信息安全事件報告精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全事件報告主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全事件報告范文

為了保證本單位網絡暢通，安全運行，保證網絡信息安全，特制定**縣財政局網絡安應急制度。

一、貫徹執行《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規；落實貫徹公安部門和省教育廳關網絡和信息安全管理的有關文件精神，堅持積極防御、綜合防范的方針，本著以防為主、注重應急工作原則，預防和控制風險，在發生信息安全事故或事件時最大程度地減少損失，盡快使網絡和系統恢復正常，做好網絡和信息安全保障工作。

二、信息網絡安全事件定義 ：

1、網絡突然發生中斷，如停電、線路故障、網絡通信設備損壞等。

2、單位網站受到黑客攻擊，主頁被惡意篡改、交互式欄目里發表有煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度；煽動抗拒、破壞憲法和國家法律、行政法規的實施；捏造或者歪曲事實，故意散布謠言，擾亂秩序；破壞社會穩定的信息及損害國家、學校聲譽和穩定的謠言等。

3、單位內網絡服務器及其他服務器被非法入侵，服務器上的數據被非法拷貝、修改、刪除，發生泄密事件。

三、設置網上應急小組，組長由單位有關領導擔任，成員由信息中心人員組成。采取統一管理體制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法。

四、單位網絡信息工作

1、加強網絡信息審查工作，若發現單位主頁被惡意更改，應立即停止主頁服務并恢復正確內容，同時檢查分析被更改的原因，在被更改的原因找到并排除之前，不得重新開放主頁服務。

2、信息服務，必須落實責任人，實行先審后發，并具備相應的安全防范措施（如：日志留存、安全認證、實時監控、防黑客、防病毒等）。建立有效的網絡防病毒工作機制，及時做好防病毒軟件的網上升級，保證病毒庫的及時更新。

五、信息中心對單位網實施24小時值班責任制，開通值班電話，保證與上級主管部門、相關網絡部門和當地公安機關的熱線聯系。若發現異常應立即向應急小組及有關部門、上級領導報告。

六、加強突發事件的快速反應。單位信息中心具體負責相應的網絡安全和信息安全工作，對突發的信息網絡安全事件應做到：

（1）及時發現、及時報告，在發現后及時向應急小組及上一級領導報告。 （2）保護現場，立即與網絡隔離，防止影響擴大。 （3）及時取證，分析、查找原因。 （4）消除有害信息，防止進一步傳播，將事件的影響降到最低。 （5）在處置有害信息的過程中，任何單位和個人不得保留、貯存、散布、傳播所發現的有害信息。

七、做好準備，加強防范。信息中心成員對相應工作要有應急準備。針對網絡存在的安全隱患和出現的問題，及時提出整治方案并具體落實到位，創造良好的網絡環境。

八、加強網絡用戶的法律意識和網絡安全意識教育，提高其安全意識和防范能力；凈化網絡環境，嚴禁用于上網瀏覽與工作無關的網站。

九、做好網絡機房及戶外網絡設備的防火、防盜竊、防雷擊、防鼠害等工作。若發生事故，應立即組織人員自救，并報警。

十、網絡安全事件報告與處置。

事件發生并得到確認后，有關人員應立即將情況報告有關領導，由領導指揮處理網絡安全事件。應及時向當地公安機關報案。阻斷網絡連接，進行現場保護，協助調查取證和系統恢復等工作，有關違法事件移交公安機關處理。

第2篇：信息安全事件報告范文

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-914X（2016）19-0361-01

1 引言

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

在等級保護工作中我們都能做到“明確重點、突出重點、保護重點”，將有限的財力、物力、人力投入到重要信息系統的安全保護中去。對重要的信息系統我們在技術上都能按照等級保護要求部署相關安全設備，但是，僅僅這樣就做好安全等級保護工作了么？實際上安全管理在保障信息系統的安全中發揮著重要的作用，俗話稱“三分技術七分管理”，所以無論是信息系統運行使用單位還是信息系統安全測評人員都不應該忽視安全管理在信息系統安全中的作用。

在實際工作中，我們往往能看到一些這樣的情況，如領導不重視，安全措施、安全制度不落實等非技術問題造成的安全事故。實際上這些問題是可以提前預測和預防的，如果依照國家規定開展信息安全等級保護的測評和整改，那么泄密事件就有可能避免。

做好非技術保護工作主要需要做好以下幾點：

2 安全管理制度

安全管理制度內容包括管理制度、制定和、評審和修訂 3 個部分。管理制度在整個系統中屬于大綱，安全管理政策和制度的制定與正確實施對信息系統安全管理起著非常重要的作用，他告訴我們那些行為是屬于安全管理禁止的行為，不僅促使全體員工參與到保障信息安全的行動中來，而且能有效地降低由于人為操作失誤所造成的對系統安全的損害。通過制定安全管理制度，能夠使責權明確，保證工作的規范性和可操作性。管理制度的建立不僅包含了傳統管理方式的特點，也融入了信息安全的特性。

存在問題：1）多數單位的管理制度不完善，缺乏頂層的安全方針、安全策略等；2）只建立了安全管理制度，對于重要操作的操作規程缺失；3）管理制度的執行情況不理想，執行記錄缺失。

解決辦法：

建立完善的管理制度，補充、制訂缺少的各項安全管理制度，完善已有安全管理制度文檔，逐步形成由安全政策、管理制度、操作規程等構成的、全面的信息安全管理制度體系。加強對員工的培訓，注重安全意識的教育和日常操作行為規范性教育，并建立內審和管理評審制度，定期對安全管理制度的執行情況、適用性等進行審查。

3 安全管理機構

好的制度還必須執行才能起到有效的作用，安全管理機構內容包括崗位設置、人員配備、授權和審批、溝通和合作4個部分。安全管理的重要事實條件就是建立一個統一指揮、協調有序、組織有力的安全管理機構，這是信息安全管理得以實施、推廣的基礎。對建立完善的安全組織機構、明確人員的安全職責和權限、完善安全溝通機制和安全檢查流程等進行規范。通過構建從單位最高管理層到執行管理層再到具體業務運營層的組織體系，明確各個崗位的安全職責，為安全管理提供組織上的保證。

