银行信息安全审计方案

商业银行信息系统审计方案商业银行信息系统审计方案本文编者：北京谷安天下科技有限公司网址：地址：北京市海淀区中关村南大街2号数码大厦A座806电话：010-51626887（北京）021-51379800（上海）0755-82024056（深圳）0991-6999166（新疆）手机：13581709033商业银行信息系统审计方案商业银行信息系统审计方案作者：李华谷安天下总经理1、问题的提出近年来，中国银行业信息化步伐加快，有力地促进了银行业务的发展。信息化促使银行业务前后台分离，帮助银行建立起一套运作流畅、适用高效的应用平台，为资金清算、客户服务、风险管理、稽核等业务提供技术支持；信息化使银行可以利用信息技术整合银行内部的资源，推动银行管理的优化，从而大幅度提高工作效率和银行的效益；信息化可以使现代银行由原来的储蓄、信贷基本业务，向储蓄、信贷、投资理财、咨询、中间业务等多方向发展，为客户提供更为灵活的服务；信息化也加快了金融创新的步伐，集中反映在网络金融服务的快速发展上，出现了网络银行、移动银行、电子商务等，这促使了许多新兴服务的发展。同时我们也应该看到，信息化在推动银行发现的同时，也给银行自身带来了巨大的风险，主要表现在几个方面：随着银行信息化程度的提高，信息系统本身固有的风险在加大由于信息化规模的不断扩大，信息技术迅速发展，银行信息系统所采用的IT技术与信息系统软硬件本身存在着大量的脆弱性，这些脆弱性被特定的威胁利用，就会产生风险，从而对银行信息系统的机密性、完整性及可用性产生损害。信息化程度越高，风险就会越大。如：系统漏洞、硬件故障、意外灾祸都会造成银行信息系统不能正常工作，从而造成重大问题。银行的数据集中处理的风险银行数据大集中是银行发展的必然趋势，只有完成数据集中，才能实现银行账务数据与营业机构的分离，为银行管理集中和科学运营奠定基础，帮助银行从以账务和产品为中心转变为以客户为中心。但是，数据集中有其有利的一面，也有不利的一面，集中后信息系统风险增大，系统一旦出现问题，就会影响到整个银行的正常运营。网络金融服务的发展，对银行信息安全问题提出了挑战近年来，网络金融服务，如：网上银行、移动银行、电子商务结算等，出现暴发性的增长，已成为目前国际范围内成长最为迅速的银行业务品种，也是银行争相追逐的利润增商业银行信息系统审计方案长点。其中绝大部分的B2B、B2C业务要通过Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全，如何在公网环境下防止黑客、病毒的破坏，如何在危机四伏的Internet上保证支付系统的安全性，是银行信息系统要面临的挑战。随着对信息安全认识的加深，我们逐渐认识到：“人”的风险其实是最大的风险。统计结果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的，银行业也是如此。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设才是降低“人”的安全风险的有效手段。以往的各种安全实践的最大缺陷就是忽略了对人的因素的考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。银行信息系统的效绩评估，是目前迫切要解决的问题信息系统己成为银行重要的资产。但目前对信息系统这种资产的效能与效率缺乏客观、有效的评审机制，这在很大程度上己经成为银行充分发挥信息系统作用的障碍，并使管理层对信息系统的进一步发展无法做出科学的决策。因此，为了保证银行业务运营的基础平台――银行信息系统，安全、高效地运行，从而保障银行的健康发展，引入独立的信息系统审计己是当务之急。信息系统审计是检查、控制银行信息安全风险，评估银行信息系统绩效的重要手段。所谓信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。以下方案以省级商业银行的信息系统为例。2、业务环境描述2.1数据大集中信息系统设计原则数据集中系统设计原则统一会计核算标准尽可能保持现有业务处理模式，修改其中不适应数据集中的业务处理方式商业银行信息系统审计方案保证数据集中前后帐务的连续性以及业务处理的可操作性尽可能与以后新系统新业务的规划发展相衔接为今后总行新柜面的推广做好准备…2.2管理环境组织结构图业务流程图工作程序说明书管理措施与相关规定…2.3网络与主机环境网络拓扑图主机类型…商业银行信息系统审计方案系统环境操作系统数据库中间件系统管理平台…2.5开发环境开发队伍开发管理商业银行信息系统审计方案开发平台开发工具2.6应用环境2.6.1应用系统具有的特点：数据与交易的安全1.系统密钥管理2.数据库安全3.客户密码安全4.通讯安全可靠性数据集中对业务系统的处理性能提出了很高的要求，可采取以下方法：1.简化各业务服务子系统的交易管理开销，由交换平台统一管理交易的一致性。2.减少业务后台处理的互锁情况，加快业务并行处理的吞吐能力。3.针对银行业务不同处理侧面，优化业务处理的实现方法，在保障金融业务安全的前提下提高银行业务服务的效率。4.简化业务服务子系统的处理方法，建立相对独立的服务子系统，专门优化处理银行业务的各个侧面。