商業銀行信息系統安全風險識別與風險庫研究

郭漢利 張 輝 楊寶輝 顧呈頁

(中國建設銀行股份有限公司金融科技部 北京 100033)

(guohanli.zh@ccb.com)

商業銀行是經營風險的機構，歷來重視風險管理，對于信息系統風險也不例外.金融危機爆發后，全球銀行界對銀行經營管理模式進行全面反思，國際金融監管架構和規則發生重大變革，并出臺了第3版巴塞爾協議(BaselⅢ)等新的國際金融監管標準，對信息系統安全風險管理也提出了進一步的要求［1］.隨著銀行信息化建設的深入，商業銀行信息系統風險管理越來越完善，但在實際工作中面臨以下問題:1)信息系統風險三道防線對風險的認知不一，有的從控制角度，有的從影響角度，有的從成因角度，影響審計、風險部門與科技部門，以及科技部門風險管理崗與開發運行崗之間有效溝通;2)已遵從最佳實踐但信息系統風險事件仍時有發生，最佳實踐并非科技風險管理的萬能藥，風險識別的有效性需要提高.

信息系統安全風險與信息技術具有共生性，管理風險的前提是有效識別信息技術共生的固有風險.然而，針對當前商業銀行信息系統風險管理面臨的問題有業界信息系統風險管理標準或最佳實踐對風險定義及構成要素不統一、風險識別方法實際運用操作性不強、缺少通用的信息系統風險基礎庫等情況［2-6］.針對上述問題，中國建設銀行經過研究和實踐，設計了一種信息系統安全風險識別方法，并運用此方法建立通用信息系統安全風險基礎數據庫，有力提升了銀行安全風險管理能力，有效支撐金融科技創新和發展.

1 風險識別方法

信息系統是商業銀行的生產線，支撐銀行業務的正常運營.信息系統安全風險是導致信息系統不能有效支撐業務運營的風險，而風險的產生是由于風險來源(威脅)利用某種具體作用方式而導致的［7-8］.信息系統安全風險造成影響的具體表現為信息系統中斷、數據篡改或差錯、信息泄等3種，其形成原因各不相同.

1.1 風險形成模型

1.1.1 系統中斷風險

信息系統運行過程中需要與其他系統進行數據交互，也需要如電力供應、通信鏈路等起到支撐作用的依賴資源正常運作.因此，信息系統的正常運行需要信息系統自身、其所依賴的資源和交互對象三者都正常運行，信息系統自身、其所依賴的資源或交互的對象中任何一方異常都會造成信息系統中斷.系統異常狀態主要包括缺乏使用許可、資產故障以及性能不夠.信息系統中斷風險模型如圖1所示:

圖1 信息系統中斷風險模型

1.1.2 數據篡改或差錯風險

數據差錯指人錯誤處理造成的、應用系統或設備自身產生的、受交互系統或環境影響導致的數據錯誤.要保證數據不發生差錯就是要確保數據流流經的資產(包括傳輸介質)在數據生命周期各環節中都正確地處理數據.數據的生命周期主要包括數據產生、數據存儲、數據處理和數據銷毀4個環節(如圖2所示)，需識別在各生命周期中數據可能發生的差錯風險.

圖2 數據篡改或差錯風險模型

1.1.3 信息泄露風險

信息泄露指系統或者人員對外提供的功能或信息過多以及非授權人員進入信息承載環境竊取信息的情景.要保證數據不泄露，就是要確保在數據生命周期各個環節中，無論是數據流經的系統內各資產還是數據流轉的外部或網絡區域場景都應按照合理的權限和數據機密性要求處理信息.信息泄露風險模型如圖3所示:

圖3 信息泄露風險模型

1.2 風險識別

信息系統安全風險識別是分析導致信息系統出現安全異常狀態的風險來源和作用方式的過程［9-11］.要識別信息系統安全風險，需要對信息系統面臨的3類風險都進行識別，但3類風險形成的原理并不相同，因此其識別的方法也不相同，下面分別對這3類風險的識別方法進行介紹.

1.2.1 系統中斷風險識別

信息系統中斷風險識別是識別導致信息系統自身、其運行所依賴的資源以及交互對象發生異常的風險來源和具體作用方式.

