网络安全风险防控预案范文篇1

关键词：电子银行；风险；对策

作者简介：成丹霞(1980－)，女，河南省鹤壁市人，风险监控岗业务运营序列(二级)，研究方向：国际经济与贸易。

中图分类号：F830.49文献标识码：A文章编号：1672－3309(2009)03－0046－03

电子银行作为一项新兴业务。在经过几年持续高速发展之后，其风险也随之不断积累并对业务的发展产生了负面影响。由于网络的开放性、匿名性和技术复杂性，电子银行业务面临比传统服务渠道更大的风险。近年来因钓鱼网站、木马病毒、诈骗短信等导致的资金被盗事件频繁发生，客户对电子银行的安全性更加忧虑，从而不敢或不愿尝试使用网上银行。这已经成为阻碍电子银行业务持续健康发展的主要原因。

巴塞尔银行监管委员会《电子银行和电子货币业务的风险管理》认为，“操作风险、声誉风险和法律风险是大多数电子银行和电子货币业务最重要的风险”。因此，本文将电子银行业务面临的主要风险种类归为操作风险、声誉风险和法律风险三类。

操作风险。是指由于不当或失败的内部流程、人员缺陷、系统缺陷或因外部事件导致直接或间接损失的可能性。《电子银行和电子货币业务的风险管理》中列举了电子银行业务操作风险的8种来源，分别是未经授权的访问、雇员欺诈、伪造电子货币、服务提供商风险、系统退化、职员及管理技能落后、客户安全性经验不足、客户对交易抵赖。

声誉风险，是指由于公众对电子银行业务产生严重不利看法而导致银行无形资产遭受损失的可能性。声誉风险通常因操作风险和法律风险控制不当产生。当前的金融全球化、信息化使得银行面临的市场竞争更加激烈，银行要想建立好的信誉需要付出很大的努力。但是信誉的毁损却可能发生在转瞬之间。互联网的开放性和传递信息的高效率使得一旦电子银行出现安全事故、技术不完善或误操作等问题，就会通过互联网等媒介广泛迅速传播。再加上有些人以讹传讹不断夸大问题的严重性，从而可能导致电子银行的信誉瞬间坍塌。

法律风险。是指在电子银行业务经营活动中。因违反法律法规而遭受处罚或因交易各方的法律权利和义务未能有效确立和执行导致发生法律纠纷，而给银行造成直接或间接损失的可能性。同传统银行相比。电子银行有两个十分突出的特性：一是它传递信息采用的是电子化方式，二是它模糊了国与国之间的自然疆界，其业务与客户随着互联网的延伸可达世界的各个角落。电子银行的这两个特性向传统的、基于自然疆界和传统书面制约基础上的法律法规提出了挑战。

针对三类主要的电子银行风险，笔者认为应从下面几个方面采取措施减少风险。

一、增强操作风险的防范力度

首先，通过宣传教育等方式增强客户的风险防范意识。网上银行的交易环节大体上可分为服务器端处理环节、客户端处理环节及数据传输环节。对于服务器端处理环节、数据传输环节都属于银行内部环节，在目前的技术条件下相对安全。而目前已发生的各类网银安全事件绝大部分都是犯罪嫌疑人针对网上银行交易的安全薄弱点，即客户端处理环节进行攻击而产生的。虽然目前国内银行已经采用了多种安全防护措施。例如工商银行的预留验证信息、小E安全检测、动态口令卡、U盾证书、短信认证等。但很多客户并不了解怎样运用这些工具来识别和防范钓鱼网站，从而造成资金被盗。因此，通过多种形式的教育活动，提高客户的安全防范意识是降低电子银行风险的最佳途径。要通过门户网站、电话外拨、培训手册、定期营销活动等多种形式对客户进行电子银行安全知识教育，提高客户风险防范意识及风险辨别能力。

其次，通过完善交易环节的整体流程设计防止黑客远程攻击。在网银交易过程中，对客户进行身份认证是保障客户操作权限、敏感信息和交易行为安全的重要措施。而网银系统在对客户进行身份认证时，客户仅需提交相关个人认证信息，然后由身份认证系统自动进行客户身份比对。返回客户身份认证结果。在整个身份认证过程中，客户往往无法参与和控制其中涉及身份比对、交易数据审查、交易确认等关键环节，而一旦这些关键环节中的全部或部门环节被黑客控制。就会导致在客户完全不知情的情况下，被攻击者假冒客户合法身份实行作案，从而达到非法获利的目的。因此。改进身份认证过程，在整体流程设计中引入人工干预的步骤和环节，使客户在这一过程中能够对部分关键环节进行人工控制和再次确认，从而防范黑客在客户不知情的情况下实施远程攻击。例如。在身份认证过程中增加用户互动环节，通过人工方式对签名、敏感交易数据确认等操作进行控制，使之过程不再处于客户不可见的状态。

再次。不断完善内控制度，防患于未然。要通过全面、科学的评估，找出每个工作环节、每个工作岗位的风险点。在此基础上有针对性地制定出监督、防范措施，进而形成一套科学的、系统规范的、便于操作和考核的内控制度。要完善各级人员的管理和技术培训工作。通过各种方法加强对各级工作人员的培训教育，使其从根本上认识到网络系统安全的重要性，并进一步加强各有关人员的法纪和安全保密教育。对网上银行安全运作而言，外部入侵尚可抵挡，若后院失火，则是防不胜防。因此，只有加强内控，才能为电子银行业务的长足发展奠定坚实的基础。

最后，提高科技水平，确保客户电子银行交易安全。从我国技术发展水平和网络安全的角度来看，我国科学技术特别是信息网络技术较落后，处于整个信息产业链的低端水平，电子银行所使用的计算机路由器等硬件设备和操作系统数据库等系统软件极大部分由国外引进，在数据加密和身份判别上。也缺乏有自主知识产权的一整套加密和解密算法。因此，在选择技术方面，中国电子银行总是处于被动的局面。同时，我国的电脑硬件关键部分和系统软件大部分均由国外引进，基础设施建设以及应用平台开发也非常依赖国外力量，这就给出售产品时保留获取信息的秘密路径留下了可乘之机。因此，电子银行风险问题的解决需要靠科技的进步做坚强的后盾。

二、从宏观、中观、微观多方面入手防范声誉风险事件

1、宏观上。通过建立和完善社会信用制度减少风险事件的出现。完善的社会信用制度是减少电子银行风险的制度保障之一。没有完善的社会信用体系。人们就会减少经济行为的确定性预期，电子银行业务的虚拟性会使这种不确定的预期得到强化，不利于电子银行业务的长远发展。完善的社会信用制度也会减少客户有意利用电子银行业务的虚拟性冒充资金被盗欺诈银行。

2、中观上，加强与第三方机构的合作。加强与公安机关等第三方机构合作，提高电子银行案件侦破

率。由于网上金融犯罪的成本低廉、实施容易。犯罪分子只需支付较少的上网费、网页制作费、租赁服务器的费用就可以实施。因此。利用网络进行金融犯罪的不法分子越来越多，甚至形成了团伙作案。而我国大多数地区的公安机关对于网络犯罪还都是按照传统的属地原则划分管辖。不利于破案。因为同一个犯罪团伙或嫌疑收款账户盗窃的资金总额巨大，但被盗客户往往分散在全国各地，单个客户的被盗金额很小。有的甚至不到公安机关规定的最小立案条件。如果在电子银行犯罪的侦破上也按照属地管辖，则电子银行犯罪的发案地分散造成的犯罪团伙系列作案的信息不能在同一公安机关内迅速汇总、分享。会严重影响案件的侦破。而公安机关的警力和财力有限，如果分散到各地去取证，成本难以承受，办案的积极性不高。因此，建议各级公安机关针对电子银行犯罪进行集中管辖，集中办案，以便保障案件的侦破率，有效遏制电子银行犯罪。

3、微观上。加强电子银行业务人员与技术人员的信息沟通。业务人员由于长期与客户打交道，比较容易了解客户在使用电子银行渠道时出现的安全问题。但由于不懂技术而无法直接通过开发产品消除安全隐患；而技术人员虽然精于研发。但却苦于不了解客户需求，这就使得新产品系统的开发质量不高。匆匆将产品推向客户后。一边在市场上交“学费”，一边用更大的成本来弥补产品的安全漏洞。因此，发展网上银行必然涉及到加强内部科技人员与业务人员的联系，充分实现两类人员的信息共享，这样，才能减少由于技术人员不懂业务，不了解产品的安全需求而引发的电子银行安全隐患。

网络安全风险防控预案范文1篇2

措施

信息化应急预案齐备，应急演练全面落实。5月31日之前，市局和各分局共制定奥运信息安全总体预案20个，机房、网络、网站、重要应用系统等专项预案78个。奥运会之前，市局及各区县分局都组织了信息安全应急演练，提升了全系统处置突发事件的能力。

