商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的“知識發(fā)現(xiàn)”與“內(nèi)控管理”

劉國城

(南京審計大學(xué) 會計學(xué)院，江蘇 南京　211815；江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室，江蘇 南京　211815)

?

商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的“知識發(fā)現(xiàn)”與“內(nèi)控管理”

劉國城

(南京審計大學(xué) 會計學(xué)院，江蘇 南京211815；江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室，江蘇 南京211815)

[摘要]建立完整科學(xué)的信息系統(tǒng)內(nèi)部威脅“知識發(fā)現(xiàn)”流程，是我國商業(yè)銀行規(guī)范“內(nèi)控管理”，強(qiáng)化對信息系統(tǒng)內(nèi)部威脅進(jìn)行防御、控制與管理的重要手段。我國對商業(yè)銀行內(nèi)部威脅的研究起步較晚，針對我國銀行業(yè)可能存在的內(nèi)部威脅問題，應(yīng)當(dāng)遵循“內(nèi)部威脅→脆弱點(diǎn)→知識發(fā)現(xiàn)→內(nèi)部控制→內(nèi)部管理”的治理思路，通過建立信息系統(tǒng)內(nèi)部威脅“知識發(fā)現(xiàn)”流程，強(qiáng)化對內(nèi)部威脅的防御、控制與管理。我國商業(yè)銀行在對內(nèi)部威脅信息系統(tǒng)生命周期實(shí)施“內(nèi)控管理”過程中，需要借鑒內(nèi)部威脅“知識發(fā)現(xiàn)”的原則與規(guī)律，對具體周期下的“內(nèi)部控制”實(shí)施制度設(shè)計、制度執(zhí)行、制度評價和制度改進(jìn)等四個方面的全過程管理。

[關(guān)鍵詞]商業(yè)銀行；信息系統(tǒng)；內(nèi)部威脅；知識發(fā)現(xiàn)；內(nèi)控管理

建立完整科學(xué)的信息系統(tǒng)內(nèi)部威脅“知識發(fā)現(xiàn)”流程，是我國商業(yè)銀行規(guī)范“內(nèi)控管理”，強(qiáng)化對信息系統(tǒng)內(nèi)部威脅進(jìn)行防御、控制與管理的重要手段。內(nèi)部威脅(Insider Threat)是具有訪問權(quán)限的內(nèi)部人員利用合法的身份，濫用或誤用權(quán)限對信息系統(tǒng)造成的威脅。*Schultz E.A Framework for Understanding and Predicting Insider Attacks.Computer and Security,2002,21(6):526-531.我國對商業(yè)銀行內(nèi)部威脅的研究起步較晚，針對我國銀行業(yè)可能存在的內(nèi)部威脅問題，應(yīng)當(dāng)遵循“內(nèi)部威脅→脆弱點(diǎn)→知識發(fā)現(xiàn)→內(nèi)部控制→內(nèi)部管理”的治理思路，通過建立信息系統(tǒng)內(nèi)部威脅“知識發(fā)現(xiàn)”流程，強(qiáng)化對內(nèi)部威脅的防御、控制與管理。

一、我國商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的“知識發(fā)現(xiàn)”過程

我國商業(yè)銀行信息系統(tǒng)內(nèi)部威脅近年來有頻繁多發(fā)的苗頭，并且來自信息系統(tǒng)的內(nèi)部威脅異常隱蔽。如何在復(fù)雜的銀行業(yè)務(wù)中及時“發(fā)現(xiàn)”內(nèi)部威脅，是我國商業(yè)銀行加強(qiáng)內(nèi)控管理亟待解決的難題。為此，本文構(gòu)建了商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“知識發(fā)現(xiàn)”的過程體系(見圖1)。

圖1　我國商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的"知識發(fā)現(xiàn)"過程體系

——過程Ⅰ，商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”的內(nèi)涵界定。此過程是“知識發(fā)現(xiàn)”的前提，若失去該前提，“知識發(fā)現(xiàn)”將無從談起。商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”，是指商業(yè)銀行的內(nèi)部操作人員利用其合法的身份，無意識誤用與濫用或有意識濫用與攻擊信息系統(tǒng)的脆弱點(diǎn)，對信息系統(tǒng)安全所造成的威脅。商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”具有“常規(guī)的系統(tǒng)防御措施對內(nèi)部威脅者失去效用”，“內(nèi)部威脅者熟知企業(yè)文化、運(yùn)作模式與組織架構(gòu)”，以及“內(nèi)部威脅者易于接觸敏感信息，行動更具目的性”等基本特征。根據(jù)威脅的概率程度，內(nèi)部威脅可以分為：1.低級威脅。主要是由于系統(tǒng)漏洞或缺乏保護(hù)的威脅，這種威脅若不被有目的的利用或不會產(chǎn)生;2.中級威脅。主要是惡意行為或正常操作中產(chǎn)生的異常行為;3.高級威脅。主要是有針對性的對信息系統(tǒng)實(shí)施的攻擊。

