企业信息安全风险评估

2024-10-11

企业信息安全风险评估（共9篇）

企业信息安全风险评估篇1

浅谈如何加强企业信息安全风险管理

摘要：随着全球信息化程度的提高，企业信息化程度也随之提高，企业信息安全风险管理也显得越发重要。企业网络的安全防范对于企业来说也是不容忽视的。本课题研究了企业所面临的信息安全风险，试图从企业管理的各个主要环节入手进行分析，认为可以构建一个安全的企业网络。

关键词：企业、信息安全、风险、管理

前言

随着国内经济建设的持续发展和知识经济模式的到来，企业得以高速发展，企业管理水平也亟待提高，不少企业也正以一种前所未有的热情来致力于企业内部管理素质与效率的提高；信息化的管理手段在网络经济迅速发展的时代显得尤为重要。

第一章:企业信息安全管理的重要性

信息化已经成为一个大型企业的发展战略，只有实现信息化,企业才有可能抓住机遇，实现企业的快速、健康发展。信息在企业的经营和发展中的作用由此可窥一斑，有时候信息甚至可以左右一个企业的存亡。如今，企业之间以及企业内部的信息传递越来越依赖于网络。在宽带网络建设得到飞速发展，信息得到快速传递的同时，因为企业信息安全问题而倒闭或蒙受巨大经济损失的案例也不胜枚举。2010年1月12日，baidu.com域名被劫持，此次网站被“黑”事件创下了百度创建以来最大的一次断网事故，也给民众和各企业敲响了警钟：网络信息安全问题不可忽视。

随着互联网的发展和网络技术的不断进步，企业信息安全问题已经成为每一个企业面对生死存亡必须要考虑的一个问题。由于互联网的开放性和通信协议原始设计的局限性的影响，企业信息因为诸多方面的原因容易造成外泄，给公司的正常运营带来安全隐患。企业在充分利用网络资源，享受信息传递的方便快捷的同时，降低企业安全信息管理风险显得尤为重要。

第二章：企业信息安全面对的风险

一、企业外部人员的信息窃取；内部服务器被非法访问，破坏传输信息的完整性。

黑客、木马的破坏性，相信很多企业的CTO都感受颇深。很多企业的局域网设计、办公自动化（OA）系统都存在着或多或少的漏洞。网络布线之后，局域网没有经过深思熟虑的规划，路由器密码为空或者没有经过修改，网关设臵过于简单等等。办公自动化（OA）系统方面，权限管理过于简单或者基本没有，用户名及密码明文传输等等，都会给日后的使用，埋下隐患的种子。

二、企业内部人员的故意或过错而造成的商业机密泄漏。黑客的攻击，或许只会对企业的局域网、以及办公系统带来破坏，很少能够有目的地，如其所愿地获取所希望的信息。企业核心信息的泄露，很大一部分，要归咎于企业内部管理的不规范，或者内部员工的有目的的向竞争对手提供企业重要信息。

企业的核心数据，也就是所谓的商业机密，一定要保证，除了核心管理层之外的人员，其他员工无权获取。对商业机密的保护不够重视，或者对企业信息访问权限缺乏强有力的约束，以及权限管理不健全，都会带来企业核心数据信息的外泄，无论是有意还是无意，都会给企业带来无法估计的损失。

因此，面对企业信息安全所面临的威胁，企业必须把信息安全风险降到最低，避免因企业信息外泄或被窃而给企业带来不可估量的损失。对当今的企业而言，必须通过加强企业信息安全风险管理，对可

3预见的风险加强防范，维护企业信息安全，避免造成不必要的损失，在保证企业信息正常流转的同时，保障企业的正常运行。

企业信息化建设的概念是发展的，它随着管理理念、实现手段等因素的发展而发展。因而管理也是企业信息安全得到保证的重要组成部分，也是防止来自内部网络入侵必需的重要部分。管理混乱、安全管理制度不健全等都可能引起企业信息安全风险。即除了从技术下功夫外，还得依靠管理来实现。

应对企业信息安全风险不只是给电脑设臵密码，安装杀毒软件那么简单，这需要企业的每一位员工以每一件小事，每一个细节为出发点，从工作的方方面面加强防范。加强企业信息安全风险管理，要求企业每位员工提高安全防范意识。

第三章：如何降低企业信息安全的风险

一、制定企业信息安全规范，并严格加以执行。

企业要重视局域网规划，完善网络设计、建设，首先从网络层面规范信息安全要求。企业内部的网络使用方面，要求员工不要随意到网上下载软件、不要打开不明邮件附件等等。企业内部管理人员或员工应该设臵用户口令，并且保证该口令不会因为过于简单而容易破解，并明确权限管理，把责任落实到个人，禁止信息泄密。

二、警惕对企业内部不满的员工和已离职员工。

员工离职之后及时更换管理员用户名及口令等信息。防止员工在把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险而造成经济损失。

三、加强对员工企业信息安全方面的培训。

提升安全技能，并通过运用企业信息方面危机的事例分析，逐步培养企业人员信息安全意识，使员工充分认识企业信息安全风险防范的必要性和重要性，并注重提高处理计算机系统安全问题的能力。

四、提高对计算机安全的重视程度。

企业网络管理人员应定期对计算机进行安全检查，并选择最适合自己公司需要的管理软件。

加强企业信息安全风险管理还要求企业员工从身边的细节加强防范，在日常工作中对办公邮箱加强管理，经常更换登录密码，并对重要数据进行备份。打印纸不随意丢弃，过期文件及时销毁。

结论

通过以上措施，我们基本上可以从里到外，从上级管理者到普通员工之间，形成一个立体的信息防护网，保护企业的重要信息不外泄，形成了企业信息安全的立体化防护。

企业信息安全风险评估篇2

近年来,信息安全风险日益加大,国家和企业都对防范网络安全风险非常重视。国家信息化领导小组颁发的27号文件《关于加强信息安全保障工作的意见》对我国信息安全保障工作做出原则性、战略性的规定,要求坚持“积极防御、综合防范”的方针,同时把信息安全提升为国家安全的一个重要组成部分,把风险评估作为一项国家重点工作来抓。经过这几年的努力,已基本形成国家信息安全保障体系。

核安全文化中倡导“纵深防御”,作为核电企业,在信息安全体系建设时也要结合“纵深防御”的安全保护理念,结合4个“凡事”的工作思想,通过“三道防线”与“体系文件与安全组织”的建立,有效地实现“纵深防御”和“程序管理”的安全管理思想在信息安全保障方面的应用,而风险评估则是实现信息安全“纵深防御”理念的基础。

