金融信息安全(2)-信息风险.ppt
- 文档编号:2516396
- 上传时间:2022-10-31
- 格式:PPT
- 页数:64
- 大小:664KB
金融信息安全(2)-信息风险.ppt
《金融信息安全(2)-信息风险.ppt》由会员分享,可在线阅读,更多相关《金融信息安全(2)-信息风险.ppt(64页珍藏版)》请在冰豆网上搜索。
金融信息安全-信息风险李改成主要内容信息风险模型金融信息风险识别定性评估分级测量定量方法风险评估报告风险处置信息风险模型ISO13335信息风险要素及其关系资产威胁脆弱性风险信息风险模型ISO13335中分析了风险资产资产是对组织具有价值的信息或资源,是安全策略保护的对象。
资产价值资产的重要程度或敏感程度的表征。
资产的属性进行资产识别的主要内容。
信息资产的构成包括有形资产和无形财产。
从成本和收益两个角度考虑资产的价值获取、开发、维护和保护该资产所需的成本该资产对所有者、用户和竞争对手所具有的价值:
该资产不可用情况下所造成的损失考察信息资产,不能只停留在静态的一个点或者一个层面上。
威胁威胁是一种可能导致资产对象出现安全问题的活动或者能力,可能引起对我们的系统、组织和财富的不良影响。
威胁作用形式对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害;也可能是偶发的或蓄意的事件。
威胁动机安全学家Shirey泄露破坏篡夺欺骗威胁来源威胁脆弱性脆弱性就是存在于系统的各方面,可能被威胁所利用的资产或若干资产的弱点。
安全和非安全部分均有可能存在脆弱性。
脆弱性是对象的一种固有属性,就好比它的资产价值等等一样。
可透支和易复制性就是信用卡业务的弱点威胁总是要利用资产的脆弱性才可能造成危害。
存在脆弱性的原因:
信息安全策略本身存在漏洞信息安全策略没有得到很好的贯彻执行,尤其是缺乏相应的技术保障措施。
脆弱性分类脆弱性识别技术和管理两个方面管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面横向和纵向两个不同的方向以资产为核心不同层次进行识别数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。
采集方式数据内容依据国际或国家安全标准、行业规范、应用流程的安全要求。
不同环境中的相同的弱点,其严重程度是不同的。
注意,有些脆弱性只有在一定条件和环境下才能显现渗透测试的使用检测已发现的脆弱性是否真正会给系统或网络带来影响风险风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
金融信息风险涵盖了在规划、研发、建设、运行、维护、监控及退出与信息技术相关的产品、服务、传递渠道、系统等时,所产生或引发的银行经营的不确定性或对银行管理的不利因素。
对风险的搜索判定意外事件所造成的损失判定意外事件所造成的损失对发生意外事件的频率予以考虑对发生意外事件的频率予以考虑总体损失的确定考虑事件的直接损失和间接损失风险损失分布法根据损失资料库中每一种业务类别的损失特征选取拟合度最优的模型,对损失发生的概率和损失程度做出假设,得到风险损失在未来时期内的可能分布。
防护措施是我们为了降低风险所采用的解决办法。
环境方面技术方面风险评估以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因,参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价判断和测量安全事件发生的概率以及可能造成的损失对不可接受的风险提出风险管理措施的过程。
金融信息风险识别风险事件类型金融交易中的风险点风险分布描述风险分布描述风险事件类型Neumann列举了9种计算机系统安全问题的来源就金融系统来讲,风险事件类型主要包括以下几种1灾难事件和业务中断2内部欺诈3外部欺诈4涉及执行、交割以及交易过程管理的风险事件灾难事件和业务中断电源故障、通信故障、水灾、火灾数据库系统、操作系统、存储设备、网卡、电源等系统部件的缺陷及其不兼容问题应用系统缺陷新系统上线、年终结转等系统变更内部欺诈内部职员通过采用一些措施,可能超越自己的权限访问本来无权访问的资源、非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用,或泄露秘密信息。
