【51CTO.com 綜合消息】近年來，海內(nèi)外金融領(lǐng)域因?yàn)镮T失效引起的銀行損失案例比比皆是、層出不窮。如美國黑客入侵花旗銀行設(shè)在連鎖便利店7-11店內(nèi)的自動提款機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)，并盜取客戶個人識別碼，從2009年10月至2010年3月，盜取至少200萬美元；美國男青年阿爾伯特•岡薩雷斯領(lǐng)導(dǎo)的黑客團(tuán)伙利用計(jì)算機(jī)技術(shù)瘋狂作案，先后共盜取超過4000萬張信用卡賬號和密碼……

在中國，銀監(jiān)會在2009年出臺了《商業(yè)銀行信息科技風(fēng)險管理指引》，對信息科技風(fēng)險和信息科技風(fēng)險管理的目標(biāo)提出了具體的指導(dǎo)意見。

如此種種，信息科技在各個行業(yè)，尤其是銀行業(yè)，扮演著越來越重要的角色。銀行業(yè)由于其IT系統(tǒng)高度密集、信息化程度高且事關(guān)國計(jì)民生，因此可以預(yù)見，隨著銀行業(yè)電子化程度的提高，銀行信息科技面臨的風(fēng)險還會越來越大。

因此，需要加強(qiáng)信息科技的風(fēng)險管理。

風(fēng)險管理是一個識別風(fēng)險、評價風(fēng)險、控制風(fēng)險的過程，最終目標(biāo)是將風(fēng)險控制在可接受的水平。風(fēng)險評估則是對風(fēng)險發(fā)生的可能性及所造成的影響進(jìn)行分析，是識別風(fēng)險、評價風(fēng)險的過程。因此，風(fēng)險管理就是風(fēng)險評估、風(fēng)險控制的過程，而風(fēng)險評估則是風(fēng)險管理的基礎(chǔ)。

對于信息科技的風(fēng)險管理來說，也需要以風(fēng)險評估為基礎(chǔ)。可以說，信息科技風(fēng)險評估正是信息科技風(fēng)險識別、計(jì)量的過程，也因此受到了各銀行的重視。

風(fēng)險評估分整體和專項(xiàng)兩種

實(shí)際上，風(fēng)險評估應(yīng)用范圍很廣。風(fēng)險評估不僅是風(fēng)險管理過程中重要的一環(huán)，而且在安全規(guī)劃、業(yè)務(wù)連續(xù)性管理以及實(shí)施等級保護(hù)等多個方面都離不開風(fēng)險評估。

從范圍來看，信息科技風(fēng)險評估可以分為整體風(fēng)險評估和專項(xiàng)風(fēng)險評估。

整體風(fēng)險評估是指對信息科技的各個方面，如治理、信息安全、信息系統(tǒng)開發(fā)、測試與維護(hù)、信息科技運(yùn)行、外包、業(yè)務(wù)連續(xù)性管理等，進(jìn)行全面的風(fēng)險評估；專項(xiàng)風(fēng)險評估則對信息科技的某一方面、某個系統(tǒng)或者為某個目的進(jìn)行的評估。如銀監(jiān)會頒布的《電子銀行安全評估指引》所講的安全評估就是對電子銀行各系統(tǒng)的風(fēng)險評估，常見的專項(xiàng)風(fēng)險評估還經(jīng)常根據(jù)評估對象分為網(wǎng)絡(luò)評估、系統(tǒng)風(fēng)險評估等。

整體風(fēng)險評估側(cè)重于反映宏觀層面的風(fēng)險，應(yīng)該全面反映影響實(shí)現(xiàn)IT目標(biāo)的風(fēng)險，可使高級管理層把握信息科技的整體風(fēng)險狀況，從而根據(jù)風(fēng)險狀況，進(jìn)行戰(zhàn)略決策，最終提升風(fēng)險管理能力；專項(xiàng)風(fēng)險評估則側(cè)重于反映微觀層面的風(fēng)險，反映信息科技某一方面或者某個系統(tǒng)存在的風(fēng)險，根據(jù)風(fēng)險決定相應(yīng)的風(fēng)險的處置措施，降低相關(guān)系統(tǒng)面臨的風(fēng)險。他們之間關(guān)系如下圖1所示：  