——過程Ⅱ，商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”信息的獲取與準(zhǔn)備。此過程是支撐商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“知識發(fā)現(xiàn)”的信息基礎(chǔ)平臺。過程Ⅱ的信息“源”主要來自于商業(yè)銀行信息系統(tǒng)所附帶產(chǎn)生的系統(tǒng)日志信息、網(wǎng)絡(luò)數(shù)據(jù)包信息以及漏洞掃描信息等。系統(tǒng)日志信息是系統(tǒng)的某些特定操作及其結(jié)果按時間的有序組合，其包含網(wǎng)絡(luò)設(shè)備日志、應(yīng)用系統(tǒng)日志等。目前，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)成熟的日志獲取工具，如NetLogger、Scribe、dummvent等，它們可以從分布域中監(jiān)控并收集事件，并形成日志報告;網(wǎng)絡(luò)數(shù)據(jù)包是網(wǎng)絡(luò)傳輸信息的一個“數(shù)據(jù)單位”，對其進(jìn)行信息獲取相對便捷，其獲取活動覆蓋網(wǎng)絡(luò)性能測量、用戶計費(fèi)、網(wǎng)絡(luò)協(xié)議分析、流量分析以及網(wǎng)絡(luò)口令攔截等環(huán)節(jié);時下較為成熟的網(wǎng)絡(luò)數(shù)據(jù)包信息獲取方法有Socket、Libpcap、TCP/IP首部提取等。漏洞掃描是基于漏洞數(shù)據(jù)庫，通過掃描等手段對信息系統(tǒng)的脆弱點(diǎn)進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種行為，當(dāng)前漏洞掃描信息的獲取工具較多，如Metasploit Framework、Core Impact、Canvas等。過程Ⅱ的成功實(shí)施，是一項(xiàng)復(fù)雜的過程，它需要有效借助不同信息來源下具體的獲取工具，也需要結(jié)合商業(yè)銀行的特定實(shí)際，設(shè)計適用于自身的“內(nèi)部威脅”信息獲取途徑與準(zhǔn)備方式。

——過程Ⅲ，商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”的檢測、發(fā)現(xiàn)與預(yù)處理。過程Ⅲ涵蓋三個步驟：第一，“內(nèi)部威脅”信息的“檢測”。本步驟有效面對低級、中級與高級“內(nèi)部威脅”，它基于“過程Ⅱ”中所準(zhǔn)備的日志信息、主機(jī)系統(tǒng)信息、漏洞掃描信息以及安全評估信息等平臺，通過日志分析、入侵檢測、漏洞掃描以及安全評估等行為，對信息系統(tǒng)自身各項(xiàng)運(yùn)行因子用指定的方法檢驗(yàn)或測試，觀察是否適應(yīng)特定的技術(shù)性指標(biāo)。該步驟有如下目標(biāo)：實(shí)現(xiàn)對低級威脅中系統(tǒng)的“漏洞”、“缺陷”以及“不安全因素”的檢測;實(shí)現(xiàn)對中級威脅中“異常行為”的特征檢測;實(shí)現(xiàn)高級威脅中“攻擊行為”、“破壞行為”、“非法權(quán)限”以及“違規(guī)操作”的行為監(jiān)測;第二，低級“內(nèi)部威脅”的“知識發(fā)現(xiàn)”。在上一步驟中，如果通過入侵檢測、漏洞掃描以及安全評估等行為發(fā)現(xiàn)系統(tǒng)因子運(yùn)行軌跡無任何指標(biāo)范圍可以依循，或超出特定指標(biāo)范圍，則應(yīng)進(jìn)一步測量是否為系統(tǒng)漏洞、系統(tǒng)缺陷或不安全因素，直至最終實(shí)現(xiàn)低級威脅的“知識發(fā)現(xiàn)”;第三，中級與高級“內(nèi)部威脅”信息的“預(yù)處理”。在第一步驟中，實(shí)現(xiàn)了對中級威脅的“特征檢測”以及對高級威脅的“行為監(jiān)測”后積累了大量破碎、零散、局部的有價值數(shù)據(jù)。本步驟是基于第一步驟所實(shí)施的三種行為：1.數(shù)據(jù)清理。通過檢查數(shù)據(jù)一致性、處理無效值與填充缺失值等，實(shí)現(xiàn)目標(biāo)數(shù)據(jù)的格式標(biāo)準(zhǔn)化。2.數(shù)據(jù)集成。將多個商業(yè)銀行信息系統(tǒng)數(shù)據(jù)源中的數(shù)據(jù)歸集起來統(tǒng)一存儲，并建立特征數(shù)據(jù)倉庫。3.數(shù)據(jù)變換。通過平滑聚集、數(shù)據(jù)概化、規(guī)范化等方法將商業(yè)銀行信息系統(tǒng)的特征數(shù)據(jù)合并與整合，轉(zhuǎn)換為適用于數(shù)據(jù)挖掘的形式，為下一過程作充分的準(zhǔn)備。

