银行信息安全风险评价体系的构建及实证研究
2020-04-10尚亚龙
尚亚龙
(国家开发银行宁夏回族自治区分行 宁夏 银川 750000)
引言
信息技术的发展使得银行的的建设和发展速度不断提升,同时也使得银行金融产品的数量和种类在不断丰富。商业银行不仅需要完善的信息系统作为支撑,同时还需要借助信息技术对银行数据进行处理和分析,因此不断的提升商业银行信息安全系统的等级变得尤为重要,而信息安全风险也将成为国家金额发展的重要风险之一。新时期的银行信息安全管理尤为重要,需要引起社会的广泛关注。目前国内很多的银行风险管理上多以事后处理为主,在风险的防范和化解方面缺失,相关的技术管理手段和管理制度还需要进一步的完善,整体上还没有形成一套完备的预防管理体系。为了更好的对银行信息安全风险管理进行研究,本次论文也将在熵权-AHP评价方法的基础上,对商业银行的安排风险评价进行研究和分析。
1 银行业信息安全风险评价研究现状
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)从2003年颁布以来,对规范我国安全管理工作开展发挥了重要的作用。在这份文件中,不仅对安全风险评估的重要作用进行了明确的规定,同时也是今后银行业信息安全风险管理和风险防范的重要依据,将更好的指导我国的信息安全风险体系的完善。随着国家对信息安全风险评估的重视程度不断提升,很多学者也开始关注信息安全风险评价的研究,并取得了一定的研究成果。其中李钧锐根据信息流相关理论的研究,对信息风险的风险域进行了划分,通过根据不同的风险域借助模糊综合评判法可以进行有效的风险评估。郑皆亮在灰色理论的基础上建立了专门的安全风险评估模型,并根据三角白化权数和隶属度等指标可以确定相应的安全风险等级。贾斌同样借助模糊综合评估方法实现了对安全风险的评估,并取得了一定的效果。吴亚非、李新友等认为当的信息安全风险评估也可以借助信息化的软件和产品工具来辅助实现,并介绍了相应的软件和使用方法。程湘云在概率风险相关理论的基础上建立了定量风险计算模型,同时通过对故障树对网络系统的实例分析总结了安全风险因素和系统漏洞产生原因。
本次论文也将从众多文献研究的基础上,更好的针对当前商业银行运行过程中的安全风险因素,从全过程管理的角度对风险评价以及体系建立进行了分析和论述。
2 银行业信息安全风险评价体系构建
2.1 风险因素的确定
针对信息在银行各业务中的流动程序,本文根据以往学者的研究结论从信息采集、信息使用以及信息维护三个方面对威胁信息安全的因素归纳总结,具体的风险因素见图1。
至此,形成了由3个准则层指标、13个1级指标、54个条目组成的银行信息安全风险评价体系初始测评指标体系(见图1)。研究继续进行了初始量表的预测试及修正:(1)将初始量表发给专家小组(银行领导者10位、信息安全主管10位、高校计算机及金融领域教授10位),在听取专家对初始问卷中条目结构、清晰度、易读性的建议后对初始问卷进行修改,共删除11个条目,对语义和语句错误进行修改,形成修改后的初始测评量表;(2)本研究以中国西北某省会城市某银行为预测试对象,共发放问卷200份,回收问卷113份,其中有效问卷94份,回收率和有效率分别为56.5%和83.19%;(3)将调研得到的数据,借助Spss26.0进行探索性因子分析(KMO和Bartlett球体检验),其中KMO值为0.841、Bartlett球体检验小于0.001,证明样本可以进行因子分析;(4)采用主成份分析进行因子提取,13个项目聚合成3个因子,积累方差结实率达到69.42%,三构面的概念结构非常清晰,在经过正交旋转的成分矩阵中,4个指标载荷指标没有达到0.50,予以删除,最后9个项目更好地聚合到3个因子上,积累解释率达到71.43%,各项目载荷量最小值也达到6.91,修订过的测评量表具有良好的聚合效度。正式测评量表中包含3个一级指标,9个二级指标,37个条目。如表1第1和2列所示。
