| 執業道場 | 淺談企業信息系統與業務連續性的風險與控制

淺談企業信息系統與業務連續性的風險與控制

2018年10月19日

阿喀琉斯之踵的聯想

——淺談企業信息系統與業務連續性的風險與控制

      阿喀琉斯,是凡人珀琉斯和美貌仙女忒提斯的寶貝兒子。忒提斯為了讓兒子煉成“金鐘罩”,在他剛出生時就將其倒提著浸進冥河,遺憾的是,乖兒被母親捏住的腳后跟卻不慎露在水外,全身留下了惟一一處“死穴”。后來,阿喀琉斯被帕里斯一箭射中了腳踝而死去。
  

 

       在信息技術高度發達的今天,越來越多的企業開始使用信息系統進行日常經營活動管理,隨著企業的信息化建設不斷完善,隨之而來的風險愈加顯著,這其中與信息化建設相關的兩個最主要的風險便是信息系統風險與業務連續性風險,這些風險雖然發生概率較低,但一旦發生將對企業產生巨大的影響,例如:核心技術泄密、通訊不暢、因服務器故障導致的業務中斷、交易終止等。由于國內企業的信息系統引入時間較晚,故部分企業對信息系統風險與業務連續性風險的防范意識較弱,此類風險便成了企業的阿喀琉斯之踵。

       本人在2017年度審計時有幸參與了某大型上市公司(以下簡稱A集團)的內控審計工作,并詳細接觸了該企業的信息系統板塊相關的管控機制,本文以該企業為例對企業信息系統與業務連續性相關的風險與控制展開論述。

       一、 信息系統概述

       1、 信息系統的定義

       信息系統(Information system)是由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統。

       2、 常見的企業內部局域網與外部傳輸網絡

       計算機網絡按其覆蓋地域可分為廣域網(WAN,wide area networks)和局域網(LAN,local area networks)。

       廣域網絡根據其使用的通訊線路可分為專用網絡(pavate networks)和公用交換網絡(public switched network)、虛擬專用網絡(VPN,virtual private networks)。專用網絡是指應用單位直接鋪設或租用專用的通信線路而構建的網絡,其特點是系統安全性好,運行穩定,但投資巨大,非一般企業所能承受;公用交換網絡則是利用共享的公共通信信道而建立的網絡,其特點是系統投資少,但安全性較差;虛擬專用網絡則是利用數據加密包等技術,使數據包在公網傳輸時不會被他人所截獲或篡改,從而在公用交換網絡上建立的一個“虛擬”的專用網絡,既具備網絡的安全性,又具有公用網絡的經濟性,是目前十分流行的一種網絡技術。

       局域網建于企業內部,常見的局域網拓補結構可分為總線網(bus network)、星型網(star network)、環形網(ring network)??偩€網是將所有計算機都連在一條公共的線纜上,并按一定規則競爭使用信道,所以又稱為共享網,其特點是使用電纜較少,且容易安裝,但電纜故障能導致整個網絡癱瘓,而且當網絡流量接近帶寬時,容易出現傳輸效率大幅下降;星型網的特征是建立一個中央節點,其他節點與中央節點相連,其特點是非中央節點的故障不會影響網絡運行,也較容易擴充,但中央節點停止工作則整個網絡將癱瘓;環形網則是將所有計算機相互串聯成一個閉環,并通過一個循環令牌來分配信道,所以又稱為令牌網,其特點是數據在通信線上的傳輸不會發生碰撞,性能平穩,但任意節點故障會導致整個系統失效。   

總線型拓撲結構(圖片來源:百度百科)


    
星型拓撲結構(圖片來源:百度百科)


 

環型拓撲結構(圖片來源:百度百科) 

       A集團在內外部網絡上分別建立了一套總線型局域網和虛擬專用網絡,用于內外部信息傳遞,因此在內部網絡流量接近帶寬時,該企業出現傳輸緩慢的現象,一定程度上影響了企業運行效率。

