IT 系统信息安全风险不容忽视 【编者按】2011 年至今,广东银监局共组织实施信息科技现场检查17 次,发现辖内机构IT 风险点120 处,提出整改建议83 条,通过督促整改,消除了一批风险隐患, 降低了风险水平。辖内16 家接受评级的法人机构2011年度信息科技风险评估结果显示,三级以上的机构增至14 家,机构IT 风险管理能力已有改观。但从今年的IT风险现场检查情况看,在风险水平总体下降的同时,辖内银行业金融机构信息安全风险管控状况不尽理想,仍需进一步改善。 一、银行业机构信息安全管理力度不足、风险隐患突出 2012年7月份以来,广东银监局组织了9场次信息科技风险现场检查,从检查情况看,辖内机构在信息安全管理方面存在的问题不容忽视: (一)对核心信息的管控强度不足、控制结构混乱。检查发现:被查机构对应用系统源代码审核基本都不落实,显然“招行成都分行网银案”(代码漏洞)风险警示未被足够重视; 多家机构对重要系统备份介质保管未实施双重控制,甚至有机构将电子银行系统关键密钥交由单人保管;网上银行客户端安全性保护未能达到《网上银行系统信息安全通用规范》(国标)要求;核心网络设备、运行管理系统等重要部件由多人共同使用超级用户;部分机构核心系统中,uucp、nfs等敏感闲臵用户未作删除,理论上有被利用于非法入侵可能;在对某机构测试环境检查时发现测试数据库中的海量生产数据未完全脱敏,且客户机可下载数据表,说明机构对敏感信息的控制强度不足。 (二)对银行终端设备管理较为松懈。中资机构对桌面系统、客户机的安全管理较松懈,基本没有效实施简约客户机模式。如工行、农行近年在改造桌面系统、限制移动接口等方面做过一些尝试,但从高层到普通员工的认同度都不高,至今难于推行,而内网客户机功能过强是很明显的风险点;在银行桌面系统中允许使用移动存储介质是普遍现状,而屏幕摄录日志并未覆盖所有内网机器;另外,大部分机构对内外网交叉连接也未实施有效限制。 (三)信息安全管理制度不全或执行不到位。今年 7月,我局检查组在对某城商行现场检查中抽查了银行卡制卡机、后台权限管理客户机各一台,发现:(1)制卡机中存放有 2000余条完整的客户制卡明码信息,如果外泄,有可能造成该行银行卡被批量克隆的严重后果,而监管部门之前的风险提示与整改建议未被认真对待;(2)后台管理客户机中有约 20张账号、户名、印章齐全的高清支票照片,存在客户机中已超过一年,如外流,将直接威...