存在問題：對技術人員和操作人員的日常行為進行規范管理，造成技術和管理分離，技術不能發揮最大的作用。

解決辦法：建立安全管理機構制度，規范人員管理，增強安全知識、意識培訓安全職責與人員崗位應更好地融合在一起，可在設置安全管理機構的基礎上，設定安全管理員崗位，明確安全管理 員職責，規定各運維人員的安全職責和義務。對關鍵崗位人員、重要部門的員工定期開展信息安全意識教育，加強人員安全意識和安全技能培訓，逐步形成群防群治的工作機制，使安全管理融入到日常工作中。

4 人員安全管理

人員安全管理內容包括人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問管理5個部分。

人是信息安全中最關鍵的因素，信息系統整個生命周期都需要人來參與，包括設計人員、實施人員、管理人員、維護人員和系統用戶等。如果這些參與人員的安全問題沒有得到很好的解決，任何一個信息系統都不可能達到真正的安全。因此需要對人員的招聘、入職、轉 / 離崗、培訓、考核等階段提出相應的安全要求，并將外部人員訪問管理進行了明確的規定。只有對信息系統相關人員實施科學、完善的管理，才有可能降低人為操作失誤所帶來的風險。

存在問題：人員分配、管理不完善，而運維人員則更專注于設備和系統的正常運行，導致安全管理活動難以系統、持續地開展，不能作為常態工作。

解決辦法：建立人員安全管理制度，加強對外包人員的安全管理，簽署保密協議，制定外包人員管理制度。組織外包人員學習內部的相關安全管理規定，進行安全技能和安全意識培訓。制定重要活動的審批流程，加強訪問控制及監督等方面的管理。

5 系統建設管理

信息系統建設管理內容包括系統定級、安全方案設計、產品采購、自行軟件開發、外包軟件開發、工程實施、測試驗收、 系統交付、系統備案、等級測評、安全服務商選擇11個部分。每個部分都涉及多個活動，只有對這些活動實施科學和完善的管理，才能保證系統建設的進度和質量。

存在問題：1）外包軟件開發沒有根據需求檢測軟件質量，沒有進行軟件代碼安全檢測；2）很多系統沒有在項目驗收階段沒有第三方安全性驗收測試報告。

解決辦法：建立系統建設管理制度，在允許的條件下，對軟件改造，增強軟件的安全功能，開展第三方安全符合性測試。

6 系統運維管理

信息系統建設完成投入運行之后，接下來就是如何維護和管理信息系統。系統運維管理內容包括環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理13個部分，基本覆蓋了各項日常運維活動。對系統實施有效、完善的維護管理是保證系統運行階段安全的基礎。這些要求能夠保證運維工作全面、有序地開展。

存在問題：1）設備配置管理不規范，沒有相關的制度或流程 ；2）沒有安全事件報告和處置制度，沒有制定相應的處置流程 ；3）系統沒有建立應急預案，應急演練不充分 ；4）對商用密碼和電子認證、數字簽名的認識和管理不到位。

解決辦法：建立系統運維管理制度，完善安全事件報告和處置制度以及對商用密碼和電子認證、數字簽名的認識和管理，加強應急預案制度的管理與執行，建立規范的制度或流程

第3篇：信息安全事件報告范文

據悉，此項規定同重慶市公安局7月6日公布實施的《關于加強國際互聯網備案管理的通告》（下稱《通告》）不無關系。根據《通告》，個人上網應當進行國際聯網備案，包括通過撥號或專線等方式上網的個人用戶。其中，個人用戶備案由其互聯網接入服務提供單位代為辦理，并應當如實填寫《個人用戶備案表》。

《通告》公布后立即在社會上引起極大關注。不少民眾將其簡單理解為“個人在家中上網也要向公安備案”，并對警方行為提出質疑，認為其涉嫌侵犯了公民的隱私權。一時輿論嘩然，在網絡上的聲討尤為激烈。

重慶警方迅速予以回應，解釋稱，市民在申請上網業務時進行備案登記，實行上網實名制，是一種通行做法，并非要監控網民每天何時上網、上哪些網，不會給網絡用戶造成困擾。警方還強調，以往個人用戶到電信、移動等互聯網接入服務提供單位辦理上網手續時，都要填寫由公安部門監制的個人身份資料，實際上就是一種備案。這次只不過是對以前備案加以明確，并要求以前由互聯網接入服務提供單位保存的個人用戶資料，要提交公安機關備案。

1997年公安部《計算機信息網絡國際聯網安全保護管理辦法》，亦要求個人上網進行備案。北京市公安局1996年的《關于加強計算機信息系統國際聯網備案管理的通告》中規定，“申請與國際聯網計算機信息系統的使用單位和個人，應當在網絡正式聯通后三十日內到備案機關辦理備案手續”。因此，“個人上網備案”并非重慶市公安局首創。

據統計，截至今年6月30日，我國網站總數達78.84萬個，網民人數達1.23億。在2億中小學生中，上網學生已達3000萬。與之相伴，網絡與信息安全問題也日益突出。從2002年到2005年僅四年間，我國有關部門接到的網絡安全事件報告已從1761件猛增到12.3473萬件，日均超過338件。網絡犯罪每年也以近千件的速度增長。這也是重慶《通告》出臺的一個重要背景。

第4篇：信息安全事件報告范文

近年來，信息技術在金融業廣泛應用并日漸深入，正在改變著支付與結算、資金融通與轉移、風險管理、信息查詢等金融基本功能的實現方式，金融業對信息技術的依賴程度日益提高，金融信息系統的開放性進一步增強，信息安全保障難度加大，給我國金融業信息安全管理帶來新的挑戰，同時也給人民銀行在“十二五”時期履行好金融業信息安全管理職能帶來新的考驗。本文以維護金融穩定特別是維護金融業信息安全為視角，以西雙版納州轄內銀行業金融機構為例，對全州金融業信息安全狀況進行調查分析，力求為基層人民銀行更好地履行金融業信息安全管理職能提供決策參考。

