网络安全风险防控预案篇1
从本质上来说,网络不但在企业处理各种人事与资产管理中起着重要的作用,其对于对外进行业务拓展,优化企业资源配置上也有重要帮助。但是网络安全问题一直是影响企业信息安全,制约企业经济效益提升的主要因素。因此,加强网络安全风险评级技术的研究,提高网络安全系数具有极其重要的现实意义。
【关键词】网络安全风险防控技术
目前,国外有关学者已经对网络安全风险防控进行了相关理论研究,结合我国网络安全的现状,对我国制定网络安全风险防控策略也具有现实指导意义,并且在此基础上需要更多的创新形式,来进行网络安全风险的防控工作,最终实现网络安全风险防控目标。
1网络安全风险的特点
1.1可预测性
从理论角度上讲,个别风险的发生是偶然的,不可预知的,但通过对大量风险的观察研究发现,风险往往呈现出明显的规律性。网络安全风险预测是网络安全领域一个新兴的研究热点和难点,是预防大规模网络入侵攻击的前提和基础,同时也是网络安全风险感知过程中的一个必不可少的环节。为此,研究者建立了实时网络安全风险概率预测的马尔可夫时变模型,并基于此模型,给出了网络安全风险概率的预测方法。这说明网络安全风险呈现出规律性特征,借助于科学模型以及数理统计等方法,可在此基础上进行预测性分析,这也为我们发现、评估、预测、规避网络安全风险提供了理论支撑。
1.2难以识别性
网络安全风险与其他风险相区别的显著特征在于它的载体依附性,网络安全风险依附于网络,产生于网络,而网络的复杂性、蔓延性、不可预测性特征也决定了网络安全风险的难以识别。网络安全风险广泛存在于计算机网络的各个层面,同时也潜伏在网络使用的各个时期,由于网络的虚拟性特征明显,决定了网络安全风险漏洞的识别是一项纷繁复杂的工作,需要对网络整体进行筛选和发现,网络安全风险的难以识别性使得网络安全风险防控的成本增加。
1.3交互性
互联网作为平等自由的信息沟通平台,信息的流动和交互是双向式的,信息沟通双方可以与另一方进行平等的交互。安全风险相伴互联网互生,并且呈现出不同领域内互为交织的特点。例如,网络一方面使得金融机构拓宽了业务范围,但同时以网络为中介的交易风险也增大,使其成为我国社会风险防控的重要组成部分。
2网络安全风险防控技术分析
2.1防火墙技术
随着人们网络安全和防范意识的提高,网络安全技术的研发速率也不断增加,基本上实现了对多数网络安全问题的防护与处理。尤其是在一些企业单位,为了保证内部信息安全,采用了多种安全防护技术,其中最为常用的是防火墙技术。设置防火墙后,能够对对网络上的访问信息进行扫描和检查,一旦检测到非法的,或者未授权的访问信息时,防火墙的安全防护系统启动,自动清除这些非法访问信息,以此保证网络内外安全。从防火墙的工作原理上看,它属于被动式安全防护技术,即只有非法或未授权信息出现时,才能发挥安全保护作用。
2.2网络扫描技术
在网络安全风险评估中,最常用的技术手段就是网络扫描技术。网络扫描技术不仅能够实时监控网络动态,而且还可以将相关的信息自动收集起来。近年来,网络扫描技术的使用更为广泛和频繁,相对于原有的防护机制来说,网络扫描技术可以使网络安全系数有效的提升,从而将网络安全风险明显的降低。由于网络扫描技术作为一种主动出击的方式,能够主动的监测和判断网络安全隐患,并第一时间进行处理和调整,对恶意攻击起到一个预先防范的作用。
3网络安全风险防控策略
3.1完善应急预案设计
网络安全风险具有不确定性,最典型的就是它的发生时间不固定,因此,做好网络安全风险防控最重要的策略就是将网络风险防控工作常态化。网络安全风险防控需要一整套切实可行的、逻辑上具有连续性的预案设计,即网络安全政策的建设。完整的网络安全政策建设应包括以下几个方面的内容:网络安全风险的收集、网络安全风险的分析研判、网络安全的漏洞识别、网络安全漏洞/脆弱点强化、网络安全风险分层面控制、网络安全风险点对点消除。
3.2主动配合行业监管
目前,部分行业由于行业的特殊性质或者不愿意公开等理由,使得部分行业的操作处于不透明状态。虽然行业有其自身保护机密不被侵犯的权利,但是这种不透明化也会给风险的防控设置阻碍。网络安全风险防控与对象有着紧密联系,针对不同行业的不同特点,防控的策略也不尽相同,因此,行业要实现网络安全风险防控效果的最大化就应主动配合国家和政府的行业监管,使行业内能够做到透明化的操作实现透明化。
3.3强化行业部门协作
网络安全风险防控是一个系统工程,需要各行各业以及行业的各个部门实现全方位的协作。而现实中网络安全风险有时候也是由于信息传递滞后、上下级信息传递阻碍或者行业、部门不合作造成的,而它的存在不仅会造成网络安全事故的发生,也会带来一系列连锁反应,事故得不到及时解决,会使得网络安全风险持续存在并且持续升高,造成更加严重的后果。各个行业或者部门要想打破这种阻碍信息共享的障碍,必须加强沟通对话,在协调各方利益的基础上,共谋网络安全风险防控的策略框架。
4结语
总而言之,网络安全风险防控是当前社会的热点议题。网络技术的发展不仅给现代社会带来巨大便利,同时也使得网络攻击日趋常态化,从而引发了一系列的网络犯罪问题。只有网络安全,国家才能安全。进行网络安全风险的防控需要进行风险原因分析,把握网络安全风险级别,识别风险漏洞。
参考文献
网络安全风险防控预案篇2
关键词:金融风险;防范;管理
中图分类号:tp393文献标识码:a文章编号:1009-3044(2012)10-2201-02
随着我国金融业的蓬勃发展,各金融机构不断加大金融电子化建设投入,扩大其网络规模和应用范围。但是,应该看到,金融电子化在给我们提供便利的同时,也带来了新的安全问题,并且,这个问题现在显得越来越紧迫。
1金融网络现状与面临的主要风险
金融活动越来越多地在计算机网络上建立,网上证券交易、资金转账、清算支付、信用卡交易、信用查询、电信银行业务等基于网络的金融产品不断被开发出来,各种不同规模的金融系统也在迅速的发展壮大,金融业务的网络化趋势,已经成为不可避免的发展方向。
在网络为我们提供巨大便利的同时,来自外部与内部的威胁与风险也在不断加大。绝大多数银行、金融机构都会通过各种方式进行互联互通,并与国际互联网直接或间接相连,如何有效防范来自外部的攻击、窃听、木马、病毒的多重入侵是金融网络组建与运行中必须首要考虑的问题。同时,机构内部的员工、终端、服务器、网络设备、软件等的管理也是不可忽视的,由于外部出口是一个点,而内部体系是一个面,所以来自内部的威胁往往要远远大于外部,必须加以足够的重视。
2金融网络的风险评估与防范
最有效的金融网络风险防范措施就是对网络系统进行等级保护,按照重要程度进行级别划分,对不同等级的网络系统通过物理隔离或逻辑隔离划定边界,并针对不同等级的网络系统,特别是核心业务网络定期进行风险评估,系统地分析所面临的威胁及其存在的脆弱性,查找薄弱环节和安全隐患,有针对性的提出防范和化解风险的整改措施,并及时进行整改。
