随着计算机技术和网络技术的迅猛发展,人类正进入信息社会,信息技术被广泛的应用于各行各业。金融业是最具典型的一个行业,银行业务的发展对信息资源的依赖程度越来越高,而由于环境的开放和信息系统自身的缺陷,敏感信息的泄露、计算机病毒的泛滥、黑客的入侵,导致信息面临巨大的安全风险。解决信息安全问题不仅要从技术方面着手,更应该加强信息安全的管理工作。只有从技术、管理等不同的方面采取措施,建立信息安全管理体系,并有效的进行安全风险管理和控制,才能真正的保证信息系统和信息资源的安全。
随着城市商业银行业务的不断发展,信息技术在银行内部扮演着越来越重要的角色。只有做好城商行信息安全的风险管理和控制工作,做到城商行信息系统能够持续、稳建、安全的运行、才能保证客户信息的安全、资金的安全。因此,城商行董事会和高管层也高度重视城商行的信息安全的风险管理工作。做好信息安全风险评估工作,是城商行信息安全风险管理工作的一项重要举措。
本文以城市商业银行信息科技资产为基础,详细介绍城商行信息安全风险评估工作的方法、过程和步骤,供广大读者参考。
一、 信息安全风险评估的过程
参照行业内一些比较常用的风险评估方法及第三方咨询公司的合理化建议,城市商业银行信息安全风险评估工作涉及以下阶段:评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、识别安全措施和输出结果、分析可能性和影响、评价风险、风险处理、编写信息安全风险评估报告。
影响 识别并评估威协 评估准备 识别并评价资产 识别并评估脆弱性 识别安全措施 可能性 评估风险 风险处理 编写信息安全风险评估报告 二、 评估准备
信息安全风险评估准备是实施风险评估的前提,为了保证评估过程的可控性及评估结果的客观性,在信息安全风险评估前应进行充分的准备和计划,信息安全风险评估的准备活动主要包括:确定信息安全风险评估的目标;确定信息安全风险评估的范围;组建适当的评估管理与实施团队;进行系统调研;确定信息安全风险评估依据和方法;制定信息安全风险评估方案;获得最高管理者对信息安全风险评估工作的支持。 1.信息安全风险评估的目标
城市商业银行信息安全风险评估工作主要是为了保证行内与信息系统相关的信息资产能够达到城商行对信息安全的保密性、完整性和可用性的要求,为城商行业务的不断发壮大提供坚强、稳定、安全的信息科技环境。 2.信息安全风险评估的范围
城市商业银行信息安全风险评估工作的评估的范围主要包括行内信息科技相关的组织、人员、制度、管理流程、软硬件系统、文档、数据、设备、网络、机房等信息科技资产。 3.信息安全风险评估管理与实施团队
此次风险评估工作城市商业银行成立了专门的风险评估团队,负责人为总行信息科技部总经理,实施成员包括总行风险合规部员工、网络银行员工和信息科技部员工。外部专家团队邀请上海天帷公司的高级咨询顾问给予指导。
三、 识别并评价资产
1.识别资产
在信息安全风险评估的过程中,应清晰的识别所有的相关的信息资产、不能遗漏,城市商业银行信息安全风险评估工作所识别的信息科技资产主要包括与信息科技相关的系统类资产和非系统类资产。目前城商行所采取的资产识别方式主要是手工记录表格的方式来完成。
系统类资产主要包括:行内目前正在使用的各类信息系统(如核心系统、信贷系统、电子银行系统、OA系统等),以及系统所包含的业务信息、系统组件、配置信息、日志信息和备份数据。
非系统类资产主要包括:文档数据类资产、应用软件类资产、硬件设备类资产、人力资源类资产、供应商类资产(如与城市商业银行有合作关系的外包厂商的相关信息)。 2资产赋值
城市商业银行信息安全风险评估工作在对信息科技资产识别完成得到详细的信息资产清单后,开始对资产进行评价,资产评价过程不是以信息科技资产的经济价值来衡量,而是以资产的保密性(C)、完整性(I)、和可用性(A)三个安全属性为基础进行衡量。资产在C、I、A上的要求不同,则资产的最终价值也不同。以下表1、表2和表3表示保密性、完整性和可用性的赋值表。
表1 资产保密性赋值表
赋值 5 4 3 2 1 标识 很高 高 中等 低 很低 定义 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 可对社会公开的信息,公用的信息处理设备和系统资源等
表2 资产完整性赋值表
赋值 5 标识 很高 定义 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略 4 3 2 1 高 中等 低 很低
表3 资产可用性赋值表
赋值 5 4 3 标识 很高 高 中等 定义 业务完全依赖该资产,一旦出现故障,业务完全中断 业务依赖于该资产,一旦出现故障,业务不能顺利进行 业务部分依赖于该资产,一旦出现故障,业务将延期或质量下降 业务依赖于该资产的程度不高,一旦出现故障,可寻求其他方式替代 业务对该资产没有依赖,出现故障,业务不受影响 2 低 1 很低
3.确定重要资产
资产赋值完成之后,形成最终的《城市商业银行信息科技资产系统类识别表》和《城市商业银行信息科技资产非系统类资产识别表》,对于识别表中,各项资产经过C、I、A赋值后所得到的资产价值大于等于3的均认定为重要资产。
四、识别并评估威胁
完成资产的识别及评价后,紧接着要做的就是识别每项重要资产可能面临的威胁,即进行威胁识别,城市商业银行在对重要信息科技资产进行威胁识别时,主要采用的是日志分析、人员访谈的方式。通过对网络设备日志、操作系统日志和应用系统日志的分析来发现曾经发生过的威胁,获取威胁信息。通过对系统管理员访谈可以获取某系统曾经发生过的威胁。
对于每项重要信息资产所面临的威胁如果按照来源进行分类,则可以分为:环境因素类、人为因素两大类。其中环境因素包括断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等以及软件、硬件、数据、通信线路等方面的故障;其中人为因素又包括恶意人员和非恶意人员。
