關于城市商業(yè)銀行信息平安風險評估的探討隨著計算機技術和網絡技術的迅猛發(fā)展，人類正進入信息社會，信息技術被廣泛的應用于各行各業(yè)。金融業(yè)是最具典型的一個行業(yè)，銀行業(yè)務的發(fā)展對信息資源的依靠程度越來越高，而由于環(huán)境的開放和信息系統(tǒng)自身的缺陷，敏感信息的泄露、計算機病毒的泛濫、黑客的入侵，導致信息面臨巨大的平安風險。解決信息平安問題不僅要從技術方面著手，更應當加強信息平安的管理工作。只有從技術、管理等不同的方面實行措施，建立信息平安管理體系，并有效的進行平安風險管理和限制，才能真正的保證信息系統(tǒng)和信息資源的平安。隨著城市商業(yè)銀行業(yè)務的不斷發(fā)展，信息技術在銀行內部扮演著越來越重要的角色。只有做好城商行信息平安的風險管理和限制工作，做到城商行信息系統(tǒng)能夠持續(xù)、穩(wěn)建、平安的運行、才能保證客戶信息的平安、資金的平安。因此，城商行董事會和高管層也高度重視城商行的信息平安的風險管理工作。做好信息平安風險評估工作，是城商行信息平安風險管理工作的一項重要舉措。本文以城市商業(yè)銀行信息科技資產為基礎，具體介紹城商行信息平安風險評估工作的方法、過程和步驟，供廣闊讀者參考。信息平安風險評估的過程參照行業(yè)內一些比較常用的風險評估方法及第三方詢問公司的合理化建議，城市商業(yè)銀行信息平安風險評估工作涉及以下階段：評估打算、識別并評價資產、識別并評估威逼、識別并評估脆弱性、識別平安措施和輸出結果、分析可能性和影響、評價風險、風險處理、編寫信息平安風險評估報告。評估打算評估打算識別并評價資產識別并評估威協(xié)識別并評估脆弱性識別平安措施影響可能性評估風險風險處理編寫信息平安風險評估報告評估打算信息平安風險評估打算是實施風險評估的前提，為了保證評估過程的可控性及評估結果的客觀性，在信息平安風險評估前應進行充分的打算和安排，信息平安風險評估的打算活動主要包括：確定信息平安風險評估的目標；確定信息平安風險評估的范圍；組建適當的評估管理與實施團隊；進行系統(tǒng)調研；確定信息平安風險評估依據和方法；制定信息平安風險評估方案；獲得最高管理者對信息平安風險評估工作的支持。1.信息平安風險評估的目標城市商業(yè)銀行信息平安風險評估工作主要是為了保證行內與信息系統(tǒng)相關的信息資產能夠達到城商行對信息平安的保密性、完整性和可用性的要求，為城商行業(yè)務的不斷發(fā)壯大供應堅毅、穩(wěn)定、平安的信息科技環(huán)境。2.信息平安風險評估的范圍城市商業(yè)銀行信息平安風險評估工作的評估的范圍主要包括行內信息科技相關的組織、人員、制度、管理流程、軟硬件系統(tǒng)、文檔、數據、設備、網絡、機房等信息科技資產。3.信息平安風險評估管理與實施團隊此次風險評估工作城市商業(yè)銀行成立了特地的風險評估團隊，負責人為總行信息科技部總經理，實施成員包括總行風險合規(guī)部員工、網絡銀行員工和信息科技部員工。外部專家團隊邀請上海天帷公司的高級詢問顧問賜予指導。識別并評價資產1.識別資產在信息平安風險評估的過程中，應清晰的識別全部的相關的信息資產、不能遺漏，城市商業(yè)銀行信息平安風險評估工作所識別的信息科技資產主要包括與信息科技相關的系統(tǒng)類資產和非系統(tǒng)類資產。目前城商行所實行的資產識別方式主要是手工記錄表格的方式來完成。系統(tǒng)類資產主要包括：行內目前正在運用的各類信息系統(tǒng)（如核心系統(tǒng)、信貸系統(tǒng)、電子銀行系統(tǒng)、OA系統(tǒng)等），以及系統(tǒng)所包含的業(yè)務信息、系統(tǒng)組件、配置信息、日志信息和備份數據。非系統(tǒng)類資產主要包括：文檔數據類資產、應用軟件類資產、硬件設備類資產、人力資源類資產、供應商類資產（如與城市商業(yè)銀行有合作關系的外包廠商的相關信息）。2資產賦值城市商業(yè)銀行信息平安風險評估工作在對信息科技資產識別完成得到具體的信息資產清單后，起先對資產進行評價，資產評價過程不是以信息科技資產的經濟價值來衡量，而是以資產的保密性（C）、完整性（I）、和可用性（A）三個平安屬性為基礎進行衡量。資產在C、I、A上的要求不同，則資產的最終價值也不同。