风险评估根据网络系统等级划分后的的重要程度和机构自身的条件选择自评估或聘请第三方专业机构进行。评估过程大致可以分为现场检查、风险分析及策略选择3个步骤进行。
首先,现场检查阶段应明确目前网络资产情况、网络系统的安全需求、当前的安全控制措施情况、业务对网络系统的依赖性,明确网络系统的技术脆弱性,主要包括:设计弱点、实现弱点、配置弱点等等。现场检查切勿走形式,务必提前制定详细的检查方案与实施细则,并严格按照检查计划进行。只有现场检查阶段得到了全面、真实的业务数据,才能为后面的综合分析提供必要的基础支持。
风险分析阶段是整个风险评估的核心部分,需要利用现场检查阶段得到的各类数据,综合分析金融网络系统所存在的各类风险。具体实施则应包括关键资产安全需求(机密性、完整性和可用性)确定、关键资产威胁分析、脆弱性分析、综合风险计算及风险分析总结等几个方面。
安全需求分析包括应选择关键资产、并对关键资产进行安全需求分析与赋值。威胁分析针对环境因素和人为因素分析威胁来源、对威胁进行分类、研究威胁发生的可能性、分析威胁的严重程度。脆弱性分析包括以下几点:网络安全策略及管理规章制度是否健全;安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理;网络系统的体系结构、各类安全保障措施的组合是否合理;网络安全域划分、边界防护、内部网络防护、外部设备接入控制、内外网隔离等是否到位;网络设备、安全设备、主机和终端设备的安全性是否可靠,操作系统的安全配置、病毒防护、恶意代码防范等是否有效。此外,还应检查设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理情况;机房安全管控措施、防灾措施、供电和通信系统的保障措施等;关键资产采购时是否进行了安全性测试,对外部服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施;应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况等。
综合风险分析主要是综合分析网络与信息系统的整体安全现状,对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性;分析安全事件发生后可能造成的后果和影响;分析网络和信息系统的整体风险状况,最后根据风险的程度逐条列出风险列表,通常可将风险划分为3个等级,即一般风险、中级风险和高级风险。
策略选择阶段根据前一阶段得到的风险列表,结合安全需求和业务目标,开展相应的整改工作,开发和选择符合成本效益的信息安全保护策略,包括安全管理策略和安全运行策略,并制定合适的风险缓解计划。特别是针对高级风险应立即采取相应措施进行化解,对于短时间内受各种客观条件限制而不能及时处理的高级风险,应制定专项风险防范方案,并提出后期整改计划。
经过较为全面的风险评估与相应的整改,可以极大的降低金融网络安全事件的发生概率。需要注意的是,风险评估保证必须定期组织进行,并将责任落实到人,确保整改到位。
3金融网络的应急体系
做好风险评估与防范,千万不能忽视应急体系的建立与管理,即使金融网络各方面风险已得到控制,仍避免不了各类突发事件的发生,如何在紧急情况下以最快的速度恢复系统运行或使用替代方式继续进行业务处理,是衡量一个网络体系是否健全完善的重要指标。
金融网络比起其他普通网络系统,有着更加重要的地位,一个社区的网络或是一所学校的网络系统出现故障所产生的社会不良影响远不及一家银行资金业务或支付清算系统网络所出现的事故。金融网络的应急处理必须得到高度的重视。
金融网络应急体系建立的首要环节就是要建立一套全方位的应急组织协调机制,应涉及应急处理的各个部门、单位及相关政府职能部门,能在突发事件发生后的第一时间进行组织协调,确定应急方案,调动各方力量,实现应急联动。
其次,金融机构应结合自身的实际情况,制定和不断完善it层面的应急预案,完善网络、机房环境等应急操作手册,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少金融网络信息安全事件造成损失和影响,保障金融业务的连续运行。
应急预案的有效性取决于预案所涉及的人员对预案的理解。因此必须定期组织要对预案的宣传、培训和实战演练,确保参与应急处理的每个人均能充分理解应急预案的中心思路、应急处理的原则、应急处理的具体执行流程,以便在实际应急处理过程中迅速进入状态,确保应急处理的效果。
实战演练是为检验应急设施的有效性、锻炼应急队伍、改进应急预案等,针对真实运行的系统主动进行的演练,实战演练前应检查预防性措施的就绪情况,以防止可能发生的演练风险。演练必须注重真实性,不能走过场,要模拟出真实事件发生的效果,最好由第三方组织在不通知预案执行者的前提下进行,以达到更真实的现场效果。
4结束语
金融网络必须有足够强的安全防卫措施,否则将会影响到金融业的可持续发展。网络安全保障是一个综合集成的系统,它的规划、管理要求国家有关部门、金融机构及it技术公司通力合作,进行科学的、强有力的干预、导向和防护。随着金融信息化的迅猛发展,金融网络不再局限于专网,而必须使用如互联网那样的公网。通过风险评估机制来建立完善的安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的发展提供一个坚实的信息系统基础保障。
参考文献:
网络安全风险防控预案篇3
一、网络银行面临的新风险
—方面,传统银行面临的风险,如流动性风险、信用风险、利率风险等,在网络银行的经营中依然存在。另一方面,网络银行改变了传统银行业的经营理念和经营模式,不可避免地带来了更多的风险种类。根据网络银行的构成及运行方式,从技术和业务的角度,网络银行面临的这些新的风险可分为两类:基于网络信息技术导致的技术风险和基于网络金融业务特征导致的业务风险。
(一)网络银行的技术风险
网络金融是基于全球信息系统基础上运行的金融服务形态,因此,全球电子信息系统的技术性和管理性安全成为网络银行最为重要的系统风险。这些技术方面的原因主要包括:
1.技术选择风险。网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能,也来自于选择了被技术变革所淘汰的技术方案,造成技术相对落后、网络过时的状况,导致巨大的技术和商业机会的损失。