——過程Ⅳ，數(shù)據(jù)挖掘的模式發(fā)現(xiàn)與模型構(gòu)建。首先，對商業(yè)銀行信息系統(tǒng)中級內(nèi)部威脅與高級內(nèi)部威脅下數(shù)據(jù)挖掘進(jìn)行模式發(fā)現(xiàn)。模式發(fā)現(xiàn)是指通過觀測與預(yù)測，去尋找與揭示事物規(guī)則與本質(zhì)的過程。過程Ⅳ的模式發(fā)現(xiàn)是對過程Ⅲ所產(chǎn)生的清洗數(shù)據(jù)和變換數(shù)據(jù)，通過分類與聚類等技術(shù)，從樣本數(shù)據(jù)中找出規(guī)律，有效辨別正常模式與異常模式;其次，對商業(yè)銀行信息系統(tǒng)中級內(nèi)部威脅與高級內(nèi)部威脅下數(shù)據(jù)挖掘進(jìn)行模型構(gòu)建?！澳Ｐ蜆?gòu)建”是數(shù)據(jù)挖掘整個過程成功的關(guān)鍵，是對特征數(shù)據(jù)根據(jù)不同的數(shù)據(jù)挖掘算法在深層次過濾的基礎(chǔ)上，將一般規(guī)律抽象成一種分析模型，對特征數(shù)據(jù)集進(jìn)行形式化描述。模型的構(gòu)建形式不統(tǒng)一，必須將“模式發(fā)現(xiàn)”過程中所觀測的數(shù)據(jù)特征與層次分析法、剪枝算法、云模型感知算法、頻繁訪問路徑算法等特定的算法特征有機(jī)融合，以構(gòu)建不同特征數(shù)據(jù)庫下適用的數(shù)據(jù)挖掘算法模型。例如，針對某商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的數(shù)據(jù)庫，完成“模型構(gòu)建”應(yīng)遵循以下路線：1.對各類內(nèi)部訪問用戶進(jìn)行系統(tǒng)元操作，生成元操作組合;2.對元操作組合借助剪枝算法生成用戶剪枝子樹;3.運(yùn)用最小攻擊樹算法將剪枝子樹進(jìn)一步生成用戶最小攻擊樹;4.對已經(jīng)生成的預(yù)處理信息及其模式發(fā)現(xiàn)通過前述的用戶最小攻擊樹進(jìn)行檢測，確定“正常用戶”或“威脅用戶”;5.忽略“正常用戶”，從“威脅用戶”中甄別“可疑用戶”與“惡意用戶”;6.對“惡意用戶”與“可疑用戶”采用特定監(jiān)控策略。

