商业银行信息系统内部威胁的“知识发现”与“内控管理”

刘国城

(南京审计大学 会计学院，江苏 南京　211815；江苏省金融工程重点实验室，江苏 南京　211815)



商业银行信息系统内部威胁的“知识发现”与“内控管理”

刘国城

(南京审计大学 会计学院，江苏 南京211815；江苏省金融工程重点实验室，江苏 南京211815)

[摘要]建立完整科学的信息系统内部威胁“知识发现”流程，是我国商业银行规范“内控管理”，强化对信息系统内部威胁进行防御、控制与管理的重要手段。我国对商业银行内部威胁的研究起步较晚，针对我国银行业可能存在的内部威胁问题，应当遵循“内部威胁→脆弱点→知识发现→内部控制→内部管理”的治理思路，通过建立信息系统内部威胁“知识发现”流程，强化对内部威胁的防御、控制与管理。我国商业银行在对内部威胁信息系统生命周期实施“内控管理”过程中，需要借鉴内部威胁“知识发现”的原则与规律，对具体周期下的“内部控制”实施制度设计、制度执行、制度评价和制度改进等四个方面的全过程管理。

[关键词]商业银行；信息系统；内部威胁；知识发现；内控管理

建立完整科学的信息系统内部威胁“知识发现”流程，是我国商业银行规范“内控管理”，强化对信息系统内部威胁进行防御、控制与管理的重要手段。内部威胁(Insider Threat)是具有访问权限的内部人员利用合法的身份，滥用或误用权限对信息系统造成的威胁。*Schultz E.A Framework for Understanding and Predicting Insider Attacks.Computer and Security,2002,21(6):526-531.我国对商业银行内部威胁的研究起步较晚，针对我国银行业可能存在的内部威胁问题，应当遵循“内部威胁→脆弱点→知识发现→内部控制→内部管理”的治理思路，通过建立信息系统内部威胁“知识发现”流程，强化对内部威胁的防御、控制与管理。

一、我国商业银行信息系统内部威胁的“知识发现”过程

我国商业银行信息系统内部威胁近年来有频繁多发的苗头，并且来自信息系统的内部威胁异常隐蔽。如何在复杂的银行业务中及时“发现”内部威胁，是我国商业银行加强内控管理亟待解决的难题。为此，本文构建了商业银行信息系统内部威胁“知识发现”的过程体系(见图1)。

图1　我国商业银行信息系统内部威胁的"知识发现"过程体系

——过程Ⅰ，商业银行信息系统“内部威胁”的内涵界定。此过程是“知识发现”的前提，若失去该前提，“知识发现”将无从谈起。商业银行信息系统“内部威胁”，是指商业银行的内部操作人员利用其合法的身份，无意识误用与滥用或有意识滥用与攻击信息系统的脆弱点，对信息系统安全所造成的威胁。商业银行信息系统“内部威胁”具有“常规的系统防御措施对内部威胁者失去效用”，“内部威胁者熟知企业文化、运作模式与组织架构”，以及“内部威胁者易于接触敏感信息，行动更具目的性”等基本特征。根据威胁的概率程度，内部威胁可以分为：1.低级威胁。主要是由于系统漏洞或缺乏保护的威胁，这种威胁若不被有目的的利用或不会产生;2.中级威胁。主要是恶意行为或正常操作中产生的异常行为;3.高级威胁。主要是有针对性的对信息系统实施的攻击。

——过程Ⅱ，商业银行信息系统“内部威胁”信息的获取与准备。此过程是支撑商业银行信息系统内部威胁“知识发现”的信息基础平台。过程Ⅱ的信息“源”主要来自于商业银行信息系统所附带产生的系统日志信息、网络数据包信息以及漏洞扫描信息等。系统日志信息是系统的某些特定操作及其结果按时间的有序组合，其包含网络设备日志、应用系统日志等。目前，互联网上已经出现成熟的日志获取工具，如NetLogger、Scribe、dummvent等，它们可以从分布域中监控并收集事件，并形成日志报告;网络数据包是网络传输信息的一个“数据单位”，对其进行信息获取相对便捷，其获取活动覆盖网络性能测量、用户计费、网络协议分析、流量分析以及网络口令拦截等环节;时下较为成熟的网络数据包信息获取方法有Socket、Libpcap、TCP/IP首部提取等。漏洞扫描是基于漏洞数据库，通过扫描等手段对信息系统的脆弱点进行检测，发现可利用漏洞的一种行为，当前漏洞扫描信息的获取工具较多，如Metasploit Framework、Core Impact、Canvas等。过程Ⅱ的成功实施，是一项复杂的过程，它需要有效借助不同信息来源下具体的获取工具，也需要结合商业银行的特定实际，设计适用于自身的“内部威胁”信息获取途径与准备方式。

