郭汉利 张 辉 杨宝辉 顾呈页

(中国建设银行股份有限公司金融科技部 北京 100033)

(guohanli.zh@ccb.com)

商业银行是经营风险的机构，历来重视风险管理，对于信息系统风险也不例外.金融危机爆发后，全球银行界对银行经营管理模式进行全面反思，国际金融监管架构和规则发生重大变革，并出台了第3版巴塞尔协议(BaselⅢ)等新的国际金融监管标准，对信息系统安全风险管理也提出了进一步的要求［1］.随着银行信息化建设的深入，商业银行信息系统风险管理越来越完善，但在实际工作中面临以下问题:1)信息系统风险三道防线对风险的认知不一，有的从控制角度，有的从影响角度，有的从成因角度，影响审计、风险部门与科技部门，以及科技部门风险管理岗与开发运行岗之间有效沟通;2)已遵从最佳实践但信息系统风险事件仍时有发生，最佳实践并非科技风险管理的万能药，风险识别的有效性需要提高.

信息系统安全风险与信息技术具有共生性，管理风险的前提是有效识别信息技术共生的固有风险.然而，针对当前商业银行信息系统风险管理面临的问题有业界信息系统风险管理标准或最佳实践对风险定义及构成要素不统一、风险识别方法实际运用操作性不强、缺少通用的信息系统风险基础库等情况［2-6］.针对上述问题，中国建设银行经过研究和实践，设计了一种信息系统安全风险识别方法，并运用此方法建立通用信息系统安全风险基础数据库，有力提升了银行安全风险管理能力，有效支撑金融科技创新和发展.

1 风险识别方法

信息系统是商业银行的生产线，支撑银行业务的正常运营.信息系统安全风险是导致信息系统不能有效支撑业务运营的风险，而风险的产生是由于风险来源(威胁)利用某种具体作用方式而导致的［7-8］.信息系统安全风险造成影响的具体表现为信息系统中断、数据篡改或差错、信息泄等3种，其形成原因各不相同.

1.1 风险形成模型

1.1.1 系统中断风险

信息系统运行过程中需要与其他系统进行数据交互，也需要如电力供应、通信链路等起到支撑作用的依赖资源正常运作.因此，信息系统的正常运行需要信息系统自身、其所依赖的资源和交互对象三者都正常运行，信息系统自身、其所依赖的资源或交互的对象中任何一方异常都会造成信息系统中断.系统异常状态主要包括缺乏使用许可、资产故障以及性能不够.信息系统中断风险模型如图1所示:

图1 信息系统中断风险模型

1.1.2 数据篡改或差错风险

数据差错指人错误处理造成的、应用系统或设备自身产生的、受交互系统或环境影响导致的数据错误.要保证数据不发生差错就是要确保数据流流经的资产(包括传输介质)在数据生命周期各环节中都正确地处理数据.数据的生命周期主要包括数据产生、数据存储、数据处理和数据销毁4个环节(如图2所示)，需识别在各生命周期中数据可能发生的差错风险.

图2 数据篡改或差错风险模型

1.1.3 信息泄露风险

信息泄露指系统或者人员对外提供的功能或信息过多以及非授权人员进入信息承载环境窃取信息的情景.要保证数据不泄露，就是要确保在数据生命周期各个环节中，无论是数据流经的系统内各资产还是数据流转的外部或网络区域场景都应按照合理的权限和数据机密性要求处理信息.信息泄露风险模型如图3所示:

图3 信息泄露风险模型

1.2 风险识别

信息系统安全风险识别是分析导致信息系统出现安全异常状态的风险来源和作用方式的过程［9-11］.要识别信息系统安全风险，需要对信息系统面临的3类风险都进行识别，但3类风险形成的原理并不相同，因此其识别的方法也不相同，下面分别对这3类风险的识别方法进行介绍.

1.2.1 系统中断风险识别

信息系统中断风险识别是识别导致信息系统自身、其运行所依赖的资源以及交互对象发生异常的风险来源和具体作用方式.