1 风险评估的定义

风险评估(Risk Assessment)就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁、存在的脆弱性以及形成风险的可能性。

风险管理就是为防范和化解信息安全风险,从而把风险控制在可接受的水平上。

2 风险评估的有效实施

风险评估的最终目的是帮助企业了解和识别风险,在价值与成本间找到平衡点,将风险控制在可接受的范围内。某种意义上说,风险评估的过程就是识别风险的过程。

2.1 安全模型参考

在国际标准ISO13335中,安全模型如图1所示。该模型的特点是以风险为核心。

在国家标准GBT 20984中,风险评估中各要素间的关系如图2所示。

风险评估是以信息资产为主线,重点分析企业信息资产面临的威胁、存在的脆弱性以及企业由此面临的风险,为降低、减小、转嫁、规避这些风险,在充分考虑业务战略与成本投入的前提下,提出适合于本企业的安全需求,再根据安全需求制定相应安全措施的过程。风险评估中各要素之间存在着以下相互依赖、相互制约的关系。

1)资产价值的高低与企业战略对资产依赖程度成正比,依赖度越高,资产的价值越大;依赖度越低,资产的价值就越小。

2)风险与资产面临的威胁成正比,一定程度上说,企业资产面临的威胁越多,则企业潜在的风险就越大。

3)安全需求的产生是由风险的客观存在和对风险的识别双重作用决定的。

4)脆弱性是未被实施的安全需求,威胁利用脆弱性危害资产。

5)通过制定安全措施满足安全需求,安全措施需要考虑成本投入。

6)残余风险控制不得当或未得到及时控制,可能诱发安全事件。

2.2 风险评估的依据

风险评估参照以下标准和指南实施:国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号);2006国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》;GBT 20984《信息安全风险评估规范》;GBZ 20985《信息安全技术信息安全事件管理指南》;GBZ 20986《信息安全技术信息安全事件分类分级指南》。

2.3 确定风险评估范围

确定风险评估的范围,主要是对被评估信息系统及所涉及的物理资产、软件资产、数据资产进行识别,然后对被评估信息系统的关键资产进行识别与分类,特别是核心资产的安全属性,需进行详细识别后再进行分类。如在电力二次系统分析中,应重点识别出资产在遭受泄密、中断、损害等破坏时所遭受的影响,并根据资产在遭受泄密、中断、损害等破坏时所遭受的影响,对资产的价值进行赋值。

信息系统资产可以分为硬件、软件、数据、人员和服务5类,资产识别过程中,对各资产的使用人或者部门应进行协同调查和统计。可采用实地检查和问询的方式调查统计信息系统所涉及资产,并借鉴等级保护相关文件填写相关资产调研表。

2.4 借助外部力量开展信息安全风险评估

信息安全风险评估对一些专业知识和防护经验要求较高,所以核电企业可以选择技术力量和信誉较好的信息安全服务公司进行风险评估。

2.4.1 威胁识别

威胁是指企业或资产存在的潜在危害或事件,分析这些危害或事件将对企业带来危害的可能性及造成的损失。威胁是一个客观存在的事物,不存在没有威胁的信息系统。

在识别威胁之前,需对信息资产进行识别,根据业务类型、等保级别进行分类,对关键资产的威胁进行着重识别、分析。分析结果可能为一个资产实体面临多个威胁或一个威胁对多个信息系统或资产产生影响,因此需要识别并追溯威胁的诱因及影响客体。

威胁评估涉及管理、技术等多个方面,所采用的方法有问卷调查、问询、数据取样、日志分析等。

2.4.2 脆弱性识别

脆弱性识别具有隐蔽性、欺骗性、复杂性等特点,比威胁识别有更高的难度,是以资产为对象,对威胁识别进行验证。脆弱性不仅体现在信息资产的软件、硬件或通信设施及物理环境等方面,还深入到人员管理、业务流程、组织机构等各个方面。这些客观存在的脆弱性自身不会造成危害,只有当它们被威胁利用后才会发挥作用,造成相应的危害。

在脆弱性识别的过程中,需要对识别出的脆弱性进行分类。脆弱性一般分为管理脆弱性、结构脆弱性(如安全域划分不当)、操作脆弱性(如安全审计员业务生疏)以及技术脆弱性等。找出脆弱性被威胁利用的可能性以及利用后造成的危害,并对其进行评估,最终进行定级。

此阶段采用安全扫描、手动检查、问卷调查、人工问询等方式对评估工作范围内的物理环境、网络设备、操作系统、数据库系统和应用中间件系统进行系统脆弱性评估,同时为后续脆弱性分析及综合风险分析提供参考数据。

2.4.3 风险分析

1)威胁分析。威胁识别工作完成之后,将对资产所对应的威胁进行评估,即对威胁发生的可能性进行评估。将威胁的权值分为1～5之间的5个级别(见表1),等级越高威胁发生的可能性越大。

2)脆弱分析。在脆弱性识别的基础上,从基础环境脆弱性、安全管理脆弱性、技术脆弱性等方面展开进一步分析,并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化,从而为最终综合风险分析提供参考数据。脆弱性严重程度的赋值方法如表2所示。

3)综合分析。在完成以上各项分析工作后,还需进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,同时将风险量化,并列出综合分析表(见表3)。

2.4.4 风险处置

在分析阶段完成之后,风险评估项目组将根据风险分析的结果,结合国家有关的法律、法规,总结出当前的安全需求。根据安全需求的轻重缓急以及相关标准

和电子政务保障框架,制定出适合的风险处置方案。

在考虑风险处置前,相关组织应确定一个风险是否能被接受的准则。例如评估显示,风险较低或处理成本对于相关组织来说不划算,则风险可被接受,这些决定应加以记录。对于风险评估所识别的每一个风险,必须做出风险处置决定。

在选择风险处置方式时应该考虑企业的目标和使命。不可能解决所有的风险,应对那些可能给企业生产带来严重危害的威胁/脆弱性进行优先级排序。同时,在保护企业生产正常进行及其信息系统时,由于各部门有其特定的环境和目标,因此用来处理风险的方式和实现安全措施的方法也各有不同。

3 核电企业内部自我风险评估

信息安全的风险评估不是只有选择依靠外部力量就万事大吉,需要核电企业内部根据安全风险评估情况,不断地展开自我评估,把风险逐步降至最低。

在自我风险评估过程中,结合各系统的实际应用不断地加强风险的控制,同时加强核电企业内部人员的信息安全意识方面的培训,逐渐消除人员方面的安全隐患,通过周期性的风险评估,不断地完善和改进安全措施。

