網絡安全風險管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全風險管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全風險管理范文

關鍵詞：網絡審計　歷史財務報表審計　信息安全管理　風險評估

一、引言

從審計的角度，風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中，現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心，通過對被審計單位及其環境的了解，評估確定被審計單位的高風險領域，從而確定審計的范圍和重點，進一步決定如何收集、收集多少和收集何種性質的證據，以便更有效地控制和提高審計效果及審計效率。從企業管理的角度，企業風險管理將風險評估作為其基本的要素之一進行規范，要求企業在識別和評估風險可能對企業產生影響的基礎上，采取積極的措施來控制風險，降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分，是企業信息安全管理的基礎和關鍵環節。盡管如此，風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上，從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開，將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析，以期深化對網絡審計風險評估的理解。

二、網絡審計與歷史財務報表審計的風險評估比較

(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型，審計風險又由固有風險、控制風險和檢查風險構成。其中，固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下，其財務報表某項認定產生重大錯報的可能性；控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性；檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中，審計風險仍然包括固有風險、控制風險和檢查風險要素，但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率，為企業的經營管理帶來很大的優越性，但同時也為企業帶來了一些新的風險。這些新的風險主要表現為：(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了，這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求，非專業人員難以察覺計算機舞弊的線索，這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統，或者說，企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險，例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據，從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險，如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障，或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地，網絡審計的固有風險主要是指系統環境風險，即財務電算化系統本身所處的環境引起的風險，它可分為硬件環境風險和軟件環境風險?？刂骑L險包括系統控制風險和財務數據風險，其中，系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險，財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險，審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險，人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網絡審計還是歷史財務報表審計中，風險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此，兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類，因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險，審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中，一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同，企業在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等，信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境；網絡層，即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等；系統層，即信息系統本身的漏洞情況、配置的缺陷情況；應用層，即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險，審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性，它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的，審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險，主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中，審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然，這兩類風險并非完全分離的，評估時審計人員應將兩者結合起來考慮。

(三)風險評估內容　廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同，因此兩者在風險評估的內容上也是存在區別的?？偟膩碚f，網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風

險》，在歷史財務報表審計中，審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險，審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險，審計人員除了從以上方面了解被審計單位及其環境外，還應該關注其他相關的潛在事件及其影響，尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節，它是系統或網絡財務信息本身固有的，包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此，我們認為網絡審計申風險評估的內容應包括以下幾方面：(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅，并分析威脅發生的可能性；(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據威脅發生的可能性和脆弱點發生的嚴重程度，判斷風險發生的可能性；(4)根據風險發生的可能性，評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響；(5)若被審計單位存在風險防范或化解措施，審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求，審計人員應當實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類，分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外，審計人員應格外關注對信息系統及網絡的特性情況，被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時，除執行常規程序外，審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外，針對特定系統或網絡技術風險的評估，審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式，獲取網絡中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法；工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息，包括主機掃描、網絡掃描、數據庫掃描等，用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況，使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析，進而評價企業相關風險發生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價，審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。

三、網絡審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風險評估是企業管理的組成部分，它具有規劃、組織、協調和控制等管理的基本特征，其主要目的在于從企業內部風險管理的角度，在系統分析和評估風險發生的可能性及帶來的損失的基礎上，提出有針對性的防護和整改措施，將企業面臨或遭遇的風險控制在可接受水平，最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務，其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度，從而指導進一步審計程序。因此，兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看，兩者具有一致性，即都需要考慮與信息系統和信息相關的風險。但是，具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，它要求評估人員關注與企業整個信息系統和所有的信息相關的風險，包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中，審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見，因此，風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險，而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同，信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動；他評估通常是由組織的上級主管機關或業務主管機關發起的，旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言，受托執行的信息安全風險評估應當歸屬于管理咨詢類，即屬于非鑒證業務，與網絡審計嚴格區分開來。

(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中，它將信息安全風險評估的內容分為兩部分：基本要素和相關屬性，提出信息安全風險評估應圍繞其基本要素展開，并充分考慮與這些基本要素相關的其他屬性。其中，風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施；相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是：(1)對信息資產進行識別，并對資產賦值；(2)對威脅進行分析，并對威

脅發生的可能性賦值；(3)識別信息資產的脆弱性，并對弱點的嚴重程度賦值；(4)根據威脅和脆弱性計算安全事件發生的可能性；(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失；(6)根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值。結合上文網絡審計風險評估五個方面的內容可以看出，網絡審計和信息安全風險評估在內容上有相近之處，即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是，信息安全管理作為企業的一項內部管理，其風險評估工作需要從兩個層次展開：一是評估風險發生的可能性及其影響；二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的，其重點在第二層次?！缎畔踩L險評估指南》(征求意見稿)提出，企業在確定出風險水平后，應對不可接受的風險選擇適當的處理方式及控制措施，并形成風險處理計劃。其中，風險處理的方式包括回避風險、降低風險、轉移風險、接受風險，而控制措施的選擇應兼顧管理和技術，考慮企業發展戰略、企業文化、人員素質，并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次，即審計人員通過風險評估，為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此，兩者的評估內容是存在區別的。

第2篇：網絡安全風險管理范文

關鍵詞：網絡； 信息安全； 組織因素； 系統

中圖分類號：TP393.08文獻標識碼：A文章編號：16727800（2011）012014102

作者簡介：黃勇（1971-），男，湖南長沙人，廣州涉外經濟職業技術學院信息學院講師、網絡工程師，研究方向為計算機網絡技術。1網絡信息安全的組織因素分析

1.1組織目標

組織目標是組織期望達到的一種狀態，它是組織所有成員的行動指南，是組織進行決策、協調、考核、效率評價的主要依據，同時它對組織中的成員具有激勵作用。影響組織目標的主要因素有:（1）網絡信息安全目標。組織中的信息安全目標是組織追求和實現高績效目標的子目標之一，組織只有達到了信息安全目標，才能真正確保實現組織的高績效目標；（2）信息安全目標的優先次序。組織目標的優先次序是指當組織存在諸多目標時，首先需要確定優勢目標，有了優勢目標才能形成優勢動機。如果不能形成優勢目標，則會分散組織的注意力，影響組織目標的實現，甚至使組織產生安全隱患。

1.2組織結構

組織結構組織內部協調和分工的基本形式，是組織正式確定的使工作分解、組合和協調的基本框架體系。組織結構主要由組織內部的各個要素組成，如組織人員、職位、責任、協同、關系、信息和目的等等。組織結構能否有效運行就取決于組織內部各個要素之間能否合理配置、充分協調、以及組織與所處的環境的適應程度。組織結構對于維持組織安全、可靠、有效的行動和控制整個組織的運作有著非常重要的影響，直接影響了組織目標能否順利實現。網絡信息系統中的安全問題與組織結構存在密切聯系，合理的信息安全組織結構是確保組織網絡信息安全管理的前提。

