网络信息安全风险分析

网络信息安全风险分析（精选十篇）

网络信息安全风险分析 篇1

物流是指物品从供应地向接受地的实体流动过程，是将运输、仓储、装卸、搬运、包装、流通加工和配送、信息处理等基本功能有机结合的综合服务系统。物流信息网络系统是以计算机网络技术和通信技术有机结合为基础，以物流活动一体化管理为目的，由一系列互相连结的链和点组成的组织或系统，是多个物流实体和资源的核心竞争力的集成，它主要包括物流信息资源系统、物流信息通信、网络系统和计算机网络系统3个子系统，通过系统资源优化整合，为物流网络系统提供信息交互共享的载体，满足供应链物流的市场需求，实现物流网络系统的最优运作。

2 网络安全风险分析

2.1 物理风险

物理风险是指网络周边环境和物理特性引起的网络设备和线路的阻断，进而造成网络系统的阻断。它是整个网络系统安全的前提，主要包括以下内容: (1) .设备被盗，被毁坏; (2) 链路老化或被有意或者无意地破坏; (3) 因电磁辐射造成信息泄露; (4) 地震、火灾、水灾等自然灾害。

2.2 链路风险

链路风险主要是指入侵者通过在传输线路上安装窃听装置，窃取通过网上传输的重要的数据，再通过一些技术读出数据信息，造成信息泄密或者做出一些篡改来破坏数据的完整性。以上种种不安全因素都对网络构成严重的安全威胁。

2.3 网络风险

2.3.1 Internet的风险

(1)入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件，并通过相应攻击程序对内网进行攻击。

(2)入侵者通过网络监听等先进手段获得内部用户的用户名、口令等信息，进而假冒内部合法身份进行非法登陆，窃取内部网的重要信息。

(3)入侵者通过DOS攻击对内部网中的重要服务器进行攻击，使得服务器超负荷工作以至于拒绝服务，甚至导致系统瘫痪。

2.3.2 Intranet的风险

据统计，对网络系统的攻击有70%以上来自企业内部。攻击者可能是企业从前的雇员，也可能是在职员工。由于内部员工对自身企业的网络结构、应用比较熟悉，自己攻击或泄漏重要信息内外勾结，都可能成为导致系统受攻击的最致命安全威胁。

2.4 系统风险

随着软件规模的不断增大，系统中的安全漏洞或“后门”也不可避免地存在。所有网络设备、软件系统都或多或少地存在着各种各样的“后门”和漏洞，这些都是重要的安全隐患。一旦被利用，将带来不可估量的损失。

2.5 数据信息风险

数据信息的安全风险包括:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。

数据信息是网络系统的重点保护对象。对重要的企业级数据、用户信息或者是应用数据库，如果没有进行必要的保护，就有可能被非法盗取或破坏，给企业造成不可估量的社会影响和经济损失。

2.6 电子邮件风险

电子邮件服务器是向全球开放的，电子邮件十分脆弱。从浏览器向因特网上的另一个用户端发送电子邮件时，不仅信件本身很公开，而且无法知道信件在到达最终地点之间经历了多少个邮件服务器，这样很容易被利用，存在极大的安全隐患。

2.7 用户风险

用户风险主要指内部员工的非授权访问、误操作以及安全意识淡薄等等。

系统内部资源不是对任何的员工都开放的，需要相应的访问权限。内部用户的非授权访问，更容易造成系统的资源和重要信息的泄漏。

由于内部用户的计算机水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。

还有，企业员工的安全意识薄弱，经常出现员工在设置自己的网络系统时为了便于记忆而采用个人身份特征的相关信息作为用户名或者密码，或者把重要信息写在便签上贴在办公桌或者醒目的地方;员工有意、无意把硬盘中重要的信息目录共享;机房管理员随便把机房钥匙交给他人等等。这样，很容易造成信息泄露，给企业带来严重的损失。

2.8 管理风险

网络系统的严格管理是企业、机构及用户免受攻击的重要措施。责权不明、管理混乱、安全管理制度不健全或缺乏可操作性等都可能引起管理安全的风险。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。

2.9 病毒攻击

这是最常见的一个网络安全隐患。计算机病毒程序很容易编制，具有一定的潜伏性、特定的触发性、很强的感染性和巨大的破坏性等特性，其危害已被人们所认识。

3 物流信息网络安全风险分析

3.1 交易风险

以电子商务为基础的物流网络系统是现代物流发展的趋势。但是，电子商务中，交易双方不直接见面，在身份的判别确认、违约责任的追究等方面都存在着很大的困难。因此，交易风险成为威胁物流信息网络安全的一个新隐患。

3.2 信用风险

信用风险一是指对方不履行金融义务而使企业发生损失。如货主提交电子订单后不付款、托运方在货物抵达后拒绝按网络合同签订价格交接货物等。二是指企业不能及时地、准确地、按质按量地完成订单而失信于客户。当客户迟迟不能收到订货时，物流企业的信誉期望将会大大降低。对物流企业而言，信誉损失往往比金钱损失更加惨重。

3.3 法律风险

由于电子商务是在虚拟的网络空间进行，电子商务交易可以看作是无纸贸易，这样就容易引发种种新的法律问题，如电子合同、电子签名、电子商务认证、电子数据证据、网上交易与支付等等。而规范这些数字交易的法律体制尚不成熟，这就使得某些合同、签名和承诺的合法性难以保证，这就给企业带来了新的风险。

3.4 环境风险

随着传感器技术、信息采集技术、电子数据交换技术、GPS技术等信息网络技术在物流系统中的广泛应用，物流信息系统将触角延伸到整个物流运作的具体环节。但这也使得物流信息网络所处的外部环境比其他信息网络系统要恶劣的多。即便环境能完全达到系统安全的技术要求，但因整个系统分散在各个部门，也就很难避免因为环境因素而导致意外事件的发生。

3.5 供应链风险

在企业市场国际化、用户需求多样化的背景下，体现集成化思想的供应链物流管理方法应运而生。在供应链中，各个企业是一个利益共同体，通过优势互补和协同效应产生单个企业所不能产生的优势，同时为顾客创造更大的价值，为整个供应链获得竞争优势。但是，供应链企业之间的信息共享与集成意味着可能导致物流企业核心技术和财务等企业机密信息的外泄，使企业丧失核心竞争力。另外，物流信息网络上任何一个环节的安全漏洞都会引起供应链上一系列连锁的负面影响。

4 结束语

网络安全防护措施可以有效地抗击网络攻击，但不适当的网络安全防护，不仅不能减少网络的安全风险，还会浪费大量的资金，而且可能招致更大的安全威胁。因此，周密的网络安全风险分析，是企业平衡安全风险和安全投入的依据，是制定整体网络安全解决方案和建立网络安全防御体系的基础。

参考文献

[1]王健, 方佳林.福建省物流信息网络系统的构建[J].福建农林大学学报 (哲学社会科学版) , 2004 (3) .

[2]郝晓玲, 胡克瑾, 张玉清.信息安全风险评估综述[J].通信学报, 2004 (7) .