以下表1、表2和表3表示保密性、完整性和可用性的賦值表。表1資產保密性賦值表賦值標識定義5很高包含組織最重要的隱私，關系將來發(fā)展的前途命運，對組織根本利益有著確定性的影響，假如泄露會造成災難性的損害4高包含組織的重要隱私，其泄露會使組織的平安和利益遭遇嚴峻損害3中等組織的一般性隱私，其泄露會使組織的平安和利益受到損害2低僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成稍微損害1很低可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等表2資產完整性賦值表賦值標識定義5很高完整性價值特別關鍵，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴峻的業(yè)務中斷，難以彌補4高完整性價值較高，未經授權的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴峻，較難彌補3中等完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補2低完整性價值較低，未經授權的修改或破壞會對組織造成稍微影響，對業(yè)務沖擊稍微，簡單彌補1很低完整性價值特別低，未經授權的修改或破壞對組織造成的影響可以忽視，對業(yè)務沖擊可以忽視表3資產可用性賦值表賦值標識定義5很高業(yè)務完全依靠該資產，一旦出現故障，業(yè)務完全中斷4高業(yè)務依靠于該資產，一旦出現故障，業(yè)務不能順當進行3中等業(yè)務部分依靠于該資產，一旦出現故障，業(yè)務將延期或質量下降2低業(yè)務依靠于該資產的程度不高，一旦出現故障，可尋求其他方式替代1很低業(yè)務對該資產沒有依靠，出現故障，業(yè)務不受影響3.確定重要資產資產賦值完成之后，形成最終的《城市商業(yè)銀行信息科技資產系統(tǒng)類識別表》和《城市商業(yè)銀行信息科技資產非系統(tǒng)類資產識別表》，對于識別表中，各項資產經過C、I、A賦值后所得到的資產價值大于等于3的均認定為重要資產。四、識別并評估威逼完成資產的識別及評價后，緊接著要做的就是識別每項重要資產可能面臨的威逼，即進行威逼識別，城市商業(yè)銀行在對重要信息科技資產進行威逼識別時，主要采納的是日志分析、人員訪談的方式。通過對網絡設備日志、操作系統(tǒng)日志和應用系統(tǒng)日志的分析來發(fā)覺曾經發(fā)生過的威逼，獲得威逼信息。通過對系統(tǒng)管理員訪談可以獲得某系統(tǒng)曾經發(fā)生過的威逼。對于每項重要信息資產所面臨的威逼假如依據來源進行分類，則可以分為：環(huán)境因素類、人為因素兩大類。其中環(huán)境因素包括斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等以及軟件、硬件、數據、通信線路等方面的故障；其中人為因素又包括惡意人員和非惡意人員。另外對于威逼假如依據表現形式分類，則可以分為：軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改及抵賴等種類。城市商業(yè)銀行在對每項重要的信息資產確認其威逼時主要是基于表現形式進行的分類。完成重要資產所面臨的威逼的識別后，須要對威逼進行評估賦值，賦值主要依據威逼出現的頻率的凹凸分為很高、高、中、低、很低共五個等級，對應的值分別為5、4、3、2、1用來表示某項威逼對某一種重要信息科技資產的影響程度。五、識別并評估脆弱性在進行信息平安風險評估的工作過程中，僅有威逼還構不成風險，威逼只有利用了特定的脆弱性才可能產生信息平安風險，才能對資產造成影響。所以城市商業(yè)銀行在進行信息平安風險評估的過程中，同時針對每一項重要信息科技資產找出了可被威逼利用的脆弱性。城市商業(yè)銀行在脆弱性識別工作上主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網絡層、系統(tǒng)層和應用層等各個層面的平安問題，管理脆弱性又分為技術管理和組織管理兩個方面，前者與技術活動相關，后者與管理環(huán)境相關。如下表4所示。