网络安全风险管理精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全风险管理主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全风险管理范文

关键词：网络审计　历史财务报表审计　信息安全管理　风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容　广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

第2篇：网络安全风险管理范文

关键词：网络； 信息安全； 组织因素； 系统

中图分类号：TP393.08文献标识码：A文章编号：16727800（2011）012014102

作者简介：黄勇（1971-），男，湖南长沙人，广州涉外经济职业技术学院信息学院讲师、网络工程师，研究方向为计算机网络技术。1网络信息安全的组织因素分析

1.1组织目标

组织目标是组织期望达到的一种状态，它是组织所有成员的行动指南，是组织进行决策、协调、考核、效率评价的主要依据，同时它对组织中的成员具有激励作用。影响组织目标的主要因素有:（1）网络信息安全目标。组织中的信息安全目标是组织追求和实现高绩效目标的子目标之一，组织只有达到了信息安全目标，才能真正确保实现组织的高绩效目标；（2）信息安全目标的优先次序。组织目标的优先次序是指当组织存在诸多目标时，首先需要确定优势目标，有了优势目标才能形成优势动机。如果不能形成优势目标，则会分散组织的注意力，影响组织目标的实现，甚至使组织产生安全隐患。

1.2组织结构

组织结构组织内部协调和分工的基本形式，是组织正式确定的使工作分解、组合和协调的基本框架体系。组织结构主要由组织内部的各个要素组成，如组织人员、职位、责任、协同、关系、信息和目的等等。组织结构能否有效运行就取决于组织内部各个要素之间能否合理配置、充分协调、以及组织与所处的环境的适应程度。组织结构对于维持组织安全、可靠、有效的行动和控制整个组织的运作有着非常重要的影响，直接影响了组织目标能否顺利实现。网络信息系统中的安全问题与组织结构存在密切联系，合理的信息安全组织结构是确保组织网络信息安全管理的前提。

网络信息系统组织结构：①信息安全工作组织：主要负责信息安全工作，设置组织的信息安全管理部门和网络管理部门；②职责与权力：为了增强组织网络信息系统的安全性，组织就要严格划分和明确规定员工的职责并授予权限；③交流：通过交流可以把组织中的员工联系起来，调动员工的积极性和协调能力，更有利于组织目标的实现；④资源：网络信息安全离不开设备和技术，提高网络信息的安全性需要不断的开发新技术和更新或升级通信设备，这些都需要组织提供充足的人力资源、财力资源、物资资源和时间资源的支持。

1.3组织管理

组织管理是组织为实现组织目标而实施的控制、计划、指挥、协调、监督等系列过活动。网络信息安全工作中的组织管理包括: 建立安全制度、制订安全策略、规范安全行为、监督管理的执行等方面。

(1)建立安全制度。组织制定网络建设方案、信息安全保密规定、机房管理制度、口令管理制度、用户上网使用手册、网络安全指南、系统操作规程、安全防护记录、应急响应方案等一系列的信息安全制度，主要为保证网络信息系统安全、可靠地运作。

(2)制订安全策略。安全策略是企业整体的安全思想和观念的宏观反映，安全策略对于组织的网络信息安全有重要作用，在它的指导下，组织开展信息安全建设和后续工作。随着网络安全技术、网络拓扑结构和网络应用技术的不断发展，安全策略的制订和实施已经成为一个动态的延续过程。

(3)规范安全行为。组织往往通过网络通信安全规程来规范员工行为，规程主要基于具体的任务和功能的分析，通过识别、开发、审核、执行、验证等循环往复过程建立起来，它规范了组织员工开展某一项活动或工作的行为。

(4)监督管理。主要针对组织信息安全相关的工作环节和重要步骤增强监管力度，对操作中可能出现的偏差和疏忽实施合理监督，确保正确的操作，以降低信息安全隐患。

1.4安全文化

组织文化是组织成员共奉的价值观、态度以及内隐的行为规范。安全文化是组织文化的有机组成部分，它通常被定义为安全价值观与安全行为的总和。良好安全文化能有效的降低组织的事故发生率，因此，形成了良好的安全文化氛围会将直接影响着网络信息的安全。具体相关因素包括：

(1)网络安全文化。组织员工的安全意识与组织的网络安全文化有着必然联系，组织员工只有形成“安全第一”的安全意识，对于谨防工作中安全隐患，就会自愿的为了组织共同的安全目标而交流沟通，会主动加强工作中的监督检查，谨防将组织的重要信息泄露给竞争对手。

(2)领导层对信息安全的意识和态度。如果组织领导对信息安全的重要性认识越深刻，那么组织中的信息安全在组织工作中的地位就会越高，信息安全就会引起组织中更多成员的关注和重视。领导层对信息安全的意识和态度对组织网络安全文化的形成有着重要的作用。

(3)员工间的和谐度。团队的和谐是保证安全的重要基础，如果组织成员对安全存在共识，持一致态度，则全体员工在安全目标、行为准则方面保持一致，从而保障信息的安全，进而实现系统和组织上的安全。

(4)组织成员对信息安全的意识和态度。

1.5培训

对培训的效果造成直接影响的主要包括：①培训的内容：随着网络技术的发展，信息安全教育培训的内容也应该随着技术、环境的变化而更新，要使员工不断增长对新环境的适应能力，对新问题的辨别能力和解决问题的能力，才能确保信息的安全；②培训的师资：参与信息安全培训的师资队伍的素质，直接影响着教育与培训的效果。培训老师的目标性、方向性，在保证培训系统的高效运转中起着重要作用。