圖1 整體和專項(xiàng)風(fēng)險評估關(guān)系示意

風(fēng)險評估可劃分為三個階段

風(fēng)險是對實(shí)現(xiàn)目標(biāo)有所影響的事件的發(fā)生的可能性。從概念可以看到，風(fēng)險有影響及可能性兩個屬性，而影響是由資產(chǎn)的價值與資產(chǎn)存在的弱點(diǎn)決定的，可能性是由資產(chǎn)面臨的威脅及資產(chǎn)存在的弱點(diǎn)決定的。因此風(fēng)險評估需要對資產(chǎn)、弱點(diǎn)及威脅進(jìn)行綜合分析。

風(fēng)險評估工作一般有以下幾個步驟：

步驟1：描述分析評估對象，確定其目標(biāo)或者價值

步驟2：識別評估對象存在的弱點(diǎn)

步驟3：識別評估對象面臨的威脅

步驟4：通過分析弱點(diǎn)及威脅，確定事件發(fā)生的可能性

步驟5：通過分析資產(chǎn)及弱點(diǎn)分析事件如果發(fā)生所造成的影響

步驟6：通過已經(jīng)分析出的可能性和影響確定風(fēng)險等級

步驟7：根據(jù)風(fēng)險等級提出風(fēng)險處置建議

這幾個步驟可劃分為風(fēng)險識別、風(fēng)險分析、風(fēng)險定級三個階段，如下圖所示：  

圖2 風(fēng)險評估可劃分為三個階段

從這個過程可以看出，風(fēng)險識別是風(fēng)險評估的基礎(chǔ)，只有完整地識別出被評估對象的風(fēng)險才可能進(jìn)行正確的風(fēng)險分析、風(fēng)險定級。風(fēng)險識別是要對評估對象存在的弱點(diǎn)及面臨的威脅進(jìn)行識別。由于評估對象面臨的威脅是客觀存在的，因此識別評估對象存在的弱點(diǎn)也就成為風(fēng)險識別的關(guān)鍵。

風(fēng)險評估實(shí)踐指導(dǎo)

啟明星辰公司不僅協(xié)助多家銀行完成了信息科技風(fēng)險評估的項(xiàng)目，同時為了更好地做好銀行信息科技的風(fēng)險評估，還根據(jù)不同的風(fēng)險評估類型做了大量的實(shí)際工作。

1.整體風(fēng)險評估

由于整體風(fēng)險評估覆蓋范圍廣，其又是反映宏觀層面的風(fēng)險，因此應(yīng)該以調(diào)查方式為主，以檢查、安全測試方式為輔。

為此啟明星辰針對整體風(fēng)險評估做了詳細(xì)的調(diào)查問卷，涵蓋了信息科技的各個方面。整個調(diào)查問卷的設(shè)計(jì)思想為：IT目標(biāo)是為了實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，而IT目標(biāo)是通過資源實(shí)現(xiàn)的，資源包括數(shù)據(jù)、應(yīng)用系統(tǒng)、基礎(chǔ)設(shè)施、人，這些資源是通過流程進(jìn)行管理的。

一般來講，銀行的IT目標(biāo)就是在滿足合規(guī)管理的要求下，支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運(yùn)營。合規(guī)管理就是要符合監(jiān)管機(jī)構(gòu)的要求，如銀監(jiān)會；支持業(yè)務(wù)創(chuàng)新就是通過開發(fā)或者購買新的信息系統(tǒng)滿足或者促進(jìn)業(yè)務(wù)的發(fā)展；支持業(yè)務(wù)運(yùn)營則是保證信息系統(tǒng)安全穩(wěn)定運(yùn)行，從而保證業(yè)務(wù)的持續(xù)運(yùn)營。為了實(shí)現(xiàn)這個目標(biāo)，需要管理流程和基礎(chǔ)資源配備進(jìn)行支撐，管理流程可分為IT業(yè)務(wù)創(chuàng)新支持、IT業(yè)務(wù)運(yùn)營支持、IT合規(guī)管理及IT治理等四類，基礎(chǔ)資源配備包括支撐IT運(yùn)行的人、信息、應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施。

