图2 风险评估可划分为三个阶段
从这个过程可以看出,风险识别是风险评估的基础,只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别是要对评估对象存在的弱点及面临的威胁进行识别。由于评估对象面临的威胁是客观存在的,因此识别评估对象存在的弱点也就成为风险识别的关键。
风险评估实践指导
启明星辰公司不仅协助多家银行完成了信息科技风险评估的项目,同时为了更好地做好银行信息科技的风险评估,还根据不同的风险评估类型做了大量的实际工作。
1.整体风险评估
由于整体风险评估覆盖范围广,其又是反映宏观层面的风险,因此应该以调查方式为主,以检查、安全测试方式为辅。
为此启明星辰针对整体风险评估做了详细的调查问卷,涵盖了信息科技的各个方面。整个调查问卷的设计思想为:IT目标是为了实现业务目标,而IT目标是通过资源实现的,资源包括数据、应用系统、基础设施、人,这些资源是通过流程进行管理的。
一般来讲,银行的IT目标就是在满足合规管理的要求下,支持业务创新和业务运营。合规管理就是要符合监管机构的要求,如银监会;支持业务创新就是通过开发或者购买新的信息系统满足或者促进业务的发展;支持业务运营则是保证信息系统安全稳定运行,从而保证业务的持续运营。为了实现这个目标,需要管理流程和基础资源配备进行支撑,管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等四类,基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。
根据此思路,启明星辰确定了风险检查点和检查指标,形成了调查问卷。并且为了方便使用,将调查问卷做成工具,结合调查结果进行风险分析,问卷界面及风险分析结果如下图3所示:
图3 启明星辰整体风险评估调查问卷界面和风险分析结果示意
2.专项风险评估
专项风险评估应该反映微观层面的风险,反映信息科技某一方面或者某个系统存在的风险,因此应该深入查找评估对象存在的风险。
基于此,专项风险评估应该采取以检查与安全测试为主,调查为辅的方法。而无论在检查还是安全测试方面,启明星辰都有着深厚的研究与积累:◆启明星辰不但参与制定了国家一些标准,如漏洞扫描标准、IDS标准,而且紧密关注国际、国家及行业标准与要求,并组织人员对标准或者行业要求进行研究、解读,研读金融行业的标准如《巴塞尔协议》、《商业银行信息科技风险管理指引》、《电子银行安全评估指引》、《网上银行系统信息安全通用规范(试行)》等。通过对标准研究,可以更好地协助用户满足监管机构的要求。
◆启明星辰通过长期积累,形成了一套完善的技术文档,如常见操作系统、数据库、网络设备、安全设备、网管系统的安全检查列表、安全配置手册及脚本工具。可以对评估对象的配置文件进行提取,并进行审核,发现其中的薄弱环节,并提供可行的整改建议。
◆启明星辰致力于漏洞技术的挖掘与攻击技术的研究,并且具有自己的积极防御实验室,可以从代码层面对应用系统进行检查。同时,积极防御实验室成员还可以模拟黑客行为,对系统进行人工渗透,可以直观地发现其中的弱点,并提供可行的整改建议。
相关阅读