信息科技風險“ 三道防線” 管理系統(tǒng)設(shè)計研究

鈕玉明

關(guān)鍵詞 信息科技風險管理 三道防線 研究

近年來，隨著科技的發(fā)展和應(yīng)用，各行各業(yè)紛紛開展“互聯(lián)網(wǎng)+”以及數(shù)字化轉(zhuǎn)型，使得金融科技迅猛發(fā)展，企業(yè)的業(yè)務(wù)運營、經(jīng)營管理更加依賴信息科技服務(wù)。利用信息科技可以提升企業(yè)的經(jīng)營效率，同時也帶來了相應(yīng)的風險，如數(shù)據(jù)泄露、網(wǎng)絡(luò)安全、系統(tǒng)中斷等風險事件都將對企業(yè)經(jīng)營與聲譽帶來嚴重損失，尤其是當前網(wǎng)絡(luò)安全形勢日益嚴峻，APT 攻擊活動頻繁，使得信息科技風險發(fā)生的可能性、損害性大大增加，信息科技風險管理成為企業(yè)運營過程中必須考慮的重要環(huán)節(jié)。本文分析了“三道防線”管理體系在企業(yè)的應(yīng)用方式，建立信息科技風險管理系統(tǒng)，探索通過技術(shù)方法有效提高企業(yè)的信息科技風險管理水平的途徑。

1信息科技風險管理概述

1.1信息科技風險定義

針對信息科技風險，國際上有三種主流定義：一是ISO 國際標準化組織給出的邏輯定義———信息科技風險是一種給定的威脅對某項信息科技的脆弱方面進行攻擊，造成整體組織損害的潛在可能性，信息科技風險可描述為該威脅發(fā)生的概率與其所能造成的損失的乘積，即“威脅發(fā)生概率×造成的損失= 風險”，也可以轉(zhuǎn)化為“風險威脅×風險管控脆弱性=風險”;二是NIST 做出的技術(shù)化定義———信息科技風險是指對信息系統(tǒng)脆弱方面攻擊，并對組織造成損失的可能;三是ISACA 在應(yīng)用角度做出的偏向于管理的定義———信息科技風險就是對組織內(nèi)使用和操作應(yīng)用信息科技所造成的業(yè)務(wù)風險。廣義的信息科技風險強調(diào)因技術(shù)漏洞、人為操作以及其他各種因素導(dǎo)致的業(yè)務(wù)、聲譽、生命、財產(chǎn)等各類風險。狹義的信息科技風險強調(diào)系統(tǒng)運行階段產(chǎn)生的風險，指由于管理、技術(shù)或外部事件對系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運行造成威脅的風險[1] 。

1.2信息科技風險分類

信息科技風險主要分為技術(shù)風險和管理風險。技術(shù)風險指計算機硬件、軟件、網(wǎng)絡(luò)等系統(tǒng)引發(fā)的不利情況，包括系統(tǒng)崩潰，安全缺陷、軟件漏洞、硬件故障、人為操作、災(zāi)備不足、性能不足、監(jiān)控疏漏等技術(shù)支持不到位等;管理風險主要包括管理制度不完善、系統(tǒng)關(guān)聯(lián)復(fù)雜、人員技能不足、項目管理不到位等。

1.3信息科技風險特征

信息科技風險特征包括影響范圍大、不確定性高、防范手段不夠、損失計量困難、易擴散等。潛在的威脅加上風險管控的脆弱性便可能造成服務(wù)質(zhì)量下降、資金賬務(wù)差錯及資金損失、敏感數(shù)據(jù)泄露、不符合監(jiān)管要求和法律規(guī)定等風險[2] 。因信息科技風險的危害性和不可控性，且與其他風險區(qū)別較大，有其獨立性和重要性，應(yīng)該與其他風險的管理分開，單獨管理。

1.4信息科技風險管理目標和過程

信息科技風險管理目標主要有四個方面：一是強化對信息資產(chǎn)的保護能力，確保業(yè)務(wù)的持續(xù)穩(wěn)定運營;二是提升業(yè)務(wù)創(chuàng)新的支持能力，關(guān)注新技術(shù)新環(huán)境下信息安全威脅;三是滿足監(jiān)管政策的要求，提高合規(guī)性要求的落地能力;四是防止數(shù)據(jù)泄露，確保數(shù)據(jù)安全，避免數(shù)據(jù)泄露及篡改造成的聲譽或資金損失[3]。

信息科技風險的管理主要明確管理內(nèi)容和管理目標，進行風險識別，管理已知風險，并對未知風險進行風險預(yù)防和資源儲備，總結(jié)來看是找出風險，想辦法處置風險，總結(jié)風險控制效果，目標是少出事、不出事。

