关于城市商业银行信息安全风险评估的研究

关于城市商业银行信息平安风险评估的探讨随着计算机技术和网络技术的迅猛发展，人类正进入信息社会，信息技术被广泛的应用于各行各业。金融业是最具典型的一个行业，银行业务的发展对信息资源的依靠程度越来越高，而由于环境的开放和信息系统自身的缺陷，敏感信息的泄露、计算机病毒的泛滥、黑客的入侵，导致信息面临巨大的平安风险。解决信息平安问题不仅要从技术方面着手，更应当加强信息平安的管理工作。只有从技术、管理等不同的方面实行措施，建立信息平安管理体系，并有效的进行平安风险管理和限制，才能真正的保证信息系统和信息资源的平安。随着城市商业银行业务的不断发展，信息技术在银行内部扮演着越来越重要的角色。只有做好城商行信息平安的风险管理和限制工作，做到城商行信息系统能够持续、稳建、平安的运行、才能保证客户信息的平安、资金的平安。因此，城商行董事会和高管层也高度重视城商行的信息平安的风险管理工作。做好信息平安风险评估工作，是城商行信息平安风险管理工作的一项重要举措。本文以城市商业银行信息科技资产为基础，具体介绍城商行信息平安风险评估工作的方法、过程和步骤，供广阔读者参考。信息平安风险评估的过程参照行业内一些比较常用的风险评估方法及第三方询问公司的合理化建议，城市商业银行信息平安风险评估工作涉及以下阶段：评估打算、识别并评价资产、识别并评估威逼、识别并评估脆弱性、识别平安措施和输出结果、分析可能性和影响、评价风险、风险处理、编写信息平安风险评估报告。评估打算评估打算识别并评价资产识别并评估威协识别并评估脆弱性识别平安措施影响可能性评估风险风险处理编写信息平安风险评估报告评估打算信息平安风险评估打算是实施风险评估的前提，为了保证评估过程的可控性及评估结果的客观性，在信息平安风险评估前应进行充分的打算和安排，信息平安风险评估的打算活动主要包括：确定信息平安风险评估的目标；确定信息平安风险评估的范围；组建适当的评估管理与实施团队；进行系统调研；确定信息平安风险评估依据和方法；制定信息平安风险评估方案；获得最高管理者对信息平安风险评估工作的支持。1.信息平安风险评估的目标城市商业银行信息平安风险评估工作主要是为了保证行内与信息系统相关的信息资产能够达到城商行对信息平安的保密性、完整性和可用性的要求，为城商行业务的不断发壮大供应坚毅、稳定、平安的信息科技环境。2.信息平安风险评估的范围城市商业银行信息平安风险评估工作的评估的范围主要包括行内信息科技相关的组织、人员、制度、管理流程、软硬件系统、文档、数据、设备、网络、机房等信息科技资产。3.信息平安风险评估管理与实施团队此次风险评估工作城市商业银行成立了特地的风险评估团队，负责人为总行信息科技部总经理，实施成员包括总行风险合规部员工、网络银行员工和信息科技部员工。外部专家团队邀请上海天帷公司的高级询问顾问赐予指导。识别并评价资产1.识别资产在信息平安风险评估的过程中，应清晰的识别全部的相关的信息资产、不能遗漏，城市商业银行信息平安风险评估工作所识别的信息科技资产主要包括与信息科技相关的系统类资产和非系统类资产。目前城商行所实行的资产识别方式主要是手工记录表格的方式来完成。系统类资产主要包括：行内目前正在运用的各类信息系统（如核心系统、信贷系统、电子银行系统、OA系统等），以及系统所包含的业务信息、系统组件、配置信息、日志信息和备份数据。非系统类资产主要包括：文档数据类资产、应用软件类资产、硬件设备类资产、人力资源类资产、供应商类资产（如与城市商业银行有合作关系的外包厂商的相关信息）。2资产赋值城市商业银行信息平安风险评估工作在对信息科技资产识别完成得到具体的信息资产清单后，起先对资产进行评价，资产评价过程不是以信息科技资产的经济价值来衡量，而是以资产的保密性（C）、完整性（I）、和可用性（A）三个平安属性为基础进行衡量。资产在C、I、A上的要求不同，则资产的最终价值也不同。以下表1、表2和表3表示保密性、完整性和可用性的赋值表。