银行业信息安全管理实践ICBC中国工商银行2017年7月内容提要一、银行业面临的信息安全挑战二、工行信息安全管理实践三、相关建议银行业安全威胁持续升级挑战安全威胁持续升级地下黑色产业链已成规模 ⏹ 诈骗集团化、专业化。

不法分子综合利用各种手段，分工协作，形成产业链条。

⏹利用黑产大数据分析，对客户实现精准诈骗。

新技术带来新的安全挑战⏹云平台资源的复用给数据有效隔离带来新的挑战⏹海量数据成为外部黑客攻击、内部信息泄露的重要渠道.⏹大量智能设备存在较多安全隐患。

新业务带来更大挑战⏹ 随着外部合作增加，接入渠道多，遭受外部攻击风险增大⏹ 随着APP 等新业务推广，网络边界已模糊，边界安全防范难度增大⏹随着金融线上线下融合，使得风险更加容易传导⏹随着国际化综合化深入，风险领域逐步扩大。

攻击手法不断升级 ⏹ DDOS 攻击⏹ APT 攻击、鱼叉攻击、水坑攻击、0-day 攻击 ⏹ 拖库、撞库、洗库通用软硬件和企业自身软件漏洞频繁被曝出 ⏹操作系统、第三方通用软硬件等高危漏洞频发⏹ 各企业网站系统等被频繁曝出高危漏洞信息泄露事件层出不穷⏹ 企业内部员工信息泄露、内外部勾结买卖客户信息事件频发。

⏹ 企业网站系统存在漏洞导致信息泄露事件不断发生攻击手法不断升级银行APT攻击撞库拖库洗库0day漏洞利用APT攻击导致银行遭受巨大损失2016年媒体披露孟加拉央行SWIFT系统被盗走8100万美元2016年媒体披露乌克兰某银行SWIFT系统被盗走1000万美元2015年香港某行遭遇DDoS攻击导致网上银行服务缓慢DDOS攻击导致银行网银服务异常2015年芬兰银行遭遇长时间DDOS攻击无法提供在线服务2015年部分国内金融企业网站被撞库，不法分子窃取客户信息进行诈骗利用撞库、银行网站漏洞窃取银行客户信息2015年某国内银行网站系统存在漏洞，导致客户信息泄露地下黑色产业链已成规模1998年 攻击对象：客户PC攻击手段：不法分子或利用银行正常业务，或通过病毒、木马、钓鱼网站等盗取客户资金。

攻击对象：客户PC 、智能终端攻击手段：假冒APP 、木马拦截短信、伪基站等方式窃取客户资金，除了PC 、智能终端渠道，还利用第三方快捷支付渠道窃取客户资金。

攻击对象：客户PC 、智能终端攻击手段：诈骗趋向集团化专业化，不法分子综合利用各种手段，分工协作，形成产业链条。

且利用黑产大数据分析，对客户实现精准诈骗。

移动互联时代到来 快捷支付掀起热潮针对银行和银行客户的黑色产业链形成2011年 2014年钓鱼短信传统金融 互联网化通用软硬件漏洞频发基础应用和通用软硬件产品部署广泛，近年里更是频繁有漏洞爆出，影响巨大。

2014年“心脏出血”爆发3天时中国仅有18%的修复率，远低于全球平均的40%； 2015年苹果开发工具X-code 被植入恶意代码，国内数百款知名APP 收到感染；2015年国内某知名公司开发的公共套件中存在WormHole 漏洞； 2016、2017年Struct2多次爆出存在高危漏洞，需要及时进行修复。

心脏出血漏洞苹果X-code 被植入恶意代码 某公司公共套件存在WormHole 漏洞 Structs2多次爆出高危漏洞信息泄露风险仍是商业银行必须面对的痛点✓内部员工信息泄露风险将严重威胁银行客户信息安全。

