信息科技風險“ 三道防線” 管理系統設計研究

鈕玉明

關鍵詞 信息科技風險管理 三道防線 研究

近年來，隨著科技的發展和應用，各行各業紛紛開展“互聯網+”以及數字化轉型，使得金融科技迅猛發展，企業的業務運營、經營管理更加依賴信息科技服務。利用信息科技可以提升企業的經營效率，同時也帶來了相應的風險，如數據泄露、網絡安全、系統中斷等風險事件都將對企業經營與聲譽帶來嚴重損失，尤其是當前網絡安全形勢日益嚴峻，APT 攻擊活動頻繁，使得信息科技風險發生的可能性、損害性大大增加，信息科技風險管理成為企業運營過程中必須考慮的重要環節。本文分析了“三道防線”管理體系在企業的應用方式，建立信息科技風險管理系統，探索通過技術方法有效提高企業的信息科技風險管理水平的途徑。

1信息科技風險管理概述

1.1信息科技風險定義

針對信息科技風險，國際上有三種主流定義：一是ISO 國際標準化組織給出的邏輯定義———信息科技風險是一種給定的威脅對某項信息科技的脆弱方面進行攻擊，造成整體組織損害的潛在可能性，信息科技風險可描述為該威脅發生的概率與其所能造成的損失的乘積，即“威脅發生概率×造成的損失= 風險”，也可以轉化為“風險威脅×風險管控脆弱性=風險”;二是NIST 做出的技術化定義———信息科技風險是指對信息系統脆弱方面攻擊，并對組織造成損失的可能;三是ISACA 在應用角度做出的偏向于管理的定義———信息科技風險就是對組織內使用和操作應用信息科技所造成的業務風險。廣義的信息科技風險強調因技術漏洞、人為操作以及其他各種因素導致的業務、聲譽、生命、財產等各類風險。狹義的信息科技風險強調系統運行階段產生的風險，指由于管理、技術或外部事件對系統網絡穩定運行造成威脅的風險[1] 。

1.2信息科技風險分類

信息科技風險主要分為技術風險和管理風險。技術風險指計算機硬件、軟件、網絡等系統引發的不利情況，包括系統崩潰，安全缺陷、軟件漏洞、硬件故障、人為操作、災備不足、性能不足、監控疏漏等技術支持不到位等;管理風險主要包括管理制度不完善、系統關聯復雜、人員技能不足、項目管理不到位等。

1.3信息科技風險特征

信息科技風險特征包括影響范圍大、不確定性高、防范手段不夠、損失計量困難、易擴散等。潛在的威脅加上風險管控的脆弱性便可能造成服務質量下降、資金賬務差錯及資金損失、敏感數據泄露、不符合監管要求和法律規定等風險[2] 。因信息科技風險的危害性和不可控性，且與其他風險區別較大，有其獨立性和重要性，應該與其他風險的管理分開，單獨管理。

1.4信息科技風險管理目標和過程

信息科技風險管理目標主要有四個方面：一是強化對信息資產的保護能力，確保業務的持續穩定運營;二是提升業務創新的支持能力，關注新技術新環境下信息安全威脅;三是滿足監管政策的要求，提高合規性要求的落地能力;四是防止數據泄露，確保數據安全，避免數據泄露及篡改造成的聲譽或資金損失[3]。

信息科技風險的管理主要明確管理內容和管理目標，進行風險識別，管理已知風險，并對未知風險進行風險預防和資源儲備，總結來看是找出風險，想辦法處置風險，總結風險控制效果，目標是少出事、不出事。

2信息科技風險管理系統設計

2.1業務需求分析

為保障業務系統安全穩定運行，應對可能發生的各種科技風險，需建立包括開發運維、風控、審計在內的信息科技風險管理“三道防線”[4] ，構建有效的風險防控框架體系，具體設置如下。

第一道防線：為系統建設及運行單位，負責運維管理、開發管理、基礎環境建設、制定應急預案，用技術手段加強管理，優先恢復系統對外服務。在信息系統開發和運行工作中識別風險、報告風險并處置風險。

第二道防線：由科技管理部門或風險管理部門承擔，負責建立流程管理機制，厘清風險指標和責任，建立風險評估標準和網格化責任體系，進行風險控制，監督第一道防線的風險管理落實情況。

第三道防線：為審計合規部門，通過對第一、第二道防線進行獨立、客觀的評價和審查，監督各條線工作落實情況，對相關流程和風險控制措施的有效性、合理性開展審計，提出意見、建議，并督促整改，落實風險的事后控制。

“三道防線”框架如圖1 所示。在“三道防線”框架下，信息科技活動、風險管理活動、審計活動有計劃、有規則的相互協同配合，實現信息科技部門單一管理向協同管理轉變，實現感性的信息科技風險管理向理性的、量化的風險管理轉變。

2.2系統功能分析

2.2.1功能需求

信息科技風險管理系統主要功能面向第一、二、三道防線，使用B/ S 結構，提供GUI 服務供操作人員使用，主要的功能需求是數據接入、風險識別和分析、風險處置、報告及統計，具體描述如下。

