信息安全事件报告精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全事件报告主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全事件报告范文

为了保证本单位网络畅通，安全运行，保证网络信息安全，特制定**县财政局网络安应急制度。

一、贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规；落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，尽快使网络和系统恢复正常，做好网络和信息安全保障工作。

二、信息网络安全事件定义 ：

1、网络突然发生中断，如停电、线路故障、网络通信设备损坏等。

2、单位网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱秩序；破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。

3、单位内网络服务器及其他服务器被非法入侵，服务器上的数据被非法拷贝、修改、删除，发生泄密事件。

三、设置网上应急小组，组长由单位有关领导担任，成员由信息中心人员组成。采取统一管理体制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法。

四、单位网络信息工作

1、加强网络信息审查工作，若发现单位主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务。

2、信息服务，必须落实责任人，实行先审后发，并具备相应的安全防范措施（如：日志留存、安全认证、实时监控、防黑客、防病毒等）。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。

五、信息中心对单位网实施24小时值班责任制，开通值班电话，保证与上级主管部门、相关网络部门和当地公安机关的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。

六、加强突发事件的快速反应。单位信息中心具体负责相应的网络安全和信息安全工作，对突发的信息网络安全事件应做到：

（1）及时发现、及时报告，在发现后及时向应急小组及上一级领导报告。 （2）保护现场，立即与网络隔离，防止影响扩大。 （3）及时取证，分析、查找原因。 （4）消除有害信息，防止进一步传播，将事件的影响降到最低。 （5）在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。

七、做好准备，加强防范。信息中心成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到位，创造良好的网络环境。

八、加强网络用户的法律意识和网络安全意识教育，提高其安全意识和防范能力；净化网络环境，严禁用于上网浏览与工作无关的网站。

九、做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。

十、网络安全事件报告与处置。

事件发生并得到确认后，有关人员应立即将情况报告有关领导，由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作，有关违法事件移交公安机关处理。

第2篇：信息安全事件报告范文

中图分类号：TP309 文献标识码：A 文章编号：1009-914X（2016）19-0361-01

1 引言

信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

在等级保护工作中我们都能做到“明确重点、突出重点、保护重点”，将有限的财力、物力、人力投入到重要信息系统的安全保护中去。对重要的信息系统我们在技术上都能按照等级保护要求部署相关安全设备，但是，仅仅这样就做好安全等级保护工作了么？实际上安全管理在保障信息系统的安全中发挥着重要的作用，俗话称“三分技术七分管理”，所以无论是信息系统运行使用单位还是信息系统安全测评人员都不应该忽视安全管理在信息系统安全中的作用。

在实际工作中，我们往往能看到一些这样的情况，如领导不重视，安全措施、安全制度不落实等非技术问题造成的安全事故。实际上这些问题是可以提前预测和预防的，如果依照国家规定开展信息安全等级保护的测评和整改，那么泄密事件就有可能避免。

做好非技术保护工作主要需要做好以下几点：

2 安全管理制度

安全管理制度内容包括管理制度、制定和、评审和修订 3 个部分。管理制度在整个系统中属于大纲，安全管理政策和制度的制定与正确实施对信息系统安全管理起着非常重要的作用，他告诉我们那些行为是属于安全管理禁止的行为，不仅促使全体员工参与到保障信息安全的行动中来，而且能有效地降低由于人为操作失误所造成的对系统安全的损害。通过制定安全管理制度，能够使责权明确，保证工作的规范性和可操作性。管理制度的建立不仅包含了传统管理方式的特点，也融入了信息安全的特性。

存在问题：1）多数单位的管理制度不完善，缺乏顶层的安全方针、安全策略等；2）只建立了安全管理制度，对于重要操作的操作规程缺失；3）管理制度的执行情况不理想，执行记录缺失。

解决办法：

建立完善的管理制度，补充、制订缺少的各项安全管理制度，完善已有安全管理制度文档，逐步形成由安全政策、管理制度、操作规程等构成的、全面的信息安全管理制度体系。加强对员工的培训，注重安全意识的教育和日常操作行为规范性教育，并建立内审和管理评审制度，定期对安全管理制度的执行情况、适用性等进行审查。

3 安全管理机构

好的制度还必须执行才能起到有效的作用，安全管理机构内容包括岗位设置、人员配备、授权和审批、沟通和合作4个部分。安全管理的重要事实条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构，这是信息安全管理得以实施、推广的基础。对建立完善的安全组织机构、明确人员的安全职责和权限、完善安全沟通机制和安全检查流程等进行规范。通过构建从单位最高管理层到执行管理层再到具体业务运营层的组织体系，明确各个岗位的安全职责，为安全管理提供组织上的保证。

存在问题：对技术人员和操作人员的日常行为进行规范管理，造成技术和管理分离，技术不能发挥最大的作用。

解决办法：建立安全管理机构制度，规范人员管理，增强安全知识、意识培训安全职责与人员岗位应更好地融合在一起，可在设置安全管理机构的基础上，设定安全管理员岗位，明确安全管理 员职责，规定各运维人员的安全职责和义务。对关键岗位人员、重要部门的员工定期开展信息安全意识教育，加强人员安全意识和安全技能培训，逐步形成群防群治的工作机制，使安全管理融入到日常工作中。

