劉國(guó)城

(南京審計(jì)大學(xué) 會(huì)計(jì)學(xué)院，江蘇 南京　211815；江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室，江蘇 南京　211815)

?

商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的“知識(shí)發(fā)現(xiàn)”與“內(nèi)控管理”

劉國(guó)城

(南京審計(jì)大學(xué) 會(huì)計(jì)學(xué)院，江蘇 南京211815；江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室，江蘇 南京211815)

[摘要]建立完整科學(xué)的信息系統(tǒng)內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”流程，是我國(guó)商業(yè)銀行規(guī)范“內(nèi)控管理”，強(qiáng)化對(duì)信息系統(tǒng)內(nèi)部威脅進(jìn)行防御、控制與管理的重要手段。我國(guó)對(duì)商業(yè)銀行內(nèi)部威脅的研究起步較晚，針對(duì)我國(guó)銀行業(yè)可能存在的內(nèi)部威脅問題，應(yīng)當(dāng)遵循“內(nèi)部威脅→脆弱點(diǎn)→知識(shí)發(fā)現(xiàn)→內(nèi)部控制→內(nèi)部管理”的治理思路，通過建立信息系統(tǒng)內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”流程，強(qiáng)化對(duì)內(nèi)部威脅的防御、控制與管理。我國(guó)商業(yè)銀行在對(duì)內(nèi)部威脅信息系統(tǒng)生命周期實(shí)施“內(nèi)控管理”過程中，需要借鑒內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”的原則與規(guī)律，對(duì)具體周期下的“內(nèi)部控制”實(shí)施制度設(shè)計(jì)、制度執(zhí)行、制度評(píng)價(jià)和制度改進(jìn)等四個(gè)方面的全過程管理。

[關(guān)鍵詞]商業(yè)銀行；信息系統(tǒng)；內(nèi)部威脅；知識(shí)發(fā)現(xiàn)；內(nèi)控管理

建立完整科學(xué)的信息系統(tǒng)內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”流程，是我國(guó)商業(yè)銀行規(guī)范“內(nèi)控管理”，強(qiáng)化對(duì)信息系統(tǒng)內(nèi)部威脅進(jìn)行防御、控制與管理的重要手段。內(nèi)部威脅(Insider Threat)是具有訪問權(quán)限的內(nèi)部人員利用合法的身份，濫用或誤用權(quán)限對(duì)信息系統(tǒng)造成的威脅。*Schultz E.A Framework for Understanding and Predicting Insider Attacks.Computer and Security,2002,21(6):526-531.我國(guó)對(duì)商業(yè)銀行內(nèi)部威脅的研究起步較晚，針對(duì)我國(guó)銀行業(yè)可能存在的內(nèi)部威脅問題，應(yīng)當(dāng)遵循“內(nèi)部威脅→脆弱點(diǎn)→知識(shí)發(fā)現(xiàn)→內(nèi)部控制→內(nèi)部管理”的治理思路，通過建立信息系統(tǒng)內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”流程，強(qiáng)化對(duì)內(nèi)部威脅的防御、控制與管理。

一、我國(guó)商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的“知識(shí)發(fā)現(xiàn)”過程

我國(guó)商業(yè)銀行信息系統(tǒng)內(nèi)部威脅近年來有頻繁多發(fā)的苗頭，并且來自信息系統(tǒng)的內(nèi)部威脅異常隱蔽。如何在復(fù)雜的銀行業(yè)務(wù)中及時(shí)“發(fā)現(xiàn)”內(nèi)部威脅，是我國(guó)商業(yè)銀行加強(qiáng)內(nèi)控管理亟待解決的難題。為此，本文構(gòu)建了商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”的過程體系(見圖1)。

圖1　我國(guó)商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的"知識(shí)發(fā)現(xiàn)"過程體系

——過程Ⅰ，商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”的內(nèi)涵界定。此過程是“知識(shí)發(fā)現(xiàn)”的前提，若失去該前提，“知識(shí)發(fā)現(xiàn)”將無從談起。商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”，是指商業(yè)銀行的內(nèi)部操作人員利用其合法的身份，無意識(shí)誤用與濫用或有意識(shí)濫用與攻擊信息系統(tǒng)的脆弱點(diǎn)，對(duì)信息系統(tǒng)安全所造成的威脅。商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”具有“常規(guī)的系統(tǒng)防御措施對(duì)內(nèi)部威脅者失去效用”，“內(nèi)部威脅者熟知企業(yè)文化、運(yùn)作模式與組織架構(gòu)”，以及“內(nèi)部威脅者易于接觸敏感信息，行動(dòng)更具目的性”等基本特征。根據(jù)威脅的概率程度，內(nèi)部威脅可以分為：1.低級(jí)威脅。主要是由于系統(tǒng)漏洞或缺乏保護(hù)的威脅，這種威脅若不被有目的的利用或不會(huì)產(chǎn)生;2.中級(jí)威脅。主要是惡意行為或正常操作中產(chǎn)生的異常行為;3.高級(jí)威脅。主要是有針對(duì)性的對(duì)信息系統(tǒng)實(shí)施的攻擊。