网络信息安全风险分析 篇2

3网网络络、、信信息息安安全全管管理理不不当当风风险险

涉涉及及到到的的法法律律法法规规

1、《电信条例》

2、《互联网信息服务管理办法》

4、《计算机信息系统安全保护条例》

5、《电信服务规范》

6、《公安部关于执行〈计算机信息网络国际联网安全保护管理办法〉中有关问题的通知》

7、《中华人民共和国保守国家秘密法》

8、《通信网络安全防护管理办法》

涉涉及及到到的的法法条条

1、《电信条例》

第六十条

电信业务经营者应当按照国家有关电信安全的规定，建立健全内部安全保障制度，实行安全保障责任制

2、《互联网信息服务管理办法》

第六条

从事经营性互联网信息服务，除应当符合《中华人民共和国电信条例》规定的要求外，还应当具备下列条件：

（一）有业务发展计划及相关技术方案；

（二）有健全的网络与信息安全保障措施，包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度；

（三）服务项目属于本办法第五条规定范围的，已取得有关主管部门同意的文件。

4、《计算机信息系统安全保护条例》

第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

第十条 计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工，不得危害计算机信息系统的安全。

第十三条 计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机 1 信息系统的安全保护工作。

6、《计算机信息网络国际联网安全保护管理办法》

第七条

用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。

第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：

(一)负责本网络的安全保护管理工作，建立健全安全保护管理制度;(二)落实安全保护技术措施，保障本网络的运行安全和信息安全;(三)负责对本网络用户的安全教育和培训;(四)对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核;(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告;(七)按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。

7、《公安部关于执行〈计算机信息网络国际联网安全保护管理办法〉中有关问题的通知》

一、关于“安全保护管理制度”问题

《办法》第十条第一项和第二十一条第一项中的“安全保护管理制度”主要包括：（１）信息发布审核、登记制度；（２）信息监视、保存、清除和备份制度；（３）病毒检测和网络安全漏洞检测制度；（４）违法案件报告和协助查处制度；（５）账号使用登记和操作权限管理制度；（６）安全管理人员岗位工作职责；（７）安全教育和培训制度；

（８）其他与安全保护相关的管理制度。

二、关于“安全保护技术措施”问题

《办法》第十条第二项中的“安全保护技术措施”和第二十一条第二项中的“安全技术保护 措施”主要包括：

（１）具有保存３个月以上系统网络运行日志和用户使用日志记录功能，内容包括ＩＰ地址分配及使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应ＩＰ地址，交互式栏目的信息等；（２）具有安全审计或预警功能；

（３）开设邮件服务的，具有垃圾邮件清理功能；

（４）开设交互式信息栏目的，具有身份登记和识别确认功能；（５）计算机病毒防护功能；

（６）其他保护信息和系统网络安全的技术措施。

三、关于“安全保护管理所需信息、资料及数据文件”问题

《办法》第八条中的“有关安全保护的信息、资料及数据文件”和第二十一条第四项中的“安全保护管理所需信息、资料及数据文件”主要包括：

（１）用户注册登记、使用与变更情况（含用户账号、ＩＰ与Ｅ－ＭＡＩＬ地址等）；（２）ＩＰ地址分配、使用及变更情况；（３）网页栏目设置与变更及栏目负责人情况；（４）网络服务功能设置情况；（５）与安全保护相关的其他信息。

四、关于“保留有关原始记录”问题

《办法》第十条第六项中的“有关原始记录”是指有关信息或行为在网上出现或发生时，计算机记录、存贮的所有相关数据，包括时间、内容（如图像、文字、声音等）、来源（如源ＩＰ地址、Ｅ－ＭＡＩＬ地址等）及系统网络运行日志、用户使用日志等。

五、关于“停机整顿”处罚的执行问题

按照《办法》规定作出“停机整顿”的处罚决定，可采取的执行措施包括：（１）停止计算机信息系统运行；（２）停止部分计算机信息系统功能；（３）冻结用户联网账号；（４）其他有效执行措施。

各地接到本通知后，要以适当的形式将其内容向社会公布，并结合实际贯彻落实。工作中遇到的重要问题，请及时报部。

8、《中华人民共和国保守国家秘密法》

第二十四条机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得有下列行为：

(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;

(二)在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;

(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;

(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;

(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。

第二十五条机关、单位应当加强对国家秘密载体的管理，任何组织和个人不得有下列行为：

(一)非法获取、持有国家秘密载体;

(二)买卖、转送或者私自销毁国家秘密载体;

(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;

(四)邮寄、托运国家秘密载体出境;

(五)未经有关主管部门批准，携带、传递国家秘密载体出境。

第二十六条禁止非法复制、记录、存储国家秘密。

禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。

禁止在私人交往和通信中涉及国家秘密。

第二十八条互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的，应当立即停止传输，保存有关记录，向公安机关、国家安全机关或者保密行政管理部门报告;应当根据公安机关、国家安全机关或者保密行政管理部门的要求，删除涉及泄露国家秘密的信息。

8、《通信网络安全防护管理办法》

第二条 中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防 护工作，适用本办法。

本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。

本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。

引引发发的的法法律律责责任任和和后后果果

行政及刑事责任：

1、《保守国家秘密法》

第四十八条违反本法规定，有下列行为之一的，依法给予处分;构成犯罪的，依法追究刑事责任：

(一)非法获取、持有国家秘密载体的;

(二)买卖、转送或者私自销毁国家秘密载体的;

(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;

(四)邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的;

(五)非法复制、记录、存储国家秘密的;

(六)在私人交往和通信中涉及国家秘密的;

(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;

(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;

(九)在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;

(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;

(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;

(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。

有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。

2、《中央企业商业秘密保护暂行规定》

第三十二条 中央企业员工泄露或者非法使用商业秘密，情节较重或者给企业造成较大损失的，应当依法追究相关法律责任。涉嫌犯罪的，依法移送司法机关处理。

3、《计算机信息网络国际联网安全保护管理办法》

第二十一条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得;在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款;情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。

(一)未建立安全保护管理制度的;

(二)未采取安全技术保护措施的;

(三)未对网络用户进行安全教育和培训的;

(四)未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的;

(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;

(六)未建立电子公告系统的用户登记和信息管理制度的;

(七)未按照国家有关规定，删除网络地址、目录或者关闭服务器的;

(八)未建立公用帐号使用登记制度的;

(九)转借、转让用户帐号的。

4、《计算机病毒防治管理办法》

第十九条 计算机信息系统的使用单位有下列行为之一的，由公安机关处以警告，并根据情况责令其限期改正;逾期不改正的，对单位处以一千元以下罚款，对单位直接负责的主管人员和直接责任人员处以五百元以下罚款：

(一)未建立本单位计算机病毒防治管理制度的;

(二)未采取计算机病毒安全技术防治措施的;

(三)未对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训的;

(四)未及时检测、清除计算机信息系统中的计算机病毒，对计算机信息系统造成危害的;

(五)未使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品，对 计算机信息系统造成危害的。

5、《计算机信息系统安全保护条例》

第二十条 违反本条例的规定，有下列行为之一的，由公安机关处以警告或者停机整顿：

(一)违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的;

(二)违反计算机信息系统国际联网备案制度的;

(三)不按照规定时间报告计算机信息系统中发生的案件的;

(四)接到公安机关要求改进安全状况的通知后，在限期内拒不改进的;

(五)有危害计算机信息系统安全的其他行为的。

第二十一条 计算机机房不符合国家标准和国家其他有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公安机关会同有关单位进行处理。