4 人员安全管理

人员安全管理内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理5个部分。

人是信息安全中最关键的因素，信息系统整个生命周期都需要人来参与，包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人员的安全问题没有得到很好的解决，任何一个信息系统都不可能达到真正的安全。因此需要对人员的招聘、入职、转 / 离岗、培训、考核等阶段提出相应的安全要求，并将外部人员访问管理进行了明确的规定。只有对信息系统相关人员实施科学、完善的管理，才有可能降低人为操作失误所带来的风险。

存在问题：人员分配、管理不完善，而运维人员则更专注于设备和系统的正常运行，导致安全管理活动难以系统、持续地开展，不能作为常态工作。

解决办法：建立人员安全管理制度，加强对外包人员的安全管理，签署保密协议，制定外包人员管理制度。组织外包人员学习内部的相关安全管理规定，进行安全技能和安全意识培训。制定重要活动的审批流程，加强访问控制及监督等方面的管理。

5 系统建设管理

信息系统建设管理内容包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、 系统交付、系统备案、等级测评、安全服务商选择11个部分。每个部分都涉及多个活动，只有对这些活动实施科学和完善的管理，才能保证系统建设的进度和质量。

存在问题：1）外包软件开发没有根据需求检测软件质量，没有进行软件代码安全检测；2）很多系统没有在项目验收阶段没有第三方安全性验收测试报告。

解决办法：建立系统建设管理制度，在允许的条件下，对软件改造，增强软件的安全功能，开展第三方安全符合性测试。

6 系统运维管理

信息系统建设完成投入运行之后，接下来就是如何维护和管理信息系统。系统运维管理内容包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理13个部分，基本覆盖了各项日常运维活动。对系统实施有效、完善的维护管理是保证系统运行阶段安全的基础。这些要求能够保证运维工作全面、有序地开展。

存在问题：1）设备配置管理不规范，没有相关的制度或流程 ；2）没有安全事件报告和处置制度，没有制定相应的处置流程 ；3）系统没有建立应急预案，应急演练不充分 ；4）对商用密码和电子认证、数字签名的认识和管理不到位。

解决办法：建立系统运维管理制度，完善安全事件报告和处置制度以及对商用密码和电子认证、数字签名的认识和管理，加强应急预案制度的管理与执行，建立规范的制度或流程

第3篇：信息安全事件报告范文

据悉，此项规定同重庆市公安局7月6日公布实施的《关于加强国际互联网备案管理的通告》（下称《通告》）不无关系。根据《通告》，个人上网应当进行国际联网备案，包括通过拨号或专线等方式上网的个人用户。其中，个人用户备案由其互联网接入服务提供单位代为办理，并应当如实填写《个人用户备案表》。

《通告》公布后立即在社会上引起极大关注。不少民众将其简单理解为“个人在家中上网也要向公安备案”，并对警方行为提出质疑，认为其涉嫌侵犯了公民的隐私权。一时舆论哗然，在网络上的声讨尤为激烈。

重庆警方迅速予以回应，解释称，市民在申请上网业务时进行备案登记，实行上网实名制，是一种通行做法，并非要监控网民每天何时上网、上哪些网，不会给网络用户造成困扰。警方还强调，以往个人用户到电信、移动等互联网接入服务提供单位办理上网手续时，都要填写由公安部门监制的个人身份资料，实际上就是一种备案。这次只不过是对以前备案加以明确，并要求以前由互联网接入服务提供单位保存的个人用户资料，要提交公安机关备案。

1997年公安部《计算机信息网络国际联网安全保护管理办法》，亦要求个人上网进行备案。北京市公安局1996年的《关于加强计算机信息系统国际联网备案管理的通告》中规定，“申请与国际联网计算机信息系统的使用单位和个人，应当在网络正式联通后三十日内到备案机关办理备案手续”。因此，“个人上网备案”并非重庆市公安局首创。

据统计，截至今年6月30日，我国网站总数达78.84万个，网民人数达1.23亿。在2亿中小学生中，上网学生已达3000万。与之相伴，网络与信息安全问题也日益突出。从2002年到2005年仅四年间，我国有关部门接到的网络安全事件报告已从1761件猛增到12.3473万件，日均超过338件。网络犯罪每年也以近千件的速度增长。这也是重庆《通告》出台的一个重要背景。

第4篇：信息安全事件报告范文

近年来，信息技术在金融业广泛应用并日渐深入，正在改变着支付与结算、资金融通与转移、风险管理、信息查询等金融基本功能的实现方式，金融业对信息技术的依赖程度日益提高，金融信息系统的开放性进一步增强，信息安全保障难度加大，给我国金融业信息安全管理带来新的挑战，同时也给人民银行在“十二五”时期履行好金融业信息安全管理职能带来新的考验。本文以维护金融稳定特别是维护金融业信息安全为视角，以西双版纳州辖内银行业金融机构为例，对全州金融业信息安全状况进行调查分析，力求为基层人民银行更好地履行金融业信息安全管理职能提供决策参考。

一、西双版纳州金融业信息化发展现状

近年来，随着国家继续实施西部大开发战略，实施把云南建设成为中国面向西南开放的“桥头堡”战略，随着中国-东盟自由贸易区建成和澜沧江-湄公河次区域合作不断深入，西双版纳以生物多样性为特点的自然资源优势和以毗邻东南亚为特征的区位条件优势逐渐显现。“十一五”期间，西双版纳州经济与金融良性互动，货币资本与实体经济比翼双飞，全州金融业实现历史性的新跨越，全州金融组织体系不断健全，全面消除了金融服务机构空白乡镇；金融机构存贷款余额实现翻番，金融机构以强劲地信贷资金投入支撑了全州经济快速发展。截止2010年末，全州有10家银行业，共有金融机构营业网点137个、从业人员1407人；全州金融机构各项人民币存款余额256.88亿元，比上年末增长27.22%，全年累计增加存款54.97亿元，年度存款增量创历史新高；全州金融机构各项贷款余额145.29亿元，比上年末增长20.92%，全年累计增加贷款25.14亿元，年度贷款增量创历史新高。金融业快速发展的同时，也给人民银行履行金融稳定职能特别是履行金融信息安全管理职能带来了新的挑战。