1)識別構成信息系統的資產清單及資產拆解

系統中斷風險識別首先根據信息系統架構識別系統層級關系和資產類別.對信息系統自身包含的資產可按照所屬的資產分類進行識別.對識別出來的具體資產需要進行組件的拆解，直至最小可維護組件.

2)識別資產的交互對象以及資產依賴的資源

在信息系統與交互對象進行交互的情況下，上游或下游的交互對象狀態異常都可能導致信息系統中斷.因此識別信息系統中斷，需要梳理出單個資產進行交互的所有上游交互對象和下游交互對象.

信息系統的正常運行依賴于支撐其運行各層級IT資產的正常運行;每一層級的資產中斷均有可能引起其所支撐的上層級資產的中斷.因此，要識別信息系統中斷不僅要識別信息系統自身的資產及交互的對象，還需要識別信息系統資產依賴的具體資源.

3)識別導致資產組件、交互對象或依賴資源異常的風險源和作用方式

識別導致資產組件、交互對象或依賴資源異常的風險源和作用方式時，由于資產或組件可能面臨共性的風險源和作用方式，因此應首先將資產或組件作為一個整體識別可能導致異常的風險源和作用方式，然后再對資產或組件下面的子資產或子組件識別可能導致異常的風險源和作用方式.

4)根據識別出的風險要素描述風險點

風險點描述是對已識別的信息系統中斷風險點進行文字描述，該描述包含風險源、作用方式等要素.為保證描述的規范性、一致性和可讀性，對于系統中斷風險點的描述格式規范如下:

風險點描述總體格式包含4部分內容:信息資產組件 子組件、風險源、作用方式、中斷表現形式.

1.2.2 數據篡改或差錯風險識別

數據篡改或差錯風險識別是通過識別業務場景和數據承載的資產，分析生命周期各環節中可能導致數據差錯的風險來源和具體作用方式.

1)識別業務場景和數據

為了全面地識別業務系統的處理場景和數據，首先需要識別能夠與系統進行交互的角色.

交互角色可分為兩大類:系統使用人員和運行維護人員.其中，系統使用人員根據確定的業務系統，梳理業務系統具有的功能，進而識別業務場景;運行維護人員根據工作任務識別業務場景.

2)識別數據流經的資產

為識別數據流流經的資產，首先分析信息系統的拓撲圖.系統拓撲一般包括終端、主機服務器、網絡設備及鏈路.信息系統中的服務器可能與銀行內其他信息系統服務器和外部服務器進行數據交互.如果是與銀行內其他信息系統服務器進行數據交互，需識別出交互對象的主機、接口和交互鏈路.如果是與外部進行交互，只需識別出進行數據交互的鏈路.

3)分析資產中與數據相關的組件

數據流轉到某資產后，數據在資產中存在從產生、存儲、操作及銷毀的生命周期，并且整體生命周期也會由相應的組件對數據進行處理.要識別數據在此資產中的差錯風險，需要識別在此資產上所有與數據相關的組件，其組件也要拆解到可維護級別.

4)識別導致數據差錯的風險源和作用方式

識別導致數據差錯的風險源和作用方式的原則與中斷風險中的識別原則相同，先將資產或組件看作一個整體進行識別，再對資產或組件下面的子資產或子組件進行識別.

5)根據識別出的風險要素描述風險點

篡改或差錯風險點描述總體格式:信息資產組件 子組件、風險源、作用方式、差錯表現形式.

1.2.3 信息泄露風險識別

信息泄露風險識別是識別造成系統提供的功能或信息過多，以及非授權人員獲取信息的風險來源和具體作用方式.

1)識別業務場景和敏感信息

為全面地識別信息系統的處理場景和敏感信息，首先需要識別能夠與系統進行交互的角色.

信息泄露風險關注機構擁有的敏感信息.對于本機構擁有的敏感的業務類數據，可以按照信息系統來識別:

①確定信息系統;

②梳理信息系統功能;

③根據信息系統功能識別敏感程度高的業務類數據;

④匯總形成業務敏感信息清單.