——过程Ⅲ，商业银行信息系统“内部威胁”的检测、发现与预处理。过程Ⅲ涵盖三个步骤：第一，“内部威胁”信息的“检测”。本步骤有效面对低级、中级与高级“内部威胁”，它基于“过程Ⅱ”中所准备的日志信息、主机系统信息、漏洞扫描信息以及安全评估信息等平台，通过日志分析、入侵检测、漏洞扫描以及安全评估等行为，对信息系统自身各项运行因子用指定的方法检验或测试，观察是否适应特定的技术性指标。该步骤有如下目标：实现对低级威胁中系统的“漏洞”、“缺陷”以及“不安全因素”的检测;实现对中级威胁中“异常行为”的特征检测;实现高级威胁中“攻击行为”、“破坏行为”、“非法权限”以及“违规操作”的行为监测;第二，低级“内部威胁”的“知识发现”。在上一步骤中，如果通过入侵检测、漏洞扫描以及安全评估等行为发现系统因子运行轨迹无任何指标范围可以依循，或超出特定指标范围，则应进一步测量是否为系统漏洞、系统缺陷或不安全因素，直至最终实现低级威胁的“知识发现”;第三，中级与高级“内部威胁”信息的“预处理”。在第一步骤中，实现了对中级威胁的“特征检测”以及对高级威胁的“行为监测”后积累了大量破碎、零散、局部的有价值数据。本步骤是基于第一步骤所实施的三种行为：1.数据清理。通过检查数据一致性、处理无效值与填充缺失值等，实现目标数据的格式标准化。2.数据集成。将多个商业银行信息系统数据源中的数据归集起来统一存储，并建立特征数据仓库。3.数据变换。通过平滑聚集、数据概化、规范化等方法将商业银行信息系统的特征数据合并与整合，转换为适用于数据挖掘的形式，为下一过程作充分的准备。

——过程Ⅳ，数据挖掘的模式发现与模型构建。首先，对商业银行信息系统中级内部威胁与高级内部威胁下数据挖掘进行模式发现。模式发现是指通过观测与预测，去寻找与揭示事物规则与本质的过程。过程Ⅳ的模式发现是对过程Ⅲ所产生的清洗数据和变换数据，通过分类与聚类等技术，从样本数据中找出规律，有效辨别正常模式与异常模式;其次，对商业银行信息系统中级内部威胁与高级内部威胁下数据挖掘进行模型构建。“模型构建”是数据挖掘整个过程成功的关键，是对特征数据根据不同的数据挖掘算法在深层次过滤的基础上，将一般规律抽象成一种分析模型，对特征数据集进行形式化描述。模型的构建形式不统一，必须将“模式发现”过程中所观测的数据特征与层次分析法、剪枝算法、云模型感知算法、频繁访问路径算法等特定的算法特征有机融合，以构建不同特征数据库下适用的数据挖掘算法模型。例如，针对某商业银行信息系统内部威胁的数据库，完成“模型构建”应遵循以下路线：1.对各类内部访问用户进行系统元操作，生成元操作组合;2.对元操作组合借助剪枝算法生成用户剪枝子树;3.运用最小攻击树算法将剪枝子树进一步生成用户最小攻击树;4.对已经生成的预处理信息及其模式发现通过前述的用户最小攻击树进行检测，确定“正常用户”或“威胁用户”;5.忽略“正常用户”，从“威胁用户”中甄别“可疑用户”与“恶意用户”;6.对“恶意用户”与“可疑用户”采用特定监控策略。