網絡信息系統組織結構：①信息安全工作組織：主要負責信息安全工作，設置組織的信息安全管理部門和網絡管理部門；②職責與權力：為了增強組織網絡信息系統的安全性，組織就要嚴格劃分和明確規定員工的職責并授予權限；③交流：通過交流可以把組織中的員工聯系起來，調動員工的積極性和協調能力，更有利于組織目標的實現；④資源：網絡信息安全離不開設備和技術，提高網絡信息的安全性需要不斷的開發新技術和更新或升級通信設備，這些都需要組織提供充足的人力資源、財力資源、物資資源和時間資源的支持。

1.3組織管理

組織管理是組織為實現組織目標而實施的控制、計劃、指揮、協調、監督等系列過活動。網絡信息安全工作中的組織管理包括: 建立安全制度、制訂安全策略、規范安全行為、監督管理的執行等方面。

(1)建立安全制度。組織制定網絡建設方案、信息安全保密規定、機房管理制度、口令管理制度、用戶上網使用手冊、網絡安全指南、系統操作規程、安全防護記錄、應急響應方案等一系列的信息安全制度，主要為保證網絡信息系統安全、可靠地運作。

(2)制訂安全策略。安全策略是企業整體的安全思想和觀念的宏觀反映，安全策略對于組織的網絡信息安全有重要作用，在它的指導下，組織開展信息安全建設和后續工作。隨著網絡安全技術、網絡拓撲結構和網絡應用技術的不斷發展，安全策略的制訂和實施已經成為一個動態的延續過程。

(3)規范安全行為。組織往往通過網絡通信安全規程來規范員工行為，規程主要基于具體的任務和功能的分析，通過識別、開發、審核、執行、驗證等循環往復過程建立起來，它規范了組織員工開展某一項活動或工作的行為。

(4)監督管理。主要針對組織信息安全相關的工作環節和重要步驟增強監管力度，對操作中可能出現的偏差和疏忽實施合理監督，確保正確的操作，以降低信息安全隱患。

1.4安全文化

組織文化是組織成員共奉的價值觀、態度以及內隱的行為規范。安全文化是組織文化的有機組成部分，它通常被定義為安全價值觀與安全行為的總和。良好安全文化能有效的降低組織的事故發生率，因此，形成了良好的安全文化氛圍會將直接影響著網絡信息的安全。具體相關因素包括：

(1)網絡安全文化。組織員工的安全意識與組織的網絡安全文化有著必然聯系，組織員工只有形成“安全第一”的安全意識，對于謹防工作中安全隱患，就會自愿的為了組織共同的安全目標而交流溝通，會主動加強工作中的監督檢查，謹防將組織的重要信息泄露給競爭對手。

(2)領導層對信息安全的意識和態度。如果組織領導對信息安全的重要性認識越深刻，那么組織中的信息安全在組織工作中的地位就會越高，信息安全就會引起組織中更多成員的關注和重視。領導層對信息安全的意識和態度對組織網絡安全文化的形成有著重要的作用。

(3)員工間的和諧度。團隊的和諧是保證安全的重要基礎，如果組織成員對安全存在共識，持一致態度，則全體員工在安全目標、行為準則方面保持一致，從而保障信息的安全，進而實現系統和組織上的安全。

(4)組織成員對信息安全的意識和態度。

1.5培訓

對培訓的效果造成直接影響的主要包括：①培訓的內容：隨著網絡技術的發展，信息安全教育培訓的內容也應該隨著技術、環境的變化而更新，要使員工不斷增長對新環境的適應能力，對新問題的辨別能力和解決問題的能力，才能確保信息的安全；②培訓的師資：參與信息安全培訓的師資隊伍的素質，直接影響著教育與培訓的效果。培訓老師的目標性、方向性，在保證培訓系統的高效運轉中起著重要作用。

2網絡信息安全管理的組織對策

2.1建立并完善信息安全風險制度

信息安全制度著重體現：①風險管理的責任機制。將風險管理與組織成員的責任聯系起來，在信息安全風險管理工作中，切實執行責任制，不斷增強組織上至各級領導，下至普通員工的風險責任意識，將信息安全風險管理合理分工，執行信息安全風險管理措施，保證信息安全風險管理工作有序開展；②風險管理的預防機制。預防機制是風險管理的核心內容，風險管理要重視事前管理，事前對信息系統涉及的關鍵環節和重要部門進行嚴格的風險評估、檢查工作，得出準確的風險報告；③風險管理的應急機制。有效的應急機制是降低和化解此類風險的必備手段，針對關鍵的應用系統群組，乃至針對整個數據中心的突發事件必須具有可操作性很強的應急方案，并且還要有成熟的應急反應體系 能在事件發生之時，合理決策、落實執行應急方案；④風險管理的通報機制。實施信息安全的風險管理通報機制，對于尚未出現的問題有一個警示作用，它能對行業的經驗教訓及時總結，讓組織認識風險隱患，盡早發現類似風險，快速采取有針對性的事前防范措施。

2.2制定信息安全的管理策略

（1）風險評估和預警策略。采用科學的分析方法，對系統存在的不同頻度的風險定期作系統評估工作，以定量與定性的評估方法，探測風險的來源以及風險的大小。

（2）風險規避策略。通過降低風險發生的可能性和降低風險發生后的影響等手段，努力在風險發生前規避風險或降低風險大小，并對整改成果進行再評估。

（3）應急管理策略。經過系統風險評估，針對評估結果存在的安全隱患，制定應急預案，通過有效的應急處置，爭取在風險事件發生后快速地恢復生產運行，控制風險的影響范圍和影響程度。

（4）風險管理策略。對于涉及信息安全風險管理的組織內部架構和對外客戶端可能存在的風險，制定一系列的規章和規范，防范內部風險。

2.3強化信息安全的監督管理

信息安全的監督對杜絕違規、違章操作、發現網絡信息系統隱患、及時整改、督促組織建立健全各項安全規章制度，落實各項信息安全防范措施具有重大作用。具體包括：①信息系統投產上線管理操作規范；②信息系統管理維護操作規范；③信息系統變更管理操作規范；④信息系統訪問控制管理操作規范；⑤信息系統運營環境管理操作規范；⑥信息系統業務連續性管理操作規范；⑦信息系統運營服務外包管理操作規范。參考文獻：

[1]楊旭.計算機網絡信息安全技術研究[D].南京:南京理工大學,2008.

[2]王以群,程,張力.網絡信息安全中的人因失誤分析[J].情報學,2007(11).

[3]楊月江,劉士杰,耿子林.網絡安全管理的分析與研究[J].商場現代化，2008(1).