——過程Ⅴ,中級內(nèi)部威脅與高級內(nèi)部威脅的知識發(fā)現(xiàn)與知識評估。本過程步驟為：1.依據(jù)“過程Ⅳ”對中級與高級內(nèi)部威脅進(jìn)行知識發(fā)現(xiàn)。該步驟是針對中級與高級內(nèi)部威脅的特征數(shù)據(jù)，在“數(shù)據(jù)挖掘”的基礎(chǔ)上，提煉出一系列如何“發(fā)現(xiàn)”內(nèi)部威脅的“探測規(guī)律”。這些規(guī)律的發(fā)現(xiàn)是非平凡的“知識創(chuàng)造”過程。2.對低、中、高級內(nèi)部威脅進(jìn)行“知識評價”。過程Ⅲ涵蓋了低級內(nèi)部威脅的“發(fā)現(xiàn)”過程，過程Ⅴ涵蓋了中級與高級內(nèi)部威脅的“發(fā)現(xiàn)”過程。該步驟是對“低中高”級內(nèi)部威脅“發(fā)現(xiàn)”的整體結(jié)論所做的驗(yàn)證、評價與估量。首先需要再次驗(yàn)證具體結(jié)論的普遍性;其次需要評價“發(fā)現(xiàn)”結(jié)論的全面性與精確性;再次需要估量“發(fā)現(xiàn)”結(jié)論的價值性，是否遵循了成本效益原則。3.“知識發(fā)現(xiàn)”整體策略的調(diào)整與優(yōu)化。主要是對整個“知識發(fā)現(xiàn)”過程中的不完善之處進(jìn)行策略修改，對“知識發(fā)現(xiàn)”結(jié)論的全面性、科學(xué)性、效益性以及規(guī)則性進(jìn)行優(yōu)化，使得圖1的“知識發(fā)現(xiàn)”過程體系得以循環(huán)往復(fù)運(yùn)行。

二、我國商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“內(nèi)控管理”的框架設(shè)計

(一)內(nèi)部控制設(shè)計

基于內(nèi)部威脅的我國商業(yè)銀行信息系統(tǒng)“內(nèi)部控制設(shè)計”是針對制度的設(shè)計，它承載的功能是通過系列控制規(guī)程與內(nèi)控約束，嚴(yán)格規(guī)范內(nèi)部員工的工作行為。商業(yè)銀行在內(nèi)控制度設(shè)計上必須考慮科學(xué)性、整體性與可操作性，并沿襲全面性、系統(tǒng)性、風(fēng)險導(dǎo)向性和技術(shù)導(dǎo)向性四個控制方向。此外，基于內(nèi)部威脅的內(nèi)部控制設(shè)計還需要充分融合內(nèi)部威脅的“知識發(fā)現(xiàn)”過程，真正實(shí)現(xiàn)內(nèi)部威脅的“知識發(fā)現(xiàn)”與“內(nèi)控設(shè)計”的有機(jī)統(tǒng)一。源自“內(nèi)控制度”設(shè)計的內(nèi)部威脅“知識發(fā)現(xiàn)”的相關(guān)內(nèi)容，主要包括從內(nèi)部威脅“知識發(fā)現(xiàn)”過程中抽象、提煉出來的“檢測”方法、“挖掘”規(guī)則以及“發(fā)現(xiàn)”思路。例如，全面性控制導(dǎo)向下，信息系統(tǒng)分為規(guī)劃與設(shè)計、實(shí)施、運(yùn)行維護(hù)與管理三個周期;在系統(tǒng)實(shí)施階段，“系統(tǒng)測試”內(nèi)控制度設(shè)計需要融合內(nèi)部威脅“檢測”方法，即漏洞檢測、攻擊檢測等方法，這樣設(shè)計的測試標(biāo)準(zhǔn)與測試步驟才可能更為全面詳盡;技術(shù)導(dǎo)向性控制下，“內(nèi)控制度”設(shè)計則需要融入特定前提下具有普遍性的具體“挖掘”規(guī)則，即決策樹算法、聚類算法、布爾關(guān)聯(lián)規(guī)則頻繁項(xiàng)集算法等，這樣的內(nèi)控制度設(shè)計才可能實(shí)現(xiàn)對技術(shù)功能的充分利用。