2.系统安全风险。网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成,所以,电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。虽然网络银行都设计有多层安全系统,并不断出现新的、安全性的技术及方案,以保护虚拟金融柜台的平稳运行,但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素,也来自网络外部的数字攻击,以及计算机病毒破坏等因素。根据对发达国家不同行业的调查,系统停机对金融业造成的损失最大。网上黑客的袭击范围不断增大,手段日益翻新,攻击活动能量正以每年10倍的速度增长,其可利用网上的任何漏洞和缺陷非法进入主机、窃取信息、发送假冒电子邮件等。计算机网络病毒则可通过网络进行扩散与传染,传播速度是单机的几十倍,一旦某个程序被感染,则整台机器、整个网络也很快被感染,破坏力极大。系统安全风险不仅会扰乱或中断提供正常的服务,给银行带来直接的损失,而且网络银行的形象和客户对网络银行的信任水平。
3.外部技术支持风险。由于网络技术的高度知识化和专业化,或出于降低营运成本的考虑,网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。这种做法适应了网络银行发展的要求,但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。
(二)网络银行的业务风险
网络银行基于虚拟金融服务品种形成的业务风险主要包括操作风险、市场信号风险和风险。
1.操作风险。操作风险是指由于系统可靠性、稳定性和安全性的重大缺陷导致的潜在损失的可能性。这类风险可能来自于网络银行安全系统和其产品的设计缺陷及操作失误,也可能来自于网络银行客户的疏忽,商业银行职员在业务上的误操作,也可能导致网络银行严重的业务风险。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与客户间的信息交流、真假电子货币的识别等领域。例如,网络银行改变了传统的以图章为支付指令的结算手段,采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”,数字签名的可靠性完全取决于银行安全控制系统的严密与否。
2.市场信号风险。信息的非对称性可能导致网络银行面临不利选择和道德风险,这一风险被称为市场信号风险。由于网络银行无法在网上鉴别客户的风险水平而处于不利的选择地位,网上客户可能利用他们的隐蔽信息和隐蔽行动做出对自己有利但损害网络银行利益的决策等。另外,在虚拟的金融市场上,网上客户不了解每家银行提供的服务质量究竟是高是低,多数客户会按照他们对网络银行提供服务的平均质量来确定预期购买价格。结果,高质量的网络银行反而可能被低质量的网络银行排挤出网上市场。
3.风险。银行的法律风险源于违反相关法律规定、规章和制度,以及在网上交易中有关权利与义务的规定多不清晰,缺乏相应的网络消费者权益保护管理规则及试行条例。网络银行在我国还处于起步阶段,政府尚未有配套、完备的法律、法规与之相适应,立法框架主要基于传统金融业务,使银行在开展业务时无法可依。即使各国有相关的法律、法规,但网络是跨越国界的,各国之间有关金融交易的法律、法规存在差异,在网络银行的跨国交易业务中,难免产生国与国之间法律上的冲突。国际上尚未就网络银行涉及的法律问题达成共同协议,也没有—个仲裁机构,客户与网络银行很容易陷入法律纠纷之中。因此,利用网络提供或接受金融服务,签订合同就会面临在有关权利与义务等方面的相当大的法律风险,容易陷入不应有的纠纷之中,结果是使交易者面对着关于交易行为及其结果的更大的不确定性,增大了网络金融的交易费用,甚至网络金融的健康。
二、网络银行的监管
通过以上对网络银行面临的诸多崭新风险的,我们可以看出网络银行的发展将银行业的监管提升到更高的难度,网络银行的风险监管与控制更趋复杂化。笔者认为,要有效控制网络银行带来的新风险,必须针对各种风险的特征建立起国家、行业、三层次的网络银行监管系统,互相支持,互为补充,达到对风险强有力的预测、控制、化解的作用。
(一)国家层面的网络银行风险控制
国家层面的网络银行风险控制,具体是指在宏观层次上的风险防范与控制,旨在为网络银行的健康发展提供良好的环境和平台。具体来说:
1.大力发展先进的、具有自主知识产权的信息技术。目前我国在金融化业务中使用的机、路由器等软、硬件系统大部分由国外引进,而且信息技术相对落后,因此增大了我国网络银行发展的安全风险和技术选择风险。因此,应大力发展我国先进的信息技术,提高计算机系统的关键技术水平,在硬件设备方面迅速缩/j、与发达国家之间的差距,提高关键设备的安全防御能力。
2.加强防范和控制网络银行风险的制度建设。我国目前已初步制定关于网上证券交易、计算机使用安全保障等方面的法规,但还远不能适应网络发展的要求。应借鉴外国经验,在网络金融发展的初期及时制定和颁布有关法律法规,如在电子交易合法性、电子商务的安全保密、禁止利用计算机犯罪等方面加紧立法,修改(合同法)、(商业银行法)等法律条文中不适合网络金融发展的部分。另外,建立完善的信用制度是减少金融风险,促进金融业规范发展的制度保障。没有完善的社会信用体系,人们就会减少经济行为的确定性预期,网络金融业务的虚拟性会使这种不确定性预期得到强化,不利于网络金融的正常发展,也会增大法律调节的障碍和成本。
3.加强网络银行风险控制的国际协调与合作。网络金融业务环境的开放性、交易信息传递的快捷性强化了国际金融风险的传染性。对网络银行的监管需要不同国家金融监管当局的密切合作和配合,形成全球范围内的网络银行监管体系。对网络银行的监管包括对借用网络银行方式进行非法避税、洗黑钱等行为的监管;对利用网络银行方式进行跨国走私、非法贩卖军火武器及贩卖毒品等活动进行监管;对利用网络银行方非法攻击其他国家网络银行的电脑黑客网站,以及其他国际犯罪活动进行监管;对利用网络银行方式传输不利于本民族文化和伦理道德观念的信息进行监管等等。
(二)行业层面的网络银行风险挫制
行业层次即在中观层次的风险防范和控制,主要是中央银行对网络银行的各种风险进行监控。具体来讲:
1.及时调整和转变传统的监管思路和监管理念。应当清醒地认识到网络银行的诞生对中央银行传统监管方式带来的挑战:其一,网络银行的发展打破了传统的金融区域界限和行业界限,使得金融业务综合化发展的趋势不断加强。其二,网络的无界性使一项金融业务的开通将迅速普及到一家银行的各个分支机构(网络终端),这将宣告传统监管方式下金融业务的市场准人实行分区域、按行业逐一严格审批的传统监管方式成为,金融监管部门面临的将是金融业务“一通百通”的局面。
2.严格银行的市场准入。现阶段,在审批过程中应把握:(1)严格制度建设。网络银行的公示、信息披露、内部控制和系统设计等制度性安排,必须严格审批。但对网络银行的硬件设施配备、技术投入、人员配置不宜干预过多,应当给银行以适当的弹性空间使其根据自己的实际情况进行筹划投资,避免因行政干预造成不必要的资源浪费。(2)重风险防范、化解机制,网络银行的设立或新业务的开展,必须具备完善的风险识别、鉴定、管理、风险弥补和处置方案、计划。
