金融信息安全(2)-信息风险

金融信息安全-信息风险李改成lgc@ss.pku.edu.cn主要内容•信息风险模型•金融信息风险识别•定性评估•分级测量•定量方法•风险评估报告•风险处置信息风险模型•ISO13335信息风险要素及其关系•资产•威胁•脆弱性•风险信息风险模型ISO13335中分析了风险资产•资产是对组织具有价值的信息或资源，是安全策略保护的对象。•资产价值–资产的重要程度或敏感程度的表征。–资产的属性–进行资产识别的主要内容。•信息资产的构成包括有形资产和无形财产。•从成本和收益两个角度考虑资产的价值–获取、开发、维护和保护该资产所需的成本–该资产对所有者、用户和竞争对手所具有的价值：–该资产不可用情况下所造成的损失•考察信息资产，不能只停留在静态的一个点或者一个层面上。威胁•威胁是一种可能导致资产对象出现安全问题的活动或者能力，可能引起对我们的系统、组织和财富的不良影响。•威胁作用形式–对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害；–也可能是偶发的或蓄意的事件。•威胁动机安全学家Shirey–泄露–破坏–篡夺–欺骗•威胁来源威胁表2-1威胁来源列表来源描述环境因素由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、等环境条件、自然灾害、意外事故等造成系统部件故障。恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃或篡改信息以获取利益；外部人员利用信息系统的脆弱性，对网络或系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。人为因素非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。脆弱性•脆弱性就是存在于系统的各方面，可能被威胁所利用的资产或若干资产的弱点。–安全和非安全部分均有可能存在脆弱性。•脆弱性是对象的一种固有属性，就好比它的资产价值等等一样。–可透支和易复制性就是信用卡业务的弱点•威胁总是要利用资产的脆弱性才可能造成危害。•存在脆弱性的原因：–信息安全策略本身存在漏洞–信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。脆弱性分类类型识别对象识别内容物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。系统软件（含操作系统及系统服务）从补丁安装、物理保护、用户账号、口令策略、资源共享、事件媡计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别。数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用中间件从协议安全、交易完整性、数据完整性等方面进行识别。技术脆弱性应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。管理脆弱性组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。脆弱性识别•技术和管理两个方面–管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面•横向和纵向两个不同的方向–以资产为核心–不同层次进行识别•数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。–采集方式数据内容–依据国际或国家安全标准、行业规范、应用流程的安全要求。•不同环境中的相同的弱点，其严重程度是不同的。–注意，有些脆弱性只有在一定条件和环境下才能显现•渗透测试的使用–检测已发现的脆弱性是否真正会给系统或网络带来影响风险•风险–人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。•金融信息风险涵盖了在规划、研发、建设、运行、维护、监控及退出与信息技术相关的产品、服务、传递渠道、系统等时，所产生或引发的银行经营的不确定性或对银行管理的不利因素。•对风险的搜索–判定意外事件所造成的损失–对发生意外事件的频率予以考虑•总体损失的确定–考虑事件的直接损失和间接损失风险•损失分布法–根据损失资料库中每一种业务类别的损失特征选取拟合度最优的模型，对损失发生的概率和损失程度做出假设，得到风险损失在未来时期内的可能分布。•防护措施是我们为了降低风险所采用的解决办法。–环境方面–技术方面•风险评估–以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因，–参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析–对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价–判断和测量安全事件发生的概率以及可能造成的损失–对不可接受的风险提出风险管理措施的过程。金融信息风险识别•风险事件类型•金融交易中的风险点•风险分布描述风险事件类型•Neumann列举了9种计算机系统安全问题的来源•就金融系统来讲，风险事件类型主要包括以下几种–1．灾难事件和业务中断–2．内部欺诈–3．外部欺诈–4．涉及执行、交割以及交易过程管理的风险事件灾难事件和业务中断•电源故障、通信故障、水灾、火灾•数据库系统、操作系统、存储设备、网卡、电源等系统部件的缺陷及其不兼容问题•应用系统缺陷•新系统上线、年终结转等系统变更内部欺诈•内部职员通过采用一些措施，可能超越自己的权限访问本来无权访问的资源、非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用，或泄露秘密信息。内部欺诈是指有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为，如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。