内部欺诈是指有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为,如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。
很多时候,组织内部岗位职责划分不清,会计主管、会计人员相互兼岗、业务经办与会计账务处理合一,同时,又不能实行重要岗位定期轮换制度,导致双重控制执行不力,监督制约机制不能有效发挥作用,极易引发内部欺诈行为的产生。
调查显示,内部欺诈无论在数目还是在金额上都是最重要的一种损失事件类型,而外部欺诈则排在第二位。
外部欺诈外部欺诈指第三方的诈骗、盗用资产、违犯法律的行为,包括通过密码破译、安装后门,嗅探、伪造和欺骗、关闭审计、拒绝服务等手段入侵和攻击系统,或者通过物理的接触造成对软件、硬件、数据的破坏。
针对信息机密性的攻击方法主要有信息拦截技术、信息监听技术、社交工程、信息重定向技术、信息推理技术、电子邮件病毒传输技术。
针对完整性的攻击方法主要有身份认证攻击技术、会话劫持技术、程序异常输入技术等。
针对可用性的攻击方法主要有拒绝服务攻击技术、分布式拒绝服务攻击技术等,它们常用的手段是消耗网络带宽、消耗内存、磁盘空间和CPU资源等。
涉及执行、交割以及交易过程管理的风险事件由于系统业务复杂或者有了变化,而软件设计没有跟上,程序设计流程不合理或不完全,导致出现逻辑错误(执行错误),造成错误的账户数据,给安全带来隐患。
恶意透支业务违规隐匿和挤占资金交易失败系统混乱金融交易中的风险点银行机构和操作员的认证客户身份确认交易数据的采集交易数据的审查交易授权交易执行的正确性公平性、时效性、非否认性数据的安全传输和存储银行机构和操作员的认证日始营业单位开机作业签到、营业单位签退和更改交易状态ATM是首次在商业上大规模使用密码学,还帮助建立了许多加密标准。
假ATM:
系统的漏洞导致多发“幻影提款”。
安装卡陷(假吞卡)、摄像头、键盘、利用张贴假通知、假告示、假服务等手段,以盗取持卡人银行卡及密码或骗取持卡人存款。
银行网站的认证客户身份确认口令密码的校验认证因素:
口令密码,密押支付密码的产生、保存、核验和使用方式不正确。
令牌凭证的校验截取以获得没有签名的卡表面特征不清持卡人的照片和签名全息图案虚拟卡只要知道卡号和终止日期就可进行交易伪造复制一个现有卡并用于交易磁条银行卡存在易于涂改和仿制的固有弊端,影响银行卡业务安全。
客户身份确认伪币:
电子货币无法通过物理手段加以防伪,只要关键技术被窃取或者以其他手段掌握,伪造起来就非常容易。
智能卡的失效等黑名单核对电话挂失黑名单的管理尚未建立信息共享机制。
个人证书的撤销问题交易数据的采集检查各输入项。
信息源的唯一输入信息联动、信息加工、信息共享。
要素是否齐全交易记录是否完全与外部系统连接时,采集的交易记录是否完备,有无遗漏内部和外部交叉性风险内部和外部交叉性风险交易数据的审查凭证要素的审核,包括凭证要素、指令、时限等内容会计印鉴卡的不统一扼制了会计通存通兑业务的发展并且容易造成资金风险纸式印鉴卡需手工传递纸式印鉴卡,校验费时费力,且靠肉眼识别,准确率难以保证。
款项的收付,确保一致性取款变存款交易代码不当得利存单纠纷案大小写核对纠纷解决方式;串户出错伪造诈骗私刻客户印章伪造保证合同伪造公章伪造虚假贷款材料骗贷个人或公司文件虚假注册多家公司伪造财务文件资料真实性审查虚假按揭交易数据的审查担保信利用虚假资料申领信用卡所产生的风险法律风险合同文本、签名、合同失效、履约保证等问题银行卡POS机刷卡风险:
主要体现在收银员故意多计消费、自行仿冒持卡人签单等行为。
手机短信诈骗电子支票验证交易授权账户管理,内部人利用客户账户作案帐外帐以吸储或同业拆借方式吸收资金挪用到个人账户中,用于帐外高息发放;信用卡长期不动户资金被盗用没有进行双重控制与功能分离内部岗位职责划分不清,没有严格实行“章、印、押、证”分人专管的制度,有价单证和重要空白凭证没有实行领用、注销登记制度没有定期对重要岗位实行岗位轮换制度,监督制约机制未能有效发挥作用。
会计主管、会计人员相互兼岗,一笔业务“一手清”的现象比较普遍,业务经办与会计帐务处理的合一交易的业务品种、交易细节。
