鈕玉明

關(guān)鍵詞 信息科技風(fēng)險(xiǎn)管理 三道防線 研究

近年來(lái)，隨著科技的發(fā)展和應(yīng)用，各行各業(yè)紛紛開(kāi)展“互聯(lián)網(wǎng)+”以及數(shù)字化轉(zhuǎn)型，使得金融科技迅猛發(fā)展，企業(yè)的業(yè)務(wù)運(yùn)營(yíng)、經(jīng)營(yíng)管理更加依賴(lài)信息科技服務(wù)。利用信息科技可以提升企業(yè)的經(jīng)營(yíng)效率，同時(shí)也帶來(lái)了相應(yīng)的風(fēng)險(xiǎn)，如數(shù)據(jù)泄露、網(wǎng)絡(luò)安全、系統(tǒng)中斷等風(fēng)險(xiǎn)事件都將對(duì)企業(yè)經(jīng)營(yíng)與聲譽(yù)帶來(lái)嚴(yán)重?fù)p失，尤其是當(dāng)前網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，APT 攻擊活動(dòng)頻繁，使得信息科技風(fēng)險(xiǎn)發(fā)生的可能性、損害性大大增加，信息科技風(fēng)險(xiǎn)管理成為企業(yè)運(yùn)營(yíng)過(guò)程中必須考慮的重要環(huán)節(jié)。本文分析了“三道防線”管理體系在企業(yè)的應(yīng)用方式，建立信息科技風(fēng)險(xiǎn)管理系統(tǒng)，探索通過(guò)技術(shù)方法有效提高企業(yè)的信息科技風(fēng)險(xiǎn)管理水平的途徑。

1信息科技風(fēng)險(xiǎn)管理概述

1.1信息科技風(fēng)險(xiǎn)定義

針對(duì)信息科技風(fēng)險(xiǎn)，國(guó)際上有三種主流定義：一是ISO 國(guó)際標(biāo)準(zhǔn)化組織給出的邏輯定義———信息科技風(fēng)險(xiǎn)是一種給定的威脅對(duì)某項(xiàng)信息科技的脆弱方面進(jìn)行攻擊，造成整體組織損害的潛在可能性，信息科技風(fēng)險(xiǎn)可描述為該威脅發(fā)生的概率與其所能造成的損失的乘積，即“威脅發(fā)生概率×造成的損失= 風(fēng)險(xiǎn)”，也可以轉(zhuǎn)化為“風(fēng)險(xiǎn)威脅×風(fēng)險(xiǎn)管控脆弱性=風(fēng)險(xiǎn)”;二是NIST 做出的技術(shù)化定義———信息科技風(fēng)險(xiǎn)是指對(duì)信息系統(tǒng)脆弱方面攻擊，并對(duì)組織造成損失的可能;三是ISACA 在應(yīng)用角度做出的偏向于管理的定義———信息科技風(fēng)險(xiǎn)就是對(duì)組織內(nèi)使用和操作應(yīng)用信息科技所造成的業(yè)務(wù)風(fēng)險(xiǎn)。廣義的信息科技風(fēng)險(xiǎn)強(qiáng)調(diào)因技術(shù)漏洞、人為操作以及其他各種因素導(dǎo)致的業(yè)務(wù)、聲譽(yù)、生命、財(cái)產(chǎn)等各類(lèi)風(fēng)險(xiǎn)。狹義的信息科技風(fēng)險(xiǎn)強(qiáng)調(diào)系統(tǒng)運(yùn)行階段產(chǎn)生的風(fēng)險(xiǎn)，指由于管理、技術(shù)或外部事件對(duì)系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運(yùn)行造成威脅的風(fēng)險(xiǎn)[1] 。

1.2信息科技風(fēng)險(xiǎn)分類(lèi)

信息科技風(fēng)險(xiǎn)主要分為技術(shù)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)。技術(shù)風(fēng)險(xiǎn)指計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)等系統(tǒng)引發(fā)的不利情況，包括系統(tǒng)崩潰，安全缺陷、軟件漏洞、硬件故障、人為操作、災(zāi)備不足、性能不足、監(jiān)控疏漏等技術(shù)支持不到位等;管理風(fēng)險(xiǎn)主要包括管理制度不完善、系統(tǒng)關(guān)聯(lián)復(fù)雜、人員技能不足、項(xiàng)目管理不到位等。