——過程Ⅱ，商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”信息的獲取與準(zhǔn)備。此過程是支撐商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”的信息基礎(chǔ)平臺(tái)。過程Ⅱ的信息“源”主要來自于商業(yè)銀行信息系統(tǒng)所附帶產(chǎn)生的系統(tǒng)日志信息、網(wǎng)絡(luò)數(shù)據(jù)包信息以及漏洞掃描信息等。系統(tǒng)日志信息是系統(tǒng)的某些特定操作及其結(jié)果按時(shí)間的有序組合，其包含網(wǎng)絡(luò)設(shè)備日志、應(yīng)用系統(tǒng)日志等。目前，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)成熟的日志獲取工具，如NetLogger、Scribe、dummvent等，它們可以從分布域中監(jiān)控并收集事件，并形成日志報(bào)告;網(wǎng)絡(luò)數(shù)據(jù)包是網(wǎng)絡(luò)傳輸信息的一個(gè)“數(shù)據(jù)單位”，對(duì)其進(jìn)行信息獲取相對(duì)便捷，其獲取活動(dòng)覆蓋網(wǎng)絡(luò)性能測(cè)量、用戶計(jì)費(fèi)、網(wǎng)絡(luò)協(xié)議分析、流量分析以及網(wǎng)絡(luò)口令攔截等環(huán)節(jié);時(shí)下較為成熟的網(wǎng)絡(luò)數(shù)據(jù)包信息獲取方法有Socket、Libpcap、TCP/IP首部提取等。漏洞掃描是基于漏洞數(shù)據(jù)庫(kù)，通過掃描等手段對(duì)信息系統(tǒng)的脆弱點(diǎn)進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種行為，當(dāng)前漏洞掃描信息的獲取工具較多，如Metasploit Framework、Core Impact、Canvas等。過程Ⅱ的成功實(shí)施，是一項(xiàng)復(fù)雜的過程，它需要有效借助不同信息來源下具體的獲取工具，也需要結(jié)合商業(yè)銀行的特定實(shí)際，設(shè)計(jì)適用于自身的“內(nèi)部威脅”信息獲取途徑與準(zhǔn)備方式。

——過程Ⅲ，商業(yè)銀行信息系統(tǒng)“內(nèi)部威脅”的檢測(cè)、發(fā)現(xiàn)與預(yù)處理。過程Ⅲ涵蓋三個(gè)步驟：第一，“內(nèi)部威脅”信息的“檢測(cè)”。本步驟有效面對(duì)低級(jí)、中級(jí)與高級(jí)“內(nèi)部威脅”，它基于“過程Ⅱ”中所準(zhǔn)備的日志信息、主機(jī)系統(tǒng)信息、漏洞掃描信息以及安全評(píng)估信息等平臺(tái)，通過日志分析、入侵檢測(cè)、漏洞掃描以及安全評(píng)估等行為，對(duì)信息系統(tǒng)自身各項(xiàng)運(yùn)行因子用指定的方法檢驗(yàn)或測(cè)試，觀察是否適應(yīng)特定的技術(shù)性指標(biāo)。該步驟有如下目標(biāo)：實(shí)現(xiàn)對(duì)低級(jí)威脅中系統(tǒng)的“漏洞”、“缺陷”以及“不安全因素”的檢測(cè);實(shí)現(xiàn)對(duì)中級(jí)威脅中“異常行為”的特征檢測(cè);實(shí)現(xiàn)高級(jí)威脅中“攻擊行為”、“破壞行為”、“非法權(quán)限”以及“違規(guī)操作”的行為監(jiān)測(cè);第二，低級(jí)“內(nèi)部威脅”的“知識(shí)發(fā)現(xiàn)”。在上一步驟中，如果通過入侵檢測(cè)、漏洞掃描以及安全評(píng)估等行為發(fā)現(xiàn)系統(tǒng)因子運(yùn)行軌跡無任何指標(biāo)范圍可以依循，或超出特定指標(biāo)范圍，則應(yīng)進(jìn)一步測(cè)量是否為系統(tǒng)漏洞、系統(tǒng)缺陷或不安全因素，直至最終實(shí)現(xiàn)低級(jí)威脅的“知識(shí)發(fā)現(xiàn)”;第三，中級(jí)與高級(jí)“內(nèi)部威脅”信息的“預(yù)處理”。在第一步驟中，實(shí)現(xiàn)了對(duì)中級(jí)威脅的“特征檢測(cè)”以及對(duì)高級(jí)威脅的“行為監(jiān)測(cè)”后積累了大量破碎、零散、局部的有價(jià)值數(shù)據(jù)。本步驟是基于第一步驟所實(shí)施的三種行為：1.數(shù)據(jù)清理。通過檢查數(shù)據(jù)一致性、處理無效值與填充缺失值等，實(shí)現(xiàn)目標(biāo)數(shù)據(jù)的格式標(biāo)準(zhǔn)化。2.數(shù)據(jù)集成。將多個(gè)商業(yè)銀行信息系統(tǒng)數(shù)據(jù)源中的數(shù)據(jù)歸集起來統(tǒng)一存儲(chǔ)，并建立特征數(shù)據(jù)倉(cāng)庫(kù)。3.數(shù)據(jù)變換。通過平滑聚集、數(shù)據(jù)概化、規(guī)范化等方法將商業(yè)銀行信息系統(tǒng)的特征數(shù)據(jù)合并與整合，轉(zhuǎn)換為適用于數(shù)據(jù)挖掘的形式，為下一過程作充分的準(zhǔn)備。

