【正文】 Copyright by CHENYL 信息科技風險監(jiān)管知識講座 2023 年 8 月 主要內容 一、信息科技風險監(jiān)管概況 二、 信息科技風險監(jiān)管目標和手段 三、 主要監(jiān)管制度介紹 四、信息科技風險監(jiān)管體系簡介 五、基層銀行機構科技風險監(jiān)管的思考 一、信息科技風險監(jiān)管概況 信息科風險監(jiān)管背景 某 銀行核心系統(tǒng)故障全國中斷營業(yè) 4小時 某行海南分行供電中斷導致停業(yè) 小時 2023年銀聯(lián)跨行交易全面中斷 8小時 屢次發(fā)生的網(wǎng)絡安全事件： 2023年 初多家銀行網(wǎng)銀系統(tǒng)遭受攻擊 2023年底我省某行網(wǎng)銀系統(tǒng)遭受 DDos攻擊 2023年底某行成都分行發(fā)生網(wǎng)銀客戶資金被盜事件 2023年奧運開幕式某國有銀行網(wǎng)絡遭攻擊 …. …. 2023 2023 2023 ?近年來，隨著銀行機構系統(tǒng)網(wǎng)絡化、數(shù)據(jù)集中化，科技風險問題日益突出 ?科技風險的特點是 風險變化快、蔓延快、影響范圍大 銀監(jiān)會信息科技監(jiān)管歷程 2023 2023 2023 2023 2023 ?發(fā)布信息科技風險管理指引 ?開展信息科技風險內部和外部評價審計 ?開展信息科技風險奧運專項自查 ?發(fā)布新的 《 商業(yè)銀行信息科技風險管理指引 》 ?《 銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法 》 ? 部署信息科技風險非現(xiàn)場系統(tǒng) ?《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 》 ?自 2023年 8月發(fā)布 《 銀行業(yè)金融機構信息系統(tǒng)風險管理指引 》 開始， 銀監(jiān)會正式對銀行科技風險進行監(jiān)管，近年來推出一系列制度和措施，監(jiān)管工作逐步走向規(guī)范化。 銀監(jiān)會開展的主要工作 ?制定一系列制度和標準 ?持續(xù)開展信息科技風險監(jiān)管培訓 ?組織開展信息科技風險現(xiàn)場檢查 ?推動實施信息科技非現(xiàn)場監(jiān)管 ?組織開展重要時點信息科技自查整改 ?及時發(fā)布各類信息科技風險提示 銀行機構信息科技風險狀況 ?科技風險管控意識提高 ?科技治理架構初步建立 ?科技基礎設施不斷完善 ?運行維護能力不斷加強 ?重視加強災備建設及開展應急演練 銀行機構信息科技風險狀況 ?個別銀行科技治理認識不到位 ?重眼前建設輕長遠規(guī)劃 ?科技治理架構未有效運行 ?應急演練開展實戰(zhàn)性不足 ?基層銀行機構科技力量薄弱 二、 信息科技風險監(jiān)管目標與手段 信息科技風險監(jiān)管目標 降低信息系統(tǒng)連續(xù)性和 安全性風險程度到可接受范圍 保障 信息系統(tǒng)連續(xù)性 和 安全性 保護銀行信息資產(chǎn)（信息系統(tǒng)、數(shù)據(jù)） 保護存款人利益 維護社會穩(wěn)定 目標層次 宏觀 具體 信息科技風險監(jiān)管目標 ?連續(xù)性： ? 即業(yè)務連續(xù)性 ， 保證信息系統(tǒng)穩(wěn)定 、 持續(xù)地提供服務 ，通俗地說就是系統(tǒng) “ 不能斷 ” 。 ?安全性： ? 保證數(shù)據(jù)的保密性 、 完整性 、 可用性 ， 通俗地說就是數(shù)據(jù) “ 不能丟 ” 。 ? 所有科技風險事件都可以歸于信息系統(tǒng)連續(xù)性或安全性出問題的事件 。 信息科技風險監(jiān)管目標 ?連續(xù)性事件案例 ? 案例 1： 2023年 11月上旬 ， 某大型銀行某省分行在供電部門預先通知停電的情況下 ， 因發(fā)電機故障 、 主機存儲控制卡損壞等原因 ，造成全省業(yè)務無法正常運營達 7小時 15分鐘 。 ? 案例 2： 2023年 12月 21日 ， 某行網(wǎng)上銀行系統(tǒng)發(fā)生一起因 DDOS攻擊引發(fā)的系統(tǒng)故障 ， 經(jīng)內外部專家診斷為外部分布式攻擊 。 攻擊來自互聯(lián)網(wǎng)多個地方和多臺機器 ， 持續(xù)時間 500分鐘 。 故障剛發(fā)生階段的現(xiàn)象表現(xiàn)為網(wǎng)銀客戶登錄網(wǎng)銀主頁面緩慢或超時無法訪問 。