据调查显示，随着金融业的快速发展，辖内各金融机构信息化建设水平得到了持续改进和提高，初步建成了规范、方便、高效的信息化服务体系，从调查情况看，目前西双版纳州金融业信息安全状况总体良好，主要表现为：

――信息安全组织机构健全。近年来，全州各金融机构逐年加强对金融信息安全的重视，现场调查显示，目前除小额贷款公司主要依靠传统手工方式开展业务外，其他金融机构均设置有科技部门或科技岗位，机构及岗位职责明确，相关人员对金融信息安全形势及自身的信息安全管理情况把握比较准确，能够较好的履行信息安全管理职责，基本建立起一套较为完备的信息安全工作组织体系，为全州金融信息安全管理工作的开展提供了组织保障。

――信息安全管理水平稳步提高。一是各金融机构都建立相应信息安全管理制度，部分金融机构还高度重视对干部职工的信息安全教育，制定有相应的信息安全奖惩措施，提高了信息安全思想防线；二是信息化的快速发展助推信息安全工作的持续进步，特别是以综合业务系统整合、数据集中为主要特征的银行信息化发展到了一个新的阶段，总体看，各金融机构基本都建成了较为成熟的信息化支撑保障平台，金融业务数据全部实现省级以上的集中，地市分支机构基本无数据和相应的服务器设备，金融业务数据和办公数据全部实现网络物理隔离，金融业务数据安全传输可控水平进一步增强。

二、西双版纳州金融业信息化发展及信息安全管理存在的主要问题

调查显示，尽管西双版纳州金融业信息安全管理水平在近年得到了较大提高，建立起初步的信息安全管理体系，但也仍然存在一些亟待解决的问题，各金融机构信息化发展中对信息安全的整体解决方案考虑不够，存在不同程度的管理缺陷，制约了管理效率的提高。部分大银行和新兴中小金融机构，由于信息化建设起步较晚，信息化服务和信息安全保障水平仍较低，整个金融业呈现出“信息化建设及安全保障能力差异性大”的特点，金融业的信息安全保障还面临诸多问题。

（一）金融业信息化发展及安全管理水平差异明显，行业监管难度较大

调查发现，金融机构地市分支机构没有信息化建设的自主规划及建设权限，各金融机构的信息化建设主要依靠其总部或省级机构进行统一规划和组织实施，各金融机构的信息化战略自成体系、差异较大，主要体现在数据集中层次和系统整合程度差异明显，网络架构及网络保障水平、ATM设备及客户端安全监控管理水平参差不齐，其中以中国银行、建设银行等为代表的部分国有大型商业银行目前的信息化建设已取得较好成效，无论是在系统整合、数据集中乃至网络建设等方面都已达到了较高的水平，处于相对稳定的状态。而另一方面，人民银行及部分大型国有商业银行的信息化仍处于大规模建设之中，人民银行目前的数据集中及系统整合工作仍处于初级阶段，中国农业银行也正处于大规模的信息化建设进程之中，邮政储蓄银行目前还与中国邮政共用网络设备及线路，云南省农村信用联社目前还未建立灾难备份中心，其他中小金融机构由于其信息化建设起步晚，在人员教育培训、安全意识等方面相对薄弱，无论是在信息化建设还是在安全管理方面都还处于起步阶段，信息化支持金融业务发展的能力相对较弱。

（二）缺乏行业级信息化及安全管理标准，信息安全监管面临操作难题

与金融业信息化的高速发展相比，金融业信息安全的指导、监管工作还需进一步加强。人民银行在金融信息化规划、信息标准、信息安全等诸多方面承担着重要职责，特别是在面对高科技企业及综合服务机构巨大冲击的情况下，金融业必然要依靠信息化以实现从传统金融机构向现代金融服务业的转变，金融信息化和信息安全管理将是一个动态发展变化的过程，而从当前情况看，人民银行对金融机构信息安全工作的指导和监管，还处于初级探索阶段，特别是人民银行各分支机构对各金融机构信息安全的指导和监管目标还缺乏完整全面的认识，缺乏监督管理的依据标准及相应的监管操作实施细则，加之相应的人才队伍储备不足，从而导致监管措施不到位，监管手段缺失，致使基层人民银行对金融业信息安全监管缺乏主动性，金融机构对人民银行履行金融信息安全管理职能的认同感不高，监管效果不明显。

（三）信息安全人员队伍素质与信息安全形势发展需要存在差距

从科技人员配备来看，目前辖内除农行由于机构网点较多而配备有一定数量科技人员以外，其他金融机构基本仅有一名兼职科技人员，整体看各金融机构的基层科技人员定位正处于不断弱化的趋势，绝大部分金融机构的信息安全管理职能已逐步上收，风险点逐步上移，对于信息化建设水平较高的金融机构而言，基层金融机构科技工作及信息安全工作的淡化是信息化建设进步的必然趋势，而对于那些还处于信息化建设快速发展的金融机构乃至中小金融机构而言，科技人员配备不足必然会造成一定的信息安全风险隐患。