       二、 業務連續性概述

      業務連續性是計算機容災技術的升華概念,一種由計劃和執行過程組成的策略,其目的是為了保證企業包括生產、銷售、市場、財務、管理以及其他各種重要的功能完全在內的運營狀況百分之百可用??梢赃@樣說,業務連續性是覆蓋整個企業的技術以及操作方式的集合,其目的是保證企業信息流在任何時候以及任何需要的狀況下都能保持業務連續運行。

       三、 相關風險與控制措施

      信息系統風險(IT風險)也稱為信息科技風險?!缎掳腿麪枀f議》(Basel II)指出,IT風險是指任何由于使用計算機硬件、軟件、網絡等系統所引發的不利情況,包括程序錯誤、系統宕機、軟件缺陷、操作失誤、硬件故障、容量不足、網絡漏洞及故障恢復等。而這些風險往往又影響著企業的業務連續性,因此信息系統與業務連續性的風險是相互伴生的。

       對于高度信息化的企業來說,如果企業信息系統出現問題(例如:服務器崩潰),那么該企業出現業務中斷的可能性就會增加,業務連續性風險就會上升;反之,如果企業因不可抗拒的自然因素或人為因素造成業務中斷(例如斷電),那么企業的信息系統風險就會上升。因此企業面臨的相關風險與控制措施如下:

       1、 計算機病毒

       計算機病毒(Computer Virus)是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼,能影響計算機使用,能自我復制的一組計算機指令或者程序代碼。計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性。常見的病毒有蠕蟲病毒、特洛伊木馬、后門程序等,對企業的風險通常表現為系統運行緩慢、服務器異常、部分程序停止工作、文件丟失、機密數據遭竊?。ɡ绾诵募夹g、用戶名密碼)等。

       在此類問題上,我還經歷過一個有趣的案例,2017年5月12日爆發了全球勒索病毒,我在5月底的時候去出入境大廳辦理護照時出現了網絡中斷、受理緩慢的問題,原因就是公安部門的服務器遭到了全球勒索病毒攻擊,聽當時的受理民警說服務器只有一兩臺在維持運轉,其余的都癱瘓了,這足以見得計算機病毒攻擊的巨大破壞力。

       企業的應對措施一般為:殺毒軟件定期殺毒;定期對員工電腦進行檢查;文件備份。

       文件備份周期一般情況下是時時同步備份,文件備份方式主要有:數據異地備份、鏡像云備份等。

       數據異地備份是指企業在辦公區域之外的空間內放置備用服務器進行數據備份,根據備份數據的存放地點和防災難級別可分為異樓備份(防火災)、異城備份(防地震、洪水)、跨國備份(防戰爭)。該方式成本高,但信息安全性強。

       鏡像云備份是企業將數據備份至網絡云平臺的一種備份方式,該方式的成本與信息安全性水平適中。與之相關的案例是IBM公司,目前IBM公司在世界各地已經擁有超過312個云災備中心,為技術層提供計算和網絡支持,為數據和應用層提供復制和數據保護能力,同時提供領先的災備方法。正在為68個國家或地區的約6000個企業用戶提供服務。在幫助遭遇災難的客戶時,兌現客戶承諾的成功率達到100%。

       A集團在此方面采取的控制措施為殺毒軟件定期殺毒、并進行時時同步備份,但A集團的備份文件與正常文件放在同一服務器上,未采用正常的備份方式,因此A集團的數據安全風險較高,如果服務器出現異常,那么A集團面臨備份失敗的風險。
   

 

A集團的備份情況截圖(文件名以001結尾的文件為備份文件)

       2、 黑客入侵與網絡攻擊

       對于涉及核心機密、高新技術的企業和網絡服務的供應商往往遭遇黑客攻擊的可能性較高,黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行,并不盜竊系統資料,通常采用分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的、網絡信息截取。

