安全报告金融服务中的信息风险管理

金融服务中的信息风险管理Rodney Nelsestuen金融服务战略和IT投资2007年8月安全是现今全球金融服务行业所要求的健全而灵活的信息风险管理原则的核心。在业务具有特定速度和互联性的情况下，进行风险管理以确保安全已经成为许多金融服务机构（FSI）必需的核心竞争力。包括对人员、流程和技术进行全盘整合的综合风险管理，可以管理客户和业务信息的许多风险。此白皮书旨在面向金融服务行业的高级管理人员和领导者。它解决了金融机构迫切的需要，以全面的眼光来看待信息风险管理。为此，我们需要全面了解企业的信息需求和风险，随后构建出一个全方位管理这些信息的方案。除了在保护信息和满足规章遵循要求中扮演的防护角色外，安全惯例还可以增值金融机构的产品和服务。行政领导必须了解和正视以下几点。综合风险管理。为企业引入一个综合的信息风险管理方案意味着可以摒弃许多FSI处理风险时所采取的不协调和被动的应对方式。在发生安全事件和信息丢失、遭窃或滥用时，其声誉和品牌形象将受到威胁。而且，如果需要的信息不能够及时获取，FSI就会失去客户对他的信任，使其竞争力下降，同时它的品牌和整个行业声誉也将受到损害。价值增加。实行全面的安全和信息风险方案，可以确保业务信息有助于实现市场和商业目标，保持客户和业务重点，并建立机构在市场中的信心。总之，提供信息防护的信息安全策略、实施方案及其技术，也可以支持业务的进攻性战略。灵活防御。FSI必须要经常更新其安全实施方案和基本技术，以防御不断变化的欺骗机制和规章要求，并通过新的、日益增加的不同渠道安全、简便的提供服务。与管理良好的控制方式相结合使用，这些方案提供了健全而灵活的安全机制。安全和信息风险管理与活生物体相类似，金融服务机构是由一连串分散的部分和许多不可见的元素组成。信息是金融服务机构的血液，而安全是其免疫系统。好的安全机制有效的防止了FSI的DNA数据和信息发生改变和丢失。安全是贯穿所有业务和部门风险管理的基础，以确保信息能够在任何需要的时候及时获取。失败的信息安全所带来的结果将会是令人吃惊的。根据隐私权情报交换所提供的数据，自2005年以来，美国共有15900万的用户私人信息发生丢失、遭窃或滥用。记载的违规行为包括普通的电脑黑客，雇员欺诈，有组织的犯罪，社会工程，甚至简单的人为错误。对公众来讲，损失的方式并不重要，但他们期望公司能够采取合适的方式来保护客户的信息。必须由业务主导在不久以前，关于信息安全方面的讨论通常在技术层面上进行，在很大程度上将业务领导排除在外。网络违规和恶意攻击、拒绝服务、蠕虫病毒被认为是IT职员的工作范围。FSI领导只需简单的知道企业拥有“坚如磐石”般的安全基础，并且他们的技术是“难以渗透”的。这种景象被证明为是短视的，因为它暗示着好的安全机制是保护数据和信息资产的坚固不变的保护层。但更重要的是，安全机制除了坚固之外，还必须具有足够的灵活性。它必须能够满足所开展业务和环境的需求，同时它也必须能适应新的客户群体、发布渠道，以及新危险的出现、发展和变化。最终，业务领导开始认识到他们需要参与安全实施方案的建立过程，因为在若干不同的业务阵线上受到危险的是他们的业务数据和信息。初期所有修补潜在漏洞的努力变成了新增技术和策略的拼拼补补。所作的更改都是点对点的更改，而且这种更改并不协调一致，经常是在符合最低标准的驱动下进行，并且不能在整个机构中做到协调一致。这种安全机制中零零碎碎的方式一直被沿用下来，直到高级管理人员注意到IT成本在逐步上升，并开始质疑安全技术的投资回报为止。为满足财政和风险管理责任制的要求，现今领先的FSI在积极的寻求一个贯穿业务和运行方面风险管理的综合方案。然而，即使在不断的协调，仍然存在着一些挑战。例如：l 北美银行决定采用一个单一的入侵检测企业级解决方案，但却实行了四套不同的实施方案，每个实施方案又有不同的技术单元管理。尽管对于信用卡业务以及投资产品或储蓄等相对业务来说，技术配置应该根据需要而作出变化，但是在这个案例中，低效的管理方式导致了重复的许可费用，同时还会产生代价更为昂贵的人员成本的重复。