从人民银行的信息安全队伍建设来看，当前人民银行自身的信息化建设还处于蓬勃发展中，系统整合、数据集中仍处于不断探索过程，信息化基础设施仍较为薄弱，随着人民银行自身信息安全管理要求的逐步提高，人民银行自身的信息安全管理也面临巨大挑战，而从履行金融业信息安全的角度来看，由于金融业信息化发展差异较大、涉及面广，对人民银行的信息安全管理队伍建设提出了更高的要求，而当前地市人民银行仅有一名兼职的信息安全管理人员，无论从数量还是素质上都难以适应当前金融业的信息安全管理要求。

三、推动金融业信息安全管理的意见和建议

在新形势下如何指导和协调金融业信息化建设和信息安全管理，是人民银行需要认真思考的问题。金融业信息安全管理是防范和化解金融风险、维护金融稳定工作的重要组成部分，要依靠法律、管理机制、技术保障等多方面相互配合，形成一个完整的安全保障体系，从根本上降低安全运行风险，形成金融业安全稳定的良好局面。

（一）加强调查研究，明确金融信息安全工作的目标和思路

人民银行科技部门要认清形势、顺应发展、深入思考各层级人民银行分支机构在金融信息化建设和信息安全管理中的作用地位，面对金融业信息化发展及信息安全管理的巨大差异，人民银行应进一步加强调查研究，一方面要加强对人民银行基层行的调查研究，切实处理好基层人民银行信息化建设与人民银行职责履行的关系，不断优化人民银行网络及系统架构，进一步加快基层行业务、办公、安全运维类系统的整合和集中，更加关注信息安全的整体解决方案，找准基层央行内部信息安全工作的重点。其次是要加强对地方法人金融机构及中小金融机构信息化和信息安全的研究，切实掌握金融业信息化发展及信息安全管理现状，充分借鉴国内外成功经验，不断探索传统金融行业向现代金融服务业转型的有效途径，深入分析研究金融业信息安全风险隐患，进一步明确金融信息化及信息安全管理工作的目标和思路，明确金融业信息化技术架构和管理框架，从而为有针对性地制定对金融业的信息化及信息安全发展规划指引及制度保障体系打下基础。

（二）加快构筑金融信息安全工作的制度保障体系

一是要在充分调查研究的基础上，加快金融业信息化及安全管理的制度体系建设，明确金融信息安全管理工作中人民银行及各金融机构的职责权利，特别是要明确人民银行各级分支机构的职责要求，其中总分行应侧重于制定标准和对全国性金融机构的监督管理，人民银行基层分支机构应加强对地方法人金融机构及中小金融机构的服务指导，逐步构建科学合理的组织分工体系，确实发挥央行在履行金融信息安全管理指导、标准化战略制定等方面的重要作用，借鉴国内外成功经验，尽快出台金融业信息化发展及信息安全建设规划指引，加强信息化规划指导和管理，稳步推进系统整合、数据集中、灾备中心建设、银行卡联网通用、网上银行及第三方支付平台安全控制规范、外包服务管理、客户端安全控制规范、系统等级保护等一系列基础工作的深入开展，明确金融业信息化的技术架构体系和软硬件选型要求，稳步减少对国外技术和产品的依赖，逐步构筑高效、安全的金融信息化服务保障体系。二是要结合金融业的不同实际，区别对待，尽快出台金融业信息安全检查管理办法、金融信息安全事件报告制度、金融信息安全事件通报制度、接入人民银行信息系统管理办法，明确标准要求和操作程序，确实增强信息安全管理工作的可操作性，进一步推动信息安全工作的长足发展。

（三）努力打造金融业信息安全管理工作平台

一是要努力营造金融业信息安全管理工作履职氛围。加大宣传培训，切实把金融信息安全工作放到维护金融稳定的高度来抓，加大对金融信息安全事件的查处和通报力度，不断增强金融机构对信息安全工作的重视程度，使其进一步认清人民银行在金融信息安全管理监督工作中的重要作用，营造良好的金融信息安全履职环境。二是要搭建金融信息安全工作沟通协调机制，通过建立定期联席会议制度、建设信息安全监督管理系统、畅通安全信息交互沟通渠道、明确信息安全事件应急管理处置流程等多种手段，不断增强金融信息安全管理效率，促进信息安全管理监督工作的顺利开展。

（四）重视信息安全人才队伍培养，增强信息安全保障能力

面对金融业信息化发展及安全管理现状的巨大差异，人民银行务必高度重视信息安全工作队伍的培养工作，确实打造一支业务素质高、工作能力强的信息安全工作队伍，为人民银行确实履行好金融业信息安全管理职责做好人才智力保障；各金融机构也应按照金融机构信息化发展及信息安全建设规划要求，配备一定数量的信息安全管理人员，减少在人员上对外部或对上级的过度依赖，增强自主运行维护管理能力、提高对大集中之后分散风险的处置能力，切实保障信息安全工作的连续性和稳定性。

第5篇：信息安全事件报告范文

关键词：校园网；网络安全；网络管理

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校园网络作为信息化校园的重要组成部分，在全国各高校大规模展开，已近十年的历程。校园网的建设重点已从最初单纯的网络硬件铺设，简单的Internet接入，小规模离散的应用，发展到大规模成系统的网络应用。近年随着网络技术的快速发展，网络应用日益普及，学校的教学和管理对校园网的依赖程度不断加大。网络的脆弱性，使得依赖于网络的教学与管理面临着安全威胁，网络安全成了校园网建设的焦点问题。构建安全的校园网并不是简单的堆砌网络安全技术或安全产品，它不仅涉及到技术层面，也涉及到非技术层面。本文似从技术和管理两个层面来探讨如何构建安全的校园网络系统。

