国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

信息科技風險“ 三道防線” 管理系統(tǒng)設計研究

2022-04-29 00:44:03鈕玉明
計算機應用文摘 2022年12期
關鍵詞:研究

鈕玉明

關鍵詞 信息科技風險管理 三道防線 研究

近年來,隨著科技的發(fā)展和應用,各行各業(yè)紛紛開展“互聯網+”以及數字化轉型,使得金融科技迅猛發(fā)展,企業(yè)的業(yè)務運營、經營管理更加依賴信息科技服務。利用信息科技可以提升企業(yè)的經營效率,同時也帶來了相應的風險,如數據泄露、網絡安全、系統(tǒng)中斷等風險事件都將對企業(yè)經營與聲譽帶來嚴重損失,尤其是當前網絡安全形勢日益嚴峻,APT 攻擊活動頻繁,使得信息科技風險發(fā)生的可能性、損害性大大增加,信息科技風險管理成為企業(yè)運營過程中必須考慮的重要環(huán)節(jié)。本文分析了“三道防線”管理體系在企業(yè)的應用方式,建立信息科技風險管理系統(tǒng),探索通過技術方法有效提高企業(yè)的信息科技風險管理水平的途徑。

1信息科技風險管理概述

1.1信息科技風險定義

針對信息科技風險,國際上有三種主流定義:一是ISO 國際標準化組織給出的邏輯定義———信息科技風險是一種給定的威脅對某項信息科技的脆弱方面進行攻擊,造成整體組織損害的潛在可能性,信息科技風險可描述為該威脅發(fā)生的概率與其所能造成的損失的乘積,即“威脅發(fā)生概率×造成的損失= 風險”,也可以轉化為“風險威脅×風險管控脆弱性=風險”;二是NIST 做出的技術化定義———信息科技風險是指對信息系統(tǒng)脆弱方面攻擊,并對組織造成損失的可能;三是ISACA 在應用角度做出的偏向于管理的定義———信息科技風險就是對組織內使用和操作應用信息科技所造成的業(yè)務風險。廣義的信息科技風險強調因技術漏洞、人為操作以及其他各種因素導致的業(yè)務、聲譽、生命、財產等各類風險。狹義的信息科技風險強調系統(tǒng)運行階段產生的風險,指由于管理、技術或外部事件對系統(tǒng)網絡穩(wěn)定運行造成威脅的風險[1] 。

1.2信息科技風險分類

信息科技風險主要分為技術風險和管理風險。技術風險指計算機硬件、軟件、網絡等系統(tǒng)引發(fā)的不利情況,包括系統(tǒng)崩潰,安全缺陷、軟件漏洞、硬件故障、人為操作、災備不足、性能不足、監(jiān)控疏漏等技術支持不到位等;管理風險主要包括管理制度不完善、系統(tǒng)關聯復雜、人員技能不足、項目管理不到位等。

1.3信息科技風險特征

信息科技風險特征包括影響范圍大、不確定性高、防范手段不夠、損失計量困難、易擴散等。潛在的威脅加上風險管控的脆弱性便可能造成服務質量下降、資金賬務差錯及資金損失、敏感數據泄露、不符合監(jiān)管要求和法律規(guī)定等風險[2] 。因信息科技風險的危害性和不可控性,且與其他風險區(qū)別較大,有其獨立性和重要性,應該與其他風險的管理分開,單獨管理。

1.4信息科技風險管理目標和過程

信息科技風險管理目標主要有四個方面:一是強化對信息資產的保護能力,確保業(yè)務的持續(xù)穩(wěn)定運營;二是提升業(yè)務創(chuàng)新的支持能力,關注新技術新環(huán)境下信息安全威脅;三是滿足監(jiān)管政策的要求,提高合規(guī)性要求的落地能力;四是防止數據泄露,確保數據安全,避免數據泄露及篡改造成的聲譽或資金損失[3]。

信息科技風險的管理主要明確管理內容和管理目標,進行風險識別,管理已知風險,并對未知風險進行風險預防和資源儲備,總結來看是找出風險,想辦法處置風險,總結風險控制效果,目標是少出事、不出事。

2信息科技風險管理系統(tǒng)設計

2.1業(yè)務需求分析

為保障業(yè)務系統(tǒng)安全穩(wěn)定運行,應對可能發(fā)生的各種科技風險,需建立包括開發(fā)運維、風控、審計在內的信息科技風險管理“三道防線”[4] ,構建有效的風險防控框架體系,具體設置如下。

