互联网金融业务发展和风险防范(下)_0305

——银行家的摇篮主讲：朱磊上海明鸿银行教育培训中心2015.03互联网金融业务发展与风险防范——银行家的摇篮专家简介2朱磊德勤企业风险管理服务部合伙人主要服务客户朱磊先生是德勤华东区企业风险管理服务部的资深合伙人，多年来专精于金融行业与电信行业的风险管理、数据分析、风险管理信息化和全面风险预警等服务。朱磊先生为多家大型银行提供战略规划，运营优化，风险管理/合规等咨询服务，包括数据战略规划、数据治理、自动化内控注入等服务。同时，朱磊先生领导的数据分析团队每年为多家电信运营商提供基于数据分析的绩效优化、代理商评估模型等服务。朱磊先生是中国先进企业大数据联盟标准委员会成员和电信大数据金融实验室外聘专家。中国农业银行、交通银行、兴业银行、哈尔滨银行、厦门银行、东京三菱银行、三井住友银行、瑞穗银行、华美银行、华一银行、中国移动、中国电信、中国联通、上海市国资委、山东省证监局、上海市审计局、上海浦东审计局、江苏省地方税务局等。手机/微信：138-1727-8899电邮：jaczhu@deloitte.com•注册信息系统审计师(CISA)•认证网络工程师(CNE)•认证网络管理员(CNA)•微软认证系统工程师(MCSE)——银行家的摇篮3知己知彼二、互联网金融业务的风险识别、防范、管控一、互联网金融业务的起源、发展、模式百战百胜培训进程——银行家的摇篮互联网金融业务发展与风险防范第二部分：风险防范4——银行家的摇篮主题进程（第二部分：风险防范）1经典的风险防范体系基于互联网金融的风险识别与控制主题TOPICS52创新的风险防范：数据分析利用数据分析管控互联网金融风险3互动沟通——银行家的摇篮主题进程（第二部分：风险防范）1基于互联网金融的风险识别与控制主题TOPICS61.1IT风险管理框架简介1.2银行传统IT控制识别与管理1.3商业银行开展互联网金融业务常见风险1.4商业银行基于互联网金融的风险管理模式1.5案例分析与讨论——银行家的摇篮主题进程（第二部分：风险防范）1基于互联网金融的风险识别与控制主题TOPICS71.1IT风险管理框架简介1.2银行传统IT控制识别与管理1.3商业银行开展互联网金融业务常见风险1.4商业银行基于互联网金融的风险管理模式1.5案例分析与讨论——银行家的摇篮81.1IT风险管理框架简介德勤的IT风险管理（简称“ITRM”）框架结合了ISO27001和COBIT等国际标准，可对IT风险进行评估——银行家的摇篮91.1IT风险管理框架简介ITRM完全满足国际上常用风险管理标准或内控体系——银行家的摇篮主题进程（第二部分：风险防范）1基于互联网金融的风险识别与控制主题TOPICS101.1IT风险管理框架简介1.2银行传统IT控制识别与管理1.3商业银行开展互联网金融业务常见风险1.4商业银行基于互联网金融的风险管理模式1.5案例分析与讨论——银行家的摇篮111.2银行传统IT控制识别与管理结合外部的监管要求和企业内部的控制需求，一般把IT风险控制体系划分为以下三个层面——银行家的摇篮121.2银行传统IT控制识别与管理公司层面的IT控制一般体现在如下几个方面：——银行家的摇篮131.2银行传统IT控制识别与管理在信息系统应用控制（ITAC）部分，我们将根据应用系统控制的属性，结合我们对业务流程的了解，一般分为如下类型的应用系统控制：——银行家的摇篮141.2银行传统IT控制识别与管理在信息系统总体控制(ITGC)部分，通常包括以下领域：——银行家的摇篮151.2银行传统IT控制识别与管理ITGC关键控制示例：数据中心、网络运营——银行家的摇篮161.2银行传统IT控制识别与管理ITGC关键控制示例：访问控制——银行家的摇篮171.2银行传统IT控制识别与管理ITGC关键控制示例：信息安全——银行家的摇篮181.2银行传统IT控制识别与管理ITGC关键控制示例：应用系统的购置、开发及维护——银行家的摇篮191.2银行传统IT控制识别与管理ITGC关键控制示例：系统软件的购置、变更及维护——银行家的摇篮201.2银行传统IT控制识别与管理银行传统系统架构——银行家的摇篮211.2银行传统IT控制识别与管理银行常见系统平台——银行家的摇篮221.2银行传统IT控制识别与管理ITGC关键控制示例：AS400平台序号参数描述1安全水平参数（QSECURITY）对特权指令和设备接口的控制，限制用户对数据和系统内部程序的直接访问。