2 校园网的特点及安全现状分析

校园网有着自己鲜明的特点：一是大规模、高速网络环境，主要表现为用户数据庞大、地域分布的多校区网络和快速局域网技术；二是复杂的应用和业务类型，主要表现为公共服务、科研应用、教学辅助、学生管理、行政管理、教学管理和普通上网应用等；三是活跃的、不同使用水平的网络用户群体，即有普通的用户群、又有管理用户群，还有网络相关专业的学生用户群，他们网络应用目的不同，对网络的熟悉程度不同；三是大量的非正版软件和电子资源；五是开放的环境和宽松的安全管理体制；六有限的资金投入。这些特点使得校园网既不像Internet那样毫无限制，又不像电子商务企业那样为强化安全与保密而严加管理和控制。

校园网的上述特点，使得校园网一方面要面临一般企业网络所必须面对的各种安全威胁，如：普遍存在的计算机系统漏洞产生的各种安全隐患；计算机蠕虫、木马、病毒泛滥，对用户主机、应用系统和网络运行构成的严重威胁；外来的攻击、入侵等恶意行为、垃圾信息和不良信息的传播行为等。另一方面校园网又不得不应付来自内部的安全威胁，如内部用户的攻击行为，对网络资源的滥用行为等等。

3 校园网安全需求分析

在校园网的安全设计中，必须考虑到校园网的上述特殊性。不能将整个校园网作为单一的安全区域，必须根据不同的应用类型、不同的服务对象将校园网划分为具有不同安全等级的区域，并针对这些区域进行专门的安全设计。一般来说，我们可以将校园网分为：学生网络、教学管理网络、公共应用服务网络、网络管理系统和分校区网络等几个部分。下面对这些网络的安全需求进行分析。

3.1 Internet连通性的安全需求

Internet连通性是校园网最重要的功能，一方面要满足内部用户的Internet访问要求，另一方面又要对外Web服务、电子邮件服务和FTP服务等公共服务。而Internet却是攻击和威胁的重要来源，阻断所有不能接受的访问流量是最基本的安全需求，同时保持对来自Internet的网络攻击的检测能力，是防范求知攻击的必然要求。与内部用户的上网需求相比，校网园对外的公共服务应该受到更好的安全保护，在设计时必须给予重点考虑。

3.2 学生网络的安全需求

学生网络两大特点：一是用户数量多数据流量大，学生是P2P(peer-to-peer)应用的热衷者，而P2P应用则是网络带宽的“杀手”，2006年我院对拥有1100多用户的学生网络进行了一项测试，使用一款“P2P终结者”软件来屏蔽P2P数据包，结果网络出口总流量骤降一半，据此可以估算有50%网络带宽被P2P软件所消耗。事实上这个估算是保守的，有研究表明，P2P流量取代了HTTP流量成为Internet流量的主体，占Internet中总流量的60%~70%，占最后一公里接入网流量的80%[1]；二是用户类型复杂，2007年我院的一次问卷调查表明，85%以上的学生缺乏网络安全意识，近5%的学生用户偶尔尝试过网络攻击，近0.2%的学生在研究网络攻击技术，他们是内部攻击的主要来源，也是最主要的病毒源和木马源。因此在进行网络安全考虑时，首先要对来自学生网络的带宽进行限制，以保证网络资源的合理分配；其次要约束学生网络对校园网关键服务的访问，尽最大努力过滤其运行特定应用程序的能力；同时还需要加强对网络流量嗅探和中间人攻击(MITM)的防范能力，以减少学生相互间的攻击。

3.3 教学管理网络的安全需求

鉴于教学管理数据的安全性需求高，教学管理网络与学生网络绝对不能位于同一个信任级别，应该有更高的安全需求，给予保护并与校园网络的其他部分进行隔离。主要有以下三项安全措施，一是设置防火墙实施访问控制；二是设置入侵检测系统进行网络安全监测；三是强化论证，虽然加密所有教学管理应用程序太过繁重，但是对于某些关键系统（会计和学生记录）应该要求强认证。

3.4 网络管理系统的安全需求

网络管理系统负责整个校园网的通畅和安全管理工作，确保网络管理系统的安全是非常重要的工作，因此应该设置防火墙将管理网络与校园网的其它部分进行隔离加以保护。

3.5 分校区网络连接的安全需求

分校区和远程用户都需要直接访问校园网内部的服务，出于资金考虑，多数的分校网络都没有专线连通，部分学校尝试无线通信，实际情况看来，其保密性和稳定性都不高。比较经济实用的解决方案就是，使用虚拟专用网（VPN）技术穿过广域网(WAN)。

4 校园网结构的安全设计

基于上述校园网安全的分析，我们可以设计出如图1所示的安全校园网络系统。

4.1 校园网边界安全设计

Internet接入是校园网最基本的业务需求，与Internet相比，校园网内部自然是一块相对单纯的可信任安全区域，为保证校园网内部的安全性和校园网公共服务的可访问性，需在校园网边界进行如下安全设置。