(二)內(nèi)部控制執(zhí)行

基于內(nèi)部威脅的我國商業(yè)銀行信息系統(tǒng)“內(nèi)部控制執(zhí)行”，指的是商業(yè)銀行針對“內(nèi)部威脅”而對信息系統(tǒng)實(shí)施的具體控制行為，該內(nèi)控執(zhí)行行為需要關(guān)注內(nèi)控執(zhí)行方式、內(nèi)控執(zhí)行監(jiān)督、內(nèi)控執(zhí)行激勵以及內(nèi)控執(zhí)行效率四個方面，并且必須確保獨(dú)立性、效益性與效率性三原則的整體實(shí)現(xiàn)。本文強(qiáng)調(diào)，內(nèi)控執(zhí)行在遵照內(nèi)控制度的基礎(chǔ)上，要借鑒內(nèi)部威脅“知識發(fā)現(xiàn)”中具有規(guī)律性的普遍性行為。例如，商業(yè)銀行在選擇信息系統(tǒng)內(nèi)部控制的執(zhí)行方式時可借鑒內(nèi)部威脅的“檢測”方法，對于系統(tǒng)漏洞內(nèi)部控制的執(zhí)行可采納漏洞掃描測試法，對機(jī)制缺陷與不安全因素的內(nèi)控執(zhí)行可直接借用ASTRA32等檢測工具;再如，商業(yè)銀行信息系統(tǒng)的內(nèi)部控制行為也需要得到有效監(jiān)督，以實(shí)現(xiàn)其獨(dú)立性與有效性。商業(yè)銀行在監(jiān)督對遠(yuǎn)程訪問設(shè)置適當(dāng)控制、對數(shù)據(jù)變更實(shí)施授權(quán)控制等內(nèi)控“是否”執(zhí)行以及“如何”執(zhí)行時，可融合內(nèi)部威脅的“挖掘”技術(shù)與“發(fā)現(xiàn)”模式，從系統(tǒng)日志數(shù)據(jù)、系統(tǒng)主機(jī)數(shù)據(jù)中“挖掘”內(nèi)控執(zhí)行的“蹤跡”，“發(fā)現(xiàn)”內(nèi)控實(shí)施的“態(tài)勢”。簡言之，在內(nèi)部威脅中植入“檢測”方法、“挖掘”技術(shù)與“發(fā)現(xiàn)”策略，能夠強(qiáng)化商業(yè)銀行信息系統(tǒng)“內(nèi)部控制執(zhí)行”環(huán)節(jié)的成本效益原則，增強(qiáng)其實(shí)效性。

(三)內(nèi)部控制評價

基于內(nèi)部威脅的我國商業(yè)銀行信息系統(tǒng)“內(nèi)部控制評價”，是指針對內(nèi)部威脅問題而對銀行內(nèi)部控制的戰(zhàn)略適應(yīng)性、環(huán)境適應(yīng)性、內(nèi)控有效性以及內(nèi)控及時性的判斷、衡量與評定，是基于評價指標(biāo)而出具的評價結(jié)論。內(nèi)控評價主體在對內(nèi)部威脅進(jìn)行“內(nèi)控評價”時，要合理運(yùn)用內(nèi)部威脅“知識發(fā)現(xiàn)”中的發(fā)現(xiàn)模式、實(shí)時預(yù)警設(shè)計模式以及態(tài)勢評估運(yùn)行模式來設(shè)計內(nèi)控評價標(biāo)準(zhǔn)，完善“內(nèi)控評價”機(jī)制。例如，對內(nèi)部威脅下“內(nèi)控制度”的科學(xué)性評價可以借用內(nèi)部威脅發(fā)現(xiàn)模式下的聚類模式，通過多種具體情況下的多次實(shí)地聚類驗(yàn)證，測試銀行針對內(nèi)部威脅所設(shè)計的“內(nèi)控制度”表述是否恰當(dāng)與全面;對內(nèi)部威脅下“內(nèi)控執(zhí)行”的有效性評價，可以借用時間序列模式，分析持續(xù)時間段中日志數(shù)據(jù)下的“內(nèi)部控制”系列軌跡，以衡量“內(nèi)控執(zhí)行”的效率與效果。再如，如何對內(nèi)部威脅下銀行信息系統(tǒng)的實(shí)施是否與銀行戰(zhàn)略發(fā)展目標(biāo)以及銀行外部環(huán)境變化相一致進(jìn)行評價時，則需要引入內(nèi)部威脅“知識發(fā)現(xiàn)”中的態(tài)勢評估，建立“內(nèi)部威脅→態(tài)勢評估→內(nèi)部控制→銀行內(nèi)部發(fā)展→外部環(huán)境變化”五位一體的評價體系。

(四)內(nèi)部控制改進(jìn)