该组织只是部分地减少了由于以前安全技术和策略的无序扩张而引起的效率低下问题。l 另一个全球性的机构有17个高级执行官，而他们的任务就是管理不同领域的风险。尽管他们有非常清晰的责任分工，但是这种方式仍然导致了高昂的人员、流程和技术的重复浪费。这些例子强调了在金融机构中整合信息风险管理的挑战性。风险可以划分成四个基本领域：战略、运营、财政和规章制度，正如图1的左部所示，它给出了FSI全面风险管理中风险的全局概念扩展图。图1全局整合风险管理，平衡重叠区域投资风险定价，交易对手风险，算法贸易，衍生产品，投资组合风险，流动性，信誉评级执行合并尽职调查换算风险整合风险成长风险市值运营风险营销计划BPO的风险，HR风险全球化BCP/DR分析风险法律，履约风险诉讼渠道风险履约风险经纪人/代理人风险了解你的客户，审计风险声誉风险策略风险业务流程风险渠道风险隐私BPO供应商市场风险市场风险经济风险法律风险国家风险竞争风险信誉风险特点能力，条件抵押品信贷限制资金欺诈风险外部欺诈身份偷窃消极/积极错误内部欺诈事件管理战略风险l 执行合并l 声誉风险l 市场风险金融风险l 市场风险l 投资风险l 信誉风险运营风险l 信誉风险l 法律、法规遵守风险l 欺诈风险法规风险l 欺诈风险l 运营风险l 声誉风险金融服务机构注释：BPO=business process outsourcing（业务流程外包）. HR=human resources.（人力资源） 图1BCP/DR=business continuity planning/disaster recovery（业务连续性规划/灾难恢复） 来源：TowerGroupKYC=know your customer（了解你的客户）该图例演示了信息风险管理的许多领域。机构必须要清楚的知道信息依存的地方，在企业信息分类系统的基础之上理解信息的重要性，并安排该领域内的专家开发合适的风险管理策略和流程。考虑到许多风险分类的重叠性，没有协调一致的解决方案将会导致在某些领域发生冗余，而在其他领域出现严重的断层。所收集到的有欺诈企图的信息可能由FSI中不同的技术、不同的部门和人员来管理。而他们之间缺乏协调可能会导致风险管理中出现断层。例如，网络系统中的入侵检测信息必须要与欺诈检测和管理系统互相协调配合，才能对事件有一个清晰的视图并对它进行有效的管理。在根据规则和管理报告的需求而将数据从一个系统移动到另一个系统中时，使用不同的技术也会导致不必要的开销。图例中左半部分所示的内部风险的四个基本类型（战略、运营、财政和规章制度）可以进一步划分成右半部分所示的八个区域。一个风险管理的整体方案能使这些领域内的专家各自发挥他们的作用，使他们的工作不会因为重复而浪费精力。这就要求有一个信息分类和管理的综合策略，能够透明的进行业务管理。改进的风险管理的关键点改进的风险管理中的几个关键改变了解信息和数据存在的地方并不是所有的FSI都有一个好的发现数据的方法，特别是那些经历了并购后增加了大量系统和应用的企业。另外，重要的数据总是存在于职员的工作表和文档中，它们是不可获知的公司财产，缺乏已建立的安全系统和实施方案的保护。如果解决方案缺乏数据发现的能力，安全解决方案的开发商可能需要与数据和信息发现技术的提供方一起协同工作。有时，重要的信息只存在于人们的脑中。获取并管理这些智力财产需要建立合适的文档，而这些文档必须根据策略制定。策略依附标准必须要引入到工作描述和性能管理系统中。监视整个FSI的数据、信息和系统访问监视应当是自动、实时和不间断的，如果传输的数据面临风险，系统应当能产生强大的告警。事件管理工具应当能在多个级别上方便地获取。除了拥有能管理可疑或切实的安全违规行为详细信息的工具外，在发现和管理这些事件的时候，管理方案必须要有对这些事件的高层次的认识。风险监视功能应当可以对活动事件进行全局监视和基于风险级别对优先级事件进行监视。