大型金融機構網絡風險管理框架設計

2020-08-03 03:19:33丁蕾

科學與信息化 2020年18期

丁蕾

摘要隨著信息化技術的飛速發展，銀行保險等大型金融機構對網絡的依賴程度越來越深，而層出不窮的網絡威脅對金融機構的網絡造成的損害也越來越大，近年來，我國也多次金融機構大型金融機構的“護網”行動，測試網絡在，本文設計了一種網絡風險管理框架，將網絡安全風險視為金融機構風險管理工作的一部分，框架包括風險管理活動和風險管理流程。

關鍵詞網絡安全;風險管理;金融機構網絡

1 框架作用

網絡風險管理框架可為大型金融機構根據其業務要求，風險承受能力和資源來調整其網絡安全活動并確定其優先級。網絡風險管理是識別，評估和響應風險的持續過程。為了管理風險，金融機構應該了解網絡威脅發生的可能性以及可能產生的影響[1]。借助這些信息，金融機構可以確定實現正常運維目標的可接受風險水平，并將其表示為風險承受能力。金融機構可以優先考慮可設置的網絡安全措施，從而就網絡安全的投資預算做出合理的決定。金融機構可能會選擇不同的方式來處理風險，包括減輕風險，轉移風險，避免風險或接受風險，具體取決于網絡威脅對其關鍵服務的潛在影響。

2 框架構成

網絡風險管理框架包括風險管理活動和風險管理實施流程。

2.1 風險管理活動

風險管理框架的核心是一組在關鍵基礎架構領域通用的網絡安全活動，包括識別、包含識別、保護、檢測、響應和恢復。

識別 ——建立金融機構對本機構網絡資產的認識，以管理本企業對信息系統、人員、資產、數據和業務功能的網絡安全風險。

識別功能中的活動是有效使用網絡風險管理框架的基礎。了解業務環境，支持關鍵功能的資源以及相關的網絡安全風險，可使金融機構根據其風險管理策略和業務需求集中精力并確定工作的優先級。此項包括：網絡資產管理、商業環境分析、風險評估和風險管理策略。

保護——制定并實施適當的網絡安全保障措施以確保本企業提供關鍵服務的能力。

保護功能支持限制或控制潛在網絡安全事件的影響的能力，此功能包括：網絡登錄身份管理和訪問控制、用戶網絡安全意識和培訓、數據安全、企業信息保護流程和程序、網絡維護和安全技術。

檢測——制定并實施適當的活動以識別網絡安全事件的發生。

檢測功能可以及時發現網絡安全事件。此功能包括：網絡異常和事件檢測過程，網絡環境安全持續監控。

響應 ——制定并實施適當的活動，以對檢測到的網絡安全事件采取措施。

響應功能是控制潛在網絡安全事件的影響的能力。此功能包括：網絡威脅響應計劃;安全和運維部門間的交流;網絡威脅事件的分析和減輕。

恢復——制定并實施適當的活動，以維護網絡正常運行并恢復由于網絡安全事件而受損的任何功能或服務。

恢復功能支持及時恢復到正常運行，以減少網絡安全事件的影響。此功能包括：事先制定業務恢復計劃，業務恢復流程演練。

2.2 風險管理流程

框架實施層提供企業如何看待網絡安全風險以及適當的風險管理流程，描述了企業的網絡安全風險管理實踐展現出框架中定義的特征的程度（例如，風險和威脅感知，可重復和適應性）。有助于確定網絡安全風險管理在多大程度上由業務需求確定，并已集成到企業的整體管理流程中。風險管理方面的考慮包括網絡安全的許多方面，包括將用戶隱私和公民自由方面的考慮納入企業對網絡安全風險和潛在風險應對的管理。

（1）風險管理流程——網絡風險管理實踐需要得到企業管理層的批準和支持，并正式確定為企業整體范圍的政策。網絡安全活動和保護需求的優先級直接由金融機構風險目標，威脅環境或業務/任務要求確定。

（2）綜合風險管理計劃——在整個企業范圍內都需要樹立網絡安全風險意識，并建立企業范圍內管理網絡安全風險的方法。網絡安全信息可以在企業內部共享，在金融機構目標和計劃中考慮網絡安全可能會出現在金融機構的某些而非全部范圍，并對金融機構和外部資產進行網絡風險評估。

（3）外部參與——通常，金融企業了解其在更大的生態系統中的作用，無論是其自身的依存關系還是依附關系，該金融機構與其他實體，如網絡安全企業、政府相關管理部門合作并從其他實體接收網絡安全信息，并梳理形成與自身相關的網絡安全的信息。此外，金融企業還需要意識到與其提供和使用的產品和服務相關的網絡供應鏈風險，并制定相應的管理計劃。

3 框架應用場景

金融企業可以將網絡風險管理框架用作其網絡安全實施的關鍵部分，以識別，評估和管理網絡安全風險[2]。使用該框架作為網絡安全風險管理工具，企業可以確定對于關鍵服務最重要的網絡活動，并確定安全預算支出的優先級，以最大限度地發揮安全投資的影響。

該框架可以作為企業新的網絡安全計劃的基礎，也可以作為改進現有計劃的機制，并且可以幫助發現組織的網絡安全實踐中的空白。

參考文獻

[1] 王紅兵.Web 應用威脅建模與定量評估[J].清華大學學報：自然科學版，2009（S2）：2108-2112.

[2] 王世偉.論信息安全、網絡安全、網絡空間安全[J].中國圖書館學報，2016（5）：4-28.