基于內(nèi)部威脅的我國商業(yè)銀行信息系統(tǒng)“內(nèi)部控制改進(jìn)”，是指對“內(nèi)控制度”設(shè)計以及執(zhí)行所進(jìn)行的優(yōu)化與完善。商業(yè)銀行針對內(nèi)部威脅的“內(nèi)部控制改進(jìn)”需關(guān)注技術(shù)性改進(jìn)、環(huán)境性改進(jìn)與信息反饋性改進(jìn)。有關(guān)“內(nèi)部控制改進(jìn)”需要融合內(nèi)部威脅“知識發(fā)現(xiàn)”中的“檢測”方法、“挖掘”算法、“報警”機(jī)制和“態(tài)勢”分析。首先，對于“內(nèi)部控制”的技術(shù)性改進(jìn)，要融合“知識發(fā)現(xiàn)”下的“檢測”方法以及“挖掘”算法，這是因?yàn)樗鼈兒w了漏洞檢測，數(shù)據(jù)預(yù)處理和數(shù)據(jù)挖掘等技術(shù)，而且“知識發(fā)現(xiàn)”過程本身就是針對于不同內(nèi)部威脅條件下不同挖掘技術(shù)的持續(xù)創(chuàng)新;其次，對于“內(nèi)部控制”的環(huán)境性改進(jìn)，要融合“報警”機(jī)制與“態(tài)勢”分析，這是因?yàn)樗鼈兲N(yùn)含了特定時期系統(tǒng)自身的脆弱點(diǎn)運(yùn)動趨勢以及內(nèi)部威脅狀態(tài)的發(fā)展趨勢，這些趨勢從側(cè)面反映了銀行內(nèi)外部運(yùn)營環(huán)境的變化，能夠?yàn)閮?yōu)化內(nèi)控體系提供參照依據(jù);再次，“報警”機(jī)制與“態(tài)勢”分析，也便于“內(nèi)部控制”的信息反饋性改進(jìn)，內(nèi)部威脅相關(guān)趨勢信息的實(shí)時反饋能夠使內(nèi)部控制的設(shè)計與執(zhí)行及時得到修正與優(yōu)化。

三、我國商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“內(nèi)控管理”的策略構(gòu)想

商業(yè)銀行在對內(nèi)部威脅信息系統(tǒng)生命周期實(shí)施“內(nèi)控管理”過程中，需要借鑒“知識發(fā)現(xiàn)”的原則，對具體周期下的“內(nèi)控管理”，實(shí)施制度設(shè)計、制度執(zhí)行、制度評價和制度改進(jìn)等四個方面全過程管理。

(一)系統(tǒng)規(guī)劃與設(shè)計階段

系統(tǒng)規(guī)劃與設(shè)計階段涵蓋三個過程：1.系統(tǒng)規(guī)劃。系統(tǒng)規(guī)劃是商業(yè)銀行具體應(yīng)用系統(tǒng)整體框架的計劃過程。該過程的內(nèi)部控制主要包括針對商業(yè)銀行IT新項(xiàng)目所實(shí)施的開發(fā)目標(biāo)控制、總體戰(zhàn)略結(jié)構(gòu)控制以及開發(fā)方式控制;2.系統(tǒng)分析。商業(yè)銀行信息系統(tǒng)分析是針對商業(yè)銀行對計算機(jī)應(yīng)用系統(tǒng)的需求，在不確定的情況下，如何尋找新系統(tǒng)邏輯方案的過程。該過程的內(nèi)部控制主要包括系統(tǒng)開發(fā)制度設(shè)計、用戶需求分析有效性控制、需求分析審批控制以及業(yè)務(wù)流程重組控制等;3.系統(tǒng)設(shè)計。商業(yè)銀行信息系統(tǒng)設(shè)計是指將新系統(tǒng)邏輯模型轉(zhuǎn)化為系統(tǒng)結(jié)構(gòu)模型，對新系統(tǒng)進(jìn)行總體結(jié)構(gòu)設(shè)計與具體物理模型設(shè)計的過程。該過程的內(nèi)部控制主要包括控制功能設(shè)計控制、業(yè)務(wù)處理設(shè)計控制以及設(shè)計方案審核控制。內(nèi)部威脅下系統(tǒng)規(guī)劃與設(shè)計階段“內(nèi)控管理”策略的建立需要完善五個步驟：一是針對內(nèi)部威脅對擬建新系統(tǒng)實(shí)施全面風(fēng)險評估;二是針對具體IT風(fēng)險，設(shè)計科學(xué)的內(nèi)部控制制度;三是對既有內(nèi)控制度進(jìn)行實(shí)質(zhì)性測試;四是對既有控制制度進(jìn)行評價;五是對該階段原有內(nèi)控制度進(jìn)行改進(jìn)與補(bǔ)充。

