商業銀行信息系統內部威脅的“知識發現”與“內控管理”

劉國城

(南京審計大學 會計學院，江蘇 南京　211815；江蘇省金融工程重點實驗室，江蘇 南京　211815)

?

商業銀行信息系統內部威脅的“知識發現”與“內控管理”

劉國城

(南京審計大學 會計學院，江蘇 南京211815；江蘇省金融工程重點實驗室，江蘇 南京211815)

[摘要]建立完整科學的信息系統內部威脅“知識發現”流程，是我國商業銀行規范“內控管理”，強化對信息系統內部威脅進行防御、控制與管理的重要手段。我國對商業銀行內部威脅的研究起步較晚，針對我國銀行業可能存在的內部威脅問題，應當遵循“內部威脅→脆弱點→知識發現→內部控制→內部管理”的治理思路，通過建立信息系統內部威脅“知識發現”流程，強化對內部威脅的防御、控制與管理。我國商業銀行在對內部威脅信息系統生命周期實施“內控管理”過程中，需要借鑒內部威脅“知識發現”的原則與規律，對具體周期下的“內部控制”實施制度設計、制度執行、制度評價和制度改進等四個方面的全過程管理。

[關鍵詞]商業銀行；信息系統；內部威脅；知識發現；內控管理

建立完整科學的信息系統內部威脅“知識發現”流程，是我國商業銀行規范“內控管理”，強化對信息系統內部威脅進行防御、控制與管理的重要手段。內部威脅(Insider Threat)是具有訪問權限的內部人員利用合法的身份，濫用或誤用權限對信息系統造成的威脅。*Schultz E.A Framework for Understanding and Predicting Insider Attacks.Computer and Security,2002,21(6):526-531.我國對商業銀行內部威脅的研究起步較晚，針對我國銀行業可能存在的內部威脅問題，應當遵循“內部威脅→脆弱點→知識發現→內部控制→內部管理”的治理思路，通過建立信息系統內部威脅“知識發現”流程，強化對內部威脅的防御、控制與管理。

一、我國商業銀行信息系統內部威脅的“知識發現”過程

我國商業銀行信息系統內部威脅近年來有頻繁多發的苗頭，并且來自信息系統的內部威脅異常隱蔽。如何在復雜的銀行業務中及時“發現”內部威脅，是我國商業銀行加強內控管理亟待解決的難題。為此，本文構建了商業銀行信息系統內部威脅“知識發現”的過程體系(見圖1)。

圖1　我國商業銀行信息系統內部威脅的"知識發現"過程體系

——過程Ⅰ，商業銀行信息系統“內部威脅”的內涵界定。此過程是“知識發現”的前提，若失去該前提，“知識發現”將無從談起。商業銀行信息系統“內部威脅”，是指商業銀行的內部操作人員利用其合法的身份，無意識誤用與濫用或有意識濫用與攻擊信息系統的脆弱點，對信息系統安全所造成的威脅。商業銀行信息系統“內部威脅”具有“常規的系統防御措施對內部威脅者失去效用”，“內部威脅者熟知企業文化、運作模式與組織架構”，以及“內部威脅者易于接觸敏感信息，行動更具目的性”等基本特征。根據威脅的概率程度，內部威脅可以分為：1.低級威脅。主要是由于系統漏洞或缺乏保護的威脅，這種威脅若不被有目的的利用或不會產生;2.中級威脅。主要是惡意行為或正常操作中產生的異常行為;3.高級威脅。主要是有針對性的對信息系統實施的攻擊。

——過程Ⅱ，商業銀行信息系統“內部威脅”信息的獲取與準備。此過程是支撐商業銀行信息系統內部威脅“知識發現”的信息基礎平臺。過程Ⅱ的信息“源”主要來自于商業銀行信息系統所附帶產生的系統日志信息、網絡數據包信息以及漏洞掃描信息等。系統日志信息是系統的某些特定操作及其結果按時間的有序組合，其包含網絡設備日志、應用系統日志等。目前，互聯網上已經出現成熟的日志獲取工具，如NetLogger、Scribe、dummvent等，它們可以從分布域中監控并收集事件，并形成日志報告;網絡數據包是網絡傳輸信息的一個“數據單位”，對其進行信息獲取相對便捷，其獲取活動覆蓋網絡性能測量、用戶計費、網絡協議分析、流量分析以及網絡口令攔截等環節;時下較為成熟的網絡數據包信息獲取方法有Socket、Libpcap、TCP/IP首部提取等。漏洞掃描是基于漏洞數據庫，通過掃描等手段對信息系統的脆弱點進行檢測，發現可利用漏洞的一種行為，當前漏洞掃描信息的獲取工具較多，如Metasploit Framework、Core Impact、Canvas等。過程Ⅱ的成功實施，是一項復雜的過程，它需要有效借助不同信息來源下具體的獲取工具，也需要結合商業銀行的特定實際，設計適用于自身的“內部威脅”信息獲取途徑與準備方式。