另外对于威胁如果按照表现形式分类,则可以分为:软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改及抵赖等种类。
城市商业银行在对每项重要的信息资产确认其威胁时主要是基于表现形式进行的分类。完成重要资产所面临的威胁的识别后,需要对威胁进行评估赋值,赋值主要依据威胁出现的频率的高低分为很高、高、中、低、很低共五个等级,对应的值分别为5、4、3、2、1用来表示某项威胁对某一种重要信息科技资产的影响程度。
五、识别并评估脆弱性
在进行信息安全风险评估的工作过程中,仅有威胁还构不成风险,威胁只有利用了特定的脆弱性才可能产生信息安全风险,才能对资产造成影响。所以城市商业银行在进行信息安全风险评估的过程中,同时针对每一项重要信息科技资产找出了可被威胁利用的脆弱性。
城市商业银行在脆弱性识别工作上主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层和应用层等各个层面的安全问题,管理脆弱性又分为技术管理和组织管理两个方面,前者与技术活动相关,后者与管理环境相关。如下表4所示。
表4 脆弱性分类列表
类型 识别对象 物理环境 技术脆弱性 服务器(含操作系统) 识别内容 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别 从物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别 网络结构 数据库 应用系统 技术管理 组织管理 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别 审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机构、密码保护等方面进行识别 管理脆弱性 物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性管理 安全策略、组织安全、资产分类与控制、人员安全、符合性 脆弱性识别完成之后,需要对脆弱性进行赋值,脆弱性赋值主要依据对资产损害程度、技术实现的难易程度,以及弱点流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值,对于城市商业银行某一个具体的信息科技资产而言,其技术脆弱性的严重程度受到组织的管理脆弱性的影响,因此,城商行对于信息科技资产的脆弱性赋值还参考了技术管理和组织管理脆弱性的严重程度。,赋值主要依据脆弱性严重程序的高低分为很高、高、中、低、很低共五个等级,对应的值分别为5、4、3、2、1用来表示某项信息科技资产的脆弱性情况。
六、识别安全措施
虽然某项威胁利用了信息科技资产的某项脆弱性可以产生信息安全风险,但是如果针对该项资产已经采取了有效的安全措施,则该项资产产生信息安全风险的可能性便可以被降到最低。因此,城市商业银行在进行信息安全风险评估工作的过程中同时进行了针对信息科技资产的安全措施识别,通过安全措施的识别工作,城商行能够了有效的指出某项信息科技资产的安全措施是否存在不足,同时也避免了重复投资。城市商业银行主要从技术控制措施、管理和操作控制措施两方面进行安全措施的识别工作。并与信息科技的所有的重要资产进行一一识别,将识别出的结果连同识别出的威胁和脆弱性一同作为评估信息安全风险的重要因素。
七、分析可能性和影响
构成信息安全风险有四个要素:信息科技资产、威胁、脆弱性和安全措施,在识别了这四个要素之后,有什么风险就可以显现了。另外,评价风险有两个关键的因素:一是威胁对信息科技资产造成的影响,二是威胁发生的可能性。 1.分析可能性
根据威胁出现在频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V)
其中,T表示威胁出现频率的值,V表示脆弱性的值,L表示威胁利用资产的脆弱性导
致安全事件发生的可能性。
2.分析影响
根据资产重要程度(即资产的价值)及脆弱性严重程度,计处安全事件一旦发生后的损失,即:
安全事件的影响= F(资产重要程度,脆弱性严重程度)= F(Ia,Va)
其中,Ia表安全事件所作用的资产价值,Va表示脆弱性严重程度,F表示安全事件发生后造成的损失。
八、评估风险
在完成了资产识别、威胁识别、脆弱性识别以及安全控制措施的确认后,将对重要的信息科技资产进行风险计算。通常我们会根据威胁利用资产的脆弱性导致安全事件发生的可能性,安全事件发生后造成的损失来计算风险值:即
风险值 = R(A,T,V)
= R(安全事件发生的可能性,安全事件的损失)= R(L(T,V),F(Ia,Va)) 其中,R 表示风险计算函数,A表示资产,T表示威胁,V表示脆弱性。
常用的风险计算方法有矩阵法和相乘法,城市商业银行在进行信息安全风险评估的过程中采用的是相乘法来计算风险的值。相乘法主要适用于由两个要素值确定一个要素值的情形,即函数z=f(x,y),使用相乘法即:z=
或者
,最后要依据业界通用的风险
等级划分表,如下表5风险等级划分表来确定最终的风险等级和风险值。
表5 风险等级划分
风险值 风险等级 1~5 1 6~10 2 11~15 3 16~20 4 21~25 5 九、风险处理
信息安全风险评估的结果计算完成之后,需要在城市商业银行信息科技风险管理小组的会议上讨论系统可接受的风险等级,再根据风险等级确定每一项重要的信息科技资产的风险控制目标和控制措施。通常会从技术层面的安全功能、组织层面的安全控制和管理层面的安全对策来进行风险处理。
十、编写信息安全风险评估报告
通过以上一系列的风险评估过程,城市商业银行信息安全风险评估的管理与实施团队对所评估的信息科技资产的风险状况已经非常清楚,最后将通过报告的方式将评估过程与评估
结果记录下来,形成最终的《城市商业银行信息安全风险评估报告》并提交给城商行的高管层。高管层可以根据此报告决定控制措施的选择和风险接受等问题。
因篇幅问题不能全部显示,请点此查看更多更全内容