上述步驟中，最為關(guān)鍵的是針對內(nèi)部威脅對擬建新系統(tǒng)實(shí)施全面風(fēng)險評估。為科學(xué)確立“內(nèi)控管理”策略，商業(yè)銀行有必要依次建立基于內(nèi)部威脅的風(fēng)險感知模型、風(fēng)險分析模型以及風(fēng)險估計模型。風(fēng)險感知與風(fēng)險分析是商業(yè)銀行擬建新信息系統(tǒng)風(fēng)險識別的兩個環(huán)節(jié)。面對未知的內(nèi)部威脅，商業(yè)銀行新系統(tǒng)在擬建之初就應(yīng)該用感知、判斷與歸類的方式對靜態(tài)的、動態(tài)的，現(xiàn)實(shí)的、潛在的各項(xiàng)內(nèi)在風(fēng)險進(jìn)行判斷與鑒別，并分析有關(guān)風(fēng)險的動因及其運(yùn)動軌跡。此外，在風(fēng)險估計方面，商業(yè)銀行需要通過建立模型，對具體風(fēng)險轉(zhuǎn)換為實(shí)際損失的概率以可能造成損失的大小進(jìn)行定量估計。如針對上述擬建供應(yīng)鏈金融系統(tǒng)，商業(yè)銀行應(yīng)根據(jù)不同參與主體的實(shí)際狀況，估計在“訂單、預(yù)付款、貨押、訂單轉(zhuǎn)應(yīng)收、預(yù)付款轉(zhuǎn)貨押”等業(yè)務(wù)上錯誤操作的概率以及可能造成損失的程度，以便于在后續(xù)步驟中能夠科學(xué)、全面的設(shè)計內(nèi)控制度。

(二)系統(tǒng)實(shí)施階段

系統(tǒng)實(shí)施階段是指商業(yè)銀行通過建立特征數(shù)據(jù)庫、編制與測試相關(guān)程序、試運(yùn)行系統(tǒng)，并實(shí)現(xiàn)由邏輯系統(tǒng)向物理系統(tǒng)轉(zhuǎn)換的過程。該階段的內(nèi)部控制主要包括軟硬件的獲取與評估控制、編碼與接口控制、數(shù)據(jù)遷移控制以及系統(tǒng)上線控制等。內(nèi)部威脅下系統(tǒng)實(shí)施階段的“內(nèi)控管理”策略包含如下步驟：1.針對內(nèi)部威脅實(shí)施風(fēng)險評估;2.內(nèi)部控制制度設(shè)計;3.內(nèi)部控制制度診斷與測試;4.內(nèi)部控制制度的評價與改進(jìn)。系統(tǒng)實(shí)施階段下“內(nèi)控管理”構(gòu)建步驟中最為關(guān)鍵的是“內(nèi)部控制制度的診斷與測試”，這是因?yàn)椋鎸π畔⑾到y(tǒng)的整個生命周期，系統(tǒng)實(shí)施階段風(fēng)險最大，在該階段下如何試驗(yàn)已有內(nèi)控制度的正確性、有效性和及時性，將是商業(yè)銀行開展“內(nèi)控管理”活動的成功要素之一。商業(yè)銀行基于內(nèi)部威脅對擬建系統(tǒng)實(shí)施階段進(jìn)行內(nèi)控制度診斷與測試的環(huán)節(jié)主要涵蓋：其一，事件日志的診斷。事件日志記錄著“數(shù)據(jù)遷移”、“系統(tǒng)上線”等內(nèi)容的錯誤運(yùn)行信息，商業(yè)銀行需要根據(jù)自動生成的異常信息，如磁盤簽名不匹配、文件共享失敗以及密碼更新失敗等，直接分析錯誤原因，歸納內(nèi)控失效的動因;其二，業(yè)務(wù)過程的挖掘測試。在這個環(huán)節(jié)中商業(yè)銀行需要從海量的“軟硬件采購”、“編碼與接口”等系統(tǒng)實(shí)施數(shù)據(jù)中采用特定的挖掘方法實(shí)施數(shù)據(jù)挖掘，尋找內(nèi)控制度的脆弱點(diǎn)，檢查有關(guān)“編碼與接口”內(nèi)控設(shè)計是否全面，“數(shù)據(jù)遷移”是否有據(jù)可依等若干內(nèi)控問題;其三，業(yè)務(wù)過程的取證測試。在這個環(huán)節(jié)中通過對新系統(tǒng)實(shí)施階段的業(yè)務(wù)過程進(jìn)行“過程發(fā)現(xiàn)”、“一致性檢查”與“性能分析”，抽取異常行為，分析內(nèi)控的矛盾點(diǎn)，衡量內(nèi)控管理的科學(xué)性與實(shí)效性;其四，持續(xù)監(jiān)控與審計測試。該環(huán)節(jié)是對已有內(nèi)控制度持續(xù)實(shí)施進(jìn)行實(shí)質(zhì)性測試，通過檢查、觀察、監(jiān)盤、分析性復(fù)核、邏輯性復(fù)核等審計方式監(jiān)督相關(guān)控制制度執(zhí)行的合法性、合理性和時效性。

