课程描述
中国银行业监督管理委员会指出,信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在银行的全部风险中,信息科技风险是唯一可能使银行业务在瞬间全部瘫痪的重要风险,银行业信息系统安全、稳健运行,关系银行业自身可持续发展,关系金融安全。
商业银行信息科技风险和供应链安全从业务需求、合规需求、信息科技风险管理需求出发,遵从风险管理的理念,在风险管理战略规划的基础上,全面指导商业银行信息科技风险管控工作。随着国家有关部门、人民银行和银保监会监管要求的提高,如何保障商业银行业务持续运营、保障业务网络安全,解决商业银行科技工作深入后带来的一系列问题,本课程以中国人民银行和银保监会发布的监管要求和金融标准为起点,通过介绍监管要点、行业良好实践,同时,辅以案例分析,为商业银行如何保障业务持续运营、保护业务网络提供良好建议。
模块一 商业银行信息科技风险管理监管要求
一.国家法律、行政法规
1.法律:网络安全法,密码法,电子签名法,数据安全法,个人信息保护法
2.法规:关键信息基础设施安全保护条例,网络安全等级保护条例(征求意见稿)
二.部门规章和政策
1.各部委:中央网信办、公安部、国家保密局、国家密码管理局、财政部、审计署、国资委、工信部
2.行业主管部门:人民银行、银保监会
三.国家和行业标准
1.国家标准:GB/T系列
2.行业标准:金融标准,团体标准
模块二 商业银行信息科技风险形势
一.商业银行信息科技风险定义、分类和特点
1.信息科技风险定义、分类和特点
2.信息科技风险形势
(1)信息科技治理
(2)网络安全管理
(3)数据安全管理
(4)运维安全管理
(5)业务连续性管理
(6)外包安全管理
二.商业银行信息科技风险案例分析
1.基础设施
(1)生产中心供电线缆中断事件
(2)配电改造操作失误引发短路事件
(3)发电机故障造成营业中断事件
(4)线路老化和破损引起突发事件
(5)控制器超负载导致供电中断事件
(6)数据中心机房发生火灾事件
(7)光纤数据链路抖动引发系统故障
(8)接入机房网络间发生突发事件
2.系统运维
(1)甲骨文数据库ASM文件损环,导致服务器宕机
(2)服务器集群心跳通信异常,引发“脑裂”故障
(3)备份系统操作失误,导致服务器长时间宕机
(4)综合业务系统故障致长时间停业事件
(5)核心系统数据故障导致核心业务中断事件
(6)两起跨行交易中断事件
(7)外围业务系统存储故障
3.信息安全
(1)视频监控系统存在安全隐患
(2)伪基站短信钓鱼诈骗风险事件
(3)非法补办手机卡盗划手机银行资金事件
(4)黑客软件攻击网银事件
(5)网络DDOS攻击事件
(6)暴力攻击获取网银用户密码事件
(7)非法监控ATM机,盗取客户信息及资金事件
(8)不法分子截取修改自助设备传输数据虚增存款事件
(9)前置组组长写入客户信用卡磁条信息盗窃
(10)冒用他人账号在投产变更过程中向核心业务系统植入恶意程序,篡改交易状态
4.信息科技外包管理
(1)外包服务人员窃取客户信息事件
(2)外包商经营困难停服事件
(3)驻场外包人员伪造交易报文事件
(4)制卡外包商通过互联网邮箱明文传输客户敏感信息
(5)软件开发外包商网络安全管理不善,存在信息批量泄露风险
(6)托管的应用系统高危安全漏洞较多、数据安全风险高
(7)托管外包服务安全运行存在风险
(8)托管系统灾备建设不足
(9)外包服务商信息安全管理粗放
5.开发测试
(1)网银系统开源软件缺陷中断故障事件
(2)跨行支付系统交易故障
(3)柜面现金交易中断故障
(4)程序设计缺陷,导致交易异常
(5)修改贷款核心系统窃取银行资金
6.设备缺陷
(1)加密平台设计缺陷,造成交易缓慢事件
(2)加密算法被破解,IC卡系统安全受威胁
(3)IBM产品缺陷导致生产故障
模块三 网络安全保密意识
一.网络安全保密风险形势和监管罚单
二.网络安全保密意识教育
1.WIFI安全
2.移动介质安全
3.邮件安全
4.软件安全
5.社交软件安全
6.工作交流安全
7.手机安全
8.个人信息安全
9.业务数据和消费者个人金融信息安全
10.身份认证安全
模块四 供应链安全
一.供应链风险案例分析
1.国内某主流OA系统供应链
2.国内某流行Windows桌面软件供应链
3.某国产网络设备固件供应链
4.Google Chrome浏览器供应链攻击
5.VMware Workstation供应链攻击
二.供应链风险分析
1.供应链风险形势
(1)供应链风险现状
(2)供应链风险因素分析
2.供应链的漏洞类型
(1)漏洞来源类型
(2)漏洞状态类型
3.软件供应链的攻击类型
(1)预留后门
(2)开发工具污染
(3)升级劫持
(4)捆绑下载
(5)源代码污染
(6)物流链劫持
三.供应链安全治理
1.体系构建阶段
(1)SDL 软件安全开发生命周期
(2)DevSecOps(开发即运维)
2.设计阶段
(1)软件供应商风险管理流程
(2)软件供应商评估模型
(3)软件供应商风险管理的作用
3.编码阶段
(1)构建详细的软件物料清单
(2)使用基于SCA 技术的工具
4.发布运营阶段
(1)建立成熟的应急响应机制
(2)构建完善的运营保障工具链