保护信息要保护用户的信息，FSI需要使用好的业务实施方案，推行鼓励系统、可靠的访问数据的策略。除安全技术外，策略必须要处于就绪状态，能够随时的通过多种设备获取，这样投入到策略开发中的辛勤劳动才能取得可喜的成果。确保策略能够得到遵循需要用户了解并尊重信息、安全和风险管理的策略。一种手段就是当用户在不知情的情况下做了一些超出他们安全区域的操作时，让系统弹出策略的提示信息。弹出框可以设计成覆盖范围很广的提示信息（例如，列出获取授权访问的步骤），也可以是简单的增强安全策略。确保信息可获取防止信息被滥用还不足够。确保数据在正确的时间能被正确的人所获取同样的重要，以更有效的为业务目标和机构的目标服务。为此，信息安全策略还应当包含信息可用性的标准和目标。制定有效的备用计划实时事务和随时访问是金融服务的核心要求。因此业务连续性的规划因其必要性开始重新显现。硬件和软件灾难恢复的方法和流程处于就绪状态并随时可用，并且在大多数的情况下已被标准化，具有很高的效率。如果公司还没有建立并测试确保业务连续性的操作流程，并且还未对人员作流程的培训，那么在由于自然或人为灾难或者技术故障导致业务的降级或完全中断时，系统和应用的可用性就无从谈起。从中央化的服务单元移动到在家办公甚至是移动环境中需要规划来自大量访问点、渠道和提供商的访问和安全。这些连接需要定期的进行测试。l 在9/11灾难性事件中，Cantor Fitzgerald，这家证券行业中的证券交易公司，在世贸中心坍塌时失去了它的数据中心以及与雇员之间的连接。因为这个公司在新泽西还有一个并行的数据中心，它运行于实时模式并和纽约的站点交替处理信息，所以在数据中心受到影响时就完成了灾难恢复。尽管如此，业务还是发生了中断。它的两个私有网络都经过世贸中心的办公室。公司只好同时为不同地点工作的雇员和客户都建立了安全连接。因为Cantor Fitzgerald在新泽西和伦敦办公室之间有网络连接可以平衡Internet连接，所以该公司在包括康柏、Verizon、思科、微软和UPS PaineWebber在内的许多公司的帮助下，在48小时内恢复了业务。综合风险管理要整合它的人员、策略、流程和IT，一个公司必须要在一个整体架构内把所有的这些元素协调起来。图2显示了被称为综合风险管理（IRM）的企业级风险管理方案中的一个重要部分，也仅仅只是其中的一个重要部分IT基础设施图2 用业务和技术架构整合信息风险管理数据交易规则模型报告企业战略业务流程应用IT基础架构业务目标综合的风险管理要求整合企业中的所有元素，从战略到基础架构，从报告到数据冒险和受赞扬的决定包括企业运营的业务和市场战略通过消除责任区域之间的缺口以及增强对法规遵守的重视，运营得到了改善。通过来减少重复，增加部门和个人的责任，从而产生了效率控制确保了架构保持其位图2来源：TowerGroup不关心业务流程和企业的业务战略，应用不可能是安全的。一些FSI以一种“高度接触”的理念来进入市场，它更多地强调与用户之间的交互。而其它一些FSI则寻求做一个低成本或事务性的供应商。高度接触供应商在致力于向客户展示他们特有金融需求的高水平知识并追求能满足特有偏好的高要求时，会向内部或外部用户展示一组丰富的客户数据。而基于事务的FSI则更关心移动数据，因为速度和效率是商业价值主张中的一部分，而这种主张则提出了自己的风险形式。综合风险管理同时包括机构在所有层次上的业务需求和技术架构。综合方案建立了一个平衡的风险管理方式以及清晰的责任分工。组织壁垒的消除更好的覆盖了内部和外部风险，包括欺骗和信誉风险。如图2所示，IRM整合了许多战略、流程、应用和IT基础设施等组织元素以更好的执行日常业务。IRM还使用了战略性分析以提前预测并改进商业结果，并通过提高数据质量和遵循内部和外部要求来改进控制。最终，IRM通过更强大、更精确、更及时的报告改进了业务各方面的透明度和可视性。随着规章制度和业务风险的改变，业务经常使用新的风险管理类型做出反应。