(三)层面的网络银行风险控制
企业层面的网络银行风险控制是指各网络银行在各自经营活动中对风险的防范和控制。
1.透彻国家的法规,必须强化内部监控,防范违规行为和电脑犯罪,避免因法律的不确定性带来的法律风险。
2.加强日常安全管理,对网络银行技术方案进行缜密的论证,以避免出现大的技术选择错误。
3.在经营过程中对网上消费者进行跟踪和信用登记,尽量避免与信用等级低的客户发生业务关系,降低信用风险。
4.在经营活动中严格按照信誉至上的准则办事,树立良好的银行信誉。
网络安全风险防控预案篇4
【关键词】网络银行风险防范措施
一、网络银行的技术风险
(1)技术选择风险。网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能,也来自于选择了被技术变革所淘汰的技术方案,造成技术相对落后、网络过时的状况,导致巨大的技术和商业机会的损失。
(2)系统安全风险。网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成,所以,电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。虽然网络银行都设计有多层安全系统,并不断出现新的、安全性的技术及方案,以保护虚拟金融柜台的平稳运行,但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素,也来自网络外部的数字攻击,以及计算机病毒破坏等因素。
(3)外部技术支持风险。由于网络技术的高度知识化和专业化,或出于降低营运成本的考虑,网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。这种做法适应了网络银行发展的要求,但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。
二、网络银行的业务风险
(1)操作风险。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与客户间的信息交流、真假电子货币的识别等领域。例如,网络银行改变了传统的以图章为支付指令的结算手段,采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”,数字签名的可靠性完全取决于银行安全控制系统的严密与否。
(2)市场信号风险。由于网络银行无法在网上鉴别客户的风险水平而处于不利的地位,在虚拟的金融市场上,网上客户不了解每家银行提供的服务质量究竟是高是低,多数客户会按照他们对网络银行提供服务的平均质量来确定预期购买价格。结果,高质量的网络银行反而可能被低质量的网络银行排挤出网上市场。
(3)法律风险。网络银行的法律风险源于违反相关法律规定、规章和制度,以及在网上交易中有关权利与义务的规定多不清晰,缺乏相应的网络消费者权益保护管理规则及试行条例。目前国际上和国内都尚未就网络银行涉及的法律问题达成共同协议,也没有―个仲裁机构,客户与网络银行很容易陷入法律纠纷之中,结果是使交易者面对着关于交易行为及其结果的更大的不确定性,增大了网络金融的交易费用,甚至影响网络金融的健康发展。
三、网络银行的监管
通过以上对网络银行面临的诸多崭新风险的分析,我们可以看出网络银行的发展将银行业的监管提升到更高的难度,网络银行的风险监管与控制更趋复杂化。要有效控制网络银行带来的新风险,必须针对各种风险的特征建立起国家、行业、企业三个层次的网络银行监管系统,互相支持,互为补充,达到对风险强有力的预测、控制、化解的作用。
(1)国家层面的网络银行风险控制。国家层面的网络银行风险控制,具体是指在宏观层次上的风险防范与控制,旨在为网络银行的健康发展提供良好的环境和平台。具体来说:大力发展先进的、具有自主知识产权的信息技术。目前我国在金融电子化业务中使用的计算机、路由器等软、硬件系统大部分由国外引进,而且信息技术相对落后,因此增大了我国网络银行发展的安全风险和技术选择风险;加强防范和控制网络银行风险的制度建设。我国目前已初步制定关于网上证券交易、计算机使用安全保障等方面的法规,但还远不能适应网络发展的要求。应借鉴外国经验,在网络金融发展的初期及时制定和颁布有关法律法规,如在电子交易合法性、电子商务的安全保密、禁止利用计算机犯罪等方面加紧立法,修改(合同法)、(商业银行法)等法律条文中不适合网络金融发展的部分。
(2)行业层面的网络银行风险挫制。行业层次即在中央层次的风险防范和控制,主要是中央银行对网络银行的各种风险进行监控。具体来讲:及时调整和转变传统的监管思路和监管理念。应当清醒地认识到网络银行的诞生对中央银行传统监管方式带来的挑战,网络银行的发展打破了传统的金融区域界限和行业界限,使得金融业务综合化发展的趋势不断加强;严格网络银行的市场准入。现阶段,在审批过程中应把握:严格制度建设。网络银行的公示、信息披露、内部控制和系统设计等制度性安排,必须严格审批。重风险防范、化解机制,网络银行的设立或新业务的开展,必须具备完善的风险识别、鉴定、管理、风险弥补和处置方案和计划。
(3)企业层面的网络银行风险控制。企业层面的网络银行风险控制是指各网络银行在各自经营活动中对风险的防范和控制。
透彻研究国家的法律法规,必须强化内部监控,防范违规行为和电脑犯罪,避免因法律的不确定性带来的法律风险。
加强日常安全管理,对网络银行技术方案进行科学缜密的论证,以避免出现大的技术选择错误。
在经营过程中对网上金融消费者进行跟踪和信用登记,尽量避免与信用等级低的客户发生业务关系,降低信用风险。
在经营活动中严格按照信誉至上的准则办事,树立良好的银行信誉。
网络安全风险防控预案篇5
当前国内网络安全问题依然突出
人们使用网上银行最为关心的莫过于网络安全问题。目前,国内互联网风险形势严峻,网上交易的安全性成为公众使用网上银行时心中最大的隐忧。根据国内互联网安全公司金山网络2012年2月20日的《2011~2012中国互联网安全研究报告》,2011年金山毒霸累计捕获新增病毒约1230万个,全国平均每天在4%~8%的电脑上会发现病毒,金山毒霸保护用户免于病毒攻击的次数约每天500万次。虽然2011年新增病毒总数自2010年以来再次下滑,而针对网购的攻击则日益普遍,钓鱼网站取代病毒木马成为互联网第一大安全威胁,每月拦截网民访问次数比去年激增了100倍。金山毒霸云安全中心数据显示,2011年,金山毒霸网购保镖日平均保护2000万次网购操作,日均覆盖500万网民。病毒产业追逐经济利益的趋势不会改变,随着互联网产业的飞速发展,2012年,病毒制造者会通过各种手段给用户带来新的安全威胁。
网上银行业务的主要风险点