一、西雙版納州金融業信息化發展現狀

近年來，隨著國家繼續實施西部大開發戰略，實施把云南建設成為中國面向西南開放的“橋頭堡”戰略，隨著中國-東盟自由貿易區建成和瀾滄江-湄公河次區域合作不斷深入，西雙版納以生物多樣性為特點的自然資源優勢和以毗鄰東南亞為特征的區位條件優勢逐漸顯現?！笆晃濉逼陂g，西雙版納州經濟與金融良性互動，貨幣資本與實體經濟比翼雙飛，全州金融業實現歷史性的新跨越，全州金融組織體系不斷健全，全面消除了金融服務機構空白鄉鎮；金融機構存貸款余額實現翻番，金融機構以強勁地信貸資金投入支撐了全州經濟快速發展。截止2010年末，全州有10家銀行業，共有金融機構營業網點137個、從業人員1407人；全州金融機構各項人民幣存款余額256.88億元，比上年末增長27.22%，全年累計增加存款54.97億元，年度存款增量創歷史新高；全州金融機構各項貸款余額145.29億元，比上年末增長20.92%，全年累計增加貸款25.14億元，年度貸款增量創歷史新高。金融業快速發展的同時，也給人民銀行履行金融穩定職能特別是履行金融信息安全管理職能帶來了新的挑戰。

據調查顯示，隨著金融業的快速發展，轄內各金融機構信息化建設水平得到了持續改進和提高，初步建成了規范、方便、高效的信息化服務體系，從調查情況看，目前西雙版納州金融業信息安全狀況總體良好，主要表現為：

――信息安全組織機構健全。近年來，全州各金融機構逐年加強對金融信息安全的重視，現場調查顯示，目前除小額貸款公司主要依靠傳統手工方式開展業務外，其他金融機構均設置有科技部門或科技崗位，機構及崗位職責明確，相關人員對金融信息安全形勢及自身的信息安全管理情況把握比較準確，能夠較好的履行信息安全管理職責，基本建立起一套較為完備的信息安全工作組織體系，為全州金融信息安全管理工作的開展提供了組織保障。

――信息安全管理水平穩步提高。一是各金融機構都建立相應信息安全管理制度，部分金融機構還高度重視對干部職工的信息安全教育，制定有相應的信息安全獎懲措施，提高了信息安全思想防線；二是信息化的快速發展助推信息安全工作的持續進步，特別是以綜合業務系統整合、數據集中為主要特征的銀行信息化發展到了一個新的階段，總體看，各金融機構基本都建成了較為成熟的信息化支撐保障平臺，金融業務數據全部實現省級以上的集中，地市分支機構基本無數據和相應的服務器設備，金融業務數據和辦公數據全部實現網絡物理隔離，金融業務數據安全傳輸可控水平進一步增強。

二、西雙版納州金融業信息化發展及信息安全管理存在的主要問題

調查顯示，盡管西雙版納州金融業信息安全管理水平在近年得到了較大提高，建立起初步的信息安全管理體系，但也仍然存在一些亟待解決的問題，各金融機構信息化發展中對信息安全的整體解決方案考慮不夠，存在不同程度的管理缺陷，制約了管理效率的提高。部分大銀行和新興中小金融機構，由于信息化建設起步較晚，信息化服務和信息安全保障水平仍較低，整個金融業呈現出“信息化建設及安全保障能力差異性大”的特點，金融業的信息安全保障還面臨諸多問題。

（一）金融業信息化發展及安全管理水平差異明顯，行業監管難度較大

調查發現，金融機構地市分支機構沒有信息化建設的自主規劃及建設權限，各金融機構的信息化建設主要依靠其總部或省級機構進行統一規劃和組織實施，各金融機構的信息化戰略自成體系、差異較大，主要體現在數據集中層次和系統整合程度差異明顯，網絡架構及網絡保障水平、ATM設備及客戶端安全監控管理水平參差不齊，其中以中國銀行、建設銀行等為代表的部分國有大型商業銀行目前的信息化建設已取得較好成效，無論是在系統整合、數據集中乃至網絡建設等方面都已達到了較高的水平，處于相對穩定的狀態。而另一方面，人民銀行及部分大型國有商業銀行的信息化仍處于大規模建設之中，人民銀行目前的數據集中及系統整合工作仍處于初級階段，中國農業銀行也正處于大規模的信息化建設進程之中，郵政儲蓄銀行目前還與中國郵政共用網絡設備及線路，云南省農村信用聯社目前還未建立災難備份中心，其他中小金融機構由于其信息化建設起步晚，在人員教育培訓、安全意識等方面相對薄弱，無論是在信息化建設還是在安全管理方面都還處于起步階段，信息化支持金融業務發展的能力相對較弱。

（二）缺乏行業級信息化及安全管理標準，信息安全監管面臨操作難題

與金融業信息化的高速發展相比，金融業信息安全的指導、監管工作還需進一步加強。人民銀行在金融信息化規劃、信息標準、信息安全等諸多方面承擔著重要職責，特別是在面對高科技企業及綜合服務機構巨大沖擊的情況下，金融業必然要依靠信息化以實現從傳統金融機構向現代金融服務業的轉變，金融信息化和信息安全管理將是一個動態發展變化的過程，而從當前情況看，人民銀行對金融機構信息安全工作的指導和監管，還處于初級探索階段，特別是人民銀行各分支機構對各金融機構信息安全的指導和監管目標還缺乏完整全面的認識，缺乏監督管理的依據標準及相應的監管操作實施細則，加之相應的人才隊伍儲備不足，從而導致監管措施不到位，監管手段缺失，致使基層人民銀行對金融業信息安全監管缺乏主動性，金融機構對人民銀行履行金融信息安全管理職能的認同感不高，監管效果不明顯。