黑客攻擊行為對企業的最大危害就是企業內部信息與核心技術泄密、服務器癱瘓,例如:美國HBGary Federal公司作為一家為美國政府和500強企業提供安全技術防護的企業,于2011年2月發現了黑客攻擊行為,更為糟糕的是HBGary Federal企業郵箱里有涉及包括美國商會、美國司法部、美洲銀行和WikiLeak的大量異常敏感的甚至是見不得光的“商業機密”遭黑客泄密,失竊/受影響的資產包括60000封機密電子郵件、公司主管的社交媒體賬戶和客戶信息。由此可見黑客攻擊行為對企業信息系統安全來說是巨大的隱患。

       在相關的控制措施上可以借鑒國際內審協會(The Institute of Internal Auditors,以下簡稱IIA協會)發表的相關文件、教材中提出的一些措施,包括但不限于:企業應及時更新殺毒軟件的病毒庫和殺毒引擎,保持軟件的運行狀態,并生成相關的更新日志存檔;安裝KernelSec防泄密方案對本機文件進行加密保護;在信息傳遞環節中要求員工使用內網郵箱;使用VPN或數據加密包進行遠程信息傳遞等。

       A集團在此方面有專門的信息工程師做定期檢查,并及時更新殺毒軟件的病毒庫和殺毒引擎,并且采用數據加密包進行遠程信息傳遞。

       3、 服務器損毀、奔潰或數據丟失

       當服務器因內部因素(例如:磁盤溫度過高、硬件損壞等)或外部因素(例如:斷電、浪涌、訪問量過大等)出現服務器異常時,會出現網絡中斷,交易數據和重要記錄丟失,從而影響企業的日常經營。

       常用的控制措施主要為:IT部門派專人進行日常服務器檢查,并生成相關檢查日志;獨立磁盤冗余陣列技術(RAID,redundant array of independent disks,redundant array of inexpensive disks);虛擬存儲技術;服務器雙熱設備技術;負載均衡/服務器集群技術。

       獨立磁盤冗余陣列:將多只容量較小的、相對廉價的硬盤驅動器進行有機組合,使其性能超過一只昂貴的大硬盤,并且當其中一塊或幾塊硬盤發生故障時,只會降低讀寫速度而不會丟失數據。RAID技術使用三種冗余技術:鏡像、校驗和條帶集。

       虛擬存儲:存儲虛擬化概念是將多個物理存儲設備結合成一個邏輯虛擬存儲設備的方法,存儲虛擬化的好處是存儲設備可以在無需中斷系統的情況下調整。

       服務器雙機熱備:兩臺服務器同時運行相同或不同的任務,當其中一臺服務器故障時,另一臺可以接管其關鍵任務,從而保證關鍵任務的不間斷運行。

       負載均衡/服務器集群:通過負載均衡,流量可以被動態分配到一組運行相同應用程序的服務器組中的不同服務器上,這樣可以避免某臺服務器過載,也可以確保在某一臺服務器故障時,不會停機。

       A集團在此環節上采取每日進行一次服務器檢查,并對在用的服務器安裝了獨立磁盤冗余陣列,有備用磁盤以保證當單個磁盤出現異常時,能夠及時更換磁盤保證系統正常運行,在訪問量過大時采用負載均衡/服務器集群技術分流訪問量,保證了服務器在訪問高峰期間不會癱瘓。

 

A集團的服務器日常檢查日志截圖

       4、 斷電

       在企業的經營過程中不可避免的會經歷幾個小時的街區停電或因短路故障、漏電故障、負載功率過大等原因造成的斷電,這些臨時的斷電情況對于有電子商務業務的企業來說影響是巨大的,可能在等待過程中就會錯失一些商業大單。