与传统的银行业务相比,网上银行具有开放性的特征。主要体现在:一是网络社会化,互联网是社会化网络;二是终端社会化,进行网上银行操作的计算机都不是银行的终端;三是客户自助操作,网上银行业务是由客户操作,而非银行柜员进行操作。这些开放性的特征,形成了网上银行业务特有的风险。
网上银行的风险点主要存在于三个方面:用户端、信息传输过程、银行端和商户端。用户端的风险主要由于用户风险防范意识不强、操作不规范或被欺诈而引起个人信息泄露或导致交易风险,例如,用户不注意计算机使用环境、未能有效防范各种类型的木马病毒,登录假网站或钓鱼网站,泄漏自己的账户信息、身份证信息、网上银行登录密码,未使用或丢失U盾或动态密码卡等等,这些都是可能导致风险事件的原因。信息传输过程中的风险是由于网上交易的信息是在互联网上公开传递的,如没有采取必要的安全措施加以防范,则存在着交易信息被篡改和窃取的可能性。银行端和商户端的风险主要来自于黑客入侵、银行和商户的相关业务和产品设计缺陷、内控管理不严、网站风险防控能力不足、网上交易风险监控能力不足等。尽管目前各家银行、商户网站均采取了防火墙和网络检测等安全措施,然而2011年底以来CSDn等网站的暴库事件表明,针对运营商服务器展开的攻击仍然存在。
商业银行防范网上银行业务的风险措施
网上银行风险防范不仅仅是银行的责任,也是整个社会的责任。本文仅从商业银行角度,从事前、事中、事后三个方面提出网上银行风险防范对策。
(一)事前防范措施
1.确定风险管理原则,即审慎性原则和安全性与便利性均衡原则。银行是经营风险的特殊企业,银行要防范风险,规避风险,减少客户的资金损失,保障银行的资金安全,因此,要坚持审慎性原则。同时,银行也是服务行业,面向广大客户提供服务,要秉承“以客户为中心”的宗旨,最大程度满足客户的需求,方便客户使用。网上银行是客户自助操作,通过互联网公开透明渠道提供服务,因此必须采取必要的安全措施、安全手段;然而风险防范措施过于严密,采取过多的安全手段、措施,为防范个别、少数不法分子的作案而采取过高、过多的安全手段,会影响广大用户的方便性,因此,过分强调方便也是不现实的。处理好安全性与便利性的关系是一个难题。银行应以满足广大客户最基本的安全手段、安全措施为基础,在设计管理制度、风险控制手段时应考虑广大客户最基本的需求,统筹兼顾便利性与安全性的平衡。
2.把风险防范嵌入到产品创新和流程优化工作之中。商业银行设计新产品、新业务流程和编写业务需求时,必须同时分析风险点和风险环节,并相应制定防范措施,杜绝制度缺陷、流程缺陷和系统缺陷。
3.普及网上银行安全知识,提高公众的风险防范意识。当用户通过银行网站或柜台开办网上银行业务时,银行可结合口头提示、宣传资料、网站、手机短信等多种形式对其进行风险提示,向其揭示网上银行的相关风险,并进行安全知识教育,提高客户的自我保护意识。加强用户身份验证管理,严格审核用户身份证件,防止代人签约网上银行或利用虚假身份证件开立账户和签约网上银行。此外,还应通过各种宣传渠道向公众明示本行正确的网上银行官方网址和呼叫中心号码。网上银行用户自身也要加强学习,掌握基本的安全知识,培养良好的安全操作习惯,增强风险防范意识。
(二)事中防范措施
1.合理制订网上银行相关业务制度和操作流程,严格内控管理。在科学论证基础上,合理设置网上银行有关参数,并进行规范管理,规范操作人员和操作权限。参数管理中,最重要的莫过于网上银行的交易限额管理,银行要对客户的不同情况(例如,使用安全产品的情况),针对不同交易种类合理设置交易限额,防范大额资金风险。
2.加强安全防护手段,根据当前互联网安全形势,持续优化安全产品和手段,不断加固防范措施。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。加快网上银行安全产品升级换代,提高客户使用网上银行的安全性。近期,建设银行、工商银行推出了二代U盾,与原有普通U盾相比,二代U盾增加了液晶显示屏回显交易信息、物理按钮确认交易两道安全环节,液晶显示屏回显交易信息可让客户再次确认收款人账号和交易金额等信息,防止不法分子利用恶意软件篡改客户提交的交易信息;通过物理按键来增加客户干预,可防止不法分子远程控制客户计算机、利用客户插在计算机上的原有普通U盾进行网银交易而给客户造成损失。同时,银行还可提升多渠道信息交互的产品研发,针对较高风险的交易。例如,银行在验证证书或动态口令后,仍不对交易进行处理,而是将登录状态、账户、金额等敏感信息即时通过短信方式发送至用户手机,待用户核实后,最终决定对交易进行确认或取消。
3.加强假网站监测,定期搜索与本行相关的假冒网站(邮件、电话、短信号码等),做好对“钓鱼”网站的24小时监测和防控工作,并通过专业化工具进行主动搜索、关停。检查本行网页上对外链接的可靠性,并开辟专门渠道接受公众举报,发现风险立即采取防范措施,并向公众进行通报提示。
4.构建科学的电子银行风险管理体系,提高风险管理水平。建立网上银行风险监控系统,对网上银行系统资源使用情况、业务覆盖区域网络性能、外部系统访问情况等进行监控,有效识别、衡量、监督和控制网上银行风险。首先,要建立有效实用的网上银行风险稽核模型,确定具有什么样特征的交易是可疑的交易,进而采用事中监控手段。在日常工作中,应实现对风险稽核模型的动态管理,随着业务发展和客户交易习惯的变化而作相应调整。其次,在此基础上,制订监控规则,并依据监控规则,分析客户交易行为,识别高风险交易,进行事中监控管理。在监控中,应重点加强对大额、频繁、跨地区操作等交易的分析、识别和事中监控,实现对高风险交易的实时监测、事中干预、事后核实、事后提醒等功能,对风险等级高的交易实施事中干预。此外,要完善黑名单的监控类型和控制措施,以作为事中监控的有力补充。对已经发生风险事件的,通过客户服务中心、业务部门以及其他渠道收集风险事件涉及的账号、手机号、证件号以及ip地址,经过一定的审批程序,将涉嫌信息在黑名单中进行登记,关闭其今后的电子银行交易,防止损失扩大。
5.建立风险防范信息共享机制,实现风险信息跨系统、跨渠道共享和联动。建立银行同业之间,以及银行与合作伙伴间的风险联防机制,推进可疑交易跨行追索机制,实现跨行可疑交易账户的快速锁定和资金冻结。
(三)事后补救措施
网络安全风险防控预案篇6
主动发现风险,控制病毒疫情
据趋势科技病毒监测中心(moC)专家分析,在利益驱动下,黑客技术和病毒攻击技术的正不断融合,新型变种的产生非常迅速,呈现出混合性攻击,区域性攻击的态势,单纯依赖的防毒产品解决方案已经很难做到全面的有效的安全防护,很多病毒甚至会主动关闭和破坏防病毒软件。能够在第一时间掌握信息和控制局面的主动式服务在防病病毒战役中的重要作用越来越得到彰显。
对于主动发现和控制病毒疫情需解决两个问题:1.怎样能够在问题出现并在演化到严重程度之前第一时间掌握信息,并有效处理掉?2.面对未知的新型病毒攻击如何方便的查找源头并进行清除和全网防范?