2网络信息安全管理的组织对策

2.1建立并完善信息安全风险制度

信息安全制度着重体现：①风险管理的责任机制。将风险管理与组织成员的责任联系起来，在信息安全风险管理工作中，切实执行责任制，不断增强组织上至各级领导，下至普通员工的风险责任意识，将信息安全风险管理合理分工，执行信息安全风险管理措施，保证信息安全风险管理工作有序开展；②风险管理的预防机制。预防机制是风险管理的核心内容，风险管理要重视事前管理，事前对信息系统涉及的关键环节和重要部门进行严格的风险评估、检查工作，得出准确的风险报告；③风险管理的应急机制。有效的应急机制是降低和化解此类风险的必备手段，针对关键的应用系统群组，乃至针对整个数据中心的突发事件必须具有可操作性很强的应急方案，并且还要有成熟的应急反应体系 能在事件发生之时，合理决策、落实执行应急方案；④风险管理的通报机制。实施信息安全的风险管理通报机制，对于尚未出现的问题有一个警示作用，它能对行业的经验教训及时总结，让组织认识风险隐患，尽早发现类似风险，快速采取有针对性的事前防范措施。

2.2制定信息安全的管理策略

（1）风险评估和预警策略。采用科学的分析方法，对系统存在的不同频度的风险定期作系统评估工作，以定量与定性的评估方法，探测风险的来源以及风险的大小。

（2）风险规避策略。通过降低风险发生的可能性和降低风险发生后的影响等手段，努力在风险发生前规避风险或降低风险大小，并对整改成果进行再评估。

（3）应急管理策略。经过系统风险评估，针对评估结果存在的安全隐患，制定应急预案，通过有效的应急处置，争取在风险事件发生后快速地恢复生产运行，控制风险的影响范围和影响程度。

（4）风险管理策略。对于涉及信息安全风险管理的组织内部架构和对外客户端可能存在的风险，制定一系列的规章和规范，防范内部风险。

2.3强化信息安全的监督管理

信息安全的监督对杜绝违规、违章操作、发现网络信息系统隐患、及时整改、督促组织建立健全各项安全规章制度，落实各项信息安全防范措施具有重大作用。具体包括：①信息系统投产上线管理操作规范；②信息系统管理维护操作规范；③信息系统变更管理操作规范；④信息系统访问控制管理操作规范；⑤信息系统运营环境管理操作规范；⑥信息系统业务连续性管理操作规范；⑦信息系统运营服务外包管理操作规范。参考文献：

[1]杨旭.计算机网络信息安全技术研究[D].南京:南京理工大学,2008.

[2]王以群,程,张力.网络信息安全中的人因失误分析[J].情报学,2007(11).

[3]杨月江,刘士杰,耿子林.网络安全管理的分析与研究[J].商场现代化，2008(1).

[4]张力,王以群,邓志良.复杂人-机系统中的人因失误[J].安全科学学报,1996(6).

[5]姜婷婷.浅谈我国网络信息安全保险的开发[J].情报理论与实践,2003(4).

[6]刘绘珍.影响复杂人机系统安全的组织因素分析[D].衡阳:南华大学,2007.

[7]刘绘珍,张力,张玉玲,等.影响系统安全的组织因素分类分析[J].核动力工程,2009(4).

[8]胡泉军.信息安全管理中的组织管理失误[D].衡阳:南华大学,2009.

第3篇：网络安全风险管理范文

关键字：风险，风险分析

1．引言

随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。网络有其脆弱性，并会受到一些威胁。而风险分析是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。风险管理的目的是为确保通过合理步骤，以防止所有对网络安全构成威胁的事件发生。网络的安全威胁与网络的安全防护措施是交互出现的。不适当的网络安全防护，不仅可能不能减少网络的安全风险，浪费大量的资金，而且可能招致更大的安全威胁。因此，周密的网络安全风险分析，是可靠，有效的安全防护措施制定的必要前提。网络风险分析应该在网络系统，应用程序或信息数据库的设计阶段进行，这样可以从设计开始就明确安全需求，确认潜在的损失。因为在设计阶段实现安全控制要远比在网络系统运行后采取同样的控制要节约的多。即使认为当前的网络系统分析建立的十分完善，在建立安全防护时，风险分析还是会发现一些潜在的安全问题。

一般来说，计算机网络安全问题，计算机系统本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受到自然环境因素的影响（如：温度，湿度，灰尘度和电磁场等的影响）以及自然灾害（如：洪水，地震等）和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据信息易受到非法的窃取，复制，篡改和毁坏等攻击；同时计算机系统的硬件，软件的自然损耗和自然失效等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏，丢失和安全事故。

通过结合对计算机网络的特点进行分析，综合起来，从安全威胁的形式划分得出了主要风险因素。

风险因素主要有：自然因素，物理破坏，系统不可用，备份数据的丢失，信息泄漏等因素

2．古典的风险分析

基本概念：

风险：风险就是一个事件产生我们所不希望的后果的可能性。风险分析要包括发生的可能性和它所产生的后果的大小两个方面。因此风险可表示为事件发生的概率及其后果的函数：

风险R=ƒ(p,c)

其中p­为事件发生的概率，c为事件发生的后果。

风险分析：就是要对风险的辨识，估计和评价做出全面的，综合的分析，其主要组成为：

1.风险的辨识，也就是那里有风险，后果如何，参数变化？

2.风险评估，也就是概率大小及分布，后果大小？

风险管理：

风险管理是指对风险的不确定性及可能性等因素进行考察、预测、收集、分析的基础上制定的包括识别风险、衡量风险、积极管理风险、有效处置风险及妥善处理风险等一整套系统而科学的管理方法，旨在使企业避免和减少风险损失，得到长期稳定的发展。

3．网络安全的风险分析

本文采用的风险分析方法是专家评判的方法。由于网络的脆弱性以及对网络的威胁，因此网络中就存在风险。根据古典的风险分析，则网络中的风险与风险因素发生的概率和相应的影响有关。而概率可以通过统计的方法来得到，影响可以通过专家的评判方法来得到。因此,风险R=P(概率)*F（影响）