[4]張力,王以群,鄧志良.復雜人-機系統中的人因失誤[J].安全科學學報,1996(6).

[5]姜婷婷.淺談我國網絡信息安全保險的開發[J].情報理論與實踐,2003(4).

[6]劉繪珍.影響復雜人機系統安全的組織因素分析[D].衡陽:南華大學,2007.

[7]劉繪珍,張力,張玉玲,等.影響系統安全的組織因素分類分析[J].核動力工程,2009(4).

[8]胡泉軍.信息安全管理中的組織管理失誤[D].衡陽:南華大學,2009.

第3篇：網絡安全風險管理范文

關鍵字：風險，風險分析

1．引言

隨著計算機網絡的發展，其開放性，共享性，互連程度擴大，網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。網絡有其脆弱性，并會受到一些威脅。而風險分析是建立網絡防護系統，實施風險管理程序所開展的一項基礎性工作。風險管理的目的是為確保通過合理步驟，以防止所有對網絡安全構成威脅的事件發生。網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護，不僅可能不能減少網絡的安全風險，浪費大量的資金，而且可能招致更大的安全威脅。因此，周密的網絡安全風險分析，是可靠，有效的安全防護措施制定的必要前提。網絡風險分析應該在網絡系統，應用程序或信息數據庫的設計階段進行，這樣可以從設計開始就明確安全需求，確認潛在的損失。因為在設計階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善，在建立安全防護時，風險分析還是會發現一些潛在的安全問題。

一般來說，計算機網絡安全問題，計算機系統本身的脆弱性和通信設施脆弱性共同構成了計算機網絡的潛在威脅。一方面，計算機系統硬件和通信設施極易遭受到自然環境因素的影響（如：溫度，濕度，灰塵度和電磁場等的影響）以及自然災害（如：洪水，地震等）和人為（包括故意破壞和非故意破壞）的物理破壞；另一方面計算機內的軟件資源和數據信息易受到非法的竊取，復制，篡改和毀壞等攻擊；同時計算機系統的硬件，軟件的自然損耗和自然失效等同樣會影響系統的正常工作，造成計算機網絡系統內信息的損壞，丟失和安全事故。

通過結合對計算機網絡的特點進行分析，綜合起來，從安全威脅的形式劃分得出了主要風險因素。

風險因素主要有：自然因素，物理破壞，系統不可用，備份數據的丟失，信息泄漏等因素

2．古典的風險分析

基本概念：

風險：風險就是一個事件產生我們所不希望的后果的可能性。風險分析要包括發生的可能性和它所產生的后果的大小兩個方面。因此風險可表示為事件發生的概率及其后果的函數：

風險R=ƒ(p,c)

其中p­為事件發生的概率，c為事件發生的后果。

風險分析：就是要對風險的辨識，估計和評價做出全面的，綜合的分析，其主要組成為：

1.風險的辨識，也就是那里有風險，后果如何，參數變化？

2.風險評估，也就是概率大小及分布，后果大?。?/p>

風險管理：

風險管理是指對風險的不確定性及可能性等因素進行考察、預測、收集、分析的基礎上制定的包括識別風險、衡量風險、積極管理風險、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，旨在使企業避免和減少風險損失，得到長期穩定的發展。

3．網絡安全的風險分析

本文采用的風險分析方法是專家評判的方法。由于網絡的脆弱性以及對網絡的威脅，因此網絡中就存在風險。根據古典的風險分析，則網絡中的風險與風險因素發生的概率和相應的影響有關。而概率可以通過統計的方法來得到，影響可以通過專家的評判方法來得到。因此,風險R=P(概率)*F（影響）

這時，風險分析的過程包括：統計概率，評估影響，然后評估風險。然后根據風險分析的大小來管理風險。

1統計概率

通俗的說，概率是單位時間內事件發生的次數。按每年事件發生的次數來統計概率。

2影響的評估

首先對上述5個因素確定權重W，按照模糊數學的方法將每個因素劃分為五個等級：很低，低，中等，高，很高。并給出每個等級的分數C（1．2，3．6，7），根據各個專家對每個因素的打分計算出每個因素的分數C，再將W與C相乘，累計求和ΣWC,讓F=ΣWC此值即因素的影響的大小。

風險因素權重的確定方法如下：

設影響的n個因素為A1，A2，…，An，參加評判的專家m人。對n個因素，先找出最重要因素和最不重要因素，并按層次分析方法（AHP）中1－9的標度和標準確定兩者的比率。

將5個因素按重要程度從小到大排序，以最不重要因素為基準（賦值為1），將各個因素與其比較。按重要程度進行賦值（按AHP法中的標度和標準）。

將m個專家對n個因素所賦的分為r塊，分別記為A［1］，A［2］，…，A［r］。其中矩陣A［k］的行表示以Ak為最不重要因素的專家數，記作mk。列表示將因素Ak作為基準，對n個因素A1，A2，…，An所賦的值。具體形式為：

AAA…A…..A

A[k]=(1)

其中

a=1,1<=a<=9,Σm=m(i=1,2,…,m;j=1,2,…,n)

對于分塊矩陣A［k］，因各因素賦值均以Ak為基準，從而可對A［k］中各列分別求平均值

a=Σa/mj=1,2,…,n（2）

對所有分塊矩陣作上述處理，可分別得到（A1，A2，…，Ar）。

對于每個分塊矩陣A［k］（k＝1，2，…，r）；因行數不同，其在專家數m中的所占的比重也不同，因而需考慮mk在m中所占的比重，稱mk／m為ajk的權系數。

由以上分析可得因素Aj的綜合賦值。

A=Σa*m/mj=1,2,…,n（3）

由（1）－（3）式即可得m個專家對n因素的綜合賦值。由綜合賦值aj中求出最小值amin和最大值amax，令其所對應的下標分別為m和M，即am＝amin，aM＝amax。

第4篇：網絡安全風險管理范文

1.1制定風險管理計劃

制定風險管理計劃是保障電力系統信息化建設的首要工作,其指導管理部門識別、分析、監控和應對風險,并為風險管理安排資源和時間。在對權衡了風險對項目的影響后,編制出恰當的風險管理計劃,為風險管理預計了時間表和費用,將風險管理計劃納入項目計劃,把管理費用納入成本計劃。

1.2進行風險識別

所謂風險識別就是考慮一下哪些風險會對項目造成影響、風險的主要形成因素及其可能造成的后果的過程。例如,可以利用信息收集技術,采用頭腦風暴、專家判斷等方法,根據不同風險情況進行記錄,形成了詳細的風險列表。