根據(jù)此思路，啟明星辰確定了風(fēng)險檢查點(diǎn)和檢查指標(biāo)，形成了調(diào)查問卷。并且為了方便使用，將調(diào)查問卷做成工具，結(jié)合調(diào)查結(jié)果進(jìn)行風(fēng)險分析，問卷界面及風(fēng)險分析結(jié)果如下圖3所示：  

圖3 啟明星辰整體風(fēng)險評估調(diào)查問卷界面和風(fēng)險分析結(jié)果示意

2.專項(xiàng)風(fēng)險評估

專項(xiàng)風(fēng)險評估應(yīng)該反映微觀層面的風(fēng)險，反映信息科技某一方面或者某個系統(tǒng)存在的風(fēng)險，因此應(yīng)該深入查找評估對象存在的風(fēng)險。

基于此，專項(xiàng)風(fēng)險評估應(yīng)該采取以檢查與安全測試為主，調(diào)查為輔的方法。而無論在檢查還是安全測試方面，啟明星辰都有著深厚的研究與積累：
 
◆啟明星辰不但參與制定了國家一些標(biāo)準(zhǔn)，如漏洞掃描標(biāo)準(zhǔn)、IDS標(biāo)準(zhǔn)，而且緊密關(guān)注國際、國家及行業(yè)標(biāo)準(zhǔn)與要求，并組織人員對標(biāo)準(zhǔn)或者行業(yè)要求進(jìn)行研究、解讀，研讀金融行業(yè)的標(biāo)準(zhǔn)如《巴塞爾協(xié)議》、《商業(yè)銀行信息科技風(fēng)險管理指引》、《電子銀行安全評估指引》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》等。通過對標(biāo)準(zhǔn)研究，可以更好地協(xié)助用戶滿足監(jiān)管機(jī)構(gòu)的要求。 

◆啟明星辰通過長期積累，形成了一套完善的技術(shù)文檔，如常見操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)管系統(tǒng)的安全檢查列表、安全配置手冊及腳本工具。可以對評估對象的配置文件進(jìn)行提取，并進(jìn)行審核，發(fā)現(xiàn)其中的薄弱環(huán)節(jié)，并提供可行的整改建議。 

◆啟明星辰致力于漏洞技術(shù)的挖掘與攻擊技術(shù)的研究，并且具有自己的積極防御實(shí)驗(yàn)室，可以從代碼層面對應(yīng)用系統(tǒng)進(jìn)行檢查。同時，積極防御實(shí)驗(yàn)室成員還可以模擬黑客行為，對系統(tǒng)進(jìn)行人工滲透，可以直觀地發(fā)現(xiàn)其中的弱點(diǎn)，并提供可行的整改建議。 

◆啟明星辰通過對ITIL運(yùn)維服務(wù)流程、CMM開發(fā)流程、項(xiàng)目管理流程的研究，熟悉開發(fā)流程、項(xiàng)目管理流程及服務(wù)的流程，從而可以結(jié)合客戶實(shí)際情況，發(fā)現(xiàn)流程中的不合理性，以進(jìn)行流程的完善。 

◆所采用的掃描工具-天鏡漏洞掃描系統(tǒng)是啟明星辰具有自主知識產(chǎn)權(quán)的產(chǎn)品，可以對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、通用應(yīng)用進(jìn)行掃描，發(fā)現(xiàn)其中的弱點(diǎn)，并提供整改建議。 

◆為了保證風(fēng)險評估工作的順利進(jìn)行，啟明星辰針對風(fēng)險評估項(xiàng)目制定了有效的項(xiàng)目管理流程和標(biāo)準(zhǔn)。

小結(jié)

風(fēng)險評估是風(fēng)險管理的基礎(chǔ)，只有做好風(fēng)險評估，才可能做好風(fēng)險管理，才能將風(fēng)險控制在可接受的水平。

根據(jù)評估范圍，風(fēng)險評估可分為整體風(fēng)險評估和專項(xiàng)風(fēng)險評估兩類。啟明星辰經(jīng)過長期的積累和實(shí)踐，在整體風(fēng)險評估、專項(xiàng)風(fēng)險評估方面都具有豐富的經(jīng)驗(yàn)，可以為用戶提供優(yōu)質(zhì)的風(fēng)險評估服務(wù)，幫助用戶做好風(fēng)險管理。