4 结语

随着核电企业信息化程度的不断推进,核电企业对网络信息的依赖程度不断增强,网络威胁的增加,信息安全管理已变得尤为重要。信息安全风险评估与分析正是顺应了信息时代的发展趋势。为了保证核电企业信息系统的相对稳定,周期性地开展信息安全风险评估工作,把各类风险消除在萌芽期对核电企业来说至关重要。

摘要：文章结合国家政策、行业规范以及核电企业对信息安全的特殊要求,论述了核电企业开展风险评估的必要性及迫切性;以特定的安全模型为参考基础,通过一定的防护手段,协调平衡威胁、脆弱性及风险三者之间的关系;重点分析了核电企业开展信息安全风险评估的具体实施方法与流程。通过论述得出风险评估是提高企业信息安全保障水平的重要手段之一。

关键词：风险评估,脆弱性,威胁,资产

参考文献

[1]吴世忠,姜常青,彭勇.信息安全保障基础[M].北京:航空工业出版社,2009.

[2]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2010.

信息安全：企业抵御风险之道篇3

而保护信息免受来自各方面的威胁，是一个企业经营管理的重要环节。

信息安全也不只是个技术问题，而更多地是管理的问题。

互联网的黑色星期天

2004年10月17日这个星期天的下午，许许多多正在使用腾讯公司QQ即时聊天软件的用户发现，QQ无法正常登录了！随即腾讯公司通过网络发布公告解释为通讯线路故障，表示该公司正在抢修。而一天过去了，问题并没有得到解决，各方开始众说纷纭，许多IT和反病毒论坛上开始流传这么一张帖子：“一国内黑客团体，利用腾讯QQ服务器的漏洞要挟腾讯支付100万美金作为‘修复’费用，腾讯不予理会后，该组织于17日早正式发动攻击……”

就在同一天，著名反病毒公司江民公司的主页被篡改了，署名为“河马史诗”的黑客留下这么一行字样：“NND，你们去论坛看看，一片怨声载道，你们干什么去了？！”

几个小时过后，国内最大的电子数码产品代理商神州数码的官方网站也惨遭黑客毒手，被篡改了网页。

这些攻击几乎都在同一日进行，受害对象全是国内知名网站和各界的领头羊，其中一些被黑网站还受到了黑客的巨额敲诈勒索，这是国内首起网络黑客勒索事件，且组织严密、技术高超、规模巨大。在黑色恐怖的弥漫下，国内互联网一时人心惶惶，风声鹤唳……

信息泄漏损失几何？

此前，惨痛的事例也并非没有，只是未能引起足够警觉和重视。比如，就在前不久，被称为中国戏曲三大网站之一的“中国秦腔网”遭黑客入侵，网站所有数据被全部删空，事发后，因为该网站平日没有对数据进行有效备份，巨大的损失根本无从挽回。网站几年的积累一夜之间化为乌有。如果这一事件发生在银行、保险、大型网站、敏感机关等网络内，损失更将是无法估量。

根据日本当地报纸的报道：2004年2月，日本软件银行（SoftBank）和雅虎日本在当地共同经营的宽带业务“Yahoo! BB” 成了一宗利用客户资料进行勒索的案件的受害者。据统计，共有4517039份软银的现订户和前订户的个人信息遭泄漏，信息的具体内容包括：住址、姓名、电话号码、申请时的电子邮箱、雅虎邮箱、雅虎日本ID、申请日期七项内容。所幸的是，用户的信用卡银行帐号和密码等重要信息不包括在内。后据调查，泄漏来源是公司内部员工所为。

在此后举行的一个新闻发布会上，软银主席孙正义对此做出正式道歉，宣布他自己以及公司其他管理层将在未来半年内自减薪水50%，还表示将免费为宽带订户提供6个月互联网接入安全服务。并拨出40亿日元（3730万美元）对受影响客户做出赔偿。

而腾讯公司QQ是一款用户数量庞大的即时通讯工具，可以判断，此次故障所波及的用户不是一个小的数目，损失自不必说。

江民公司，安全公司反倒被人家弄坏了家门，此事令业内人士瞠目结舌不说，公司形象损失更是巨大。

这一系列事件给全社会敲响了警钟，现今是网络的时代，网络和IT产品给我们带来了前所未有的机会，提供前所未有的方便，但同时我们也会发现我们已经过度的依赖它，并且这种依赖势必随着时代的发展日益加深，而这种依赖也必然蕴涵着巨大的风险。

信息安全，你重视了吗？

虽然信息风险与安全的概念早已提出，网络战、信息战等新战争形态的研究和规划也早已进入军事领域，但是一般企业对信息产品所蕴涵的风险仍然缺乏足够重视，对一旦发生网络泄密、IT产品失灵、通讯故障、病毒入侵、黑客破坏甚至恐怖袭击、自然灾害等事故后的应对准备不足、替代方案不够，在日常也缺少信息危机预警机制、信息备份机制和信息危机事件处置预案，可以断言，一旦发生严重的、大规模的信息危机事件，许多企业基本上只能坐视损失的发生而束手无策。

美国Ernst&Young近日公布的企业信息安全措施的调查结果显示：企业的首席执行官虽然认识到信息安全存在风险，但仍未采取足够的措施加以解决。

针对在公司内进行关于信息安全的培训和提高职员意识的工作，超过70％的企业没有将其列为“最优先处理的事务”。只有不到20%的企业将信息安全提高到首席执行官级的优先事项。

该调查是以51个国家的1233家企业为对象实施的。企业虽然重视病毒等来自外部的攻击，但对来自公司内部的威胁仍然视若无睹。

公安部近日公布的2004年全国信息网络安全状况调查结果显示：在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中，发生网络安全事件的比例为58%。

造成网络安全事件的主要原因，是安全管理制度不落实和安全防范意识薄弱，其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时，调查表明：信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强，但是用户安全观念薄弱、安全管理人员缺乏培训，以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。

这些都充分显示了信息安全并未得到多数企业的重视。所以，企业乃至全社会，树立必要的信息风险意识、增强应对信息危机的能力已是当务之急。

是谁泄露了机密？

随着信息化的推进，很多企业把管理搬到了网络上，但是同时也存在着信息化环境下技术保密、管理保密问题。目前在国内，管理信息系统能够实现有效加密的很少。一个企业的运营数据很容易获得。比如：要获得某个企业的销售数据，只要联入数据库，什么信息应有尽有，而很多软件，会将联入数据库的参数暴露在配置文件中，甚至有的根本没有进行加密。

