商业银行信息系统审计方案 商业银行信息系统审计方案 本文编者:北京谷安天下科技有限公司 网 址: 地 址:北京市海淀区中关村南大街2号数码大厦A座806 电 话:010-51626887(北京) 021-51379800(上海) 0755-82024056(深圳) 0991-6999166(新疆) 手 机:13581709033 1
商业银行信息系统审计方案 商业银行信息系统审计方案 作者:李华 谷安天下总经理 1、问题的提出 近年来,中国银行业信息化步伐加快,有力地促进了银行业务的发展。信息化促使银行业务前后台分离,帮助银行建立起一套运作流畅、适用高效的应用平台,为资金清算、客户服务、风险管理、稽核等业务提供技术支持;信息化使银行可以利用信息技术整合银行内部的资源,推动银行管理的优化,从而大幅度提高工作效率和银行的效益;信息化可以使现代银行由原来的储蓄、信贷基本业务,向储蓄、信贷、投资理财、咨询、中间业务等多方向发展,为客户提供更为灵活的服务;信息化也加快了金融创新的步伐,集中反映在网络金融服务的快速发展上,出现了网络银行、移动银行、电子商务等,这促使了许多新兴服务的发展。 同时我们也应该看到,信息化在推动银行发现的同时,也给银行自身带来了巨大的风险,主要表现在几个方面: 随着银行信息化程度的提高,信息系统本身固有的风险在加大 由于信息化规模的不断扩大,信息技术迅速发展,银行信息系统所采用的IT技术与信息系 统软硬件本身存在着大量的脆弱性,这些脆弱性被特定的威胁利用,就会产生风险,从而对银行信息系统的机密性、完整性及可用性产生损害。信息化程度越高,风险就会越大。如:系统漏洞、硬件故障、意外灾祸都会造成银行信息系统不能正常工作,从而造成重大问题。 银行的数据集中处理的风险 银行数据大集中是银行发展的必然趋势,只有完成数据集中,才能实现银行账务数据与营业机构的分离,为银行管理集中和科学运营奠定基础,帮助银行从以账务和产品为中心转变为以客户为中心。但是,数据集中有其有利的一面,也有不利的一面,集中后信息系统风险增大,系统一旦出现问题,就会影响到整个银行的正常运营。 网络金融服务的发展,对银行信息安全问题提出了挑战 近年来,网络金融服务,如:网上银行、移动银行、电子商务结算等,出现暴发性的增长,已成为目前国际范围内成长最为迅速的银行业务品种,也是银行争相追逐的利润增 2
商业银行信息系统审计方案 长点。其中绝大部分的B2B、B2C业务要通过Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全,如何在公网环境下防止黑客、病毒的破坏,如何在危机四伏的Internet上保证支付系统的安全性,是银行信息系统要面临的挑战。 随着对信息安全认识的加深,我们逐渐认识到:“人”的风险其实是最大的风险。 统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄密造成的,银行业也是如此。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设才是降低“人”的安全风险的有效手段。以往的各种安全实践的最大缺陷就是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。 银行信息系统的效绩评估,是目前迫切要解决的问题 信息系统己成为银行重要的资产。但目前对信息系统这种资产的效能与效率缺乏客观、有效的评审机制,这在很大程度上己经成为银行充分发挥信息系统作用的障碍,并使管理层对信息系统的进一步发展无法做出科学的决策。 因此,为了保证银行业务运营的基础平台――银行信息系统,安全、高效地运行,从而保障银行的健康发展,引入独立的信息系统审计己是当务之急。信息系统审计是检查、控制银行信息安全风险,评估银行信息系统绩效的重要手段。 所谓信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用,信息系统审计已经贯穿在各种审计之中,成为审计全过程的一部分。 以下方案以省级商业银行的信息系统为例。 2、业务环境描述 数据大集中信息系统设计原则 数据集中系统设计原则 统一会计核算标准尽可能保持现有业务处理模式,修改其中不适应数据集中的业务处理方式 3
商业银行信息系统审计方案 保证数据集中前后帐务的连续性以及业务处理的可操作性 尽可能与以后新系统新业务的规划发展相衔接 为今后总行新柜面的推广做好准备 … 管理环境 组织结构图 业务流程图 工作程序说明书 管理措施与相关规定 … 网络与主机环境 网络拓扑图 主机类型 … 4