严防死守，24小时值班。自7月20日起，市区两级信息化部门进入奥运实战状态，每日投入24小时值守人员超过40人。截至9月20日，累计值守超过2300人日，形成了一支7×24小时在岗值守的应急队伍，快速处理网络事故4次，突发事件3次。

加强巡检，保证设备设施运行状态良好。7月20日至9月20日，各级信息化部门完成机房巡检1900余次，完成重要设备设施巡检140余次，维修维护服务器设备21台次，维修维护PC机及打印机1973台次。

加大信息安全投入，信息安全整体水平全面提高。据不完全统计，今年以来，全系统在信息安全专项建设方面投入超过210万元，其中市局投入近120万元，全面加强了中心机房、IDC托管机房、核心网络、“北京工商”网站、防病毒和客户端设备安全防范水平。

经验

奥运期间信息安全保障的成功经验，主要体现在以下三个方面：

（一）立足全面，核心是健全和落实各项制度。虽然，这几年，在口令管理、数据管理、设备管理、网站安全等各方面先后制定了相应的制度。但是08北京奥运会给今年的信息安全保障工作提出了更高的要求，针对这一特殊情况，市局及时采取相应措施，健全和完善各项信息安全管理制度。一是下发了《北京市工商局关于加强信息安全保密工作的通知》，结合各分局实际情况进一步细化了相关制度要求。二是制定市局及各分局的奥运信息安全总体预案和专项预案。三是实行奥运期间24小时值守制度。

（二）突出重点，根本上控制风险。在信息风险控制上，提出了“重点先行，控制风险”的信息安全保障原则，将机房、网络、网站、重要应用系统（登记注册、食品安全、食品追溯、企业信用）列入重点保障范围，对市局中心机房和IDC托管机房进行了专项改造，提高其环境运行水平和网络保障能力。加强网络的安全监管。完成重要业务系统的安全定级、风险评估和整改加固。“七管其下”加强“北京工商”网站和“首都食品安全”网站的安全防护能力。在奥运前“北京工商”网站全面改版，网站安全具备坚实的底层环境。整合分局二级站点，纳入市局整体监控。部署多项主动安全防护产品。首次使用网页防篡改产品。后台登录集成CA电子证书认证。我们在后台集成了CA电子证书（USBKey）登录验证技术，给每个内容维护人员都配发一个硬件KEY，通过CA电子证书的硬件唯一性以及不可抵赖性，提高了信息安全，即使出现问题，也能够准确定位信息者。主动扫描网站漏洞并进行修补。在奥运期间，中心实行7x24小时值守制度，检查外网是否正常运行是值守的重要内容。同时还聘请第三方公司，由三名专人分三班，人工监控网站，每30分钟访问一次首页面和三十多个二级页面（包括整合后的分局页面）。如果发现无法访问或延迟访问或页面信息异常增减的情况，将立刻通过电话、短信和邮件的方式通知中心。

（三）注重细节，关键是严格程序，不留死角。信息安全工作是不允许有一丝马虎的。提高巡检频率，保证信息化设备始终处于良好的工作状态。加强信息安全演练，针对可能发生的信息安全事件进行反复推演，对每一个环节、细节进行测试，既验证了应急预案的可操作性，也提高了信息化队伍的实战水平。细化了对区县分局的业务指导。

启示

在全系统信息化部门的共同努力下，北京市的奥运信息安全保障工作圆满完成，实现了奥运和残奥期间零事故的目标。这得益于各项技术手段的实施，更得益于各项管理制度的落实。第一：“发展和安全并重”是搞好政府信息化建设的重要原则。对于现代化的首都工商来讲，计算机网络系统是生命线，保护工商业务和政务管理数据以及网络系统的正常运行，才能使工商行政管理工作得以持续不断地开展，因此信息和网络安全防范是信息化建设发展到一定阶段后的一个重要任务，要继续坚持“一手抓发展，一手抓安全”的电子政务建设思路。第二：加强信息安全预案和演练是做好信息安全工作的重要法宝。信息安全应急预案和演练制度要根据实际情况不断调整，实现常态化，作到更细、更实、更具操作性。第三：“大安全”是解决网络安全问题的根本手段。网络和信息安全涉及方方面面。不仅有技术因素，还包含管理因素；不仅包括硬件安全，还涉及软件安全；不仅要做好单一系统的安全，更重要的是实现整体安全。建设“大安全”，就是统一筹划全系统网络安全架构，建立包含网络物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全在内的整体安全体系。第四：引进外智，是提高信息安全水平的重要措施。这次奥运信息安全保障，通过与专业信息安全公司的合作，及时发现问题，弥补漏洞，极大地提高了工商系统信息安全防范和处置能力。今后，将继续探索这一方式，建立信息安全战略合作机制，引入专业信息安全机构通过咨询、建议、规划和方案实施等多种方式为工商系统信息安全工作提供长期、完整、全面、高效的技术和智力资源支持，在等级保护安全评估、安全加固、人才培养和日常维护等方面进行合作。

（作者：北京工商经济信息中心主任）

网络安全风险防控预案范文1篇3

1.1场地及室内装饰

机房应该选择相对独立的空间，远离粉尘和油烟、不易建在有易燃易爆，腐蚀性的场此外，还要尽量避开磁场地区，保障机房的稳定运作。建议机房中采用钢化玻璃做为分割，钢化玻璃隔音、隔热、耐高温的优点正是消除机房隐患，稳固机房安全的好材料。建议机房内安装防火防盗门窗，门窗的材质应符合装修规范要求，外窗建议采用双层密闭窗，尽量避免阳光的直射。

1.2供电系统

电力的稳定关系到机房设备的使用寿命和正常运作，医院每天大量交叉信息的传播都是以电力系统为基础，所以选择稳定的电力系统至关重要。因此建议机房专线供电,在机房内设置专用的配电箱，并采用双路备份系统以减少单路断电对机房设备及信息造成的影响，保障供电系统的稳定性。

1.3机房防雷措施

机房中的电子机械设备对电磁干扰比较敏感，况且机房内设备较多，交叉复杂，价格昂贵，因此防雷措施是安全建设的一个重要的建设环节。雷电分为直击雷与感应雷两种。建筑物安装避雷针主要是预防直击雷，此外，在机房设备输出端安装防雷器主要是预防感应雷，防雷器的作用原理是短时间内释放掉电路产生的脉冲，以此保护机房里的设备。最后，防雷、接地都应该由专门机构进行技术检测，检测合格后出示测试报告，方可使用。

1.4消防系统

首先机房消防系统的设计与施工要符合国家相关法律法规，消防报警器、手提式灭火器是机房必备消防工具，针对机房密闭干燥要塞的特点，首先做到安全且对机房内的机械设备无损害。装有二氧化碳灭火系统机房，在其楼板上和地板下均需设置感烟探测器和喷水嘴。建议最好采用感烟、感温两种探测器组合，预防效果最佳。

1.5监控系统

为了给工作人员提供更加及时有效的信息，建议医院采用远程报警提示、短信报警提示系统相结合的方案：机房监控系统分为防盗监控、网络监控、温度监控、湿度监控，烟雾监控、出入监控、门禁系统等,这样即使工作人员在外，也能及时收到监控的最新预警提示，最快提供有效的解决方案。

1.6机房安全管理规章制度

制定健全的机房安全管理规章制度是保障医院信息顺畅传达、系统正常运作的首要条件，要不断提高机房工作人员的技术水平和职业素养，上至机房管理硬件（机械设备、机房环境）下至机房软件（软件系统、信息管理系统、系统防火墙、病毒查杀）全面重视机房安全工作，再次，科学的进行医院系统分析维护、风险预测防范，并养成定期检查机房内机械设备及安全隐患，及时更新升级病毒库的好习惯，做到专人维护，高效有序。此外，还需制定有效可行的遇险应急措施方案，以备不时之需。

1.7安全系统建设

机房的系统安全建设是机房正常运行保障医院信息流通的重中之重：防火墙建设、内外网隔离系统、病毒库是机房系统安全建设的重要组成部分，这是阻碍病毒侵入、黑客攻击的最好手段。防火墙是机房安全建设的最基本屏障，防火墙的建设可以有效阻断外界网络病毒和异端的访问入侵，保障内部网络信息的安全和机密性。建立完善的防毒库体系，确保系统中服务器、邮件及端口都设置相应的防毒库产品，才能有效的防止病毒的传播。

1.8监控报警系统

通过预防为主、出击为辅的维护方案，减小机房内系统设备运营停机的可能性，其次，对存在问题和突发状况提供完善有效的解决方案，强有力的技术支持与防范机制，使系统运营发挥最大的用处。此外，预防于事前，急救于事中，备案于事后，建议采取防治结合预防的方法来消除安全隐患和威胁，着力提高工作人员应急预案的应对能力是将来医院机房系统运行的主要发展方向。

