《金融信息系统网络安全风险评估规范》解读与实践

作者

中国农业银行数据中心 孙英明 曾剑鹿

近年来，伴随云计算、大数据、人工智能等新型金融科技应用的爆发式增长，金融行业对自身信息系统网络安全风险的早识别、早应对已成为不可或缺的关键环节。2023年12月，中国人民银行发布的《金融信息系统网络安全风险评估规范》(以下简称《评估规范》)正式实施，其作为我国首个针对金融行业网络安全风险评估的国家标准，在继承一系列现有成熟风险评估方法论的基础上，充分结合金融信息系统特点以及信息系统安全建设需求，提出了面向金融业务和金融信息系统的网络安全风险评估模型、流程和方法，为金融机构不断提高网络安全防护能力提供了行之有效的方向和指引。

一、《评估规范》要点解读

《评估规范》融合成熟的风险评估与等保测评方法论，确立了风险评估工作的要点和原则，以及风险评估要素和评估原理，并将风险评估划分为准备阶段、识别阶段、风险计算及处理阶段，明确了各阶段工作的重点要求。

1.风险评估工作的要点和原则

针对金融信息系统及时性、连续性、保密性等特点，《评估规范》指出在实施风险评估时着重考虑以下三大工作要点：一是风险要素充分结合业务要求，增加业务要素与资产、脆弱性、威胁和风险等要素的关系。二是识别信息系统在及时性、连续性、可靠性、保密性、完整性等方面存在的脆弱性，给出评估指标。三是准确给出金融信息系统风险状况，提出量化的风险计算公式和风险等级区间。同时，要把握好可控性、全面性、最小影响性、保密性四大工作原则。

2.风险评估要素和评估原理

《评估规范》所涉评估基本要素包括业务、资产、威胁、脆弱性、安全措施以及风险，各基本要素之间的关系如下：业务的开展需要资产作为支撑;资产存在脆弱性，脆弱性越强则风险越大;威胁利用脆弱性增加风险，可能演变为安全事件，从而对资产和业务造成潜在影响;安全措施通过降低资产脆弱性被利用的可能性，来有效抵御威胁，保障业务安全运行。风险评估原理如图1所示。

图1 风险评估原理

3.风险评估各阶段工作概述

《评估规范》将风险评估工作划分为三大阶段：一是准备阶段，包括确定评估目标、成立评估工作组、确定评估范围、对金融信息系统进行充分调研、制定风险评估方案以及准备所需评估权限等。二是识别阶段，包括资产识别、威胁识别、脆弱性识别等三个方面，是风险评估的主体阶段。三是风险计算及处理阶段，其又可细分为数据整理、风险分析及处理、数据验证记录等三个子阶段，该阶段采用定量方法可计算得出风险值，并根据区间划分法将其量化为1～5级的风险等级，等级越高，风险越高。风险等级划分区间见表1。

表1 风险等级划分区间

二、《评估规范》应用实践

结合金融信息系统特点及相关网络安全工作要求，某大型银行数据中心借鉴历史评估经验，以《评估规范》为指导框架，积极探索金融行业IT系统风险评估的新路径、新方法，为更好地识别潜在风险、开展风险处置工作提供了有力支撑。

1.网络安全监管要求识别与分析

近年来，国家持续建立健全网络安全标准体系、网络安全保障体系、网络安全监管体系，网络安全领域的相关法律法规、金融监管机构发布的管理规定均对金融业数据中心开展网络安全管理、保护和控制等提出了细致要求。网络安全领域相关法律法规及安全技术标准如图2所示。

图2 网络安全领域相关法律法规及安全技术标准

在执行层面，网络安全监管要求识别与分析是风险评估的重要基础。开展评估前，金融机构需加强对上述法律法规及监管规定的学习，特别是《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》中与金融业密切相关的具体要求，应针对性开展遵从性分析，并不断细化完善风险评估项，确保信息系统各项控制措施满足行业监管条例。

2.评估方案设计与实施步骤

《评估规范》将资产作为风险评估的最终评估对象，并将其划分为业务资产、系统资产、系统组件和单元资产等三个子类。因此，本文提出的评估方案结合数据中心资产特点，着重围绕等级保护涉及的系统资产、系统组件和单元资产展开。其中，系统组件和单元资产按其对系统资产的影响面，可进一步细分为“单个系统的组件资产”和“全局资产”两部分，涵盖软硬件资产、基础环境资产、信息资产、相关的人员与服务等，其在实施过程中主要涉及三个重点环节。