2信息科技風險管理系統(tǒng)設(shè)計

2.1業(yè)務(wù)需求分析

為保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行，應(yīng)對可能發(fā)生的各種科技風險，需建立包括開發(fā)運維、風控、審計在內(nèi)的信息科技風險管理“三道防線”[4] ，構(gòu)建有效的風險防控框架體系，具體設(shè)置如下。

第一道防線：為系統(tǒng)建設(shè)及運行單位，負責運維管理、開發(fā)管理、基礎(chǔ)環(huán)境建設(shè)、制定應(yīng)急預(yù)案，用技術(shù)手段加強管理，優(yōu)先恢復(fù)系統(tǒng)對外服務(wù)。在信息系統(tǒng)開發(fā)和運行工作中識別風險、報告風險并處置風險。

第二道防線：由科技管理部門或風險管理部門承擔，負責建立流程管理機制，厘清風險指標和責任，建立風險評估標準和網(wǎng)格化責任體系，進行風險控制，監(jiān)督第一道防線的風險管理落實情況。

第三道防線：為審計合規(guī)部門，通過對第一、第二道防線進行獨立、客觀的評價和審查，監(jiān)督各條線工作落實情況，對相關(guān)流程和風險控制措施的有效性、合理性開展審計，提出意見、建議，并督促整改，落實風險的事后控制。

“三道防線”框架如圖1 所示。在“三道防線”框架下，信息科技活動、風險管理活動、審計活動有計劃、有規(guī)則的相互協(xié)同配合，實現(xiàn)信息科技部門單一管理向協(xié)同管理轉(zhuǎn)變，實現(xiàn)感性的信息科技風險管理向理性的、量化的風險管理轉(zhuǎn)變。

2.2系統(tǒng)功能分析

2.2.1功能需求

信息科技風險管理系統(tǒng)主要功能面向第一、二、三道防線，使用B/ S 結(jié)構(gòu)，提供GUI 服務(wù)供操作人員使用，主要的功能需求是數(shù)據(jù)接入、風險識別和分析、風險處置、報告及統(tǒng)計，具體描述如下。

數(shù)據(jù)匯集接入：匯總軟硬件資源信息、外部風險信息匯集、系統(tǒng)監(jiān)控運行信息，監(jiān)管指揮信息。

風險識別、分析：設(shè)計風險量化表，對匯集的風險原始數(shù)據(jù)進行識別，明確風險源頭，分析風險成因;能夠進行風險概率分析;能夠進行影響面和損害程度分析;能夠給出處置提示。

風險處置：能夠為風險分配責任人，給出建議方案，責任人在處置后給出處置結(jié)論。

報告及統(tǒng)計：按需要形成風險事件統(tǒng)計報表及處置情況報告。

其中，風險識別、風險處置主要為第一道防線服務(wù)，風險分析評估為第二道防線服務(wù)，風險報告主要為第二、第三道風險服務(wù)。

2.2.2非功能需求

系統(tǒng)部署在企業(yè)內(nèi)網(wǎng)環(huán)境，主要面向技術(shù)、風險管理人員，用戶數(shù)量有限，因此非功能性需求主要是界面友好性、系統(tǒng)可靠性以及響應(yīng)時間方面，系統(tǒng)應(yīng)保持99%可用率，RTO 不超過2 小時。系統(tǒng)界面設(shè)置應(yīng)該簡單清晰，具備友好性，功能用戶具有相應(yīng)的角色、權(quán)限，可針對不同用戶開放不同的功能。系統(tǒng)應(yīng)考慮數(shù)據(jù)備份，保證數(shù)據(jù)完整性，防范數(shù)據(jù)丟失、泄露，在數(shù)據(jù)遭到破壞的情況下可以進行數(shù)據(jù)恢復(fù)。

2.3系統(tǒng)架構(gòu)設(shè)計

系統(tǒng)應(yīng)用架構(gòu)如圖2 所示，客戶端采用B/ S 架構(gòu)，應(yīng)用技術(shù)框架基于Spring Framework/ Boot 開發(fā);應(yīng)用部署環(huán)境是“X86 服務(wù)器+ RHEL7.6 操作系統(tǒng)（兼容Centos 7.6 等）+ JDK8”，數(shù)據(jù)庫采用MySQL 社區(qū)版。遵循自主可控的原則，使用目前業(yè)內(nèi)廣泛使用的成熟開源技術(shù)組件與國產(chǎn)化技術(shù)。

系統(tǒng)關(guān)鍵技術(shù)點是業(yè)務(wù)系統(tǒng)運行指標的收集，風險發(fā)現(xiàn)的及時性是風險管理的重要方面，為及時、有效發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)存在的運行風險，則需要實時同步獲取業(yè)務(wù)系統(tǒng)相關(guān)日志，通過分析日志，獲得相應(yīng)風險指標。