（三）信息安全人員隊伍素質與信息安全形勢發展需要存在差距

從科技人員配備來看，目前轄內除農行由于機構網點較多而配備有一定數量科技人員以外，其他金融機構基本僅有一名兼職科技人員，整體看各金融機構的基層科技人員定位正處于不斷弱化的趨勢，絕大部分金融機構的信息安全管理職能已逐步上收，風險點逐步上移，對于信息化建設水平較高的金融機構而言，基層金融機構科技工作及信息安全工作的淡化是信息化建設進步的必然趨勢，而對于那些還處于信息化建設快速發展的金融機構乃至中小金融機構而言，科技人員配備不足必然會造成一定的信息安全風險隱患。

從人民銀行的信息安全隊伍建設來看，當前人民銀行自身的信息化建設還處于蓬勃發展中，系統整合、數據集中仍處于不斷探索過程，信息化基礎設施仍較為薄弱，隨著人民銀行自身信息安全管理要求的逐步提高，人民銀行自身的信息安全管理也面臨巨大挑戰，而從履行金融業信息安全的角度來看，由于金融業信息化發展差異較大、涉及面廣，對人民銀行的信息安全管理隊伍建設提出了更高的要求，而當前地市人民銀行僅有一名兼職的信息安全管理人員，無論從數量還是素質上都難以適應當前金融業的信息安全管理要求。

三、推動金融業信息安全管理的意見和建議

在新形勢下如何指導和協調金融業信息化建設和信息安全管理，是人民銀行需要認真思考的問題。金融業信息安全管理是防范和化解金融風險、維護金融穩定工作的重要組成部分，要依靠法律、管理機制、技術保障等多方面相互配合，形成一個完整的安全保障體系，從根本上降低安全運行風險，形成金融業安全穩定的良好局面。

（一）加強調查研究，明確金融信息安全工作的目標和思路

人民銀行科技部門要認清形勢、順應發展、深入思考各層級人民銀行分支機構在金融信息化建設和信息安全管理中的作用地位，面對金融業信息化發展及信息安全管理的巨大差異，人民銀行應進一步加強調查研究，一方面要加強對人民銀行基層行的調查研究，切實處理好基層人民銀行信息化建設與人民銀行職責履行的關系，不斷優化人民銀行網絡及系統架構，進一步加快基層行業務、辦公、安全運維類系統的整合和集中，更加關注信息安全的整體解決方案，找準基層央行內部信息安全工作的重點。其次是要加強對地方法人金融機構及中小金融機構信息化和信息安全的研究，切實掌握金融業信息化發展及信息安全管理現狀，充分借鑒國內外成功經驗，不斷探索傳統金融行業向現代金融服務業轉型的有效途徑，深入分析研究金融業信息安全風險隱患，進一步明確金融信息化及信息安全管理工作的目標和思路，明確金融業信息化技術架構和管理框架，從而為有針對性地制定對金融業的信息化及信息安全發展規劃指引及制度保障體系打下基礎。

（二）加快構筑金融信息安全工作的制度保障體系

一是要在充分調查研究的基礎上，加快金融業信息化及安全管理的制度體系建設，明確金融信息安全管理工作中人民銀行及各金融機構的職責權利，特別是要明確人民銀行各級分支機構的職責要求，其中總分行應側重于制定標準和對全國性金融機構的監督管理，人民銀行基層分支機構應加強對地方法人金融機構及中小金融機構的服務指導，逐步構建科學合理的組織分工體系，確實發揮央行在履行金融信息安全管理指導、標準化戰略制定等方面的重要作用，借鑒國內外成功經驗，盡快出臺金融業信息化發展及信息安全建設規劃指引，加強信息化規劃指導和管理，穩步推進系統整合、數據集中、災備中心建設、銀行卡聯網通用、網上銀行及第三方支付平臺安全控制規范、外包服務管理、客戶端安全控制規范、系統等級保護等一系列基礎工作的深入開展，明確金融業信息化的技術架構體系和軟硬件選型要求，穩步減少對國外技術和產品的依賴，逐步構筑高效、安全的金融信息化服務保障體系。二是要結合金融業的不同實際，區別對待，盡快出臺金融業信息安全檢查管理辦法、金融信息安全事件報告制度、金融信息安全事件通報制度、接入人民銀行信息系統管理辦法，明確標準要求和操作程序，確實增強信息安全管理工作的可操作性，進一步推動信息安全工作的長足發展。

（三）努力打造金融業信息安全管理工作平臺

一是要努力營造金融業信息安全管理工作履職氛圍。加大宣傳培訓，切實把金融信息安全工作放到維護金融穩定的高度來抓，加大對金融信息安全事件的查處和通報力度，不斷增強金融機構對信息安全工作的重視程度，使其進一步認清人民銀行在金融信息安全管理監督工作中的重要作用，營造良好的金融信息安全履職環境。二是要搭建金融信息安全工作溝通協調機制，通過建立定期聯席會議制度、建設信息安全監督管理系統、暢通安全信息交互溝通渠道、明確信息安全事件應急管理處置流程等多種手段，不斷增強金融信息安全管理效率，促進信息安全管理監督工作的順利開展。

（四）重視信息安全人才隊伍培養，增強信息安全保障能力

面對金融業信息化發展及安全管理現狀的巨大差異，人民銀行務必高度重視信息安全工作隊伍的培養工作，確實打造一支業務素質高、工作能力強的信息安全工作隊伍，為人民銀行確實履行好金融業信息安全管理職責做好人才智力保障；各金融機構也應按照金融機構信息化發展及信息安全建設規劃要求，配備一定數量的信息安全管理人員，減少在人員上對外部或對上級的過度依賴，增強自主運行維護管理能力、提高對大集中之后分散風險的處置能力，切實保障信息安全工作的連續性和穩定性。

第5篇：信息安全事件報告范文

關鍵詞：校園網；網絡安全；網絡管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校園網絡作為信息化校園的重要組成部分，在全國各高校大規模展開，已近十年的歷程。校園網的建設重點已從最初單純的網絡硬件鋪設，簡單的Internet接入，小規模離散的應用，發展到大規模成系統的網絡應用。近年隨著網絡技術的快速發展，網絡應用日益普及，學校的教學和管理對校園網的依賴程度不斷加大。網絡的脆弱性，使得依賴于網絡的教學與管理面臨著安全威脅，網絡安全成了校園網建設的焦點問題。構建安全的校園網并不是簡單的堆砌網絡安全技術或安全產品，它不僅涉及到技術層面，也涉及到非技術層面。本文似從技術和管理兩個層面來探討如何構建安全的校園網絡系統。