5.采用高效的通讯中间件，提高系统吞吐能力，保障业务系统在高负荷的情况下稳定运行。6.尽量简化前后台业务通讯的数据转化工作，统一系统的基本数据字典和数据表达形式，提高业务数据的交换效率。7.建立相对独立的后台批业务和消息传递通道，减少大宗业务数据交换对实时金融业务服务的影响，保障实时业务处理所需要的网络通讯带宽，以及后台处理能力等系统资源。8.优化管理调度批业务的执行，合理分配资源，防止大量的批业务处理占用系统处理资源。9.将非紧急的银行业务合并成批量业务在后台执行，降低数据库事务管理开销。2.6.2业务系统功能概述应用系统结构图所示各业务系统的功能如下：商业银行信息系统审计方案金融交换平台金融交换平台是全省数据集中系统的核心，所有的交易请求由交换平台接收，交换平台负责数据通讯的安全检查、操作员/交易终端的合法性检查，交换平台进行交易决策后根据不同的交易类型组织交易的执行过程，交易的一致性控制由平台保证。各业务系统的业务周期由交换平台统一分配和管理。2.储蓄系统储蓄系统为客户提供24小时的储蓄业务服务储蓄系统中以储蓄所为单位设立帐务，各储蓄所帐务相互独立和平衡，通兑发生时记代理所和委托所的通兑帐。清分帐通过金融交换平台向清分系统传递流水由清分系统统计、出记帐凭证交会计系统记帐。商业银行信息系统审计方案国债业务在储蓄系统中实现。日结完成分户帐的周期余额，分户总分平衡检查。向档案系统转移帐户明细数据。3.会计系统为客户提供24小时的对公业务服务。以分理处为单位设立帐务，各分理处帐务相互独立和平衡。日结完成分户帐的周期余额，分户总分平衡检查。向档案系统转移帐户明细数据。4.信用卡系统为客户提供24小时的信用卡业务服务。以卡部为单位设立帐务，各卡部帐务相互独立和平衡，通兑发生时记代理方和委托方的通兑帐，清分帐务通过金融交换平台向清分系统传递流水由清分系统统计，出记帐凭证交会计系统记帐。日结完成分户帐的周期余额，分户总分平衡检查。向档案系统转移帐户明细数据。5.外币系统为客户提供24小时外币储蓄业务的服务。以市行国际业务部为单位设立帐务，各业务部之间的帐务相互独立和平衡。通兑发生时记代理方和委托方的通兑帐。清分帐务通过金融交换平台向清分系统传递流水由清分系统统计、出记帐凭证交会计系统记帐。日结完成分户帐的周期余额，分户总分平衡检查。向档案系统转移帐户明细数据。6.清分系统如果是通兑交易，交换平台在交易时会向清分系统登记一条清分流水，日终周期切换后，清分系统会依据清分流水进行各机构的帐务清分工作，并生成凭证和流水，交各业务商业银行信息系统审计方案系统自动记帐。7.对外连接系统对外连接系统负责全省集中业务系统对外连接的业务管理。所有业务中涉及外部系统包括龙卡、金卡未合并在集中系统中的下属市行，以及其它外部业务系统，统一在省交换中心管理。对外连接系统在交易时负责登记对方的交易信息账务周期号和流水号，日终时负责这些机构的对账工作。8.总帐系统总账系统管理储蓄、会计、信用卡、外币等系统的总账信息，按照独立的核算单位设立总账账簿，日终时，总账系统向各业务子系统申请当日各机构的总账流水并根据流水入总账，各机构的总帐相互独立并平衡。总账系统为各机构提供报表，金融统计数据和平衡检查。9.客户资料系统客户信息系统为储蓄、外币、信用卡系统提供统一的客户资料管理和服务。网上银行的客户签约管理统一由客户信息系统实现。10.档案系统档案系统管理各业务系统的历史数据和历史文件，为各业务系统提供历史数据查询和历史文件查询。11.消息系统消息系统提供一条独立于实时交易处理的通讯通道，这条通道在网络上隔离于交易通道，提供信息的后台传递服务，如报表传输、系统配置信息的传输等等。12.前台系统提供综合柜员制的业务前台。13.代理系统交换平台负责代理业务的交易决策。代理系统简化业务逻辑。商业银行信息系统审计方案、银行信息系统审计的依据银行信息系统安全审计的依据一般是采用国际公认的信息安全标准与我国法律、法规、标准相结合的办法。目前国际上通用的信息系统审计的标准是信息系统审计与控制协会在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology），这是一个在国际上公认的最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT将IT过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控与评估等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。商业银行信息系统审计方案、安全审计内容网络层面网络层面审计对象包括对网络结构、网络设备安全以及网络行为的审计，审计数据来自人工收集和技术手段收集等。网络架构主要是对链路、结构以及网络配置方面的审计。网络设备安全审计主要设备层面安全配置审计。而网络行为审计内容重点是对网络中发生的安全事件、网络异常行为的审计。网络层面具体审计内容如下：审计对象审计内容具体审计项审计频率审计方式网络架构安全网络的划分网络间通讯的流程和控制网络链路的备份网络安全的设计网络服务查看网络物理连接图查看网络逻辑连接图（IP分配）使用网络