圖2 風險評估可劃分為三個階段

從這個過程可以看出，風險識別是風險評估的基礎，只有完整地識別出被評估對象的風險才可能進行正確的風險分析、風險定級。風險識別是要對評估對象存在的弱點及面臨的威脅進行識別。由于評估對象面臨的威脅是客觀存在的，因此識別評估對象存在的弱點也就成為風險識別的關鍵。

風險評估實踐指導

啟明星辰公司不僅協(xié)助多家銀行完成了信息科技風險評估的項目，同時為了更好地做好銀行信息科技的風險評估，還根據不同的風險評估類型做了大量的實際工作。

1.整體風險評估

由于整體風險評估覆蓋范圍廣，其又是反映宏觀層面的風險，因此應該以調查方式為主，以檢查、安全測試方式為輔。

為此啟明星辰針對整體風險評估做了詳細的調查問卷，涵蓋了信息科技的各個方面。整個調查問卷的設計思想為：IT目標是為了實現業(yè)務目標，而IT目標是通過資源實現的，資源包括數據、應用系統(tǒng)、基礎設施、人，這些資源是通過流程進行管理的。

一般來講，銀行的IT目標就是在滿足合規(guī)管理的要求下，支持業(yè)務創(chuàng)新和業(yè)務運營。合規(guī)管理就是要符合監(jiān)管機構的要求，如銀監(jiān)會；支持業(yè)務創(chuàng)新就是通過開發(fā)或者購買新的信息系統(tǒng)滿足或者促進業(yè)務的發(fā)展；支持業(yè)務運營則是保證信息系統(tǒng)安全穩(wěn)定運行，從而保證業(yè)務的持續(xù)運營。為了實現這個目標，需要管理流程和基礎資源配備進行支撐，管理流程可分為IT業(yè)務創(chuàng)新支持、IT業(yè)務運營支持、IT合規(guī)管理及IT治理等四類，基礎資源配備包括支撐IT運行的人、信息、應用系統(tǒng)及基礎設施。

根據此思路，啟明星辰確定了風險檢查點和檢查指標，形成了調查問卷。并且為了方便使用，將調查問卷做成工具，結合調查結果進行風險分析，問卷界面及風險分析結果如下圖3所示：

圖3 啟明星辰整體風險評估調查問卷界面和風險分析結果示意

2.專項風險評估

專項風險評估應該反映微觀層面的風險，反映信息科技某一方面或者某個系統(tǒng)存在的風險，因此應該深入查找評估對象存在的風險。

基于此，專項風險評估應該采取以檢查與安全測試為主，調查為輔的方法。而無論在檢查還是安全測試方面，啟明星辰都有著深厚的研究與積累：◆啟明星辰不但參與制定了國家一些標準，如漏洞掃描標準、IDS標準，而且緊密關注國際、國家及行業(yè)標準與要求，并組織人員對標準或者行業(yè)要求進行研究、解讀，研讀金融行業(yè)的標準如《巴塞爾協(xié)議》、《商業(yè)銀行信息科技風險管理指引》、《電子銀行安全評估指引》、《網上銀行系統(tǒng)信息安全通用規(guī)范（試行）》等。通過對標準研究，可以更好地協(xié)助用戶滿足監(jiān)管機構的要求。

◆啟明星辰通過長期積累，形成了一套完善的技術文檔，如常見操作系統(tǒng)、數據庫、網絡設備、安全設備、網管系統(tǒng)的安全檢查列表、安全配置手冊及腳本工具。可以對評估對象的配置文件進行提取，并進行審核，發(fā)現其中的薄弱環(huán)節(jié)，并提供可行的整改建議。

◆啟明星辰致力于漏洞技術的挖掘與攻擊技術的研究，并且具有自己的積極防御實驗室，可以從代碼層面對應用系統(tǒng)進行檢查。同時，積極防御實驗室成員還可以模擬黑客行為，對系統(tǒng)進行人工滲透，可以直觀地發(fā)現其中的弱點，并提供可行的整改建議。