这时，风险分析的过程包括：统计概率，评估影响，然后评估风险。然后根据风险分析的大小来管理风险。

1统计概率

通俗的说，概率是单位时间内事件发生的次数。按每年事件发生的次数来统计概率。

2影响的评估

首先对上述5个因素确定权重W，按照模糊数学的方法将每个因素划分为五个等级：很低，低，中等，高，很高。并给出每个等级的分数C（1．2，3．6，7），根据各个专家对每个因素的打分计算出每个因素的分数C，再将W与C相乘，累计求和ΣWC,让F=ΣWC此值即因素的影响的大小。

风险因素权重的确定方法如下：

设影响的n个因素为A1，A2，…，An，参加评判的专家m人。对n个因素，先找出最重要因素和最不重要因素，并按层次分析方法（AHP）中1－9的标度和标准确定两者的比率。

将5个因素按重要程度从小到大排序，以最不重要因素为基准（赋值为1），将各个因素与其比较。按重要程度进行赋值（按AHP法中的标度和标准）。

将m个专家对n个因素所赋的分为r块，分别记为A［1］，A［2］，…，A［r］。其中矩阵A［k］的行表示以Ak为最不重要因素的专家数，记作mk。列表示将因素Ak作为基准，对n个因素A1，A2，…，An所赋的值。具体形式为：

AAA…A…..A

A[k]=(1)

其中

a=1,1<=a<=9,Σm=m(i=1,2,…,m;j=1,2,…,n)

对于分块矩阵A［k］，因各因素赋值均以Ak为基准，从而可对A［k］中各列分别求平均值

a=Σa/mj=1,2,…,n（2）

对所有分块矩阵作上述处理，可分别得到（A1，A2，…，Ar）。

对于每个分块矩阵A［k］（k＝1，2，…，r）；因行数不同，其在专家数m中的所占的比重也不同，因而需考虑mk在m中所占的比重，称mk／m为ajk的权系数。

由以上分析可得因素Aj的综合赋值。

A=Σa*m/mj=1,2,…,n（3）

由（1）－（3）式即可得m个专家对n因素的综合赋值。由综合赋值aj中求出最小值amin和最大值amax，令其所对应的下标分别为m和M，即am＝amin，aM＝amax。

第4篇：网络安全风险管理范文

1.1制定风险管理计划

制定风险管理计划是保障电力系统信息化建设的首要工作,其指导管理部门识别、分析、监控和应对风险,并为风险管理安排资源和时间。在对权衡了风险对项目的影响后,编制出恰当的风险管理计划,为风险管理预计了时间表和费用,将风险管理计划纳入项目计划,把管理费用纳入成本计划。

1.2进行风险识别

所谓风险识别就是考虑一下哪些风险会对项目造成影响、风险的主要形成因素及其可能造成的后果的过程。例如,可以利用信息收集技术,采用头脑风暴、专家判断等方法,根据不同风险情况进行记录,形成了详细的风险列表。

1.3展开风险分析

对风险的分析包括两个方面,定性分析和定量分析。每个信息化建设项目在前期都要先识别出的进度风险、技术风险和团队风险,利用概率/影响矩阵,并听取业务专家和技术专家的意见,在全面考虑后划分风险优先级,就是所谓的风险定性分析。与之相对应,风险定量分析是在风险定性分析基础上,对风险影响和后果进行量化,为风险应对提供依据的过程,借此方式充分估算各风险对项目成本、进度和质量可能形成的具体影响程度,更新和改善了风险记录。

1.4严格风险监控

风险监控工作也是电力系统信息化建设中不容忽视的一项内容。概括来说,风险监控就是监督风险应对计划执行情况,监视已识别风险,跟踪残余风险,识别新风险,管理变更,从而支持项目实现和维持基线完整性的过程。

2电力系统信息化建设风险管理策略

2.1编制一致的电力行业标准

标准的建立要接轨国际,响应国家政策。要以目前国际上最先进、最成熟的信息技术标准体系作为参考,以《国家电网公司“十一五”信息发展规划》为指导,充分结合我国电力系统信息化的实际情况,编制出一套科学的信息化标准体系。

2.2构建一致的信息化平台

针对各部门之间软件失调的问题,构建统一的信息化平台不失为一个恰当的解决方式。这样的平台能够解决信息孤岛、软件兼容和沟通问题。可以将“SG186”工程作为契机,对现有各信息管理平台、软件、系统进行整合,尽早实现整个电力企业的数据信息、集成应用、电力服务一体化。

2.3促进各个系统有机结合

目前,各个系统之间结合的优势越来越明显,以生产系统与电力营销系统结合为例,生产系统中遇到的多种故障停电、计划检修停电,都会对营销产生影响,相应的营销的业扩报装也需要电力生产的配合,这些事情此前都是要人工进行的,而此时却可以直接获得,在节省时间的同时形成了简单、快捷、便利的工作模式,非常有利于系统的高效运作。在以生产系统与管理系统结合为例,生产系统的数据为管理系统的正确决策提供支持,相应转变为合理高效的指示指导生产系统的工作。

2.4加强数据的深层挖掘研究和应用

目前已建设完成和即将建设的信息化平台中,都整合了生产、销售等部门获得的多项业务的第一手资料,同时也将涵盖很多系统以外所提供的公共服务,例如天气预测,公共交通等。庞大的信息都将给分析决策创造条件。值得注意的是,随着信息量剧增,如何有效的管理利用这些信息成为了新的问题。经过多年的现实经验,意识到唯有结合先进的信息存取机制和数据挖掘技术,才能真正有效地为电力系统服务。与此同时,必须考虑的是如何将原本的数据、经过提取分析处理的数据真正的用于指导生产、营销、管理,将信息转变为真实的行动和生产,变为实际的生产力。

2.5提高信息化网络安全

要想让电力系统信息化建设风险管理适应电力企业网络的特点,在进行网络安全的建设时务必考虑多方因素,包括安全层次、技术难度及经费支出等。因此,电力企业的网络安全一定要全面考虑以下要求:

(1)保持原有的网络拓扑结构,为系统结构及功能的扩展做好准备;

(2)保持网络原有的性能特点,也就是对网络协议和传输具有很好的透明性;

(3)提高系统的安全性和可靠性固然重要,但是同时不应影响原有操作的便利性;

(4)保证较低的维护量和网络管理工作量,运用较少的人员长期工作量;

(5)确保一次性投资,可长期使用,需要投入较低的维护费用。

3结论

第5篇：网络安全风险管理范文

随着计算机网络的技术的迅猛发展以及移动互联的全球化,Internet已经和现今的各行各业相互契合,而组织业务相关的信息系统已经成为组织行业信息赖以生存的“朋友”。移动互联的信息安全问题逐渐走入人们眼中。信息系统的安全问题是的对于一个组织有着重要的战略意义。本文立足于当今信息安全现状,例数当今信息系统的安全问题,对信息系统的安全风险管理方法进行研究,并针对信息系统安全问题给出针对性建议。

关键词:

信息系统安全；信息系统管理；计算机尖端科技

目前,世界各国经济都在迅速发展,经济全球化的进程逐渐加快,伴随着经济的推进,尖端科技迅猛发展。因此,电脑逐渐走进了各家各户,移动互联正在改变人们的生活方式。计算机网络技术的优越性使得人们对计算机网络愈来愈“信赖”。然而随之产生的便是用户的网络信息泄露事件。计算机网络安全问题已经受到了更多人的重视。所以,对信息系统安全风险管理方法的研究有着鲜明的现实意义。

1信息系统安全风险管理方法研究

随着计算机网络技术的不突破何如普及,极大的方便着人们的生活和学习,而且正在慢慢的改变人们的生活方式。目前,计算机网络技术已经被应用到军事科技当中,中增强着我国国防力量。使得未来战争真正的实现“兵不血刃”。与此同时,信息系统的安全问题会“威胁”着国家的经济建设,和国防建设。所以这一切都表明了信息系统安全问题是一个国家安全建设的基础,是国家社会发展和建设的保障。而信息系统的安全成为了信息化革命的基本。甚至可以说,信息系统安全问题关系着国家安全,民族发展是全人民的的头等大事。信息系统安全计划建设是了一个国家和民族的战略性目标,已经是不争的事实。

2信息系统的信息安全现状

当今社会信息系统安全问题不容乐观,信息系统面临着严峻的安全风险。根据调查来看,每年的重大信息系统安全事件正在逐年增加。信息系统安全问题主要包含以下两大方面:一是由于现今科技技术的不完善性和局限性,使得信息系统在构建之初便存在着漏洞,导致信息系统“脆弱”。二是现实社会中的各种经济斗争和利益斗争,使得原本的信息系统漏洞被“开发利用”。计算机网络技术是一个复杂的大系统,它是由众多的代码、硬件、软件、协议所共同组成。在计算机网络技术的不完善和设计人员思想局限性的前提下,使得信息安全系统在构建的时候会出现不可避免的漏洞。例如,计算机网络中一个操作系统需要几千几万的代码组成,甚至更多。为满足用户的各种需要,设计的技术复杂性逐渐增多。据调查在繁琐的计算机网络设计时,很可能一千行代码中便会存在一个错误。因此,信息系统的漏洞越来越多,越来越严重。另一方面,“黑客”作为一种“文化现象”一直伴随着计算机网络技术的发展而发展。并且随着人们之间的利益冲突不断加剧,使得黑客的恶意攻击事件愈演愈劣。此外,根据调查显示,在攻击技术复杂的计算机网络时,黑客相对应需要的知识却越来越少[1]。

3信息系统风险管理的目的和作用

信息系统安全是目前全世界所面临的重大问题。虽然,信息安全问题具有着普遍性,但是同时因为它的特殊性,使得我们不得不重视。信息系统的安全管理已经不再是“0”和“1”之间的问题。我们不断的探索,为了找到一个更好的信息系统安全管理方法。我们希望新的信息系统安全管理方法可以改变现今网络安全的现状,并且让更多的人可以更好的享受计算机网络技术带来的方便。计算机网络在人们的生活和学习中有着重要的的作用,在国家建设上有着重要的地位,信息系统的安全管理的研究,我们旨在便利更多的人民群众,更好的建设国家,为祖国的建设作出贡献。我们要做到防患于未然,让国家和人民免于信息系统安全问题的威胁。由此我们可以得出这样的结论:风险管理是信息系统安全管理方法的新模式,而最佳的信息系统安全保障方法就是对信息系统进行风险管理。

4信息系统风险管理的趋势

纵观世界,信息系统安全风险管理的经历了技术,技术与管理相结合的阶段。当前,在信息安全保障意识的前提下,还在不断的深入完善。如何将传统的风险管理理论和实际相结合并更好的应用于信息安全管理领域,是全世界面临的一个尚未解决的问题。

5信息安全风险管理理论基础

信息安全风险管理研究的理论基础大的方面是国家规定的计算机网络技术管理法则,和现今的计算机网络技术。小的方面是现今信息系统所具有的保密性、完整性、可用性、脆弱性。以及网络信息系统面临的威胁[2]。

6网络信息系统风险管理的ISISRM管理方法

6.1ISISRM方法的基本思想

ISISRM方法体现的是“定制”思想,它具有较强的开放性,在识别风险因素并进行解决的同时,它不会拘泥于单一的解决方法。它可以使风险管理过程和用户使用目的紧密集合结合在一起,并且在风险评估时采用了“适度量化”的原则。在ISISRM方法的我研究中引用了经济管理学的知识,它将不再只解决信息安全问题,而是从用户的角度上来说变成了一种“投资”行为[3]。

6.2ISISRM方法的管理周期

按照ISISRM的设计逻辑,ISISRM的管理周期分为风险管理准备阶段、信息安全风险因素识别阶段、信息安全风险分析和评估阶段、信息系统安全保障分析阶段、信息系统安全决策阶段、信息安全风险动态监控阶段。

7结语

计算机网络技术迅速发展,加速了社会信息化的进程,使得人文建设与信息系统关系日益“亲密”,但是随之而来的信息安全问题值得引起我们的重视,并让我们花费人力和物力进行解决,它时刻的威胁着我们社会主义人文建设。所以我们应该运用ISISRM这样的风险安全方法进行信息系统安全的维护和改善。

作者：李响 王培凯 单位：安徽省蚌埠市固镇县公安局 安徽省蚌埠市五河县公安局

参考文献

[1]孙鹏鹏.信息安全风险评估系统的研究与开发[D].北京交通大学,2007.