(三)系統(tǒng)運(yùn)行維護(hù)與管理階段

系統(tǒng)運(yùn)行維護(hù)與管理階段是指商業(yè)銀行新建信息系統(tǒng)投入運(yùn)行后所進(jìn)行的日常操作、維護(hù)與管理過程。為保障信息系統(tǒng)免遭內(nèi)部威脅，實(shí)現(xiàn)最佳效益，在系統(tǒng)運(yùn)行維護(hù)與管理階段中商業(yè)銀行必須制定嚴(yán)格的內(nèi)控管理策略。系統(tǒng)運(yùn)行維護(hù)與管理階段的內(nèi)部控制包括：職責(zé)分工控制、權(quán)限配備控制、數(shù)據(jù)備份與變更控制、系統(tǒng)變更控制、物理安全控制以及網(wǎng)絡(luò)安全控制等。內(nèi)部威脅下系統(tǒng)運(yùn)行維護(hù)與管理階段的“內(nèi)控管理”策略涵蓋：1.針對內(nèi)部威脅實(shí)施風(fēng)險評估;2.基于內(nèi)部威脅的“知識發(fā)現(xiàn)”理論科學(xué)建設(shè)內(nèi)部控制制度;3.基于過程模型對內(nèi)控制度進(jìn)行科學(xué)性和有效性測試;4.對內(nèi)控制度實(shí)施評價;5.基于內(nèi)控測試線索對內(nèi)控制度實(shí)施全面改進(jìn);6.建立系統(tǒng)運(yùn)行與維護(hù)的實(shí)時預(yù)警機(jī)制。在上述過程中，最為關(guān)鍵的應(yīng)該是“如何科學(xué)建設(shè)商業(yè)銀行信息系統(tǒng)運(yùn)行維護(hù)與管理的內(nèi)部控制規(guī)范體系”。結(jié)合前文，系統(tǒng)運(yùn)行維護(hù)與管理階段下商業(yè)銀行設(shè)計內(nèi)控制度需要融合“外來理念”，即信息系統(tǒng)內(nèi)部威脅下的“知識發(fā)現(xiàn)”原則。內(nèi)部威脅下的“知識發(fā)現(xiàn)”規(guī)律，是從海量不規(guī)則的內(nèi)部威脅信息中經(jīng)過“威脅檢測”、“風(fēng)險標(biāo)識”、“過程監(jiān)控”、“過程挖掘”、“過程優(yōu)化”、“模式發(fā)現(xiàn)”、“流程智能”等系列復(fù)雜過程所提煉出來并具有極高價值的經(jīng)驗(yàn)與總結(jié)。例如，某商業(yè)銀行探索“如何建立內(nèi)部人員遠(yuǎn)程訪問信息系統(tǒng)的控制制度”，則該銀行有必要對遠(yuǎn)程各類內(nèi)部訪問用戶的系統(tǒng)元操作進(jìn)行組合與初步檢測，并依次借鑒剪枝算法與最小攻擊樹算法，將元操作組合生成剪枝子樹與最小攻擊樹，若樹非空即為威脅用戶，則進(jìn)一步施行模式發(fā)現(xiàn)與流程智能。在設(shè)計系統(tǒng)運(yùn)行維護(hù)與管理階段下內(nèi)控制度的具體條款中，如果能夠融合上述“知識發(fā)現(xiàn)”中具體的邏輯方法，則商業(yè)銀行內(nèi)部威脅下的“內(nèi)控管理”策略構(gòu)建將會真正實(shí)現(xiàn)由靜態(tài)向動態(tài)、由定性向定量的有機(jī)轉(zhuǎn)化。

(責(zé)任編輯：欒曉平)

收稿日期：2016-03-14

作者簡介：劉國城，男，南京審計大學(xué)副教授、中國內(nèi)部審計發(fā)展研究中心與江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室研究員。

基金項(xiàng)目：本文系國家社會科學(xué)基金項(xiàng)目(編號：14BJY016)、教育部人文社科研究規(guī)劃基金項(xiàng)目(編號：14YJA790032)、江蘇省高校自然科學(xué)研究面上項(xiàng)目(編號：15KJB120006)、江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室開放課題資助(編號：NSK2015-07)的階段性成果。

[中圖分類號]F832.1

[文獻(xiàn)標(biāo)識碼]A

[文章編號]1003-4145[2016]07-0148-05

·經(jīng)濟(jì)與管理研究·