——過程Ⅲ，商業銀行信息系統“內部威脅”的檢測、發現與預處理。過程Ⅲ涵蓋三個步驟：第一，“內部威脅”信息的“檢測”。本步驟有效面對低級、中級與高級“內部威脅”，它基于“過程Ⅱ”中所準備的日志信息、主機系統信息、漏洞掃描信息以及安全評估信息等平臺，通過日志分析、入侵檢測、漏洞掃描以及安全評估等行為，對信息系統自身各項運行因子用指定的方法檢驗或測試，觀察是否適應特定的技術性指標。該步驟有如下目標：實現對低級威脅中系統的“漏洞”、“缺陷”以及“不安全因素”的檢測;實現對中級威脅中“異常行為”的特征檢測;實現高級威脅中“攻擊行為”、“破壞行為”、“非法權限”以及“違規操作”的行為監測;第二，低級“內部威脅”的“知識發現”。在上一步驟中，如果通過入侵檢測、漏洞掃描以及安全評估等行為發現系統因子運行軌跡無任何指標范圍可以依循，或超出特定指標范圍，則應進一步測量是否為系統漏洞、系統缺陷或不安全因素，直至最終實現低級威脅的“知識發現”;第三，中級與高級“內部威脅”信息的“預處理”。在第一步驟中，實現了對中級威脅的“特征檢測”以及對高級威脅的“行為監測”后積累了大量破碎、零散、局部的有價值數據。本步驟是基于第一步驟所實施的三種行為：1.數據清理。通過檢查數據一致性、處理無效值與填充缺失值等，實現目標數據的格式標準化。2.數據集成。將多個商業銀行信息系統數據源中的數據歸集起來統一存儲，并建立特征數據倉庫。3.數據變換。通過平滑聚集、數據概化、規范化等方法將商業銀行信息系統的特征數據合并與整合，轉換為適用于數據挖掘的形式，為下一過程作充分的準備。

——過程Ⅳ，數據挖掘的模式發現與模型構建。首先，對商業銀行信息系統中級內部威脅與高級內部威脅下數據挖掘進行模式發現。模式發現是指通過觀測與預測，去尋找與揭示事物規則與本質的過程。過程Ⅳ的模式發現是對過程Ⅲ所產生的清洗數據和變換數據，通過分類與聚類等技術，從樣本數據中找出規律，有效辨別正常模式與異常模式;其次，對商業銀行信息系統中級內部威脅與高級內部威脅下數據挖掘進行模型構建?！澳Ｐ蜆嫿ā笔菙祿诰蛘麄€過程成功的關鍵，是對特征數據根據不同的數據挖掘算法在深層次過濾的基礎上，將一般規律抽象成一種分析模型，對特征數據集進行形式化描述。模型的構建形式不統一，必須將“模式發現”過程中所觀測的數據特征與層次分析法、剪枝算法、云模型感知算法、頻繁訪問路徑算法等特定的算法特征有機融合，以構建不同特征數據庫下適用的數據挖掘算法模型。例如，針對某商業銀行信息系統內部威脅的數據庫，完成“模型構建”應遵循以下路線：1.對各類內部訪問用戶進行系統元操作，生成元操作組合;2.對元操作組合借助剪枝算法生成用戶剪枝子樹;3.運用最小攻擊樹算法將剪枝子樹進一步生成用戶最小攻擊樹;4.對已經生成的預處理信息及其模式發現通過前述的用戶最小攻擊樹進行檢測，確定“正常用戶”或“威脅用戶”;5.忽略“正常用戶”，從“威脅用戶”中甄別“可疑用戶”與“惡意用戶”;6.對“惡意用戶”與“可疑用戶”采用特定監控策略。