而说到保障企业的信息安全，很多人首先想到就是利用各种各样的技术手段，比如：利用防火墙和各类加密手段。但你有没有想到，道高一尺，则魔高一丈。比如：随着技术的发展，现在的个人电脑能够保存大量的客户数据。即使是PDA（便携信息终端）、手机、存储卡等记录媒体也能存储容量可观的数据。这样，犯罪手法也相应发生了变化。仔细想一想，这也是当然的事情。罪犯不会傻到特意往你耗时耗力专门搭建的防火墙上撞。比起这种方式，还是直接带走公司里的信息设备更加简单。

比如：忘在车里的个人电脑就是隐患之一。如果将这台电脑忘在某个地方，或者被人偷走的话，就会造成信息泄漏。这种情况下的信息泄漏不仅仅是指电脑里的数据。同时还存在第三者使用这台电脑访问公司内部网络的危险。

再比如：热衷工作的“您”，也许正是信息泄漏的危险人物。如果太热衷于工作会有什么危险呢？首先请您回答以下提问：您是否将工作带到家中？您是否即使外出也要在空隙时间利用网吧工作？是否共享笔记本电脑中的数据，在部门间进行协同作业？是否会在出差地为了了解电子邮件请同事代看？

请问您的回答有几个YES呢？如果您有上述情形之一就需要“注意”了。因为由于职员或相关人员随意的行动或由于不经意的失误导致信息泄漏或系统故障的事件越来越多。因为每位职员的日常行为中潜藏着有可能威胁到企业安全的因素。

以“将工作带到家中”的人士为例：日本三菱重工就曾经发生过将下一战斗机相关数据泄漏到公司外部的事件，当时该公司职员为了回家工作将上述数据附在电子邮件的附件中发送到了自己的邮箱。

很多企业允许通过互联网访问企业的软件或者公司的内部系统，如果有的职员“即使外出也要在空隙时间利用网吧工作”那就需要注意了。2004年3月6日，日本假冒他人通过互联网从银行非法取款1600万日元（约合人民币100万元）的嫌疑人被逮捕，他是用安装在网吧电脑中名为KeyLogger的监视软件，取得并记录键盘输入信息从而盗取了用户的ID和密码。由于直接取得的是键盘的敲击纪录因此即使对通信进行加密也没有用。由此推想，利用同样的方法盗取访问公司内部系统用的ID和密码也不出奇。

在信息泄漏事故中最可怕的是案犯来自内部，所以在出差地为了了解电子邮件请同事代看的做法实在是不明智的。

如何防止信息泄漏？

保障企业的信息安全应该从企业自身的管理抓起，建立和健全信息安全管理体制，利用各项制度防止任何管理上的漏洞。诚然，有些企业已经采取了安装防火墙、IDS（入侵检测系统）及杀毒软件，或者制定安全政策等各种措施。但上述措施只能在各自擅长的方面发挥作用。因此，必须将所有的安全对策综合起来考虑，即整体安全管理的方法。

第一，系统安全管理

其中包括：系统资源的管理和信息资源分级分类管理。比如：在很多大型系统中，很多人可能并不清楚，里面究竟有哪些软件、硬件设备？有没有人插进来一个设备或者是删除一个设备？究竟是哪个关键部件出了毛病？等等。此外，信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样，在系统中进入不同的设备、进入不同的操作也要进行区分。

第二，对用户的管理

加强对用户的管理，用管理手段弥补技术落后问题。在自己的系统上所注册的合法用户究竟有哪些？他们各自的权限在哪儿？这些问题必须搞清楚，因此，对密码的配置要进行管理。

要制定重要信息的使用方针。需要有一个规定：每个员工能访问什么信息以及什么样的信息可以保存在电脑里。不过，实际问题是无法逐一检查每个人使用的信息设备内所保存的内容。公司应该以所有设备上都保存有重要信息为前提，来考虑安全问题。需要强化对带出信息终端的监视，以及强化登录个人电脑时的密码认证措施。另外，还应该考虑数据的加密。

第三，对资产的管理

首先要明确企业的哪些资产需要保护：企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常，各公司认为表述资产的价值是很容易的，但具体到要按级别界定就不那么简单。对此，就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别，并为制定切实可行的安全管理策略打下基础。

第四，将安全策略运用于日常业务中

信息安全策略的制定一定是一个好的开始。但无论信息安全策略考虑得有多好，制定得有多详尽，但是如果人们不知道这些策略，仍然毫无用处。所以还应有一些好的手段，使安全策略得到推广，比如：

（1）对企业安全管理人员进行安全培训，以便维护和管理整个安全方案的实施和运行情况。

（2）利用幽默和简单的语言表述信息安全策略，分发给每个雇员。

（3）印刷日历，强调每个月不同的策略，将它们张贴在办公室中。

（4）将信息安全策略和标准发布在内部系统的网站上。

（5）向公司员工发送宣传信息安全策略的邮件。

（6）建立内部安全热线，回答雇员关于信息安全策略的问题。

企业信息安全风险评估篇4

1.医院信息系统安全风险评估的概念

医院信息系统安全风险评估是指依据有关信息安全技术标准，对医院信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评价的活动过程，它要评价医院信息系统的脆弱性、医院信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的来识别医院信息系统的安全风险。2．国内外信息系统安全风险评估的概况

美国政府就发布了《自动化数据处理风险评估指南》。其后颁布的关于信息安全的基本政策文件《联邦信息资源安全》" 3．我国医院信息系统安全风险评估工作现状及存在的问题 4.医院信息系统安全风险评估工作流程(1)确定医院信息资产列表及信息资产价值(2)识别脆弱性(3)识别脆弱性

它可能存在于网络安全体系理论中网络应用所划分的’个层次，即网络层、系统层、用户层、应用层、数据层，(4)识别威胁

威胁来源应主要考虑这几个方面，即非授权故意行为、人为错误、软件设计错误带来的威胁、设备损坏、线路故障、自然灾害医院信息系统的安全威胁可通过部署入侵检测系统(,-.)，采集入侵者的,/地址及目的,/地址、目的端口、攻击特征、当前用户和进程等攻击信息，通过统计分析，从概率上分析一段时间内攻击的类型、强度和频度来获取，分析现有的安全控管措施