1.9空调系统

与普通空间相比，机房是一个比较封闭且环境质量要求较高的空间，机房内的气体若得不到合理的稀释疏散。不仅影响工作人员的工作效率，出现胸闷、无力、烦躁等情况，还会对机房内的机械设备造成不同程度的损害，为了避免这样的状况出现，让工作人员在较为舒适的环境下工作，那么机房内的空调系统必然是个不可忽略的重点环节，空调系统的正常运行不仅可以使工作人员身心愉悦的工作，还能延长机房内机械设备的使用寿命，因此，健康、节能的空调系统始终是机房设计的重点。

2结语

网络安全风险防控预案范文

关键词：基层供电企业；安全风险管理；应急管理；事故调查体系

中图分类号：F273文献标识码：A文章编号：1007-0079（2014）26-0098-02

安全管理的实质是风险管理。建立安全生产风险管理体系和安全应急管理体系对于形成安全预防机制、规避和化解安全风险具有重要的作用与意义。风险管理的应用将使安全管理更科学、更全面、更规范、更有针对性，从而使企业的安全基础更加牢固。基层供电企业必须建立健全安全风险管理、应急管理及事故调查体系。

一、安全风险管理

基层供电企业应该成立以主要领导为组长、相关部门人员参加的工作组织，负责本单位安全生产评估及作业安全风险预控实施工作，明确管理职责，建立健全安全风险管理制度，制订切实可行的工作计划和实施方案，形成完善的安全风险管理评估报告，建立重大危险源档案及定期检测、评估、监控、整改记录。

安全风险管理的基本步骤为：风险培训―风险辨识―风险评估―风险控制―风险处理。其中风险培训、风险辨识、风险评估、风险控制是核心内容，也是安全风险管理工作的关键环节。

1.安全风险培训

基层供电企业必须坚持安全风险的全员参与，要立足班组、立足现场，加强对《国家电网公司电力安全工作规程》、调度规程、防止电气误操作等安全管理规定及制度的学习、培训和考试，开展现场紧急救护、消防等基本安全技能的培训，加强对有关事故案例的剖析，从事故教训中发现薄弱点，提高风险意识，养成主动识别危害、控制危害、规避风险的习惯。针对不同专业、不同岗位的人员有所侧重，在工作过程中检验学习，提高学习效果。

2.安全风险辨识

基层供电企业必须结合企业生产运行实际，从电网设备、调度运行、继电保护、通信自动化等生产运行的各个方面，全面查找电网安全存在的隐患和问题，系统辨识电网安全危险因素和薄弱环节，为安全风险分析、安全风险评估和安全风险控制提高基础数据和资料。

3.安全风险评估

安全风险评估阶段的主要工作内容，一是依据《供电企业安全风险评估规范及辨识防范手册》，按照一定的周期和程序，开展查评工作；二是对已经掌握的风险数据进行归纳分析，确定各层次的管理短板、薄弱环节和薄弱部位。可以从以下五个方面进行评估：第一，生产运行环境。从设备危及人身安全、设备因素导致人为责任事故、运行和作业环境三个方面，评估生产运行环境中可能导致触电、高处坠落等人身伤害事故或误操作事故的风险，从而加强生产运行环境安全风险防范。第二，机具与防护。从安全工器具、专业机具和防护用品等方面评估机具与防护是否符合有关安全标准，定期维护、保管等是否符合管理要求，以及应用过程中是否正确规范等。第三，人员素质。从安全教育培训、安全知识和安全技能，以及生理、心理素质等方面，评估企业不同层次人员安全素质方面的风险，促进企业人力资源的优化配置。第四，现场管理。从作业组织、规程制度的执行情况、作业过程安全控制措施、应急工作准备等方面评估生产作业现场的安全管理和安全控制风险，加强企业作业过程的安全控制。第五，安全生产综合管理。从安全责任制落实、规章制度的制订与执行、“两措”管理等方面评估企业安全生产综合管理。

4.安全风险控制

控制电网安全风险的目的是：确保电网安全稳定运行，不发生电网瓦解、大面积停电和电网稳定破坏事故。为此，需要从单一事故方面加以控制，才能避免以上多重事故发生。

一是设备因素。需要加强对设备的运行监视、巡视，开展设备状态检修，发现隐患和缺陷及时处理。需要加强对安全自动装置的检查、校验，低周减载容量应满足要求，确保安全自动装置正常投运。需要加强通信及自动化系统运行维护，保证保护通道及通信畅通完好，自动化信号及采集数据正确，不影响电网事故正确处理。

二是人为因素。生产人员需要定期开展安全活动、反事故演习，提高防范电网风险的能力。调度运行人员根据系统负荷情况，合理安排系统运行方式，加强电网安全稳定计算分析；继电保护人员需要确保设备主保护、无缺陷运行，确保整定正确；现场运行人员操作时需要认真核对现场设备状态，加强现场的操作监护，防止走错间隔、漏项及跳项操作。

三是天气及偶然因素。关注雷、雨、雪、雾、连续高温对电网输变电设备的影响；定期对变电站周围的环境和输电线路进行检查与巡视，加强电力设施保护；做好消防设备的检查及机房等重要场所的安全保卫，加强易燃易爆物品管理和重点部位的防火防爆工作，防止发生火灾、偷盗和人为破坏。

5.安全风险处理

针对风险程度的不同，可采取不同的处理方法。对于制度执行力不强、执行不规范等管理类缺陷，采用加强督促检查等手段纠正基层单位的工作偏差，保证制度一丝不苟地得到执行；针对具有一般风险的单位，采用“提示”（批评、评价意见等）的方法通报，提出整改要求；风险中等的，给予“警告”（安全隐患整改通知书、专项督查等）的处理，提出整改要求和期限，到期验收。对于风险较高或已发生事故的单位，给予责任追究。

对于各种类型的风险处理，采用不同方式的响应进行整改。其中综合性的、重大的风险纳入公司级别的风险响应工作范畴，实施全面整改和隐患整治。

6.风险管理的考核与持续改进

把安全风险管理工作纳入常态化管理，定期在企业的安全生产工作例会上进行专题汇报和布置，纳入企业的正常管理和考核中。安全风险管理小组要及时跟踪了解安全风险管理工作进展，分阶段对风险管理教育培训以及风险辨识、评估、控制工作情况进行监督检查，纠正存在的问题，及时指导改进。

二、应急管理

企业的应急管理工作应与日常安全管理相结合，由事后单纯应急处置，转向事前预防和事后应急处置相结合。为了更好地应对供电生产运行突发事件，正确、有效和快速处理大面积停电事件，保障电力供应，应扎实做好应急管理工作。

1.加强应急管理体制建设

基层供电企业应该按照统一领导、综合协调、分级负责的原则，建立健全公司、部门、班组三级构成的应急管理体制。建立应急管理机构，健全应急管理制度，明确电力调度机构作为电网事故的现场指挥中心，落实应急管理人员和专业应急抢险队伍，加大应急物资储备和应急工作投入，形成职责明确、信息畅通、上下互通、指挥有力的指挥体系。

2.完善应急预案体系

按照以下应急预案体系结构，结合各自职责范围、安全和稳定工作实际及应急管理工作需要，编制相应的综合应急预案、专项应急预案和现场应急处置方案。综合应急预案包括电网大面积停电事故应急预案、社会稳定突发事件应急预案。

专项应急预案一般划分为电网安全类、人身安全类、设备与设施安全类、网络与信息安全类、社会安全类应急预案。其中电网安全类包括电网调度处置大面积停电事件应急工作预案，电网调度自动化系统、通信系统突发事件应急预案，重要变电站全停应急预案，重要客户停电应急预案。人身安全类：重大人身伤亡事故应急预案。设备与设施安全类包括电力设施大范围受损抢修应急预案、重特大火灾应急预案、防震减灾应急预案、防汛、防台风应急预案。网络与信息安全类：网络与信息安全突发事件应急预案。社会安全类：突发应急预案。

基层供电企业编制的应急预案应符合如下要求：在机构设置、预案流程、职责划分等具体环节，要符合本单位的实际情况和特点，保证预案的适应性、可操作性和有效性；应符合国家应急救援相关法律、法规；应符合电网安全生产运行特点，编写格式规范、统一，符合《国家电网公司应急预案编制规范》的框架内容。应急预案编制完成后，要进行预案评审，评审由本单位主要负责人（或分管负责人）组织有关部门和人员进行。评审后，由本单位主要负责人（或分管负责人）签署，同时报上级主管单位备案。

3.做好应急预案培训与演练

加强应急预案培训工作管理，将应急预案纳入企业培训规划和职工年度培训计划，制订培训大纲和具体内容，开展对各级人员的培训。培训工作与实际工作相结合，新上岗人员进行应急知识培训。

积极配合政府部门及新闻媒体开展电力生产、电网运行和电力安全知识的科普宣传和教育，提高公众应对停电的能力，加强与当地政府部门联系，开展社会停电应急联合演练，建立应急联动机制，提高社会应对电力突发事件的能力。