大额存单签发/支取实行分级授权与双签制度“高山案件”交易授权贷前调查、贷时审查、贷后检查信贷审批过程对消费贷款“化整为零”对逾期和呆滞的消费贷款是否及时变更科目消费贷款业务中的冲正交易和删除交易的异常交易利用银行卡账户套取现金、偷逃税款、逃废债务和洗钱等违法犯罪活动信贷风险评估的可靠性19921995年间,巴林银行交易员里森的错误交易以及在出现损失后继续隐瞒,最终给巴林银行带来86000万英镑的损失,致使其破产。
交易授权1995年,华夏银行3名职员非法拆借3.4亿多元的贷款,致使华夏银行2亿多元资金无法收回。
日本大和银行联合爱尔兰银行外部经济环境的变化违规审批、违规调额、刷卡套现、违规核销等韩国LG信用卡危机信用卡恶意透支循环信贷获紧急救援避免破产绕过授权授信程序存在缺陷或执行不严格化整为零输入未经授权的交易;趁例行系统开发或维护之机未经授权变动程序,自动生成虚假交易,省略对选定账户的控制审核或消除某些交易的纪录处理过程的正确性处理过程的正确性交易应具备以下属性:
原子性、一致性、隔离性和持久性。
两阶段提交并行处理时避免不一致的更新,确保产生正确和可靠的结果潜在的脆弱性和意外情况是否在流程处理范围内先借后贷的银行结算基本要求空白卡片管理、审核作业的进程监测、权限卡登记与管理等重要空白凭证不经综合岗维护便可使用,无法进行有效的控制;内部往来账务记载规程不严密;在联行清算中隐匿和挤占资金的可能交易过程是否完整,联动交易,符合业务和管理制度错帐错帐在前台记账过程中难免会遇到线路故障,若临柜操作人员不对前后台数据的一致性进行检查,极有可能造成账务差错:
由于电脑线路原因,代理方记通存账时,同一笔账连续记录数次方能成功或根本不能成功而委托方却记录数笔。
代理网点发现错账进行冲正时,会计清算账上误反映成蓝字,造成清算金额虚增双倍。
操作员不熟悉记账程序造成人为错账不注意及时复核,造成人为重复入账。
操作员在记账时遇线路故障。
是否采用复式计帐进行交叉检验,比如同时记录总帐和一份分别记录每笔交易的分帐目公平性借贷是否平衡电子货币将若干数字信息块储存在电脑的硬盘中。
为保证货币的稀缺性,要采用特殊的密码技术和其他的安全措施,使得合法的发行主体之外的任何人和组织都不可复制信息块。
事后否认证据记帐凭证凭据是否包括的重要交易数据域如交易号、主体、交易类型、金额/时间等日志不当收益交行外汇买卖,电话交易方式,利用“*”键的修改功能获取最佳交易时机内部勾结兑换上的欺骗行为如何征税;如何防止洗钱支付协议的安全性时效性大额支付系统的流动风险控制措施带来了效率损失。
资金汇划和总行确认之间存在时间差提供作案机会并长时间不被发现。
第三方在线支付服务支付公司资金寄存风险、商户资金周转率、资金利息三大问题。
营业终了帐务管理日终控制相对一致的前后台轧帐时间通存通兑流水清单当日换人勾对复核。
临时挂账问题不能及时得到平衡的交易三天内临时帐户的情况必须明确时间窗口保证电子货币的最终清偿不同发行者之间的债权债务清算问题。
如果电子货币的发行者违约或破产,谁来承担电子货币所有者的损失。
对帐帐帐、帐据、帐款、帐实、帐表和内外帐等是否相符对帐不及时带来的风险不能进行明细对帐带来的风险使一些错账、假账不易被发现。
一些不法分子正是利用这点内外勾结,采取伪造票据、制造假账等手段盗取资金。
计算机信息系统采集数据手段缺陷和分析数据方法落后导致辅助决策信息的失真、滞后乃至错误而形成风险。
交易信息的传输机密性网上银行“网银大盗”“快乐耳朵”账号密码验证码匿名电子货币的隐私权问题监听内部使用的授权代码PIN被盗通过银行柜台前窥视等手段窃取用户资料技术协作机构可能获取ATM、POS机具的传输加密技术发卡行内部网络在受理银行卡业务时,便成为开放式网络,受到攻击的渠道较多交易信息的传输完整性在通过电讯网络进行转移过程中,以欺诈手段输入、截取或修改交易。
通信系统数据丢失的风险交易记录如果不编号就很容易被丢失所有汇划信息的编核押失效重放法:
多次重复电子交易信息传输失败或错误随机错误交易信息的存储定期后台备份,海量
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 信息 安全 风险
![提示](https://static.bdocx.com/images/bang_tan.gif)