信息科技风险“ 三道防线” 管理系统设计研究
2022-04-29钮玉明
钮玉明
关键词 信息科技风险管理 三道防线 研究
近年来,随着科技的发展和应用,各行各业纷纷开展“互联网+”以及数字化转型,使得金融科技迅猛发展,企业的业务运营、经营管理更加依赖信息科技服务。利用信息科技可以提升企业的经营效率,同时也带来了相应的风险,如数据泄露、网络安全、系统中断等风险事件都将对企业经营与声誉带来严重损失,尤其是当前网络安全形势日益严峻,APT 攻击活动频繁,使得信息科技风险发生的可能性、损害性大大增加,信息科技风险管理成为企业运营过程中必须考虑的重要环节。本文分析了“三道防线”管理体系在企业的应用方式,建立信息科技风险管理系统,探索通过技术方法有效提高企业的信息科技风险管理水平的途径。
1信息科技风险管理概述
1.1信息科技风险定义
针对信息科技风险,国际上有三种主流定义:一是ISO 国际标准化组织给出的逻辑定义———信息科技风险是一种给定的威胁对某项信息科技的脆弱方面进行攻击,造成整体组织损害的潜在可能性,信息科技风险可描述为该威胁发生的概率与其所能造成的损失的乘积,即“威胁发生概率×造成的损失= 风险”,也可以转化为“风险威胁×风险管控脆弱性=风险”;二是NIST 做出的技术化定义———信息科技风险是指对信息系统脆弱方面攻击,并对组织造成损失的可能;三是ISACA 在应用角度做出的偏向于管理的定义———信息科技风险就是对组织内使用和操作应用信息科技所造成的业务风险。广义的信息科技风险强调因技术漏洞、人为操作以及其他各种因素导致的业务、声誉、生命、财产等各类风险。狭义的信息科技风险强调系统运行阶段产生的风险,指由于管理、技术或外部事件对系统网络稳定运行造成威胁的风险[1] 。
1.2信息科技风险分类
信息科技风险主要分为技术风险和管理风险。技术风险指计算机硬件、软件、网络等系统引发的不利情况,包括系统崩溃,安全缺陷、软件漏洞、硬件故障、人为操作、灾备不足、性能不足、监控疏漏等技术支持不到位等;管理风险主要包括管理制度不完善、系统关联复杂、人员技能不足、项目管理不到位等。
1.3信息科技风险特征
信息科技风险特征包括影响范围大、不确定性高、防范手段不够、损失计量困难、易扩散等。潜在的威胁加上风险管控的脆弱性便可能造成服务质量下降、资金账务差错及资金损失、敏感数据泄露、不符合监管要求和法律规定等风险[2] 。因信息科技风险的危害性和不可控性,且与其他风险区别较大,有其独立性和重要性,应该与其他风险的管理分开,单独管理。
1.4信息科技風险管理目标和过程
信息科技风险管理目标主要有四个方面:一是强化对信息资产的保护能力,确保业务的持续稳定运营;二是提升业务创新的支持能力,关注新技术新环境下信息安全威胁;三是满足监管政策的要求,提高合规性要求的落地能力;四是防止数据泄露,确保数据安全,避免数据泄露及篡改造成的声誉或资金损失[3]。
信息科技风险的管理主要明确管理内容和管理目标,进行风险识别,管理已知风险,并对未知风险进行风险预防和资源储备,总结来看是找出风险,想办法处置风险,总结风险控制效果,目标是少出事、不出事。
2信息科技风险管理系统设计
2.1业务需求分析
为保障业务系统安全稳定运行,应对可能发生的各种科技风险,需建立包括开发运维、风控、审计在内的信息科技风险管理“三道防线”[4] ,构建有效的风险防控框架体系,具体设置如下。
第一道防线:为系统建设及运行单位,负责运维管理、开发管理、基础环境建设、制定应急预案,用技术手段加强管理,优先恢复系统对外服务。在信息系统开发和运行工作中识别风险、报告风险并处置风险。
第二道防线:由科技管理部门或风险管理部门承担,负责建立流程管理机制,厘清风险指标和责任,建立风险评估标准和网格化责任体系,进行风险控制,监督第一道防线的风险管理落实情况。
第三道防线:为审计合规部门,通过对第一、第二道防线进行独立、客观的评价和审查,监督各条线工作落实情况,对相关流程和风险控制措施的有效性、合理性开展审计,提出意见、建议,并督促整改,落实风险的事后控制。
“三道防线”框架如图1 所示。在“三道防线”框架下,信息科技活动、风险管理活动、审计活动有计划、有规则的相互协同配合,实现信息科技部门单一管理向协同管理转变,实现感性的信息科技风险管理向理性的、量化的风险管理转变。
2.2系统功能分析
2.2.1功能需求
信息科技风险管理系统主要功能面向第一、二、三道防线,使用B/ S 结构,提供GUI 服务供操作人员使用,主要的功能需求是数据接入、风险识别和分析、风险处置、报告及统计,具体描述如下。
数据汇集接入:汇总软硬件资源信息、外部风险信息汇集、系统监控运行信息,监管指挥信息。