1.3展開風險分析

對風險的分析包括兩個方面,定性分析和定量分析。每個信息化建設項目在前期都要先識別出的進度風險、技術風險和團隊風險,利用概率/影響矩陣,并聽取業務專家和技術專家的意見,在全面考慮后劃分風險優先級,就是所謂的風險定性分析。與之相對應,風險定量分析是在風險定性分析基礎上,對風險影響和后果進行量化,為風險應對提供依據的過程,借此方式充分估算各風險對項目成本、進度和質量可能形成的具體影響程度,更新和改善了風險記錄。

1.4嚴格風險監控

風險監控工作也是電力系統信息化建設中不容忽視的一項內容。概括來說,風險監控就是監督風險應對計劃執行情況,監視已識別風險,跟蹤殘余風險,識別新風險,管理變更,從而支持項目實現和維持基線完整性的過程。

2電力系統信息化建設風險管理策略

2.1編制一致的電力行業標準

標準的建立要接軌國際,響應國家政策。要以目前國際上最先進、最成熟的信息技術標準體系作為參考,以《國家電網公司“十一五”信息發展規劃》為指導,充分結合我國電力系統信息化的實際情況,編制出一套科學的信息化標準體系。

2.2構建一致的信息化平臺

針對各部門之間軟件失調的問題,構建統一的信息化平臺不失為一個恰當的解決方式。這樣的平臺能夠解決信息孤島、軟件兼容和溝通問題。可以將“SG186”工程作為契機,對現有各信息管理平臺、軟件、系統進行整合,盡早實現整個電力企業的數據信息、集成應用、電力服務一體化。

2.3促進各個系統有機結合

目前,各個系統之間結合的優勢越來越明顯,以生產系統與電力營銷系統結合為例,生產系統中遇到的多種故障停電、計劃檢修停電,都會對營銷產生影響,相應的營銷的業擴報裝也需要電力生產的配合,這些事情此前都是要人工進行的,而此時卻可以直接獲得,在節省時間的同時形成了簡單、快捷、便利的工作模式,非常有利于系統的高效運作。在以生產系統與管理系統結合為例,生產系統的數據為管理系統的正確決策提供支持,相應轉變為合理高效的指示指導生產系統的工作。

2.4加強數據的深層挖掘研究和應用

目前已建設完成和即將建設的信息化平臺中,都整合了生產、銷售等部門獲得的多項業務的第一手資料,同時也將涵蓋很多系統以外所提供的公共服務,例如天氣預測,公共交通等。龐大的信息都將給分析決策創造條件。值得注意的是,隨著信息量劇增,如何有效的管理利用這些信息成為了新的問題。經過多年的現實經驗,意識到唯有結合先進的信息存取機制和數據挖掘技術,才能真正有效地為電力系統服務。與此同時,必須考慮的是如何將原本的數據、經過提取分析處理的數據真正的用于指導生產、營銷、管理,將信息轉變為真實的行動和生產,變為實際的生產力。

2.5提高信息化網絡安全

要想讓電力系統信息化建設風險管理適應電力企業網絡的特點,在進行網絡安全的建設時務必考慮多方因素,包括安全層次、技術難度及經費支出等。因此,電力企業的網絡安全一定要全面考慮以下要求:

(1)保持原有的網絡拓撲結構,為系統結構及功能的擴展做好準備;

(2)保持網絡原有的性能特點,也就是對網絡協議和傳輸具有很好的透明性;

(3)提高系統的安全性和可靠性固然重要,但是同時不應影響原有操作的便利性;

(4)保證較低的維護量和網絡管理工作量,運用較少的人員長期工作量;

(5)確保一次性投資,可長期使用,需要投入較低的維護費用。

3結論

第5篇：網絡安全風險管理范文

隨著計算機網絡的技術的迅猛發展以及移動互聯的全球化,Internet已經和現今的各行各業相互契合,而組織業務相關的信息系統已經成為組織行業信息賴以生存的“朋友”。移動互聯的信息安全問題逐漸走入人們眼中。信息系統的安全問題是的對于一個組織有著重要的戰略意義。本文立足于當今信息安全現狀,例數當今信息系統的安全問題,對信息系統的安全風險管理方法進行研究,并針對信息系統安全問題給出針對性建議。

關鍵詞:

信息系統安全；信息系統管理；計算機尖端科技

目前,世界各國經濟都在迅速發展,經濟全球化的進程逐漸加快,伴隨著經濟的推進,尖端科技迅猛發展。因此,電腦逐漸走進了各家各戶,移動互聯正在改變人們的生活方式。計算機網絡技術的優越性使得人們對計算機網絡愈來愈“信賴”。然而隨之產生的便是用戶的網絡信息泄露事件。計算機網絡安全問題已經受到了更多人的重視。所以,對信息系統安全風險管理方法的研究有著鮮明的現實意義。

1信息系統安全風險管理方法研究

隨著計算機網絡技術的不突破何如普及,極大的方便著人們的生活和學習,而且正在慢慢的改變人們的生活方式。目前,計算機網絡技術已經被應用到軍事科技當中,中增強著我國國防力量。使得未來戰爭真正的實現“兵不血刃”。與此同時,信息系統的安全問題會“威脅”著國家的經濟建設,和國防建設。所以這一切都表明了信息系統安全問題是一個國家安全建設的基礎,是國家社會發展和建設的保障。而信息系統的安全成為了信息化革命的基本。甚至可以說,信息系統安全問題關系著國家安全,民族發展是全人民的的頭等大事。信息系統安全計劃建設是了一個國家和民族的戰略性目標,已經是不爭的事實。

2信息系統的信息安全現狀

當今社會信息系統安全問題不容樂觀,信息系統面臨著嚴峻的安全風險。根據調查來看,每年的重大信息系統安全事件正在逐年增加。信息系統安全問題主要包含以下兩大方面:一是由于現今科技技術的不完善性和局限性,使得信息系統在構建之初便存在著漏洞,導致信息系統“脆弱”。二是現實社會中的各種經濟斗爭和利益斗爭,使得原本的信息系統漏洞被“開發利用”。計算機網絡技術是一個復雜的大系統,它是由眾多的代碼、硬件、軟件、協議所共同組成。在計算機網絡技術的不完善和設計人員思想局限性的前提下,使得信息安全系統在構建的時候會出現不可避免的漏洞。例如,計算機網絡中一個操作系統需要幾千幾萬的代碼組成,甚至更多。為滿足用戶的各種需要,設計的技術復雜性逐漸增多。據調查在繁瑣的計算機網絡設計時,很可能一千行代碼中便會存在一個錯誤。因此,信息系統的漏洞越來越多,越來越嚴重。另一方面,“黑客”作為一種“文化現象”一直伴隨著計算機網絡技術的發展而發展。并且隨著人們之間的利益沖突不斷加劇,使得黑客的惡意攻擊事件愈演愈劣。此外,根據調查顯示,在攻擊技術復雜的計算機網絡時,黑客相對應需要的知識卻越來越少[1]。