近年来公安部破获了部分和银行内鬼相关的案件，在抓获犯罪嫌疑人中，就包含内部员工。

✓部分企业网站系统存在漏洞导致信息泄露事件，部分泄露信息中包括银行卡、帐户等敏感信息。

技术创新应用引发新威胁云计算 大数据移动互联网物联网恶意程序迅速增长资源的复用给数据有效隔离带来新的挑战 局部节点安全风险可能传导到同一资源域的其他节点。

海量数据成为外部黑客攻击、内部信息泄露的重要渠道，给安全防护带来新挑战。

大量智能设备仍然存在传统低级安全隐患，如弱密码写入代码、管理地址暴露等。

新业务带来更大挑战✓由于业务条线多、功能复杂，每项业务功能存在的安全隐患可能无法及时发现； ✓互联网金融发展使得新产品新业务快速推出，存在的安全隐患可能未及处置，便暴露在互联网环境下；✓随着地下产业链已经规模化、集团化发展，不法分子对个别银行业务以及业务隐患的了解可能要比银行业务人员更加深入。

电子商务网上银行。

。

银行业务线手机银行新兴业务。

内容提要一、银行业面临的信息安全挑战二、工行信息安全管理实践三、相关建议应对措施1——构建全面的信息安全防御体系治理体系⏹组织与机制⏹制度与技术规范体系⏹方针和策略管理体系⏹人员安全⏹分级与保护⏹安全监控与处置⏹第三方与外包安全⏹安全评估和评价⏹安全检查和审计⏹项目与工程安全技术体系⏹物理安全⏹网络与通讯安全⏹系统安全⏹终端安全⏹数据安全⏹应用安全⏹身份认证与集中授权⏹密码技术和密钥管理管理体系技术体系治理体系应对措施2——制定信息安全防御目标及策略⏹总体目标：实现“外部有效防御”和“内部完备防护”保障信息系统安全运行保证客户交易过程资金和信息的安全⏹总体策略：从边界防御转向全面防御由被动防护转向主动防护由使用传统工具防护转向利用大数据技术和安全技术结合应对措施3 ——全面构建网络与信息安全通报机制高度重视多部门联合全员参与运转有效信息科技管理委员会主管，健全组织机构和制度流程,下发《网络与信息安全通报机制规程》，全面推进此项工作。

各部门负责处置涉及本专业相关的信息安全风险、做好日常管理，指定通报机制成员，负责日常联络、协调积极跟进国家安全政策要求，研究网络安全法等相关安全法案在企业的落实措施。

持续开展热点安全问题跟踪研究。

持续改进信息科技部、内控合规部、办公室、管理信息部共同负责通报机制的建设，推动集团信息安全各项工作开展。

及时通报、预警、并协调处置集团内外重大信息安全风险，如struts2、Wannacry病毒等，有效督促落实信息安全措施应对措施4 ——认真贯彻落实国家安全法，提升安全管理认真解读对标整改跟踪落实做好宣贯从总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等角度对《网络安全法》进行认真分析解读。

从落实网络安全等级保护制度、关键信息基础设施保护、网络安全监测预警、安全事件应急处置与演练、个人信息保护以及内部安全审计等六大方面逐条对标，我行已基本落实了《网络安全法》的各项要求，对于个别不符合要求的情况也已组织形成了落实措施。

主管行领导撰文对网络安全法落实进行推动；多次举办网络安全法专题讲座；积极参加国家网络安全部分举办的研讨、讲座；积极跟踪网络安全法配套法规的发布、执行。

应对措施 5 —— 建立三道安全防线应对风险隐患构建信息安全管理三道防线, 层次化落实安全风险防控系统安全应用研发安全信息保护保密管理安全策略 安全评估 安全检查 安全规划第三道防线内部审计部门第二道防线信息安全风险管理部门 （总行科技、内控、管信、办公室）安全态势报告 网络安全通报机制信息安全审计第一道防线信息安全日常管理部门 （各中心、分行）日常工作过程中的安全管控、处置应对措施6 —— 培养一支专业的信息安全队伍2004年首次建立工行自己的信息安全专业团队开展网站安全检测 负责分析安全事件2009年 拓展安全团队工作范围应用版本安全测试和专项安全评估工作；开展新技术安全技术研究工作；自主研发安全监测工具，如假冒网站监测工作。