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁服務器系統(tǒng)資源壓力迅速增大 ， 進程達到系統(tǒng)最大進程數(shù) ， 超過日常監(jiān)控進程數(shù)四倍 。 ? 案例 3： 2023年 2月 3日某全國性銀行核心業(yè)務系統(tǒng)數(shù)據(jù)庫故障導致全國柜面等各項業(yè)務中斷近四小時 。 ? 案例 4： 2023年 12月 16日 11： 05至 13： 57， 某分行綜合前置機系統(tǒng)出現(xiàn)故障 ， 造成全轄 15個網(wǎng)點對外營業(yè)中斷近三個小時 。 信息科技風險監(jiān)管目標 ?安全性事件案例 ? 案例 1： 2023年 12月 31日至 2023年 1月 4日 ， 某銀行成都分行發(fā)生一起網(wǎng)上銀行客戶資金被盜案件 ， 涉及被盜帳號 12個 ， 總金額 12萬元 。 犯罪嫌疑人通過本人及雇用他人在銀行辦理借記卡并開通個人網(wǎng)銀業(yè)務 ， 以合法身份進入該銀行大眾版網(wǎng)銀系統(tǒng) ， 然后利用網(wǎng)絡下載的黑客軟件對該銀行大眾版網(wǎng)銀系統(tǒng)進行攻擊和破譯 ，發(fā)現(xiàn)漏洞后作案 。 犯罪嫌疑人利用網(wǎng)銀客戶端交易數(shù)據(jù)包未對轉出卡號 、 轉入帳號客戶隸屬關系進行校驗 ， 而且主機系統(tǒng)對網(wǎng)銀服務端上傳的個別交易數(shù)據(jù)驗證不充分的程序邏輯缺陷 ， 通過模擬瀏覽器與服務端通訊的方式 ， 非法截取并篡改交易數(shù)據(jù) ， 盜取他人資金 。 信息科技風險監(jiān)管目標 ?安全性事件案例 ? 案例 2： 某行市分行發(fā)生一起內部員工違規(guī)利用網(wǎng)銀動用客戶資金的案件 。 2023年 10月份 ， 支行客戶部網(wǎng)銀操作員及復核員在為客戶辦理網(wǎng)銀業(yè)務時發(fā)現(xiàn)操作 IC卡已經(jīng)過期 ， 遂聯(lián)系市分行網(wǎng)銀管理員黃某辦理換卡事宜 ， 并告知其操作密碼 。 黃某利用自己作為管理員保管 “ 管理證書 ” 之便 ， 進入系統(tǒng) ， 修改了某對公客戶的網(wǎng)銀證書和密碼 ， 再通過集團理財帳戶實行網(wǎng)銀轉帳 ， 動用客戶帳戶上 。 ? 案例 3： 某行柜員在為客戶辦理購買基金手續(xù)過程中 ,利用電腦終端畫面可以屏幕打印功能 ,沒有進行實際交易 ,套打基金交易憑證交予客戶 ,將客戶資金轉入其控制的賬戶 .涉案金額 85萬元 。 電腦終端可隨意進行屏幕打印 ,存在明顯缺陷 ,使作案人有機可乘 信息科技風險監(jiān)管目標 ?安全性事件案例 ? 案例 4： 近期 ， 某銀行機構發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識別程序 ” 自行編寫密碼猜解軟件 ， 通過鎖定某一固定密碼反復輪訓帳號的方式 ， 對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊 ，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號 、 查詢密碼等信息 。 ? 案例 5： 近期 ， 某銀行機構發(fā)現(xiàn)不法分子根據(jù)互聯(lián)網(wǎng)上下載的 “ 特征碼識別程序 ” 自行編寫密碼猜解軟件 ， 通過鎖定某一固定密碼反復輪訓帳號的方式 ， 對多家銀行網(wǎng)銀系統(tǒng)發(fā)起暴力猜測攻擊 ，最終非法獲取兩家銀行數(shù)百個客戶的網(wǎng)銀帳號 。 ? 案例 6 ： 某行借記卡被通過手機銀行猜解密碼 ， 涉及 1007張借記卡 。 信息科技風險監(jiān)管目標 ? 如何判斷是否達到目標 ？ ? 信息科技風險 （ 包括連續(xù)性和安全性風險 ） 的計量 ? 判斷信息科技風險程度是否在可接受范圍 基本概念 ? 資產(chǎn) ? 對組織具有價值的信息或資源，是安全策略保護的對象。主要包括： ? —— 支持設施（例如建筑、供電、供水、空調等） ? —— 硬件資產(chǎn)（例如計算機設備、路由交換機、交換機等） ? —— 信息資產(chǎn)（例如數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作和支持程序等） ? —— 軟件資產(chǎn)（例如應用軟件、系統(tǒng)軟件、開發(fā)工具和使用程序等） ? —— 生產(chǎn)能力或服務能力 ? —— 人員