——過程Ⅳ，數(shù)據(jù)挖掘的模式發(fā)現(xiàn)與模型構(gòu)建。首先，對(duì)商業(yè)銀行信息系統(tǒng)中級(jí)內(nèi)部威脅與高級(jí)內(nèi)部威脅下數(shù)據(jù)挖掘進(jìn)行模式發(fā)現(xiàn)。模式發(fā)現(xiàn)是指通過觀測(cè)與預(yù)測(cè)，去尋找與揭示事物規(guī)則與本質(zhì)的過程。過程Ⅳ的模式發(fā)現(xiàn)是對(duì)過程Ⅲ所產(chǎn)生的清洗數(shù)據(jù)和變換數(shù)據(jù)，通過分類與聚類等技術(shù)，從樣本數(shù)據(jù)中找出規(guī)律，有效辨別正常模式與異常模式;其次，對(duì)商業(yè)銀行信息系統(tǒng)中級(jí)內(nèi)部威脅與高級(jí)內(nèi)部威脅下數(shù)據(jù)挖掘進(jìn)行模型構(gòu)建?！澳Ｐ蜆?gòu)建”是數(shù)據(jù)挖掘整個(gè)過程成功的關(guān)鍵，是對(duì)特征數(shù)據(jù)根據(jù)不同的數(shù)據(jù)挖掘算法在深層次過濾的基礎(chǔ)上，將一般規(guī)律抽象成一種分析模型，對(duì)特征數(shù)據(jù)集進(jìn)行形式化描述。模型的構(gòu)建形式不統(tǒng)一，必須將“模式發(fā)現(xiàn)”過程中所觀測(cè)的數(shù)據(jù)特征與層次分析法、剪枝算法、云模型感知算法、頻繁訪問路徑算法等特定的算法特征有機(jī)融合，以構(gòu)建不同特征數(shù)據(jù)庫(kù)下適用的數(shù)據(jù)挖掘算法模型。例如，針對(duì)某商業(yè)銀行信息系統(tǒng)內(nèi)部威脅的數(shù)據(jù)庫(kù)，完成“模型構(gòu)建”應(yīng)遵循以下路線：1.對(duì)各類內(nèi)部訪問用戶進(jìn)行系統(tǒng)元操作，生成元操作組合;2.對(duì)元操作組合借助剪枝算法生成用戶剪枝子樹;3.運(yùn)用最小攻擊樹算法將剪枝子樹進(jìn)一步生成用戶最小攻擊樹;4.對(duì)已經(jīng)生成的預(yù)處理信息及其模式發(fā)現(xiàn)通過前述的用戶最小攻擊樹進(jìn)行檢測(cè)，確定“正常用戶”或“威脅用戶”;5.忽略“正常用戶”，從“威脅用戶”中甄別“可疑用戶”與“惡意用戶”;6.對(duì)“惡意用戶”與“可疑用戶”采用特定監(jiān)控策略。

——過程Ⅴ,中級(jí)內(nèi)部威脅與高級(jí)內(nèi)部威脅的知識(shí)發(fā)現(xiàn)與知識(shí)評(píng)估。本過程步驟為：1.依據(jù)“過程Ⅳ”對(duì)中級(jí)與高級(jí)內(nèi)部威脅進(jìn)行知識(shí)發(fā)現(xiàn)。該步驟是針對(duì)中級(jí)與高級(jí)內(nèi)部威脅的特征數(shù)據(jù)，在“數(shù)據(jù)挖掘”的基礎(chǔ)上，提煉出一系列如何“發(fā)現(xiàn)”內(nèi)部威脅的“探測(cè)規(guī)律”。這些規(guī)律的發(fā)現(xiàn)是非平凡的“知識(shí)創(chuàng)造”過程。2.對(duì)低、中、高級(jí)內(nèi)部威脅進(jìn)行“知識(shí)評(píng)價(jià)”。過程Ⅲ涵蓋了低級(jí)內(nèi)部威脅的“發(fā)現(xiàn)”過程，過程Ⅴ涵蓋了中級(jí)與高級(jí)內(nèi)部威脅的“發(fā)現(xiàn)”過程。該步驟是對(duì)“低中高”級(jí)內(nèi)部威脅“發(fā)現(xiàn)”的整體結(jié)論所做的驗(yàn)證、評(píng)價(jià)與估量。首先需要再次驗(yàn)證具體結(jié)論的普遍性;其次需要評(píng)價(jià)“發(fā)現(xiàn)”結(jié)論的全面性與精確性;再次需要估量“發(fā)現(xiàn)”結(jié)論的價(jià)值性，是否遵循了成本效益原則。3.“知識(shí)發(fā)現(xiàn)”整體策略的調(diào)整與優(yōu)化。主要是對(duì)整個(gè)“知識(shí)發(fā)現(xiàn)”過程中的不完善之處進(jìn)行策略修改，對(duì)“知識(shí)發(fā)現(xiàn)”結(jié)論的全面性、科學(xué)性、效益性以及規(guī)則性進(jìn)行優(yōu)化，使得圖1的“知識(shí)發(fā)現(xiàn)”過程體系得以循環(huán)往復(fù)運(yùn)行。