这种方法所产生的问题就是它创建了一个新的管理功能，并经常导致代价昂贵的精力和资源的重复浪费。IRM要求贯穿于整个FSI所有业务和运营阵线上的所有风险类型互相协调配合。相比于综合的风险管理方案，机构如果存在一块未协调配合的风险区域则更有可能发生安全违规事件。IRM实行了控制和处理以减少来自外部的潜在违规事件。这包括由受信任业务合作伙伴引发的FSI信息丢失的风险。以下是两个示例。l 2005年ChoicePoint,一个消费者信息供应商，被诈骗公司骗取了163,000个客户的信息。这些公司以合法组织的身份购买这些客户的合法信息。这个当代复杂的社会案例导致了800起身份信息盗窃案。联邦贸易委员会（FTC）在国内惩罚中罚了ChoicePoint一千万美元，并向消费者赔偿了5百万美元。对这个公司的欺诈行为所产生的后果已经远远超出了罚款与惩罚的意义。FTC还要求它执行代价昂贵的详细流程，以及详尽的定期审计，所有的这些都增加了ChoicePoint的安全成本。l 2007年，富达国家信息服务公司透露，它的附属公司Certegy Check Services公司成为了前雇员实施内部欺诈的受害者。该罪犯出于商业目的，将接近230万消费者的银行和信用卡信息出售给外部公司。信息的滥用并不被认为包含欺诈或身份信息盗窃，但这种违规行为的长期效果还不得而知，而且也不能保证不会发生信息的滥用。这些例子强调了金融服务机构需要了解他们业务对象的必要性。FSI必须确保所有业务合作伙伴都有策略和技术，以保护他们所处理的所有机构的数据。总之，FSI必须要求供应商和受信任的业务合作伙伴执行与自己的风险管理方案相对应的流程。法律和规章环境众多的全球监管机构给金融服务机构带来了挑战，他们必须要符合各种各样快速变化的规章制度的要求。在欧洲，欧洲数据保护指令要求所有FSI确保其安全方案能防护个人数据的意外丢失，并能防止欺诈性的行为。该指令还提出了因疏忽发生的数据丢失以及腐败或其它对数据的损害行为。在美国，联邦金融机构检查委员会（FFIEC）将安全视为一个发展的领域并发布了新的要求和指示，如推荐的两要素认证，以应对业务改变所面临的威胁。用户认证在全世界，越来越多的FSI都对通过电话或在移动环境中进行的在线业务采用了更强大的认证要求。例如，在2005年，香港对三方和其它“高价值”的金融交易采取了更强大的认证方式，以减少钓鱼攻击的危险。新加坡则在2005年在高价值交易中采取了两要素认证，并随后在2006年末将该要求扩展到所有的在线交易中。这些要求要远超过那种简单传统的两要素认证方式，传统的两要素验证是通过不同的渠道对拥有的卡和个人验证码进行验证的方式。此类“带外”认证可以是一段文本消息，甚至可以是在登录时所产生的电话呼叫。另一种方式则是由用户本人携带的电子令牌这种一次性的密码。在许多国家，包括美国在内，许多用户对这个更为复杂的两要素认证流程的误解可能会限制他们的效率和采用。消费者可能会认为相比于那些要求他们参与到安全机制的另一个步骤中的金融机构，与那些没有采用两要素认证的FSI打交道更为容易。这可以说是一个错误的优势，然而消费者却将这个未被采用的、强健的行业法律和规章制度要求推向了相反的方向。另一种简便的用户认证解决方案使用了生物测定技术，包括指纹技术和视网膜扫描或面部扫描技术，这种用户认证方式必将会随着时间的推移而得到普及。在生物测定失败的情况下（如，指纹扫描器有污渍），可能会仍被要求进行登录。因此，生物测定解决方案将会成为两要素认证解决方案中的其中一个要素。最初，消费者可能会将生物测定视为对身体的侵犯而感到不舒服。另一种替代的安全解决方案依靠对消费者习惯的分析来确定发出访问请求的用户就是它所声称的那个人。这种基于风险的认证过程使用分析软件来测量请求和观察到的客户信息以及在线交易中捕获到的其他数据，并将它们与设定客户的特征行为模式相比较。客户的IP地址、设备特征和存储的证书都可以用来建立和验证用户的身份，以作为较高级别的确认信息。