4.应急实施与评估

发生重特大安全生产事故及对企业和社会有严重影响的稳定突发事故，迅速启动相应应急预案，组织实施应急处置；按预案规定将有关情况报告上级应急领导小组和地方政府应急指挥机构，接受应急领导，请求应急援助；做好信息对外工作，减少事件影响，维护社会稳定。

发生严重自然灾害、重大公共安全事件、其他行业重特大安全生产事故时，服从地方政府的应急抢险指挥，组织开展应急救援，保证事故抢险和应急处置所需的电力供应，防止发生次生、衍生灾害事故。应急处置结束后，及时组织灾后恢复与重建工作，尽快恢复灾区电力供应。对每次突发事件的应急处置及相关防范措施进行评估，对本单位应急预案的编制和实施情况进行评估。

三、事故调查

事故调查应当按照实事求是、尊重科学的原则，及时、准确地查清事故原因，查明事故性质和责任，总结事故教训，提出整改措施，并对事故责任者提出处理意见，做到“四不放过”（事故原因不清楚不放过，事故责任者和应受教育者没有受到教育不放过，没有采取防范措施不放过，事故责任者没有受到处罚不放过）。

网络安全风险防控预案范文篇5

关键词：数字图书馆；网络信息安全；网络体系

DOIDOI：10.11907/rjdk.151166

中图分类号：TP309

文献标识码：A文章编号：16727800（2015）006016703

作者简介作者简介：彭欢（1983-），男，湖北武汉人，硕士，中南民族大学图书馆助理实验师，研究方向为数字图书馆与网络安全。

0引言

20世纪90年代以来，伴随着计算机技术和信息技术的发展，有“信息仓库”之称的图书馆，迈入了数字图书馆高速发展与建设期。目前，数字图书馆建设已经成为我国图书馆工作的重点，各图书馆都投入了大量的人力和财力[1]。同时，现代信息技术带来的网络信息安全问题，几乎无一例外地出现在数字图书馆中，并且在数字图书馆这个特定的领域表现出一些鲜明的特点。研究图书馆领域的网络信息安全问题并制定相关对策，成为数字图书馆建设的当务之急。

1数字图书馆概述

1988年，美国学者伍尔夫（W.Wulf）首次提出了DigitalLibrary这一概念[2]。在中国，数字图书馆这一概念则是在1996年北京召开的第62届国际图联（IFLA）大会上首次提出，IBM公司和清华大学图书馆联手展示了“IBM数字图书馆方案”。从此，数字图书馆进入到国家扶持和大规模研发阶段。21世纪初，国家重点科技项目“中国试验型数字图书馆”通过专家技术鉴定，预示着中国的数字图书馆研究、建设已经初具规模[3]。

目前，数字图书馆尚无一个业界公认的定义，但通过与传统图书馆的对比可以帮助人们更好地理解数字图书馆这一概念[4]。

从表1可以看出，数字图书馆具有如下基本特征：

（1）馆藏资源数字化。在信息载体上，传统图书馆完全依赖于纸质印刷的书刊、报纸等，数字图书馆则依托于电子书、声音、图像等多媒体数字资源；在存储方式上，传统图书馆需要大容量的物理馆藏空间，而数字图书馆则将数字资源存储在光盘、硬盘或者专业的存储服务器上[5]。

（2）服务推送方式网络化。传统图书馆以馆藏资源为中心，读者需要到图书馆查询和获取馆藏资源，接受图书馆的特定服务；而数字图书馆以读者为中心，根据读者的需求为读者定制个性化服务，读者足不出户就可以获取各种图书馆资源。

（3）管理方式高效化。包括对馆藏资源的管理、对读者享有的借阅权限的管理、对馆内各类馆员的权限管理等。这在传统图书馆时代完全依赖于人工、容易出错且不易控制和监督；而在数字图书馆时代，则可以借助专业的管理软件轻松完成，不易出错且便于监督。

2数字图书馆网络信息安全现状

2.1网络信息安全概念及特征

网络信息安全可以分为网络安全和信息安全两个层面，网络安全包含系统安全和应用服务安全；信息安全主要指数据安全，包含数据、加密、程序等。对于数字图书馆而言，网络信息安全尤为重要，它是数字图书馆提供优质、高效、连续服务的前提。网络信息安全根据其本质界定，具有以下几个特征[6]：

（1）完整性。信息在传输、存储、处理过程中保持原样性，这是网络信息安全最基本的安全特征。

（2）保密性。保密性指信息不泄漏给非授权人或实体。

（3）可用性。可用性指信息可以被授权实体正确访问，并按要求能正常访问或在非正常情况下能恢复使用的特征，即在系统正常运行时能正确存取所需信息，当系统遭受攻击或破坏时能迅速恢复并投入使用。

（4）可审查性。通信双方在交互过程中不能抵赖所做出的行为，也不能否认所接受到的对方的信息。

2.2高校数字图书馆网络信息安全问题

文献[2]以30家各类数字图书馆作为样本，对我国数字图书馆的网络信息安全问题进行了详细调查。从调查结果来看，现阶段，我国数字图书馆无一例外地发生过网络信息安全事件，网络信息安全存在着诸多隐患[7]。

从发生的安全事件来看，我国数字图书馆存在的网络信息安全问题可分为内部安全风险和外部安全风险两个方面。

2.2.1外部安全风险

外部安全风险主要有：

（1）黑客破坏。对于数字图书馆而言，黑客可以制造的危害主要体现在3个方面：①恶意破坏数字图书馆的信息管理系统。现代数字图书馆高度依赖信息管理系统，如果信息管理系统遭到恶意破坏，最严重的情况将是整个图书馆服务的瘫痪以及无法挽回的经济损失；②窃取数字图书馆所拥有的一些特色电子馆藏资源和花巨资购买的数据库资源。现代数字图书馆已经迈入了有偿商业化管理模式，正因为如此，这些有偿使用的信息资源就存在被黑客窃取的风险；③黑客利用非法手段来使用数字图书馆专享的网络资源。如果黑客控制了数字图书馆的网络系统，就可以不受任何限制的窃用数字图书馆精密的信息资源，严重危害数字图书馆的建设、维护和信息安全[8]。

（2）网络病毒。在数字图书馆时代，图书馆内部局域网与Internet之间的联系越来越紧密，使得图书馆的网络设备和服务器感染网络病毒的风险日益增加[9]。如果有网络设备或者服务器感染病毒，则数字图书馆的服务质量会大受影响；情况严重时，会造成数字图书馆的网络或服务器的瘫痪、网络信息服务无法开展，甚至会破坏图书馆信息管理系统，造成无法挽回的损失。

2.2.2内部安全风险

内部安全风险主要有：

（1）软件风险。主要指操作系统和应用系统本身存在的安全漏洞，这些安全漏洞给黑客和网络病毒留下了可乘之机[10]。

（2）管理人员技术素质不足。目前仍有相当部分数字图书馆网络管理人员不是计算机网络专门人才。一方面，这些管理人员不能及时发现并排除网络信息安全隐患，另一方面，他们在进行网络配制和权限管理时容易留下安全漏洞。

（3）管理制度欠缺，执行不到位。当前，很多高校图书馆存在网络安全管理制度不健全或执行力度不够等问题，这使得网络安全体系的安全控制措施不能充分、有效地发挥其效能，从而给攻击者提供了可乘之机[11]。

综上可知，内部安全风险和外部安全风险是一种相互抑制、滋生的关系。任何一方面的安全风险如果暴露在网络环境里，都会被无限放大，并有可能导致其它安全风险。

3解决对策

鉴于以上特点，笔者认为，要从根本上解决数字图书馆的网络信息安全问题，需要从以下3个方面入手：①构建一个安全的网络体系，保障网络自身安全和网络业务安全；②建立完善信息安全管理的应急处理机制；③加强管理人员技术素质，制定并落实管理制度。

3.1构建安全的数字图书馆网络体系

构建一个安全的网络体系是维护整个数字图书馆网络信息安全的基础，而这恰恰是很多数字图书馆建设中的薄弱环节。

图1展示了一个典型的数字图书馆网络安全拓扑。一套完整的数字图书馆网络安全体系至少应该兼顾以下要素：远程接入安全、边界安全、内网安全、信息中心安全、上网行为安全与统一安全管理[12]。针对这些要素制定网络安全方案，设计合理的网络拓扑是构建数字图书馆网络安全体系的关键。

（1）远程接入安全。目前主要有两大远程接入安全技术：IPSecVPN和SSLVPN。IPSecVPN的优势在于保护点对点之间的通信安全；SSLVPN的优势在于Web，它注重的是应用软件的安全性，更多应用于Web的远程安全接入方面。对于数字图书馆而言，鉴于远程接入的移动性特点，可以考虑SSLVPN的安全产品。但同时也要考虑接入安全保障、安全管理平台以及可靠性方面的因素。