二、我國(guó)商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“內(nèi)控管理”的框架設(shè)計(jì)

(一)內(nèi)部控制設(shè)計(jì)

基于內(nèi)部威脅的我國(guó)商業(yè)銀行信息系統(tǒng)“內(nèi)部控制設(shè)計(jì)”是針對(duì)制度的設(shè)計(jì)，它承載的功能是通過系列控制規(guī)程與內(nèi)控約束，嚴(yán)格規(guī)范內(nèi)部員工的工作行為。商業(yè)銀行在內(nèi)控制度設(shè)計(jì)上必須考慮科學(xué)性、整體性與可操作性，并沿襲全面性、系統(tǒng)性、風(fēng)險(xiǎn)導(dǎo)向性和技術(shù)導(dǎo)向性四個(gè)控制方向。此外，基于內(nèi)部威脅的內(nèi)部控制設(shè)計(jì)還需要充分融合內(nèi)部威脅的“知識(shí)發(fā)現(xiàn)”過程，真正實(shí)現(xiàn)內(nèi)部威脅的“知識(shí)發(fā)現(xiàn)”與“內(nèi)控設(shè)計(jì)”的有機(jī)統(tǒng)一。源自“內(nèi)控制度”設(shè)計(jì)的內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”的相關(guān)內(nèi)容，主要包括從內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”過程中抽象、提煉出來的“檢測(cè)”方法、“挖掘”規(guī)則以及“發(fā)現(xiàn)”思路。例如，全面性控制導(dǎo)向下，信息系統(tǒng)分為規(guī)劃與設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)與管理三個(gè)周期;在系統(tǒng)實(shí)施階段，“系統(tǒng)測(cè)試”內(nèi)控制度設(shè)計(jì)需要融合內(nèi)部威脅“檢測(cè)”方法，即漏洞檢測(cè)、攻擊檢測(cè)等方法，這樣設(shè)計(jì)的測(cè)試標(biāo)準(zhǔn)與測(cè)試步驟才可能更為全面詳盡;技術(shù)導(dǎo)向性控制下，“內(nèi)控制度”設(shè)計(jì)則需要融入特定前提下具有普遍性的具體“挖掘”規(guī)則，即決策樹算法、聚類算法、布爾關(guān)聯(lián)規(guī)則頻繁項(xiàng)集算法等，這樣的內(nèi)控制度設(shè)計(jì)才可能實(shí)現(xiàn)對(duì)技術(shù)功能的充分利用。

(二)內(nèi)部控制執(zhí)行

基于內(nèi)部威脅的我國(guó)商業(yè)銀行信息系統(tǒng)“內(nèi)部控制執(zhí)行”，指的是商業(yè)銀行針對(duì)“內(nèi)部威脅”而對(duì)信息系統(tǒng)實(shí)施的具體控制行為，該內(nèi)控執(zhí)行行為需要關(guān)注內(nèi)控執(zhí)行方式、內(nèi)控執(zhí)行監(jiān)督、內(nèi)控執(zhí)行激勵(lì)以及內(nèi)控執(zhí)行效率四個(gè)方面，并且必須確保獨(dú)立性、效益性與效率性三原則的整體實(shí)現(xiàn)。本文強(qiáng)調(diào)，內(nèi)控執(zhí)行在遵照內(nèi)控制度的基礎(chǔ)上，要借鑒內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”中具有規(guī)律性的普遍性行為。例如，商業(yè)銀行在選擇信息系統(tǒng)內(nèi)部控制的執(zhí)行方式時(shí)可借鑒內(nèi)部威脅的“檢測(cè)”方法，對(duì)于系統(tǒng)漏洞內(nèi)部控制的執(zhí)行可采納漏洞掃描測(cè)試法，對(duì)機(jī)制缺陷與不安全因素的內(nèi)控執(zhí)行可直接借用ASTRA32等檢測(cè)工具;再如，商業(yè)銀行信息系統(tǒng)的內(nèi)部控制行為也需要得到有效監(jiān)督，以實(shí)現(xiàn)其獨(dú)立性與有效性。商業(yè)銀行在監(jiān)督對(duì)遠(yuǎn)程訪問設(shè)置適當(dāng)控制、對(duì)數(shù)據(jù)變更實(shí)施授權(quán)控制等內(nèi)控“是否”執(zhí)行以及“如何”執(zhí)行時(shí)，可融合內(nèi)部威脅的“挖掘”技術(shù)與“發(fā)現(xiàn)”模式，從系統(tǒng)日志數(shù)據(jù)、系統(tǒng)主機(jī)數(shù)據(jù)中“挖掘”內(nèi)控執(zhí)行的“蹤跡”，“發(fā)現(xiàn)”內(nèi)控實(shí)施的“態(tài)勢(shì)”。簡(jiǎn)言之，在內(nèi)部威脅中植入“檢測(cè)”方法、“挖掘”技術(shù)與“發(fā)現(xiàn)”策略，能夠強(qiáng)化商業(yè)銀行信息系統(tǒng)“內(nèi)部控制執(zhí)行”環(huán)節(jié)的成本效益原則，增強(qiáng)其實(shí)效性。