1.3信息科技風(fēng)險(xiǎn)特征

信息科技風(fēng)險(xiǎn)特征包括影響范圍大、不確定性高、防范手段不夠、損失計(jì)量困難、易擴(kuò)散等。潛在的威脅加上風(fēng)險(xiǎn)管控的脆弱性便可能造成服務(wù)質(zhì)量下降、資金賬務(wù)差錯(cuò)及資金損失、敏感數(shù)據(jù)泄露、不符合監(jiān)管要求和法律規(guī)定等風(fēng)險(xiǎn)[2] 。因信息科技風(fēng)險(xiǎn)的危害性和不可控性，且與其他風(fēng)險(xiǎn)區(qū)別較大，有其獨(dú)立性和重要性，應(yīng)該與其他風(fēng)險(xiǎn)的管理分開(kāi)，單獨(dú)管理。

1.4信息科技風(fēng)險(xiǎn)管理目標(biāo)和過(guò)程

信息科技風(fēng)險(xiǎn)管理目標(biāo)主要有四個(gè)方面：一是強(qiáng)化對(duì)信息資產(chǎn)的保護(hù)能力，確保業(yè)務(wù)的持續(xù)穩(wěn)定運(yùn)營(yíng);二是提升業(yè)務(wù)創(chuàng)新的支持能力，關(guān)注新技術(shù)新環(huán)境下信息安全威脅;三是滿足監(jiān)管政策的要求，提高合規(guī)性要求的落地能力;四是防止數(shù)據(jù)泄露，確保數(shù)據(jù)安全，避免數(shù)據(jù)泄露及篡改造成的聲譽(yù)或資金損失[3]。

信息科技風(fēng)險(xiǎn)的管理主要明確管理內(nèi)容和管理目標(biāo)，進(jìn)行風(fēng)險(xiǎn)識(shí)別，管理已知風(fēng)險(xiǎn)，并對(duì)未知風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)預(yù)防和資源儲(chǔ)備，總結(jié)來(lái)看是找出風(fēng)險(xiǎn)，想辦法處置風(fēng)險(xiǎn)，總結(jié)風(fēng)險(xiǎn)控制效果，目標(biāo)是少出事、不出事。

2信息科技風(fēng)險(xiǎn)管理系統(tǒng)設(shè)計(jì)

2.1業(yè)務(wù)需求分析

為保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行，應(yīng)對(duì)可能發(fā)生的各種科技風(fēng)險(xiǎn)，需建立包括開(kāi)發(fā)運(yùn)維、風(fēng)控、審計(jì)在內(nèi)的信息科技風(fēng)險(xiǎn)管理“三道防線”[4] ，構(gòu)建有效的風(fēng)險(xiǎn)防控框架體系，具體設(shè)置如下。

第一道防線：為系統(tǒng)建設(shè)及運(yùn)行單位，負(fù)責(zé)運(yùn)維管理、開(kāi)發(fā)管理、基礎(chǔ)環(huán)境建設(shè)、制定應(yīng)急預(yù)案，用技術(shù)手段加強(qiáng)管理，優(yōu)先恢復(fù)系統(tǒng)對(duì)外服務(wù)。在信息系統(tǒng)開(kāi)發(fā)和運(yùn)行工作中識(shí)別風(fēng)險(xiǎn)、報(bào)告風(fēng)險(xiǎn)并處置風(fēng)險(xiǎn)。

第二道防線：由科技管理部門(mén)或風(fēng)險(xiǎn)管理部門(mén)承擔(dān)，負(fù)責(zé)建立流程管理機(jī)制，厘清風(fēng)險(xiǎn)指標(biāo)和責(zé)任，建立風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和網(wǎng)格化責(zé)任體系，進(jìn)行風(fēng)險(xiǎn)控制，監(jiān)督第一道防線的風(fēng)險(xiǎn)管理落實(shí)情況。