6、《互联网信息服务管理办法》

浅谈网络信息安全风险评估问题 篇3

【摘要】我国的信息化进程时间比较短，在网络信息技术高速发展的过程中，其安全问题也不断地暴露出来。信息安全风险评估是建立信息安全体系的基础，是信息系统安全工程的一个关键组成部分。本文探讨了目前网络信息安全风险评估工作中急需解决的问题。

【关键词】信息安全：风险评估：脆弱性：威胁

【中图分类号】TP309 【文献标识码】A 【文章编号】1672-5158（2013）04-0047-01

1 引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点，它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定，以成本一效益平衡的原则，通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2 网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下5个特征：（1）保密性。即信息不泄露给非授权的个人或实体。（2）完整性。即信息未经授权不能被修改、破坏。（3）可用性。即能保证合法的用户正常访问相关的信息。（4）可控性。即信息的内容及传播过程能够被有效地合法控制。（5）可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：（1）自然界因素，如地震、火灾、风灾、水灾、雷电等；（2）社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；（3）网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；（4）软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；（5）人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；（6）其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3 安全风险评估方法

3.1定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

3.3多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5集中化决策管理

安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。

4 风险评估的过程

4.1前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2中期现场阶段

编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究阶段。

4.3后期评估阶段

撰写系统测试报告。进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。

5风险评估的错误理解

（1）不能把最终的系统风险评估报告认为是结果唯一。

（2）不能认为风险评估可以发现所有的安全问题。

（3）不能认为风险评估可以一劳永逸的解决安全问题。

（4）不能认为风险评估就是漏洞扫描。

（5）不能认为风险评估就是 IT部门的工作，与其它部门无关。

（6）不能认为风险评估是对所有信息资产都进行评估。

6结束语

总之，风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分，是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求，但是，信息安全评估工作的实施也存在一定的难题，涉及信息安全评估的行业或系统各不相同，并不是所有的评估方法都适用于任何一个行业，要选择合适的评估方法，或开发适合于某一特定行业或系统的特定评估方法，是当前很现实的问题，也会成为下一步研究的重点。

参考文献

[1]王毅刚，吴昌伦.信息安全风险评估的策划[J].信息技术与标准化，2004，（09）

国内企业网络信息安全风险分析 篇4

我国在十五届五次全会上提出了“大力推进国民经济和社会信息化, 信息化带动工业化”等建议。近年来, 我国信息安全发展的大环境已日臻完善, 并取得了巨大成绩, 但是当前我国的信息安全形势依然不容乐观, 仍面临着严峻的挑战:技术防御水平整体还有差距;各类安全威胁和安全风险日渐凸现。信息与网络安全已日渐成为各个国家保障国家安全的战略议题。文中根据国内企业网络系统的网络结构和应用情况, 从网络安全、系统安全、应用安全及管理安全等方面对国内企业面临的信息安全风险进行了系统、全面的分析。

1 网络结构安全风险

企业在网络安全方面主要存在以下风险:

(1) 来自网络攻击的安全风险:未授权网络资源访问攻击企业网络, 而企业对网络攻击行为缺乏必要的发现、检测、隔离、阻断等安全措施, 没有部署物理隔离、逻辑隔离、入侵检测、漏洞扫描、运维监控等安全保护设备, 致使企业网络系统遭受攻击的可能性加大[1]; (2) 存在像病毒和后门程序等恶意代码攻击的风险:此类威胁来自未经许可的程序执行、系统漏洞、厂商内置后门等。恶意代码对信息系统数据、操作权限构成严重威胁; (3) 网络带宽风险:对网络数据流的管理措施不完善, 没有采取带宽管理等相关的技术方法, 不能合理地利用网络带宽资源, 造成网络带宽的浪费, 而对一直占用网络带宽资源的网络行为没有合理的处理, 应该根据业务应用的重要程度来设置优先级别, 确保重要的、关键应用得到足够的网络带宽; (4) 数据在网络传输的过程中被欺骗、窃听、截获、篡改等风险:由于大多数敏感信息都是明文传输, 没有采取有效的加密机制和数字签名等技术手段, 所以存在的安全风险很高, 很容易造成敏感信息的泄漏, 且很隐蔽, 不容易被觉察到[2]; (5) 在核心交换机、核心保护措施设备、下属网络的接入设备等重点设备存在单点故障的风险, 当设备出现故障时会造成系统瘫痪、业务中断。

2 操作系统的安全风险

企业在操作系统安全方面主要存在以下风险:

(1) 操作系统的安装以正常工作为目标, 一般很少考虑其安全性, 因此安装通常都是以缺省选项进行设置。从安全角度考虑, 其表现为装了很多用不着的服务模块, 开放了很多不必开放的端口, 其中可能隐含了安全风险; (2) 对于主机服务器操作系统、桌面操作系统等还没有建立可靠的操作系统环境, 系统中或多或少都存在着系统漏洞, 极易被攻击者利用, 一旦被攻破, 系统与网络则完全被非法人员控制, 风险极其高, 后果非常严重; (3) 对重要的应用系统、服务器系统、群件系统、数据库系统的运行缺乏必要的监控措施, 只有在机器宕机后才能发现并恢复, 缺乏实时监控和报警措施以及合理的应急响应流程等, 还是依靠工作人员的人工管理; (4) 存在遭受拒绝服务攻击的风险, 它利用网络、应用、系统存在的弱点漏洞, 发起攻击, 造成系统崩溃、性能显著下降、占用系统资源, 从而不能正常提供服务。

3 应用的安全风险

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的, 应用的安全性也是动态的。企业应用安全方面主要存在以下风险:

(1) 非法接入企业应用系统, 非法使用应用系统资源, 操作越权等, 可导致执行恶意操作, 破坏、泄露敏感数据信息, 造成严重威胁与损失; (2) 对重要系统缺少必要的安全保护措施, 没有进行必要的逻辑隔离、物理隔离、入侵检测、划分安全区域等安全措施; (3) 安全保护只使用了各个安全产品的保护功能, 各产品间缺乏紧密关联, 单个安全产品和技术仍存在不足, 安全管理、安全运维没有合理地分布到企业应用系统中; (4) 病毒侵害的安全风险:网络是病毒传播的最好、最快的途径之一, 病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此, 病毒的危害不可轻视。网络中一旦有一台主机受病毒感染, 病毒程序完全可能在极短的时间内迅速扩散, 传播到网络上的所有主机, 造成信息泄漏、文件丢失、机器死机等不安全因素; (5) 数据信息的安全风险:数据安全对企业来说尤其重要, 数据在公网线路上传输, 很难保证在传输过程中不被非法窃取、篡改。黑客或一些企业间谍会通过一些手段, 设法在线路上做些手脚, 获得在网上传输的数据信息, 造成泄密。

4 管理的安全风险

管理是网络中安全得到保证的重要组成部分, 是防止来自内部网络入侵必须的部分。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。除了从技术上下功夫外, 还要依靠安全管理来实现。企业安全管理方面主要存在以下风险:

(1) 公司内部的安全风险:心怀不满或其他原因的内部员工、前雇员对系统的入侵和破坏。此类威胁通常会造成较大的损失; (2) 网络管理中的安全风险:依靠人工审计、管理制度、人工诊断现状, 缺乏网络拓扑结构监控、运行监控、应急响应、故障报警、故障诊断、事件处理和事件报告等技术手段;缺乏对网络设备的管理、安全设备的管理、应用系统的管理、服务器系统的管理;缺乏智能化的收集、审计、分析和报告等功能; (3) 缺乏必要的管理制度, 安全管理制度的落实不到位等。