专家快速响应企业安全无忧
针对这两个问题,趋势科技病毒监测中心(moC)已经提供了相应的趋势科技专家服务(tmeS)解决方案:
第一,实时监控和早期预警
moC向客户提供24x7,365天不间断的防毒体系监控服务,确保防毒产品的运行状态正常和网络安全,可监控的事件覆盖了超过三十项企业防毒安全关键性能指标,突破了传统被动式的服务响应方式,一旦监控到意外事件发生,moC会立刻向客户提供主动的安全风险通知与解决服务。
第二,专业团队快速响应
moC的专业工程师在提供及时主动的安全风险预警通知的同时提供高质量解决方案,针对每一预警事件主动提供事件描述,解决方法,工具或是指示,节省管理员调查和解决问题时间,管理员遇到实际操作困难时可随时拨通moC服务热线获得在线指导。
第三,主动发现未知风险
网络安全风险防控预案篇7
关键词:互联网;建筑企业;资金安全
一、引言
随着网络时代的全面来临,网络诈骗、网上银行资金被盗、第三方支付平台被黑客攻击等案例时有发生,由于建筑企业资金量庞大、业务结算复杂、往来款项丰富,更成为网络诈骗的重灾领域。大部分建筑企业都采用了eRp系统,包括网上预约报账、电子结算实时到账、无现金报账、财务查询等多种方式并存于一个统一的网上综合财务平台,与业主、供货商、政府和银行之间的资金往来大部分也通过网络完成,网络结算提高了资金管理效率,降低了财务管理成本,但同时也使得建筑企业面临着严峻的网络资金安全问题。因此,建筑企业如何适应网络信息化、降低资金安全风险、运用网络信息化提高资金管理质量成为建筑业财务人关注的焦点。
二、互联网环境下建筑企业货币资金面临的风险
(一)内部风险
在全国大力发展互联网背景下,网上支付平台大量运用,建筑企业资金管理的内部控制节点也发生了很大的变化,其具体表现形式有:1.财务人员利用网上银行资金结算平台,非法占用企业资金。随着建筑企业与银行之间的账户资金结算变得日趋频繁和复杂,虽然开户银行为企业提供先进的网盾和动态口令等一系列安全产品,并制定短信通知、身份认证、限额控制、多重密码验证、防伪信息验证、私密问题设置和银行后台实时交易监控等措施,但也有不少法制淡薄的财务人员利用工作之便乱开账户、公款私用、非法占用资金,逃避银行结算监督。2.由于网购的便利性,建筑企业常常选择网络购买办公用品、项目用品、小型材料等,有的经办人员利用网络交易平台,通过网络虚开、多开、伪造或者更改原始单据,从而多报销开支,占用企业资金而非法获利。3.财务人员利用发放工资的时差,私自占用公款。建筑企业的工资发放几乎都通过银行代扣代缴或者财务人员通过网银转到员工卡上。有的财务人员根据已审批的工资发放表,利用工资发放电子数据的审核时差篡改工资金额银行明细,将本应支付他人的工资扣减,实际发放到自己私设的户头上,然后在工资发放时期将其填平。
(二)外部风险
建筑企业资金的存放和转账几乎都是通过网上银行、企业内部银行或者其他非银行第三方支付机构,其面临着外部网络的支付技术性风险,主要表现形式包括:1.网络钓鱼。不法分子以系统升级等方式精心布置一个与真实企业网站十分相似的“山寨网银”页面即钓鱼网站,非法获得客户的网银身份信息后,迅速地盗取资金。据统计,2015年有60几个用户信息数据库在网络上公开流传或通过地下黑色产业链进行售卖,共涉及到6000万条客户信息。2.木马偷袭。不法分子将木马病毒挂在一些门户网站、社交软件或者必备网页上,企业资金管理人员一旦疏忽,使用工作电脑点击就会被木马偷袭,被不法分子窃取企业账户、密码等,从而盗走网银中的资金。3.黑客攻击。不法分子向企业内部网站、内部网络或者工作电脑进行黑客攻击或者远程控制,使得企业的资金被暴露和操控,不法分子转移侵吞企业的资金。
三、互联网环境下建筑企业货币资金管理的措施
(一)提高网上支付操作的安全性
首先,对员工的职责进行界定,将不同的操作权限进行不同的等级分层,不同等级的操作权限有明确的分工,各司其职,权利和责任对等;其次,技术问题,建立数据泄露防护和应急解决方案、U盘加密、文档加密等数据保护方案,从而应对各种数据变形后的泄密事件,保障企业和用户的账户数据安全;再次,要强化防火墙和网络安全检测措施,防范外来隐患对网上银行的入侵,避免黑客侵入而造成的财务风险;第四,应加大内部审计监督力度,建立现代的内审制度,防范舞弊行为,确保企业资金安全。最后,提高建筑企业网银操作人员的职业道德素质。当操作员将相关财务信息准确录入银行系统中后,由复核员对网银交易信息进行检验,因此,对操作人员的业务素质培训也是必要的。
(二)建立企业资金风险预警体系
建立和完善资金风险预警监测机制要做到:首先,要确定重点资金、重点单位等监测对象和领域,分析资金变动走向,提前做好应急预案,提高风险应对能力;其次,企业财务系统对多次输入错误的资金密码或者在不安全电脑上登录操作施行拦截、提示或报警,强化资金管理中的层级管理,降低支付风险;再次,当企业所依赖的金融公司或者第三方支付平台发生网络故障时,企业应该建立自身的应急平台、应急机制和备灾系统,以充分保障自身企业的资金安全。
(三)进一步提高互联网技术
随着网络信息化的迅猛发展,网络犯罪日渐猖獗,严重影响着在线金融服务和企业的健康发展。因此,从外部角度来看,建筑企业应谨慎选择技术成熟可靠的挂牌银行,从源头上控制网上银行的外部风险;从内部角度来看,建筑企业应不拘一格降人才,吸引海内外优秀的互联网专家,购置先进的互联网设备,采用多重防火墙,有效分隔互联网与交易服务器,防止外部用户的非法进入。
四、结语
在网络时代背景下,各项网络技术与管理软件被充分应用于建筑企业资金管理,能提高管理工作质量和效率。但是,随着全球经济的不断进步和创新、管理范围的不断扩大及管理工作的不断复杂和艰巨,建筑资金管理中存在的安全问题和漏洞也凸显出来。加强网络环境下的建筑资金安全管理不仅依靠意识革新、制度强化、人员素质提高,同时,还需要切实加强与网络环境相适应的一系列监管与控制手段,搭建信息化网络平台,避免管理工作的纸上谈兵,杜绝资金安全问题的发生,保证企业在网络浪潮环境的可持续发展。
参考文献:
[1]财政部会计资格评价中心.高级会计实务[m].北京:经济科学出版社,2016(05).
