銀行信息安全風(fēng)險評價體系的構(gòu)建及實證研究

尚亞龍

（國家開發(fā)銀行寧夏回族自治區(qū)分行 寧夏 銀川 750000）

引言

信息技術(shù)的發(fā)展使得銀行的的建設(shè)和發(fā)展速度不斷提升，同時也使得銀行金融產(chǎn)品的數(shù)量和種類在不斷豐富。商業(yè)銀行不僅需要完善的信息系統(tǒng)作為支撐，同時還需要借助信息技術(shù)對銀行數(shù)據(jù)進(jìn)行處理和分析，因此不斷的提升商業(yè)銀行信息安全系統(tǒng)的等級變得尤為重要，而信息安全風(fēng)險也將成為國家金額發(fā)展的重要風(fēng)險之一。新時期的銀行信息安全管理尤為重要，需要引起社會的廣泛關(guān)注。目前國內(nèi)很多的銀行風(fēng)險管理上多以事后處理為主，在風(fēng)險的防范和化解方面缺失，相關(guān)的技術(shù)管理手段和管理制度還需要進(jìn)一步的完善，整體上還沒有形成一套完備的預(yù)防管理體系。為了更好的對銀行信息安全風(fēng)險管理進(jìn)行研究，本次論文也將在熵權(quán)-AHP評價方法的基礎(chǔ)上，對商業(yè)銀行的安排風(fēng)險評價進(jìn)行研究和分析。

1 銀行業(yè)信息安全風(fēng)險評價研究現(xiàn)狀

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號文件)從2003年頒布以來，對規(guī)范我國安全管理工作開展發(fā)揮了重要的作用。在這份文件中，不僅對安全風(fēng)險評估的重要作用進(jìn)行了明確的規(guī)定，同時也是今后銀行業(yè)信息安全風(fēng)險管理和風(fēng)險防范的重要依據(jù)，將更好的指導(dǎo)我國的信息安全風(fēng)險體系的完善。隨著國家對信息安全風(fēng)險評估的重視程度不斷提升，很多學(xué)者也開始關(guān)注信息安全風(fēng)險評價的研究，并取得了一定的研究成果。其中李鈞銳根據(jù)信息流相關(guān)理論的研究，對信息風(fēng)險的風(fēng)險域進(jìn)行了劃分，通過根據(jù)不同的風(fēng)險域借助模糊綜合評判法可以進(jìn)行有效的風(fēng)險評估。鄭皆亮在灰色理論的基礎(chǔ)上建立了專門的安全風(fēng)險評估模型，并根據(jù)三角白化權(quán)數(shù)和隸屬度等指標(biāo)可以確定相應(yīng)的安全風(fēng)險等級。賈斌同樣借助模糊綜合評估方法實現(xiàn)了對安全風(fēng)險的評估，并取得了一定的效果。吳亞非、李新友等認(rèn)為當(dāng)?shù)男畔踩L(fēng)險評估也可以借助信息化的軟件和產(chǎn)品工具來輔助實現(xiàn)，并介紹了相應(yīng)的軟件和使用方法。程湘云在概率風(fēng)險相關(guān)理論的基礎(chǔ)上建立了定量風(fēng)險計算模型，同時通過對故障樹對網(wǎng)絡(luò)系統(tǒng)的實例分析總結(jié)了安全風(fēng)險因素和系統(tǒng)漏洞產(chǎn)生原因。

本次論文也將從眾多文獻(xiàn)研究的基礎(chǔ)上，更好的針對當(dāng)前商業(yè)銀行運行過程中的安全風(fēng)險因素，從全過程管理的角度對風(fēng)險評價以及體系建立進(jìn)行了分析和論述。

2 銀行業(yè)信息安全風(fēng)險評價體系構(gòu)建

2.1 風(fēng)險因素的確定

針對信息在銀行各業(yè)務(wù)中的流動程序，本文根據(jù)以往學(xué)者的研究結(jié)論從信息采集、信息使用以及信息維護(hù)三個方面對威脅信息安全的因素歸納總結(jié)，具體的風(fēng)險因素見圖1。

至此，形成了由3個準(zhǔn)則層指標(biāo)、13個1級指標(biāo)、54個條目組成的銀行信息安全風(fēng)險評價體系初始測評指標(biāo)體系（見圖1）。研究繼續(xù)進(jìn)行了初始量表的預(yù)測試及修正：（1）將初始量表發(fā)給專家小組（銀行領(lǐng)導(dǎo)者10位、信息安全主管10位、高校計算機(jī)及金融領(lǐng)域教授10位），在聽取專家對初始問卷中條目結(jié)構(gòu)、清晰度、易讀性的建議后對初始問卷進(jìn)行修改，共刪除11個條目，對語義和語句錯誤進(jìn)行修改，形成修改后的初始測評量表；（2）本研究以中國西北某省會城市某銀行為預(yù)測試對象，共發(fā)放問卷200份，回收問卷113份，其中有效問卷94份，回收率和有效率分別為56.5%和83.19%；（3）將調(diào)研得到的數(shù)據(jù)，借助Spss26.0進(jìn)行探索性因子分析（KMO和Bartlett球體檢驗），其中KMO值為0.841、Bartlett球體檢驗小于0.001，證明樣本可以進(jìn)行因子分析；（4）采用主成份分析進(jìn)行因子提取，13個項目聚合成3個因子，積累方差結(jié)實率達(dá)到69.42%，三構(gòu)面的概念結(jié)構(gòu)非常清晰，在經(jīng)過正交旋轉(zhuǎn)的成分矩陣中，4個指標(biāo)載荷指標(biāo)沒有達(dá)到0.50，予以刪除，最后9個項目更好地聚合到3個因子上，積累解釋率達(dá)到71.43%，各項目載荷量最小值也達(dá)到6.91，修訂過的測評量表具有良好的聚合效度。正式測評量表中包含3個一級指標(biāo)，9個二級指標(biāo)，37個條目。如表1第1和2列所示。