第三道防線：為審計(jì)合規(guī)部門(mén)，通過(guò)對(duì)第一、第二道防線進(jìn)行獨(dú)立、客觀的評(píng)價(jià)和審查，監(jiān)督各條線工作落實(shí)情況，對(duì)相關(guān)流程和風(fēng)險(xiǎn)控制措施的有效性、合理性開(kāi)展審計(jì)，提出意見(jiàn)、建議，并督促整改，落實(shí)風(fēng)險(xiǎn)的事后控制。

“三道防線”框架如圖1 所示。在“三道防線”框架下，信息科技活動(dòng)、風(fēng)險(xiǎn)管理活動(dòng)、審計(jì)活動(dòng)有計(jì)劃、有規(guī)則的相互協(xié)同配合，實(shí)現(xiàn)信息科技部門(mén)單一管理向協(xié)同管理轉(zhuǎn)變，實(shí)現(xiàn)感性的信息科技風(fēng)險(xiǎn)管理向理性的、量化的風(fēng)險(xiǎn)管理轉(zhuǎn)變。

2.2系統(tǒng)功能分析

2.2.1功能需求

信息科技風(fēng)險(xiǎn)管理系統(tǒng)主要功能面向第一、二、三道防線，使用B/ S 結(jié)構(gòu)，提供GUI 服務(wù)供操作人員使用，主要的功能需求是數(shù)據(jù)接入、風(fēng)險(xiǎn)識(shí)別和分析、風(fēng)險(xiǎn)處置、報(bào)告及統(tǒng)計(jì)，具體描述如下。

數(shù)據(jù)匯集接入：匯總軟硬件資源信息、外部風(fēng)險(xiǎn)信息匯集、系統(tǒng)監(jiān)控運(yùn)行信息，監(jiān)管指揮信息。

風(fēng)險(xiǎn)識(shí)別、分析：設(shè)計(jì)風(fēng)險(xiǎn)量化表，對(duì)匯集的風(fēng)險(xiǎn)原始數(shù)據(jù)進(jìn)行識(shí)別，明確風(fēng)險(xiǎn)源頭，分析風(fēng)險(xiǎn)成因;能夠進(jìn)行風(fēng)險(xiǎn)概率分析;能夠進(jìn)行影響面和損害程度分析;能夠給出處置提示。

風(fēng)險(xiǎn)處置：能夠?yàn)轱L(fēng)險(xiǎn)分配責(zé)任人，給出建議方案，責(zé)任人在處置后給出處置結(jié)論。

報(bào)告及統(tǒng)計(jì)：按需要形成風(fēng)險(xiǎn)事件統(tǒng)計(jì)報(bào)表及處置情況報(bào)告。

其中，風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)處置主要為第一道防線服務(wù)，風(fēng)險(xiǎn)分析評(píng)估為第二道防線服務(wù)，風(fēng)險(xiǎn)報(bào)告主要為第二、第三道風(fēng)險(xiǎn)服務(wù)。

2.2.2非功能需求

系統(tǒng)部署在企業(yè)內(nèi)網(wǎng)環(huán)境，主要面向技術(shù)、風(fēng)險(xiǎn)管理人員，用戶數(shù)量有限，因此非功能性需求主要是界面友好性、系統(tǒng)可靠性以及響應(yīng)時(shí)間方面，系統(tǒng)應(yīng)保持99%可用率，RTO 不超過(guò)2 小時(shí)。系統(tǒng)界面設(shè)置應(yīng)該簡(jiǎn)單清晰，具備友好性，功能用戶具有相應(yīng)的角色、權(quán)限，可針對(duì)不同用戶開(kāi)放不同的功能。系統(tǒng)應(yīng)考慮數(shù)據(jù)備份，保證數(shù)據(jù)完整性，防范數(shù)據(jù)丟失、泄露，在數(shù)據(jù)遭到破壞的情況下可以進(jìn)行數(shù)據(jù)恢復(fù)。

2.3系統(tǒng)架構(gòu)設(shè)計(jì)