商业银行信息系统审计方案 系统环境 操作系统 数据库 中间件 系统管理平台 … 开发环境 开发队伍 开发管理 5
商业银行信息系统审计方案 开发平台 开发工具 应用环境 应用系统具有的特点: 数据与交易的安全 1. 系统密钥管理 2. 数据库安全 3. 客户密码安全 4. 通讯安全 可靠性 数据集中对业务系统的处理性能提出了很高的要求,可采取以下方法: 1. 简化各业务服务子系统的交易管理开销,由交换平台统一管理交易的一致性 。 2. 减少业务后台处理的互锁情况,加快业务并行处理的吞吐能力。 3. 针对银行业务不同处理侧面,优化业务处理的实现方法,在保障金融业务安全的前提下提高银行业务服务的效率。 4. 简化业务服务子系统的处理方法,建立相对独立的服务子系统,专门优化处理银行业务的各个侧面。 5. 采用高效的通讯中间件,提高系统吞吐能力,保障业务系统在高负荷的情况下稳定运行。 6. 尽量简化前后台业务通讯的数据转化工作,统一系统的基本数据字典和数据表达形式,提高业务数据的交换效率。 7. 建立相对独立的后台批业务和消息传递通道,减少大宗业务数据交换对实时金融业务服务的影响,保障实时业务处理所需要的网络通讯带宽,以及后台处理能力等系统资源。 8. 优化管理调度批业务的执行,合理分配资源,防止大量的批业务处理占用系统处理资源。 9. 将非紧急的银行业务合并成批量业务在后台执行,降低数据库事务管理开销。 业务系统功能概述 应用系统结构图所示各业务系统的功能如下: 6
商业银行信息系统审计方案 1. 金融交换平台 金融交换平台是全省数据集中系统的核心,所有的交易请求由交换平台接收,交换平台负责数据通讯的安全检查、操作员/交易终端的合法性检查,交换平台进行交易决策后根据不同的交易类型组织交易的执行过程,交易的一致性控制由平台保证。 各业务系统的业务周期由交换平台统一分配和管理。 2. 储蓄系统 储蓄系统为客户提供24小时的储蓄业务服务 储蓄系统中以储蓄所为单位设立帐务,各储蓄所帐务相互独立和平衡,通兑发生时记代理所和委托所的通兑帐。清分帐通过金融交换平台向清分系统传递流水由清分系统统计、出记帐凭证交会计系统记帐。 7
商业银行信息系统审计方案 国债业务在储蓄系统中实现。 日结完成分户帐的周期余额,分户总分平衡检查。 向档案系统转移帐户明细数据 。 3. 会计系统 为客户提供24小时的对公业务服务。 以分理处为单位设立帐务,各分理处帐务相互独立和平衡。 日结完成分户帐的周期余额,分户总分平衡检查。 向档案系统转移帐户明细数据。 4. 信用卡系统 为客户提供24小时的信用卡业务服务。 以卡部为单位设立帐务,各卡部帐务相互独立和平衡,通兑发生时记代理方和委托方的通兑帐,清分帐务通过金融交换平台向清分系统传递流水由清分系统统计,出记帐凭证交会计系统记帐。 日结完成分户帐的周期余额,分户总分平衡检查。 向档案系统转移帐户明细数据。 5. 外币系统 为客户提供24小时外币储蓄业务的服务。 以市行国际业务部为单位设立帐务,各业务部之间的帐务相互独立和平衡。通兑发生时记代理方和委托方的通兑帐。清分帐务通过金融交换平台向清分系统传递流水由清分系统统计、出记帐凭证交会计系统记帐。 日结完成分户帐的周期余额,分户总分平衡检查。 向档案系统转移帐户明细数据。 6. 清分系统 如果是通兑交易,交换平台在交易时会向清分系统登记一条清分流水,日终周期切换后,清分系统会依据清分流水进行各机构的帐务清分工作,并生成凭证和流水,交各业务 8
商业银行信息系统审计方案 系统自动记帐。 7. 对外连接系统 对外连接系统负责全省集中业务系统对外连接的业务管理。所有业务中涉及外部系统包括龙卡、金卡未合并在集中系统中的下属市行,以及其它外部业务系统,统一在省交换中心管理。对外连接系统在交易时负责登记对方的交易信息账务周期号和流水号,日终时负责这些机构的对账工作。 8. 总帐系统 总账系统管理储蓄、会计、信用卡、外币等系统的总账信息,按照独立的核算单位设立总账账簿,日终时,总账系统向各业务子系统申请当日各机构的总账流水并根据流水入总账,各机构的总帐相互独立并平衡。 总账系统为各机构提供报表,金融统计数据和平衡检查。 9. 客户资料系统 客户信息系统为储蓄、外币、信用卡系统提供统一的客户资料管理和服务。 网上银行的客户签约管理统一由客户信息系统实现。 10. 档案系统 档案系统管理各业务系统的历史数据和历史文件,为各业务系统提供历史数据查询和历史文件查询。 11. 消息系统 消息系统提供一条独立于实时交易处理的通讯通道,这条通道在网络上隔离于交易通道,提供信息的后台传递服务,如报表传输、系统配置信息的传输等等。 12. 前台系统 提供综合柜员制的业务前台。 13. 代理系统 交换平台负责代理业务的交易决策。代理系统简化业务逻辑。 9