5 结束语

通过介绍, 使大家了解到目前常见的几种网络信息安全风险。每个企业应该结合自身特点, 从网络结构、操作系统、应用程序和日常管理等各方面, 针对企业所面临的信息网络安全问题, 开发相应的应用系统, 设计系统的安全防护方案, 制订切实可行的防范措施、系统灾难恢复措施和信息安全应急预案。总之, 企业网络信息安全是一个系统的、全局的管理问题, 网络上的任何一个漏洞, 都会导致全网的安全问题, 我们应该用系统工程的观点、方法来分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合, 一个较好的安全措施往往是多种方法适当综合的应用结果。

摘要：计算机网络高速发展的同时, 给信息安全带来了新的挑战。企业网络信息安全是一个系统的、全局的管理问题, 网络上的任何一个漏洞, 都会导致全网的安全问题。从网络结构安全风险、操作系统安全风险、应用安全风险及管理安全风险等方面, 对国内企业面临的信息安全风险进行了系统、全面的分析, 建议企业针对所面临的信息网络安全问题, 开发相应的应用系统, 设计系统的安全防护方案, 制订切实可行的防范措施、系统灾难恢复措施和信息安全应急预案。

关键词：信息安全,网络安全,风险

参考文献

[1]刘宗田.Web站点安全与防火墙技术[M].北京:机械工业出版社, 2006.[1]刘宗田.Web站点安全与防火墙技术[M].北京:机械工业出版社, 2006.

网络信息安全风险分析 篇5

前言

在对智慧城市进行建设的时候必须要注重安全问题，这是重中之重，是非常关键的一项内容，所以一定要提起足够的重视，如果忽视安全问题可能会对智慧城市的建设造成非常严重的影响。我国与8月份颁布了《关于印发促进智慧城市健康发展的指导意见的通知》，在通知中提出了一些网络信息安全的问题，政府方面出台相关的规定保护网络信息的安全，同时还需要注重保护网络用户的个人安全，还建立起了城市网络安全保证体系，保护网络基础设施建设，提高了网络信息的安全性，总之，颁布的通知对智慧城市的建设起到了很好的推动作用，对智慧城市当中存在的安全问题也做出了一系列具体的指导。

校园网络系统安全的风险分析 篇6

关键词： 校园网络系统 安全风险分析 安全需求分析

校园网络系统是一个庞大的、复杂的网络系统。在这个系统内，用户多为学生，他们年轻好奇心强、喜欢探索，尝试各种软件，且安全防范意识低。校园网复杂的网络环境和各类应用软件都有可能对校园网产生安全威胁，攻击者往往是利用系统最薄弱的环节进行攻击，所以充分、全面的风险分析是设计网络安全系统的必要前提。

笔者从网络系统的物理层、链路层、网络层、操作系统层、应用层及管理层等方面对校园网络系统进行了安全风险分析与需求分析。

1.物理层安全风险分析

物理层的安全风险主要是指组成网络系统的各种设备的安全，防止因恶劣的自然环境、人为误操作、黑客攻击给网络系统带来安全威胁。

2.链路层脆弱性分析

链路层功能是接收来自网路层的IP数据报，把数据发送到制定的网络上；接收物理帧，抽出网络层数据报。Mac地址泛洪攻击、ARP欺骗等基于协议漏洞的攻击在数据链路层中还有许多。校园网校网络链路层的脆弱性主要体现在： ①ARP安全隐患；②PPP安全隐患；③ CSMA/CD安全隐患。

3.网络层脆弱性分析

网络层的功能是处理数据包在网络中的活动（packet）。网络层是异构网络的关键。接收传输层的请求，封装数据包，加包头。TCP/IP 协议最初的设计就是构建网络，缺乏对安全的考虑，所以网络层存在以下安全隐患。

（1）IP协议的安全隐患：缺少身份认证机制，不检查IP地址，产生IP欺骗攻击，尤其是地址假冒。IP数据包包含源路由选项，本来是可以指定路由，测试流量，但是可以利用源路由选项进行攻击，源路由指定了IP数据包必须经过的路由，使得入侵者可以绕开网络的安全措施，选择攻击目标。

（2）ICMP协议的安全隐患：ICMP作用：差错控制、拥塞控制（没有用户数据）。原理：利用重定向报文破坏路由和利用不可达报文发起拒绝服务攻击。方法：ICMP包为64KB，根据包标题头信息为有效载荷生成缓冲区，载荷大小超过上限，导致堆栈溢出，系统崩溃。在局域网内还可以伪造ICMP重定向包，使其经过自己主机，就会产生不可达。

4.操作系统的脆弱性分析

操作系统的安全包括网络操作系统自身的安全和提供的服务接口的安全。网络操作系统由于自身代码多，不可避免地存在安全缺陷和安全漏洞。网络操作系统虽然提供了一些，如用户验证、审计跟踪、防火墙等安全功能，但仍然存在很多安全威胁。①系统安全配置不当，操作系统本身提供了一些安全防護功能，但是这些功能没有开启，防护功能起不到保护的作用，或是系统登录秘密设置简单，容易被黑客破解进而获得管理员权限。②系统服务，操作系统开启了一些网络服务，这些服务在提供给用户使用的同时也出现了一些漏洞，这些漏洞一旦被黑客发现，就会被黑客利用，获取服务器的访问权限攻击服务器或网内的用户。③病毒和黑客，病毒的威胁和黑客的攻击是网络系统安全威胁的主要来源。针对病毒的防治要及时更新病毒库和采取最新的国际化杀毒技术，将先进的杀毒模式引进，以提高杀毒软件的杀毒能力与杀毒效率。

黑客主要是通过扫描软件，发现系统安全漏洞，利用漏洞获取管理员账号密码，进而成功入侵校园网络系统。修补这些漏洞可以使用风险评估软件找出漏洞，下载补丁，修复系统。

5.应用层安全风险分析

校园网提供给 校园网服务、FTP 服务、数据库等服务。提供服务的系统也存在安全漏洞。①校园网服务，校园网对师生提供服务、对外宣传的窗口。如果存在漏洞，则黑客可能利用DDOS技术攻击网站服务器，修改数据、篡改网站网页、使网站不能正常使用。②FTP 服务，FTP 服务给师生提供文件上传和下载文件服务，但是端口长期开放会造成不法分子将敏感信息从公共信息剥离。同时FTP 服务是明文传输，信息易被黑客截获并破解。③数据库服务，攻击者可以利用数据库存在的漏洞，获取数据的信息进行破解，引起数据泄露。④TELNET，TELNET登录时会话中账号和口令明文传输，通过会话劫持获得账号和密码。⑤DNS，DNS服务器返回的相应信息被网络主机信任。伪造IP地址请求影响服务器映射表，控制服务器。

6.管理的安全风险分析

网络安全系统的日常管理是尤为重要的。特别是对网络管理的负有管理责任的工作人员。主要的管理风险体现在以下几点：①树立保密观念，切实保护好账号密码，不使用过于简单的密码。②操作人员对系统不熟悉，安全配置没做好。③管理制度不健全，机密文件处理不当。④没有责任心，对工作不负责，有意损坏网络设备。⑤网络安全系统内部人员 利用工作便利非法获取他人信息。