在这种方法中，策略为新增安全实施方案的部署建立风险参数。领先安全技术供应商所提供的解决方案已经具备了在不同级别上设置策略参数的能力，并能在需要执行这些参数的时候自动进行检测。管理和遵循安全机制有几个互相关联的层。在最重要的层级上，安全机制专注于业务和客户所面临的实际风险。比较理想的是，这些风险可以用FSI自己开发的策略和管理结构得到有效的管理。对这些风险进行管理也是遵循规章制度要达到的目的，这是目前行业中的真实反映。尽管在规章制度的实体之间会发生重叠，但在规章制度的实施过程中，不同机构经常会对他们做出不同的解释。图3显示了任何金融服务机构在对规章制度、监管机构、内部标准和最终的风险自身做出响应时所面临的挑战。图3 FSI管理 内部策略 金融风险 法规风险 运营风险 战略风险安全机制有助于遵守一系列规章制度、调控、内部策略和信息本身。面对日益复杂的攻击，新的技术，以及新兴风险类型的挑战，保护信息财产的安全需要一个全面的方法。规章制度、监管机构、策略和风险保险监管图3来源：TowerGroup图3演示了对信息安全感兴趣的许多参与机构。图的下半部分例举了能对信息、安全和风险管理产生影响的监管机构和规章制度。除了FFIEC之外，美国的规章制定机构还包括货币审计办公室（OCC）、储蓄管理局（OTC）、联邦储蓄保险公司（FDIC）、安全证券交易委员会（SEC）和全国证券交易商协会（NASD）。除了美国爱国者法，美国的规章制度还包括银行保密法（BSA）和Gramm-Leach-Bliley法隐私条款，以及Sarbanes-Oxley法。美国之外的规章制度包括英国市场滥用保护、欧洲委员会的金融工具市场条例、国际清算银行巴塞尔第二指导，以及欧盟的偿付能力第二倡议。然而，规章制度的要求只是简单的将FSI考虑自己利益所应有的行为和策略形式化。这样，在规章制度和监管机构的上方，图中显示了FSI的内部策略和流程。当然，没有一个规章制度，监管机构或FSI的策略是为了追求自己的利益。相反，它是为保护顾客和机构它们自身而服务的。在这个业务重点上，我们可以把信息安全的回报理解成获取市场成功的不同贡献方式。改进的信息安全机制的市场优势图4中将保护信息的好处和市场优势概括成“SECURE”这个容易记忆的单词。安全和风险管理为FSI的市场目标提供了支持，特别是取得组织发展并进入新市场的目标。图4 Secure客户信任Execute客户信心Control客户服务Ubiquitous多种渠道Return市场分额的增加Excellence市场差异化SECURE：综合安全和信息风险管理的市场价值图4来源：TowerGroup信任和信心图4中所概括的概念提供了一个管理的架构，用来考虑安全机制的价值，以及针对安全和风险管理的整体方案。这个更大型的架构中的两个元素直接影响了市场是如何看待这个组织的，同时，这两个元素对培养组织的成长都非常的关键。l 信任是客户对金融机构及其雇员、产品和服务的可靠认可。l 信心是客户对金融机构竞争力的信任。简而言之，信任意味着客户相信FSI能根据它所拥有的信息做正确的事。信心意味着客户相信FSI有能力保护他们的信息免受不正当企图的损害。同时具有信任和信心非常重要。在针对欧洲客户的一次调查结果表明，65%的人在对他们的信息安全失去信任和信心后，会认真考虑放弃他们的金融机构。获得客户信任和信心的良好声誉，使得FSI能更好的进行定位，以达到其市场目标。客户满意可以对信息安全技术和实施方案进行构造，以对业务提供坚强的支持，并直接对公司的成长做出贡献。认证系统收集的客户访问和使用的模式可以增加方案的价值，而不仅仅是扮演一个检测和阻止未授权访问的防护角色。客户对限制区域的访问要求可以是以下需求中的一个：l 培训和信息需求。培训可以提高这些客户的使用经验和满意度。如果没有培训，客户可能会因为缺少相关的知识，而不断尝试登陆错误的系统和应用，从而对方案很不满意。l 在客户试图访问当前没有相应产品或服务的区域时，产品和服务就出现了交叉销售或向上销售的新机会。