——过程Ⅴ,中级内部威胁与高级内部威胁的知识发现与知识评估。本过程步骤为：1.依据“过程Ⅳ”对中级与高级内部威胁进行知识发现。该步骤是针对中级与高级内部威胁的特征数据，在“数据挖掘”的基础上，提炼出一系列如何“发现”内部威胁的“探测规律”。这些规律的发现是非平凡的“知识创造”过程。2.对低、中、高级内部威胁进行“知识评价”。过程Ⅲ涵盖了低级内部威胁的“发现”过程，过程Ⅴ涵盖了中级与高级内部威胁的“发现”过程。该步骤是对“低中高”级内部威胁“发现”的整体结论所做的验证、评价与估量。首先需要再次验证具体结论的普遍性;其次需要评价“发现”结论的全面性与精确性;再次需要估量“发现”结论的价值性，是否遵循了成本效益原则。3.“知识发现”整体策略的调整与优化。主要是对整个“知识发现”过程中的不完善之处进行策略修改，对“知识发现”结论的全面性、科学性、效益性以及规则性进行优化，使得图1的“知识发现”过程体系得以循环往复运行。

二、我国商业银行信息系统内部威胁“内控管理”的框架设计

(一)内部控制设计

基于内部威胁的我国商业银行信息系统“内部控制设计”是针对制度的设计，它承载的功能是通过系列控制规程与内控约束，严格规范内部员工的工作行为。商业银行在内控制度设计上必须考虑科学性、整体性与可操作性，并沿袭全面性、系统性、风险导向性和技术导向性四个控制方向。此外，基于内部威胁的内部控制设计还需要充分融合内部威胁的“知识发现”过程，真正实现内部威胁的“知识发现”与“内控设计”的有机统一。源自“内控制度”设计的内部威胁“知识发现”的相关内容，主要包括从内部威胁“知识发现”过程中抽象、提炼出来的“检测”方法、“挖掘”规则以及“发现”思路。例如，全面性控制导向下，信息系统分为规划与设计、实施、运行维护与管理三个周期;在系统实施阶段，“系统测试”内控制度设计需要融合内部威胁“检测”方法，即漏洞检测、攻击检测等方法，这样设计的测试标准与测试步骤才可能更为全面详尽;技术导向性控制下，“内控制度”设计则需要融入特定前提下具有普遍性的具体“挖掘”规则，即决策树算法、聚类算法、布尔关联规则频繁项集算法等，这样的内控制度设计才可能实现对技术功能的充分利用。

(二)内部控制执行

基于内部威胁的我国商业银行信息系统“内部控制执行”，指的是商业银行针对“内部威胁”而对信息系统实施的具体控制行为，该内控执行行为需要关注内控执行方式、内控执行监督、内控执行激励以及内控执行效率四个方面，并且必须确保独立性、效益性与效率性三原则的整体实现。本文强调，内控执行在遵照内控制度的基础上，要借鉴内部威胁“知识发现”中具有规律性的普遍性行为。例如，商业银行在选择信息系统内部控制的执行方式时可借鉴内部威胁的“检测”方法，对于系统漏洞内部控制的执行可采纳漏洞扫描测试法，对机制缺陷与不安全因素的内控执行可直接借用ASTRA32等检测工具;再如，商业银行信息系统的内部控制行为也需要得到有效监督，以实现其独立性与有效性。商业银行在监督对远程访问设置适当控制、对数据变更实施授权控制等内控“是否”执行以及“如何”执行时，可融合内部威胁的“挖掘”技术与“发现”模式，从系统日志数据、系统主机数据中“挖掘”内控执行的“踪迹”，“发现”内控实施的“态势”。简言之，在内部威胁中植入“检测”方法、“挖掘”技术与“发现”策略，能够强化商业银行信息系统“内部控制执行”环节的成本效益原则，增强其实效性。

(三)内部控制评价

基于内部威胁的我国商业银行信息系统“内部控制评价”，是指针对内部威胁问题而对银行内部控制的战略适应性、环境适应性、内控有效性以及内控及时性的判断、衡量与评定，是基于评价指标而出具的评价结论。内控评价主体在对内部威胁进行“内控评价”时，要合理运用内部威胁“知识发现”中的发现模式、实时预警设计模式以及态势评估运行模式来设计内控评价标准，完善“内控评价”机制。例如，对内部威胁下“内控制度”的科学性评价可以借用内部威胁发现模式下的聚类模式，通过多种具体情况下的多次实地聚类验证，测试银行针对内部威胁所设计的“内控制度”表述是否恰当与全面;对内部威胁下“内控执行”的有效性评价，可以借用时间序列模式，分析持续时间段中日志数据下的“内部控制”系列轨迹，以衡量“内控执行”的效率与效果。再如，如何对内部威胁下银行信息系统的实施是否与银行战略发展目标以及银行外部环境变化相一致进行评价时，则需要引入内部威胁“知识发现”中的态势评估，建立“内部威胁→态势评估→内部控制→银行内部发展→外部环境变化”五位一体的评价体系。