(三)內(nèi)部控制評(píng)價(jià)

基于內(nèi)部威脅的我國(guó)商業(yè)銀行信息系統(tǒng)“內(nèi)部控制評(píng)價(jià)”，是指針對(duì)內(nèi)部威脅問題而對(duì)銀行內(nèi)部控制的戰(zhàn)略適應(yīng)性、環(huán)境適應(yīng)性、內(nèi)控有效性以及內(nèi)控及時(shí)性的判斷、衡量與評(píng)定，是基于評(píng)價(jià)指標(biāo)而出具的評(píng)價(jià)結(jié)論。內(nèi)控評(píng)價(jià)主體在對(duì)內(nèi)部威脅進(jìn)行“內(nèi)控評(píng)價(jià)”時(shí)，要合理運(yùn)用內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”中的發(fā)現(xiàn)模式、實(shí)時(shí)預(yù)警設(shè)計(jì)模式以及態(tài)勢(shì)評(píng)估運(yùn)行模式來設(shè)計(jì)內(nèi)控評(píng)價(jià)標(biāo)準(zhǔn)，完善“內(nèi)控評(píng)價(jià)”機(jī)制。例如，對(duì)內(nèi)部威脅下“內(nèi)控制度”的科學(xué)性評(píng)價(jià)可以借用內(nèi)部威脅發(fā)現(xiàn)模式下的聚類模式，通過多種具體情況下的多次實(shí)地聚類驗(yàn)證，測(cè)試銀行針對(duì)內(nèi)部威脅所設(shè)計(jì)的“內(nèi)控制度”表述是否恰當(dāng)與全面;對(duì)內(nèi)部威脅下“內(nèi)控執(zhí)行”的有效性評(píng)價(jià)，可以借用時(shí)間序列模式，分析持續(xù)時(shí)間段中日志數(shù)據(jù)下的“內(nèi)部控制”系列軌跡，以衡量“內(nèi)控執(zhí)行”的效率與效果。再如，如何對(duì)內(nèi)部威脅下銀行信息系統(tǒng)的實(shí)施是否與銀行戰(zhàn)略發(fā)展目標(biāo)以及銀行外部環(huán)境變化相一致進(jìn)行評(píng)價(jià)時(shí)，則需要引入內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”中的態(tài)勢(shì)評(píng)估，建立“內(nèi)部威脅→態(tài)勢(shì)評(píng)估→內(nèi)部控制→銀行內(nèi)部發(fā)展→外部環(huán)境變化”五位一體的評(píng)價(jià)體系。

(四)內(nèi)部控制改進(jìn)

基于內(nèi)部威脅的我國(guó)商業(yè)銀行信息系統(tǒng)“內(nèi)部控制改進(jìn)”，是指對(duì)“內(nèi)控制度”設(shè)計(jì)以及執(zhí)行所進(jìn)行的優(yōu)化與完善。商業(yè)銀行針對(duì)內(nèi)部威脅的“內(nèi)部控制改進(jìn)”需關(guān)注技術(shù)性改進(jìn)、環(huán)境性改進(jìn)與信息反饋性改進(jìn)。有關(guān)“內(nèi)部控制改進(jìn)”需要融合內(nèi)部威脅“知識(shí)發(fā)現(xiàn)”中的“檢測(cè)”方法、“挖掘”算法、“報(bào)警”機(jī)制和“態(tài)勢(shì)”分析。首先，對(duì)于“內(nèi)部控制”的技術(shù)性改進(jìn)，要融合“知識(shí)發(fā)現(xiàn)”下的“檢測(cè)”方法以及“挖掘”算法，這是因?yàn)樗鼈兒w了漏洞檢測(cè)，數(shù)據(jù)預(yù)處理和數(shù)據(jù)挖掘等技術(shù)，而且“知識(shí)發(fā)現(xiàn)”過程本身就是針對(duì)于不同內(nèi)部威脅條件下不同挖掘技術(shù)的持續(xù)創(chuàng)新;其次，對(duì)于“內(nèi)部控制”的環(huán)境性改進(jìn)，要融合“報(bào)警”機(jī)制與“態(tài)勢(shì)”分析，這是因?yàn)樗鼈兲N(yùn)含了特定時(shí)期系統(tǒng)自身的脆弱點(diǎn)運(yùn)動(dòng)趨勢(shì)以及內(nèi)部威脅狀態(tài)的發(fā)展趨勢(shì)，這些趨勢(shì)從側(cè)面反映了銀行內(nèi)外部運(yùn)營(yíng)環(huán)境的變化，能夠?yàn)閮?yōu)化內(nèi)控體系提供參照依據(jù);再次，“報(bào)警”機(jī)制與“態(tài)勢(shì)”分析，也便于“內(nèi)部控制”的信息反饋性改進(jìn)，內(nèi)部威脅相關(guān)趨勢(shì)信息的實(shí)時(shí)反饋能夠使內(nèi)部控制的設(shè)計(jì)與執(zhí)行及時(shí)得到修正與優(yōu)化。