（2）边界安全。数字图书馆的网络体系和其它网络体系一样，需要对网络边界进行有效的管理的控制，以防范黑客、网络病毒和其它方面的网络入侵。数字图书馆在选购边界安全产品时除了要考虑产品的攻击防范能力外，还要考虑网络隔离需求、网络优化需求、用户管理需求等。

（3）内网安全。内网安全是最容易被忽视的一个环节。对于目前的网络管理者而言，更多的工作是预防来自外部的攻击，并进行检测和处理，而授予内部网络更多的信任。但统计数字表明，相当多的安全事件是内网用户有意或无意的操作而造成。对于内网安全，笔者认为，应当利用交换机和其它内网安全设备，强制终端用户在接入网络前通过入网强制技术进行身份认证和安全状态评估，帮助管理员实施安全策略，确保终端病毒库和系统补丁得到及时更新，降低病毒和蠕虫蔓延的风险，阻止来自用户内部的安全威胁。

（4）信息中心安全。信息中心是数字图书馆中数据流动最为频繁的区域，任何软硬件故障或其它安全问题都会导致不可预估的损失。对于信息中心安全，可以设置防火墙来应对面向网络层的攻击，部署入侵检测/防御设备来对抗应用层攻击。还有不可忽视的一点是，信息中心数据一定要做好冗余备份，制定灾难恢复策略。

（5）上网行为安全。通过部署上网行为管理（AC），可为不同部门、不同用户、基于时间段进行权限分配；在安全方面，通过安全网关的功能，保障内网用户的上网安全，在内网和外网之间设立一道安全屏障，使得外网威胁无法渗透到内网。

（6）统一安全管理。统一管理主要立足于对全网设备进行主动监控，提前采取主动的干预动作解决网络中的安全问题。在数字图书馆中部署统一管理平台，将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中，可以提高整个数字图书馆网络的关联分析和整体防御能力。

3.2建立应急处理机制

在数字图书馆网络信息安全管理过程中，如何应对网络信息安全管理突发事件尤为重要。通过建立信息安全突发事件应急预案、强化科学处理信息安全突发事件等措施来完善信息安全应急处理机制，将对数字图书馆的信息安全管理工作起到关键性作用[13]。

首先要做好网络信息安全风险评估工作。一旦信息系统遭受攻击，就要对遭受攻击后的负面结果有一个预判，根据预判做好补救措施准备；根据安全事件发生的可能性和因此造成后果的严重程度来识别信息系统的安全风险，从而尽可能采取相应措施，减少弱点，避免攻击，保护信息系统免受损害。

其次要建立信息安全突发事件的应急预案。应急预案应当包括信息安全事件发生前采取的危机预警和检测以及预防等措施，还应包括信息安全事件发生后采取的应急处理和恢复措施。这将是处理信息安全事件成功的关键。

最后要科学处理信息安全突发事件。处理信息安全突发事件时要明确处理流程，落实相关处理人员，根据风险评估以及相对应的应急处理预案对号操作，根据预案制定相应的应急处理方案并加以处理。

3.3加强管理人员技术素质，制定并落实管理制度

国内的数字图书馆大多缺乏专业的信息安全管理人员，或者说管理人员缺乏全面的信息安全管理知识和技能。因此，数字图书馆应适量引进信息安全管理方面的专门人才并对现有管理人员进行全面、系统、科学的安全管理培训，从管理人员素质入手，提高信息安全管理水平[14]。

此外，数字图书馆网络信息安全管理也离不开管理制度的建设和相应的制度执行力。一方面要制定有效的管理措施，对现阶段的管理现状进行改善，防范于未然；另一方面要提高网络信息安全管理工作中的制度执行力，加强管理人员对管理制度的执行意识，并落实监督机制，从而确保整个网络信息安全管理工作和基本效用和基础功能。

4结语

网络信息安全是数字图书馆各项管理工作的基础，它将贯穿于数字图书馆建设和发展的全过程[15]。要解决数字图书馆的网络信息安全问题，就必须从数字图书馆的实际出发，分析数字图书馆网络信息安全问题的特点，找到一个系统的解决方法。监于此，本文提出了系统解决数字图书馆网络信息安全问题的一套方法。

目前，网络技术和计算机技术依然处于高速发展时期，在此大环境下，数字图书馆的网络信息安全也将面临一些新的问题和挑战。如何发现和解决新的问题、如何改进数字图书馆的网络信息架构，将是后续研究的重点。

参考文献：

[1]邱均平，楼雯.我国电子图书数字图书馆建设现状的调查分析[J].图书情报工作，2014，58（5）：2228.

[2]王运景，王林毅.浅析高校数字图书馆建设[J].教育教学论坛，2014（1）：89.

[3]魏晓萍.我国数字图书馆研究回顾与展望（19982011）[J].图书馆，2013（4）：7290.

[4]杨莹.数字化图书馆的概念界定与要素分析[J].现代情报，2007（11）：8789.

[5]刘芝奇.数字图书馆建设与发展[J].信息系统工程，2013（1）：115116.

[6]禹玲.解读数字图书馆的网络安全目标与保障体系[J].漯河职业技术学院学报，2014，13（5）：8586.

[7]郑德俊，任妮，熊健，黄水清.我国数字图书馆信息安全管理现状[J].数字图书馆，2010（7）：2732.

[8]保洪才.数字化图书馆网络安全分析与对策探讨[J].兰台世界，2013（1）：7273.

[9]黄革.浅谈数字图书馆网络信息安全[J].黑龙江档案，2013（1）：127127.

[10]马敏，刘芳兰，宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报，2010，20（4）：130135.

[11]段春乐.数字图书馆主控机房安全分析[J].内蒙古科技与经济，2013（18）：6972.

[12]於建伟.数字图书馆网络安全体系研究[J].武汉船舶职业技术学院学报，2014（1）：4649.

[13]张明震.浅析如何完善高校网络信息安全管理应急处理机制[J].网络安全技术与应用，2014（3）：141144.

网络安全风险防控预案范文篇6

关键词：无线网络规划；无线网络风险；无线安全检查项目；无线网络安全指引

中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）28-6262-03

1概述

有别于有线网络的设备可利用线路找寻设备信息，无论是管理、安全、记录信息，比起无线网络皆较为方便，相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于，无线网络仅透过无线电波透过空气传递讯号，一旦内部架设发射讯号的仪器，在收讯可及的任一节点，都能传递无线讯号，甚至使用接收无线讯号的仪器，只要在讯号范围内，即便在围墙外，都能截取讯号信息。

因此管理无线网络安全维护比有线网络更具挑战性，有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求，本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨，以下将分别探讨无线网络传输可能产生的风险，以及减少风险产生的可能性，进而提出建议之无线网络建置规划检查项目。

2无线网络传输风险

现今无线网络装置架设便利，简单设定后即可进行网络分享，且智能型行动装置已具备可架设热点功能以分享网络，因此皆可能出现不合法之使用者联机合法基地台，或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务，或者考虑网络存取便利性，架设无线网络基地台，皆须评估当内部使用者透过行动装置联机机关所提供之无线网络，所使用之联机传输加密机制是否合乎信息安全规范。

倘若黑客企图伪冒企业内部合法基地台提供联机时，势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台，以及非法使用者透过加密机制的弱点破解无线网络基地台，针对这2个情境加以分析其风险。

2.1伪冒基地机风险

目前黑客的攻击常会伪冒正常的无线网络基地台（AccessPoint，以下简称AP），而伪冒的AP在行动装置普及的现今，可能会让用户在不知情的情况下进行联机，当连上线后，攻击者即可进行中间人攻击（Man-in-the-Middle，简称MitMAttack），取得被害人在网络上所传输的数据。情境之架构详见图1，利用伪冒AP攻击，合法使用者无法辨识联机上的AP是否合法，而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据，造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时，需考虑该类风险问题。

2.2弱加密机制传输风险

WEP（WiredEquivalentPrivacy）为一无线加密协议保护无线局域网络（WirelessLAN，以下简称WLAN）数据安全的加密机制，因WEP的设计是要提供和传统有线的局域网络相当的机密性，随着计算器运算能力提升，许多密码分析学家已经找出WEP好几个弱点，但WEP加密方式是目前仍是许多无线基地台使用的防护方式，由于WEP安全性不佳，易造成被轻易破解。

许多的无线破解工具皆已存在且纯熟，因此利用WEP认证加密之无线AP，当破解被其金钥后，即可透过该AP连接至该无线局域网络，再利用探测软件进行无线局域网络扫描，取得该无线局域网络内目前有哪些联机的装置。

当使用者使用行动装置连上不安全的网络，可能因本身行动装置设定不完全，而将弱点曝露在不安全的网络上，因此当企业允许使用者透过行动装置进行联机时，除了提醒使用者应加强自身终端安全外，更应建置安全的无线网络架构，以提供使用者使用。