(四)内部控制改进

基于内部威胁的我国商业银行信息系统“内部控制改进”，是指对“内控制度”设计以及执行所进行的优化与完善。商业银行针对内部威胁的“内部控制改进”需关注技术性改进、环境性改进与信息反馈性改进。有关“内部控制改进”需要融合内部威胁“知识发现”中的“检测”方法、“挖掘”算法、“报警”机制和“态势”分析。首先，对于“内部控制”的技术性改进，要融合“知识发现”下的“检测”方法以及“挖掘”算法，这是因为它们涵盖了漏洞检测，数据预处理和数据挖掘等技术，而且“知识发现”过程本身就是针对于不同内部威胁条件下不同挖掘技术的持续创新;其次，对于“内部控制”的环境性改进，要融合“报警”机制与“态势”分析，这是因为它们蕴含了特定时期系统自身的脆弱点运动趋势以及内部威胁状态的发展趋势，这些趋势从侧面反映了银行内外部运营环境的变化，能够为优化内控体系提供参照依据;再次，“报警”机制与“态势”分析，也便于“内部控制”的信息反馈性改进，内部威胁相关趋势信息的实时反馈能够使内部控制的设计与执行及时得到修正与优化。

三、我国商业银行信息系统内部威胁“内控管理”的策略构想

商业银行在对内部威胁信息系统生命周期实施“内控管理”过程中，需要借鉴“知识发现”的原则，对具体周期下的“内控管理”，实施制度设计、制度执行、制度评价和制度改进等四个方面全过程管理。

(一)系统规划与设计阶段

系统规划与设计阶段涵盖三个过程：1.系统规划。系统规划是商业银行具体应用系统整体框架的计划过程。该过程的内部控制主要包括针对商业银行IT新项目所实施的开发目标控制、总体战略结构控制以及开发方式控制;2.系统分析。商业银行信息系统分析是针对商业银行对计算机应用系统的需求，在不确定的情况下，如何寻找新系统逻辑方案的过程。该过程的内部控制主要包括系统开发制度设计、用户需求分析有效性控制、需求分析审批控制以及业务流程重组控制等;3.系统设计。商业银行信息系统设计是指将新系统逻辑模型转化为系统结构模型，对新系统进行总体结构设计与具体物理模型设计的过程。该过程的内部控制主要包括控制功能设计控制、业务处理设计控制以及设计方案审核控制。内部威胁下系统规划与设计阶段“内控管理”策略的建立需要完善五个步骤：一是针对内部威胁对拟建新系统实施全面风险评估;二是针对具体IT风险，设计科学的内部控制制度;三是对既有内控制度进行实质性测试;四是对既有控制制度进行评价;五是对该阶段原有内控制度进行改进与补充。

上述步骤中，最为关键的是针对内部威胁对拟建新系统实施全面风险评估。为科学确立“内控管理”策略，商业银行有必要依次建立基于内部威胁的风险感知模型、风险分析模型以及风险估计模型。风险感知与风险分析是商业银行拟建新信息系统风险识别的两个环节。面对未知的内部威胁，商业银行新系统在拟建之初就应该用感知、判断与归类的方式对静态的、动态的，现实的、潜在的各项内在风险进行判断与鉴别，并分析有关风险的动因及其运动轨迹。此外，在风险估计方面，商业银行需要通过建立模型，对具体风险转换为实际损失的概率以可能造成损失的大小进行定量估计。如针对上述拟建供应链金融系统，商业银行应根据不同参与主体的实际状况，估计在“订单、预付款、货押、订单转应收、预付款转货押”等业务上错误操作的概率以及可能造成损失的程度，以便于在后续步骤中能够科学、全面的设计内控制度。