——過程Ⅴ,中級內部威脅與高級內部威脅的知識發現與知識評估。本過程步驟為：1.依據“過程Ⅳ”對中級與高級內部威脅進行知識發現。該步驟是針對中級與高級內部威脅的特征數據，在“數據挖掘”的基礎上，提煉出一系列如何“發現”內部威脅的“探測規律”。這些規律的發現是非平凡的“知識創造”過程。2.對低、中、高級內部威脅進行“知識評價”。過程Ⅲ涵蓋了低級內部威脅的“發現”過程，過程Ⅴ涵蓋了中級與高級內部威脅的“發現”過程。該步驟是對“低中高”級內部威脅“發現”的整體結論所做的驗證、評價與估量。首先需要再次驗證具體結論的普遍性;其次需要評價“發現”結論的全面性與精確性;再次需要估量“發現”結論的價值性，是否遵循了成本效益原則。3.“知識發現”整體策略的調整與優化。主要是對整個“知識發現”過程中的不完善之處進行策略修改，對“知識發現”結論的全面性、科學性、效益性以及規則性進行優化，使得圖1的“知識發現”過程體系得以循環往復運行。

二、我國商業銀行信息系統內部威脅“內控管理”的框架設計

(一)內部控制設計

基于內部威脅的我國商業銀行信息系統“內部控制設計”是針對制度的設計，它承載的功能是通過系列控制規程與內控約束，嚴格規范內部員工的工作行為。商業銀行在內控制度設計上必須考慮科學性、整體性與可操作性，并沿襲全面性、系統性、風險導向性和技術導向性四個控制方向。此外，基于內部威脅的內部控制設計還需要充分融合內部威脅的“知識發現”過程，真正實現內部威脅的“知識發現”與“內控設計”的有機統一。源自“內控制度”設計的內部威脅“知識發現”的相關內容，主要包括從內部威脅“知識發現”過程中抽象、提煉出來的“檢測”方法、“挖掘”規則以及“發現”思路。例如，全面性控制導向下，信息系統分為規劃與設計、實施、運行維護與管理三個周期;在系統實施階段，“系統測試”內控制度設計需要融合內部威脅“檢測”方法，即漏洞檢測、攻擊檢測等方法，這樣設計的測試標準與測試步驟才可能更為全面詳盡;技術導向性控制下，“內控制度”設計則需要融入特定前提下具有普遍性的具體“挖掘”規則，即決策樹算法、聚類算法、布爾關聯規則頻繁項集算法等，這樣的內控制度設計才可能實現對技術功能的充分利用。

(二)內部控制執行

基于內部威脅的我國商業銀行信息系統“內部控制執行”，指的是商業銀行針對“內部威脅”而對信息系統實施的具體控制行為，該內控執行行為需要關注內控執行方式、內控執行監督、內控執行激勵以及內控執行效率四個方面，并且必須確保獨立性、效益性與效率性三原則的整體實現。本文強調，內控執行在遵照內控制度的基礎上，要借鑒內部威脅“知識發現”中具有規律性的普遍性行為。例如，商業銀行在選擇信息系統內部控制的執行方式時可借鑒內部威脅的“檢測”方法，對于系統漏洞內部控制的執行可采納漏洞掃描測試法，對機制缺陷與不安全因素的內控執行可直接借用ASTRA32等檢測工具;再如，商業銀行信息系統的內部控制行為也需要得到有效監督，以實現其獨立性與有效性。商業銀行在監督對遠程訪問設置適當控制、對數據變更實施授權控制等內控“是否”執行以及“如何”執行時，可融合內部威脅的“挖掘”技術與“發現”模式，從系統日志數據、系統主機數據中“挖掘”內控執行的“蹤跡”，“發現”內控實施的“態勢”。簡言之，在內部威脅中植入“檢測”方法、“挖掘”技術與“發現”策略，能夠強化商業銀行信息系統“內部控制執行”環節的成本效益原則，增強其實效性。

(三)內部控制評價

基于內部威脅的我國商業銀行信息系統“內部控制評價”，是指針對內部威脅問題而對銀行內部控制的戰略適應性、環境適應性、內控有效性以及內控及時性的判斷、衡量與評定，是基于評價指標而出具的評價結論。內控評價主體在對內部威脅進行“內控評價”時，要合理運用內部威脅“知識發現”中的發現模式、實時預警設計模式以及態勢評估運行模式來設計內控評價標準，完善“內控評價”機制。例如，對內部威脅下“內控制度”的科學性評價可以借用內部威脅發現模式下的聚類模式，通過多種具體情況下的多次實地聚類驗證，測試銀行針對內部威脅所設計的“內控制度”表述是否恰當與全面;對內部威脅下“內控執行”的有效性評價，可以借用時間序列模式，分析持續時間段中日志數據下的“內部控制”系列軌跡，以衡量“內控執行”的效率與效果。再如，如何對內部威脅下銀行信息系統的實施是否與銀行戰略發展目標以及銀行外部環境變化相一致進行評價時，則需要引入內部威脅“知識發現”中的態勢評估，建立“內部威脅→態勢評估→內部控制→銀行內部發展→外部環境變化”五位一體的評價體系。