表1资产保密性赋值表赋值标识定义5很高包含组织最重要的隐私，关系将来发展的前途命运，对组织根本利益有着确定性的影响，假如泄露会造成灾难性的损害4高包含组织的重要隐私，其泄露会使组织的平安和利益遭遇严峻损害3中等组织的一般性隐私，其泄露会使组织的平安和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成稍微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等表2资产完整性赋值表赋值标识定义5很高完整性价值特别关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严峻的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严峻，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成稍微影响，对业务冲击稍微，简单弥补1很低完整性价值特别低，未经授权的修改或破坏对组织造成的影响可以忽视，对业务冲击可以忽视表3资产可用性赋值表赋值标识定义5很高业务完全依靠该资产，一旦出现故障，业务完全中断4高业务依靠于该资产，一旦出现故障，业务不能顺当进行3中等业务部分依靠于该资产，一旦出现故障，业务将延期或质量下降2低业务依靠于该资产的程度不高，一旦出现故障，可寻求其他方式替代1很低业务对该资产没有依靠，出现故障，业务不受影响3.确定重要资产资产赋值完成之后，形成最终的《城市商业银行信息科技资产系统类识别表》和《城市商业银行信息科技资产非系统类资产识别表》，对于识别表中，各项资产经过C、I、A赋值后所得到的资产价值大于等于3的均认定为重要资产。四、识别并评估威逼完成资产的识别及评价后，紧接着要做的就是识别每项重要资产可能面临的威逼，即进行威逼识别，城市商业银行在对重要信息科技资产进行威逼识别时，主要采纳的是日志分析、人员访谈的方式。通过对网络设备日志、操作系统日志和应用系统日志的分析来发觉曾经发生过的威逼，获得威逼信息。通过对系统管理员访谈可以获得某系统曾经发生过的威逼。对于每项重要信息资产所面临的威逼假如依据来源进行分类，则可以分为：环境因素类、人为因素两大类。其中环境因素包括断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等以及软件、硬件、数据、通信线路等方面的故障；其中人为因素又包括恶意人员和非恶意人员。另外对于威逼假如依据表现形式分类，则可以分为：软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改及抵赖等种类。城市商业银行在对每项重要的信息资产确认其威逼时主要是基于表现形式进行的分类。完成重要资产所面临的威逼的识别后，须要对威逼进行评估赋值，赋值主要依据威逼出现的频率的凹凸分为很高、高、中、低、很低共五个等级，对应的值分别为5、4、3、2、1用来表示某项威逼对某一种重要信息科技资产的影响程度。五、识别并评估脆弱性在进行信息平安风险评估的工作过程中，仅有威逼还构不成风险，威逼只有利用了特定的脆弱性才可能产生信息平安风险，才能对资产造成影响。所以城市商业银行在进行信息平安风险评估的过程中，同时针对每一项重要信息科技资产找出了可被威逼利用的脆弱性。城市商业银行在脆弱性识别工作上主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层和应用层等各个层面的平安问题，管理脆弱性又分为技术管理和组织管理两个方面，前者与技术活动相关，后者与管理环境相关。如下表4所示。