商业银行信息系统审计方案 3、银行信息系统审计的依据 银行信息系统安全审计的依据一般是采用国际公认的信息安全标准与我国法律、法规、标准相结合的办法。 目前国际上通用的信息系统审计的标准是信息系统审计与控制协会在1996年公布的COBIT(Control Objectives for Information and related Technology),这是一个在国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。 COBIT将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;IT过程则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控与评估等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。 10
商业银行信息系统审计方案 11
商业银行信息系统审计方案 4、安全审计内容 网络层面 网络层面审计对象包括对网络结构、网络设备安全以及网络行为的审计,审计数据来自人工收集和技术手段收集等。网络架构主要是对链路、结构以及网络配置方面的审计。网络设备安全审计主要设备层面安全配置审计。而网络行为审计内容重点是对网络中发生的安全事件、网络异常行为的审计。 网络层面具体审计内容如下: 审计对象 审计内容 具体审计项 审计频率 审计方式 网络架构安全 网络的划分 查看网络物理连接图 每季度一次 人工审计 网络间通讯的 查看网络逻辑连接图(IP分流程和控制 配) 网络链路的备 使用网络侦测工具进行IP份 (网络服务)扫描 网络安全的设 查看网络安全设计和实施方计 案 网络服务 测试备份网络链路 测试网络路由情况 测试网络负载情况 网络设备安全 防火墙 查看防火墙安全日志文件 每周一次 如果系统中具有集 路由器 查看路由器、交换机、网中日志收集系统, 交换机 关、网关代理日志文件 利用该系统完成日 网关/网关代理 志信息的收集; 如果没有采用人工收集。 12
商业银行信息系统审计方案 检查防火墙安全配置 每周一次 人工收集及审计 查看路由器路由和其他网络 配置 查看交换机VLAN、端口映射、数据流控制等配置 查看网关/网关代理配置 网络行为监控 监控系统的运 查看监控系统和入侵检测系实时监控 利用网络中的网络和检测 作情况 统的安装配置文件 监控和检测系统完 入侵检测运行 查看监控系统和入侵检测系成审计数据的收情况 统的日志文件 集,结合技术和人 测试监控系统和入侵检测系工方式完成审计。 统的报警机制能否正常运作 测试关键的监控和入侵检测功能(运行非正常操作,测试系统能否捕获和报警) 系统层面 系统层面安全审计对象包括系统安全技术、计算机病毒防治、远程访问安全。在对设备层面审计重点是对各种系统生成的日志、操作日志进行审计。 具体审计内容如下: 审计对象 审计内容 具体审计项 审计频率 审计方式 系统安全技术 操作系统安全 查看操作系统安全日志文件 每周一次 利用集中日志管理性 查看管理员操作日志文件 系统完成日志信息 查看文件访问记录 的收集和处理;如户权限分配情况进行抽每季度一次 果系统中没有集中 对用查 日志管理系统选择人工收集。 进行系统漏洞扫描 计算机病毒防 防病毒系统的 抽查计算机用户的PC机是否每季度一次 人工收集和审计 13
商业银行信息系统审计方案 治 安装情况 安装了系统统一规定防病毒 防病毒系统运程序,并检查程序的内部设行情况 定 系统病毒数据 抽查计算机用户PC机上的病库更新情况 毒数据库版本 用户病毒数据 随机测试防病毒系统功能 库更新情况 查看防病毒系统的运行日志每周一次 文件 检查防病毒系统的病毒数据库的版本 远程访问安全 远程访问身份 查看远程访问安全日志文件 每周一次 人工收集和审计 验证 查看远程访问控制设定 远程访问权限 查看远程访问服务器的性能分配 日志文件 远程访问通讯 对远程访问服务器进行漏洞每季度一次 加密 扫描 远程访问性能 对传送的数据实行“电子侦 远程访问服务听”测试 器和系统的安全性 应用层面 应用层面审计重点是对应用系统生命周期管理的审计,包括:应用软件开发安全、应用系统运行安全、数据库安全、数据备份和恢复等方面。 具体审计内容如下: 审计对象 审计内容 具体审计项 审计频率 审计方式 软件开发安 软件开发环 查看软件开发规范 系统上线前 人工收集及审计 全 境 查看软件开发环境设计和实施方 14