(四)內部控制改進

基于內部威脅的我國商業銀行信息系統“內部控制改進”，是指對“內控制度”設計以及執行所進行的優化與完善。商業銀行針對內部威脅的“內部控制改進”需關注技術性改進、環境性改進與信息反饋性改進。有關“內部控制改進”需要融合內部威脅“知識發現”中的“檢測”方法、“挖掘”算法、“報警”機制和“態勢”分析。首先，對于“內部控制”的技術性改進，要融合“知識發現”下的“檢測”方法以及“挖掘”算法，這是因為它們涵蓋了漏洞檢測，數據預處理和數據挖掘等技術，而且“知識發現”過程本身就是針對于不同內部威脅條件下不同挖掘技術的持續創新;其次，對于“內部控制”的環境性改進，要融合“報警”機制與“態勢”分析，這是因為它們蘊含了特定時期系統自身的脆弱點運動趨勢以及內部威脅狀態的發展趨勢，這些趨勢從側面反映了銀行內外部運營環境的變化，能夠為優化內控體系提供參照依據;再次，“報警”機制與“態勢”分析，也便于“內部控制”的信息反饋性改進，內部威脅相關趨勢信息的實時反饋能夠使內部控制的設計與執行及時得到修正與優化。

三、我國商業銀行信息系統內部威脅“內控管理”的策略構想

商業銀行在對內部威脅信息系統生命周期實施“內控管理”過程中，需要借鑒“知識發現”的原則，對具體周期下的“內控管理”，實施制度設計、制度執行、制度評價和制度改進等四個方面全過程管理。

(一)系統規劃與設計階段

系統規劃與設計階段涵蓋三個過程：1.系統規劃。系統規劃是商業銀行具體應用系統整體框架的計劃過程。該過程的內部控制主要包括針對商業銀行IT新項目所實施的開發目標控制、總體戰略結構控制以及開發方式控制;2.系統分析。商業銀行信息系統分析是針對商業銀行對計算機應用系統的需求，在不確定的情況下，如何尋找新系統邏輯方案的過程。該過程的內部控制主要包括系統開發制度設計、用戶需求分析有效性控制、需求分析審批控制以及業務流程重組控制等;3.系統設計。商業銀行信息系統設計是指將新系統邏輯模型轉化為系統結構模型，對新系統進行總體結構設計與具體物理模型設計的過程。該過程的內部控制主要包括控制功能設計控制、業務處理設計控制以及設計方案審核控制。內部威脅下系統規劃與設計階段“內控管理”策略的建立需要完善五個步驟：一是針對內部威脅對擬建新系統實施全面風險評估;二是針對具體IT風險，設計科學的內部控制制度;三是對既有內控制度進行實質性測試;四是對既有控制制度進行評價;五是對該階段原有內控制度進行改進與補充。

上述步驟中，最為關鍵的是針對內部威脅對擬建新系統實施全面風險評估。為科學確立“內控管理”策略，商業銀行有必要依次建立基于內部威脅的風險感知模型、風險分析模型以及風險估計模型。風險感知與風險分析是商業銀行擬建新信息系統風險識別的兩個環節。面對未知的內部威脅，商業銀行新系統在擬建之初就應該用感知、判斷與歸類的方式對靜態的、動態的，現實的、潛在的各項內在風險進行判斷與鑒別，并分析有關風險的動因及其運動軌跡。此外，在風險估計方面，商業銀行需要通過建立模型，對具體風險轉換為實際損失的概率以可能造成損失的大小進行定量估計。如針對上述擬建供應鏈金融系統，商業銀行應根據不同參與主體的實際狀況，估計在“訂單、預付款、貨押、訂單轉應收、預付款轉貨押”等業務上錯誤操作的概率以及可能造成損失的程度，以便于在后續步驟中能夠科學、全面的設計內控制度。