三、我國(guó)商業(yè)銀行信息系統(tǒng)內(nèi)部威脅“內(nèi)控管理”的策略構(gòu)想

商業(yè)銀行在對(duì)內(nèi)部威脅信息系統(tǒng)生命周期實(shí)施“內(nèi)控管理”過程中，需要借鑒“知識(shí)發(fā)現(xiàn)”的原則，對(duì)具體周期下的“內(nèi)控管理”，實(shí)施制度設(shè)計(jì)、制度執(zhí)行、制度評(píng)價(jià)和制度改進(jìn)等四個(gè)方面全過程管理。

(一)系統(tǒng)規(guī)劃與設(shè)計(jì)階段

系統(tǒng)規(guī)劃與設(shè)計(jì)階段涵蓋三個(gè)過程：1.系統(tǒng)規(guī)劃。系統(tǒng)規(guī)劃是商業(yè)銀行具體應(yīng)用系統(tǒng)整體框架的計(jì)劃過程。該過程的內(nèi)部控制主要包括針對(duì)商業(yè)銀行IT新項(xiàng)目所實(shí)施的開發(fā)目標(biāo)控制、總體戰(zhàn)略結(jié)構(gòu)控制以及開發(fā)方式控制;2.系統(tǒng)分析。商業(yè)銀行信息系統(tǒng)分析是針對(duì)商業(yè)銀行對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的需求，在不確定的情況下，如何尋找新系統(tǒng)邏輯方案的過程。該過程的內(nèi)部控制主要包括系統(tǒng)開發(fā)制度設(shè)計(jì)、用戶需求分析有效性控制、需求分析審批控制以及業(yè)務(wù)流程重組控制等;3.系統(tǒng)設(shè)計(jì)。商業(yè)銀行信息系統(tǒng)設(shè)計(jì)是指將新系統(tǒng)邏輯模型轉(zhuǎn)化為系統(tǒng)結(jié)構(gòu)模型，對(duì)新系統(tǒng)進(jìn)行總體結(jié)構(gòu)設(shè)計(jì)與具體物理模型設(shè)計(jì)的過程。該過程的內(nèi)部控制主要包括控制功能設(shè)計(jì)控制、業(yè)務(wù)處理設(shè)計(jì)控制以及設(shè)計(jì)方案審核控制。內(nèi)部威脅下系統(tǒng)規(guī)劃與設(shè)計(jì)階段“內(nèi)控管理”策略的建立需要完善五個(gè)步驟：一是針對(duì)內(nèi)部威脅對(duì)擬建新系統(tǒng)實(shí)施全面風(fēng)險(xiǎn)評(píng)估;二是針對(duì)具體IT風(fēng)險(xiǎn)，設(shè)計(jì)科學(xué)的內(nèi)部控制制度;三是對(duì)既有內(nèi)控制度進(jìn)行實(shí)質(zhì)性測(cè)試;四是對(duì)既有控制制度進(jìn)行評(píng)價(jià);五是對(duì)該階段原有內(nèi)控制度進(jìn)行改進(jìn)與補(bǔ)充。