1)识别构成信息系统的资产清单及资产拆解

系统中断风险识别首先根据信息系统架构识别系统层级关系和资产类别.对信息系统自身包含的资产可按照所属的资产分类进行识别.对识别出来的具体资产需要进行组件的拆解，直至最小可维护组件.

2)识别资产的交互对象以及资产依赖的资源

在信息系统与交互对象进行交互的情况下，上游或下游的交互对象状态异常都可能导致信息系统中断.因此识别信息系统中断，需要梳理出单个资产进行交互的所有上游交互对象和下游交互对象.

信息系统的正常运行依赖于支撑其运行各层级IT资产的正常运行;每一层级的资产中断均有可能引起其所支撑的上层级资产的中断.因此，要识别信息系统中断不仅要识别信息系统自身的资产及交互的对象，还需要识别信息系统资产依赖的具体资源.

3)识别导致资产组件、交互对象或依赖资源异常的风险源和作用方式

识别导致资产组件、交互对象或依赖资源异常的风险源和作用方式时，由于资产或组件可能面临共性的风险源和作用方式，因此应首先将资产或组件作为一个整体识别可能导致异常的风险源和作用方式，然后再对资产或组件下面的子资产或子组件识别可能导致异常的风险源和作用方式.

4)根据识别出的风险要素描述风险点

风险点描述是对已识别的信息系统中断风险点进行文字描述，该描述包含风险源、作用方式等要素.为保证描述的规范性、一致性和可读性，对于系统中断风险点的描述格式规范如下:

风险点描述总体格式包含4部分内容:信息资产组件 子组件、风险源、作用方式、中断表现形式.

1.2.2 数据篡改或差错风险识别

数据篡改或差错风险识别是通过识别业务场景和数据承载的资产，分析生命周期各环节中可能导致数据差错的风险来源和具体作用方式.

1)识别业务场景和数据

为了全面地识别业务系统的处理场景和数据，首先需要识别能够与系统进行交互的角色.

交互角色可分为两大类:系统使用人员和运行维护人员.其中，系统使用人员根据确定的业务系统，梳理业务系统具有的功能，进而识别业务场景;运行维护人员根据工作任务识别业务场景.

2)识别数据流经的资产

为识别数据流流经的资产，首先分析信息系统的拓扑图.系统拓扑一般包括终端、主机服务器、网络设备及链路.信息系统中的服务器可能与银行内其他信息系统服务器和外部服务器进行数据交互.如果是与银行内其他信息系统服务器进行数据交互，需识别出交互对象的主机、接口和交互链路.如果是与外部进行交互，只需识别出进行数据交互的链路.

3)分析资产中与数据相关的组件

数据流转到某资产后，数据在资产中存在从产生、存储、操作及销毁的生命周期，并且整体生命周期也会由相应的组件对数据进行处理.要识别数据在此资产中的差错风险，需要识别在此资产上所有与数据相关的组件，其组件也要拆解到可维护级别.

4)识别导致数据差错的风险源和作用方式

识别导致数据差错的风险源和作用方式的原则与中断风险中的识别原则相同，先将资产或组件看作一个整体进行识别，再对资产或组件下面的子资产或子组件进行识别.

5)根据识别出的风险要素描述风险点

篡改或差错风险点描述总体格式:信息资产组件 子组件、风险源、作用方式、差错表现形式.

1.2.3 信息泄露风险识别

信息泄露风险识别是识别造成系统提供的功能或信息过多，以及非授权人员获取信息的风险来源和具体作用方式.

1)识别业务场景和敏感信息

为全面地识别信息系统的处理场景和敏感信息，首先需要识别能够与系统进行交互的角色.

信息泄露风险关注机构拥有的敏感信息.对于本机构拥有的敏感的业务类数据，可以按照信息系统来识别:

①确定信息系统;

②梳理信息系统功能;

③根据信息系统功能识别敏感程度高的业务类数据;

④汇总形成业务敏感信息清单.