(1)识别评估对象

首先，开展本组织机构的资产识别，全量梳理IT系统资产、系统组件和单元资产等，形成资产识别清单。其次，在综合考虑业务重要性和资产价值对资产重要性的基础上，进行评分赋值，价值要素包括业务重要性、保密性、完整性、可用性等(见表2)。其中，对信息系统赋值时可将其整体视为一个资产。最后，根据赋值得分情况形成重要资产清单，作为下一环节的输入。

表2 资产赋值评判标准示例

(2)威胁与脆弱性识别

在威胁识别方面，主要进行威胁来源、动机及其能力分析，并对不同威胁能力赋予不同的能力级别。其中，识别过程重点关注法律法规、监管政策变化、外部威胁变化和外部披露高危漏洞的应对策略等信息，而威胁因素则主要涉及以下内容：自然环境因素，如机房受雷击破坏导致系统受影响；系统因素，如DNS解析故障；人为因素，如敌对威胁的未授权攻击者发起恶意扫描、运维操作员人为失误造成误操作等。

在脆弱性识别方面，针对特定威胁事件，重点分析该威胁利用资产相关脆弱性后可能产生的影响。上述方案中，系统资产主要从安全技术脆弱性、安全管理脆弱性两方面进行评分赋值。其中，安全技术脆弱性包括基础硬件设施安全、总体防护体系、网络通信安全、应用安全、基础软件安全、终端安全等；安全管理脆弱性包括安全规章制度、安全组织、人员安全管理、信息系统安全管理、安全工作机制、业务连续性管理等。系统组件和单元资产识别评估示例见表3。

表3 系统组件和单元资产识别评估示例

其中，威胁值Ti根据威胁能力级别和威胁频率可用对应矩阵来确定；资产威胁值T取T1,...,Tn的最大值；Vi是考虑控制措施后该脆弱性的等级值；Ci是该脆弱性被利用的可能性；C是资产脆弱性被利用的可能性整体赋值。同时，以上赋值均可分为5档，且在评估过程中，评估人员还应确认已采取控制措施的有效性，对于确认为不适当的控制措施，应核实是否取消或对其进行修正，或采取更合适的控制措施替代。

此外，《评估规范》中详细给出了对系统资产脆弱性的赋值流程，但针对系统组件和单元资产并未详细给出脆弱性赋值标准。对此，本文所述方案结合对系统资产的赋值思路，从易于实际操作的角度，将《评估规范》中用于对系统资产评估赋值的脆弱性得分率Ritem，转化为了对系统组件和单元资产评估赋值的脆弱性得分率Vitem，Vitem=sum(V1，V2，...，Vn)/10×n，并设计了与之对应的脆弱性赋值表(见表4)。最终，资产的脆弱性赋值V可根据Vitem值所在的区间对应得出。

表4 脆弱性赋值表

(3)风险计算及处理

该环节主要负责对威胁与脆弱性识别阶段产生的数据进行分析整理，根据风险计算公式分别计算出系统组件和单元资产、系统资产的风险值。其中，对于单一特定的威胁事件，该威胁的风险值Ri=As×Vi×Ti×Ci；对于系统资产、系统组件和单元资产，其整体的风险值R=安全事件发生的可能性×安全事件的损失=As×V×T×C。

在此模式下，计算得出的特定威胁风险值可辅助揭示中高等级的风险事项，从而提示管理员将其列入风险处置清单并制定风险处置计划，而且对于有条件改进的低风险事项也可一并纳入风险处置清单。此外，通过汇总分析被评估资产的整体风险值，还可得出各级别的风险数量、高中低风险的分布占比等情况，从而更为简单、直观地展示当前重要资产的风险信息，辅助管理层全面了解系统运行风险，为后续的管理决策提供参考依据。

综上所述，本文结合《评估规范》中的方法论与金融业数据中心的资产特点，细化提出了风险评估流程示例、风险分析与处理方法，并在实践中取得了良好成效。以兼顾安全与效率为目标，希望本文所述方案能够为金融同业开展信息系统网络安全风险评估提供有价值的参考和借鉴。

本文刊于《中国金融电脑》2025年第2期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。