數據匯集接入：匯總軟硬件資源信息、外部風險信息匯集、系統監控運行信息，監管指揮信息。

風險識別、分析：設計風險量化表，對匯集的風險原始數據進行識別，明確風險源頭，分析風險成因;能夠進行風險概率分析;能夠進行影響面和損害程度分析;能夠給出處置提示。

風險處置：能夠為風險分配責任人，給出建議方案，責任人在處置后給出處置結論。

報告及統計：按需要形成風險事件統計報表及處置情況報告。

其中，風險識別、風險處置主要為第一道防線服務，風險分析評估為第二道防線服務，風險報告主要為第二、第三道風險服務。

2.2.2非功能需求

系統部署在企業內網環境，主要面向技術、風險管理人員，用戶數量有限，因此非功能性需求主要是界面友好性、系統可靠性以及響應時間方面，系統應保持99%可用率，RTO 不超過2 小時。系統界面設置應該簡單清晰，具備友好性，功能用戶具有相應的角色、權限，可針對不同用戶開放不同的功能。系統應考慮數據備份，保證數據完整性，防范數據丟失、泄露，在數據遭到破壞的情況下可以進行數據恢復。

2.3系統架構設計

系統應用架構如圖2 所示，客戶端采用B/ S 架構，應用技術框架基于Spring Framework/ Boot 開發;應用部署環境是“X86 服務器+ RHEL7.6 操作系統（兼容Centos 7.6 等）+ JDK8”，數據庫采用MySQL 社區版。遵循自主可控的原則，使用目前業內廣泛使用的成熟開源技術組件與國產化技術。

系統關鍵技術點是業務系統運行指標的收集，風險發現的及時性是風險管理的重要方面，為及時、有效發現業務系統存在的運行風險，則需要實時同步獲取業務系統相關日志，通過分析日志，獲得相應風險指標。

為達到以上目的，本系統使用“rsync+inotify”的方式實現業務系統日志服務器的日志文件同步。rsync 能夠實現文件同步功能，且具有高安全性、快速、支持增量的特性，但同時也存在以下不足：一是使用rsync 進行的差量傳輸需要掃描對比全量文件，在日志量不斷增大后，掃描過程耗時較長，且增量文件只是很小的一部分，使得數據同步效率低;二是rsync 無法實時監測文件系統的變化，不能做到數據變化后的即時同時，而針對業務系統運行數據的風險監控即時性要求較高，因此rsync達不到精準的要求。而Linux 系統下具有inotify 機制，能夠較好的解決文件監控問題，通過inotify 可以實施監控文件系統的增、刪、改等各種細微變動。因此，通過“rsync+inotify”的方案，可以實時監控到業務系統日志文件的變化，當有文件變化后就觸發rsync 同步，實現數據源系統到目的系統的及時同步。

2.4系統功能模塊

系統主要分為數據接入模塊、風險管理中心模塊、風險統計報告模塊。各模塊主要功能如下。

數據接入模塊：本模塊收集并存儲原始數據和配置數據。原始風險數據包括匯集企業信息化資源信息、監控告警信息以及各類指揮預警信息。信息化資源包括業務系統信息、服務器、網絡設備、存儲、安全設備、配置信息、線路信息、人員信息、辦公設備、加密設備等。監控告警信息包括來自業務系統的監控指標以及運行指標信息。指揮預警信息包括來自公安、網信、監管以及社會層面的各類風險告知信息。其中，資源類信息由用戶導入，并負責動態管理;監控告警類信息通過以上技術手段獲取業務系統日志并分析獲得;指揮預警類信息通過與網絡安全態勢感知平臺對接獲得。

風險管理中心模塊：主要實現三個功能，一是風險基礎參數設置，包括風險分類庫和風險指標庫，風險分類庫通過風險編號、風險名稱、風險等級、上級風險等指標對風險進行分類;風險指標庫包括風險分類、風險指標項、預警規則、閾值、責任部門等[5] 。二是風險分析要素設置，模型為風險名稱、風險描述、風險損失度、發生可能性、風險值、風險等級、處置措施、責任部門。三是將風險分為設施故障風險、網絡安全風險、外包風險、項目風險、系統運行風險和其他風險，分別進行明細展示，即展示風險說明、上報日期、處置狀態、責任人等，并提供處置按鈕。

風險統計報告模塊：提供首頁展示、統計報表及用戶管理等功能。

第一道防線通過風險管理中心進行信息科技風險識別和風險處置，確保相關風險得到及時有效的處置。第二道防線不斷優化信息科技風險分類分級和分析評估模型，不斷改善風險識別、分析和評估的精準性。第三道防線通過信息科技風險統計和報告，監督風險處置落實情況。

3結束語

本文從信息科技風險管理實際出發，對以“三道防線”為基礎的信息科技風險管理系統進行設計和建設，通過技術手段使得信息科技風險得以有限匯集，風險的威脅及風險的處置得以充分展現，在一定程度上規范并提高企業的信息科技風險管理水平。但信息科技風險管理體系的完善并非一蹴而就，而是在實踐中不斷優化和提高。建立完善的風險量化和風險預警機制，實現信息科技風險量化監控和自動化的風險分析、預警，進行可度量的信息科技風險管理，將是進一步的研究目標。