表1 銀行信息安全風(fēng)險評價指標(biāo)體系

2.2 識別體系的構(gòu)建

2.2.1 AHP法求指標(biāo)主觀權(quán)重

依據(jù)評測量表構(gòu)建結(jié)構(gòu)模型，請上文中由30位專家組成的小組對目標(biāo)層與準(zhǔn)則層各指標(biāo)進(jìn)行兩兩打分（采用Santy的1—9標(biāo)度方法），由此得出30份打分結(jié)果（每份1個目標(biāo)層判斷矩陣、3個準(zhǔn)則層判斷矩陣）。本研究應(yīng)用yaahp7.5軟件計算AHP權(quán)重，由于軟件包含判斷矩陣一致性檢驗（本研究各判斷矩陣CR<0.1），專家群決策分析、權(quán)重計算等功能，詳細(xì)步驟不在此贅述。主觀權(quán)重值見圖2第3列。

2.2.2 熵權(quán)法求指標(biāo)客觀權(quán)重

以往研究多利用熵權(quán)法公式，手動計算客觀權(quán)重值，繁瑣、耗時且易出現(xiàn)誤差。本研究應(yīng)用matlab 2018版軟件，依據(jù)熵權(quán)法計算原理編程，結(jié)合3.1中得出的判斷矩陣，運算出各評測指標(biāo)客觀權(quán)重，見圖2第4列。

2.2.3 組合權(quán)重的確定

表2 銀行信息安全風(fēng)險評價體系的權(quán)重信息及排序

2.3 風(fēng)險評價體系的說明

從表2各風(fēng)險因素組合權(quán)重的權(quán)值可以看出，信息資源的可獲取性是影響銀行信息安全風(fēng)險的最重要因素，其次是后續(xù)信息的跟蹤程度，信息的維護(hù)成本對銀行而言，也是信息安全能否得到保障的重要印象因素。而信息資源的可辨識度、信息更新程度等因素，對銀行信息安全的影響并沒有其它因素程度深。

3 銀行業(yè)信息安全風(fēng)險評價體系的實證研究

3.1 數(shù)據(jù)采集

本研究選取了中國西北某省會城市七家銀行（不同名稱）作為實證研究對象，為了對研究對象的敏感信息進(jìn)行保密，文本中不公開研究對象的具體網(wǎng)點名稱，利用“問卷星”在線調(diào)研網(wǎng)站作為數(shù)據(jù)收集平臺，采用李克特5點量表方式完成在線銀行信息安全風(fēng)險評價體系網(wǎng)頁。按照以下規(guī)則發(fā)放問卷：（1）每家銀行發(fā)放30份問卷，共210份問卷；（2）方法對象主要針對每家銀行的信息管理或信息安全主管人員。

3.2 結(jié)果分析

取每家銀行指標(biāo)數(shù)據(jù)的平均值，與本研究得出的對應(yīng)組合權(quán)重相乘，得出每家銀行信息安全風(fēng)險評價的評分?jǐn)?shù)據(jù)，見圖3。

實證研究的結(jié)果具有以下啟示：（1）信息維護(hù)所面臨的風(fēng)險最大，說明中國西北某省會城市銀行業(yè)在信息安全的維護(hù)方面效果一般；（2）總評分均值位于中等偏上水平，說明中國西北某省會城市銀行的信息安全風(fēng)險，總體處于一般偏高的水平；（3）各銀行網(wǎng)點間的信息安全風(fēng)險系數(shù)差別不大，說明銀行在信息安全風(fēng)險的處理能力上具有相似的水平；（4）所有影響銀行信息安全風(fēng)險的因素中后續(xù)信息的跟蹤程度是影響的主要因素，銀行應(yīng)該在此方面跟進(jìn)措施，才能顯著提高信息安全水平。

表3 實證研究結(jié)果

4 結(jié)論

本文首先對當(dāng)前銀行業(yè)所面臨的信息安全風(fēng)險狀況進(jìn)行了簡要分析，隨后對以往學(xué)者在此領(lǐng)域的研究建樹進(jìn)行了總結(jié)，而后提取了影響銀行信息安全風(fēng)險評價體系的9個影響因素，并利用熵權(quán)-AHP方法對評價體系進(jìn)行了綜合權(quán)重的計算，最后應(yīng)用評價體系進(jìn)行了實證研究。

研究得出以下結(jié)論：（1）銀行信息安全風(fēng)險評價體系包含三個準(zhǔn)則層指標(biāo)，分別是信息采集風(fēng)險、信息使用風(fēng)險和信息維護(hù)風(fēng)險，其中信息維護(hù)風(fēng)險對信息安全的影響最大，信息采集風(fēng)險次之。（2）利用熵權(quán)-AHP方法構(gòu)建了銀行信息安全風(fēng)險評價體系，并對中國西北某省會城市七家銀行進(jìn)行了實證研究，實證研究證實了評價體系的可行性。（3）中國西北某省會城市銀行的總體信息安全風(fēng)險處于一般水平，信息維護(hù)方面所面臨的風(fēng)險最大，但各個網(wǎng)點的信息安全風(fēng)險系數(shù)趨同。

本研究結(jié)論的意義在于：（1）建立了銀行信息安全評價指標(biāo)體系，該體系可以銀行業(yè)測評信息安全水平提供實踐指導(dǎo)；（2）對銀川市銀行業(yè)的實證研究結(jié)論為該市銀行的信息安全管理措施提供了方向。