3信息系統風險管理的目的和作用

信息系統安全是目前全世界所面臨的重大問題。雖然,信息安全問題具有著普遍性,但是同時因為它的特殊性,使得我們不得不重視。信息系統的安全管理已經不再是“0”和“1”之間的問題。我們不斷的探索,為了找到一個更好的信息系統安全管理方法。我們希望新的信息系統安全管理方法可以改變現今網絡安全的現狀,并且讓更多的人可以更好的享受計算機網絡技術帶來的方便。計算機網絡在人們的生活和學習中有著重要的的作用,在國家建設上有著重要的地位,信息系統的安全管理的研究,我們旨在便利更多的人民群眾,更好的建設國家,為祖國的建設作出貢獻。我們要做到防患于未然,讓國家和人民免于信息系統安全問題的威脅。由此我們可以得出這樣的結論:風險管理是信息系統安全管理方法的新模式,而最佳的信息系統安全保障方法就是對信息系統進行風險管理。

4信息系統風險管理的趨勢

縱觀世界,信息系統安全風險管理的經歷了技術,技術與管理相結合的階段。當前,在信息安全保障意識的前提下,還在不斷的深入完善。如何將傳統的風險管理理論和實際相結合并更好的應用于信息安全管理領域,是全世界面臨的一個尚未解決的問題。

5信息安全風險管理理論基礎

信息安全風險管理研究的理論基礎大的方面是國家規定的計算機網絡技術管理法則,和現今的計算機網絡技術。小的方面是現今信息系統所具有的保密性、完整性、可用性、脆弱性。以及網絡信息系統面臨的威脅[2]。

6網絡信息系統風險管理的ISISRM管理方法

6.1ISISRM方法的基本思想

ISISRM方法體現的是“定制”思想,它具有較強的開放性,在識別風險因素并進行解決的同時,它不會拘泥于單一的解決方法。它可以使風險管理過程和用戶使用目的緊密集合結合在一起,并且在風險評估時采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經濟管理學的知識,它將不再只解決信息安全問題,而是從用戶的角度上來說變成了一種“投資”行為[3]。

6.2ISISRM方法的管理周期

按照ISISRM的設計邏輯,ISISRM的管理周期分為風險管理準備階段、信息安全風險因素識別階段、信息安全風險分析和評估階段、信息系統安全保障分析階段、信息系統安全決策階段、信息安全風險動態監控階段。

7結語

計算機網絡技術迅速發展,加速了社會信息化的進程,使得人文建設與信息系統關系日益“親密”,但是隨之而來的信息安全問題值得引起我們的重視,并讓我們花費人力和物力進行解決,它時刻的威脅著我們社會主義人文建設。所以我們應該運用ISISRM這樣的風險安全方法進行信息系統安全的維護和改善。

作者：李響 王培凱 單位：安徽省蚌埠市固鎮縣公安局 安徽省蚌埠市五河縣公安局

參考文獻

[1]孫鵬鵬.信息安全風險評估系統的研究與開發[D].北京交通大學,2007.

第6篇：網絡安全風險管理范文

（一）采用系統的思想

網絡安全的建設是一個系統工程，它需要對影響信息系統安全的各種因素進行綜合考慮，同時需要對信息系統運行的全過程進行綜合分析，實現預警、防護、恢復等網絡安全的全過程環節的無縫銜接；另一方面要充分考慮技術、管理、人員等影響網絡安全的主要因素，實現技術、管理、人員的協同作戰。

（二）強調風險管理

基于風險管理，體現預防控制為主的思想，強調全過程和動態控制，確保信息的保密性、完整性和可用性，保持系統運作的持續性。

（三）動態的安全管理

公安信息網絡安全模型中的“動態”網絡安全有兩個含義：一是整個網絡的安全目標是動態的，而不再是傳統的、一旦部署完畢就固定不變的，從而支持部分或者全網范圍內安全級別的動態調整；二是達到安全目標的手段、途徑必須能夠根據周邊/內部環境的變化進行動態調整。

二、基于策略的動態安全管理模型的定義

基于上述指導思想，建立基于策略的動態安全管理模型，主要包括四類要素：人員、管理、策略、流程（技術產品）。安全策略確定后，需要根據組織切實的安全需要，以上述定義的安全策略為基礎，將安全周期內各個階段的、反映不同安全需求的防護手段和實施方法以一種利于連動的、協同的方式組織起來，提高系統的安全性?？偟闹笇г瓌t是：第一，防護是基礎，是基本條件，它包含了對系統的靜態保護措施，是保護信息系統必須實現的部分。第二，檢測和預測是手段，是擴展條件，提供對系統的動態監測措施，是保護信息系統須擴展實現的部分。第三，響應是目標，是進行安全控制和緩解入侵威脅的期望結果，反應了系統的安全控制力度，是保護信息系統須優先實現的部分。這些不同的安全技術和產品按照統一的策略集成在一起，保持防護、監測、預警、恢復的動態過程的無縫銜接，并隨著環境的變化而進行適當的調整，這樣就能夠針對系統的薄弱環節有的放矢，有效防范，從而完善信息安全防護系統。

三、基于策略的動態安全管理模型的實施過程

在公安信息安全管理體系的建立、實施和改進的過程中引用PDCA（Plan-Do-Check-Act）模型，按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執行、安全管理和再評估四個子過程。組織通過持續的執行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過程如下：

（一）計劃（Plan）

計劃就是根據組織的業務目標與安全要求，在風險評估的基礎上，建立信息安全框架。包括下面三項主要工作：

1.明確安全目標，制定安全方針根據公安專用網絡信息安全需求及有關法律法規要求，制定信息安全方針、策略，通過風險評估建立控制目標與控制方式，包括公安系統工程必要的過程與持續性計劃。

2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點確定信息安全管理的領域，公安信息安全管理部門需要根據公安系統工程的實際情況，在整個金盾工程規劃中或者各業務部門構架信息安全管理框架。

3.明確管理職責成立相應的安全管理職能部門，明確管理職責，同時要對所有相關人員進行信息安全策略的培訓，對信息安全負有特殊責任的人員要進行特殊的培訓，以使信息安全方針真正植根于所有公安干警的腦海并落實到實際工作中。

（二）實施（Do）

實施過程就是按照所選定的控制目標與方式進行信息安全控制，即安全管理職能部門按照公安信息安全管理策略、程序、規章等規定的要求進行信息安全管理實施。在實施過程中，以公安信息安全管理策略為核心，監測、安全保護措施、風險評估、補救組成一個循環鏈，其中信息安全管理策略是保證整個安全系統能夠動態、自適應運行的核心。