一是设置防火墙：防火墙首先要提供入网级的访问控制功能，以有效地阻断来自Internet的非法访问；其次要提供虚拟专用网（VPN）功能，借助广域网实现远程分校区网络的安全连接，使得访问远程校园网络，如同访问本地网络一个方便安全，在保证安全性的同时还可以节省出专线费用；最后还应具备网络地址转换功能（NAT），使得Internet用户可以访问校园网内部的公共服务。二是设置AAA认证服务器，提供对用户身份认证、安全管理、安全责任跟踪和计费等功能。三是设置网络入侵检测系统（NIDS），同时可在边界路由器上启用NetFlow功能，以加强对非法入侵和恶意攻击行为的检测和发现能力，为网络管理员提供网络异常事件的处理能力。

4.2 学生网络的安全设计

从前面的校园网业务需求的安全性分析可知，校园网内部并非铁板一块，不同的业务需求对安全性的要求是不同的，相对来说学生网络的安全级别最低。针对学生网络用户数量庞大、用户类型的复杂性的特点，主要可采取以下安全措施：一是为保证网络资源的合理有效分配，必须进行网络流量限制；二是在交换机处提供必要的第二层安全控制，以减少网络流量嗅探攻击，中间人攻击(Man-in-the-middle-attacks，简称:MITM攻击)；三是在不同学生网段的路由器上设置无状态ACL，以实现数据过滤。后两项措施可以缓解学生系统之间的相互攻击。总体上讲，学生网络的安全防护功能是相当弱的，主要的安全防护功能落在了学生主机上，因此必须加强网络安全教育，提高学生的安全防范意识和能力。但是较低的安全防护设计却给学生创造了一个相当宽松的网络环境。

4.3 教学管理网络和公共服务网络的安全设计

教学管理网络和公共服务网络的服务器中存在着大量敏感的数据，比如说学生成绩和学生注册信息，它们极易受到来自于Internet及学生网络的攻击，因此也就提出了更高的安全需求。对教学管理网络和公共服务网络的安全设计，相当于在校网络的基础上建立起一个安全性更高的内部网络。其安全设置类似于校园网与Internet之间的安全设计，如添加防火墙进行访问控制，增加NIDS进行入侵检测。从图中可以看到，对学生网络来说，它有一道防护屏障，而相对于Internet再说，它受到两道防护屏障的保护。这是一个合理的安全等级层次。

4.4 管理网络的安全设计

管理网络看似类似于行政网管，需要使用防火墙进行保护。但是它有完全不同的业务需求，它负责整个网络的安全管理，要根据各种校园网络设备的管理需求，设置允许入站和出站的特定连接。因为它的周围有许多不可信的网络，在网络设备与管理网络进行数据传送时，必须保证数据的安全保密性，因此数据传递过程中的安全要求较高，在数据通信需要使用SSH/SSL等安全通信协议。对于那些不支持SSH/SSL的网络设置，只能使用如Telnet之类的明文管理协议，在这种缺乏安全协议的情况下，应该限制可访问Telnet后台程序的IP地址，以增加这些网络设备管理的安全性。

5 校园网安全管理

校园网的安全性不仅仅是一个技术问题，还需要安全管理的支持。安全的校园网络系统是安全技术与安全管理有机结合的整体，它遵循所谓的“木桶原理”。正如木桶的容积决定于它最短的木板一样，校园网系统的安全强度等于它最薄弱环节的安全强度。经验表明，得不到足够重视的网络安全管理恰恰是校园网安全系统中最薄弱的一个环节。安全专家们则强调网络安全靠的是“三分技术，七分管理”。

为加强校园网的管理，需要做好以下四项工作：一是观念的更新，网络安全不止是技术部门和专业人员的责任，应该得到学校高层的充分重视，需要所有的网络用户的共同遵循安全规则；二是建立网络安全管理机构，明确权力和负责，从组织机构上保障网络安全管理的有效实施；三是制订网络安全管理制度，明确校园网用户的权利和义务，使用户共同遵循校园网使用规则；四是建立完善的安全管理及应急响应机制，以对突发性安全事件做出迅速准确的处理，最大限度地减少损失。

安全事件处理机制的建立往往是校园网安全管理的盲区。与国防、金融等机构比起来校园网的安全级别低，应付安全突发事件的重要性并不是太突出。而且在一般情况下，意外事件发生的几率不高，应付安全突发事件的必要性也往往被忽视。但是100%安全的网络是不存在的，如果不能对网络安全事件做出迅速而准确的响应，就有可能造成重大的损失。事实是，历史上几次重大的安全突发事件所造成的恶劣影响，使得各国都非常重视紧急事件响应处理。美国国防部于1989年资助卡内基.梅隆大学建立了世界上第一个计算机紧急响应小组CERT（Computer Emergency Response Team）及其协调中心CC(Coordination Center)。CERT/CC的成立标志着信息安全由传统的静态保护手段开始转变为完善的动态防护机制。此后在20世纪90年代，计算机安全应急处理得到了广泛而深入的研究。在我国，中国计算机教育与科研网(CERNET)于1999年成立计算机紧急事件响应组织(CCERT)，是国内第一个安全事件响应组织；2000年3月，中国计算机网络应急处理协调中心(CNCERT/CC)成立，该中心在国家因特网应急小组协调办公室的直接领导下，协调全国范围内计算机安全事件响应小组的工作，并加强与国际计算机安全组织的交流。

在校园网建设中，借助CERT的理念和研究成果，建立必要的网络管理和应急响应机制将有利于规范和提高校园网安全管理能力。图2所示，是一个可行的网络管理和应急响应机制构建方案，说明如下。