在业务系统拓扑中终端、主机设备、网络设备上，有一类信息敏感程度较高，即为应用系统、操作系统、物理设备等的配置参数.在识别配置参数时，将配置参数识别到可配置级别，例如路由器的协议配置参数等.参数类信息的识别可在建立信息系统网络拓扑图之后进行识别.

2)识别数据流经的资产

对于信息泄露，识别数据流经的资产与“数据差错识别方法”中“识别数据流经的资产”的方法相同.信息泄露可能发生在数据流经的任何一个资产上，因此，识别信息系统中的信息泄露风险需要识别数据流经哪些资产，并识别作用在这些资产或组件上导致信息泄露的风险源和作用方式.

3)分析资产中与数据相关的组件

数据流转到某资产后，数据在资产中存在从产生、存储、操作及销毁的生命周期，并且整体生命周期也会由相应的组件对数据进行处理.要识别数据在此资产中的泄露风险，需要识别在此资产上所有与数据相关的组件，其组件也要拆解到可维护级别.

4)识别导致信息泄露的风险源和作用方式

识别导致信息泄漏的风险源和作用方式的原则与上面的识别原则相同，应先将资产或组件看作一个整体进行识别，再对资产或组件下面的子资产或子组件进行识别.

5)根据识别出的风险要素描述风险点

泄露风险点描述总体格式:信息资产组件 子组件、风险源、作用方式、信息泄露表现形式.

2 风险基础库建设

运用上述风险识别方法，对典型的信息系统模型识别常见的安全风险特征，形成信息系统安全风险基础数据库.信息系统风险基础库包括应用系统库、系统资源风险库、网络通信风险库和基础环境风险库4部分.

2.1 应用系统风险库

目前绝大多数应用系统采用BS方式，典型的应用系统由客户端、Web展示服务器、应用服务器、数据库服务器等构成，而对于CS方式的程序一般缺少Web服务器，由客户端和应用处理服务器构成.

1)Web服务层作为客户端和应用服务器的中间层，为用户提供服务，并与客户端和应用服务器双向产生交互关系;Web展示层的依赖资源主要包括对Web服务器起到支撑作用的计算资源、存储资源等;Web展示层自身面临的风险主要包括逻辑输入、处理、输出等组件.

2)应用处理层风险主要包括交互对象风险、依赖资源风险和自身风险.在交互对象方面，应用服务器作为Web服务器与数据库服务器的中间层，与双方发生交互关系，面临交互风险，同时还与机构内部或外部其他应用系统交互;在依赖资源方面，应用服务器正常运行依赖于下层提供足够的支撑资源，任一支撑资源异常都会造成应用服务器风险.

3)客户端作为应用系统的前端交互接口，主要功能为界面展现和处理用户输入.客户端依赖支撑平台提供的资源，与Web展示服务器或在CS模式下直接与应用处理服务器进行信息交互.客户端在正常运行过程中与Web服务层进行交互，面临交互风险;客户端的依赖资源主要包括对客户端应用系统起到支撑作用的计算资源、存储资源等;客户端层自身面临的风险主要包括JS脚本模块、HTML页面模块、ActiveX控件等可执行程序或脚本进入异常状态导致的系统中断、数据差错和信息泄露风险.

2.2 系统资源风险库

根据信息系统组成结构，系统资源层通常由中间件、数据库、操作系统、存储系统、主机、终端设备、存储介质构成.系统资源层处于应用层与物理层之间，对上层应用系统正常运行起到支撑作用，又依赖下层物理基础设施提供的支撑服务.

1)中间件、数据库、操作系统、主机等面临自身技术故障、操作失误、恶意攻击和破坏风险以及依赖资源的缺乏使用许可、资源故障、性能不足等风险.

2)存储系统主要包括存储设备、存储光纤交换机、存储光纤链路、磁带库等.存储系统面临自身技术故障、操作失误、恶意攻击和破坏风险以及依赖资源的缺乏使用许可、资源故障、性能不足等风险.