表4脆弱性分类列表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的爱护、机房区域防护、机房设备管理等方面进行识别服务器（含操作系统）从物理爱护、用户账号、口令策略、资源共享、事务审计、访问限制、新系统配置（初始化）、注册表加固、网络平安、系统管理等方面进行识别网络结构从网络结构设计、边界爱护、外部访问限制策略、内部访问限制策略、网络设备平安配置等方面进行识别数据库从补丁安装、鉴别机制、口令机制、访问限制、网络和服务设置、备份复原机制、审计机制等方面进行识别应用系统审计机制、审计存储、访问限制策略、数据完整性、通信、鉴别机构、密码爱护等方面进行识别管理脆弱性技术管理物理和环境平安、通信与操作管理、访问限制、系统开发与维护、业务连续性管理组织管理平安策略、组织平安、资产分类与限制、人员平安、符合性脆弱性识别完成之后，须要对脆弱性进行赋值，脆弱性赋值主要依据对资产损害程度、技术实现的难易程度，以及弱点流行程度，采纳等级方式对已识别的脆弱性的严峻程度进行赋值，对于城市商业银行某一个具体的信息科技资产而言，其技术脆弱性的严峻程度受到组织的管理脆弱性的影响，因此，城商行对于信息科技资产的脆弱性赋值还参考了技术管理和组织管理脆弱性的严峻程度。，赋值主要依据脆弱性严峻程序的凹凸分为很高、高、中、低、很低共五个等级，对应的值分别为5、4、3、2、1用来表示某项信息科技资产的脆弱性状况。六、识别平安措施虽然某项威逼利用了信息科技资产的某项脆弱性可以产生信息平安风险，但是假如针对该项资产已经实行了有效的平安措施，则该项资产产生信息平安风险的可能性便可以被降到最低。因此，城市商业银行在进行信息平安风险评估工作的过程中同时进行了针对信息科技资产的平安措施识别，通过平安措施的识别工作，城商行能够了有效的指出某项信息科技资产的平安措施是否存在不足，同时也避开了重复投资。城市商业银行主要从技术限制措施、管理和操作限制措施两方面进行平安措施的识别工作。并与信息科技的全部的重要资产进行一一识别，将识别出的结果连同识别出的威逼和脆弱性一同作为评估信息平安风险的重要因素。七、分析可能性和影响构成信息平安风险有四个要素：信息科技资产、威逼、脆弱性和平安措施，在识别了这四个要素之后，有什么风险就可以显现了。另外，评价风险有两个关键的因素：一是威逼对信息科技资产造成的影响，二是威逼发生的可能性。1．分析可能性依据威逼出现在频率及脆弱性状况，计算威逼利用脆弱性导致平安事务发生的可能性，即：平安事务发生的可能性=L（威逼出现频率，脆弱性）=L（T，V）其中，T表示威逼出现频率的值，V表示脆弱性的值，L表示威逼利用资产的脆弱性导致平安事务发生的可能性。2．分析影响依据资产重要程度（即资产的价值）及脆弱性严峻程度，计处平安事务一旦发生后的损失，即：平安事务的影响=F（资产重要程度，脆弱性严峻程度）=F（Ia,Va）其中，Ia表平安事务所作用的资产价值，Va表示脆弱性严峻程度，F表示平安事务发生后造成的损失。八、评估风险在完成了资产识别、威逼识别、脆弱性识别以及平安限制措施的确认后，将对重要的信息科技资产进行风险计算。通常我们会依据威逼利用资产的脆弱性导致平安事务发生的可能性，平安事务发生后造成的损失来计算风险值：即风险值=R（A,T,V）=R（平安事务发生的可能性，平安事务的损失）=R（L（T,V）,F（Ia,Va））其中，R表示风险计算函数，A表示资产，T表示威逼，V表示脆弱性。常用的风险计算方法有矩阵法和相乘法，城市商业银行在进行信息平安风险评估的过程中采纳的是相乘法来计算风险的值。相乘法主要适用于由两个要素值确定一个要素值的情形，即函数z=f（x，y），运用相乘法即：z=QUOTE或者QUOTE，最终要依据业界通用的风险等级划分表，如下表5风险等级划分表来确定最终的风险等级和风险值。表5风险等级划分风险值1～56～1011～1516～2021～25风险等级12345九、风险处理信息平安风险评估的结果计算完成之后，须要在城市商业银行信息科技风险管理小组的会议上探讨系统可接受的风险等级，再依据风险等级确