在業務系統拓撲中終端、主機設備、網絡設備上，有一類信息敏感程度較高，即為應用系統、操作系統、物理設備等的配置參數.在識別配置參數時，將配置參數識別到可配置級別，例如路由器的協議配置參數等.參數類信息的識別可在建立信息系統網絡拓撲圖之后進行識別.

2)識別數據流經的資產

對于信息泄露，識別數據流經的資產與“數據差錯識別方法”中“識別數據流經的資產”的方法相同.信息泄露可能發生在數據流經的任何一個資產上，因此，識別信息系統中的信息泄露風險需要識別數據流經哪些資產，并識別作用在這些資產或組件上導致信息泄露的風險源和作用方式.

3)分析資產中與數據相關的組件

數據流轉到某資產后，數據在資產中存在從產生、存儲、操作及銷毀的生命周期，并且整體生命周期也會由相應的組件對數據進行處理.要識別數據在此資產中的泄露風險，需要識別在此資產上所有與數據相關的組件，其組件也要拆解到可維護級別.

4)識別導致信息泄露的風險源和作用方式

識別導致信息泄漏的風險源和作用方式的原則與上面的識別原則相同，應先將資產或組件看作一個整體進行識別，再對資產或組件下面的子資產或子組件進行識別.

5)根據識別出的風險要素描述風險點

泄露風險點描述總體格式:信息資產組件 子組件、風險源、作用方式、信息泄露表現形式.

2 風險基礎庫建設

運用上述風險識別方法，對典型的信息系統模型識別常見的安全風險特征，形成信息系統安全風險基礎數據庫.信息系統風險基礎庫包括應用系統庫、系統資源風險庫、網絡通信風險庫和基礎環境風險庫4部分.

2.1 應用系統風險庫

目前絕大多數應用系統采用BS方式，典型的應用系統由客戶端、Web展示服務器、應用服務器、數據庫服務器等構成，而對于CS方式的程序一般缺少Web服務器，由客戶端和應用處理服務器構成.

1)Web服務層作為客戶端和應用服務器的中間層，為用戶提供服務，并與客戶端和應用服務器雙向產生交互關系;Web展示層的依賴資源主要包括對Web服務器起到支撐作用的計算資源、存儲資源等;Web展示層自身面臨的風險主要包括邏輯輸入、處理、輸出等組件.

2)應用處理層風險主要包括交互對象風險、依賴資源風險和自身風險.在交互對象方面，應用服務器作為Web服務器與數據庫服務器的中間層，與雙方發生交互關系，面臨交互風險，同時還與機構內部或外部其他應用系統交互;在依賴資源方面，應用服務器正常運行依賴于下層提供足夠的支撐資源，任一支撐資源異常都會造成應用服務器風險.

3)客戶端作為應用系統的前端交互接口，主要功能為界面展現和處理用戶輸入.客戶端依賴支撐平臺提供的資源，與Web展示服務器或在CS模式下直接與應用處理服務器進行信息交互.客戶端在正常運行過程中與Web服務層進行交互，面臨交互風險;客戶端的依賴資源主要包括對客戶端應用系統起到支撐作用的計算資源、存儲資源等;客戶端層自身面臨的風險主要包括JS腳本模塊、HTML頁面模塊、ActiveX控件等可執行程序或腳本進入異常狀態導致的系統中斷、數據差錯和信息泄露風險.

2.2 系統資源風險庫

根據信息系統組成結構，系統資源層通常由中間件、數據庫、操作系統、存儲系統、主機、終端設備、存儲介質構成.系統資源層處于應用層與物理層之間，對上層應用系統正常運行起到支撐作用，又依賴下層物理基礎設施提供的支撐服務.

1)中間件、數據庫、操作系統、主機等面臨自身技術故障、操作失誤、惡意攻擊和破壞風險以及依賴資源的缺乏使用許可、資源故障、性能不足等風險.

2)存儲系統主要包括存儲設備、存儲光纖交換機、存儲光纖鏈路、磁帶庫等.存儲系統面臨自身技術故障、操作失誤、惡意攻擊和破壞風險以及依賴資源的缺乏使用許可、資源故障、性能不足等風險.