(二)系统实施阶段

系统实施阶段是指商业银行通过建立特征数据库、编制与测试相关程序、试运行系统，并实现由逻辑系统向物理系统转换的过程。该阶段的内部控制主要包括软硬件的获取与评估控制、编码与接口控制、数据迁移控制以及系统上线控制等。内部威胁下系统实施阶段的“内控管理”策略包含如下步骤：1.针对内部威胁实施风险评估;2.内部控制制度设计;3.内部控制制度诊断与测试;4.内部控制制度的评价与改进。系统实施阶段下“内控管理”构建步骤中最为关键的是“内部控制制度的诊断与测试”，这是因为，面对信息系统的整个生命周期，系统实施阶段风险最大，在该阶段下如何试验已有内控制度的正确性、有效性和及时性，将是商业银行开展“内控管理”活动的成功要素之一。商业银行基于内部威胁对拟建系统实施阶段进行内控制度诊断与测试的环节主要涵盖：其一，事件日志的诊断。事件日志记录着“数据迁移”、“系统上线”等内容的错误运行信息，商业银行需要根据自动生成的异常信息，如磁盘签名不匹配、文件共享失败以及密码更新失败等，直接分析错误原因，归纳内控失效的动因;其二，业务过程的挖掘测试。在这个环节中商业银行需要从海量的“软硬件采购”、“编码与接口”等系统实施数据中采用特定的挖掘方法实施数据挖掘，寻找内控制度的脆弱点，检查有关“编码与接口”内控设计是否全面，“数据迁移”是否有据可依等若干内控问题;其三，业务过程的取证测试。在这个环节中通过对新系统实施阶段的业务过程进行“过程发现”、“一致性检查”与“性能分析”，抽取异常行为，分析内控的矛盾点，衡量内控管理的科学性与实效性;其四，持续监控与审计测试。该环节是对已有内控制度持续实施进行实质性测试，通过检查、观察、监盘、分析性复核、逻辑性复核等审计方式监督相关控制制度执行的合法性、合理性和时效性。

(三)系统运行维护与管理阶段

系统运行维护与管理阶段是指商业银行新建信息系统投入运行后所进行的日常操作、维护与管理过程。为保障信息系统免遭内部威胁，实现最佳效益，在系统运行维护与管理阶段中商业银行必须制定严格的内控管理策略。系统运行维护与管理阶段的内部控制包括：职责分工控制、权限配备控制、数据备份与变更控制、系统变更控制、物理安全控制以及网络安全控制等。内部威胁下系统运行维护与管理阶段的“内控管理”策略涵盖：1.针对内部威胁实施风险评估;2.基于内部威胁的“知识发现”理论科学建设内部控制制度;3.基于过程模型对内控制度进行科学性和有效性测试;4.对内控制度实施评价;5.基于内控测试线索对内控制度实施全面改进;6.建立系统运行与维护的实时预警机制。在上述过程中，最为关键的应该是“如何科学建设商业银行信息系统运行维护与管理的内部控制规范体系”。结合前文，系统运行维护与管理阶段下商业银行设计内控制度需要融合“外来理念”，即信息系统内部威胁下的“知识发现”原则。内部威胁下的“知识发现”规律，是从海量不规则的内部威胁信息中经过“威胁检测”、“风险标识”、“过程监控”、“过程挖掘”、“过程优化”、“模式发现”、“流程智能”等系列复杂过程所提炼出来并具有极高价值的经验与总结。例如，某商业银行探索“如何建立内部人员远程访问信息系统的控制制度”，则该银行有必要对远程各类内部访问用户的系统元操作进行组合与初步检测，并依次借鉴剪枝算法与最小攻击树算法，将元操作组合生成剪枝子树与最小攻击树，若树非空即为威胁用户，则进一步施行模式发现与流程智能。在设计系统运行维护与管理阶段下内控制度的具体条款中，如果能够融合上述“知识发现”中具体的逻辑方法，则商业银行内部威胁下的“内控管理”策略构建将会真正实现由静态向动态、由定性向定量的有机转化。

(责任编辑：栾晓平)

收稿日期：2016-03-14

作者简介：刘国城，男，南京审计大学副教授、中国内部审计发展研究中心与江苏省金融工程重点实验室研究员。

基金项目：本文系国家社会科学基金项目(编号：14BJY016)、教育部人文社科研究规划基金项目(编号：14YJA790032)、江苏省高校自然科学研究面上项目(编号：15KJB120006)、江苏省金融工程重点实验室开放课题资助(编号：NSK2015-07)的阶段性成果。

[中图分类号]F832.1

[文献标识码]A

[文章编号]1003-4145[2016]07-0148-05

·经济与管理研究·