1) 网络安全的日常管理：在校园网的关键部分加强网络安全的日常管理，使日志检查、漏洞扫描、系统升级、病毒防御等工作制度化、常规化，尽量减少因管理员疏忽等主观因素而引起的安全事件。建立责任追究制度，强化网络管理人员的责任心。

2) 网络安全应急小组：接收并处理来自用户的安全突发事件，NetFowl等流量分析的异常报告、入侵检测系统的入侵警告和日常管理中的安全事件报告。通过分析调查，决定采取相应的应急处理措施，如系统隔离、事件跟踪、漏洞修补、安全策略调整、系统恢复和统计报告等等。同时为广大用户提供各种安全服务，如安全咨询、安全教育和安全工具等等。

6 小结

网络安全是当前校园网建设和应用的焦点问题，本文从技术和管理层面深入地讨论了安全校园网系统的建设问题。在技术层面上，需要根据校园网应用的不同，划分不同的安全等级区域，并针对各个区域的应用需求进行安全设计；在管理层面上，特别强调建立网络安全管理及应急响应机制，保障网络管理的规范化、制度化，提高网络安全管理能力。

参考文献：

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.

[2] Convery S.网络安全体系结构[M].江魁,译.北京:人民邮电出版社,2005.

[3] 连一峰,戴英侠.计算机应急响应系统体系研究[J].中国科学院研究生院学报,2004,21(2):202-209.

第6篇：信息安全事件报告范文

按照全县公共安全防控体系建设的要求，初步建立起*县电力公共安全各类突发事件应急处理机制，使各类应急预案“层次分明、上下一致、分工明确、相互协调”运转，更加有效地预防控制、最大限度地降低因突发事件引起的人员伤亡、设备损坏、财产损失、不良社会影响，努力实现电力公共安全事故的全面防控，提高全民安全意识，最大限度地维护人民群众的生命财产安全，为全县经济发展和社会稳定提供有力的电力安全保障。

二、指导思想

坚持以科学发展观为指导，以人为本，着力构建和谐社会，努力提高公众公共安全意识，实现公共安全事故的全面防范，最大限度预防遏制重特大公共安全事故发生，切实保障人民群众的生命财产安全和社会稳定，促进全县经济社会持续快速发展。

三、组织机构

1、领导机构：成立由县委常委、县政府副县长张璋任组长，县经委主任刘海清任副组长、县水利局局长蒲亚平、县安监局局长曾文、县公安局副局长刘茂森、县经委副主任刘沛、县公安消防大队大队长任辉、省电力公司*供电公司总经理丁华等相关部门负责人为成员的电力公共安全应急领导小组（以下简称领导小组）。

2、工作机构：领导小组下设办公室，作为电力公共安全的工作机构，由县经委主任兼任办公室主任，主要承担电力公共安全的日常工作，上传下达，及时通报有关涉及电力公共安全的事宜，负责红色、橙色、黄色和蓝色（Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级）四级预警，红色为最高级别，同时要求应急处理组织体系的相关人员进入待命状态。

四、工作职责

1、贯彻落实国家和省、市、县有关电力公共安全工作的政策方针、法律、法规，执行省、市、县有关电力公共安全事故包括电力生产事故、电力设施破坏、严重自然灾害、对社会造成严重影响等应急处理的规程、规定。

2、启动及终止电力公共安全应急预案的指令，指挥县经委、省电力公司*供电公司的应急处理工作，研究应急处理中的重大问题并决定处理方法。

3、组织制订全县电力公共安全事故应急处理预案并定期对其评估，通报电力运行安全状况。

4、接受县政府及上级应急处理指挥部的领导。

5、报道、通报和电力公共安全事故应急救援和处理的进展情况。

6、及时上报电力公共安全事故情况，协助县政府应急办及上级应急处理指挥部进行事故调查、分析、处理。

五、防控范围及内容

电力公共安全的可控范围主要是指全县行政区域内的城镇和农村电力系统安全稳定，保证电力正常供应，防止和杜绝人身死亡、大面积停电事故、主设备严重损坏、电厂垮坝、重大火灾等。主要内容包括：本辖区内电力企业的输、变、配电设备事故应急处理、冰冻雨雪灾害下保供电的快速应变能力、人身伤亡事故应急处置、重点电力客户停电事件应急处置、电力系统网络与信息安全突发事件处置、洪涝灾害下保证供电的快速应变能力、抗震救灾抢险应急处理能力等等。适用范围：本行政区域辖区内电力生产事故、电力设施破坏、严重自然灾害、对社会造成严重影响的供电中断等突发事件应急处理工作。

六、防控措施及预警救援

（一）电力企业采取的防控措施及预警救援

1、省电力公司*供电公司应当按照电力建设规划，科学布网，安全施工，不得使用国家明令淘汰的设备和技术。

2、电力企业应当对电力设施定期进行检测和维护，严格保护电力设施，确保安全运行。

3、当突发电力安全事故发生时，省电力公司*供电公司公司根据电力公共安全应急领导小组的要求，按照“统一领导、分工协作、反应及时、措施果断、依靠科学”的事故应急处理原则处理突发电力公共安全事故。

4、省电力公司*供电公司所属供电区域在发生突发公共安全事件第一时间，现场有关人员应立即报告本单位负责人。单位负责人接到事件报告后，应迅速采取有效措施，组织抢救，防止事态扩大，减少人员伤亡和财产损失，并按照规定及时上报，不得隐瞒不报、谎报或者拖延不报，不得故意破坏事故现场，销毁有关证据。