2 校園網的特點及安全現狀分析

校園網有著自己鮮明的特點：一是大規模、高速網絡環境，主要表現為用戶數據龐大、地域分布的多校區網絡和快速局域網技術；二是復雜的應用和業務類型，主要表現為公共服務、科研應用、教學輔助、學生管理、行政管理、教學管理和普通上網應用等；三是活躍的、不同使用水平的網絡用戶群體，即有普通的用戶群、又有管理用戶群，還有網絡相關專業的學生用戶群，他們網絡應用目的不同，對網絡的熟悉程度不同；三是大量的非正版軟件和電子資源；五是開放的環境和寬松的安全管理體制；六有限的資金投入。這些特點使得校園網既不像Internet那樣毫無限制，又不像電子商務企業那樣為強化安全與保密而嚴加管理和控制。

校園網的上述特點，使得校園網一方面要面臨一般企業網絡所必須面對的各種安全威脅，如：普遍存在的計算機系統漏洞產生的各種安全隱患；計算機蠕蟲、木馬、病毒泛濫，對用戶主機、應用系統和網絡運行構成的嚴重威脅；外來的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網又不得不應付來自內部的安全威脅，如內部用戶的攻擊行為，對網絡資源的濫用行為等等。

3 校園網安全需求分析

在校園網的安全設計中，必須考慮到校園網的上述特殊性。不能將整個校園網作為單一的安全區域，必須根據不同的應用類型、不同的服務對象將校園網劃分為具有不同安全等級的區域，并針對這些區域進行專門的安全設計。一般來說，我們可以將校園網分為：學生網絡、教學管理網絡、公共應用服務網絡、網絡管理系統和分校區網絡等幾個部分。下面對這些網絡的安全需求進行分析。

3.1 Internet連通性的安全需求

Internet連通性是校園網最重要的功能，一方面要滿足內部用戶的Internet訪問要求，另一方面又要對外Web服務、電子郵件服務和FTP服務等公共服務。而Internet卻是攻擊和威脅的重要來源，阻斷所有不能接受的訪問流量是最基本的安全需求，同時保持對來自Internet的網絡攻擊的檢測能力，是防范求知攻擊的必然要求。與內部用戶的上網需求相比，校網園對外的公共服務應該受到更好的安全保護，在設計時必須給予重點考慮。

3.2 學生網絡的安全需求

學生網絡兩大特點：一是用戶數量多數據流量大，學生是P2P(peer-to-peer)應用的熱衷者，而P2P應用則是網絡帶寬的“殺手”，2006年我院對擁有1100多用戶的學生網絡進行了一項測試，使用一款“P2P終結者”軟件來屏蔽P2P數據包，結果網絡出口總流量驟降一半，據此可以估算有50%網絡帶寬被P2P軟件所消耗。事實上這個估算是保守的，有研究表明，P2P流量取代了HTTP流量成為Internet流量的主體，占Internet中總流量的60%~70%，占最后一公里接入網流量的80%[1]；二是用戶類型復雜，2007年我院的一次問卷調查表明，85%以上的學生缺乏網絡安全意識，近5%的學生用戶偶爾嘗試過網絡攻擊，近0.2%的學生在研究網絡攻擊技術，他們是內部攻擊的主要來源，也是最主要的病毒源和木馬源。因此在進行網絡安全考慮時，首先要對來自學生網絡的帶寬進行限制，以保證網絡資源的合理分配；其次要約束學生網絡對校園網關鍵服務的訪問，盡最大努力過濾其運行特定應用程序的能力；同時還需要加強對網絡流量嗅探和中間人攻擊(MITM)的防范能力，以減少學生相互間的攻擊。

3.3 教學管理網絡的安全需求

鑒于教學管理數據的安全性需求高，教學管理網絡與學生網絡絕對不能位于同一個信任級別，應該有更高的安全需求，給予保護并與校園網絡的其他部分進行隔離。主要有以下三項安全措施，一是設置防火墻實施訪問控制；二是設置入侵檢測系統進行網絡安全監測；三是強化論證，雖然加密所有教學管理應用程序太過繁重，但是對于某些關鍵系統（會計和學生記錄）應該要求強認證。

3.4 網絡管理系統的安全需求

網絡管理系統負責整個校園網的通暢和安全管理工作，確保網絡管理系統的安全是非常重要的工作，因此應該設置防火墻將管理網絡與校園網的其它部分進行隔離加以保護。

3.5 分校區網絡連接的安全需求

分校區和遠程用戶都需要直接訪問校園網內部的服務，出于資金考慮，多數的分校網絡都沒有專線連通，部分學校嘗試無線通信，實際情況看來，其保密性和穩定性都不高。比較經濟實用的解決方案就是，使用虛擬專用網（VPN）技術穿過廣域網(WAN)。

4 校園網結構的安全設計

基于上述校園網安全的分析，我們可以設計出如圖1所示的安全校園網絡系統。

4.1 校園網邊界安全設計

Internet接入是校園網最基本的業務需求，與Internet相比，校園網內部自然是一塊相對單純的可信任安全區域，為保證校園網內部的安全性和校園網公共服務的可訪問性，需在校園網邊界進行如下安全設置。

一是設置防火墻：防火墻首先要提供入網級的訪問控制功能，以有效地阻斷來自Internet的非法訪問；其次要提供虛擬專用網（VPN）功能，借助廣域網實現遠程分校區網絡的安全連接，使得訪問遠程校園網絡，如同訪問本地網絡一個方便安全，在保證安全性的同時還可以節省出專線費用；最后還應具備網絡地址轉換功能（NAT），使得Internet用戶可以訪問校園網內部的公共服務。二是設置AAA認證服務器，提供對用戶身份認證、安全管理、安全責任跟蹤和計費等功能。三是設置網絡入侵檢測系統（NIDS），同時可在邊界路由器上啟用NetFlow功能，以加強對非法入侵和惡意攻擊行為的檢測和發現能力，為網絡管理員提供網絡異常事件的處理能力。