       應對該類風險的常用措施是:使用UPS、柴油發電機(通常用于工業企業的生產線斷電情況下的應急發電)、從其他街區外接電路等。

       A集團在機房使用UPS作為應急電源保證服務器與溫控設備的正常發電,并且從其他街區外接電路,通過兩路電源保障業務部門的正常用電。

       5、 因不可抗拒因素造成的業務中斷

       當發生自然災害或者人為操作失誤時導致服務器或相關業務活動無法繼續進行所面臨的風險便是業務連續性風險,該風險通常在分險象限中劃分為高影響、低可能性類別分險,應對該類風險需要制定災難恢復計劃(Disaster Recovery Planning),其制定的一般流程為:

       ① 進行業務影響分析,業務影響分析(BIA)是制定應急計劃的首發步驟,它對每一種可能影響企業正常運營的潛在風險,如火災、洪水、颶風、系統崩潰、數據丟失、黑客攻擊等事件發生的可能性及后果進行評估。

       ② 確定風險后,應根據不同業務可以承受的后果(如宕機時間、恢復成本)對業務進行分類和重要性分析,以此來制定不同類別業務的保護級別和恢復順序。不同的組織擁有不同的業務分類和優先級,例如:關鍵(Critical)系統、重要(Vital)系統、敏感(Sensititive)系統和非關鍵(Noncritical)系統。

       ③ 每期期初制定災難恢復計劃(DRP),一般由企業的風控部負責制定與實施,也有部分企業將該類業務劃分到IT部門負責。制定應急計劃應當考慮方方面面的內容,如備份和恢復手段、財產保險、恢復階段的員工交通和生活設施等,其中包括但不限于:簡明介紹、團隊職責列表和緊急聯系方式、備份計劃和異地備份的地點、問題升級流程、行動計劃(包括恢復的時間期限、恢復策略以及關于硬件、軟件、網絡和遠程通訊的分類計劃)、保險文件等,制定周期根據企業的風險水平而定,一般情況下為一年制定一次(也有半年制定一次的案例),經部門管理層審批后報送至高級管理層、董事會審核后執行。A集團未設立風險管理部門,將該類業務交由IT部門負責,并且每年制定一次,但相關的制定文件缺少審核軌跡。

       ④ 災難恢復方案的選擇,通常災難方案設計都必須考慮如下因素:

        a、 企業會發生哪些災難?并且這些災難導致業務中斷多久?

        b、 業務進程與交易數據能恢復到何種程度,僅恢復到某一日還是全部恢復,是否需要逐條恢復交易、記錄?有多少人在執行記錄,并且該記錄能否重新輸入?這些交易與記錄的重要程度。

       c、 當災難發生后需要多長時間重啟并運行系統?企業能承受多久的等待時間?

       d、 恢復時所選用的技術在當地是否適用?是否存在法律、環境等相關因素的制約?

       e、 在執行該項方案時是否存在合適、充足的資源做支撐?

       f、 執行該項方案的投入成本、機會成本、剩余風險有多高?
   

 

圖片來源:http://www.bjzxhd.com.cn/news_view.asp?id=234

       ⑤ 災難應急測試,通常還是由企業風控部負責,最好的測試是在生產業務環境中,并且擁有同等規模的業務量情況下完成的。有些業務系統可能無法進行全面的實戰測試,只能進行模塊中斷測試和紙面上的串行測試,此時應精細設計測試環境,使之盡可能接近實際環境。測試的周期通常為每年一次、半年一次、每季度一次,也有一周一次的案例,通常發生在銀行等交易數據量大、交易頻繁的企業。A集團在該環節并未制定相關流程,也未進行過相關的演練,我認為這既是一個較大的運行風險,也是一個安全隱患。

       ⑥ 及時更新,當組織的控制環境發生變化時,災難恢復計劃必須隨之改變,以保證計劃的時效性。

       ⑦ 后續總結,當發生災難并啟動災難恢復程序后,內審部門聯合風控部門應進行后續調查,找出在恢復過程中存在的問題,并作出相關災難與恢復調查總結報告,經部門管理層審批后報送至高級管理層、董事會審核后作為下一期災難恢復計劃的制定依據。A集團的災難恢復流程并未包含此環節,雖然業務連續性風險發生的可能性較低,但影響是巨大的,A集團對此應當做出重視。