表4脆弱性分類列表類型識別對象識別內容技術脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的愛護、機房區(qū)域防護、機房設備管理等方面進行識別服務器（含操作系統(tǒng)）從物理愛護、用戶賬號、口令策略、資源共享、事務審計、訪問限制、新系統(tǒng)配置（初始化）、注冊表加固、網絡平安、系統(tǒng)管理等方面進行識別網絡結構從網絡結構設計、邊界愛護、外部訪問限制策略、內部訪問限制策略、網絡設備平安配置等方面進行識別數據庫從補丁安裝、鑒別機制、口令機制、訪問限制、網絡和服務設置、備份復原機制、審計機制等方面進行識別應用系統(tǒng)審計機制、審計存儲、訪問限制策略、數據完整性、通信、鑒別機構、密碼愛護等方面進行識別管理脆弱性技術管理物理和環(huán)境平安、通信與操作管理、訪問限制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性管理組織管理平安策略、組織平安、資產分類與限制、人員平安、符合性脆弱性識別完成之后，須要對脆弱性進行賦值，脆弱性賦值主要依據對資產損害程度、技術實現的難易程度，以及弱點流行程度，采納等級方式對已識別的脆弱性的嚴峻程度進行賦值，對于城市商業(yè)銀行某一個具體的信息科技資產而言，其技術脆弱性的嚴峻程度受到組織的管理脆弱性的影響，因此，城商行對于信息科技資產的脆弱性賦值還參考了技術管理和組織管理脆弱性的嚴峻程度。，賦值主要依據脆弱性嚴峻程序的凹凸分為很高、高、中、低、很低共五個等級，對應的值分別為5、4、3、2、1用來表示某項信息科技資產的脆弱性狀況。六、識別平安措施雖然某項威逼利用了信息科技資產的某項脆弱性可以產生信息平安風險，但是假如針對該項資產已經實行了有效的平安措施，則該項資產產生信息平安風險的可能性便可以被降到最低。因此，城市商業(yè)銀行在進行信息平安風險評估工作的過程中同時進行了針對信息科技資產的平安措施識別，通過平安措施的識別工作，城商行能夠了有效的指出某項信息科技資產的平安措施是否存在不足，同時也避開了重復投資。城市商業(yè)銀行主要從技術限制措施、管理和操作限制措施兩方面進行平安措施的識別工作。并與信息科技的全部的重要資產進行一一識別，將識別出的結果連同識別出的威逼和脆弱性一同作為評估信息平安風險的重要因素。七、分析可能性和影響構成信息平安風險有四個要素：信息科技資產、威逼、脆弱性和平安措施，在識別了這四個要素之后，有什么風險就可以顯現了。另外，評價風險有兩個關鍵的因素：一是威逼對信息科技資產造成的影響，二是威逼發(fā)生的可能性。1．分析可能性依據威逼出現在頻率及脆弱性狀況，計算威逼利用脆弱性導致平安事務發(fā)生的可能性，即：平安事務發(fā)生的可能性=L（威逼出現頻率，脆弱性）=L（T，V）其中，T表示威逼出現頻率的值，V表示脆弱性的值，L表示威逼利用資產的脆弱性導致平安事務發(fā)生的可能性。2．分析影響依據資產重要程度（即資產的價值）及脆弱性嚴峻程度，計處平安事務一旦發(fā)生后的損失，即：平安事務的影響=F（資產重要程度，脆弱性嚴峻程度）=F（Ia,Va）其中，Ia表平安事務所作用的資產價值，Va表示脆弱性嚴峻程度，F表示平安事務發(fā)生后造成的損失。八、評估風險在完成了資產識別、威逼識別、脆弱性識別以及平安限制措施的確認后，將對重要的信息科技資產進行風險計算。通常我們會依據威逼利用資產的脆弱性導致平安事務發(fā)生的可能性，平安事務發(fā)生后造成的損失來計算風險值：即風險值=R（A,T,V）=R（平安事務發(fā)生的可能性，平安事務的損失）=R（L（T,V）,F（Ia,Va））其中，R表示風險計算函數，A表示資產，T表示威逼，V表示脆弱性。常用的風險計算方法有矩陣法和相乘法，城市商業(yè)銀行在進行信息平安風險評估的過程中采納的是相乘法來計算風險的值。相乘法主要適用于由兩個要素值確定一個要素值的情形，即函數z=f（x，y），運用相乘法即：z=QUOTE或者QUOTE，最終要依據業(yè)界通用的風險等級劃分表，如下表5風險等級劃分表來確定最終的風險等級和風險值。表5風險等級劃分風險值1～56～1011～1516～2021～25風險等級12345九、風險處理信息平安風險評估的結果計算完成之后，須要在城市商業(yè)銀行信息科技風險管理小組的會議上探討系統(tǒng)可接受的風險等級，再依據風險等級確