系統(tǒng)應(yīng)用架構(gòu)如圖2 所示，客戶端采用B/ S 架構(gòu)，應(yīng)用技術(shù)框架基于Spring Framework/ Boot 開(kāi)發(fā);應(yīng)用部署環(huán)境是“X86 服務(wù)器+ RHEL7.6 操作系統(tǒng)（兼容Centos 7.6 等）+ JDK8”，數(shù)據(jù)庫(kù)采用MySQL 社區(qū)版。遵循自主可控的原則，使用目前業(yè)內(nèi)廣泛使用的成熟開(kāi)源技術(shù)組件與國(guó)產(chǎn)化技術(shù)。

系統(tǒng)關(guān)鍵技術(shù)點(diǎn)是業(yè)務(wù)系統(tǒng)運(yùn)行指標(biāo)的收集，風(fēng)險(xiǎn)發(fā)現(xiàn)的及時(shí)性是風(fēng)險(xiǎn)管理的重要方面，為及時(shí)、有效發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)存在的運(yùn)行風(fēng)險(xiǎn)，則需要實(shí)時(shí)同步獲取業(yè)務(wù)系統(tǒng)相關(guān)日志，通過(guò)分析日志，獲得相應(yīng)風(fēng)險(xiǎn)指標(biāo)。

為達(dá)到以上目的，本系統(tǒng)使用“rsync+inotify”的方式實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)日志服務(wù)器的日志文件同步。rsync 能夠?qū)崿F(xiàn)文件同步功能，且具有高安全性、快速、支持增量的特性，但同時(shí)也存在以下不足：一是使用rsync 進(jìn)行的差量傳輸需要掃描對(duì)比全量文件，在日志量不斷增大后，掃描過(guò)程耗時(shí)較長(zhǎng)，且增量文件只是很小的一部分，使得數(shù)據(jù)同步效率低;二是rsync 無(wú)法實(shí)時(shí)監(jiān)測(cè)文件系統(tǒng)的變化，不能做到數(shù)據(jù)變化后的即時(shí)同時(shí)，而針對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行數(shù)據(jù)的風(fēng)險(xiǎn)監(jiān)控即時(shí)性要求較高，因此rsync達(dá)不到精準(zhǔn)的要求。而Linux 系統(tǒng)下具有inotify 機(jī)制，能夠較好的解決文件監(jiān)控問(wèn)題，通過(guò)inotify 可以實(shí)施監(jiān)控文件系統(tǒng)的增、刪、改等各種細(xì)微變動(dòng)。因此，通過(guò)“rsync+inotify”的方案，可以實(shí)時(shí)監(jiān)控到業(yè)務(wù)系統(tǒng)日志文件的變化，當(dāng)有文件變化后就觸發(fā)rsync 同步，實(shí)現(xiàn)數(shù)據(jù)源系統(tǒng)到目的系統(tǒng)的及時(shí)同步。

2.4系統(tǒng)功能模塊

系統(tǒng)主要分為數(shù)據(jù)接入模塊、風(fēng)險(xiǎn)管理中心模塊、風(fēng)險(xiǎn)統(tǒng)計(jì)報(bào)告模塊。各模塊主要功能如下。

數(shù)據(jù)接入模塊：本模塊收集并存儲(chǔ)原始數(shù)據(jù)和配置數(shù)據(jù)。原始風(fēng)險(xiǎn)數(shù)據(jù)包括匯集企業(yè)信息化資源信息、監(jiān)控告警信息以及各類(lèi)指揮預(yù)警信息。信息化資源包括業(yè)務(wù)系統(tǒng)信息、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)、安全設(shè)備、配置信息、線路信息、人員信息、辦公設(shè)備、加密設(shè)備等。監(jiān)控告警信息包括來(lái)自業(yè)務(wù)系統(tǒng)的監(jiān)控指標(biāo)以及運(yùn)行指標(biāo)信息。指揮預(yù)警信息包括來(lái)自公安、網(wǎng)信、監(jiān)管以及社會(huì)層面的各類(lèi)風(fēng)險(xiǎn)告知信息。其中，資源類(lèi)信息由用戶導(dǎo)入，并負(fù)責(zé)動(dòng)態(tài)管理;監(jiān)控告警類(lèi)信息通過(guò)以上技術(shù)手段獲取業(yè)務(wù)系統(tǒng)日志并分析獲得;指揮預(yù)警類(lèi)信息通過(guò)與網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)對(duì)接獲得。