(二)系統實施階段

系統實施階段是指商業銀行通過建立特征數據庫、編制與測試相關程序、試運行系統，并實現由邏輯系統向物理系統轉換的過程。該階段的內部控制主要包括軟硬件的獲取與評估控制、編碼與接口控制、數據遷移控制以及系統上線控制等。內部威脅下系統實施階段的“內控管理”策略包含如下步驟：1.針對內部威脅實施風險評估;2.內部控制制度設計;3.內部控制制度診斷與測試;4.內部控制制度的評價與改進。系統實施階段下“內控管理”構建步驟中最為關鍵的是“內部控制制度的診斷與測試”，這是因為，面對信息系統的整個生命周期，系統實施階段風險最大，在該階段下如何試驗已有內控制度的正確性、有效性和及時性，將是商業銀行開展“內控管理”活動的成功要素之一。商業銀行基于內部威脅對擬建系統實施階段進行內控制度診斷與測試的環節主要涵蓋：其一，事件日志的診斷。事件日志記錄著“數據遷移”、“系統上線”等內容的錯誤運行信息，商業銀行需要根據自動生成的異常信息，如磁盤簽名不匹配、文件共享失敗以及密碼更新失敗等，直接分析錯誤原因，歸納內控失效的動因;其二，業務過程的挖掘測試。在這個環節中商業銀行需要從海量的“軟硬件采購”、“編碼與接口”等系統實施數據中采用特定的挖掘方法實施數據挖掘，尋找內控制度的脆弱點，檢查有關“編碼與接口”內控設計是否全面，“數據遷移”是否有據可依等若干內控問題;其三，業務過程的取證測試。在這個環節中通過對新系統實施階段的業務過程進行“過程發現”、“一致性檢查”與“性能分析”，抽取異常行為，分析內控的矛盾點，衡量內控管理的科學性與實效性;其四，持續監控與審計測試。該環節是對已有內控制度持續實施進行實質性測試，通過檢查、觀察、監盤、分析性復核、邏輯性復核等審計方式監督相關控制制度執行的合法性、合理性和時效性。

(三)系統運行維護與管理階段

系統運行維護與管理階段是指商業銀行新建信息系統投入運行后所進行的日常操作、維護與管理過程。為保障信息系統免遭內部威脅，實現最佳效益，在系統運行維護與管理階段中商業銀行必須制定嚴格的內控管理策略。系統運行維護與管理階段的內部控制包括：職責分工控制、權限配備控制、數據備份與變更控制、系統變更控制、物理安全控制以及網絡安全控制等。內部威脅下系統運行維護與管理階段的“內控管理”策略涵蓋：1.針對內部威脅實施風險評估;2.基于內部威脅的“知識發現”理論科學建設內部控制制度;3.基于過程模型對內控制度進行科學性和有效性測試;4.對內控制度實施評價;5.基于內控測試線索對內控制度實施全面改進;6.建立系統運行與維護的實時預警機制。在上述過程中，最為關鍵的應該是“如何科學建設商業銀行信息系統運行維護與管理的內部控制規范體系”。結合前文，系統運行維護與管理階段下商業銀行設計內控制度需要融合“外來理念”，即信息系統內部威脅下的“知識發現”原則。內部威脅下的“知識發現”規律，是從海量不規則的內部威脅信息中經過“威脅檢測”、“風險標識”、“過程監控”、“過程挖掘”、“過程優化”、“模式發現”、“流程智能”等系列復雜過程所提煉出來并具有極高價值的經驗與總結。例如，某商業銀行探索“如何建立內部人員遠程訪問信息系統的控制制度”，則該銀行有必要對遠程各類內部訪問用戶的系統元操作進行組合與初步檢測，并依次借鑒剪枝算法與最小攻擊樹算法，將元操作組合生成剪枝子樹與最小攻擊樹，若樹非空即為威脅用戶，則進一步施行模式發現與流程智能。在設計系統運行維護與管理階段下內控制度的具體條款中，如果能夠融合上述“知識發現”中具體的邏輯方法，則商業銀行內部威脅下的“內控管理”策略構建將會真正實現由靜態向動態、由定性向定量的有機轉化。

(責任編輯：欒曉平)

收稿日期：2016-03-14

作者簡介：劉國城，男，南京審計大學副教授、中國內部審計發展研究中心與江蘇省金融工程重點實驗室研究員。

基金項目：本文系國家社會科學基金項目(編號：14BJY016)、教育部人文社科研究規劃基金項目(編號：14YJA790032)、江蘇省高校自然科學研究面上項目(編號：15KJB120006)、江蘇省金融工程重點實驗室開放課題資助(編號：NSK2015-07)的階段性成果。

[中圖分類號]F832.1

[文獻標識碼]A

[文章編號]1003-4145[2016]07-0148-05

·經濟與管理研究·