孙风超，吕晶璐

（1.山东大学，青岛 266237；2.青岛农商银行，青岛 266520）

《2017中国电子银行调查研究报告》数据显示，在地级以上城市13岁及以上常住人口中，个人网上银行用户比例为51%，企业网上银行用户比例为79%，网上银行已逐渐成为各银行拓展服务渠道、提升服务水平、促进服务转型的重要举措。在网上银行业务快速发展的同时，中国人民银行不断推进金融业信息安全等级保护工作，各银行也充分认识到互联网环境下网上银行所面临的安全形势，通过推进网上银行系统定级、明确网上银行风险管控理念、梳理网上银行信息安全管理体系、开展内部审计与外部评估等各项工作，渐进式地将系统等级保护思想融入到信息安全体系建设和管理的实际工作中，以逐步提升网银系统的风险防护能力，确保网银系统的安全稳健运行。

1 网上银行安全风险管控

1.1 网上银行安全风险

根据《网上银行安全风险管理指引》定义，网上银行安全风险是指“商业银行在网上银行的业务经营和管理过程中，由于环境因素、人员原因、安全漏洞和流程缺陷导致的操作、法律和声誉等风险”[1]。尽管各银行不断加强网上银行安全保障工作，但自2012年以来仍发生多起因基础设施建设、运行维护管理、软硬件故障等原因导致的网上银行业务中断事件，部分安全事件如表1所示。

表1 自2012年以来国内银行发生的部分网上银行安全事件

从网上银行安全风险定义及上述安全事件可以看出，影响网银安全的威胁和脆弱点存在于内控管理、产品研发、业务运营、系统运维、信息安全保障等多个环节，因此，各银行需牢固树立“要创新、更要安全”的经营管理理念，尽快建立与网上银行安全风险管理相适应的组织架构，健全网上银行安全风险的持续监测机制，定期对网银安全事件进行回顾分析，剖析欺诈过程、识别典型特征，分析自身业务及现有控制措施的弱点，积极改进控制措施，同时，根据监管部门要求、网银安全动向以及内外部环境的变化情况，通过自我检查、内部审计、外部评估等手段，及时掌控网银安全风险变化情况，验证已有控制措施有效性，制定系统加固方案并进行优化完善[1]。

1.2 网上银行安全风险管控

安全风险就如漂浮在海面上的冰山，一个安全问题暴露出来，必定有众多的安全隐患掩盖于其下。鉴于网上银行是一个涉及众多应用系统、用户对象、敏感数据与主管部门的复杂系统，人民银行、银监会等主管部门正逐步强化银行业信息科技风险监管工作，完善信息科技风险尤其是网上银行安全风险的监测和预警，并相继出台了《银行业信息系统灾难恢复管理规范》（JR/T0044-2008）、《商业银行信息科技风险管理指引》（银监办发〔2009〕19号）、《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》（银发〔2012〕163 号）、《网上银行系统信息安全通用规范》（JR/T 0068-2012）、《银行业金融机构信息科技外包风险监管指引》（银监办发〔2013〕5号）、《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见 》（银监办发〔2014〕39号）等一系列的技术标准与法规文件，不断引导各银行强化信息科技风险评估，提高风险敏感性，增强对风险趋势的把控能力。各银行应依据相关的技术标准与法律法规，结合自身业务特点和内部管理需要，认真梳理网上银行安全所涉及的信息资产管理、物理环境安全、主机系统安全、网络环境安全、应用研发安全等12个方面[2]，科学制定风险偏好模型和评价指标，并根据网上银行业务和技术的变化情况适时修订和完善，确保网上银行的安全防护能力，其安全风险管理体系如图1所示。

图1 网上银行安全风险管理体系

2 网上银行安全风险评估

2.1 安全风险评估原则

安全风险评估作为等级保护的首要和必要组成部分，是全面风险管理的基础，可以帮助深入了解和衡量信息安全管理体系的整体情况，明确其各组成部分的风险级别，从而制定更有效的安全策略。专业的安全风险评估应遵循“科学规划、规范操作、测试充分、影响最小”等原则，综合使用问卷调查、人员访谈、现场走查、文档审查、制度建设、漏洞扫描、登录查看、截包分析、现场渗透性测试与远程渗透性验证等多种检测手段，科学选取覆盖各维度的测试评估用例，尽可能发现网上银行在安全策略、内控制度、风险管理、系统安全、客户保护等方面存在的安全隐患，同时，对前期未达到预期控制目标或者衍生出新风险的控制措施，以及已经接受的安全风险，应适时重启评估流程[3]。

2.2 网上银行安全风险评估

网上银行安全涉及信息科技、业务条线、内部审计等多个部门，各部门需明确职责分工并进行归口管理，其中，信息科技部门作为网上银行信息系统开发测试、运行维护的主管部门，除常规的系统开发工作外，更需要积极关注网银安全风险新动向，及时快速处置各类突发事件，定期组织信息系统的安全评估，全面提升网上银行系统的信息安全防范能力。考虑到网上银行安全风险评估涉及到网上银行各方面，下面仅以网上银行信息系统的安全风险评估内容（如图2）为例，讲解安全风险评估的主要流程。

图2 网上银行信息系统安全风险评估内容

2.2.1 现场检测阶段安全评估

该阶段主要是按照评估方案对信息资产、系统建设、生产部署等方面进行审查，其中，信息资产主要检查源码版本管理历史追溯性、开发测试文档全面规范性、资产信息统计真实准确性以及系统运维体系科学有效性，系统建设主要检查系统架构设计合理性、业务需求管理有效性、程序开发测试规范性、安全控制措施完备性、变更发布流程实用性等，生产环境主要审查物理环境可靠性、生产设备可用性、服务配置合理性、数据保护科学性等。通过现场检测，发现其中存在的问题和隐患，量化评估风险等级，全面了解网上银行信息系统建设和运维情况。

2.2.2 远程渗透阶段安全评估

渗透测试作为安全评估的重要组成部分，通过利用Nmap、Nessus、AWVS等工具，结合使用Fuzzing测试、内存暴力搜索、接口逆向等攻击方法，发现并验证其存在的敏感信息泄露、SQL注入、跨站脚本漏洞等安全隐患，进而制定安全加固建议，从而提高系统整体的抗风险水平[4]。渗透测试分为前期交互（确定渗透测试计划）、信息收集（了解系统建设运维情况）、威胁建模（标识目标系统潜在漏洞）、漏洞分析（根据漏洞确定攻击计划）、渗透攻击（根据计划攻击漏洞）、后渗透攻击（提升权限深度攻击）、输出报告（列明成果提出建议）等7个阶段。远程渗透测试的检测内容主要包括拒绝服务测试、客户端登录认证机制测试、会话管理测试、业务逻辑测试、数据有效性验证、敏感信息泄露等[5]。网上银行信息系统较为常见的脆弱性列表如表2所示。

3 结束语

伴随着网上银行业务的快速发展和信息技术的不断进步，网上银行风险事件逐步呈现出“攻击手段多变、事前预防困难、舆情扩散快速、信誉重建漫长、责任界定复杂”等特点，因此，人民银行、银监会等监管部门和各银行应尽快树立和培养信息科技风险意识，根据“监管约束、市场激励、信息共享、积极防御”的方针，明晰风险管理策略、建立风险分析模型、完善风险控制流程，全面提升网上银行风险防控水平，确保“业务不停、网络不断、数据不丢”，实现网上银行业务的健康有序发展。

表2 部分常见脆弱性列表