上述步驟中，最為關(guān)鍵的是針對(duì)內(nèi)部威脅對(duì)擬建新系統(tǒng)實(shí)施全面風(fēng)險(xiǎn)評(píng)估。為科學(xué)確立“內(nèi)控管理”策略，商業(yè)銀行有必要依次建立基于內(nèi)部威脅的風(fēng)險(xiǎn)感知模型、風(fēng)險(xiǎn)分析模型以及風(fēng)險(xiǎn)估計(jì)模型。風(fēng)險(xiǎn)感知與風(fēng)險(xiǎn)分析是商業(yè)銀行擬建新信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別的兩個(gè)環(huán)節(jié)。面對(duì)未知的內(nèi)部威脅，商業(yè)銀行新系統(tǒng)在擬建之初就應(yīng)該用感知、判斷與歸類的方式對(duì)靜態(tài)的、動(dòng)態(tài)的，現(xiàn)實(shí)的、潛在的各項(xiàng)內(nèi)在風(fēng)險(xiǎn)進(jìn)行判斷與鑒別，并分析有關(guān)風(fēng)險(xiǎn)的動(dòng)因及其運(yùn)動(dòng)軌跡。此外，在風(fēng)險(xiǎn)估計(jì)方面，商業(yè)銀行需要通過建立模型，對(duì)具體風(fēng)險(xiǎn)轉(zhuǎn)換為實(shí)際損失的概率以可能造成損失的大小進(jìn)行定量估計(jì)。如針對(duì)上述擬建供應(yīng)鏈金融系統(tǒng)，商業(yè)銀行應(yīng)根據(jù)不同參與主體的實(shí)際狀況，估計(jì)在“訂單、預(yù)付款、貨押、訂單轉(zhuǎn)應(yīng)收、預(yù)付款轉(zhuǎn)貨押”等業(yè)務(wù)上錯(cuò)誤操作的概率以及可能造成損失的程度，以便于在后續(xù)步驟中能夠科學(xué)、全面的設(shè)計(jì)內(nèi)控制度。

(二)系統(tǒng)實(shí)施階段

系統(tǒng)實(shí)施階段是指商業(yè)銀行通過建立特征數(shù)據(jù)庫(kù)、編制與測(cè)試相關(guān)程序、試運(yùn)行系統(tǒng)，并實(shí)現(xiàn)由邏輯系統(tǒng)向物理系統(tǒng)轉(zhuǎn)換的過程。該階段的內(nèi)部控制主要包括軟硬件的獲取與評(píng)估控制、編碼與接口控制、數(shù)據(jù)遷移控制以及系統(tǒng)上線控制等。內(nèi)部威脅下系統(tǒng)實(shí)施階段的“內(nèi)控管理”策略包含如下步驟：1.針對(duì)內(nèi)部威脅實(shí)施風(fēng)險(xiǎn)評(píng)估;2.內(nèi)部控制制度設(shè)計(jì);3.內(nèi)部控制制度診斷與測(cè)試;4.內(nèi)部控制制度的評(píng)價(jià)與改進(jìn)。系統(tǒng)實(shí)施階段下“內(nèi)控管理”構(gòu)建步驟中最為關(guān)鍵的是“內(nèi)部控制制度的診斷與測(cè)試”，這是因?yàn)?，面?duì)信息系統(tǒng)的整個(gè)生命周期，系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)最大，在該階段下如何試驗(yàn)已有內(nèi)控制度的正確性、有效性和及時(shí)性，將是商業(yè)銀行開展“內(nèi)控管理”活動(dòng)的成功要素之一。商業(yè)銀行基于內(nèi)部威脅對(duì)擬建系統(tǒng)實(shí)施階段進(jìn)行內(nèi)控制度診斷與測(cè)試的環(huán)節(jié)主要涵蓋：其一，事件日志的診斷。事件日志記錄著“數(shù)據(jù)遷移”、“系統(tǒng)上線”等內(nèi)容的錯(cuò)誤運(yùn)行信息，商業(yè)銀行需要根據(jù)自動(dòng)生成的異常信息，如磁盤簽名不匹配、文件共享失敗以及密碼更新失敗等，直接分析錯(cuò)誤原因，歸納內(nèi)控失效的動(dòng)因;其二，業(yè)務(wù)過程的挖掘測(cè)試。在這個(gè)環(huán)節(jié)中商業(yè)銀行需要從海量的“軟硬件采購(gòu)”、“編碼與接口”等系統(tǒng)實(shí)施數(shù)據(jù)中采用特定的挖掘方法實(shí)施數(shù)據(jù)挖掘，尋找內(nèi)控制度的脆弱點(diǎn)，檢查有關(guān)“編碼與接口”內(nèi)控設(shè)計(jì)是否全面，“數(shù)據(jù)遷移”是否有據(jù)可依等若干內(nèi)控問題;其三，業(yè)務(wù)過程的取證測(cè)試。在這個(gè)環(huán)節(jié)中通過對(duì)新系統(tǒng)實(shí)施階段的業(yè)務(wù)過程進(jìn)行“過程發(fā)現(xiàn)”、“一致性檢查”與“性能分析”，抽取異常行為，分析內(nèi)控的矛盾點(diǎn)，衡量?jī)?nèi)控管理的科學(xué)性與實(shí)效性;其四，持續(xù)監(jiān)控與審計(jì)測(cè)試。該環(huán)節(jié)是對(duì)已有內(nèi)控制度持續(xù)實(shí)施進(jìn)行實(shí)質(zhì)性測(cè)試，通過檢查、觀察、監(jiān)盤、分析性復(fù)核、邏輯性復(fù)核等審計(jì)方式監(jiān)督相關(guān)控制制度執(zhí)行的合法性、合理性和時(shí)效性。