2最大登录尝试次数（QMAXSIGN）系统允许用户最多只能进行失败登陆尝试的次数。3达到最大登录尝试次数后的措施（QMAXSGNACN）控制系统在发现某用户达到最大登录尝试次数后对其采取的措施。4密码有效期（QPWDEXPITV）用户密码的最长使用期限，在达到有效期后用户将被强制要求修改其用户密码。5强制密码历史（QPWDRQDDIF）控制用户在修改新密码时，该新密码必须和以前已使用过的历史密码不同。6密码最小长度（QPWDMINLEN）限定了用户设置的密码其长度必须大于等于参数值。——银行家的摇篮231.2银行传统IT控制识别与管理ITGC关键控制示例：AS400平台（续）序号参数描述7密码最长长度（QPWDMAXLEN）限定了用户设置的密码其长度不得大于等于参数值。8限制安全设备登录（QLMTSECOFR）不允许有*ALLOBJ或*SERVICE的用户登陆任意终端（主控制台除外）。9超时设置（QINACTITV）限定了用户在一定的空闲时间后会自动退出系统。10限制设备进程数（QLMTDEVSSN）限制同一时刻特定用户仅能通过1个进程登录。11用户登录信息是否显示（QDSPSGNINF）用户登录时，以下信息应被显示：最后登陆时间；从上次登陆以来的失败登陆；密码将在7天内过期的警告。12远程登录（QRMTSIGN）所有系统的passthroughsessions必须通过正常的登录(sign-on)过程；不允许系统支持passthroughsessions。——银行家的摇篮241.2银行传统IT控制识别与管理ITGC关键控制示例：Oracle数据库序号管理内容描述1用户账号管理用户在Oracle数据库中的账号应该设置有可以区分的唯一标识，如使用姓名、工号等作为用户名，以防止共享账号的现象。2管理员账号管理应设置由合适的人员管理并使用，通常仅有数据库管理员能使用DBA账号。3默认账号管理检查Oracle数据库的默认账号（如：DBSNMP/DBSNMP，CTXSYS/CTXSYS，EVENT/EVENT等）是否被禁用，或其默认密码是否被修改。4密码设置管理检查Oracle数据库系统是否设置了用户在登录时均需要进行密码验证。检查Oracle数据库系统中的密码策略（密码最小长度，密码有效时间等）是否满足安全的需求。5审计策略设置检查Oracle数据库审计策略的相关设置是否满足安全的需求：审计策略应该设置为开启，并对一些关键操作开启审计功能。——银行家的摇篮251.2银行传统IT控制识别与管理ITGC关键审计命令示例：AIX操作系统序号信息安全审计命令描述1cat/etc/passwd获取用户列表，检查UID=0的账号是否适当分配和授权——银行家的摇篮261.2银行传统IT控制识别与管理ITGC关键审计命令示例：AIX操作系统序号信息安全审计命令描述2cat/etc/security/user检查AIX系统的密码策略设置——银行家的摇篮271.2银行传统IT控制识别与管理ITGC关键审计命令示例：AIX操作系统序号信息安全审计命令描述3more/var/adm/cron/cron.allowmore/var/adm/cron/cron.denymore/var/adm/cron/at.allowmore/var/adm/cron/at.deny查看批处理任务和权限设置4who-a/etc/security/failedlogin获取AIX系统登陆失败的日志记录，定期复核该记录5cat/etc/profile