[2]陈广胜.浅析当前环境下企业资金安全管理[J].企业导报,2016(12).
[3]邓喆,韩跃.货币资金审计中的常见问题及对策探讨[J].中国管理信息化,2015(07).
[4]付丽.关于外企在货币资金控制方面的经验分享[J].经营管理者,2013(10).
[5]符小桑.资金安全管理与风险控制研究[J].财务与管理,2013(12).
网络安全风险防控预案篇8
结合电网运行风险评估与辅助决策应用现状,提出可行技术路线,采用跨平台编程语言工具和关系型数据库,建立电网风险评估指标体系和风险评估模型,引入基于网络拓扑的树搜索算法,实现电网隐患事故预警,并在此基础上依据电力系统安全稳定控制相关规定鹤导则,构建专家系统规则知识库及启发式规则,运用基于网络拓扑结构的启发说搜索算法,对电网可能发生的事故风险提出相应的防范措施及事故风险恢复供电预案。
【关键词】电网运行评估系统网络拓扑搜索算法
1引言
近年来,地区地方经济的快速发展,用户负荷需求水平不断创出新高,电网规模也随之不断扩大,直接导致地区电网结构和运行方式更加复杂,对电网安全运行提出更高的要求,给调控中心工作人员的日常工作带来巨大挑战。为防止人工进行运行方式评估造成遗漏,开展电网运行安全评估技术的研究与应用,开发一套“电网运行风险评估与辅助决策系统”(下称评估系统),为电网运行安全风险评估及辅助决策提供科学决策依据。
2系统技术路线
评估系统采用面向对象技术和模块化思想,基于ieC61970、SVG标准构建电网模型,并实现数据的同步更新及电网运行方式的图形化操作、人机交互等功能。通过深入研究电网运行安全风险有关规程规范及风险评估理论,建立一套较为完整的风险评估指标体系和风险评估模型,对电网元件和系统的风险水平进行合理的风险分级。基于网络拓扑结构的树搜索法和风险评估模型,快速搜索当前电网的薄弱环节和脆弱节点,对电网运行可能存在的事故风险进行预警,以图形界面的形式友好直观展示出来,同时依据电力系统安全稳定控制相关规定和导则,构建专家系统规则知识库及启发式规则,运用基于网络拓扑结构的启发式搜索算法,结合电网负载分布情况,对电网可能发生的事故风险提出相应的防范措施及事故风险恢复供电预案,并提交电网安全运行风险评估及辅助决策报告。
3主要研究内容
(1)收集、分析电网的网架架构、统调及未统调电源、各类用户负荷,电网大、小运行方式等全面数据,研究国家电网、安徽省电力公司、蚌埠供电公司关于电网调度运行安全风险评估相关技术文件和地方规定。
(2)研究基于ieC61970Cim模型标准化技术和可复用公共图形标准SVG,设计电网静态模型(设备台帐、物理连接、电网图形)的准实时同步方法,研究ieC104远动通信规约,设计运行数据实时获取方案,达到调度自动化高级应用功能的“即插即用”与少维护,保护资源。
(3)研究电网风险评估理论及电网风险评估指标体系,构建风险等级指标库,对风险评估指标进行量化分级。
(4)量化u估电网运行安全风险,科学确定电网运行安全风险级别,更好地指导开展电网安全风险评估工作,研究电网运行安全风险的量化评估和等级确定的具体方法。
(5)研究地区电网运行方式风险评估模型,电网运行方式风险评估主要包括:系统风险指标体系和风险分析模块。
系统风险指标体系主要从电网分区、重要用户、电压等级、负荷分布及损失等方面对电网运行风险等级进行划分。
风险分析模块,负责对电网运行风险进行分析,给出电网在正常运行方式下某设备故障(停运)后引起风险事故造成的风险级别,该模块分风险辨识和风险估计两个方面。
风险辨识主要对正常运行方式下某设备进行预设故障(检修/停运)进行风险评估,结合设备的保护措施,以影响停电区域最小为目标最终确定该设备故障(检修/停运)造成的停电风险事故。
风险估计通过对后果进行分析,给出该设备造成风险事故过程中开关变位、二次设备动作信息的情景分析,参照风险指标体系给出事故后果造成的停电区域、减供负荷、重要用户停电等损失分析。
风险评估模型根据损失分析结果最终给出该设备故障(检修/停运)引起电网运行风险最高等级及风险报告。
(6)研究电网薄弱环节和脆弱节点的快速搜索算法,基于网络拓扑结构和电网负载率分布的安全运行风险管控措施及事故风险分析恢复供电辅助决策方法,研究辅助决策功能设计和实现方案。
(7)研究可视化图形操作模拟、人机交互以及自动报告技术。通过模拟环境对一次指令的操作和防误校核,同步基于专家系统、外放式策略库,进行操作所带来的电网状态信息变化判断,启动风险评估与辅助决策,自动生成风险评估报告。
4应用效益
评估系统具有显著的特点:
(1)实现电网薄弱环节和脆弱节点的快速搜索、风险定级与辅助决策(预案)的自动化与智能化。
(2)提出基于网络拓扑结构和电网负载率分布的恢复供电辅助决策方法。
(3)风险辨识过程中引入保护措施进行风险修正,提高风险定级的准确性。
评估系统的实现,提高电网运行的智能化水平,为工作人员在日常电网运行中风险控制、应急预案管理、智能方式安排提供多种高效的辅助决策。提升风险评估的完整性与准确性,提高电网供电可靠性。同时,为设备检修、电网规划等提供辅助决策信息,挖掘电网元件可靠运行潜力,优化电网运行方式,提升电网安全运行水平,实现显著的经济效益和社会效益。
参考文献
[1]张忠会,李小文,何乐彰,谢义苗,张琪琪.电网运行风险评价指标体系的构建及应用[J].水电能源科学,2015(01):190-193.
