hào)的方式 ， 對(duì)多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測(cè)攻擊 ，最終非法獲取兩家銀行數(shù)百個(gè)客戶的網(wǎng)銀帳號(hào) 、 查詢密碼等信息 。 ? 案例 5： 近期 ， 某銀行機(jī)構(gòu)發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識(shí)別程序 ” 自行編寫(xiě)密碼猜解軟件 ， 通過(guò)鎖定某一固定密碼反復(fù)輪訓(xùn)帳號(hào)的方式 ， 對(duì)多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測(cè)攻擊 ，最終非法獲取兩家銀行數(shù)百個(gè)客戶的網(wǎng)銀帳號(hào) 。 ? 案例 6 ： 某行借記卡被通過(guò)手機(jī)銀行猜解密碼 ， 涉及 1007張借記卡 。 信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo) ? 如何判斷是否達(dá)到目標(biāo) ？ ? 信息科技風(fēng)險(xiǎn) （ 包括連續(xù)性和安全性風(fēng)險(xiǎn) ） 的計(jì)量 ? 判斷信息科技風(fēng)險(xiǎn)程度是否在可接受范圍 基本概念 ? 資產(chǎn) ? 對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。主要包括： ? —— 支持設(shè)施（例如建筑、供電、供水、空調(diào)等） ? —— 硬件資產(chǎn)（例如計(jì)算機(jī)設(shè)備、路由交換機(jī)、交換機(jī)等） ? —— 信息資產(chǎn)（例如數(shù)據(jù)庫(kù)和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序等） ? —— 軟件資產(chǎn)（例如應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和使用程序等） ? —— 生產(chǎn)能力或服務(wù)能力 ? —— 人員