2016年开展信息安全团队优化提升扩充安全团队人员，由一支安全团队扩充到一部三中心、各分行。

按照软件生命周期管理环节，全面建设工行信息安全专业团队，形成团队合力，提升整体安全防护能力。

应对措施7 —— 采用一体化的安全监测和处置措施防范外部攻击网络边界控制终端安全防控 应用安全加固 威胁情报异常文件动态检测流量异常检测终端异常检测服务器异常检测病毒查杀 用户管控 ....... 漏洞修复 应用恢复 预防 检测响应恢复策略联动下发分析结果安全事件全生命周期管理安全策略全生命周期管理安全漏洞全生命周期管理 威胁情报大数据分析平台（IT 数据池）用户交互服务器管控 终端隔离物理边界控制数据安全保护密码技术防护系统安全保护身份认证与权限控制信息安全运营中心（SOC ）安全态势分析与预警......边界阻断 系统恢复安全策略优化........应对措施8 ——建设完整的内部安全防护体系防范内部安全风险终端安全防护⏹终端完整性保护⏹终端准入控制⏹终端网络访问控制⏹终端外设控制网络与通讯安全防护⏹内部网络边界防护⏹网络准入控制⏹网络访问控制系统安全防护⏹系统完整性保护⏹系统准入控制⏹系统访问控制数据安全保护⏹业务系统数据安全保护⏹数据完整性保护⏹电子文档安全保护⏹信息防泄漏监测与扫描⏹移动存储加密身份认证与权限控制⏹账户管理⏹身份认证⏹权限控制⏹审计记录内部安全防护应对措施9 —— 建立了完善的电子银行的事前事中应用安全防护体系 ●终端安全检查 ●登录密码、卡密码 输入加密保护●登录弱密码检查 与控制，登录失败次数超限控制 ●图形验证码●密码等敏感数据加密存储和传输●手机号等敏感信息屏蔽显示 ●缓存数据清理●交易认证：短信、口令卡、密码器、U 盾 ●交易防篡改、防伪造、防重放（密码器、U 盾、安全功能等）●代码混淆●代码签名 ●完整性检查 ●敏感信息存储●防钓鱼（控件）●防病毒（小e 安全检测）客户端安全登录认证 数据安全交易安全 ●高风险交易 监控及处理 ●可疑账户和登录监控及处理风险监控应对措施10 —— 采用交易全流程安全防护措施防范外部欺诈风险交易事中监控交易事前控制交易事后分析图形验证码 可信终端检查交易安全介质保护 位置定位 防钓鱼控件、防病毒控件建设风控防控系统交易防篡改 融e 联余额变动提醒敏感信息加密传输预留验证信息 交易限额 登陆失败次数限制 融安e 信系统：黑名单布控，全渠道拦截电信诈骗 电子银行反欺诈系统、银行卡反欺诈系统：利用大数据技术和监控模型对异常交易实时预警干预。

人工电话核实建模与风险挖掘拖库风险建模与挖掘 web 威胁建模与分析 撞库风险建模与挖掘 交易异常操作建模与挖掘用户异常行为建模与挖掘 ........ 外部趋势分析外部欺诈风险趋势分析 外部攻击趋势分析应对措施11 ——开展新技术安全防护研究和应用新技术的安全防护研究新技术在安全领域的应用云平台安全防护大数据平台安全防护.......智能设备安全防护生物识别技术的应用大数据技术在安全领域的应用.......公民网络电子身份标识的应用内容提要一、银行业面临的信息安全挑战二、工行信息安全管理实践三、相关建议推动形成信息安全产学研结合的信息安全生态圈，加快研究成果的转化，形成产业联盟，促进教学、科研深入和安全可控，形成良性循环，提升我国信息安全核心竞争力。

产业联盟建立电子化的协作、共享机制，形成多部门整体协同防护的合力建立可信、可靠的公共服务机制,打通国家信息安全专业服务部门、安全厂商、社会团队、企业之间技术交流、协作通道。