1.選擇安全策略根據公安業務目標、公安信息安全管理目標、公安信息安全管理指導方針選擇或制定信息安全策略。

2.部署安全策略對于高層策略，在此階段，首先應將各種全局的高層策略規范編譯成低級（基本）策略。根據底層的服務或是應用的要求將策略編譯成執行組件可以理解的形式，針對特定類型的策略實施封裝具體實施策略所需的行為，封裝執行策略所必需的實現代碼，這些代碼與底層實現有關。將策略分發并載入到相應的策略實施中，繼而可以對策略對象執行啟用、禁用、卸載等策略操作。

3.執行安全策略（1）監測。對公安信息系統進行安全保護以后并不能完全消除信息安全風險，所以要定期地監控整個信息系統以發現不正常的活動。（2）進行信息安全風險評估。風險評估主要對公安信息安全管理范圍內的數據信息進行鑒定和估價，然后對數據信息面對的各種威脅進行評估，同時對已存在的或規劃的安全管理措施進行鑒定。（3）公安信息安全風險處置。根據風險評估的結果進行相應的風險處置，公安信息安全風險處置措施主要包括降低風險、避免風險、轉嫁風險、接受風險等，使得公安業務可以正常進行，并重新進行風險分析與評估，增加或更改原有的信息安全保護措施。在公安信息系統正常運行時，要定期地對系統進行備份。（4）根據公安信息安全策略調整控制安全措施。由于信息安全是一個動態的系統工程，安全管理職能部門應實時對選擇的管理目標和管理措施加以校驗和調整，以適應變化了的情況，使公安系統數據資源得到有效、經濟、合理的保護。

（三）檢查（Check）

檢查就是根據安全目標、安全標準，審查變化中環境的風險水平，執行內部信息安全管理體系審計，報告安全管理的有效性，在實踐中檢查制定的安全目標是否合適、安全策略和控制手段是否能夠保證安全目標的實現，系統還有哪些漏洞。

（四）改進（Action）

改進就是對信息安全管理體系實行改進，以適應環境的變化。改進內容包括三部分：一是系統的安全目標、安全指導思想、安全管理制度、安全策略。二是安全技術手段的改進。隨著安全技術和安全產品的改進，系統的安全技術手段也要不定期地更換。但更換后的安全技術手段仍然要遵循相應的信息安全策略。三是對人員的改進。安全管理措施和手段改進后，要對民警要進行安全教育與培訓，并根據民警的不同角色為其制定不同的安全職責和年度信息安全計劃，并按照計劃進行工作，年底時要對安全計劃的執行情況進行檢查。

四、結束語

第7篇：網絡安全風險管理范文

【關鍵詞】信息安全；風險管理；城域網

網絡安全是網絡時代的永恒話題，寬帶城域網的網絡安全是一項非常艱巨的任務，它總是伴隨網絡技術的發展而不斷變化。要充分考慮網絡的整體安全性能，考慮設備容量及防攻擊的性能，有效實施設備相關安全特性，同時又要透過復雜的技術細節，把復雜的網絡簡單化，把握寬帶城域網的安全實質關。只有建立全面的安全防護體系，才能向社會提供一個安全、高速、易用、智能化的網絡。

1、IP城域網的安全問題

IP城域網中，網絡的各個層次承擔了不同的能，具有不同的特點，通過分析各層的功能及特點得出對應的安全問題。要保證整網的安全就必須證各個層次上的安全。核心層是網絡的核心，要負責整個城域網網絡據包的快速交換、轉發并且完成與骨干網通信。核層具有節點數量少、業務容量大的特點，一旦核心出現故障，將不能為整個城域網提供服務，故在核層要求網絡結構相對穩定、業務可靠性、安全性要高。其存在的安全問題有：由于核心節點和鏈路故而導致業務中斷；由于數據量大而造成網絡阻塞的題；路由的安全問題；核心層設備自身受攻擊的問題其常見的攻擊有：（1）源路由攻擊，報文發送方通在IP報文的Option域中指定該報文的路由，使報發往一些受保護的網絡；（2）拒絕服務攻擊。危在于受攻擊后，網絡可用帶寬急劇下降，導致無法其它用戶提供正常的網絡服務，SYNFlood攻擊是型的拒絕服務攻擊等。匯聚層提供流量控制和業務管理的功能，也是證城域網中承載網和業務安全的基本屏障，更是保城域網安全性能的關鍵。匯聚層面臨的安全問主要是路由安全、各種異常流量、用戶業務的安全，及用戶訪問的控制。接入層是面向用戶的外層網絡，負責給用戶提安全高速的多業務服務，其主要面臨的安全問題是些基于二層協議的用戶攻擊行為和廣播風暴等。

2、信息安全風險管理內容和過程

信息安全風險管理是以風險為主線進行信息安全的管理，它的實施目標就是要依據安全標準和信息系統的安全需求，對信息、信息載體、信息環境進行安全管理以達到安全目標。它貫穿于整個信息系統生命周期，包括對象確立、風險評估、風險控制、審核批準、監控與審查和溝通與咨詢六個方面。其中對象確立、風險評估、風險控制和審核批準是信息安全風險管理的四個基本步驟，監控與審查、溝通與咨詢則貫穿于這四個基本步驟之中。對象確立根據要保護系統的業務目標和特性，確定風險管理對象。風險分析針對確立的風險管理對象所面臨的風險進行識別評價。風險控制依據風險分析的結果平衡安全風險與安全效益，選擇合適的安全措施。審核批準包括審核和批準兩個部分。這四個步驟貫穿于信息系統的整個生命周期，當受保護系統的業務目標和特性發生變化或面臨新風險時，重新進入上述四個步驟，形成新的一次循環，使所保護的系統在自身和環境的變化中能不斷對應新的安全需求和風險。監控與審核對上述四步驟實行監控和審核。溝通和咨詢則為上述四步驟的相關人員提供溝通和咨詢，確保系統安全目標的一致及安全措施有效實行。

3、IP城域網安全管理

針對IP城域網中網絡各層可能存在的安全隱患，本文結合某廣電IP城域網針對網絡的每一層給出一些安全管理意見。

（1）設備選擇。核心層中硬件設備的選擇很重要，硬件設備的性能將直接影響到核心層網絡的安全。由于核心層網絡數據流量大，必須采用高速無阻塞的路由器、交換機；設備應當符合國家標準規定的防雷擊、防靜電，并能夠在正常的機房溫度、濕度等條件下長期穩定地運行，這點匯聚層和接入層也應該同時具備。

（2）冗余策略。從結構安全上來看，主要安全問題就是單點和單鏈路故障，要避免網絡的單點單鏈故障而導致業務中斷就必須要做好網絡軟、硬件、傳輸介質及路由冗余。如采用至少兩臺路由器或交換機互連，以便在有一臺出現故障時能夠自動切換到另外一臺設備而保證設備轉發不中斷。啟用多生成樹協議（MSTP），應用時將備用鏈路控于阻塞（blocking）狀態，一旦主鏈路通信中斷，能在很短時間內恢復。