3无线网络安全架构

近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时，如何达到无线局域网络之安全，亦为重要。

3.1企业无线局域网安全目标

企业之无线网络架构应符合无线局域网络安全目标：机密性、完整性与验证性。

机密性（Confidentiality）

无线网络安全架构应防范机密不可泄漏给未经授权之人或程序，且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式，并可对无线网络使用进行稽核。

完整性（Integrity）

无线网络安全架构应确认办公室环境内无其它无线讯号干扰源，并保证员工无法自行架设非法无线网络存取点设备，以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者，可建立一个隔离区之无线网络，仅提供外部网际网络连路连接，并禁止存取机关内部网络。

认证性（Authentication）

建议无线网络安全架构应提供使用者及设备进行身份验证，让使用者能确保自己设备安全性，且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管，以杜絶他人（允许的访客除外）擅用机关的无线网络。

因应以上无线局域网络安全目标，应将网络区分为内部网络及一般网络等级，依其不同等级实施不同的保护措施及其应用，说明如下。

内部网络：

为网络内负责传送一般非机密性之行政资料，其系统能处理中信任度信息，并使用机关内部加密认证以定期更变密码，且加装防火墙、入侵侦测等作业。

一般网络：

主要在提供非企业内部人员或访客使用之网络系统，不与内部其它网络相连，其网络系统仅能处与基本信任度信息，并加装防火墙、入侵侦测等机制。

因此建议企业在建构无线网络架构，须将内部网络以及提供给一般使用者之一般网络区隔开，以达到无线网络安全目标，以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。

3.2内部网络安全架构

减轻无线网络风险之基础评估，应集中在四个方面：人身安全、AP位置、AP设定及安全政策。人身安全方面，须确保非企业内部使用者无法存取办公室范围内之无线内部网络，仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内，且使用者须经过适当的身份验证才允许进入，而只有企业信息管理人员允许存取并管理无线网络设备。

企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低，评估每台AP有可能造成的网络安全漏洞，可请网络工程师进行现场调查，确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力，攻击者仍有机会窃听办公室无线网络通讯，建议企业将无线网络架构放置于防火墙外，并使用高加密性VPN以保护流量通讯，此配置可降低无线网络窃听风险。

企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码，企业信息管理人员需使用复杂度高之密码以确保密码安全，并定期更换密码。企业应制定相关无线内部网络安全政策，包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。

为提供安全无线办公室环境，企业应进行使用者MAC控管，并禁用远程SNMP协议，只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥，未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络，因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。

企业应增加额外政策，要求存取无线内部网络之设备系统需进行安全性更新和升级，定期更新系统安全性更新和升级有助于降低攻击之可能性。此外，政策应规定若企业内部使用者之无线装置遗失或被盗，企业内部使用者应尽快通知企业信息管理人员，以防止该IP地址存取无线内部网络。

为达到一个安全的无线内部网络架构，建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为，并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析，为一种整体纵深防御之策略。

考虑前述需求，本篇论文列出建构无线内部网络应具备之安全策略，并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考，详见表1。

企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险，始可进行无线内部网络架构建置。然而，尽管在风险评估上实行彻底，但无线网络环境之技术不断变化与更新，安全漏洞亦日新月异，使用者始终为安全链中最薄弱的环节，建议企业必须持续对企业内部使用者进行相关无线安全教育，以达到纵深防御之目标。

另外，企业应定期进行安全性更新和升级会议室公用网络之系统，定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构，建议企业采用IPS设备以进行无线环境之防御。

IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为，并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析，为一种整体纵深防御策略。

4结论

由于无线网络的存取及使用上存在相当程度的风险，更显无线局域网络的安全性之重要，本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求，有鉴于目前行动装置使用量大增，企业可能面临使用者要求开放无线网络之需求，应建立相关无线网络方案，本研究针对目前常见之无线网络风险威胁为出发，以及内部网络与外部网络使用者，针对不同安全需求强度，规划无线网络使用方案，提供作为建置参考依据，进而落实传输风险管控，加强企业网络安全强度。

参考文献：

[1]GastMS.WirelessNetworks：TheDefinitiveGuide[M].O’Reilly，2002.

[2]EdneyJ，ArbaughWA.Security：Wi-FiProtectedAccessand802.11[M].Addison-Wesley，2004.

[3]R.Guha，Z.Furqan，S.Muhammad.DiscoveringMan-In-The-MiddleAttacksnAuthenticationProtocols[J].IEEEMilitaryCommunicationsConference2007，Orlando，FL，2007（10）：29-31.

[4]Nam，SeungYeob.EnhancedARP：PreventingARPPoisoning-Based[J].IEEECommucationLetters，2011，14：187-189.

网络安全风险防控预案范文

关键词：企业内部控制；信息化；安全管理

随着信息化技术的发展，企业信息化工具扩展度越来越高，扩展面越来越广，大大提升了企业运营及管理的便捷性，企业依赖系统大数据的信息处理和分析来提升效率，信息化技术应用为企业创造了不可替代的价值。企业财务系统、资源管理系统、办公系统等形成企业信息化综合平台，随着信息数据的大量输入、输出、交换、应用，信息处理的便捷使企业信息化安全工作越来越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丢失或泄露，使企业产生影响或经济损失，以信息化平台为重要工作工具的单位，影响更加重大。4G时代的到来，为企业信息走向移动化铺好了平台，也为企业信息安全管理提出了新一步要求。

我国的《企业内部控制基本规范》中提到信息化安全管理问题，该规范第四十一条指出：“企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”所以信息化安全管理应为现代企业内部控制管理重要内容，如何优化信息化管理，提升信息化安全，成为需要思考的问题。

一、信息化安全管理分析

企业信息化安全管理包括物理安全管理、网络安全管理、系统安全管理、应用安全管理等，内部控制的实施有助于预防信息化管理下企业信息数据尤其是财务数据丢失的风险，降低借助信息系统舞弊的可能性，保证企业各项经营活动有效运行。企业应通过企业信息化安全工作分析，定期进行信息化安全工作检查，落实信息化安全内部控制管理。

（一）物理安全内部控制管理

1.硬件安全

信息化处理以电脑、服务器、存储设备、网络设备、安全设备作为硬件设备，电脑等信息终端设备不完善或故障会影响办公；服务设备如服务器、存储设备的损坏，会直接造成数据的丢失和数据处理的中断；网络设备如路由器、交换机的损坏，会让系统停止。没有安全设备或安全设备不工作会让系统受外界所攻击或盗取重要信息。企业信息化安全管理应对硬件安全有应急预案，增加必要的备用设备，如服务器、路由器、交换机等，设备一旦损坏，备用设备马上进入工作状态，使业务不中止或恢复时间短。设备应支持双路电源供电，对于有可能的停电，企业应准备和启用备用电源。

2.信息设备环境安全

环境安全包含防火、防盗、温度、湿度、洁净度等环境安全，只有安全的信息设备环境才能保障信息设备正常、高效工作，防范设备灭失或信息损失。对于一个大型或中型企业应专门建设符合上述环境要素的机房，服务器等设备应放在机房，因机器不间断运转造成温度较高，应配备精密空调等制冷设备，确保温湿度得到精确控制，服务器的放置空间要合理，保持空气的流通并符合设备散热需求。机房配置消防报警装置、气体灭火装置，以应对突发火灾事件。机房重地应有门禁管理，确保防盗和人为破坏的发生，信息化管理人员应就机房建设及日常管理进行检查。

另外移动办公设备（笔记本电脑、平板电脑、手机）的广泛使用使设备不安全性增加，云技术、云方案不断推新应用，使移动办公增加，企业应对于移动办公设备丢失制订预案，对重要移动设备做防盗防丢失部署，以使设备被盗或丢失时由信息管理员实施远程锁定，阻止非法入侵或直接销毁设备中的数据。

3.数据安全

数据的安全分为数据保护、数据保密和数据恢复。存储设备是数据的载体，也是实施信息化企业的生命，数据丢失可以是致命的，一个安全稳定的存储设备对数据保护至关重要。重要数据应以加密存储，存储介质废弃时的完全抹除是数据保密应注意事项，可使用硬件自加密硬盘简化数据保密过程。而存储备份和恢复方案的实施是数据安全的最后一道防线，可以在事件发生后数据得以恢复。企业应及时做好数据备份、异地备份，防范火灾、地震等不可预知事项带来的数据灭失。企业应做出数据恢复预案并进行演习以应对可能的数据安全事故。

（二）网络安全与信息传输安全内部控制管理

网络提供了便捷的信息传递、快速的信息查询，实现多人多组织的便捷工作，但也带来网络风险。企业首先应做好网络访问控制，最主要的措施是建立有效的防火墙，应检查企业网络设备是否安装了有效的防火墙，防火墙的版本是否能及时最新，是否安排专门人员定期通过收集分析网络行为、安全日志等进行入侵检测，检查访问控制权限审批授予是否得当，是否对不适当的人做访问权限的撤销管理。