表1 银行信息安全风险评价指标体系
2.2 识别体系的构建
2.2.1 AHP法求指标主观权重
依据评测量表构建结构模型,请上文中由30位专家组成的小组对目标层与准则层各指标进行两两打分(采用Santy的1—9标度方法),由此得出30份打分结果(每份1个目标层判断矩阵、3个准则层判断矩阵)。本研究应用yaahp7.5软件计算AHP权重,由于软件包含判断矩阵一致性检验(本研究各判断矩阵CR<0.1),专家群决策分析、权重计算等功能,详细步骤不在此赘述。主观权重值见图2第3列。
2.2.2 熵权法求指标客观权重
以往研究多利用熵权法公式,手动计算客观权重值,繁琐、耗时且易出现误差。本研究应用matlab 2018版软件,依据熵权法计算原理编程,结合3.1中得出的判断矩阵,运算出各评测指标客观权重,见图2第4列。
2.2.3 组合权重的确定
表2 银行信息安全风险评价体系的权重信息及排序
2.3 风险评价体系的说明
从表2各风险因素组合权重的权值可以看出,信息资源的可获取性是影响银行信息安全风险的最重要因素,其次是后续信息的跟踪程度,信息的维护成本对银行而言,也是信息安全能否得到保障的重要印象因素。而信息资源的可辨识度、信息更新程度等因素,对银行信息安全的影响并没有其它因素程度深。
3 银行业信息安全风险评价体系的实证研究
3.1 数据采集
本研究选取了中国西北某省会城市七家银行(不同名称)作为实证研究对象,为了对研究对象的敏感信息进行保密,文本中不公开研究对象的具体网点名称,利用“问卷星”在线调研网站作为数据收集平台,采用李克特5点量表方式完成在线银行信息安全风险评价体系网页。按照以下规则发放问卷:(1)每家银行发放30份问卷,共210份问卷;(2)方法对象主要针对每家银行的信息管理或信息安全主管人员。
3.2 结果分析
取每家银行指标数据的平均值,与本研究得出的对应组合权重相乘,得出每家银行信息安全风险评价的评分数据,见图3。
实证研究的结果具有以下启示:(1)信息维护所面临的风险最大,说明中国西北某省会城市银行业在信息安全的维护方面效果一般;(2)总评分均值位于中等偏上水平,说明中国西北某省会城市银行的信息安全风险,总体处于一般偏高的水平;(3)各银行网点间的信息安全风险系数差别不大,说明银行在信息安全风险的处理能力上具有相似的水平;(4)所有影响银行信息安全风险的因素中后续信息的跟踪程度是影响的主要因素,银行应该在此方面跟进措施,才能显著提高信息安全水平。
表3 实证研究结果
4 结论
本文首先对当前银行业所面临的信息安全风险状况进行了简要分析,随后对以往学者在此领域的研究建树进行了总结,而后提取了影响银行信息安全风险评价体系的9个影响因素,并利用熵权-AHP方法对评价体系进行了综合权重的计算,最后应用评价体系进行了实证研究。
研究得出以下结论:(1)银行信息安全风险评价体系包含三个准则层指标,分别是信息采集风险、信息使用风险和信息维护风险,其中信息维护风险对信息安全的影响最大,信息采集风险次之。(2)利用熵权-AHP方法构建了银行信息安全风险评价体系,并对中国西北某省会城市七家银行进行了实证研究,实证研究证实了评价体系的可行性。(3)中国西北某省会城市银行的总体信息安全风险处于一般水平,信息维护方面所面临的风险最大,但各个网点的信息安全风险系数趋同。
本研究结论的意义在于:(1)建立了银行信息安全评价指标体系,该体系可以银行业测评信息安全水平提供实践指导;(2)对银川市银行业的实证研究结论为该市银行的信息安全管理措施提供了方向。