（3）防火墻。核心交換機、路由器配備強大攻擊防范能力的高速防火墻，可采用硬件防火墻，用于防病毒、防攻擊，以保證網內安全。同時提供有效的認證措施，拒絕并記錄非法的人為入侵。采用硬件防火墻獨立于其它硬件，可單獨肩負網絡攻擊帶來的壓力。此外還可利用地址轉換（NAT）技術，對外屏蔽內部網絡的主機地址。

（4）路由管理。選擇合適的路由協議非常重要，路由規劃科學與否直接影響到整個城域網的可靠性及效率。路由協議有域內路由和域間路由兩種基本類型。域間路由協議主要有邊界網關協議（BGP）和外部網關協議（EGP）等；域內路由協議主要有開放式最短路由優先協議（OSPF）、中間系統路由選擇協議（IS-IS）和路由信息協議（RIP）/RIP2等。建議采用開放式最短路由優先協議（OSPF），它的最大特點就是絕對的無環路，同時還具備快速收斂、鏈路通告、帶寬開銷少、延展開放的優點。如在同一城域網的路由設計上全網采用OSPF協議，建議其內部劃分兩個自治域，所有的骨干層路由器同屬一個自治域，匯聚層和接入層同屬另一自治域，可避免因匯聚層路由波動對骨干路由造成影響，同時也減少了路由協議對CPU資源消耗和路由信息傳播所占用的網絡帶寬；核心路由器與出口防火墻之間建議采用靜態路由互連，既安全又能簡化路由表。

（5）流量過濾及流量攻擊防范。在核心路由器上制定細致的訪問控制列表（ACL），對流向引擎板卡的異常流量進行報文過濾，避免如網絡風暴、PINGDDoS攻擊、TCPDDoS攻擊等對主控板造成CPU資源耗盡、網絡流量過載，進而導致業務控制和協議計算發生中斷的嚴重后果。充分利用核心路由的控制功能，當主控板發現來自接口板的總流量超過某個特定閾值時，即啟動接口板上的CAR隊列，將送往主控板的流量進行限制，從而保護主控板在流量過載的情況下正常工作。對于源路由攻擊可采用關鍵數據身份認證與授權、訪問權限控制、加密保存、加密傳輸等措施進行防范。對于像SYNFlood之類的拒絕服務攻擊可通過以下方法進行防范：路由器上調整包括限制SYN半開數據包的流量和個數，并設定相應的內核參數，使得系統強制對超時的SYN請求連接數據包復位，同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的SYN請求數據包，還可以通過加固TCP/IP協議棧防范，只有完成TCP三次握手過程的數據包才可進入該網段。

結束語

信息安全風險管理的原則是“最小安全成本，最大安全效益”。最可行的方案就是將安全事件對系統造成的損失和安全措施所需的安全成本適度量化并以數字表示，從而直觀的對安全損失和安全費用進行比較，為安全決策提供有利的理論和方法指導。隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。

【參考文獻】

[1]吳世忠.信息安全風險管理的動態與趨勢[J].信息安全與通信保密，2007（02）.

第8篇：網絡安全風險管理范文

針對近年來頻繁發生的網絡犯罪事件，許多學者以及相關認識開始不斷研究與應用更多的安全防護技術，其中較為常見的技術包括防火墻、入侵檢測、數據加密以及VPN等技術。其中在防火墻技術方面，其主要通過安全網關的構建對外部網絡攻擊行為進行攔截，并有效監控網絡運行的整體情況，是保證網絡信息安全的重要措施。但其在應用中對病毒或黑客入侵的阻止并非萬能，需同其他防護措施共同配合。在入侵檢測技術方面，其作用在于利用相關硬件軟件實時監測數據流，若發現入侵數據可能對網絡安全造成威脅將采取相應的反應動作如禁止啟動或切斷網絡等。在數據加密方面，主要對傳輸與存儲的數據進行加密，常用到加密鑰匙的方式實現防止數據外泄與竊取的目標。另外在VPN技術應用方面，其結合訪問控制與加密措施，保證數據僅在可信公共信道中進行傳輸。綜合來看，網絡信息的安全很難通過其中一種技術手段實現，即使現階段比較前沿的如PKI關鍵技術或防毒墻等，應用中都需配有其他輔技術，因此需構建更為有效的安全管理體系勢在必行。

2網絡信息安全存在的主要風險問題

現階段網絡信息安全的主要風險可具體細化為：①從網絡層面。包括傳輸數據時存在的被篡改或竊取情況、網絡邊界方面的風險、過于單一的入侵檢測手段以及審計系統的設計不完善等。②從系統層面。大多操作系統以及軟件程序等本身在設計過程中便存在較多漏洞，若在使用中忽視對其進行定期更新與漏洞修復，很容易使系統安全受到木馬病毒威脅。③從應用層面。其存在的信息安全問題主要體現在用戶進行業務信息提交過程中可能被竊聽或篡改、內網與外網交互使用為不法分子創造入侵條件等方面。④從管理層面。許多機關單位在網絡安全風險管理制度方面缺乏一定的實效性，且存在設備通用、內外網混用等問題，許多如外部訪問或訪問權限等方面的設計并不嚴格，不利于網絡信息安全性的提高。⑤從人員角度。網絡安全得以保障關鍵在于相關人員是否具備相關的網絡安全技術與安全技術，無論安全意識的缺失或技術能力不足都可能帶來一定的安全風險。

3管理體系的具體構建思路

針對現行網絡信息安全的相關防護技術與實際存在的安全威脅問題，在構建安全管理體系過程中主要可從兩方面進行，包括技術應用與網絡安全管理兩方面，只有保證對二者采取相應的防御戰略才可實現信息安全保障的目標。

（1）安全技術的應用

對于現行技術層面中存在的安全風險問題，除前文中提及的防火墻與入侵檢測技術外，還需在系統設計中采取以下幾方面技術策略：①注重聯動方式與具體配置。在將防火墻與入侵檢測系統實現聯動的基礎上，還需保證防火墻與IDS進行聯動，這樣可相互配合對攻擊行為進行阻斷，但需注意IDS控制臺應在網中進行部署，或在其他區域SOC區中設置。②引入防病毒系統。對于現行多樣化的病毒形式很難利用簡單的病毒軟件消除病毒，應在防毒系統應用中保證其不會占用過多的系統資源，且對核心服務器具有極強的防毒能力，如現階段常用的OfficeScan，在防治病毒方面具有良好的效果。③審計系統的完善。在系統內部網絡中應進行安全審計系統的設計，保證其能夠對相關的網絡行為、設備運行狀態進行綜合審計，及時找出存在的隱患。另外，設計過程中還可引入其他方面的技術措施如漏洞掃描、過濾網關或終端系統等方面，對網絡信息安全性的提高可起到重要作用。