4.2 學生網絡的安全設計

從前面的校園網業務需求的安全性分析可知，校園網內部并非鐵板一塊，不同的業務需求對安全性的要求是不同的，相對來說學生網絡的安全級別最低。針對學生網絡用戶數量龐大、用戶類型的復雜性的特點，主要可采取以下安全措施：一是為保證網絡資源的合理有效分配，必須進行網絡流量限制；二是在交換機處提供必要的第二層安全控制，以減少網絡流量嗅探攻擊，中間人攻擊(Man-in-the-middle-attacks，簡稱:MITM攻擊)；三是在不同學生網段的路由器上設置無狀態ACL，以實現數據過濾。后兩項措施可以緩解學生系統之間的相互攻擊?？傮w上講，學生網絡的安全防護功能是相當弱的，主要的安全防護功能落在了學生主機上，因此必須加強網絡安全教育，提高學生的安全防范意識和能力。但是較低的安全防護設計卻給學生創造了一個相當寬松的網絡環境。

4.3 教學管理網絡和公共服務網絡的安全設計

教學管理網絡和公共服務網絡的服務器中存在著大量敏感的數據，比如說學生成績和學生注冊信息，它們極易受到來自于Internet及學生網絡的攻擊，因此也就提出了更高的安全需求。對教學管理網絡和公共服務網絡的安全設計，相當于在校網絡的基礎上建立起一個安全性更高的內部網絡。其安全設置類似于校園網與Internet之間的安全設計，如添加防火墻進行訪問控制，增加NIDS進行入侵檢測。從圖中可以看到，對學生網絡來說，它有一道防護屏障，而相對于Internet再說，它受到兩道防護屏障的保護。這是一個合理的安全等級層次。

4.4 管理網絡的安全設計

管理網絡看似類似于行政網管，需要使用防火墻進行保護。但是它有完全不同的業務需求，它負責整個網絡的安全管理，要根據各種校園網絡設備的管理需求，設置允許入站和出站的特定連接。因為它的周圍有許多不可信的網絡，在網絡設備與管理網絡進行數據傳送時，必須保證數據的安全保密性，因此數據傳遞過程中的安全要求較高，在數據通信需要使用SSH/SSL等安全通信協議。對于那些不支持SSH/SSL的網絡設置，只能使用如Telnet之類的明文管理協議，在這種缺乏安全協議的情況下，應該限制可訪問Telnet后臺程序的IP地址，以增加這些網絡設備管理的安全性。

5 校園網安全管理

校園網的安全性不僅僅是一個技術問題，還需要安全管理的支持。安全的校園網絡系統是安全技術與安全管理有機結合的整體，它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣，校園網系統的安全強度等于它最薄弱環節的安全強度。經驗表明，得不到足夠重視的網絡安全管理恰恰是校園網安全系統中最薄弱的一個環節。安全專家們則強調網絡安全靠的是“三分技術，七分管理”。

為加強校園網的管理，需要做好以下四項工作：一是觀念的更新，網絡安全不止是技術部門和專業人員的責任，應該得到學校高層的充分重視，需要所有的網絡用戶的共同遵循安全規則；二是建立網絡安全管理機構，明確權力和負責，從組織機構上保障網絡安全管理的有效實施；三是制訂網絡安全管理制度，明確校園網用戶的權利和義務，使用戶共同遵循校園網使用規則；四是建立完善的安全管理及應急響應機制，以對突發性安全事件做出迅速準確的處理，最大限度地減少損失。

安全事件處理機制的建立往往是校園網安全管理的盲區。與國防、金融等機構比起來校園網的安全級別低，應付安全突發事件的重要性并不是太突出。而且在一般情況下，意外事件發生的幾率不高，應付安全突發事件的必要性也往往被忽視。但是100%安全的網絡是不存在的，如果不能對網絡安全事件做出迅速而準確的響應，就有可能造成重大的損失。事實是，歷史上幾次重大的安全突發事件所造成的惡劣影響，使得各國都非常重視緊急事件響應處理。美國國防部于1989年資助卡內基.梅隆大學建立了世界上第一個計算機緊急響應小組CERT（Computer Emergency Response Team）及其協調中心CC(Coordination Center)。CERT/CC的成立標志著信息安全由傳統的靜態保護手段開始轉變為完善的動態防護機制。此后在20世紀90年代，計算機安全應急處理得到了廣泛而深入的研究。在我國，中國計算機教育與科研網(CERNET)于1999年成立計算機緊急事件響應組織(CCERT)，是國內第一個安全事件響應組織；2000年3月，中國計算機網絡應急處理協調中心(CNCERT/CC)成立，該中心在國家因特網應急小組協調辦公室的直接領導下，協調全國范圍內計算機安全事件響應小組的工作，并加強與國際計算機安全組織的交流。

在校園網建設中，借助CERT的理念和研究成果，建立必要的網絡管理和應急響應機制將有利于規范和提高校園網安全管理能力。圖2所示，是一個可行的網絡管理和應急響應機制構建方案，說明如下。

1) 網絡安全的日常管理：在校園網的關鍵部分加強網絡安全的日常管理，使日志檢查、漏洞掃描、系統升級、病毒防御等工作制度化、常規化，盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責任追究制度，強化網絡管理人員的責任心。

2) 網絡安全應急小組：接收并處理來自用戶的安全突發事件，NetFowl等流量分析的異常報告、入侵檢測系統的入侵警告和日常管理中的安全事件報告。通過分析調查，決定采取相應的應急處理措施，如系統隔離、事件跟蹤、漏洞修補、安全策略調整、系統恢復和統計報告等等。同時為廣大用戶提供各種安全服務，如安全咨詢、安全教育和安全工具等等。

6 小結

網絡安全是當前校園網建設和應用的焦點問題，本文從技術和管理層面深入地討論了安全校園網系統的建設問題。在技術層面上，需要根據校園網應用的不同，劃分不同的安全等級區域，并針對各個區域的應用需求進行安全設計；在管理層面上，特別強調建立網絡安全管理及應急響應機制，保障網絡管理的規范化、制度化，提高網絡安全管理能力。

參考文獻：

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.