笔者在校园网安全方面从物理层、链路层、网络层、操作系统的脆弱性、应用层和管理层六个方面进行了风险分析，提出了校园网安全建设目标，提供了解决校园网日益增加的网络使用和应用软件的使用造成的对校园网安全带来的不安全因素问题的解决办法，为建设高效、稳定、安全的校园网奠定了坚实基础。

参考文献：

信息网络安全及风险防范措施分析 篇7

计算机作为一种存在于人们现实生活中必不可少的学习、生活工具,已近深入到社会领域的方方面面,根据不同计算机使用者的不同需求,计算机信息网络安全的定义也有所区别,现在通用的标准化定义为:“计算机信息网络安全”即“为网络信息数据系统的安全创建和使用而采取的相关技术上和管理上保护,从而保护计算机硬件、软件数据信息不会因为意外或者和人为故意而遭到破坏、更改和泄漏,加强对计算机网络信息数据系统的保密性、完整性和可利用性的安全设置”。针对个人使用者,计算机网络安全是保护个体信息不受外界陌生人、组织等的恶意破坏、盗取使用;对于企业机关单位等相关机构,网络安全是保护其办公系统、信息机密数据等免于外界黑客组织篡改、伪造、恶意利用等,保护机构信息系统的安全性能;对于国家相关组织,还要考虑应对突发事件、军事、科技等方面的安全性,保持网络通讯连贯性、安全性,提高应对具体事件的反应能力和执行效率。

计算机信息网络安全的特征:高度的保密性,即计算机网络的信息不能随意泄露给未授权的用户或避免任其利用的过程;信息的完整性,即其他未经过授权的用户不得随意改变、破坏、丢弃信息的特性;操作的可控性,即被授权用户具有对信息的利用、处理的权利,从而控制信息的传播过程;信息的审查性,即当网络安全出现问题时,采取必要的手段加以控制、核查等。

2 计算机信息网络安全的现状分析

随着现代网络技术的飞速发展,计算机网络安全系统具有复杂性和多样性,其安全现状存在隐患,目前,攻击网络安全的各种手段、行为繁多复杂,黑客组织的猖獗、病毒种类繁多、攻击性强等等特征使得网络安全系统受到各方面的威胁。

由于互联网本身的无时空性和地域限制,一种病毒的攻击性能够迅速的利用系统漏洞而攻击计算机网络安全,造成网络系统瘫痪,对于人们日常生活办公、企业机关部门信息安全存在极大的不利影响,由此,我们具体分析现代计算机网络安全存在的问题。

缺乏计算机网络安全意识。在纷繁复杂的网络虚拟世界里,人们畅游在网络环境中,利用网络所带来的便捷功能,但是却普遍缺乏对计算机网络安全方面的认识,现代网络系统,为了提高网络的安全性,采取了去多手段和措施,包括设置网络安全保护软件、设置安全防火墙、安全卫士杀毒等一系列防范措施,但目前人们普遍对网络安全的重要性缺乏认识,当为了满足好奇心或缺乏对黑客威胁破坏性的认识时,这些网络保护措施屏障就发挥不了其安保作用,因此加强人们对网络安全重要性的普遍认识,树立安全上网、打击黑客行为意识是当务之急。

缺乏计算机安全网络保护的专业技术。目前,威胁于网络安全系统的黑客组织性更强,攻击手段复杂,利用网络系统的漏洞对现实人们的经济、安全生活造成损失,盗取经济利益。造成各种流行肆虐于网络的的恶意网站、网上木马、病毒程序等已经严重威胁了现代网络安全,但是,针对这些恶意的攻击,我国目前的计算机网络安全防备技术尚不能跟上时代的发展要求,以致于网络系统安全问题困扰于个人、家庭、企业机关等各个领域,此外网络软件的漏洞也是造成系统安全攻击的威胁,不少网络软件的“后门”一旦被进入,后果不堪设想。

缺乏计算机网络安全的法律法规等相关政策保障。目前,我国的立法机关尚没有完善的针对于计算机网络系统安全的法律法规政策,缺乏相关的对黑客组织行为的法律制裁措施,这也是造成现代网络安全隐患的一个重要原因,根据我国网络存在的弊端,立法机关应该出台相关的法律法规来限制威胁行为的猖獗。

此外,计算机网络安全存在诸多问题的原因诸多。

第一,计算机网络结构存在风险隐患。计算机网络的贯通性、结构性是的网络安全系统纷繁复杂,多重局域网组成的因特网是一个互相联系、通用的网络系统,一旦当某种危险信息触发时会间接和直接的影响到其他网络系统的安全性,攻击者利用这种网络的贯通性和衔接性,传播和发布不良信息、盗取机密数据安全从而破坏系统安全。

第二,网络IP系统的易攻击性。IP/TCP是现代因特网的基础协议,由于它们具有公众性,从而导致黑客可以利用它的安全缺陷来实施网络攻击。

第三,网络数据信息泄露、篡改。网络系统上的大量信息的发布于传播都是没有一定限制功能手段,而且由于大部分数据流缺乏加锁保密措施,导致信息容易被盗取、窃听的可能性高。因此,不少黑客组织利用这种信息的无密性进行电子邮件、传输文件等信息的篡改、盗取,降低了网络信息安全性。

第四,软件漏洞。软件漏洞包括几个方面:操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。一旦遭受病毒攻击,会带来灾难性的后果。

3 加强计算机网络安全防范的具体措施

首先,提高网络安全的防范意识,明确网络安全发展目标。

一方面,加强对网络系统认证身份的确认和识别,明确授权主体,从而提高对网络安全在身份上的确认保障,避免因第三方侵入网络安全系统;另一方面,保证网络信息的完整性和机密性、一致性,加强对信息传播的监控操作,防止机密信息流失,造成不必要的影响,禁止非授权用户对信息数据的整改,严格把关信息安全的操控。此外,要注意及时对网络信息的的审核、检查,以便于对网络安全问题提供审查的依据和手段,来确保计算机网络系统可控性,在满足安全的条件下,使网络系统更加有利于人们现实生活的需要。

其次,加强对网络安全技术的研究,提高应对网络威胁的手段和能力。

系统安全防护。除了电脑锁之外,应该注重防火墙的设置和保护屏障的应用,未来防火墙的技术结构应该注重高安全性和高效率性,重新设计其技术结构,比如引用鉴别授权机制、多级虚拟专业防护墙等,控制网络信息的流向,隐藏内部IP地址和网络结构细节设置,防止网络遭受黑客组织攻击,密码口令安全的设置上,注重对密码强度的设计,确保计算机系统设备上的网络安全性。

安装计算机防病毒的软件。安全卫士软件是电脑系统安全保护的必要手段,及时地对病毒扫描、隔离、删除被感染的文件,防止病毒侵入电脑系统,造成不必要的麻烦,甚至严重地造成系统崩溃,重要资料的丢失。所以安装杀毒软件是电脑网络安全的必备措施。

采用认证和数字签名技术。认证技术保证了网络通讯使用过程中的身份确认;数字签名技术更是确保了网络世界中安全指数极高的手段,从而保证计算机网络安全平台的顺利使用和操控。