风险识别、分析:设计风险量化表,对汇集的风险原始数据进行识别,明确风险源头,分析风险成因;能够进行风险概率分析;能够进行影响面和损害程度分析;能够给出处置提示。
风险处置:能够为风险分配责任人,给出建议方案,责任人在处置后给出处置结论。
报告及统计:按需要形成风险事件统计报表及处置情况报告。
其中,风险识别、风险处置主要为第一道防线服务,风险分析评估为第二道防线服务,风险报告主要为第二、第三道风险服务。
2.2.2非功能需求
系统部署在企业内网环境,主要面向技术、风险管理人员,用户数量有限,因此非功能性需求主要是界面友好性、系统可靠性以及响应时间方面,系统应保持99%可用率,RTO 不超过2 小时。系统界面设置应该简单清晰,具备友好性,功能用户具有相应的角色、权限,可针对不同用户开放不同的功能。系统应考虑数据备份,保证数据完整性,防范数据丢失、泄露,在数据遭到破坏的情况下可以进行数据恢复。
2.3系统架构设计
系统应用架构如图2 所示,客户端采用B/ S 架构,应用技术框架基于Spring Framework/ Boot 开发;应用部署环境是“X86 服务器+ RHEL7.6 操作系统(兼容Centos 7.6 等)+ JDK8”,数据库采用MySQL 社区版。遵循自主可控的原则,使用目前业内广泛使用的成熟开源技术组件与国产化技术。
系统关键技术点是业务系统运行指标的收集,风险发现的及时性是风险管理的重要方面,为及时、有效发现业务系统存在的运行风险,则需要实时同步获取业务系统相关日志,通过分析日志,获得相应风险指标。
为达到以上目的,本系统使用“rsync+inotify”的方式实现业务系统日志服务器的日志文件同步。rsync 能够实现文件同步功能,且具有高安全性、快速、支持增量的特性,但同时也存在以下不足:一是使用rsync 进行的差量传输需要扫描对比全量文件,在日志量不断增大后,扫描过程耗时较长,且增量文件只是很小的一部分,使得数据同步效率低;二是rsync 无法实时监测文件系统的变化,不能做到数据变化后的即时同时,而针对业务系统运行数据的风险监控即时性要求较高,因此rsync达不到精准的要求。而Linux 系统下具有inotify 机制,能够较好的解决文件监控问题,通过inotify 可以实施监控文件系统的增、删、改等各种细微变动。因此,通过“rsync+inotify”的方案,可以实时监控到业务系统日志文件的变化,当有文件变化后就触发rsync 同步,实现数据源系统到目的系统的及时同步。
2.4系统功能模块
系统主要分为数据接入模块、風险管理中心模块、风险统计报告模块。各模块主要功能如下。
数据接入模块:本模块收集并存储原始数据和配置数据。原始风险数据包括汇集企业信息化资源信息、监控告警信息以及各类指挥预警信息。信息化资源包括业务系统信息、服务器、网络设备、存储、安全设备、配置信息、线路信息、人员信息、办公设备、加密设备等。监控告警信息包括来自业务系统的监控指标以及运行指标信息。指挥预警信息包括来自公安、网信、监管以及社会层面的各类风险告知信息。其中,资源类信息由用户导入,并负责动态管理;监控告警类信息通过以上技术手段获取业务系统日志并分析获得;指挥预警类信息通过与网络安全态势感知平台对接获得。
风险管理中心模块:主要实现三个功能,一是风险基础参数设置,包括风险分类库和风险指标库,风险分类库通过风险编号、风险名称、风险等级、上级风险等指标对风险进行分类;风险指标库包括风险分类、风险指标项、预警规则、阈值、责任部门等[5] 。二是风险分析要素设置,模型为风险名称、风险描述、风险损失度、发生可能性、风险值、风险等级、处置措施、责任部门。三是将风险分为设施故障风险、网络安全风险、外包风险、项目风险、系统运行风险和其他风险,分别进行明细展示,即展示风险说明、上报日期、处置状态、责任人等,并提供处置按钮。
风险统计报告模块:提供首页展示、统计报表及用户管理等功能。
第一道防线通过风险管理中心进行信息科技风险识别和风险处置,确保相关风险得到及时有效的处置。第二道防线不断优化信息科技风险分类分级和分析评估模型,不断改善风险识别、分析和评估的精准性。第三道防线通过信息科技风险统计和报告,监督风险处置落实情况。
3结束语
本文从信息科技风险管理实际出发,对以“三道防线”为基础的信息科技风险管理系统进行设计和建设,通过技术手段使得信息科技风险得以有限汇集,风险的威胁及风险的处置得以充分展现,在一定程度上规范并提高企业的信息科技风险管理水平。但信息科技风险管理体系的完善并非一蹴而就,而是在实践中不断优化和提高。建立完善的风险量化和风险预警机制,实现信息科技风险量化监控和自动化的风险分析、预警,进行可度量的信息科技风险管理,将是进一步的研究目标。