第6篇：网络安全风险管理范文

（一）采用系统的思想

网络安全的建设是一个系统工程，它需要对影响信息系统安全的各种因素进行综合考虑，同时需要对信息系统运行的全过程进行综合分析，实现预警、防护、恢复等网络安全的全过程环节的无缝衔接；另一方面要充分考虑技术、管理、人员等影响网络安全的主要因素，实现技术、管理、人员的协同作战。

（二）强调风险管理

基于风险管理，体现预防控制为主的思想，强调全过程和动态控制，确保信息的保密性、完整性和可用性，保持系统运作的持续性。

（三）动态的安全管理

公安信息网络安全模型中的“动态”网络安全有两个含义：一是整个网络的安全目标是动态的，而不再是传统的、一旦部署完毕就固定不变的，从而支持部分或者全网范围内安全级别的动态调整；二是达到安全目标的手段、途径必须能够根据周边/内部环境的变化进行动态调整。

二、基于策略的动态安全管理模型的定义

基于上述指导思想，建立基于策略的动态安全管理模型，主要包括四类要素：人员、管理、策略、流程（技术产品）。安全策略确定后，需要根据组织切实的安全需要，以上述定义的安全策略为基础，将安全周期内各个阶段的、反映不同安全需求的防护手段和实施方法以一种利于连动的、协同的方式组织起来，提高系统的安全性。总的指导原则是：第一，防护是基础，是基本条件，它包含了对系统的静态保护措施，是保护信息系统必须实现的部分。第二，检测和预测是手段，是扩展条件，提供对系统的动态监测措施，是保护信息系统须扩展实现的部分。第三，响应是目标，是进行安全控制和缓解入侵威胁的期望结果，反应了系统的安全控制力度，是保护信息系统须优先实现的部分。这些不同的安全技术和产品按照统一的策略集成在一起，保持防护、监测、预警、恢复的动态过程的无缝衔接，并随着环境的变化而进行适当的调整，这样就能够针对系统的薄弱环节有的放矢，有效防范，从而完善信息安全防护系统。

三、基于策略的动态安全管理模型的实施过程

在公安信息安全管理体系的建立、实施和改进的过程中引用PDCA（Plan-Do-Check-Act）模型，按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下：

（一）计划（Plan）

计划就是根据组织的业务目标与安全要求，在风险评估的基础上，建立信息安全框架。包括下面三项主要工作：

1.明确安全目标，制定安全方针根据公安专用网络信息安全需求及有关法律法规要求，制定信息安全方针、策略，通过风险评估建立控制目标与控制方式，包括公安系统工程必要的过程与持续性计划。

2.定义信息安全管理的范围信息安全管理范围的确定需要重点确定信息安全管理的领域，公安信息安全管理部门需要根据公安系统工程的实际情况，在整个金盾工程规划中或者各业务部门构架信息安全管理框架。

3.明确管理职责成立相应的安全管理职能部门，明确管理职责，同时要对所有相关人员进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于所有公安干警的脑海并落实到实际工作中。

（二）实施（Do）

实施过程就是按照所选定的控制目标与方式进行信息安全控制，即安全管理职能部门按照公安信息安全管理策略、程序、规章等规定的要求进行信息安全管理实施。在实施过程中，以公安信息安全管理策略为核心，监测、安全保护措施、风险评估、补救组成一个循环链，其中信息安全管理策略是保证整个安全系统能够动态、自适应运行的核心。

1.选择安全策略根据公安业务目标、公安信息安全管理目标、公安信息安全管理指导方针选择或制定信息安全策略。

2.部署安全策略对于高层策略，在此阶段，首先应将各种全局的高层策略规范编译成低级（基本）策略。根据底层的服务或是应用的要求将策略编译成执行组件可以理解的形式，针对特定类型的策略实施封装具体实施策略所需的行为，封装执行策略所必需的实现代码，这些代码与底层实现有关。将策略分发并载入到相应的策略实施中，继而可以对策略对象执行启用、禁用、卸载等策略操作。

3.执行安全策略（1）监测。对公安信息系统进行安全保护以后并不能完全消除信息安全风险，所以要定期地监控整个信息系统以发现不正常的活动。（2）进行信息安全风险评估。风险评估主要对公安信息安全管理范围内的数据信息进行鉴定和估价，然后对数据信息面对的各种威胁进行评估，同时对已存在的或规划的安全管理措施进行鉴定。（3）公安信息安全风险处置。根据风险评估的结果进行相应的风险处置，公安信息安全风险处置措施主要包括降低风险、避免风险、转嫁风险、接受风险等，使得公安业务可以正常进行，并重新进行风险分析与评估，增加或更改原有的信息安全保护措施。在公安信息系统正常运行时，要定期地对系统进行备份。（4）根据公安信息安全策略调整控制安全措施。由于信息安全是一个动态的系统工程，安全管理职能部门应实时对选择的管理目标和管理措施加以校验和调整，以适应变化了的情况，使公安系统数据资源得到有效、经济、合理的保护。