3)终端设备主要包括自助设备、PC终端、移动终端等.终端设备面临自身技术故障、操作失误、恶意攻击和破坏风险.

4)存储介质主要包括硬盘、U盘、光盘、磁带等.存储介质面临自身技术故障、操作失误、恶意攻击和破坏风险.

2.3 网络通信风险库

通常情况下，网络通信层主要包括本机构与外部机构的网络通信、机构内各网络区域之间的网络通信、各网络区域内的网络通信.这3个层级的网络通信状态正常都需要满足3个条件:网络设备正常、网络链路正常以及依赖资源正常.

1)网络设备主要包括交换机、路由器、防火墙、无线AP等.网络设备由一系列可维护组件构成，主要包括背板、CPU、内存等.网络设备面临的风险主要来自于技术故障和缺陷、人员操作失误以及恶意攻击和破坏.

2)网络链路面临的风险主要来自于技术故障和缺陷、人员操作失误、环境破坏以及恶意攻击和破坏.

3)网络通信依赖资源主要包括电力供应、电信线路、工作场所等起到支撑保障作用的资源，其可能出现的异常状态会导致网络通信中断.

2.4 基础环境风险库

作为支撑信息系统正常运营的基本条件，基础环境层主要包括建筑物、工作场所、电力供应和运营商线路.基础环境层面临的风险根据风险来源由内向外主要包括自身技术故障和缺陷、人员操作失误、外部物理破坏以及恶意攻击和破坏.

1)建筑物作为工作场所的物理载体，面临的风险主要来源于自身物理损毁、人员误操作造成的破坏、外部物理破坏以及恶意攻击和破坏造成的建筑物受损.

2)工作场所是信息系统运行的物理基础场所，主要关注进出通道及工作区域.工作场所风险根据风险来源不同主要包括工作场所自身物理损毁、人员操作失误引发火灾或封闭失效、外部物理破坏以及恶意攻击和破坏造成的信息泄露和系统中断.

3)电力供应根据其电力输送过程从城市配电起始，途径区域变电所、大楼、楼层配电柜等进入设备.其风险主要包括电力供应设施的技术故障和缺陷、人员操作失误、外部物理破坏以及恶意攻击和破坏导致的电力中断.

4)运营商通信线路根据其通信信号传输过程从电信运营商局端起始，途径机房通信链路进入设备，其风险主要包括技术故障和缺陷、人员操作失误、人员操作缺失、外部物理破坏以及恶意攻击和破坏导致运营商线路通信中断.

3 应用效果

中国建设银行运用信息系统安全风险识别方法，共识别风险源89类、作用方式209类、保护对象259类，初步识别1088个统一描述的信息系统安全风险特征.信息系统安全风险识别方法和风险基础库的建立统一了银行审计部门、风险管理部门、信息技术部门对风险的认知，并可应用于新技术风险分析、系统需求分析、上线测试验收、应急预案编制、系统风险评估和检查等信息系统生命周期的多个阶段，为安全风险管理工作提供抓手.中国建设银行选取部分应用系统常见风险点，编制了136个测试用例，对6个信息系统进行测试，新发现了208个控制缺陷;组织5家分行运用风险识别方法和风险库，共识别具体机房风险1132个，未有效控制风险62个，识别具体系统资源风险2168个，未有效控制风险93个;运用识别方法新发现移动应用安全风险特征6个，Web应用攻击风险特征5个.通过有效识别风险，有针对性地加强系统加固和风险管控，有效提升了信息系统的安全性.

4 总 结

风险识别是风险管理的起点和基础，本文针对当前商业银行面临的信息系统安全风险管理问题，通过借鉴国内外业界标准和最佳实践，深入分析内外部典型安全事件、监管风险提示等，建立信息系统安全风险要素模型、识别方法和风险基础数据库，统一风险认知，实现了对信息系统安全风险的有效识别，为安全风险管理工作提供抓手，提高了银行风险管理水平，增强风险管控能力，支持银行金融科技创新和发展.