[2] Convery S.網絡安全體系結構[M].江魁,譯.北京:人民郵電出版社,2005.

[3] 連一峰,戴英俠.計算機應急響應系統體系研究[J].中國科學院研究生院學報,2004,21(2):202-209.

第6篇：信息安全事件報告范文

按照全縣公共安全防控體系建設的要求，初步建立起*縣電力公共安全各類突發事件應急處理機制，使各類應急預案“層次分明、上下一致、分工明確、相互協調”運轉，更加有效地預防控制、最大限度地降低因突發事件引起的人員傷亡、設備損壞、財產損失、不良社會影響，努力實現電力公共安全事故的全面防控，提高全民安全意識，最大限度地維護人民群眾的生命財產安全，為全縣經濟發展和社會穩定提供有力的電力安全保障。

二、指導思想

堅持以科學發展觀為指導，以人為本，著力構建和諧社會，努力提高公眾公共安全意識，實現公共安全事故的全面防范，最大限度預防遏制重特大公共安全事故發生，切實保障人民群眾的生命財產安全和社會穩定，促進全縣經濟社會持續快速發展。

三、組織機構

1、領導機構：成立由縣委常委、縣政府副縣長張璋任組長，縣經委主任劉海清任副組長、縣水利局局長蒲亞平、縣安監局局長曾文、縣公安局副局長劉茂森、縣經委副主任劉沛、縣公安消防大隊大隊長任輝、省電力公司*供電公司總經理丁華等相關部門負責人為成員的電力公共安全應急領導小組（以下簡稱領導小組）。

2、工作機構：領導小組下設辦公室，作為電力公共安全的工作機構，由縣經委主任兼任辦公室主任，主要承擔電力公共安全的日常工作，上傳下達，及時通報有關涉及電力公共安全的事宜，負責紅色、橙色、黃色和藍色（Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級）四級預警，紅色為最高級別，同時要求應急處理組織體系的相關人員進入待命狀態。

四、工作職責

1、貫徹落實國家和省、市、縣有關電力公共安全工作的政策方針、法律、法規，執行省、市、縣有關電力公共安全事故包括電力生產事故、電力設施破壞、嚴重自然災害、對社會造成嚴重影響等應急處理的規程、規定。

2、啟動及終止電力公共安全應急預案的指令，指揮縣經委、省電力公司*供電公司的應急處理工作，研究應急處理中的重大問題并決定處理方法。

3、組織制訂全縣電力公共安全事故應急處理預案并定期對其評估，通報電力運行安全狀況。

4、接受縣政府及上級應急處理指揮部的領導。

5、報道、通報和電力公共安全事故應急救援和處理的進展情況。

6、及時上報電力公共安全事故情況，協助縣政府應急辦及上級應急處理指揮部進行事故調查、分析、處理。

五、防控范圍及內容

電力公共安全的可控范圍主要是指全縣行政區域內的城鎮和農村電力系統安全穩定，保證電力正常供應，防止和杜絕人身死亡、大面積停電事故、主設備嚴重損壞、電廠垮壩、重大火災等。主要內容包括：本轄區內電力企業的輸、變、配電設備事故應急處理、冰凍雨雪災害下保供電的快速應變能力、人身傷亡事故應急處置、重點電力客戶停電事件應急處置、電力系統網絡與信息安全突發事件處置、洪澇災害下保證供電的快速應變能力、抗震救災搶險應急處理能力等等。適用范圍：本行政區域轄區內電力生產事故、電力設施破壞、嚴重自然災害、對社會造成嚴重影響的供電中斷等突發事件應急處理工作。

六、防控措施及預警救援

（一）電力企業采取的防控措施及預警救援

1、省電力公司*供電公司應當按照電力建設規劃，科學布網，安全施工，不得使用國家明令淘汰的設備和技術。

2、電力企業應當對電力設施定期進行檢測和維護，嚴格保護電力設施，確保安全運行。

3、當突發電力安全事故發生時，省電力公司*供電公司公司根據電力公共安全應急領導小組的要求，按照“統一領導、分工協作、反應及時、措施果斷、依靠科學”的事故應急處理原則處理突發電力公共安全事故。

4、省電力公司*供電公司所屬供電區域在發生突發公共安全事件第一時間，現場有關人員應立即報告本單位負責人。單位負責人接到事件報告后，應迅速采取有效措施，組織搶救，防止事態擴大，減少人員傷亡和財產損失，并按照規定及時上報，不得隱瞞不報、謊報或者拖延不報，不得故意破壞事故現場，銷毀有關證據。

5、可以預警的自然災害、事故災難，按照突發事件發生的緊急程度、發展勢態和可能造成的危害程度分為Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級，分別用紅色、橙色、黃色和藍色標示。當縣政府發出橙色、紅色預警時，電力企業要做好應急預案啟動的準備，同時要求應急處理組織體系相關人員進入待命狀態。

6、當發生嚴重自然災害及大的電網、設備事故等需要多方協作、支援時，電力企業須立即呈報縣政府調度一切有效資源，進行搶險與救援。

（二）政府電力主管部門采取的防控措施及預警救援

1、開展電力設施保護的宣傳教育，會同電力企業及有關單位落實電力設施安全保護責任制，處置電力違法行為。

2、督促電力企業對電力設施進行定期檢查和維護。

3、當發生突發性電力公共安全事故時，由電力公共安全應急領導小組及時將相關信息報送縣政府應急辦，并根據突發事件發生的緊急程度、發展勢態和可能造成的危害程度發出預警信息。

4、根據縣政府應急辦的指令，及時啟動各類應急預案，開展工作，敦促電力企業保證事故搶險救災的電力供應，保證重要用戶的安全可靠供電，盡快組織電力企業排除電網險情，修復受損設備設施，恢復災區供電。

5、及時報道、通報突發電力公共安全事故應急救援和處理的進展情況，指揮或配合縣政府應急辦進行事故調查、分析、處理。

第7篇：信息安全事件報告范文

關鍵詞：商業銀行；電子商務；風險管理

商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等，而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來，我國面臨的網絡仿冒威脅正在逐漸加大，仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件，超過2004年全年案件數，商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進與現階段的特點