（三）检查（Check）

检查就是根据安全目标、安全标准，审查变化中环境的风险水平，执行内部信息安全管理体系审计，报告安全管理的有效性，在实践中检查制定的安全目标是否合适、安全策略和控制手段是否能够保证安全目标的实现，系统还有哪些漏洞。

（四）改进（Action）

改进就是对信息安全管理体系实行改进，以适应环境的变化。改进内容包括三部分：一是系统的安全目标、安全指导思想、安全管理制度、安全策略。二是安全技术手段的改进。随着安全技术和安全产品的改进，系统的安全技术手段也要不定期地更换。但更换后的安全技术手段仍然要遵循相应的信息安全策略。三是对人员的改进。安全管理措施和手段改进后，要对民警要进行安全教育与培训，并根据民警的不同角色为其制定不同的安全职责和年度信息安全计划，并按照计划进行工作，年底时要对安全计划的执行情况进行检查。

四、结束语

第7篇：网络安全风险管理范文

【关键词】信息安全；风险管理；城域网

网络安全是网络时代的永恒话题，宽带城域网的网络安全是一项非常艰巨的任务，它总是伴随网络技术的发展而不断变化。要充分考虑网络的整体安全性能，考虑设备容量及防攻击的性能，有效实施设备相关安全特性，同时又要透过复杂的技术细节，把复杂的网络简单化，把握宽带城域网的安全实质关。只有建立全面的安全防护体系，才能向社会提供一个安全、高速、易用、智能化的网络。

1、IP城域网的安全问题

IP城域网中，网络的各个层次承担了不同的能，具有不同的特点，通过分析各层的功能及特点得出对应的安全问题。要保证整网的安全就必须证各个层次上的安全。核心层是网络的核心，要负责整个城域网网络据包的快速交换、转发并且完成与骨干网通信。核层具有节点数量少、业务容量大的特点，一旦核心出现故障，将不能为整个城域网提供服务，故在核层要求网络结构相对稳定、业务可靠性、安全性要高。其存在的安全问题有：由于核心节点和链路故而导致业务中断；由于数据量大而造成网络阻塞的题；路由的安全问题；核心层设备自身受攻击的问题其常见的攻击有：（1）源路由攻击，报文发送方通在IP报文的Option域中指定该报文的路由，使报发往一些受保护的网络；（2）拒绝服务攻击。危在于受攻击后，网络可用带宽急剧下降，导致无法其它用户提供正常的网络服务，SYNFlood攻击是型的拒绝服务攻击等。汇聚层提供流量控制和业务管理的功能，也是证城域网中承载网和业务安全的基本屏障，更是保城域网安全性能的关键。汇聚层面临的安全问主要是路由安全、各种异常流量、用户业务的安全，及用户访问的控制。接入层是面向用户的外层网络，负责给用户提安全高速的多业务服务，其主要面临的安全问题是些基于二层协议的用户攻击行为和广播风暴等。

2、信息安全风险管理内容和过程

信息安全风险管理是以风险为主线进行信息安全的管理，它的实施目标就是要依据安全标准和信息系统的安全需求，对信息、信息载体、信息环境进行安全管理以达到安全目标。它贯穿于整个信息系统生命周期，包括对象确立、风险评估、风险控制、审核批准、监控与审查和沟通与咨询六个方面。其中对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤，监控与审查、沟通与咨询则贯穿于这四个基本步骤之中。对象确立根据要保护系统的业务目标和特性，确定风险管理对象。风险分析针对确立的风险管理对象所面临的风险进行识别评价。风险控制依据风险分析的结果平衡安全风险与安全效益，选择合适的安全措施。审核批准包括审核和批准两个部分。这四个步骤贯穿于信息系统的整个生命周期，当受保护系统的业务目标和特性发生变化或面临新风险时，重新进入上述四个步骤，形成新的一次循环，使所保护的系统在自身和环境的变化中能不断对应新的安全需求和风险。监控与审核对上述四步骤实行监控和审核。沟通和咨询则为上述四步骤的相关人员提供沟通和咨询，确保系统安全目标的一致及安全措施有效实行。

3、IP城域网安全管理

针对IP城域网中网络各层可能存在的安全隐患，本文结合某广电IP城域网针对网络的每一层给出一些安全管理意见。

（1）设备选择。核心层中硬件设备的选择很重要，硬件设备的性能将直接影响到核心层网络的安全。由于核心层网络数据流量大，必须采用高速无阻塞的路由器、交换机；设备应当符合国家标准规定的防雷击、防静电，并能够在正常的机房温度、湿度等条件下长期稳定地运行，这点汇聚层和接入层也应该同时具备。

（2）冗余策略。从结构安全上来看，主要安全问题就是单点和单链路故障，要避免网络的单点单链故障而导致业务中断就必须要做好网络软、硬件、传输介质及路由冗余。如采用至少两台路由器或交换机互连，以便在有一台出现故障时能够自动切换到另外一台设备而保证设备转发不中断。启用多生成树协议（MSTP），应用时将备用链路控于阻塞（blocking）状态，一旦主链路通信中断，能在很短时间内恢复。

（3）防火墙。核心交换机、路由器配备强大攻击防范能力的高速防火墙，可采用硬件防火墙，用于防病毒、防攻击，以保证网内安全。同时提供有效的认证措施，拒绝并记录非法的人为入侵。采用硬件防火墙独立于其它硬件，可单独肩负网络攻击带来的压力。此外还可利用地址转换（NAT）技术，对外屏蔽内部网络的主机地址。