理解用户使用模式，引导资源向周期性随时间改变的客户习惯转换的方向，可以帮助FSI提高他们的客户服务水平。不断变化的环境带来的挑战不仅仅只有老客户的行为会发生改变，新的客户群体、市场和发布渠道都在不断发生着变化。信息安全策略、流程和技术也需要相应的进行改变。例如，私人信息的期望安全状态受到了虚拟社会网普及的挑战，它鼓励用户交互共享信息。新兴的使用习惯和在线操作复合了对信息安全的要求，以在金融服务中同时扮演进攻性和防御性的角色。一个单用户的界面可以同时面向多个应用以及信息和数据源，尤其在Web2.0中，随着Web成为业务平台，这种趋势将大为流行。从传统新兴市场和当前细分市场的转移来看，信息安全实施方案一个日益重要的趋势就是人口的老化。在美国，快速增长的65岁以上的人口控制了将近70%的金融资产。有两个原因使这群人特别容易受到欺诈和偷窃。首先，相比于年轻一代，很多老年人很少具有使用电子渠道的经验，因此他们更容易受到网络钓鱼等技术的侵害。其次，庞大的投资组合使他们成为高价值的目标。在这么大的风险之下，欺诈预防与欺诈检测同样的重要。欺诈预防要求有一个安全机制的整体方案，它能够同时涵盖技术和非技术的安全实施方案，包括客户培训。不同级别的用户培训是所有金融服务中信息安全机制的至关重要的一个环节。防御和进攻的安全价值图5列出了防御安全机制和进攻安全机制中的一些关键角色。图5 安全业务：整体价值进攻l 确保正确的用户在正确的时间进行访问l 在市场中建立信任l 建立客户对机构处理信息能力的信心l 观察客户的行为以确定随后产生的需求l 评估客户群体以建立与高危群体的关系防御l 阻止对系统和信息未经授权的访问l 阻止信息的滥用和偷窃l 作为基本手段服务于欺诈和风险管理l 保护智力财产l 满足法规遵守要求图5来源：TowerGroup应对新威胁的灵活基础结构在新出现的威胁中包含了关于雇员行为的新的安全问题。现在Internet已经成为业务和资源不可缺少的一种工具，那些年轻的员工，包括“千禧员工”（70年代末出生的人，在千禧年达到工作年龄），经常在桌面上打开包括视频和音频流在内的多个网站，将他们的工作和生活中的爱好结合起来进行。尽管传统的管理者可能会对这些事情感到吃惊，并认为应该限制对外部站点的访问，但毫无疑问，新的工作方式的出现是一股不可忽视的力量。用户还使用更新的“便利”技术，如通用串行总线（USB）设备，或拇指设备。这些使原有的威胁呈现出了一种新的形式，特别是以往通过e-mail附件的方式来传播的病毒和蠕虫。当客户或雇员在安全信息系统中处于在线状态时，如果他们的计算机启用了“自动运行”的功能，这些便利设备的使用将会导致严重的问题。要成功的适应新威胁的不断演化，安全机制必须提供一个灵活的基础架构，并能根据客户习惯和改变以及由此引起的FSI市场细分趋势的改变而作出响应。不管发生了多大的改变，信息安全的基本概念仍然是有效的。当进入安全系统时，防护角色首先对它进行阻止，如果是违规行为则对它作出有效的反应。图6描述了安全系统中防护性角色的关键元素。图6 响应防止控制响应的质量决定了客户的信任和信心理解风险的范围是成功的基础管理违规的安全机制在内部和外部实行IT安全机制响应调查检测使用调查取证建立稳健但灵活的策略目标评估经常培训的雇员数据安全：管理架构保护评估图6来源：TowerGroup如图中所描述，建立数据安全管理架构的流程非常的直观。然而，对于金融服务中的许多关键问题，执行的质量将最终确定FSI在处理安全问题方面究竟做的有多成功。对风险的理解、对人员进行策略、流程、和技术的培训以及发生欺诈行为时的高效响应都是一个成功数据安全管理的基本原则。这就是高级管理应该关注的地方，也是信息安全系统用安全手段能达到不同效率级别的原因所在。平衡安全机制的成本好的安全机制能够降低信息的损失，也可以降低金融损失的风险。在企业内部整合信息安全机制还可以帮助FSI减少冗余并提高风险管理的效率，从而降低成本。另外，它可以帮助确定资源严重不