（5）确定可能性

(6)确定风险

(7)建议安全防护措施。

(8)记录结果

5.医院信息系统安全风险评估结果的处置措施

(1)避免：采取措施，完全消除医院信息系统的安全风险

(2)降低：采取措施降代风险造成实际损害的可能性，降低其影响。（3）接受

（4）转嫁：通过责任外包、保险等方式%(’转嫁：通过责任外包、保险等方式（5）回避

企业信息安全风险评估篇5

一、适用

本计划为按照程序文件 ISMS-2002《信息安全风险管理程序》要求各部门对本部门不可接受风险做出处理计划，由行政部负责汇总，提交信息安全管理委员会评审以获得管理层批准实施。

二、目的根据表 ISMS-4024《重要信息资产风险评估表》中风险等级≥4 以上的资产采取控制措施，保证降低其风险等级至可接受风险等级。

三、职责

针对某项不可接受风险的资产责任人即为此计划的编制人和负责人。

四、详细处理计划

对于上述不可接受风险的资产，处理准则为，对面临同样风险的资产采取一类管理方法，举例对技术部公积金扫描验印系统、票据防伪系统、电子验印系统、票据影像系统、光盘缩微系统、一票一密系统、上门收款原代码的管理方式应考虑通用的控制措施。

处理计划要求包含以下内容：

a)针对不可接受风险资产的范围。

b)风险计划实施部门，编制人，批准人、实施人，编制时间，生效时间。c)对资产的脆弱性和威胁做详细分析和描述。d)权衡成本和收益提出处理策略。对于计划处理效果显著，可以转变为公司的统一管理制度。此次风险评估的处理计划如下：

部集编JC编刘健制2009-1-1 门成部号-001 制人表时间

风资产名称：交换机、UPS 电源、技术部路由器

险描资产风险：

述

1、交换机：本公司的机房环境差，没有温湿度控制，没有除尘设施，机房布线混乱，交换机没有定期检测。

2、UPS：UPS 使用的时间接近报废时间，若出现 UPS 失效，而不

及时更换，电力供应中断后服务器数据丢失，不可恢复。

3、技术部路由器：技术部每天产生的项目代码需要通过路由器传到

备份服务器，对技术部的路由器的维护措施没有，有中断业务的风险目

1、降低交换机发生故障的概率。的

2、保障服务器的电力供应。

3、确保技术部的持续工作。

适江苏万佳技术部项目组

用范

围

风置详细策略

险处交换机：

（1）交换机等放到机房，机房有独立的物理空间。

（2）在机房中配备温湿度计，安装空调，对机房用门隔离，门上贴

警示标识，将机房规定为敏感区域，墙上贴有机房进去登记表，编制机房管理规定。

（3）定期对交换机功能检查，周期为一周一次。UPS：

（1）向行政部申请购买 2 台全新 UPS，以防止此 UPS 失效。技

术部路由器：

（1）将此路由器放置有保护的装置中，将技术部的合理区域划为设备存放地，贴一标识以防设备被无意损坏。

（2）定期对路由器检查，周期为一周一次。

惩（1）对违反机房管理规定者，首次予以警告，第二次违规罚款 20 罚元，通报批评教育。

（2）对损坏公司网络硬件设备者，提交行政部视情节予以处理。引

用标

浅析国税信息系统的安全风险篇6

息系统审计作为信息社会的安全对策，能有效地管理与信息系统有关的风险，从而确保信息系统的安全性、稳定性和有效性。

一、信息系统审计简介

“审计”一词起源于财务审计，人们比较熟悉的审计是对财务报表或会计账册的监督，好像和信息系统没有必然联系。但随着经济管理和科学技术的不断结合以及日益渗透，现代审计已经远远超出了仅对财务会计进行审查的狭窄范围，不断向管理领域和技术领域渗透。

信息技术的广泛应用使信息系统实际上已经成为企业及社会的中枢，在一定程度上左右着企业的命运。美国、日本等发达国家在信息化过程中率先意识到信息系统审计的必要性并对此进行了研究，目前已得到普及。在我国，虽然也早就提出了“计算机审计”的概念，但这种审计更多的是偏向于“利用计算机进行审计”。实际上我国的信息系统审计工作还处在摸索阶段。

信息系统审计是技术审计的一个典型，它实质上是对计算机软件、硬件及整个信息系统的审计，是指遵照普遍接受的信息系统审计标准和指南对信息系统及其应用的安全性、稳定性和有效性进行监测、评估和控制的过程，以确保预定的业务目标得以实现。

按国际上通行的规范，信息系统审计主要有6个方面的内容：评估信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务；评估技术基础设施的管理和运行实践方面的有效性及效率，以确保其充分支持组织的业务目标；评估信息资源在逻辑访问、运行环境与信息技术基础设施的安全性，以确保其满足组织的业务需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失；评估系统灾难恢复与保证业务连续性的能力，以确保组织能持续进行业务营运；评估应用系统开发、实施与维护的方式、方法及过程，以确保其满足组织的业务需求；评估业务处理流程的风险管理水平，确保根据组织的业务目标对相应风险实施管理。

二、国税信息系统面临的风险

国税部门作为行政执法部门，信息系统的安全与否直接关系到为纳税人提供服务的质量和效率，社会的和谐与稳定，因此国税信息系统的安全保护显得越来越重要。近年来，以数据省级集中为标志的新一轮国税信息化建设已成效凸显，为国税系统优化纳税服务，加强科学管理提供了广阔的技术平台，直接带来了税收理念的更新，征管机制的创新、管理手段的提高，但在数据由分散到集中的同时，原来分散的风险也随之集中。在这种模式下，虽然安全性事故、灾难的发生频率可能大大降低，但其潜在的风险不容忽视。

1、运行环境方面的风险。数据集中后，通过采用更高端的设备、技术等措施提高了系统的安全系数，故障概率大大低于分散式数据管理模式。但是应清醒地认识到数据集中后，其安全影响的范围也呈几何级数增长，一旦发生故障，可能影响全局。因此，必须建设、保障一流的运行环境，不仅要考虑供电、温湿度、洁净度、抗电磁干扰、火灾等常规因素，还要考虑到地震、洪水等自然灾害的影响。

2、数据备份中心及应急恢复机制方面的风险。电子化程度越高的行业，其对数据完整性和可用性的要求也越高。据美国的有关调查显示，如果公司在灾难过后两个星期内无法完全恢复信息系统的使用，75％的公司业务将会完全停顿，43％的公司将再也无法开业。对于依赖信息系统进行日常运作的国税部门而言，纳税人对于系统停机的可忍受时间甚至不能超过1天，而税收数据的丢失和破坏可能会导致税收秩序的混乱，影响社会的稳定与和谐。