（4）路由管理。选择合适的路由协议非常重要，路由规划科学与否直接影响到整个城域网的可靠性及效率。路由协议有域内路由和域间路由两种基本类型。域间路由协议主要有边界网关协议（BGP）和外部网关协议（EGP）等；域内路由协议主要有开放式最短路由优先协议（OSPF）、中间系统路由选择协议（IS-IS）和路由信息协议（RIP）/RIP2等。建议采用开放式最短路由优先协议（OSPF），它的最大特点就是绝对的无环路，同时还具备快速收敛、链路通告、带宽开销少、延展开放的优点。如在同一城域网的路由设计上全网采用OSPF协议，建议其内部划分两个自治域，所有的骨干层路由器同属一个自治域，汇聚层和接入层同属另一自治域，可避免因汇聚层路由波动对骨干路由造成影响，同时也减少了路由协议对CPU资源消耗和路由信息传播所占用的网络带宽；核心路由器与出口防火墙之间建议采用静态路由互连，既安全又能简化路由表。

（5）流量过滤及流量攻击防范。在核心路由器上制定细致的访问控制列表（ACL），对流向引擎板卡的异常流量进行报文过滤，避免如网络风暴、PINGDDoS攻击、TCPDDoS攻击等对主控板造成CPU资源耗尽、网络流量过载，进而导致业务控制和协议计算发生中断的严重后果。充分利用核心路由的控制功能，当主控板发现来自接口板的总流量超过某个特定阈值时，即启动接口板上的CAR队列，将送往主控板的流量进行限制，从而保护主控板在流量过载的情况下正常工作。对于源路由攻击可采用关键数据身份认证与授权、访问权限控制、加密保存、加密传输等措施进行防范。对于像SYNFlood之类的拒绝服务攻击可通过以下方法进行防范：路由器上调整包括限制SYN半开数据包的流量和个数，并设定相应的内核参数，使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包，还可以通过加固TCP/IP协议栈防范，只有完成TCP三次握手过程的数据包才可进入该网段。

结束语

信息安全风险管理的原则是“最小安全成本，最大安全效益”。最可行的方案就是将安全事件对系统造成的损失和安全措施所需的安全成本适度量化并以数字表示，从而直观的对安全损失和安全费用进行比较，为安全决策提供有利的理论和方法指导。随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。

【参考文献】

[1]吴世忠.信息安全风险管理的动态与趋势[J].信息安全与通信保密，2007（02）.

第8篇：网络安全风险管理范文

针对近年来频繁发生的网络犯罪事件，许多学者以及相关认识开始不断研究与应用更多的安全防护技术，其中较为常见的技术包括防火墙、入侵检测、数据加密以及VPN等技术。其中在防火墙技术方面，其主要通过安全网关的构建对外部网络攻击行为进行拦截，并有效监控网络运行的整体情况，是保证网络信息安全的重要措施。但其在应用中对病毒或黑客入侵的阻止并非万能，需同其他防护措施共同配合。在入侵检测技术方面，其作用在于利用相关硬件软件实时监测数据流，若发现入侵数据可能对网络安全造成威胁将采取相应的反应动作如禁止启动或切断网络等。在数据加密方面，主要对传输与存储的数据进行加密，常用到加密钥匙的方式实现防止数据外泄与窃取的目标。另外在VPN技术应用方面，其结合访问控制与加密措施，保证数据仅在可信公共信道中进行传输。综合来看，网络信息的安全很难通过其中一种技术手段实现，即使现阶段比较前沿的如PKI关键技术或防毒墙等，应用中都需配有其他辅技术，因此需构建更为有效的安全管理体系势在必行。

2网络信息安全存在的主要风险问题

现阶段网络信息安全的主要风险可具体细化为：①从网络层面。包括传输数据时存在的被篡改或窃取情况、网络边界方面的风险、过于单一的入侵检测手段以及审计系统的设计不完善等。②从系统层面。大多操作系统以及软件程序等本身在设计过程中便存在较多漏洞，若在使用中忽视对其进行定期更新与漏洞修复，很容易使系统安全受到木马病毒威胁。③从应用层面。其存在的信息安全问题主要体现在用户进行业务信息提交过程中可能被窃听或篡改、内网与外网交互使用为不法分子创造入侵条件等方面。④从管理层面。许多机关单位在网络安全风险管理制度方面缺乏一定的实效性，且存在设备通用、内外网混用等问题，许多如外部访问或访问权限等方面的设计并不严格，不利于网络信息安全性的提高。⑤从人员角度。网络安全得以保障关键在于相关人员是否具备相关的网络安全技术与安全技术，无论安全意识的缺失或技术能力不足都可能带来一定的安全风险。

3管理体系的具体构建思路

针对现行网络信息安全的相关防护技术与实际存在的安全威胁问题，在构建安全管理体系过程中主要可从两方面进行，包括技术应用与网络安全管理两方面，只有保证对二者采取相应的防御战略才可实现信息安全保障的目标。

（1）安全技术的应用

对于现行技术层面中存在的安全风险问题，除前文中提及的防火墙与入侵检测技术外，还需在系统设计中采取以下几方面技术策略：①注重联动方式与具体配置。在将防火墙与入侵检测系统实现联动的基础上，还需保证防火墙与IDS进行联动，这样可相互配合对攻击行为进行阻断，但需注意IDS控制台应在网中进行部署，或在其他区域SOC区中设置。②引入防病毒系统。对于现行多样化的病毒形式很难利用简单的病毒软件消除病毒，应在防毒系统应用中保证其不会占用过多的系统资源，且对核心服务器具有极强的防毒能力，如现阶段常用的OfficeScan，在防治病毒方面具有良好的效果。③审计系统的完善。在系统内部网络中应进行安全审计系统的设计，保证其能够对相关的网络行为、设备运行状态进行综合审计，及时找出存在的隐患。另外，设计过程中还可引入其他方面的技术措施如漏洞扫描、过滤网关或终端系统等方面，对网络信息安全性的提高可起到重要作用。

（2）网络安全管理工作

管权管理体系构建中除考虑引入相应的技术防护措施外，还需注重网络信息管理水平的提高。注重相关人员网络技术水平以及安全意识的提高，可通过相关的培训工作使人员正确认识木马病毒、网络攻击行为等。同时在安全管理制度方面应不断完善，如机房管理制度、操作管理制度以及技术保障制度等，以此确保应对风险的能力得以增强。