终端用户操作不当，如违规安装软件或互联网资讯点击可能使病毒侵入网络，故企业防止内部局域网风险，需规范终端用户操作，对网上下载文件有必要要求及管理。针对承载保密信息的电脑，企业应专机专用并禁止与外网进行连接。对于有特殊安全需求的部门可部署桌面云方案，将数据和操作安全策略放置到服务器上统一管理。企业可通过部署网络防病毒软件并实时更新保证各终端使用相同的安全策略，避免个体不正确的安全习惯，保证定期进行病毒和恶意软件的查杀和清除，保障系统不因病毒侵入而崩溃，是信息化安全内控管理的有效手段。

运营商的线路故障，可能造成整个网络信息沟通中断，虽然几率较少，但对于以信息化工具为重要手段的单位影响会很大；为防止外部网络中断，检查评估是否需要选择两家运营商，保证信息传输的正常。

（三）系统安全内部控制管理

软件是信息化实现的载体，所有信息都是基于软件进行输入、输出、运算、分析和应用的。

软件安全成为一个越来越不容忽视的问题，软件漏洞会造成信息丢失、信息泄露。软件病毒会造成系统崩溃、信息错误。提升软件安全性，是企业信息化建设的重要环节。

企业的软件安全管理应检查是否使用可靠的系统操作平台软件，比如：Windows、Linux；是否安装有效的防病毒软件并及时更新，比如：卡巴斯基、诺顿等；是否选择安全保障高的信息化应用系统软件，比如：SAP、Oracle、金蝶、用友软件等；信息化软件是否有稳定后期保障服务。完善的软件是信息化数据安全和信息化功能应用的保证。

（四）应用安全内部控制管理

1.系统平台应用内部控制管理

企业信息化最主要应用是使用系统平成会计信息自动化处理与分析、实现业务流程记录与信息传递。企业应做到信息化平台统筹规划，使财务信息化和业务流程信息化充分结合，提高信息处理效率及信息管控力度，将企业的管理思想有效置入信息化流程使信息化平台成为企业内部控制管理的有效工具和手段。

企业信息化系统平台应用工作包括系统上线实施建设和系统日常运维管理，都有内部控制风险点管理。系统上线实施建设为系统平台应用的基础，对企业信息化应用起到关键作用。对于信息化应用程度深的企业，若实施不成功会给企业带来经济损失乃至巨大风险，为内部控制管理重大风险点，应予以高度重视。企业应制定详细的工作计划及实施方案，优化系统流程，制定编码规则，项目经理应实施有效的进度管理以保证系统上线成功，系统上线后应对项目进行验收，对应用中发现问题予以改善。系统日常运维管理（包括变更管理）是信息化有效稳定运行的保证，企业应制定管理制度进行规范化管理，信息化管理人员做好工作表单记录，通过检查表单记录评估信息化工作开展是否得当。

系统平台应用离不开系统流程与系统授权管理，只有信息化系统操作流程及权限设置合适，内部控制管理工作才能有效开展，风险得到即时控制。系统流程管理要求系统流程与企业管理流程文件相符；系统流程设置应合理有效，以企业增值及反应速度为原则，在实现内部控制基础上尽量做到流程简化，体现内部控制管理的全面性、重要性、制衡性、适应性和成本效益性。授权管理为企业内部控制管理关键点，如何做好系统授权？首先，授权人适岗，要求系统授权人或批准人对公司流程掌握，对内部控制管理有清醒的认识，对不相容岗位分离有清楚的把握，保证授权批准人与执行人分离，业务执行人与审核人分离，执行人和记录人分离，物资保管人与记录人分离，执行业务人与物资保管人分离；其次，配备必要的授权审核人员，授权审核人员可以是企业内控管理人员也可以是企业制度制订及管理人员，在系统流程制订时对授权设置进行审核，定期开展授权审计，以发现授权中问题，及时更正；再次，授权管理包括授权工作也包括撤销授权工作，需及时做好离职离岗人员系统权限调整，以保证系统操作人权限适合。

鉴于系统平台将企业信息做了大规模的集中，信息泄露的风险加大，所以对于系统数据、信息引出（下载）的权限管理应高度重视，尤其是关键数据及信息引出，避免信息批量式流出或关键信息被不适合人使用，给企业带来灾难性损失或技术成果和管理成果被他人窃取。

2.密码内部控制管理

服务器、电脑、平台系统进入都需要密码管理，企业应要求操作人员有效设置密码，不得将密码告知他人，定期更换密码，企业应检查企业员工外出离岗时有无告知他人密码协助处理流程的行为。随着技术进步，企业可通过技术手段实施密码管理。

3.电子邮件和即时交流工具安全管理

信息传输的便捷性使信息化风险加大，信息传输风险包括重要信息流出后不受控制及内部数据信息通过电子邮件、QQ等即时通讯工具方式泄露，企业应评估重要岗位、重要文档信息流出的风险度，必要时使用信息安全软件管理，进行重要文档加密或对特定区域信息加密管理；通过网络行为管理软件跟踪敏感文件和信息的泄露，使企业信息安全得到控制。对于即时通讯系统如QQ等可能带来的病毒和入侵风险，企业可根据信息化管理的重要程度确定是否部署内部专用即时通讯系统予以防范。

（五）随着信息技术的不断发展与进步，各种云平台服务推出，服务提供商可以提供专业的机房、服务器、存储、网络、信息化平台等供企业租用，企业只需付一定的服务费，为企业解决大部分信息化安全问题。使用云平台服务要做好服务商的选择，对于关键信息和数据采用做好方案选择。

二、结语

网络安全风险防控预案范文篇8

【关键词】网络信息系统医院网络安全病案管理系统

网络信息的安全关系到国家的安全和以及社会稳定等重要问题，并且随着全球信息化步伐的加速发展而越来越重要。而医院的网络安全又是一个比较特殊的而且应该引起极大重视的事，新的医改方案的出台，提出要建立一个资源共享的医疗卫生信息系统用以推进信息化建设，重点在于医院的管理和电子病历上，这意味着医院的信息系统将会是一个高科技和高风险并存的系统，它将承载着更多的医疗管理业务，而网络信息系统本身的脆弱性和复杂性，使得网络信息系统所要面临的威胁也越大。因此，医院的网络系统安全问题也会变得越来越重要和充满着挑战性。

一、医院的网络安全系统与重要性

医院的网络安全系统包括操作系统的安全和医保及互联网的安全，。随着技术的发展，互联网已大量普及，使得网络安全成为了需要重点考虑的问题，这也是现在医院当务之急最应该做的事，医院网络安全的重要性体现在：

1、医院患者数据的特殊性

医院的病案管理数据就好像是一个及其重要的医学文献，它的每个数据都是医院所最宝贵的财富，一旦弄丢或者出现差错，将带来无法预计的损失，因为每个病人的疾病发生症状、演变还有每次医务人员的诊断和治疗过程都被完整的记录了下来，这是医学现代化的一个发展和应用，而且也直观的可以将医务人员的素质以及现代医疗的技术水平呈现出来。而医院本身的数据又非常庞大和复杂，以前数据这些都需要有专业的人员深入到科室去对各种病案进行收集分类和整理，工作量非常的大而且又容易出现误差，因如果借助医院的网络手段就可以进行现代化的管理，使得病案的存储和处理变得更加的便捷和精确，这样的话将会大大的提高医院的工作效率。所以医院的网络安全问题就显得尤其的重要。

2、网络安全犯罪事件越来越多

现在信息技术发展的飞快，掌握网络犯罪技术的人员也越来越多，网络安全系统的漏洞不断被检测出来，一旦医院的网络系统出现故障，不仅会影响到医院日常工作的进行，也会给医院带来非常不利的影响。同时医院数据的庞大，也对医院网络的数据处理能力提出了更高的要求，所以建立健全一个完善的的医院网络系统是非常迫切同时也非常重要的事！

二、网络安全中存在的问题分析

1、网络协议存在安全隐患

TCP/IP协议中容易遭受到IP的劫持和Smuff攻击等风险，劫持者利用序列号预测，而在连接中植入自己的数据，Smuff攻击则假冒受害者主机的IP地址，引起受害主机的崩溃。而FrP协议的口令设置会方便入侵者盗取口令并传播木马等病毒，用以窃取用户的数据，@DDNS提供解析域名等服务，很容易遭受到假冒域名的攻击，路由协议缺陷使得入侵者可以伪造ARP包不，不停地更改序列号，冒充主机，然后就可以监听主机的数据包，影响整个网络系统的运行稳定。