应用程序和代理服务器的运用。目前大多数的黑客病毒传播方式都是应用网页、邮件等手段,这就要求我们在安装具体的防毒程序和操控步骤方面给予防范,提高电脑安全的警觉性;对于匿名邮件或弹跳出的杂乱网页采取相关删除拉黑措施,加强对陌生信息的防范性,运用必要的程序应用禁止外来不安全信息的侵入。同时。代理服务器除了具有隐藏内网、节省公网IP的功能,还有缓冲作用,加速对经常访问网站的查看,防止黑客的直接攻击,提高了网络安全性。

此外,针对网络安全防范意识薄弱现状,普及网络安全知识,制定相关政策法规

我国现存的网络安全漏洞已经严重影响了人们日常生活办公的方方面面,甚至威胁到了国家机密机关的安保现状,对此,在借鉴国外先进的信息安全管理经验、学习网络安全保障技术的基础上,制定相关的网络安全的法律法规、将网络安全提升到司法高度上,加大对黑客行为的惩罚治理力度,从而确保网络信息的安全性和规范性。除此之外,还应该大力宣传和普及计算机网络安全教育,不论在学校、科研的文教场所,还是在日产生活办公的领域,都应该加强对网络安全知识的普及,提高安全防范意识。

4 结束语

在信息时代高速发展的今天,计算机网络安全问题突出表现在人们生活办公的方方面面,是一个集合了技术、管理、使用、安全等诸多领域的问题,越来越受到人们的关注。现代科技的进步不仅保障计算机网络的方便快捷运用,同时也对安全防范问题做出了更高层次的要求。提高计算机网络安全技术水平,普及网络安全知识教育,增强对网络安全的意识,创新计算机科学技术应用的安全程序,严厉打击黑客等破坏网络安全的不良行为,通过制定和完善相关政策法规为网络系统安全提供政策保障,来规范计算机网络系统安全,从而创造一个健康、安全、科学管理的网络环境,促进我国计算机科学事业良性发展。

参考文献

[1]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报,2002(01).

[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.

[3]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.

[4]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003

[5]张瑞.计算机科学与技术的发展趋势探析[J].制造业自动化,2010(8).

[6]张勇,丁建林.赛博空间态势感知技术研究[J].信息网络安全,2012,(03):42-44.

网络信息安全风险分析 篇8

1 信息系统风险评估

遭受的伤害、损失以及发生毁灭的可能性, 都属于风险。外力对非行为主体可控因素利用酿成的损失就是风险。就信息安全范畴内的风险来说, 具体指信息系统受自身脆弱性的局限, 以及自然或人为因素威胁, 造成发生安全事件的可能性, 及其带来的不良影响。信息系统风险评估主要是对信息系统面临风险的过程进行判断识别。风险评估是与一定的技术手段相结合的系统工程, 服务于管理问题识别、管理策略制定;将威胁作为立足点, 以系统脆弱性为依据进行判断的评估过程;是对安全风险进行周期性了解, 出台有效的安全控制措施的基础条件。风险评估一方面使得网络风险实现了降低, 也使得风险管理与控制的实施具有了可靠的依据。加大力度管理建设信息安全保障体系, 风险评估这一环节非常关键, 对于信息安全问题的识别发现, 具体解决方案的制定来说, 是非常有效且重要的手段。

2 信息系统安全发展现状

信息系统与社会经济很多领域存在关联, 在政务和商务方面显现出了非常重要的作用, 信息安全问题并不是简单的技术性与局部性的问题, 而是一个综合性的安全问题, 即跨行业、跨领域、跨部门。有关统计显示, 某省会城市企事业单位、各大机关信息系统出现稳定运行情况的单位, 所占比例达到了10%;遭遇过网络方面非法入侵、攻击等事故的单位比例达到了30%;有高达86%的单位发生过信息安全问题, 这些单位大多不具有专项的信息安全建设资金, 缺乏充足的信息安全专业人才, 还没有建立信息安全测评机构以及应急响应体系, “轻管理、重建设、轻安全、重应用”的情况十分普遍, 对这一方面问题的解决越来越迫切。

各部门的信息化水平通常同其对信息系统风险评估的重视程度呈正比关系, 也就是说越是高度重视风险评估, 信息化水平就越高。但是, 受行业发展与地区发展都存在一定的差异的影响, “安全事件驱动”成为各部门对风险评估重视的主要原因, 也就是说“事故发生了才重视”, 很少由企业能够提前做好防范。我国信息安全体系在现阶段还不够完善健全, 信息系统风险评估还没有达到完全成熟的水平。

3 企业最关注的信息系统风险

3.1 能够对变化的章程适应

当前机构组织需要应对的挑战日益增加。确保制定的章程可以与变化的需求相适应成为一大关键任务。IT必须对系统加强设计与维护, 为新制定的章程提供保障, 使其可以对变化的需求做到适应。

3.2 企业级的IT管理与治理

IT治理成为提高IT部门管理效率的基本要求, 提高服务的高性能与严密性, 将准确可靠的信息传递给业务系统。IT治理应当保障具有清晰的业务目标, 保障IT操作有序展开。提升IT信息服务质量, 需要提高IT流程设计的完善性, 协调IT成员之间的工作。

3.3 信息安全管理

在遭遇很多严重的损失与破坏、投入较高的成本用于风险防范后, 企业已经深刻认识到最为重要的并非技术上的发展完善, 人员管理与工作流程管理成为信息安全管理的关键。所以, 企业在具体的实践中应当以国际信息安全管理标准为指导。

3.4 业务连续性与灾难恢复

企业业务活动均存在被各种因素影响导致中断的情况, 例如技术故障、破坏、崩溃等。因此, 很多企业出台了业务连续性管理计划, 以尽快使业务从灾难中恢复过来。但是, 采取业务连续性管理计划的企业数量非常有限, 大部分企业均在实施脆弱的业务计划。

3.5 IT资产管理

IT计划与业务目标之间缺乏统一性, 结果对业务的利益认识不清。很多IT计划在业务关联方面存在欠缺, 有的企业的IT服务与业务之间虽然有联系, 但是内容简单。实施IT资产管理过程有效弥补这一方面的不足, 使IT在业务及资产管理方面更好地提供服务。

3.6 对IT风险降低

很少在最短时间内能掌握风险管理实践, 因此没有充分认识到风险管理重要性的情况普遍存在。但是, 在所有的企业均有IT风险存在, 所以对IT风险管理不重视势必会遭受巨大的损失。

4 构建信息系统风险评估

4.1 明确风险, 找出根源, 对症下药

网络信息系统存在的隐性风险是众所周知的, 更是一种客观的存在。因此, 我们必须要对此有充分的认知, 并对其实施科学的管理。信息系统所面临的风险到底是什么?我们要如何规避?要采取怎样的措施来化解?这都是我们目前面临的实际问题。它就像我们人一样, 难免有生病的时候。也如不停运转的设备, 也会有发生故障的一天, 因此, 面对网络信息安全风险, 必须要对其进行认识, 并对其进行正确评估。

