您的位置:360文档中心› 银行业信息安全管理实践工行张艳

银行业信息安全管理实践工行张艳

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

银行业信息安全管理实践

ICBC

中国工商银行

2017年7月

内容提要

一、银行业面临的信息安全挑战

二、工行信息安全管理实践

三、相关建议

银行业安全威胁持续升级

挑战

安全威胁持续升级

地下黑色产业链已成规模 ⏹ 诈骗集团化、专业化。不法分子综合利用各种手段,分工协作,形成产业链条。

⏹利用黑产大数据分析,对客户实现精准诈骗。

新技术带来新的安全挑战

⏹云平台资源的复用给数据有效隔离带来新的挑战

⏹海量数据成为外部黑客攻击、内部信息泄露的重要渠道.

⏹大量智能设备存在较多安全隐患。

新业务带来更大挑战

⏹ 随着外部合作增加,接入渠道多,遭受外部攻击风险增大

⏹ 随着APP 等新业务推广,网络边界已模糊,边界安全防范难度增大

⏹随着金融线上线下融合,使得风险更加容易传导

⏹随着国际化综合化深入,风险领域逐步扩大。

攻击手法不断升级 ⏹ DDOS 攻击

⏹ APT 攻击、鱼叉攻击、水坑攻击、0-day 攻击 ⏹ 拖库、撞库、洗库

通用软硬件和企业自身软件漏洞频

繁被曝出 ⏹操作系统、第三方通用软硬件等高危漏洞频发

⏹ 各企业网站系统等被频繁曝出高危漏洞

信息泄露事件层出不穷

⏹ 企业内部员工信息泄露、内外部勾结买卖客户信息事件频发。

⏹ 企业网站系统存在漏洞导致信息泄露事件不断发生

攻击手法不断升级

APT攻击

撞库

拖库

洗库

0day漏洞

利用

APT攻击导致银行遭受巨大损失

2016年媒体披露孟加拉央

行SWIFT系统被盗走8100

万美元

2016年媒体披露乌克兰某

银行SWIFT系统被盗走

1000万美元

2015年香港某行遭遇

DDoS攻击导致网上银行服

务缓慢

DDOS攻击导致银行网银服务异常

2015年芬兰银行遭遇长时

间DDOS攻击无法提供在

线服务

2015年部分国内金融企业

网站被撞库,不法分子窃取

客户信息进行诈骗

利用撞库、银行网站漏洞窃取银行客户信息

2015年某国内银行网站系

统存在漏洞,导致客户信

息泄露

地下黑色产业链已成规模

1998年 攻击对象:客户PC

攻击手段:不法分子或利用银行正常业务,或通过病毒、木马、钓鱼网站等盗取客户资金。

攻击对象:客户PC 、智能终端

攻击手段:假冒APP 、木马拦截短信、伪基站等方式窃取客户资金,除了PC 、智能终端渠道,还利用第三方快捷支付渠道窃取客户资金。 攻击对象:客户PC 、智能终端

攻击手段:诈骗趋向集团化专业化,不法分子综合利用各种手段,分工协作,形成产业链条。且利用黑产大数据分析,对客户实现精准诈骗。

移动互联时代到来 快捷支付掀起热潮

针对银行和银行客户的黑

色产业链形成

2011年 2014年

钓鱼短信

传统金融 互联网化

通用软硬件漏洞频发

基础应用和通用软硬件产品部署广泛,近年里更是频繁有漏洞爆出,影响巨大。

2014年“心脏出血”爆发3天时中国仅有18%的修复率,远低于全球平均的40%; 2015年苹果开发工具X-code 被植入恶意代码,国内数百款知名APP 收到感染;

2015年国内某知名公司开发的公共套件中存在WormHole 漏洞; 2016、2017年Struct2多次爆出存在高危漏洞,需要及时进行修复。

心脏出血漏洞

苹果X-code 被植入恶意代码 某公司公共套件存在WormHole 漏洞 Structs2多次爆出高危漏洞

信息泄露风险仍是商业银行必须面对的痛点

✓内部员工信息泄露风险将严重威胁银行客户信息安全。近年来公安部破获了部分和银行内鬼相关的案件,在抓获犯罪嫌疑人中,就包含内部员工。

✓部分企业网站系统存在漏洞导致信息泄露事件,部分泄露信息中包括银行卡、帐户等敏感信息。

技术创新应用引发新威胁

云计算 大数据

移动互联网

物联网

恶意程序迅速增长

资源的复用给数据有效隔离带来新的挑战 局部节点安全风险可能传导到同一资源域的其他节点。

海量数据成为外部黑客攻击、内部信息泄露的重要渠道,给安全防护带来新挑战。

大量智能设备仍然存在传统低级安全隐患,如弱密码写入代码、管理地址暴露等。

新业务带来更大挑战

✓由于业务条线多、功能复杂,每项业务功能存在的安全隐患可能无法及时发现; ✓互联网金融发展使得新产品新业务快速推出,存在的安全隐患可能未及处置,便暴露在互联网环境下;

✓随着地下产业链已经规模化、集团化发展,不法分子对个别银行业务以及业务隐患的了解可能要比银行业务人员更加深入。

电子商务

网上银行

。。。。。。 。。。。。。

银行业务线

手机银行

新兴业务

。。。。。。

内容提要

一、银行业面临的信息安全挑战

二、工行信息安全管理实践

三、相关建议

应对措施1——构建全面的信息安全防御体系

治理体系

⏹组织与机制

⏹制度与技术规范体系

⏹方针和策略

管理体系⏹人员安全

⏹分级与保护

⏹安全监控与处置⏹第三方与外包安全⏹安全评估和评价⏹安全检查和审计⏹项目与工程安全

技术体系

⏹物理安全

⏹网络与通讯安全

⏹系统安全

⏹终端安全

⏹数据安全

⏹应用安全

⏹身份认证与集中授权

⏹密码技术和密钥管理管理体系技术体系

治理体系

相关文档
最新文档