引言
云平台的出现为金融系统通过互联网进行计算提供了一种新的虚拟化资源,极大地提高了金融系统的服务效率,但大量的云计算企业的加入使得金融信息泄露的风险增加。金融机构及金融企业的信息流量大、敏感性强、保密度高,安全和稳定无疑是该行业信息处理中最重要的原则。对金融系统信息安全风险的准确度量及动态把握又是提高金融系统信息安全性的关键步骤。金融业核心业务的快速发展使得金融业务的交易渠道不断增加,风险也随之加大,因而对金融信息安全的风险评估方法及技[1]术也日益变得重要和突出。
1金融信息安全风险评估方法及技术回顾
通过知网等进行文献检索,对于金融信息安全的风险评估方法和技术主要有故障树方法、故障模式影响及危害性分析、Hazop法、事件树分析法、原因—结果分析法、风险模式影响及危害性分析法、风险评审技术等方法。故障树方法是一种自上而下的分析方法,运用这种方法对危及金融信息安全的硬件、软件、环境及人为因素进行分析,通过对各种金融信息安全危机类型的发生概率进行分析,最终构成树状结构,逐层细化。故障树分析方法有定性和定量两种方式。故障模式影响及危害性分析则与故障树方法相反,自下而上进行分析,针对金融信息系统中的隐形危机模式,按照危机的严重性及发生概率大小进行排序,从而提高系统的可靠性、安全性、维修性和保障性水平。Hazop法则以专家会议的形势确定金融信息系统运行过程中异常现象,并逐一对异常现象的危害程度进程分析,指出存在的问题。事件树分析法侧重于风险分析。它是在给定系统事件的情况下,分析此事件可能导致的各种事件的一系列结果,从而定性与定量地评价系统的特性,并可帮助人们作出处理或防范决策。原因—结果分析法综合了故障树和事件树的分析方法,其研究侧重于识别出突发信息安全事件产生后果的事件链,借助于原因—结果分析图来判别不同事件的发生概率,从而确定系统的风险等级。风险模式影响及危害性分析法由风险模式影响分析及危害性分析由两个方面构成,是分析产品所有可能的风险模式来确定每一种风险对系统和信息安全的潜在影响,找出单点风险,将每种风险模式按期影响的严重程度和发生概率,确定其危害性,进而发现系统中潜在的薄弱环节,以便选择恰当的控制方式消除或减轻这种影响。风险评审技术运用随机网络仿真对金融管理信息系统进行定量分析。在仿真过程中,将代表时间流、费用流和性能流的参数散布于网络系统中,通过对仿真活动发生的笔筒流向以及流向后的不同变化,收集个参数的新的数据,从而了解金融系统信息安全的运行情况并进行[2]决策。由上可见,相关理论研究主要集中在技术层面和定性分析法,缺少定量分析。云计算环境下大量外接用户节点所带来的随机性问题对风险评估的稳定性和科学性提出了更高要求。
2云计算模式下金融信息安全风险评估
2.1云计算环境的特点
1)资源集成度高。相比于本地计算环境,单个用户可能在云计算平台中获得的资源受用水平因为网速等原因未必占优,但是其对部分闲置资源利用率得到了极大的提高,从而将有限的整体资源的利用率发挥至极致,使得整个社会资源利用率得到很大的提高。2)抗冲击能力强。云平台采用分布式数据储存方式,该方式不仅仅提供了数据恢复依据,也使得各种网络攻击变得无所适从,对系统的安全性和抗冲击能力的提高起到了重要作用。3)可扩展性高。云平台采用模块化设计。目前主流的云计算平台均根据SPI架构在各层集成功能各异的软硬件设备和中间件软件。大量中间件软件和设备提供针对该平台的通用接口,允许用户添加[3]本层的扩展设备。4)使用成本低。由于采用分布式数据储存方式,云计算模式对硬件设备购置费用的节省度极大,从而使得用户可以利用结余的闲散资金根据自己的规划和需要进行个性化的需求订购,提高了资金的利用率。
2.2云计算模式下金融信息安全风险评估的理论分析
综合考虑云计算环境中的特征情况,运用定性与定量的转换模型来评估金融信息安全风险将会大大地提高评估方法和结果的准确性。笔者首先比较了云计算环境与金融机构自建封闭型IT环境下金融信息安全的差异性,并以金融关键数据的安全管理方法为例,结合其实施的效率和适用性,对影响金融系统信息的安全因素进行分析和归纳,构建其综合评估指标体系。在此基础上运用云计算理论对金融信息安全风险评估方法进行建模,获取了表征金融系统信息安全状态风险评估的综合理论模型。在综合理论模型的基础上,运用云重心评价法法则,自下而上逐级评判,通过将各层次语言值指标合理量化并进行科学计算,最终得到金融企业信息安全风险的综合评定值。接着,在采集金融企业及其信息安全的相关数据的基础上,运用可视化建模仿真软件进行分析,证明该方法的科学性和合理性。最后,以某银行电子现金系统安全为例,对其电子现金系统设计方案用上述模型进行算例验证。本研究将云理论技术用于金融系统信息安全的评价,实现若干定性指标的精确表示,利用云重心位置的改变来监测整个金融系统的动态变化,从而保证评估方法和结果的准确性,从而为金融系统信息安全的风险评估及动态监测方法提供理论借鉴并推广实用化。
2.3云计算模式下金融信息安全风险评估的技术路线
1)通过对金融企业及客户的走访调查,获取金融关键数据的安全管理方法的实施效率及适用性程度的相关数据,进而对影响整个金融系统信息的安全因素等因素进行分析和归纳,构建金融系统信息安全的综合评价指标体系。2)在查阅云计算相关资料、咨询云计算专家的基础上,研究云计算环境下的特征表现,运用云理论技术对信息安全评价进行建模,获取表征金融系统信息安全状态评估的综合模型。3)按照云重心评价法的法则,将各层次语言值指标合理量化并进行科学计算,最终得到金融信息安全的综合评定值。4)充分采集金融信息安全的相关数据,以某银行为例,对其电子现金系统设计方案进行算例验证。
3结语
通过上述对云计算模式下金融信息安全风险评估模型与技术的理论分析及实践尝试,我们可以得到一种新的金融信息安全评估和保障方法。后续的研究一方面将会大大的拓展金融企业的市场空间,提供更好的金融服务;另一方面将带动大量的IT服务公司在相关研究成果的基础上不断设计出更优化的函数和算法来提高信息安全度量的准确性和及时性。
作者:郭红卫 康浩民 祝文杰 单位:长沙学院