3、软件开发及应用方面的风险。由于我国税收政策变动比较频繁，加之软件开发者水平参差不齐，软件开发的时间较紧，一些税收征管系统往往没有进行缜密的测试，因此有可能存在一定的缺陷和漏洞，让不法之徒有机可乘。

4、网络安全方面的风险。internet的迅猛发展为电子商务、电子政务提供了运作平台，但也带来了许多不安全隐患。各种迹象表明，网上申报、手机申报等信息系统已成为日益猖獗的网络攻击和计算机犯罪活动的主要目标。

三、国税信息系统审计的重点

国税信息化经过多年的建设，已初具规模，各种系统十分复杂、庞大，如对全部信息系统进行审计的话，工作量巨大，且目前信息系统审计的人员缺乏，因此，应先从部分重点系统、重要环节着手进行审计，审计的重点应该考虑以下内容：

（一）运行管理审计

作为一种人机交互系统，信息系统的服务质量和安全是建立在“三分技术，七分管理”的基础之上的，系统运行中的操作管理是否科学、规范直接影响到信息系统的服务质量和安全性。运行管理审计的重点包括：

1、机房管理审计。包括机房、设备间等重要运行环境选址、布局是否合理；是否设置了门禁、监控、气体灭火、防水、防雷、报警等安全设施；机房内部的温度、湿度、洁净度、电磁干扰等技术指标是否合格；机房的进出是否有切实有

效的管理制度、是否有防止非正常行为的对策等。

2、操作管理审计。包括是否有详尽的操作规范；是否对系统操作人员进行上岗前培训；操作人员是否严格按规范进行操作；系统的登录代码及密码是否具备一定的安全防护对策、是否按规定更新；是否记录操作日志并保存一定期限；操作人员的交接是否按规定进行；是否及时发现、记录、报告事故及故障；是否及时采取措施排除故障，防止再次发生等。

3、硬件管理审计。包括是否制定并遵守硬件管理规范；硬件的运行环境是否达到相应的技术要求；是否定期对硬件进行检修、维护；对硬件故障的维修对策是否合理；是否有硬件维护日志；检查业务设备送出修理时是否对设备所存业务数据进行删除。

4、软件管理审计。包括是否制定并遵守软件管理规范；软件的拷贝是否有严格的控制措施和技术防范对策；软件的保管和废止是否按机密资料予以保护；是否有完善的软件版本管理规范；对软件源程序的控制是否严格，生产环境与测试环境是否严格分开。

（二）系统开发审计

信息系统的开发审计通常应该包括系统规划审计、系统分析审计、系统设计审计、系统编码审计、系统测试审计和系统试运行审计等部分。当前国税信息系统开发审计的重点包括：

1、预期效益审计。主要包括是否提供了新的服务；是否实现了新的功能；是否提高了纳税服务的质量；是否提高了本单位的工作效率等社会效益方面的评估；是否通过流程整合减少了人员、降低了税收成本。

2、编码及文档管理审计。编码审计主要包括编程语言、编程工具的选择是否合理；是否制定了统一的编程规则；是否对数据的类型、结构、长度作统一的说明；程序逻辑是否清晰、易懂；是否按照结构化的方法进行编程等。文档管理审计主要包括是否制定、遵守文档管理规范并按规范编制文档；文档的数量是否齐全；文档的编制内容是否完整、齐全；文档的质量是否符合要求；文档的版本管理是否严格；是否有文档的保密管理对策等。

3、控制措施审计。包括将业务流程进行整合后，新系统是否重新设置了与之相适应的内部控制措施；是否遵循“职责分离”的原则，对人员的职责权限和变动进行合理的控制；信息系统是否具备一定的识别和防御攻击的能力（如登录控制、加密、拒绝访问等手段）；是否具备一定的自适应能力（如根据攻击方的意图调整控制措施，隔离破坏范围的能力）和恢复能力；是否专门设计了系统审计功能或预留了系统审计接口等。

4、系统测试审计。包括有无完整的系统测试计划；测试案例的编写是否合理、全面；参与测试人员的选择是否符合公正、客观的要求；测试方法是否合理；测试结果是否得到参与人员的认可；测试文档是否齐备等。

5、试运行审计。包括有无切实可行的试运行方案；针对新系统的人员培训是否落实；新系统的运行环境（包括软件、硬件、网络等）是否符合实际运行要求；新系统的实际运行效率、功能是否达到预期设想等。

（三）网络安全审计

网络安全审计的根本目的就是防止通过计算机网络传输的信息被非法占用。网络安全审计应重点针对网络安全管理、网络安全技术、网络安全策略等内容。

1、网络安全管理审计。包括是否建立有效的网络安全防御体系；安全及密码产品是否具有合法性、是否经过国家有关管理部门的认可或认证；是否建立了有关网络安全的规章制度、在实际工作中是否严格执行；是否进行了网络安全教育、安全培训；对网络安全工作是否进行动态管理等。

2、网络安全技术审计。包括是否使用了严格的身份验证技术控制系统用户；是否使用了访问控制技术并配置访问控制策略；是否利用密码技术对数据进行安全加密；与外部单位连接时是否安装了防火墙进行有效隔离以确保安全；是否使用了系统漏洞扫描技术来检测系统的脆弱性；是否使用入侵检测技术对网络系统进行实时监测；是否制定了有效的防病毒策略，如不使用不明来历的软盘、光盘；是否安装了有效的防、杀病毒软件；是否及时更新最新的病毒码以保证防病毒软件的有效性；是否采用网络安全审计措施等。

（四）灾难对策审计

为保证信息系统的正常运行，开发人员在系统设计上已经采取了各种措施来防止信息系统被破坏，但这并不能完全杜绝系统的各种故障和一些不可抗力的灾难，而灾难一旦发生，往往导致信息系统完全瘫痪，造成巨大损失。所以，必须对信息系统的灾难对策进行审计。国税信息系统的灾难对策审计应抓住以下重点：

1、灾难应急对策审计。包括是否事先制定了灾难应急对策；灾难应急对策是否切实可行；灾难应急对策是否定期进行演练；灾难应急对策是否根据实际情况及时调整。

2、数据备份审计。包括是否制定信息系统及数据的备份策略；数据备份策略是否切实可行；数据备份的强度是否足够；数据备份的范围是否全面；数据备份的恢复方法及恢复效果是否经过验证；使用备份数据进行恢复的时间是否可以控制在可以忍受的范围之内；数据备份的存储介质管理是否按要求执行等。

3、设备冗余审计。包括是否为信息系统提供冗余运行环境（灾难备份中心，包括电力、通讯线路等设施）；是否为信息系统的核心设备（生产机）提供冗余设备（备机）；生产机和备机上的信息系统和数据是否同步；生产机和备机之间的切换方案是否可靠并经过验证等。