4.2 夯实安全基础, 巩固信息大厦

任何一个系统都会存在安全风险, 信息系统亦如此。我们在建设大楼时, 谁也不会将其建立在流沙之上, 这是因为地基不牢会对高楼造成坍塌的危险。因此, 在进行任何事情时, 都要对其进行风险评估, 这里的风险评估就好比我们高楼坚实的根基一样, 通过评估, 使我们了解可能存在的风险及威胁, 以便对现有资源进行合理配置及利用, 进行科学规划。通过风险评估, 还可以降低建设投资及费用, 以最小的投入以获取最大的收益。

4.3 信息安全管理的“利器”

由于网络信息安全的隐蔽性, 使得我们在不自觉中被击中, 比如黑客入侵、病毒感染等, 使得我们关键性机密被窃取, 造成无法挽回的巨大损失。因此, 信息安全一直是高科技之间的较量, 必须要利用科学, 寻求适当的方法, 尽可能发现系统内可能存在的威胁。将风险评估作为一种利器, 一个屏障来保卫信息系统的安全。

4.4 寻求适度安全和建设成本的最佳平衡点

随着经济的发展, 我们对安全的要求也越来越高, 但要使网络信息安全达到理想或者预期, 所付出的成本也是巨大的。为了追求合理的经济及社会效益, 就不能单纯追求绝对的安全。通过风险评估, 我们认识到信息系统所面临的风险, 并以此为基础对可能存在的威胁及风险进行筛选, 对于可以规避的, 能够容忍的都要做到心中有数, 以便在寻求适度安全和建设成本之间找到那个最佳的平衡点, 促成经济效益的最大化。

4.5 借鉴先进经验, 重视预警防范

网络信息安全决定了整个国家的安全。想要实现强国的目标, 就需要技术的支撑。早在1995年, 英国就已经发布了《信息安全管理实施细则》, 并与2000年被纳入国家标准, 获得了ISO认可。2002年, 美国《联邦信息系统安全认证和认可指南》的颁布, 作为一种技术及政策的支持, 使得信息风险评估得到了有效保障。虽然我国在一些关键性技术上还远远落后于发达国家, 但对先进技术的学习与借鉴与风险预防一样重要。

参考文献

[1]吴志博, 杨友良.浅谈电子政务信息安全[J].甘肃科技纵横, 2011 (1) .

[2]陈身洪.电子政务信息安全问题的探析[J].知识窗:教师版, 2011 (1) .

信息系统网络安全风险与管理 篇9

根据目前的情形, 信息系统网络安全问题面临着很严重的挑战, 其安全问题方面不容乐观。信息系统是一个庞大复杂的大系统, 一般由多种软件、接口、硬盘等等组件构成, 由于技术和设计上存在不完善性, 大量的漏洞和缺陷随之而来, 这些弱点构成了信息系统的脆弱性。信息系统网络安全问题主要来自两大方面:首先是人们技术能力和创造能力的局限性, 使得信息系统在网络上存在本身的弱点;其次是社会现实引起的争斗, 商业竞争、个人报复等等犯罪行为从信息系统的弱点进行入手, 来对信息系统网络进行攻击。

病毒是互联网中普遍的存在, 还有一种特殊的存在--黑客, 黑客作为拥有主观能动性的存在, 是信息空间中一种特殊文化现象的产生, 他伴随着信息系统的发展而存在, 并也随着信息系统的技术提高而提高, 黑客扮演着阴暗面的角色, 对全球信息系统的恶意攻击呈现着愈演愈烈的趋势。随着网络技术的发展, 病毒和黑客的攻击也在不断的发展进步, 黑客的攻击方法也在发生变化, 不仅是黑客本身利用IP地址来欺骗, 利用程序代码、分析源代码或者发掘应用程序的缺陷来攻击, 而且还有黑客技术和病毒传播相结合的方式。如上所述, 信心系统网络安全的问题的现状一直都存在, 技术人员在不断的创新, 同时也在不断的与网络上的安全问题、阴暗面在做斗争, 修补脆弱的一面, 致力于提高信息系统网络安全。

2 信息系统网络安全风险分析

2.1 盗取和截获信息系统网络中的信息

如果信息系统本身的防火墙和安全措施、加密措施的强度不够, 攻击者会通过互联网、电话线、电磁波辐射范围内所安装的装置、路由器上等可以利用的装置来截获传输中的数据信息;更有甚者通过对信息流量数据、通信次数的分析, 来套取信息系统中的信息。因此, 应运用加密技术对信息系统网络来进行加密处理以保证其机密性。

2.2 篡改和假冒信息系统网络中的信息

当攻击者破解了信息系统的程序, 熟悉了信息系统的网络信息内容格式后, 很有可能会利用技术和手段在信息系统传输信息的过程中, 入侵其中并篡改信息内容, 从而破坏信息的真实性和完整性。所以, 要预防信息系统网络中的随意修改、生成、删除情况。信息系统网络中还会出现假冒的信息, 攻击者摸索到信息系统网络中数据规律或解密了机密信息后, 可以假冒合法用户去发送假冒信息去欺骗用户, 在公司中也可假冒领导发号施令, 调阅机密文件等等。

2.3 信息有效性得不到保障

互联网应用的发展, 信息化社会随之到来, 电子设备的信息传递, 其有效性是值得关注的问题。由电子商务作为领军, 以电子化形式取代了纸张形式的信息传递方式, 其信息的有效性是开展业务的前提。信息系统中信息的有效性关系到企业、个人甚至国家, 因此, 对网络故障、应用程序代码、系统硬件、软件、病毒等潜在威胁加以预防和控制, 以保证信息系统网络传递的信息是有效的, 正确的。

以上三点是信息系统网络安全的风险分析, 风险的存在不是一步就可以解决的问题, 分析出了哪些方面存在风险, 才可以更好的预防和控制。

3 信息系统网络风险管理的目的

信息系统网络的安全是人类面临的新问题, 它普遍的存在人们的日常生活中, 信息系统的复杂性和安全问题的突发性、不确定性使得安全问题的解决面临困难, 没有完善的全面防范, 防范的重点难以确定, 具有高突发性的信息安全问题。积极寻求解决方法和手段是进行治理信息系统网络安全的务实选择。在寻求解决方法、有效对策时, 防范不足信息安全会失效;全面防范会造成财力、人力、物力的浪费, 或是信息系统网络的可用性下降。因此, 信息系统风险管理是要尽可能的安全却又不能太过于安全的, 要从经济、技术的可行性上来有效的进行管理。

进入互联网时代以后, 信息网络安全威胁不断增加, 也在不断的迫使人们重新考虑合适的安全模式, 信息系统网络安全观念是人们探索的新产物。信息安全问题也从过去单纯的应对威胁拓展到既要应对威胁, 又要面对挑战。在当今复杂的信息系统环境下, 风险总是存在的, 无论你采取多么完美的信息系统安全手段, 都难以彻底消除安全问题的威胁。对信息系统网络进行风险管理, 可以将攻击和破坏产生后果的程度限制在可承受范围内, 风险管理是对信息系统的一个动态管理, 是一个连续的过程, 即在特定的安全方案下将风险降到最低以致于可以接受的过程, 并非完全的消灭风险。

4 信息系统网络安全管理方法

4.1 增强安全防护体系

每一项信息系统都会有相应的安全防护体系, 但是安全防护体系的脆弱性是网络攻击者的目标, 现在的网络安全已不再是一个简单的概念, 它与国家、企业、个人之间紧密相关, 例如对于企业信息系统网络安全而言, 安全问题涉及到多层数据信息, 几乎覆盖了企业信息的通信平台、网络平台、应用平台等系统单元, 是企业网络至关重要的核心部分。增强安全防护体系不仅仅是常人眼中的防火墙, 还需要更全面的防护体系, 来提供安全的服务。

