【資訊安全】TM-E-1（Part 4）

本文接續上一篇文章，繼續介紹香港金融管理局（簡稱HKMA）發布的《電子銀行的風險管理》（簡稱TM-E-1）。

5. System and network security for Internet banking
5.1. Confidentiality and integrity of information
5.2. Internet infrastructure
5.3. Application system security
5.4. Threat monitoring and vulnerability assessment

第五條說明如何確保系統及網路的安全，並從四個面向進行檢視，包含資訊的機密性及完整性、網路架構、應用系統安全、威脅監控及弱點掃描。

電子銀行系統應採用加密技術，確保機敏資料（如密碼）在傳輸、儲存時的機密性。由於香港金融管理局（簡稱HKMA）並未要求認可機構採用哪一種加密演算法，認可機構不妨參考國內主管機關發布的《金融機構辦理電子銀行業務安全控管作業基準》。此外，目前業界普遍使用端點對端點加密（End-to-End Encryption）機制，認可機構可評估是否採納相關技術。最後，認可機構應制定金鑰管理程序。評估人員可以使用瀏覽器查看網站使用的加密協定版本。

認可機構應確保資料傳輸時的完整性（含客戶與電子銀行間、電子銀行與其他系統間），若電子銀行系統採用業界普遍使用的加密技術（如TLS），則該控制項較無疑慮。

認可機構應替電子銀行系統設計適當的網路架構（如建立非軍事區（DMZ）），並使用網路設備（如防火牆）管制連線。此外，認可機構應管制企業內部連線及網際網路連線，常見的做法是透過防火牆進行管理。最後，認可機構應建立修補程式管理程序，依據程序適時更新系統或設備版本。評估人員可以向認可機構徵求網路架構圖，以瞭解整體網路配置（如識別各個網路區域）。

認可機構應就系統設計、開發、測試、上線建立管理程序，系統在測試階段時應經過各項安全檢測，如滲透測試、原始碼檢測等。認可機構應於系統上線前，確認不存在中、高風險弱點。評估人員可以向認可機構徵求電子銀行系統的變更紀錄，以瞭解變更管理流程。

認可機構應具備識別異常及警示機制，常見的做法是建立資安事件管理平台（SIEM），收容伺服器、網路設備和資安設備的稽核軌跡日誌及事件日誌，並設定監控規則（如登入失敗）。當監控規則遭到觸發時，認可機構應依據內部程序，完成事件處理。評估人員可以向認可機構徵求事件處理紀錄。

認可機構應定期針對電子銀行系統及網路設備辦理弱點掃描，並依據內部程序完成弱點修補作業。業界普遍針對不同風險等級的弱點制定修補時限（如高風險弱點應於掃描後30天內完成修補），評估人員應瞭解認可機構是否於規範期限內完成修補作業。若窒礙難行（如該弱點實為業務所需），評估人員應瞭解例外管理辦法（如接受弱點）。評估人員可以向認可機構徵求弱點掃描報告，以及弱點管理程序。