5、可以预警的自然灾害、事故灾难，按照突发事件发生的紧急程度、发展势态和可能造成的危害程度分为Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级，分别用红色、橙色、黄色和蓝色标示。当县政府发出橙色、红色预警时，电力企业要做好应急预案启动的准备，同时要求应急处理组织体系相关人员进入待命状态。

6、当发生严重自然灾害及大的电网、设备事故等需要多方协作、支援时，电力企业须立即呈报县政府调度一切有效资源，进行抢险与救援。

（二）政府电力主管部门采取的防控措施及预警救援

1、开展电力设施保护的宣传教育，会同电力企业及有关单位落实电力设施安全保护责任制，处置电力违法行为。

2、督促电力企业对电力设施进行定期检查和维护。

3、当发生突发性电力公共安全事故时，由电力公共安全应急领导小组及时将相关信息报送县政府应急办，并根据突发事件发生的紧急程度、发展势态和可能造成的危害程度发出预警信息。

4、根据县政府应急办的指令，及时启动各类应急预案，开展工作，敦促电力企业保证事故抢险救灾的电力供应，保证重要用户的安全可靠供电，尽快组织电力企业排除电网险情，修复受损设备设施，恢复灾区供电。

5、及时报道、通报突发电力公共安全事故应急救援和处理的进展情况，指挥或配合县政府应急办进行事故调查、分析、处理。

第7篇：信息安全事件报告范文

关键词：商业银行；电子商务；风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等，而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来，我国面临的网络仿冒威胁正在逐渐加大，仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件，超过2004年全年案件数，商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)－逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全，人与计算机之间的交互主要局限在大型计算机上的哑终端，安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段，由事件驱动，没有形成规范的管理流程。在此阶段的前期，只重视技术手段。后期开始重视管理手段，但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度，但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑，形成一套较为完整的安全管理策略，其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略，内容也包括了技术手段、安全管理制度、人员安全教育等等，基本上形成体系，技术和管理手段综合统一，但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次，安全管理策略也演进到安全风险管理阶段。主要特点如下：

1.安全风险管理成为主流趋势；在安全管理策略的演进过程中，技术和管理手段综合统一、又融入了风险管理的分析、防范策略，从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One)，认为信息安全问题最终将归结为风险管理问题，风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理，制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》，对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险，在相当程度上取决于采用的信息技术的先进程度，系统的设计开发水平，以及相关设施设备及其供应商的选择等；银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样，监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此，大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法，加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作，从经济学的角度出发分析风险，充分衡量保持安全的代价和收益之间的关系，寻求用最小的代价实现最大的效用，在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略，在全局上缺乏系统论理论的指导，在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞，无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略，以及作为指导意见的规则规范，如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB／T18336．1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》，尽管提出了比较全面的安全风险管理方案，层次上也比较清晰，但是还不足以作为一个风险防范系统。实践中，电子商务组织是一个复杂的系统组织，电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟，定量分析不足

电子商务模式自身的发展历史也不过20几年，在风险分析的定量技术上并不成熟；如BS7799中推荐的电子商务安全风险管理中实施风险评估时，往往将威胁发生的可能性定性划分为几个级别，将威胁所造成的影响也定性划分为1～5级，实质上是将一些按照概率发生的事件定义为不连续的几个级别，在操作上易行，但造成了度量的不精确。在进行监控和审计之后，也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上，电子商务的安全风险无非是新兴的商业模式对传统的风险的改变，以及产生的在传统风险控制领域暂时无法明晰的新风险；现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题，站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次；忽略了风险的整体性，只进行偏信息和技术的研究，导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言，传统金融业务的风险控制与电子商务的技术风险控制，两个方面存在脱节，同样属于商业银行的风险，存在着不同的管理策略，导致多头管理、资源浪费、机构之间的扯皮，乃至缺位管理。

(四)风险管理策略无法

依赖外部的信息安全管理行业

在发达国家，信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门；但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门；风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门；风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如，风险管理部门接受了电子交易部的风险控制报告，表面上履行的内控审核的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想，将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中，经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内，然后进行监控和审计；尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入，从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环，安全风险管理的有效性就上一个台阶，商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中，商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定，商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失，巴塞尔委员会制定资本要求的转换系数；在度量损失的分布时，主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来，利用现有的度量方法进行精确的风险定量分析的尝试。

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统，二者相互联系、相互影响，不可分割。尝试借鉴信用风险与操作风险度量的方法与思想，短期内将其与信用风险控制衔接，最终形成一个全面的商业银行安全风险管理框架。

(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务，采取定期评估审计、不断采取措施改善风险状态的策略；(2)在目前商业银行的组织与管理体制下，风险控制部门与传统金融业务部门的流程需不断改善，商业银行必须创造条件，加强风险管理部门与电子商务部门的交叉配合，包括各部门人员的配置、培训等各方面；使风险管理部门能够履行安全风险管理的监控与审计职能；(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究，不断提高风险管理部门综合控制风险的能力，充分考虑电子商务安全风险与信用风险、操作风险的交叉问题，为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家，信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门；但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门；风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门；风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如，风险管理部门接受了电子交易部的风险控制报告，表面上履行的内控审核的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想，将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中，经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内，然后进行监控和审计；尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入，从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环，安全风险管理的有效性就上一个台阶，商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中，商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定，商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失，巴塞尔委员会制定资本要求的转换系数；在度量损失的分布时，主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来，利用现有的度量方法进行精确的风险定量分析的尝试。

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