4.2 树立信息安全管理意识

现今信息系统的网络安全的使用者还是以电子商务的银行、证券、电信等为主, 中小企业也随之使用, 对网络安全的问题也日益重视。信息系统网络根据互联网的特点, 是信息在人与人之间的支配, 在造成信息破坏的因素中, 认为失误的破坏率远远大于技术失误, 所以要提高信息安全的管理意识, 三分靠技术, 七分靠管理, 安全方面的技术和产品仅是为信息系统网络提供技术层次的手段, 然而, 能否利用好这些技术更大程度上取决人们对这些技术的应用。因此, 在信息系统网络安全中, 必须加强用户的安全教育和安全意识的培养。

5 结语

计算机、互联网技术的迅速发展, 加快了信息化社会的脚步, 随着信息系统与国家、企业、个人关系日趋密切, 也带来了信息安全的问题。信息系统网络安全是产业运营的基础, 是实现信息资源保值升值的重要途径。针对信息系统网络风险与管理提出了相应的建议, 以保障信息资源产业的安全运营和健康发展。

摘要：随着我国经济和技术的飞速发展, 我国互联网得到了广泛的应用。如果信息系统受到破坏, 那么信息就会流失。这不仅对我国和企业造成伤害, 还会造成很大的损失。因此, 加强信息系统网络安全管理工作十分重要。本文对目前信息系统网络安全管理的现状以及风险进行分析, 并对风险进行提出相关的管理措施。

关键词：信息系统,网络安全,风险,问题,管理

参考文献

[1]李雅卓.企业信息网络安全管控系统的研究设计[D].中国农业科学院, 2010.

网络高校财务信息安全风险及对策 篇10

1 网络环境下高校财务信息的主要安全风险因素

网络财务是计算机与网络信息技术在财务信息管理领域的具体应用,其信息安全风险除来源于网络信息技术的一般风险外还有财务数据的特定风险[2],主要有以下几个风险:

1)计算机软硬件系统风险。计算机软硬件是保证财务信息数据安全的基础,也是财务系统运行的基本条件,但其对财务数据安全的影响却未引起财务管理者足够的重视。计算机硬件长期不进行更新维护,缺乏日常保洁,增加了硬件发生故障的风险。一旦硬件设备系统发生故障,就会导致财务网络系统及财务软件无法正常运行,造成财务信息数据丢失的风险,给财务工作带来灾难性的后果。同样,软件系统对财务信息的安全也很重要。软件系统不够成熟,运行不稳定,升级更新缓慢,相关漏洞未及时弥补,安全性和保密性不够,用户权限设置不合理,这些都可能直接影响网络财务的运行效率,给财务信息安全造成隐患。

2)计算机病毒风险。在网络技术的快速发展的今天,计算机病毒的破坏能力也在不断提高,成为网络安全最大的威胁因素之一。计算机病毒具有隐蔽性高、传播速度快、自我复制强、难以防范等特点。高校财务信息数据通过网络在客户端与服务器端进行数据的相互交换和传递,极大增加了财务系统感染计算机病毒的风险,而一旦财务系统感染病毒势必会威胁到整个财务网络系统和数据安全。

3)非授权访问风险。在网络环境背景下,一些人可能会出于各种目的,避开计算机系统访问控制机制,对财务网络设备及数据资源进行非正常使用,扩大或改变权限访问财务数据信息,在网络上对财务数据进行修改,以及通过网络对财务系统进行攻击,这些将会对财务网络系统及数据造成严重破坏。

4)内部控制风险[3]。任何数据和系统都需要有效的管理机制,财务信息管理不断网络化,但针对其相应的内控管理制度却还不够健全。各种人为破坏及失职行为,比如伪造、窃取、删除等,都不能得到有效的控制与责任追究。

5)数据存储及传输风险。财务信息化后,电子数据成为财务信息管理的主要对象。对数据备份不够重视,没有形成定期备份的制度,会导致数据丢失后无法还原。或者,对数据存储介质管理不当,造成消磁或损坏,数据丢失。另外,电子数据除存储备份外还要在客户端和服务器之间相互传输,大大增加财务数据被截取、簒改的可能,导致数据不准确或丢失。

2网络环境下财务信息化安全对策及防范

计算机网络的迅猛发展,网络财务信息安全成为重要的问题。为了确保网络环境下财务信息数据的安全,在实际工作中需注意以下几点:

1)提高运用网络安全技术,确保网络运行安全。除了运用法律和管理手段外,管理者还需依靠网络技术方法来实现保护网络背景下财务信息的安全可靠。目前,网络安全控制技术主要有:防火墙技术、访问控制技术、用户识别技术、网络安全漏洞扫描技术、网络反病毒技术、入侵检测技术等[4]。

2)加强对计算机病毒及人为破坏防范。建立合理有效的计算机病毒与人为破坏防范体系和制度,及时发现计算机病毒入侵情况后,采取有效的手段阻止计算机病毒的进一步传播和对系统的破坏;同时提高工作人员防范意识,遵守相关防范措施,制定具体的、切实可行的管理措施,防止人为因素的破坏。在安全防范体系中,每个责任主体都必须遵守安全行为规则,防范体系才可能运行好,才可能达到预期的防范效果。

3)完善财务信息内部控制制度。建立健全财务信息内部控制管理制度,明确内部岗位分工,利用岗位之间相互联系相互制约关系,确保财务信息数据安全可靠,防止对数据和软件的破坏性修改。加强计算机软硬件管理与维护制度,涉及财务信息数据的计算机做到专机专用,未经允许不得使用财务专用计算机。针对财务信息数据的操作须经主管批准,不得擅自进行。定期检查计算机软硬件系统,做好检查记录,对易损、易耗件经常更换,保证系统正常运行。故障发生时,及时解决问题,做好财务信息系统维护工作。

4)加强财务数据管理,做好数据备份。完善财务数据管理制度的制定,规范财务信息管理内部控制,明确各岗位职责,确保高校财务信息数据的安全可靠性。定期对财务信息数据进行备份,提高数据的完整性,避免由于硬件的故障而导致数据的丢失。对财务备份数据安排专人负责保管,未经领导批准不得对备份数据进行任何的操作。同时对存储备份数据的光盘、硬盘、磁盘等存储介质,按照相关规定的管理办法进行归档存放,并做好防火、防潮、防磁等工作,谨防外部因素造成对财务数据的破坏。

摘要：计算机网络技术的快速发展推动了高校财务信息化的步伐。高校财务信息管理在共享网络技术给带来的方便、快捷和高效的同时,也面临着诸多不确定性的安全风险。本文通过分析网络环境下影响财务信息安全的主要因素,提出相应的风险对策和防范措施。

关键词：高校,财务信息,网络,安全风险

参考文献

[1]孙瑾.谈高校网上财务信息的安全与对策[J].科技信息,2010(18):474-475.

[2]霍宏建.网络财务信息安全风险及防范[J].合作经济与科技,2012(435):86-87.

[3]凌振华.网络环境下的高校财务信息安全风险与对策[J].会计师,2014(22):78-79.