检查AIX系统账号在一段时间不活动后是否会强制退出——银行家的摇篮281.2银行传统IT控制识别与管理ITGC关键审计命令示例：Oracle数据库序号信息安全审计命令描述1select*fromdba_role_privsawherea.granted_role=‘DBA’查看管理员权限是否被授予适当的用户——银行家的摇篮291.2银行传统IT控制识别与管理ITGC关键审计命令示例：Oracle数据库序号信息安全审计命令描述2Select*fromDBA_PROFILES；查看信息安全的相关参数是否适当配置——银行家的摇篮301.2银行传统IT控制识别与管理应用控制和信息系统总体控制关系存款流程示例存款的交易授权应用控制存款业务相关核心系统相关的整体计算机控制——银行家的摇篮311.2银行传统IT控制识别与管理银行传统应用控制的类型应用控制是那些嵌入在各个业务流程中，由某个应用系统实现的自动控制（如：计算、过账、报表生成、编辑、控制程序等）和依赖于信息系统的人工控制（即半自动控制），以确保相关数据的完整性，准确性和真实性。——银行家的摇篮321.2银行传统IT控制识别与管理银行传统流程风险：信贷贷款人欺诈抵质押无法实现保证虚置担保无效资金链断裂联保互保资金挪用上下游风险传导——银行家的摇篮331.2银行传统IT控制识别与管理通过实现信贷系统的应用控制可以在事前有效防范信贷相关风险银行传统流程风险：信贷——银行家的摇篮341.2银行传统IT控制识别与管理银行传统流程应用控制自动化注入原理——银行家的摇篮351.2银行传统IT控制识别与管理银行传统信贷流程应用控制自动化注入——银行家的摇篮361.2银行传统IT控制识别与管理银行传统信贷流程应用控制自动化注入——银行家的摇篮371.2银行传统IT控制识别与管理银行传统信贷流程应用控制自动化注入——银行家的摇篮381.2银行传统IT控制识别与管理银行传统信贷流程应用控制自动化注入——银行家的摇篮主题进程（第二部分：风险防范）1基于互联网金融的风险识别与控制主题TOPICS391.1IT风险管理框架简介1.2银行传统IT控制识别与管理1.3商业银行开展互联网金融业务常见风险1.4商业银行基于互联网金融的风险管理模式1.5案例分析与讨论——银行家的摇篮401.3商业银行开展互联网金融业务常见风险商业银行开展的互联网金融主要业务1.直销银行3.“宝宝”类互联网理财产品4.P2P网络借贷2.电子账户产品5.互联网票据理财——银行家的摇篮411.3商业银行开展互联网金融业务常见风险商业银行开展的互联网金融主要业务商业银行开展互联网金融的常见风险，不仅仅在于IT风险，还包括一些产品的投资风险和合作机构风险等，具体包括：——银行家的摇篮421.3商业银行开展互联网金融业务常见风险实施互联网金融战略，常常容易被忽视的常见问题：——银行家的摇篮主题进程（第二部分：风险防范）1基于互联网金融的风险识别与控制主题TOPICS431.1IT风险管理框架简介1.2银行传统IT控制识别与管理1.3商业银行开展互联网金融业务常见风险1.4商业银行基于互联网金融的风险管理模式1.5案例分析与讨论——银行家的摇篮441.4商业银行基于互联网金融的风险管理模式商业银行基于互联网金融的风险管理模式商业银行基于互联网的金融的风险管理模式比传统IT风险管理模式更全面，主要包括如下领域：——银行家的摇篮451.4商业银行基于互联网金融的风险管理模式商业银行基于互联网金融的风险管理示例以下将重点介绍三个互联网金融重点风险的管理模式1.峰值交易2.信息安全3.产品管理——银行家的摇篮461.4商业银行基于互联网金融的风险管理模式商业银行基于互联网金融的风险管理示例以下将重点介绍三个互联网金融重点风险的管理模式1.峰值交易2.信息安全3.产品管理——银行家的摇篮471.4商业银行基于互联网金融的风险管理模式互联网金融平台重要风险侦测：峰值交易互联网金融平台不同于传统银行系统，多终端接入、开放平