為達到以上目的，本系統(tǒng)使用“rsync+inotify”的方式實現(xiàn)業(yè)務(wù)系統(tǒng)日志服務(wù)器的日志文件同步。rsync 能夠?qū)崿F(xiàn)文件同步功能，且具有高安全性、快速、支持增量的特性，但同時也存在以下不足：一是使用rsync 進行的差量傳輸需要掃描對比全量文件，在日志量不斷增大后，掃描過程耗時較長，且增量文件只是很小的一部分，使得數(shù)據(jù)同步效率低;二是rsync 無法實時監(jiān)測文件系統(tǒng)的變化，不能做到數(shù)據(jù)變化后的即時同時，而針對業(yè)務(wù)系統(tǒng)運行數(shù)據(jù)的風險監(jiān)控即時性要求較高，因此rsync達不到精準的要求。而Linux 系統(tǒng)下具有inotify 機制，能夠較好的解決文件監(jiān)控問題，通過inotify 可以實施監(jiān)控文件系統(tǒng)的增、刪、改等各種細微變動。因此，通過“rsync+inotify”的方案，可以實時監(jiān)控到業(yè)務(wù)系統(tǒng)日志文件的變化，當有文件變化后就觸發(fā)rsync 同步，實現(xiàn)數(shù)據(jù)源系統(tǒng)到目的系統(tǒng)的及時同步。

2.4系統(tǒng)功能模塊

系統(tǒng)主要分為數(shù)據(jù)接入模塊、風險管理中心模塊、風險統(tǒng)計報告模塊。各模塊主要功能如下。

數(shù)據(jù)接入模塊：本模塊收集并存儲原始數(shù)據(jù)和配置數(shù)據(jù)。原始風險數(shù)據(jù)包括匯集企業(yè)信息化資源信息、監(jiān)控告警信息以及各類指揮預(yù)警信息。信息化資源包括業(yè)務(wù)系統(tǒng)信息、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲、安全設(shè)備、配置信息、線路信息、人員信息、辦公設(shè)備、加密設(shè)備等。監(jiān)控告警信息包括來自業(yè)務(wù)系統(tǒng)的監(jiān)控指標以及運行指標信息。指揮預(yù)警信息包括來自公安、網(wǎng)信、監(jiān)管以及社會層面的各類風險告知信息。其中，資源類信息由用戶導(dǎo)入，并負責動態(tài)管理;監(jiān)控告警類信息通過以上技術(shù)手段獲取業(yè)務(wù)系統(tǒng)日志并分析獲得;指揮預(yù)警類信息通過與網(wǎng)絡(luò)安全態(tài)勢感知平臺對接獲得。

風險管理中心模塊：主要實現(xiàn)三個功能，一是風險基礎(chǔ)參數(shù)設(shè)置，包括風險分類庫和風險指標庫，風險分類庫通過風險編號、風險名稱、風險等級、上級風險等指標對風險進行分類;風險指標庫包括風險分類、風險指標項、預(yù)警規(guī)則、閾值、責任部門等[5] 。二是風險分析要素設(shè)置，模型為風險名稱、風險描述、風險損失度、發(fā)生可能性、風險值、風險等級、處置措施、責任部門。三是將風險分為設(shè)施故障風險、網(wǎng)絡(luò)安全風險、外包風險、項目風險、系統(tǒng)運行風險和其他風險，分別進行明細展示，即展示風險說明、上報日期、處置狀態(tài)、責任人等，并提供處置按鈕。

風險統(tǒng)計報告模塊：提供首頁展示、統(tǒng)計報表及用戶管理等功能。

第一道防線通過風險管理中心進行信息科技風險識別和風險處置，確保相關(guān)風險得到及時有效的處置。第二道防線不斷優(yōu)化信息科技風險分類分級和分析評估模型，不斷改善風險識別、分析和評估的精準性。第三道防線通過信息科技風險統(tǒng)計和報告，監(jiān)督風險處置落實情況。

3結(jié)束語

本文從信息科技風險管理實際出發(fā)，對以“三道防線”為基礎(chǔ)的信息科技風險管理系統(tǒng)進行設(shè)計和建設(shè)，通過技術(shù)手段使得信息科技風險得以有限匯集，風險的威脅及風險的處置得以充分展現(xiàn)，在一定程度上規(guī)范并提高企業(yè)的信息科技風險管理水平。但信息科技風險管理體系的完善并非一蹴而就，而是在實踐中不斷優(yōu)化和提高。建立完善的風險量化和風險預(yù)警機制，實現(xiàn)信息科技風險量化監(jiān)控和自動化的風險分析、預(yù)警，進行可度量的信息科技風險管理，將是進一步的研究目標。