•很多时候，组织内部岗位职责划分不清，会计主管、会计人员相互兼岗、业务经办与会计账务处理合一，同时，又不能实行重要岗位定期轮换制度，导致双重控制执行不力，监督制约机制不能有效发挥作用，极易引发内部欺诈行为的产生。调查显示，内部欺诈无论在数目还是在金额上都是最重要的一种损失事件类型，而外部欺诈则排在第二位。外部欺诈•外部欺诈指第三方的诈骗、盗用资产、违犯法律的行为，包括通过密码破译、安装后门，嗅探、伪造和欺骗、关闭审计、拒绝服务等手段入侵和攻击系统，或者通过物理的接触造成对软件、硬件、数据的破坏。–针对信息机密性的攻击方法主要有信息拦截技术、信息监听技术、社交工程、信息重定向技术、信息推理技术、电子邮件病毒传输技术。–针对完整性的攻击方法主要有身份认证攻击技术、会话劫持技术、程序异常输入技术等。–针对可用性的攻击方法主要有拒绝服务攻击技术、分布式拒绝服务攻击技术等，它们常用的手段是消耗网络带宽、消耗内存、磁盘空间和CPU资源等。涉及执行、交割以及交易过程管理的风险事件•由于系统业务复杂或者有了变化，而软件设计没有跟上，程序设计流程不合理或不完全,导致出现逻辑错误（执行错误），造成错误的账户数据,给安全带来隐患。–恶意透支–业务违规–隐匿和挤占资金–交易失败–系统混乱金融交易中的风险点•银行机构和操作员的认证•客户身份确认•交易数据的采集•交易数据的审查•交易授权•交易执行的正确性–公平性、时效性、非否认性•数据的安全传输和存储银行机构和操作员的认证•日始营业单位开机作业／签到、营业单位签退和更改交易状态•ATM是首次在商业上大规模使用密码学，还帮助建立了许多加密标准。–假ATM：系统的漏洞导致多发“幻影提款”。–安装卡陷(假吞卡)、摄像头、键盘、利用张贴假通知、假告示、假服务等手段，以盗取持卡人银行卡及密码或骗取持卡人存款。•银行网站的认证•客户身份确认•口令密码的校验–认证因素：口令密码，密押–支付密码的产生、保存、核验和使用方式不正确。•令牌凭证的校验–截取以获得没有签名的卡–表面特征不清持卡人的照片和签名全息图案–虚拟卡•只要知道卡号和终止日期就可进行交易–伪造•复制一个现有卡并用于交易磁条银行卡存在易于涂改和仿制的固有弊端，影响银行卡业务安全。客户身份确认–伪币：•电子货币无法通过物理手段加以防伪，只要关键技术被窃取或者以其他手段掌握，伪造起来就非常容易。–智能卡的失效等•黑名单–核对电话挂失–黑名单的管理尚未建立信息共享机制。–个人证书的撤销问题交易数据的采集•检查各输入项。•信息源的唯一输入–信息联动、信息加工、信息共享。•要素是否齐全•交易记录是否完全与外部系统连接时，采集的交易记录是否完备，有无遗漏–内部和外部交叉性风险交易数据的审查•凭证要素的审核，包括凭证要素、指令、时限等内容–会计印鉴卡的不统一扼制了会计通存通兑业务的发展并且容易造成资金风险纸式印鉴卡需手工传递纸式印鉴卡，校验费时费力，且靠肉眼识别，准确率难以保证。•款项的收付，确保一致性–取款变存款交易代码不当得利存单纠纷案大小写核对纠纷解决方式；串户出错•伪造诈骗–私刻客户印章–伪造保证合同–伪造公章•伪造虚假贷款材料骗贷个人或公司文件–虚假注册多家公司伪造财务文件–资料真实性审查虚假按揭交易数据的审查–担保信–利用虚假资料申领信用卡所产生的风险•法律风险合同文本、签名、合同失效、履约保证等问题–银行卡POS机刷卡风险：主要体现在收银员故意多计消费、自行仿冒持卡人签单等行为。–手机短信诈骗–电子支票验证交易授权•账户管理，内部人利用客户账户作案–帐外帐以吸储或同业拆借方式吸收资金挪用到个人账户中，用于帐外高息发放；–信用卡长期不动户资金被盗用•没有进行双重控制与功能分离–内部岗位职责划分不清，没有严格实行“章、印、押、证”分人专管的制度，有价单证和重要空白凭证没有实行领用、注销登记制度–没有定期对重要岗位实行岗位轮换制度，监督制约机制未能有效发挥作用。–会计主管、会计人员相互兼岗，一笔业务“一手清”的现象比较普遍，业务经办与会计帐务处理的合一•交易的业务品种、交易细节。–大额存单签发/支取实行分级授权与双签制度“高山案件”交易授权–贷前调查、贷时审查、贷后检查信贷审批过程–对消费贷款“化整为零”–对逾期和呆滞的消费贷款是否及时变更科目–消费贷款业务中的冲正交易和删除交易的异常交易–利用银行卡账户套取现金、偷逃税款、逃废债务和洗钱等违法犯罪活动–信贷风险评估的可靠性•1992－1995年间，巴林银行交易员里森的错误交易以及在出现损失后继续隐瞒，最终给巴林银行带来86000万英镑的损失，致使其破产。交易授权•1995年，华夏银行3名职员非法拆借3.4亿多元的贷款，致使华夏银行2亿多元资金无法收回。•日本大和银行联合爱尔兰银行–外部经济环境的变化•违规审批、违规调额、刷卡套现、违规核销等–韩国LG信用卡危机信用卡恶意透支循环信贷获紧急救援避免破产•绕过授权–授信程序存在缺陷或执行不严格化整为零–输入未经授权的交易;趁例行系统开发或维护之机未经授权变动程序，自动生成虚假交易，省略对选定账户的控制审核或消除某些交易的纪录处理过程的正确性•交易应具备以下属性：原子性、一致性、隔离性和持久性。–两阶段提交并行处理时避免不一致的更新，确保产生正确和可靠的结果•潜在的脆弱性和意外情况是否在流程处理范围内–先借后贷的银行结算基本要求–空白卡片管理、审核作业的进程监测、权限卡登记与管理等–重要空白凭证不经综合岗维护便可使用，无法进行有效的控制；–内部往来账务记载规程不严密；–在联行清算中隐匿和挤占资金的可能–交易过程是否完整，联动交易，符合业务和管理制度错帐•在前台记账过程中难免会遇到线路故障，若临柜操作人员不对前后台数据的一致性进行检查，极有可能造成账务差错：–由于电脑线路原因，代理方记通存账时，同一笔账连续记录数次方能成功或根本不能成功而委托方却记录数笔。–代理网点发现错账进行冲正时，会计清算账上误反映成蓝字，造成清算金额虚增双倍。•操作员不熟悉记账程序造成人为错账–不注意及时复核，造成人为重复入账。–操作员在记账时遇线路故