四、开展信息系统审计需要解决的几个问题

（一）组织问题

虽然，目前部分国内企业已经意识到利用信息系统审计可以有效地管理信息及与信息相关的技术，保障企业信息系统可靠运行，并开始关注信息系统审计，但整个社会对信息系统审计的认识还不够，信息系统审计远未达到普及的程度。国内还没有专门的信息系统（技术）审计机构，在各单位内部目前也没有设置相关的信息系统（技术）审计部门。国税系统目前主要采取各级信息中心进行自查、互查的方式来解决信息系统的安全性问题，往往是就某一专项内容进行检查，带有一定的局限性，且一般情况下检查的深度不够，因此迫切需要具有专门知识和技术的、与系统没有直接关系的信息系统审计专业机构和专职人员介入。

（二）标准化问题

目前，国内开展信息系统审计主要是参考信息系统审计与控制协会isaca（information system audit and control association）这个国际上唯一的信息系统审计师专业组织制定和颁布的信息系统审计标准。该标准是一套以管理为核心、以法律法规为保障、以技术为支撑的框架体系，为实施信息系统审计提供了一套执业规范和操作指南。但由于国内系统集成业发展的不成熟以及客观应用环境的差异、法律法规上不完善等原因，处在起步阶段的国内信息系统审计工作不能完全照搬此标准，必须尽快形成适合国税系统的信息系统审计标准体系。

（三）人才问题

企业信息安全风险及控制策略探究篇7

随着我国信息建设的推进, 如今互联网的信息技术得到了越来越广泛的应用, 信息技术在企业运行中的作用越来越重要, 为企业的发展带来了新的机遇。但同时, 信息安全的风险也逐渐显露了出来。如何既能借助信息技术开放共享企业的信息资源, 继而达到高效办公的目的, 又能规避企业核心信息、商业机密等重要信息的泄露, 逐渐成为摆在企业面前亟待解决的一大难题。

传统的信息安全技术, 包括防火墙的设置、入侵检测、扫描漏洞、加密数据等对网络底层数据的安全防护工作, 但随着电子科技水平的不断提高, 这样简单的防护措施已经无法满足当今的信息安全需求。如何才能称之为安全的信息, 需要从以下几方面来探讨:

1) 完整性。首先要保证信息在收集与整理的过程中避免主观上或者客观上的“失真”。其次要保证数据储存的安全性, 不能出现缺漏、遗失、损坏等影响信息数据完整性的情况;最后要选择科学合理的信息采集与加工方法, 从而保证信息的完整性;

2) 保密性。包括保障已被授权的用户能够访问权限范围内的信息以及对于非权限范围内的信息的不可访问, 以及对特殊资料的不可复制、不可影印等权限的设置;

3) 可用性。指在技术层面上保证用户的顺利访问和对用户的使用, 即保证系统的稳定性以及可用性。

二、企业信息安全风险控制分析

2.1 电脑病毒、黑客入侵。企业信息处于开放的网络环境下, 暴露在众多木马病毒以及黑客攻击的威胁之下。一旦感染恶意病毒或是被他人侵入企业信息系统内部, 可能会导致企业重要资料被窃取、商业信息丢失、内部数据被篡改、通讯消息被窃听、企业电子网络系统瘫痪, 无法正常运作、加密措施失效、设备运行发生错误等恶劣影响、这些状况都会给企业带来无可估量的损失。

2.2 企业信息安全管理工作疏漏。信息安全工作是一个长期性、持续性的工作, 且除非出现大的纰漏否则无法直接感受到该工作的作用, 这导致大部分企业难以在这方面的管理与经费支出上拥有足够的自发性与主观能动性, 这既是企业信息安全管理工作本身的性质导致的, 也是企业趋利的性质导致的。

三、企业信息安全风险控制策略

3.1 优化企业网络防火墙, 提高外部威胁防范能力。鉴于当前网络病毒的盛行和黑客入侵行为的猖獗, 企业应将防止此类行为放到企业信息安全工作的首位。而强化防火墙设计则是对应于此类威胁的强有力的手段之一, 企业的网络电子设备大多配置有防火墙, 但存在版本过低、系统陈旧以及防火墙产品不够安全等问题。另一方面, 企业网络系统中大多装设了过多功能和品牌相异的电子安全产品, 这些软件之间无法兼容, 反而会起到负面效果。

对于上述问题, 企业可以聘请专业的IT技术人员检查本企业的网络防火墙状况, 并进行改善和定期升级。或是引进当今较为先进的企业信息安全风险防范体系, 即统一系统平台+ 独立功能模块。这一设计理念旨在提高企业信息安全防护水平, 并且优化企业信息系统运行环境。

3.2 提高员工信息安全意识, 规范信息网络操作行为。信息安全不仅要从硬件环境下功夫, 还要重视企业员工的主观能动性。首先要建立科学严谨的企业信息安全规范守则, 以此来强化企业中个人信息安全防护意识;使得信息安全工作落实到企业的每一个员工身上, 落实到平日工作的方方面面中。

四、结束语

综上所述, 在企业的管理及运行过程中, 应当重点加强内部信息管理的管控力度, 提高网络电子设备的硬件水平, 以便于充分利用信息技术的长处, 规避信息安全风险所带来的危害, 切实掌握好企业信息管理这把“双刃剑”。

参考文献

浅谈网络信息安全风险评估问题篇8

【摘要】我国的信息化进程时间比较短，在网络信息技术高速发展的过程中，其安全问题也不断地暴露出来。信息安全风险评估是建立信息安全体系的基础，是信息系统安全工程的一个关键组成部分。本文探讨了目前网络信息安全风险评估工作中急需解决的问题。

【关键词】信息安全：风险评估：脆弱性：威胁

【中图分类号】TP309 【文献标识码】A 【文章编号】1672-5158（2013）04-0047-01

1 引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点，它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定，以成本一效益平衡的原则，通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2 网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下5个特征：（1）保密性。即信息不泄露给非授权的个人或实体。（2）完整性。即信息未经授权不能被修改、破坏。（3）可用性。即能保证合法的用户正常访问相关的信息。（4）可控性。即信息的内容及传播过程能够被有效地合法控制。（5）可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：（1）自然界因素，如地震、火灾、风灾、水灾、雷电等；（2）社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；（3）网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；（4）软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；（5）人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；（6）其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3 安全风险评估方法

