大型金融機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險管理框架設(shè)計

丁蕾

摘 要 隨著信息化技術(shù)的飛速發(fā)展，銀行保險等大型金融機(jī)構(gòu)對網(wǎng)絡(luò)的依賴程度越來越深，而層出不窮的網(wǎng)絡(luò)威脅對金融機(jī)構(gòu)的網(wǎng)絡(luò)造成的損害也越來越大，近年來，我國也多次金融機(jī)構(gòu)大型金融機(jī)構(gòu)的“護(hù)網(wǎng)”行動，測試網(wǎng)絡(luò)在，本文設(shè)計了一種網(wǎng)絡(luò)風(fēng)險管理框架，將網(wǎng)絡(luò)安全風(fēng)險視為金融機(jī)構(gòu)風(fēng)險管理工作的一部分，框架包括風(fēng)險管理活動和風(fēng)險管理流程。

關(guān)鍵詞 網(wǎng)絡(luò)安全;風(fēng)險管理;金融機(jī)構(gòu)網(wǎng)絡(luò)

1 框架作用

網(wǎng)絡(luò)風(fēng)險管理框架可為大型金融機(jī)構(gòu)根據(jù)其業(yè)務(wù)要求，風(fēng)險承受能力和資源來調(diào)整其網(wǎng)絡(luò)安全活動并確定其優(yōu)先級。網(wǎng)絡(luò)風(fēng)險管理是識別，評估和響應(yīng)風(fēng)險的持續(xù)過程。為了管理風(fēng)險，金融機(jī)構(gòu)應(yīng)該了解網(wǎng)絡(luò)威脅發(fā)生的可能性以及可能產(chǎn)生的影響[1]。借助這些信息，金融機(jī)構(gòu)可以確定實(shí)現(xiàn)正常運(yùn)維目標(biāo)的可接受風(fēng)險水平，并將其表示為風(fēng)險承受能力。金融機(jī)構(gòu)可以優(yōu)先考慮可設(shè)置的網(wǎng)絡(luò)安全措施，從而就網(wǎng)絡(luò)安全的投資預(yù)算做出合理的決定。金融機(jī)構(gòu)可能會選擇不同的方式來處理風(fēng)險，包括減輕風(fēng)險，轉(zhuǎn)移風(fēng)險，避免風(fēng)險或接受風(fēng)險，具體取決于網(wǎng)絡(luò)威脅對其關(guān)鍵服務(wù)的潛在影響。

2 框架構(gòu)成

網(wǎng)絡(luò)風(fēng)險管理框架包括風(fēng)險管理活動和風(fēng)險管理實(shí)施流程。

2.1 風(fēng)險管理活動

風(fēng)險管理框架的核心是一組在關(guān)鍵基礎(chǔ)架構(gòu)領(lǐng)域通用的網(wǎng)絡(luò)安全活動，包括識別、包含識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。

識別 ——建立金融機(jī)構(gòu)對本機(jī)構(gòu)網(wǎng)絡(luò)資產(chǎn)的認(rèn)識，以管理本企業(yè)對信息系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)和業(yè)務(wù)功能的網(wǎng)絡(luò)安全風(fēng)險。

識別功能中的活動是有效使用網(wǎng)絡(luò)風(fēng)險管理框架的基礎(chǔ)。了解業(yè)務(wù)環(huán)境，支持關(guān)鍵功能的資源以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險，可使金融機(jī)構(gòu)根據(jù)其風(fēng)險管理策略和業(yè)務(wù)需求集中精力并確定工作的優(yōu)先級。此項包括：網(wǎng)絡(luò)資產(chǎn)管理、商業(yè)環(huán)境分析、風(fēng)險評估和風(fēng)險管理策略。

保護(hù)——制定并實(shí)施適當(dāng)?shù)木W(wǎng)絡(luò)安全保障措施以確保本企業(yè)提供關(guān)鍵服務(wù)的能力。

保護(hù)功能支持限制或控制潛在網(wǎng)絡(luò)安全事件的影響的能力，此功能包括：網(wǎng)絡(luò)登錄身份管理和訪問控制、用戶網(wǎng)絡(luò)安全意識和培訓(xùn)、數(shù)據(jù)安全、企業(yè)信息保護(hù)流程和程序、網(wǎng)絡(luò)維護(hù)和安全技術(shù)。

檢測——制定并實(shí)施適當(dāng)?shù)幕顒右宰R別網(wǎng)絡(luò)安全事件的發(fā)生。

檢測功能可以及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。此功能包括：網(wǎng)絡(luò)異常和事件檢測過程，網(wǎng)絡(luò)環(huán)境安全持續(xù)監(jiān)控。