(三)系統(tǒng)運(yùn)行維護(hù)與管理階段

系統(tǒng)運(yùn)行維護(hù)與管理階段是指商業(yè)銀行新建信息系統(tǒng)投入運(yùn)行后所進(jìn)行的日常操作、維護(hù)與管理過程。為保障信息系統(tǒng)免遭內(nèi)部威脅，實(shí)現(xiàn)最佳效益，在系統(tǒng)運(yùn)行維護(hù)與管理階段中商業(yè)銀行必須制定嚴(yán)格的內(nèi)控管理策略。系統(tǒng)運(yùn)行維護(hù)與管理階段的內(nèi)部控制包括：職責(zé)分工控制、權(quán)限配備控制、數(shù)據(jù)備份與變更控制、系統(tǒng)變更控制、物理安全控制以及網(wǎng)絡(luò)安全控制等。內(nèi)部威脅下系統(tǒng)運(yùn)行維護(hù)與管理階段的“內(nèi)控管理”策略涵蓋：1.針對(duì)內(nèi)部威脅實(shí)施風(fēng)險(xiǎn)評(píng)估;2.基于內(nèi)部威脅的“知識(shí)發(fā)現(xiàn)”理論科學(xué)建設(shè)內(nèi)部控制制度;3.基于過程模型對(duì)內(nèi)控制度進(jìn)行科學(xué)性和有效性測(cè)試;4.對(duì)內(nèi)控制度實(shí)施評(píng)價(jià);5.基于內(nèi)控測(cè)試線索對(duì)內(nèi)控制度實(shí)施全面改進(jìn);6.建立系統(tǒng)運(yùn)行與維護(hù)的實(shí)時(shí)預(yù)警機(jī)制。在上述過程中，最為關(guān)鍵的應(yīng)該是“如何科學(xué)建設(shè)商業(yè)銀行信息系統(tǒng)運(yùn)行維護(hù)與管理的內(nèi)部控制規(guī)范體系”。結(jié)合前文，系統(tǒng)運(yùn)行維護(hù)與管理階段下商業(yè)銀行設(shè)計(jì)內(nèi)控制度需要融合“外來理念”，即信息系統(tǒng)內(nèi)部威脅下的“知識(shí)發(fā)現(xiàn)”原則。內(nèi)部威脅下的“知識(shí)發(fā)現(xiàn)”規(guī)律，是從海量不規(guī)則的內(nèi)部威脅信息中經(jīng)過“威脅檢測(cè)”、“風(fēng)險(xiǎn)標(biāo)識(shí)”、“過程監(jiān)控”、“過程挖掘”、“過程優(yōu)化”、“模式發(fā)現(xiàn)”、“流程智能”等系列復(fù)雜過程所提煉出來并具有極高價(jià)值的經(jīng)驗(yàn)與總結(jié)。例如，某商業(yè)銀行探索“如何建立內(nèi)部人員遠(yuǎn)程訪問信息系統(tǒng)的控制制度”，則該銀行有必要對(duì)遠(yuǎn)程各類內(nèi)部訪問用戶的系統(tǒng)元操作進(jìn)行組合與初步檢測(cè)，并依次借鑒剪枝算法與最小攻擊樹算法，將元操作組合生成剪枝子樹與最小攻擊樹，若樹非空即為威脅用戶，則進(jìn)一步施行模式發(fā)現(xiàn)與流程智能。在設(shè)計(jì)系統(tǒng)運(yùn)行維護(hù)與管理階段下內(nèi)控制度的具體條款中，如果能夠融合上述“知識(shí)發(fā)現(xiàn)”中具體的邏輯方法，則商業(yè)銀行內(nèi)部威脅下的“內(nèi)控管理”策略構(gòu)建將會(huì)真正實(shí)現(xiàn)由靜態(tài)向動(dòng)態(tài)、由定性向定量的有機(jī)轉(zhuǎn)化。

(責(zé)任編輯：欒曉平)

收稿日期：2016-03-14

作者簡(jiǎn)介：劉國(guó)城，男，南京審計(jì)大學(xué)副教授、中國(guó)內(nèi)部審計(jì)發(fā)展研究中心與江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室研究員。

基金項(xiàng)目：本文系國(guó)家社會(huì)科學(xué)基金項(xiàng)目(編號(hào)：14BJY016)、教育部人文社科研究規(guī)劃基金項(xiàng)目(編號(hào)：14YJA790032)、江蘇省高校自然科學(xué)研究面上項(xiàng)目(編號(hào)：15KJB120006)、江蘇省金融工程重點(diǎn)實(shí)驗(yàn)室開放課題資助(編號(hào)：NSK2015-07)的階段性成果。

[中圖分類號(hào)]F832.1

[文獻(xiàn)標(biāo)識(shí)碼]A

[文章編號(hào)]1003-4145[2016]07-0148-05

·經(jīng)濟(jì)與管理研究·