3.1定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

3.3多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5集中化决策管理

安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。

4 风险评估的过程

4.1前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2中期现场阶段

编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究阶段。

4.3后期评估阶段

撰写系统测试报告。进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。

5风险评估的错误理解

（1）不能把最终的系统风险评估报告认为是结果唯一。

（2）不能认为风险评估可以发现所有的安全问题。

（3）不能认为风险评估可以一劳永逸的解决安全问题。

（4）不能认为风险评估就是漏洞扫描。

（5）不能认为风险评估就是 IT部门的工作，与其它部门无关。

（6）不能认为风险评估是对所有信息资产都进行评估。

6结束语

总之，风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分，是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求，但是，信息安全评估工作的实施也存在一定的难题，涉及信息安全评估的行业或系统各不相同，并不是所有的评估方法都适用于任何一个行业，要选择合适的评估方法，或开发适合于某一特定行业或系统的特定评估方法，是当前很现实的问题，也会成为下一步研究的重点。

参考文献

[1]王毅刚，吴昌伦.信息安全风险评估的策划[J].信息技术与标准化，2004，（09）

会计电算化的信息安全风险篇9

会计电算化的产生和发展对会计理论与实务的发展意义重大，极大提高了现代会计记账和财务管理工作的效率和水平，但同时会计电算化也存在着较大的信息安全风险。

会计电算化信息安全问题可以归纳为两类：信息失真和信息泄露。

会计信息是对企业生产经营活动的综合反映，信息的质量和内部信息的保护直接影响到企业的经营管理预测和决策的科学性以及企业生产经营安全。

信息失真表现为会计数据错误、数据丢失、数据被篡改，信息泄露表现为不应公开的内部财务信息被他人窃取、公开或使用。

引发会计电算化信息安全问题的不安全因素主要表现为以下四种情形：

1.1 舞弊行为

舞弊行为是企业电算化系统的内部工作人员以窃取、泄露商业秘密，非法转移资金，掩盖其他不法行为为目的，故意对企业会计数据实施非法获取、删改等行为，或者对会计软件实施破坏、删改等行为，造成企业严重损失。

篡改是会计信息舞弊行为的常见情形，其中依行为对象又分为对输入数据的篡改、对文件的篡改和对程序的篡改三种情形。

篡改输入数据是在经济数据输入前或输入过程中对数据删改，包括修改业务数据、删除业务数据、虚构数据等。

篡改文件是对文件中数据的删改。

篡改程序是对电算化系统程序做非法修改。

1.2人为破坏硬件

人为破坏硬件是指系统内部操作人员或系统外部人员，出于某种目的故意对企业电算化系统硬件设备进行破坏，导致系统运行中断或无法运行，以达到破坏会计数据信息的目的的行为。

1.3工作人员失误

工作人员失误是指电算化系统内部操作人员专业素质不足或缺乏责任心造成操作不当、数据输入错误、监控力度不足等导致会计信息失真的情形。

工作人员专业素养不足，对计算机硬件设备或电算化系统进行错误操作，可能引起计算机系统或电算化系统的损坏，危机电算化系统信息安全，操作会计数据丢失。

工作人员缺乏责任感，粗心大意，容易发生数据录入或处理错误，导致会计信息不真实、不完整、不准确。

1.4计算机病毒

计算机病毒可以破坏计算机程序和数据甚至计算机硬件，入侵电算化系统删改、窃取会计信息资料，对会计数据造成的破坏是毁灭性的。

特别是随着网络信息技术的发展，计算机病毒也在不断升级，计算机病毒传播途径和方式日趋多样化，破坏力更大，传播速度更快，更加隐蔽和难以对付，对会计电算化信息安全造成更大风险，需要引起高度重视。

2.会计电算化信息安全风险防范

2.1制定严格的计算机硬件操作规程

为减少和避免由于操作不当引发的会计电算化信息安全风险，应当制定严格的计算机硬件操作规程并严格执行。

计算硬件操作规程应对计算机硬件系统安装顺序做详细的说明，用以指导相关人员的操作。

如：计算机处于工作状态时不得拔插外部设备，计算机读写软盘时不得强行取出软盘等。

2.2 加强对计算机病毒的防护措施

计算机病毒是企业会计电算化系统信息安全外部风险的主要来源，为防范外部风险企业必须加强对计算机病毒的.防护措施。

如设置防火墙，对非法入侵行为进行检测并加以防御;加强对路由器等重要网络设备的管理，使用具备禁止非法网段访问、禁止telnet访问等防火墙功能的路由器;使用正版软件;定时备份数据和软件，防止由于计算机系统、硬件或会计电算化系统遭到破坏，造成会计信息数据的丢失;定期对计算机硬件和软盘进行病毒扫描、检测，及时发现病毒并采取防御措施;提高对来历不明的电子邮件的警惕性，不打开来历不明的邮件。

也可以对企业邮箱进行设置，将来历不明的电子邮件拦截或者删除等。

2.3提高会计信息输入的准确性

为较少失误，提高会计信息录入的准确性可以通过对电算化系统进行设置来实现，具体操作如对电算化系统数据的进入系统的设置;对每一功能模块的操作权限和口令密码进行设置，敏感数据可以采用多级密码控制技术;对电算化系统建立输入操作日志;设置输入数据的自动校验功能，当操作人员发生输入错误时，系统可以自动报错，拒绝接受错误的数据信息。

2.4建立健全会计电算化系统内部安全防控机制

为防范来自内部的会计电算化信息安全风险，应当建立健全电算化系统内部安全防控机制。

一、增加财务软件安全功能。

如对系统设置进入密码和口令以及系统各部分操作的权限。

前述提高会计信息准确性的相关措施，如建立系统操作日志，对所有人员的操作行为的相关信息，包括操作实践、操作人员姓名、操作内容等进行记录，以便实现对操作行为的监控，也可以起到防范内部风险的作用。

二、建立健全内部控制制度。

针对会计电算化系统内部操作人员的恶意或无意的行为，采取适当的内部控制措施，并以制度的形式规定下来，做到有章可循。

如依据会计电算化的业务要求，设置用户权限并进行分级授权管理，可以分设系统管理员、操作员、会计档案管理员等分散权限，做到权责分明，降低由于权限过于集中导致操作行为缺乏制约和监督引发的信息安全风险。

三、加强操作控制。

建立相关操作制度，如外部人员不允许随意进入机房，禁止会计电算化系统开发人员接触、操作计算机，对上级操作人员进行授权管理。

四、建立会计电算化系统的安全控制制度。

会计电算化系统的安全控制制度包括：设备、设施安全制度、档案管理安全制度、联机控制制度等。