4结论

第9篇：网络安全风险管理范文

【关键词】技术风险 业务风险 人为因素形成的风险

一、前言

网络金融是信息技术特别是互联网技术飞速发展的产物，是适应电子商务发展需要而产生的网络时代的金融运行模式，它提高了金融服务的效率。但是在网络金融用户享受便捷服务的同时，网络金融的安全问题也相伴而来。随着网络金融的发展而产生的新的风险，使金融安全与监管面临新的挑战。

二、网络金融还面临着技术风险、业务风险和人为因素形成的风险

网络金融的经营理念、经营模式与传统金融行业不完全相同，使得网络金融除了具有传统金融业经营过程中存在的流动性风险、信用风险、利率风险和汇率风险等之外，由于网络金融涉及通讯、设备和管理等许多方面，因此网络金融还面临着技术风险、业务风险和人为因素形成的风险。

网络金融技术涉及的风险包括技术安全风险和技术选择风险。技术安全风险来自三个方面：一是计算机系统停机、磁盘列传破坏等不确定性因素；二是来自网络外部的数字攻击；三是计算机病毒破坏等因素。技术选择风险是指网络金融业务的开展必须选择一种成熟的技术解决方案来支撑，否则可能因技术选择的失误使整个系统面临安全风险。近年来，黑客的攻击活动正以每年10倍的速度增长，计算机网络病毒通过网络进行扩散与传播是单机的几十倍，一旦某个程序被感染，则整台机器、整个网络也很快被感染，破坏力极大。在传统金融中，安全风险可能只是带来局部损失，但在网络金融中，安全技术风险会波及整个网络。

业务风险包括信用风险、支付和结算风险及法律风险。信用风险是指网络金融交易者在合约到期日不完全履行期义务的风险。网络金融服务方式的虚拟性使交易、支付的双方互不见面，只是通过网络发生联系，这是金融机构对交易者的身份、交易的真实性验证的难度加大，增大了交易者之间在身份确认、信用评价方面的信息不对称，从而增大了信用风险。对支付和结算风险来说，由于网络金融服务方式的虚拟性，金融机构的经营活动可突破时空局限，打破传统的金融分支机构及业务网点的地域限制；并且能向客户提供全天候、全方位的实时服务，从而使网络金融的经营者或客户通过各自的计算机终端就能随时与任何一家客户或金融机构办理证券投资、保险、信贷、期货交易等金融业务。这是网络金融业务环境在地域具有很大的开放性，并导致网络金融中支付、结算系统的国际化，从而大大提高了结算风险。法律风险是指由于网络金融立法相对落后和模糊而导致的交易风险。目前的金融立法框架主要是针对传统金融业务，缺少有关网络金融的配套法规，如对客户个人信息的保护、信用卡使用的规范等，出现了以网络为手段的犯罪，如网上交易诈骗、网络信用卡欺诈、个人信息被窃取、网络洗钱等。

人为因素形成的风险是指由于部分工作人员安全观念淡薄，安全管理制度不能真正落实，缺乏应有的网络安全意识，认识不到执行制度的紧迫性和重要性，导致网络金融风险的产生。如在网络金融交易没有就安全预防问题向客户进行足够的宣传教育，客户在非安全的电子传送管道中使用个人信息（如信用卡密码，银行卡号），客户的账户就有可能被犯罪分子利用。

三、网络银行的发展及产生的特殊风险使得对其的监管复杂化

监管当局不仅需要参照传统银行的监管标准进行一般的风险监管而且还要根据网络金融的特殊性进行技术性安全与管理安全的监管。对网络金融的监管，可以从网络金融风险产生的原因及种类方面进行思考分析，制定出符合其特殊性的相应的监管措施。

在我国，经济信息化程度不高，网络金融的发展尚处于起步阶段，因此我国对网络金融业务的监管应采取慎重态度，既不限制它的发展又不能放弃监管，通过适当的金融监管，促进我国网络金融更好更快地发展。具体措施如下：

（1）完善现行法律，补充适用于网络金融业务的相关法律条文。既要对现有法律不适应的部分进行修订和补充，又要对未来发展情况进行预测，分析可能出现的问题，进行先行立法保护，减少网络犯罪的发生。

（2）结合网络金融业务的特点，完善现行业务营运监管办法。要从业务经营的合法合规性、资本充足性、资产质量、流动性、盈利能力、管理水平和内部控制等方面根据网络化条件来适时进行调整、补充，构造一个符合网络金融生存、发展的金融监管指标体系和操作系统。

（3）督促开展网络金融业务的金融机构强化内部管理，从内控制度入手降低金融风险。以中国工商银行为例，中国工商银行建立了公司治理架构及风险监控体系，通过一体化风险管理规划、风险审议和风险监督流程，监控所有业务的各类风险。在全行范围内建立健全了监控流程，采用不同方法达到风险管理和风险承担之间的平衡。这些监控流程与方法，围绕不同的业务领域、地域分行、垂直支持单位（包括风险管理、财务规划信息技术系统、人力资源、合规与法律事务）和内部审计而设计。同时，董事会通过相关委员会对全行风险管理职能实施整体监督。

（4）加强金融监管部门的技术力量，提高监管水平，不断完善和提高网络安全技术，如防火墙技术，加密技术。防火墙技术是将内部私有网络和外部网络进行隔离，能防止部分外部攻击者对内部网络的入侵。而加密是实现信息保密的重要手段。

（5）密切与其他国家监管机构的联系，提高网络金融的监管效率。加强与网络金融发展较好的国家之间的交流，引进先进的监管理念、技术和人才。

参考文献：

[1]张铭洪，张丽芳主编.网络金融学[M].科学出版社出版，2000.

[2]陈进主编.网络金融服务[M].清华大学出版社出版，2011.