       6、 使用盜版軟件

       企業使用盜版軟件會帶來法律風險,還會導致計算機容易感染病毒。防止使用非法軟件的措施可以參考IIA協會提供的方法,包括但不限于:建立組織內部的軟件許可使用規章制度和政策,并通過版權法教育來增強雇員的版權意識;保存組織購買軟件的原始記錄,定期對每臺計算機上使用的軟件進行審查鑒別;正版軟件的安裝盤應由專人保管,可以為了備份目的制作拷貝,但不得用于其他計算機的安裝使用等。

       7、 電子郵件與瀏覽器安全

       電子郵件與瀏覽器的安全缺陷是遭遇網絡攻擊的根源,是信息系統安全的高風險點,攻擊者通過獲取或篡改郵件、病毒郵件、垃圾郵件等都嚴重影響電子郵件的正常使用,并利用編程人員的能力、經驗和當時安全技術所限產生的瀏覽器漏洞向用戶計算機發動攻擊,對計算機及網絡造成嚴重的破壞。

       常見的電子郵件控制措施包括但不限于:公司應該規定雇員不能用電子郵件發送高度敏感或機密信息;對敏感電子郵件要進行加密;限制使用電子郵件的種類;在工作終端上的一些商務電子郵件需要保存以備公司查閱;保密性電子郵件不能存儲在郵件服務器中;雇員離職后應保留電子郵件以備查閱等。

       常用的瀏覽器安全控制手段包括但不限于:要求員工禁用cookies或只在登陸可信任站點時使用;阻斷彈出窗口(類似廣告的彈出窗口,該類窗口可能引入惡意代碼);對于外部站點,管理員應該將其安全控制屬性設為“高”,在該設置下,管理員需要定義“可信”站點,即允許正常訪問的站點,而其他站點則只能在受控制方式下瀏覽或禁止訪問。

       除上述分析防御手段外,IIA協會在其出版的教材中還提出了一種方法即信息設施異地冗余技術,信息設施異地冗余也是防止系統故障或重大災難時的信息設施恢復手段,包括:

       熱站(Hot Site):提供從機房環境、網絡、主機、操作系統、數據庫、通信等各方面的全部配置,災難發生后,一般幾個小時就可以使業務系統恢復運行。啟用時,只需操作人員到位并安裝應用程序、數據與文件即可運行。

       溫站(WArm Site):只配備了部分設備,:通常沒有主機,只提供網絡連接和一些外部設備(如:磁盤驅動器、磁帶驅動與控制器、UPS設備等)。安裝計算機或其他所缺少的設備可能要花幾天時間。

       冷站(Cold Site):為降低成本,冷站只提供支持信息處理設施運行的基本環境(如電線、空調、場地等)。災難發生時,所有設備都必須運送到站點上,要從基礎設施開始安裝,因此故障恢復時間可能會很長,可能要幾周時間。

       冗余信息處理設施:冗余信息處理設施是組織自己配備的、專用的恢復站點,用來對關鍵應用系統進行備份與恢復。

        移動站點:移動站點是一種特別設計的拖車式計算設備,它可以快速地轉移到業務部門或到恢復站點。

       組織之間簽訂互惠協議:組織之間簽訂互惠協議是指具有相同設備與應用系統的兩個組織或多個組織之間互相為對方建立備份的方法。

       隨著企業的內部控制措施不斷完善,我相信不止是A集團,今后越來越多的大型企業會更加完善信息系統與業務連續性相關的控制措施,信息系統與業務連續性的風險將不再是企業管理環節中的一個難題。

19岁RAPPER潮水,亚洲日本无码AV一区二区三区,亚洲色无码专区在线观看金品,CHINESE高中生自慰VIDEO