風(fēng)險(xiǎn)管理中心模塊：主要實(shí)現(xiàn)三個(gè)功能，一是風(fēng)險(xiǎn)基礎(chǔ)參數(shù)設(shè)置，包括風(fēng)險(xiǎn)分類(lèi)庫(kù)和風(fēng)險(xiǎn)指標(biāo)庫(kù)，風(fēng)險(xiǎn)分類(lèi)庫(kù)通過(guò)風(fēng)險(xiǎn)編號(hào)、風(fēng)險(xiǎn)名稱(chēng)、風(fēng)險(xiǎn)等級(jí)、上級(jí)風(fēng)險(xiǎn)等指標(biāo)對(duì)風(fēng)險(xiǎn)進(jìn)行分類(lèi);風(fēng)險(xiǎn)指標(biāo)庫(kù)包括風(fēng)險(xiǎn)分類(lèi)、風(fēng)險(xiǎn)指標(biāo)項(xiàng)、預(yù)警規(guī)則、閾值、責(zé)任部門(mén)等[5] 。二是風(fēng)險(xiǎn)分析要素設(shè)置，模型為風(fēng)險(xiǎn)名稱(chēng)、風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)損失度、發(fā)生可能性、風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)等級(jí)、處置措施、責(zé)任部門(mén)。三是將風(fēng)險(xiǎn)分為設(shè)施故障風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)、項(xiàng)目風(fēng)險(xiǎn)、系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和其他風(fēng)險(xiǎn)，分別進(jìn)行明細(xì)展示，即展示風(fēng)險(xiǎn)說(shuō)明、上報(bào)日期、處置狀態(tài)、責(zé)任人等，并提供處置按鈕。

風(fēng)險(xiǎn)統(tǒng)計(jì)報(bào)告模塊：提供首頁(yè)展示、統(tǒng)計(jì)報(bào)表及用戶管理等功能。

第一道防線通過(guò)風(fēng)險(xiǎn)管理中心進(jìn)行信息科技風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)處置，確保相關(guān)風(fēng)險(xiǎn)得到及時(shí)有效的處置。第二道防線不斷優(yōu)化信息科技風(fēng)險(xiǎn)分類(lèi)分級(jí)和分析評(píng)估模型，不斷改善風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估的精準(zhǔn)性。第三道防線通過(guò)信息科技風(fēng)險(xiǎn)統(tǒng)計(jì)和報(bào)告，監(jiān)督風(fēng)險(xiǎn)處置落實(shí)情況。

3結(jié)束語(yǔ)

本文從信息科技風(fēng)險(xiǎn)管理實(shí)際出發(fā)，對(duì)以“三道防線”為基礎(chǔ)的信息科技風(fēng)險(xiǎn)管理系統(tǒng)進(jìn)行設(shè)計(jì)和建設(shè)，通過(guò)技術(shù)手段使得信息科技風(fēng)險(xiǎn)得以有限匯集，風(fēng)險(xiǎn)的威脅及風(fēng)險(xiǎn)的處置得以充分展現(xiàn)，在一定程度上規(guī)范并提高企業(yè)的信息科技風(fēng)險(xiǎn)管理水平。但信息科技風(fēng)險(xiǎn)管理體系的完善并非一蹴而就，而是在實(shí)踐中不斷優(yōu)化和提高。建立完善的風(fēng)險(xiǎn)量化和風(fēng)險(xiǎn)預(yù)警機(jī)制，實(shí)現(xiàn)信息科技風(fēng)險(xiǎn)量化監(jiān)控和自動(dòng)化的風(fēng)險(xiǎn)分析、預(yù)警，進(jìn)行可度量的信息科技風(fēng)險(xiǎn)管理，將是進(jìn)一步的研究目標(biāo)。