（2）網絡安全管理工作

管權管理體系構建中除考慮引入相應的技術防護措施外，還需注重網絡信息管理水平的提高。注重相關人員網絡技術水平以及安全意識的提高，可通過相關的培訓工作使人員正確認識木馬病毒、網絡攻擊行為等。同時在安全管理制度方面應不斷完善，如機房管理制度、操作管理制度以及技術保障制度等，以此確保應對風險的能力得以增強。

4結論

第9篇：網絡安全風險管理范文

【關鍵詞】技術風險 業務風險 人為因素形成的風險

一、前言

網絡金融是信息技術特別是互聯網技術飛速發展的產物，是適應電子商務發展需要而產生的網絡時代的金融運行模式，它提高了金融服務的效率。但是在網絡金融用戶享受便捷服務的同時，網絡金融的安全問題也相伴而來。隨著網絡金融的發展而產生的新的風險，使金融安全與監管面臨新的挑戰。

二、網絡金融還面臨著技術風險、業務風險和人為因素形成的風險

網絡金融的經營理念、經營模式與傳統金融行業不完全相同，使得網絡金融除了具有傳統金融業經營過程中存在的流動性風險、信用風險、利率風險和匯率風險等之外，由于網絡金融涉及通訊、設備和管理等許多方面，因此網絡金融還面臨著技術風險、業務風險和人為因素形成的風險。

網絡金融技術涉及的風險包括技術安全風險和技術選擇風險。技術安全風險來自三個方面：一是計算機系統停機、磁盤列傳破壞等不確定性因素；二是來自網絡外部的數字攻擊；三是計算機病毒破壞等因素。技術選擇風險是指網絡金融業務的開展必須選擇一種成熟的技術解決方案來支撐，否則可能因技術選擇的失誤使整個系統面臨安全風險。近年來，黑客的攻擊活動正以每年10倍的速度增長，計算機網絡病毒通過網絡進行擴散與傳播是單機的幾十倍，一旦某個程序被感染，則整臺機器、整個網絡也很快被感染，破壞力極大。在傳統金融中，安全風險可能只是帶來局部損失，但在網絡金融中，安全技術風險會波及整個網絡。

業務風險包括信用風險、支付和結算風險及法律風險。信用風險是指網絡金融交易者在合約到期日不完全履行期義務的風險。網絡金融服務方式的虛擬性使交易、支付的雙方互不見面，只是通過網絡發生聯系，這是金融機構對交易者的身份、交易的真實性驗證的難度加大，增大了交易者之間在身份確認、信用評價方面的信息不對稱，從而增大了信用風險。對支付和結算風險來說，由于網絡金融服務方式的虛擬性，金融機構的經營活動可突破時空局限，打破傳統的金融分支機構及業務網點的地域限制；并且能向客戶提供全天候、全方位的實時服務，從而使網絡金融的經營者或客戶通過各自的計算機終端就能隨時與任何一家客戶或金融機構辦理證券投資、保險、信貸、期貨交易等金融業務。這是網絡金融業務環境在地域具有很大的開放性，并導致網絡金融中支付、結算系統的國際化，從而大大提高了結算風險。法律風險是指由于網絡金融立法相對落后和模糊而導致的交易風險。目前的金融立法框架主要是針對傳統金融業務，缺少有關網絡金融的配套法規，如對客戶個人信息的保護、信用卡使用的規范等，出現了以網絡為手段的犯罪，如網上交易詐騙、網絡信用卡欺詐、個人信息被竊取、網絡洗錢等。

人為因素形成的風險是指由于部分工作人員安全觀念淡薄，安全管理制度不能真正落實，缺乏應有的網絡安全意識，認識不到執行制度的緊迫性和重要性，導致網絡金融風險的產生。如在網絡金融交易沒有就安全預防問題向客戶進行足夠的宣傳教育，客戶在非安全的電子傳送管道中使用個人信息（如信用卡密碼，銀行卡號），客戶的賬戶就有可能被犯罪分子利用。

三、網絡銀行的發展及產生的特殊風險使得對其的監管復雜化

監管當局不僅需要參照傳統銀行的監管標準進行一般的風險監管而且還要根據網絡金融的特殊性進行技術性安全與管理安全的監管。對網絡金融的監管，可以從網絡金融風險產生的原因及種類方面進行思考分析，制定出符合其特殊性的相應的監管措施。

在我國，經濟信息化程度不高，網絡金融的發展尚處于起步階段，因此我國對網絡金融業務的監管應采取慎重態度，既不限制它的發展又不能放棄監管，通過適當的金融監管，促進我國網絡金融更好更快地發展。具體措施如下：

（1）完善現行法律，補充適用于網絡金融業務的相關法律條文。既要對現有法律不適應的部分進行修訂和補充，又要對未來發展情況進行預測，分析可能出現的問題，進行先行立法保護，減少網絡犯罪的發生。

（2）結合網絡金融業務的特點，完善現行業務營運監管辦法。要從業務經營的合法合規性、資本充足性、資產質量、流動性、盈利能力、管理水平和內部控制等方面根據網絡化條件來適時進行調整、補充，構造一個符合網絡金融生存、發展的金融監管指標體系和操作系統。

（3）督促開展網絡金融業務的金融機構強化內部管理，從內控制度入手降低金融風險。以中國工商銀行為例，中國工商銀行建立了公司治理架構及風險監控體系，通過一體化風險管理規劃、風險審議和風險監督流程，監控所有業務的各類風險。在全行范圍內建立健全了監控流程，采用不同方法達到風險管理和風險承擔之間的平衡。這些監控流程與方法，圍繞不同的業務領域、地域分行、垂直支持單位（包括風險管理、財務規劃信息技術系統、人力資源、合規與法律事務）和內部審計而設計。同時，董事會通過相關委員會對全行風險管理職能實施整體監督。

（4）加強金融監管部門的技術力量，提高監管水平，不斷完善和提高網絡安全技術，如防火墻技術，加密技術。防火墻技術是將內部私有網絡和外部網絡進行隔離，能防止部分外部攻擊者對內部網絡的入侵。而加密是實現信息保密的重要手段。

（5）密切與其他國家監管機構的聯系，提高網絡金融的監管效率。加強與網絡金融發展較好的國家之間的交流，引進先進的監管理念、技術和人才。

參考文獻：

[1]張銘洪，張麗芳主編.網絡金融學[M].科學出版社出版，2000.

[2]陳進主編.網絡金融服務[M].清華大學出版社出版，2011.