響應(yīng) ——制定并實(shí)施適當(dāng)?shù)幕顒?，以對檢測到的網(wǎng)絡(luò)安全事件采取措施。

響應(yīng)功能是控制潛在網(wǎng)絡(luò)安全事件的影響的能力。此功能包括：網(wǎng)絡(luò)威脅響應(yīng)計劃;安全和運(yùn)維部門間的交流;網(wǎng)絡(luò)威脅事件的分析和減輕。

恢復(fù)——制定并實(shí)施適當(dāng)?shù)幕顒?，以維護(hù)網(wǎng)絡(luò)正常運(yùn)行并恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的任何功能或服務(wù)。

恢復(fù)功能支持及時恢復(fù)到正常運(yùn)行，以減少網(wǎng)絡(luò)安全事件的影響。此功能包括：事先制定業(yè)務(wù)恢復(fù)計劃，業(yè)務(wù)恢復(fù)流程演練。

2.2 風(fēng)險管理流程

框架實(shí)施層提供企業(yè)如何看待網(wǎng)絡(luò)安全風(fēng)險以及適當(dāng)?shù)娘L(fēng)險管理流程，描述了企業(yè)的網(wǎng)絡(luò)安全風(fēng)險管理實(shí)踐展現(xiàn)出框架中定義的特征的程度（例如，風(fēng)險和威脅感知，可重復(fù)和適應(yīng)性）。有助于確定網(wǎng)絡(luò)安全風(fēng)險管理在多大程度上由業(yè)務(wù)需求確定，并已集成到企業(yè)的整體管理流程中。風(fēng)險管理方面的考慮包括網(wǎng)絡(luò)安全的許多方面，包括將用戶隱私和公民自由方面的考慮納入企業(yè)對網(wǎng)絡(luò)安全風(fēng)險和潛在風(fēng)險應(yīng)對的管理。

（1）風(fēng)險管理流程——網(wǎng)絡(luò)風(fēng)險管理實(shí)踐需要得到企業(yè)管理層的批準(zhǔn)和支持，并正式確定為企業(yè)整體范圍的政策。網(wǎng)絡(luò)安全活動和保護(hù)需求的優(yōu)先級直接由金融機(jī)構(gòu)風(fēng)險目標(biāo)，威脅環(huán)境或業(yè)務(wù)/任務(wù)要求確定。

（2）綜合風(fēng)險管理計劃——在整個企業(yè)范圍內(nèi)都需要樹立網(wǎng)絡(luò)安全風(fēng)險意識，并建立企業(yè)范圍內(nèi)管理網(wǎng)絡(luò)安全風(fēng)險的方法。網(wǎng)絡(luò)安全信息可以在企業(yè)內(nèi)部共享，在金融機(jī)構(gòu)目標(biāo)和計劃中考慮網(wǎng)絡(luò)安全可能會出現(xiàn)在金融機(jī)構(gòu)的某些而非全部范圍，并對金融機(jī)構(gòu)和外部資產(chǎn)進(jìn)行網(wǎng)絡(luò)風(fēng)險評估。

（3）外部參與——通常，金融企業(yè)了解其在更大的生態(tài)系統(tǒng)中的作用，無論是其自身的依存關(guān)系還是依附關(guān)系，該金融機(jī)構(gòu)與其他實(shí)體，如網(wǎng)絡(luò)安全企業(yè)、政府相關(guān)管理部門合作并從其他實(shí)體接收網(wǎng)絡(luò)安全信息，并梳理形成與自身相關(guān)的網(wǎng)絡(luò)安全的信息。此外，金融企業(yè)還需要意識到與其提供和使用的產(chǎn)品和服務(wù)相關(guān)的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險，并制定相應(yīng)的管理計劃。

3 框架應(yīng)用場景

金融企業(yè)可以將網(wǎng)絡(luò)風(fēng)險管理框架用作其網(wǎng)絡(luò)安全實(shí)施的關(guān)鍵部分，以識別，評估和管理網(wǎng)絡(luò)安全風(fēng)險[2]。使用該框架作為網(wǎng)絡(luò)安全風(fēng)險管理工具，企業(yè)可以確定對于關(guān)鍵服務(wù)最重要的網(wǎng)絡(luò)活動，并確定安全預(yù)算支出的優(yōu)先級，以最大限度地發(fā)揮安全投資的影響。

該框架可以作為企業(yè)新的網(wǎng)絡(luò)安全計劃的基礎(chǔ)，也可以作為改進(jìn)現(xiàn)有計劃的機(jī)制，并且可以幫助發(fā)現(xiàn)組織的網(wǎng)絡(luò)安全實(shí)踐中的空白。

參考文獻(xiàn)

[1] 王紅兵.Web 應(yīng)用威脅建模與定量評估[J].清華大學(xué)學(xué)報：自然科學(xué)版，2009（S2）：2108-2112.

[2] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報，2016（5）：4-28.