商业银行信息系统审计方案 软件测试规案 定和执行情 抽查软件开发项目文档和有关技况 术文档 软件开发文 抽查软件测试记录 档管理规定 查看软件开发系统的备份记录 和执行情况 查看测试系统升级(升级到生产 测试系统的系统)计划和有关实施文档 升级 应用系统运 业务主机安 查看业务主机安全日志文件 每周一次 利用集中日志管理行安全 全性 查看业务主机管理员操作日志文系统完成日志信息 业务主机备件 的收集和处理; 份和恢复 查看文件访问记录 其他采用人工收集 查看数据备份记录 和审计。 进行主机漏洞扫描 每季度一次 检查所有用户的权限分配情况 数据库安全 数据库用户 查看数据库安全日志文件 每周一次 利用集中日志管理设定和权限 查看数据库性能日志文件 系统完成日志信息分配 每季度一次 的收集和处理; 查看数据库用户和用户组设定以 数据库访问及相应的权限设定 其他采用人工收集身份验证 和审计。 运行数据库“健康”测试工具, 数据库完整检查数据库内数据和数据关系的性 完整性 数据库访问性能 数据备份和 数据备份和 查看备份应用程序的运行日志文每周一次 人工审计 恢复 恢复计划和件 执行情况 查看备份介质记录 备份应用程 查看备份介质管理记录 序 查看备份和恢复操作记录 15
商业银行信息系统审计方案 备份介质管 热机备份测试 每月一次 理制度和执 RAID磁盘备份测试 行情况 备用机测试 备份和恢复 查看离线备份管理记录 每季度一次 操作制度和 离线备份介质可用性测试 执行情况 离线备份系统可用性测试 备份系统和生产系统切换测试 备份介质存放地点检查 业务层面 业务层面的安全重点是对账号集中审计管理以及对关键业务操作行为的审计。 审计对象 审计内容 具体审计项 审计频率 审计方式 账号管理 对账号分 账号的创建时间、创建人,从账每季度一次 通过集中账号管理配情况的号的创建时间、创建人信息审系统收集账号的审审计 计; 计数据 账号创建 账号的变更时间、变更人、变更如果没有集中账号情况审计 内容审计; 管理系统采用人工 账号变更 账号冻结、解冻时间、操作人员审计 情况审计 审计; 将从账号分配给从账号的分配时间、分配者,主、附属账号的有限期等。 账号授权 对账号授 包括账号的访问权限,查询资源每周一次 通过集中账号管理权过程审的授权访问者,权限的分配时 系统收集账号的审计。 间、分配者等; 计数据 对账号当 账号权限变更时间、变更人员、如果没有集中账号前使用权变更内容审计; 管理系统采用人工限审计 账号当前对应的权限是否与该账审计 16
商业银行信息系统审计方案 号所进行操作的对应的权限一致。 登陆行为 成功登陆 包括什么人用什么账号在什么时每周一次 通过集中账号管理 失败登陆 间登录了什么系统,什么时间登系统收集账号的审 登陆顺序 出等; 计数据 账号失败登陆使用的账号、频如果没有集中账号率、时间等; 管理系统采用人工 同一个账号在一段周期(可设审计 置)内登陆业务系统的顺序。 业务操作 网络管理 对在维护工作中使用FTP/Telnet每周一次 必须通过业务行为行为审计 的各种操作进行审计,获得全部审计手段收集网络操作记录和结果; 管理行为数据,结 实现ftp/telnet命令级细粒度访合人工操作进行审问策略审计; 计。 对ftp/telnet的操作执行回放,还原操作内容。 数据库操 记录与登录者身份不符合的SQL每周一次 作审计 命令、应用操作命令或流程; 基于对指定的数据库对象(如数据库、表、视图、存储过程等)和指定操作(如创建、修改、添加、删除等)进行审计; 基于自定义的关键字进行访问控制和审计; 通过审计输出界面,对SQL命令的截获、分析和还原,审计关键操作的结果; 实现对主流数据库的审计。 关键操作 对于系统配置数据的删除操作进每周一次 17
商业银行信息系统审计方案 审计 行审计; 通过制定数据库关键字段、关键操作进行审计; 根据操作时序顺序对操作行为进行审计; 对于关键操作关联操作账号的权限范围进行审计; 互联网访问行 互联网访 互联网网站访问行为审计、网站每周一次 必须通过业务行为为(此项审计问行为审发贴(BBS)审计; 审计手段收集网络限于严格控制计 邮件收发、Webmail发送审计; 管理行为数据,结与互联网访问 FTP、TELNET维护行为审计; 合人工操作进行审的系统中) 网络游戏、即时通讯、P2P下载计。 等行为审计 18