3)終端設備主要包括自助設備、PC終端、移動終端等.終端設備面臨自身技術故障、操作失誤、惡意攻擊和破壞風險.

4)存儲介質主要包括硬盤、U盤、光盤、磁帶等.存儲介質面臨自身技術故障、操作失誤、惡意攻擊和破壞風險.

2.3 網絡通信風險庫

通常情況下，網絡通信層主要包括本機構與外部機構的網絡通信、機構內各網絡區域之間的網絡通信、各網絡區域內的網絡通信.這3個層級的網絡通信狀態正常都需要滿足3個條件:網絡設備正常、網絡鏈路正常以及依賴資源正常.

1)網絡設備主要包括交換機、路由器、防火墻、無線AP等.網絡設備由一系列可維護組件構成，主要包括背板、CPU、內存等.網絡設備面臨的風險主要來自于技術故障和缺陷、人員操作失誤以及惡意攻擊和破壞.

2)網絡鏈路面臨的風險主要來自于技術故障和缺陷、人員操作失誤、環境破壞以及惡意攻擊和破壞.

3)網絡通信依賴資源主要包括電力供應、電信線路、工作場所等起到支撐保障作用的資源，其可能出現的異常狀態會導致網絡通信中斷.

2.4 基礎環境風險庫

作為支撐信息系統正常運營的基本條件，基礎環境層主要包括建筑物、工作場所、電力供應和運營商線路.基礎環境層面臨的風險根據風險來源由內向外主要包括自身技術故障和缺陷、人員操作失誤、外部物理破壞以及惡意攻擊和破壞.

1)建筑物作為工作場所的物理載體，面臨的風險主要來源于自身物理損毀、人員誤操作造成的破壞、外部物理破壞以及惡意攻擊和破壞造成的建筑物受損.

2)工作場所是信息系統運行的物理基礎場所，主要關注進出通道及工作區域.工作場所風險根據風險來源不同主要包括工作場所自身物理損毀、人員操作失誤引發火災或封閉失效、外部物理破壞以及惡意攻擊和破壞造成的信息泄露和系統中斷.

3)電力供應根據其電力輸送過程從城市配電起始，途徑區域變電所、大樓、樓層配電柜等進入設備.其風險主要包括電力供應設施的技術故障和缺陷、人員操作失誤、外部物理破壞以及惡意攻擊和破壞導致的電力中斷.

4)運營商通信線路根據其通信信號傳輸過程從電信運營商局端起始，途徑機房通信鏈路進入設備，其風險主要包括技術故障和缺陷、人員操作失誤、人員操作缺失、外部物理破壞以及惡意攻擊和破壞導致運營商線路通信中斷.

3 應用效果

中國建設銀行運用信息系統安全風險識別方法，共識別風險源89類、作用方式209類、保護對象259類，初步識別1088個統一描述的信息系統安全風險特征.信息系統安全風險識別方法和風險基礎庫的建立統一了銀行審計部門、風險管理部門、信息技術部門對風險的認知，并可應用于新技術風險分析、系統需求分析、上線測試驗收、應急預案編制、系統風險評估和檢查等信息系統生命周期的多個階段，為安全風險管理工作提供抓手.中國建設銀行選取部分應用系統常見風險點，編制了136個測試用例，對6個信息系統進行測試，新發現了208個控制缺陷;組織5家分行運用風險識別方法和風險庫，共識別具體機房風險1132個，未有效控制風險62個，識別具體系統資源風險2168個，未有效控制風險93個;運用識別方法新發現移動應用安全風險特征6個，Web應用攻擊風險特征5個.通過有效識別風險，有針對性地加強系統加固和風險管控，有效提升了信息系統的安全性.

4 總 結

風險識別是風險管理的起點和基礎，本文針對當前商業銀行面臨的信息系統安全風險管理問題，通過借鑒國內外業界標準和最佳實踐，深入分析內外部典型安全事件、監管風險提示等，建立信息系統安全風險要素模型、識別方法和風險基礎數據庫，統一風險認知，實現了對信息系統安全風險的有效識別，為安全風險管理工作提供抓手，提高了銀行風險管理水平，增強風險管控能力，支持銀行金融科技創新和發展.