第一道防線:為系統(tǒng)建設及運行單位,負責運維管理、開發(fā)管理、基礎環(huán)境建設、制定應急預案,用技術手段加強管理,優(yōu)先恢復系統(tǒng)對外服務。在信息系統(tǒng)開發(fā)和運行工作中識別風險、報告風險并處置風險。

第二道防線:由科技管理部門或風險管理部門承擔,負責建立流程管理機制,厘清風險指標和責任,建立風險評估標準和網格化責任體系,進行風險控制,監(jiān)督第一道防線的風險管理落實情況。

第三道防線:為審計合規(guī)部門,通過對第一、第二道防線進行獨立、客觀的評價和審查,監(jiān)督各條線工作落實情況,對相關流程和風險控制措施的有效性、合理性開展審計,提出意見、建議,并督促整改,落實風險的事后控制。

“三道防線”框架如圖1 所示。在“三道防線”框架下,信息科技活動、風險管理活動、審計活動有計劃、有規(guī)則的相互協同配合,實現信息科技部門單一管理向協同管理轉變,實現感性的信息科技風險管理向理性的、量化的風險管理轉變。

2.2系統(tǒng)功能分析

2.2.1功能需求

信息科技風險管理系統(tǒng)主要功能面向第一、二、三道防線,使用B/ S 結構,提供GUI 服務供操作人員使用,主要的功能需求是數據接入、風險識別和分析、風險處置、報告及統(tǒng)計,具體描述如下。

數據匯集接入:匯總軟硬件資源信息、外部風險信息匯集、系統(tǒng)監(jiān)控運行信息,監(jiān)管指揮信息。

風險識別、分析:設計風險量化表,對匯集的風險原始數據進行識別,明確風險源頭,分析風險成因;能夠進行風險概率分析;能夠進行影響面和損害程度分析;能夠給出處置提示。

風險處置:能夠為風險分配責任人,給出建議方案,責任人在處置后給出處置結論。

報告及統(tǒng)計:按需要形成風險事件統(tǒng)計報表及處置情況報告。

其中,風險識別、風險處置主要為第一道防線服務,風險分析評估為第二道防線服務,風險報告主要為第二、第三道風險服務。

2.2.2非功能需求

系統(tǒng)部署在企業(yè)內網環(huán)境,主要面向技術、風險管理人員,用戶數量有限,因此非功能性需求主要是界面友好性、系統(tǒng)可靠性以及響應時間方面,系統(tǒng)應保持99%可用率,RTO 不超過2 小時。系統(tǒng)界面設置應該簡單清晰,具備友好性,功能用戶具有相應的角色、權限,可針對不同用戶開放不同的功能。系統(tǒng)應考慮數據備份,保證數據完整性,防范數據丟失、泄露,在數據遭到破壞的情況下可以進行數據恢復。

2.3系統(tǒng)架構設計

系統(tǒng)應用架構如圖2 所示,客戶端采用B/ S 架構,應用技術框架基于Spring Framework/ Boot 開發(fā);應用部署環(huán)境是“X86 服務器+ RHEL7.6 操作系統(tǒng)(兼容Centos 7.6 等)+ JDK8”,數據庫采用MySQL 社區(qū)版。遵循自主可控的原則,使用目前業(yè)內廣泛使用的成熟開源技術組件與國產化技術。

系統(tǒng)關鍵技術點是業(yè)務系統(tǒng)運行指標的收集,風險發(fā)現的及時性是風險管理的重要方面,為及時、有效發(fā)現業(yè)務系統(tǒng)存在的運行風險,則需要實時同步獲取業(yè)務系統(tǒng)相關日志,通過分析日志,獲得相應風險指標。

為達到以上目的,本系統(tǒng)使用“rsync+inotify”的方式實現業(yè)務系統(tǒng)日志服務器的日志文件同步。rsync 能夠實現文件同步功能,且具有高安全性、快速、支持增量的特性,但同時也存在以下不足:一是使用rsync 進行的差量傳輸需要掃描對比全量文件,在日志量不斷增大后,掃描過程耗時較長,且增量文件只是很小的一部分,使得數據同步效率低;二是rsync 無法實時監(jiān)測文件系統(tǒng)的變化,不能做到數據變化后的即時同時,而針對業(yè)務系統(tǒng)運行數據的風險監(jiān)控即時性要求較高,因此rsync達不到精準的要求。而Linux 系統(tǒng)下具有inotify 機制,能夠較好的解決文件監(jiān)控問題,通過inotify 可以實施監(jiān)控文件系統(tǒng)的增、刪、改等各種細微變動。因此,通過“rsync+inotify”的方案,可以實時監(jiān)控到業(yè)務系統(tǒng)日志文件的變化,當有文件變化后就觸發(fā)rsync 同步,實現數據源系統(tǒng)到目的系統(tǒng)的及時同步。

