圖2 風(fēng)險(xiǎn)評(píng)估可劃分為三個(gè)階段

從這個(gè)過程可以看出，風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，只有完整地識(shí)別出被評(píng)估對(duì)象的風(fēng)險(xiǎn)才可能進(jìn)行正確的風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)定級(jí)。風(fēng)險(xiǎn)識(shí)別是要對(duì)評(píng)估對(duì)象存在的弱點(diǎn)及面臨的威脅進(jìn)行識(shí)別。由于評(píng)估對(duì)象面臨的威脅是客觀存在的，因此識(shí)別評(píng)估對(duì)象存在的弱點(diǎn)也就成為風(fēng)險(xiǎn)識(shí)別的關(guān)鍵。

風(fēng)險(xiǎn)評(píng)估實(shí)踐指導(dǎo)

啟明星辰公司不僅協(xié)助多家銀行完成了信息科技風(fēng)險(xiǎn)評(píng)估的項(xiàng)目，同時(shí)為了更好地做好銀行信息科技的風(fēng)險(xiǎn)評(píng)估，還根據(jù)不同的風(fēng)險(xiǎn)評(píng)估類型做了大量的實(shí)際工作。

1.整體風(fēng)險(xiǎn)評(píng)估

由于整體風(fēng)險(xiǎn)評(píng)估覆蓋范圍廣，其又是反映宏觀層面的風(fēng)險(xiǎn)，因此應(yīng)該以調(diào)查方式為主，以檢查、安全測試方式為輔。

為此啟明星辰針對(duì)整體風(fēng)險(xiǎn)評(píng)估做了詳細(xì)的調(diào)查問卷，涵蓋了信息科技的各個(gè)方面。整個(gè)調(diào)查問卷的設(shè)計(jì)思想為：IT目標(biāo)是為了實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，而IT目標(biāo)是通過資源實(shí)現(xiàn)的，資源包括數(shù)據(jù)、應(yīng)用系統(tǒng)、基礎(chǔ)設(shè)施、人，這些資源是通過流程進(jìn)行管理的。

一般來講，銀行的IT目標(biāo)就是在滿足合規(guī)管理的要求下，支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運(yùn)營。合規(guī)管理就是要符合監(jiān)管機(jī)構(gòu)的要求，如銀監(jiān)會(huì)；支持業(yè)務(wù)創(chuàng)新就是通過開發(fā)或者購買新的信息系統(tǒng)滿足或者促進(jìn)業(yè)務(wù)的發(fā)展；支持業(yè)務(wù)運(yùn)營則是保證信息系統(tǒng)安全穩(wěn)定運(yùn)行，從而保證業(yè)務(wù)的持續(xù)運(yùn)營。為了實(shí)現(xiàn)這個(gè)目標(biāo)，需要管理流程和基礎(chǔ)資源配備進(jìn)行支撐，管理流程可分為IT業(yè)務(wù)創(chuàng)新支持、IT業(yè)務(wù)運(yùn)營支持、IT合規(guī)管理及IT治理等四類，基礎(chǔ)資源配備包括支撐IT運(yùn)行的人、信息、應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施。

根據(jù)此思路，啟明星辰確定了風(fēng)險(xiǎn)檢查點(diǎn)和檢查指標(biāo)，形成了調(diào)查問卷。并且為了方便使用，將調(diào)查問卷做成工具，結(jié)合調(diào)查結(jié)果進(jìn)行風(fēng)險(xiǎn)分析，問卷界面及風(fēng)險(xiǎn)分析結(jié)果如下圖3所示：

圖3 啟明星辰整體風(fēng)險(xiǎn)評(píng)估調(diào)查問卷界面和風(fēng)險(xiǎn)分析結(jié)果示意

2.專項(xiàng)風(fēng)險(xiǎn)評(píng)估

專項(xiàng)風(fēng)險(xiǎn)評(píng)估應(yīng)該反映微觀層面的風(fēng)險(xiǎn)，反映信息科技某一方面或者某個(gè)系統(tǒng)存在的風(fēng)險(xiǎn)，因此應(yīng)該深入查找評(píng)估對(duì)象存在的風(fēng)險(xiǎn)。

基于此，專項(xiàng)風(fēng)險(xiǎn)評(píng)估應(yīng)該采取以檢查與安全測試為主，調(diào)查為輔的方法。而無論在檢查還是安全測試方面，啟明星辰都有著深厚的研究與積累：◆啟明星辰不但參與制定了國家一些標(biāo)準(zhǔn)，如漏洞掃描標(biāo)準(zhǔn)、IDS標(biāo)準(zhǔn)，而且緊密關(guān)注國際、國家及行業(yè)標(biāo)準(zhǔn)與要求，并組織人員對(duì)標(biāo)準(zhǔn)或者行業(yè)要求進(jìn)行研究、解讀，研讀金融行業(yè)的標(biāo)準(zhǔn)如《巴塞爾協(xié)議》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《電子銀行安全評(píng)估指引》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》等。通過對(duì)標(biāo)準(zhǔn)研究，可以更好地協(xié)助用戶滿足監(jiān)管機(jī)構(gòu)的要求。

◆啟明星辰通過長期積累，形成了一套完善的技術(shù)文檔，如常見操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)管系統(tǒng)的安全檢查列表、安全配置手冊(cè)及腳本工具�？梢詫�(duì)評(píng)估對(duì)象的配置文件進(jìn)行提取，并進(jìn)行審核，發(fā)現(xiàn)其中的薄弱環(huán)節(jié)，并提供可行的整改建議。

◆啟明星辰致力于漏洞技術(shù)的挖掘與攻擊技術(shù)的研究，并且具有自己的積極防御實(shí)驗(yàn)室，可以從代碼層面對(duì)應(yīng)用系統(tǒng)進(jìn)行檢查。同時(shí)，積極防御實(shí)驗(yàn)室成員還可以模擬黑客行為，對(duì)系統(tǒng)進(jìn)行人工滲透，可以直觀地發(fā)現(xiàn)其中的弱點(diǎn)，并提供可行的整改建議。