信息安全管理的策略大體遵循事件驅動(技術和管理脫節)－逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。

(一)以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段，由事件驅動，沒有形成規范的管理流程。在此階段的前期，只重視技術手段。后期開始重視管理手段，但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度，但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略，內容也包括了技術手段、安全管理制度、人員安全教育等等，基本上形成體系，技術和管理手段綜合統一，但是安全風險分析還存在不足之處。

(三)安全風險管理策略時期

隨著電子商務安全管理發展到一個比較高的層次，安全管理策略也演進到安全風險管理階段。主要特點如下：

1.安全風險管理成為主流趨勢；在安全管理策略的演進過程中，技術和管理手段綜合統一、又融入了風險管理的分析、防范策略，從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One)，認為信息安全問題最終將歸結為風險管理問題，風險管理方法是建立良性的安全技術和管理體系的依據和基礎。

2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理，制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》，對國內企業的電子商務安全風險管理給出了指導意見。

3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險，在相當程度上取決于采用的信息技術的先進程度，系統的設計開發水平，以及相關設施設備及其供應商的選擇等；銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣，監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此，大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術風險的管理和監管。

4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作，從經濟學的角度出發分析風險，充分衡量保持安全的代價和收益之間的關系，尋求用最小的代價實現最大的效用，在風險分析中也形成一套較為成熟的模式。

二、我國商業銀行電子商務安全風險管理策略的薄弱點

(一)系統管理思想缺乏

目前的電子商務安全風險管理策略，在全局上缺乏系統論理論的指導，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞，無法形成一張全面有序的安全網絡。

實踐中被采用的安全風險管理策略，以及作為指導意見的規則規范，如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB／T18336．1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》，盡管提出了比較全面的安全風險管理方案，層次上也比較清晰，但是還不足以作為一個風險防范系統。實踐中，電子商務組織是一個復雜的系統組織，電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。

(二)風險分析的模型與方法不成熟，定量分析不足

電子商務模式自身的發展歷史也不過20幾年，在風險分析的定量技術上并不成熟；如BS7799中推薦的電子商務安全風險管理中實施風險評估時，往往將威脅發生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質上是將一些按照概率發生的事件定義為不連續的幾個級別，在操作上易行，但造成了度量的不精確。在進行監控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統風險管理策略的結合

本質上，電子商務的安全風險無非是新興的商業模式對傳統的風險的改變，以及產生的在傳統風險控制領域暫時無法明晰的新風險；現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題，站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次；忽略了風險的整體性，只進行偏信息和技術的研究，導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言，傳統金融業務的風險控制與電子商務的技術風險控制，兩個方面存在脫節，同樣屬于商業銀行的風險，存在著不同的管理策略，導致多頭管理、資源浪費、機構之間的扯皮，乃至缺位管理。

(四)風險管理策略無法

依賴外部的信息安全管理行業

在發達國家，信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規，風險評估工作得到了一定重視，但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。

(五)風險管理策略中商業銀行的內部風險控制能力薄弱

我國商業銀行目前均建立起統一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如，風險管理部門接受了電子交易部的風險控制報告，表面上履行的內控審核的流程，但審核作用有限，無法完成電子商務安全風險管理中的監控與審計環節。

三、商業銀行的電子商務安全風險管理策略的改進建議

(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架

利用系統理論作為總體的指導思想，將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。

在商業銀行電子商務安全風險控制的流程中，經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內，然后進行監控和審計；尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入，從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環，安全風險管理的有效性就上一個臺階，商業銀行的安全管理水平變得到了提高。

(二)電子商務安全風險管理中定量分析中的改進思路

商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中，商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定，商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失，巴塞爾委員會制定資本要求的轉換系數；在度量損失的分布時，主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來，利用現有的度量方法進行精確的風險定量分析的嘗試。

(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇

將商業銀行所面臨的全部風險放在一個框架中考慮。傳統風險管理以及電子商務安全風險管理都是風險管理系統中子系統，二者相互聯系、相互影響，不可分割。嘗試借鑒信用風險與操作風險度量的方法與思想，短期內將其與信用風險控制銜接，最終形成一個全面的商業銀行安全風險管理框架。

(四)商業銀行要積極促進電子商務安全風險管理策略的改進(1)充分利用國內或國外能夠獲得的信息系統審計、外部信息安全評估等服務，采取定期評估審計、不斷采取措施改善風險狀態的策略；(2)在目前商業銀行的組織與管理體制下，風險控制部門與傳統金融業務部門的流程需不斷改善，商業銀行必須創造條件，加強風險管理部門與電子商務部門的交叉配合，包括各部門人員的配置、培訓等各方面；使風險管理部門能夠履行安全風險管理的監控與審計職能；(3)商業銀行必須重視對傳統金融風險與電子商務安全風險的統一度量問題的研究，不斷提高風險管理部門綜合控制風險的能力，充分考慮電子商務安全風險與信用風險、操作風險的交叉問題，為實現全面風險管理奠定基礎。依賴外部的信息安全管理行業在發達國家，信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規，風險評估工作得到了一定重視，但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。

(五)風險管理策略中商業銀行的內部風險控制能力薄弱

我國商業銀行目前均建立起統一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如，風險管理部門接受了電子交易部的風險控制報告，表面上履行的內控審核的流程，但審核作用有限，無法完成電子商務安全風險管理中的監控與審計環節。

三、商業銀行的電子商務安全風險管理策略的改進建議

(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架

利用系統理論作為總體的指導思想，將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。

在商業銀行電子商務安全風險控制的流程中，經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內，然后進行監控和審計；尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入，從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環，安全風險管理的有效性就上一個臺階，商業銀行的安全管理水平變得到了提高。

(二)電子商務安全風險管理中定量分析中的改進思路

商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中，商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定，商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失，巴塞爾委員會制定資本要求的轉換系數；在度量損失的分布時，主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來，利用現有的度量方法進行精確的風險定量分析的嘗試。

(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