2.4系統(tǒng)功能模塊

系統(tǒng)主要分為數據接入模塊、風險管理中心模塊、風險統(tǒng)計報告模塊。各模塊主要功能如下。

數據接入模塊:本模塊收集并存儲原始數據和配置數據。原始風險數據包括匯集企業(yè)信息化資源信息、監(jiān)控告警信息以及各類指揮預警信息。信息化資源包括業(yè)務系統(tǒng)信息、服務器、網絡設備、存儲、安全設備、配置信息、線路信息、人員信息、辦公設備、加密設備等。監(jiān)控告警信息包括來自業(yè)務系統(tǒng)的監(jiān)控指標以及運行指標信息。指揮預警信息包括來自公安、網信、監(jiān)管以及社會層面的各類風險告知信息。其中,資源類信息由用戶導入,并負責動態(tài)管理;監(jiān)控告警類信息通過以上技術手段獲取業(yè)務系統(tǒng)日志并分析獲得;指揮預警類信息通過與網絡安全態(tài)勢感知平臺對接獲得。

風險管理中心模塊:主要實現三個功能,一是風險基礎參數設置,包括風險分類庫和風險指標庫,風險分類庫通過風險編號、風險名稱、風險等級、上級風險等指標對風險進行分類;風險指標庫包括風險分類、風險指標項、預警規(guī)則、閾值、責任部門等[5] 。二是風險分析要素設置,模型為風險名稱、風險描述、風險損失度、發(fā)生可能性、風險值、風險等級、處置措施、責任部門。三是將風險分為設施故障風險、網絡安全風險、外包風險、項目風險、系統(tǒng)運行風險和其他風險,分別進行明細展示,即展示風險說明、上報日期、處置狀態(tài)、責任人等,并提供處置按鈕。

風險統(tǒng)計報告模塊:提供首頁展示、統(tǒng)計報表及用戶管理等功能。

第一道防線通過風險管理中心進行信息科技風險識別和風險處置,確保相關風險得到及時有效的處置。第二道防線不斷優(yōu)化信息科技風險分類分級和分析評估模型,不斷改善風險識別、分析和評估的精準性。第三道防線通過信息科技風險統(tǒng)計和報告,監(jiān)督風險處置落實情況。

3結束語

本文從信息科技風險管理實際出發(fā),對以“三道防線”為基礎的信息科技風險管理系統(tǒng)進行設計和建設,通過技術手段使得信息科技風險得以有限匯集,風險的威脅及風險的處置得以充分展現,在一定程度上規(guī)范并提高企業(yè)的信息科技風險管理水平。但信息科技風險管理體系的完善并非一蹴而就,而是在實踐中不斷優(yōu)化和提高。建立完善的風險量化和風險預警機制,實現信息科技風險量化監(jiān)控和自動化的風險分析、預警,進行可度量的信息科技風險管理,將是進一步的研究目標。

猜你喜歡
研究
FMS與YBT相關性的實證研究
2020年國內翻譯研究述評
遼代千人邑研究述論
視錯覺在平面設計中的應用與研究
科技傳播(2019年22期)2020-01-14 03:06:54
關于遼朝“一國兩制”研究的回顧與思考
EMA伺服控制系統(tǒng)研究
基于聲、光、磁、觸摸多功能控制的研究
電子制作(2018年11期)2018-08-04 03:26:04
新版C-NCAP側面碰撞假人損傷研究
關于反傾銷會計研究的思考
焊接膜層脫落的攻關研究
電子制作(2017年23期)2017-02-02 07:17:19
屯留县| 德化县| 遵义市| 土默特左旗| 永福县| 淮阳县| 灌云县| 泗阳县| 甘德县| 定边县| 茶陵县| 报价| 津市市| 东乡| 永嘉县| 巫山县| 且末县| 涞源县| 沾化县| 光山县| 临桂县| 屏山县| 清镇市| 沽源县| 图片| 广河县| 正宁县| 资阳市| 永丰县| 乌兰浩特市| 长春市| 奇台县| 曲阜市| 固阳县| 德格县| 偃师市| 额敏县| 云霄县| 梁平县| 永仁县| 江达县|