作者简介
王开林(1980-),硕士学位。现为国网安徽省电力公司蚌埠供电公司工程师。研究方向为电网调度运行管理。
胡昊(1980-),大学本科学历。现为国网安徽省电力公司蚌埠供电公司高级工程师。研究方向为电网调度管理。
路文喜(1982-),硕士学位。现为国网安徽省电力公司蚌埠供电公司工程师。研究方向为电网调度运行。
陈飞(1980-),大学本科学历。现为国网安徽省电力公司蚌埠供电公司工程师。研究方向为电网调度运行管理。
王水英(1980-),硕士学位。现为国网安徽省电力公司蚌埠供电公司工程师。研究方向为变电运行。
网络安全风险防控预案篇9
1.1财务信息可能被窃取就目前的财务会计而言,财务信息已经突破了传统以计算机机房为服务器的中心式模式,涉及企业财务、经营状况商业机密等信息的数字资料,大量通过互联网形式存在于开放的网络中。互联网的开放性使得这些财务信息存在被外人盗用、拦截、篡改等风险,很难保证长期稳定的真实与完整性。互联网给企业间的商业来往提供了极大便利,使得许多企业间的商务往来通过网络电子平台得以实现,比如企业可通过电子采购方式完成交易等活动,这种开放性的便利给企业财务带来风险,给犯罪分子提供了机会,使其利用网络作案不受时间与地域的限制,作案手法隐蔽。据网络相关机构统计,仅涉及企业信用卡的网络盗窃行为平均每30秒发生一次,可见网络环境下会计信息系统所面临的的挑战之严峻。
1.2网络信息系统存在侵袭的风险网络的开放性一方面给企业财务信息系统带来便利,另一方面也给犯罪分子带来更多机会。互联网的信息共享使得网络存在被黑客或病毒攻击的风险,非善意访问者利用这些非法手段能够获取企业财务信息,使财务信息系统遭受侵袭。首先,从网络侵袭破坏程度和灵活度来看,黑客是互联网系统不稳定的主要祸首,其侵袭具有较强的针对性,破坏性较大,难以针对性防范;其次,从互联网受侵袭的范围看,计算机病毒能够带来更广泛的破坏,计算机病毒的技术进步越来越快,手段越来越多变,破坏力越来越大;再次,网络系统、计算机系统自身存在的漏洞、软件本身的后门程序、通信网络的不稳定等因素也会给财务信息系统带来安全隐患。
1.3企业内部控制可能失效相对于网络会计信息系统,传统的会计系统对于用户使用授权审核、批准具有严格的人工程序,对会计活动的授权正确性、合法性有一套严格的人工程序,但在网络环境下,会计信息的载体是网络而非纸质,审核对象是计算机软件系统而非人工,因此,当大量不同的会计业务交叉在一起时,信息共享与快速更新会使会计系统中某些职权分工、互相牵制和控制失效。
1.4会计档案存在丢失风险在网络环境下的会计信息系统中,会计档案已经由传统纸质转变为数字媒体形式,其信息的载体也转变为光、电、磁等介质,这使得会计档案的保存必须依赖于计算机软、硬件系统,一旦丢失便不可恢复。同时计算机数字技术的快速发展也使得系统软件不断更新换代,不同时代、不同单位的系统存在软件不兼容的现象,会计档案信息无法实现更新与保存,导致会计档案面临失效的风险。
2网络会计信息系统安全隐患因素分析
(1)在互联网这个开放的信息共享大环境下,会计信息系统无论是在软件、硬件方面还是在网络系统方面都存在不安全性。硬件系统中,硬盘、存储器、线路、路由器、主机等部件都存在一定的安全隐患;软件系统方面,操作系统、会计软件系统、数据库系统、数据处理中心、会计档案系统等存在安全隐患;网络系统方面存在的主要安全隐患因素有黑客攻击、计算机病毒、电磁波辐射等。
(2)开放的网络需要更为严格、严谨的安全法律法规,因此网络会计信息系统需要有特别针对性的安全控制制度。
(3)相关会计从业人员在进行会计信息系统相关活动中存在道德风险。
3网络环境下会计信息系统安全管理措施
3.1会计信息系统安全的内部控制针对互联网环境下的网络会计信息系统的内部控制,应从会计数据安全、数据保密、数据完整、信息资源、系统开发、系统应用、系统维护、系统管理、内部审计等方面强化控制管理。依据相关法律制定规章制度,运用现代化数字签名技术进行数据确认,及时对会计数据进行备份等手段加强会计数据安全控制。对用户、会计数据进行合理分类,对会计数据值进行约束,加强数据加密控制管理来实现会计数据加密完整性的管理。重视会计信息系统的开发和应用控制,制定相关制度,用提前预防、检测和更正的方式,防止不法行为的产生,保障会计信息系统的开发、运行、维护管理的力度。另外,在内部审计方面,对会计资料进行定期审计,监督会计信息数据存储方式的安全、合法,对系统运行的各环节进行审查,防止漏洞。
网络安全风险防控预案篇10
【论文摘要】目前,计算机技术的不断普及使一些传统的文件载体不断消失,而计算机办公自动化正逐渐被很多企业推广运用。办公自动化最明显的标志就是信息档案的建立,这种记录信息的手段对企业来说更加方便和快捷,避免了传统的纸张档案的弊端。但是有利必有弊,计算机自身也存在着一些缺陷,导致企业在使用信息档案这一手段时也存在一些弊端,针对这个问题,企业在运用此技术时一点要做好风险的防范措施,力求使风险降到最低。基于此,本文主要对电子信息档案管理的风险控制方法进行了探讨。
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。
简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。
参考文献
[1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3):8~11
[2]王兆新,裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1):36~37
[3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4):28~29