2、来自病毒的频繁攻击事件

网络病毒肆掠，黑客的频繁攻击，所造成的危害越来越严重，给医院的正常运行带来重重阻碍，大多数的网络安全事件都是由于用户终端的脆弱造成，在医院网络中，系统漏洞和杀毒软件的落后的现场非常常见，而医院的网络处于互联网中，难免会遇到各种的病毒攻击，这些病毒可能会是医院的系统崩塌，并感染其他的电脑，安全威胁将会快速的扩展到更广的范围里。所以医院急需解决的是要保证用户终端的健康安全使用，同、同时须完善自身的病毒防御系统。

3、安全制度存在漏洞，安全策略不完善

鉴于医院信息的特殊性，对医院信息安全系统的建设将会是一个非常复杂的工程。一些医院没有建立完善的网络安全机制，也没有采取和调整相应的网络安全策略，而仅仅是注重于采购各种网络安全产品，没有给自己制定相关的中、长期规划，这样的话，医院的信息安全产品其实没有起到应有的作用。

4、人员的操作失误

操作人员的安全意识薄弱，不了解网络安全所应承担的责任，自身的操作技术不过关，又无法应付网络安全的突发事件，这样可能会带来引入危害程序，泄漏网络信息，造成网络的崩塌等安全隐患。所以非常需要加强对操作人员的安全意识和技术培训。

三、相关的建议和解决措施

1、完善网络安全策略

根据医院的具体情况制定一套自上而下的完整的安全策略，同时对网络进行实时的安全监控，确保可以及时的了解到医院的网络安全状况，提前发现网络中入侵动作，并且运用防火墙来进行阻止，这样医院就可以随时了解到网络中存在的缺陷，在发生损失之前就采取必要的安全措施，提高自身的安全防御水平。

2、借助先进的网络安全技术

（1）在外网同内网之间设置好防火墙，利用防火墙来对进出网络的数据进行监控和过滤，达到控制和阻断存在安全隐患的进出网络访问行为，对于应当禁止的业务要及时进行封锁，并把防火墙的工作信息和内容详细的记录下来，以此来提前监测和预警可能要进行的网络攻击，防火墙的种类有过滤型、检测型和型等，在实际运用中，要根据不同的情况以便安装不同的防火墙。

（2）根据不同的安全需求来划分和隔离出不同的安全域，可利用控制访问和权限等机制、来达到对不同的访问者访问网络和设备时的控制，防止内部访问者在无权访问的区域进行访问和采取错误的操作。通常将网络安全级别划分为关键的服务区域和外部接入的服务区域，我们可以按照网络区域安全级别把网络划分成两大安全区域，即关键服务器区域和外部并且要安全的隔离这两大区域之间，针对关键的服务器区域内部，也需要按不同的安全级别而进行不同的安全隔离，划分并隔离不同安全域要结合网络系统的安防与监控需要，与实际应用环境、工作业务流程和机构组织形式密切结合起来。

（3）要定期更新升级防病毒的工具，并且要经常对网络进行安全扫描，以防范病毒和带有安全隐患的入侵，注意加强系统薄弱的地方，及时检查漏洞并修补漏洞。除了平常的防毒工作站外，消除病毒的关键还在于email防毒和网关式防毒。平时还需要经常使用扫描器主动扫描，及时发现网络的安全隐患并进行修补，以防黑客攻击。

（4）要采取先进的加密和认证技术，通过加密，可以使要传输的信息得到很好的保密，这是一个非常常见但是效果又很明显的技术，主要是在文件传输和桌面的安全防御中得到广泛的应用。

（5）要对数据经常进行备份，医院信息系统的核心是数据库，它关系着患者的治疗资料和隐私，数据库的安全要保证数据的正常的存储与应用，而且要对对数据库的破获和攻击采取防御措施，所以数据的重要性对于医院来说是不言而喻的。即使没有病毒与网络攻击，自己自身的错误操作或者系统的断电及其他的一些意外，都会导致数据的不可挽回的丢失，所以我们必须要有制定一套完整的保护方案和应急手段才行，而备份是一种最常用的最基本的系统安全维护手段，利用数据的备份和恢复功能，有些数据甚至能异地存储备份，这样可以避免严重的事故发生。

3、健全风险的评测体制，增强医院的安全管理体制

可以长期与专业的安全服务公司进行合作，以便建立一套完整的风险评估机制，在部门之间加强信息的沟通与资源的共享，采用其先进的风险评估技术，同时结自身网络系统安全实际的实际情况，去不断发现信息系统中所存在的安全隐患，然后寻求有效的补救方法。同时也要安排专门的人员对硬件设备和系统进行维护和优化。可以设立完善的安全管理机构，由专门的网络安全的小组的领导组成，落实职责。加强网络安全队伍建设，保证医院的信息系统可以正常运行。在执行安全策略时需要采取制度化管理，规范各个业务系统的操作和数据库管理员的工作等，而对于不同敏感类型的信息要依据相关的管理制度和方法来管理。

4、建立应急预案，定期进行演练

在医院网络系统的运行过程中，难免会会出现各类的故障，为了确保医院的安全系统可以正常运行，应当建立应急预案，使得医院在突发事件中提高系统的处理的能力，是不利的影响和损失能够降到最低，制定应急预案，所以首先，从医院的实际业务特点出发，来进行不同规模的应急演练，同时应当注意对不同的故障制定不同的应急预案，并设立专门的领导小组作为保证，而启动应急预案会给医院的正常工作很大挑战，因为需要调动大量的人力和物力所以对于应急预案启动的条件要严格控制。在应急预案建立好后，还需定期的组织演练，确保应急方案的切实可行。

5、提高相关人员的素质，加强员工的培训

操作人员的素质高低会直接影响到医院网络完全的系统建立，对员工进行相关的安全培训则是非常关键的手段。安全培训可以分为信息科的专业人员的安全技术培训和所有使用人员的操作安全培训这两种。信息科的培训针对的是各类的安全技术和安全策略，而系统使用人员的操作培训，要则主要在于怎样安全的使用各类计算机设备和怎么样对设备进行维修保养。

总之，我们都知道不存在绝对安全的网络防御系统，网络信息的安全风险的存在是客观的现象，也是一个在不断演变和前进的的系统，科技的发达与便捷，促使医院的业务对网络技术的依赖也越来越强，当然相关的风险也就大大的提高了，而当故障发生时，不可避免的会给医院的服务和秩序带来无法估计的影响。所以，必须高度重视技术上的和理论上的网络安全。随着计算机技术与医院自身的信息系统的不断完善，未来在网络安全上的体制也将会更完善。

参考文献

[1]式志红.医院信息系统的安全维护措施[J].中国医疗设备，2009（1）

网络安全风险防控预案范文篇9

【关键词】电网运行；评估系统；网络拓扑；搜索算法

1引言

近年来，地区地方经济的快速发展，用户负荷需求水平不断创出新高，电网规模也随之不断扩大，直接导致地区电网结构和运行方式更加复杂，对电网安全运行提出更高的要求，给调控中心工作人员的日常工作带来巨大挑战。为防止人工进行运行方式评估造成遗漏，开展电网运行安全评估技术的研究与应用，开发一套“电网运行风险评估与辅助决策系统”（下称评估系统），为电网运行安全风险评估及辅助决策提供科学决策依据。

2系统技术路线

评估系统采用面向对象技术和模块化思想，基于IEC61970、SVG标准构建电网模型，并实现数据的同步更新及电网运行方式的图形化操作、人机交互等功能。通过深入研究电网运行安全风险有关规程规范及风险评估理论，建立一套较为完整的风险评估指标体系和风险评估模型，对电网元件和系统的风险水平进行合理的风险分级。基于网络拓扑结构的树搜索法和风险评估模型，快速搜索当前电网的薄弱环节和脆弱节点，对电网运行可能存在的事故风险进行预警，以图形界面的形式友好直观展示出来，同时依据电力系统安全稳定控制相关规定和导则，构建专家系统规则知识库及启发式规则，运用基于网络拓扑结构的启发式搜索算法，结合电网负载分布情况，对电网可能发生的事故风险提出相应的防范措施及事故风险恢复供电预案，并提交电网安全运行风险评估及辅助决策报告。

3主要研究内容

（1）收集、分析电网的网架架构、统调及未统调电源、各类用户负荷，电网大、小运行方式等全面数据，研究国家电网、安徽省电力公司、蚌埠供电公司关于电网调度运行安全风险评估相关技术文件和地方规定。（2）研究基于IEC61970CIM模型标准化技术和可复用公共图形标准SVG，设计电网静态模型（设备台帐、物理连接、电网图形）的准实时同步方法，研究IEC104远动通信规约，设计运行数据实时获取方案，达到调度自动化高级应用功能的“即插即用”与少维护，保护资源。（3）研究电网风险评估理论及电网风险评估指标体系，构建风险等级指标库，对风险评估指标进行量化分级。（4）量化评估电网运行安全风险，科学确定电网运行安全风险级别，更好地指导开展电网安全风险评估工作，研究电网运行安全风险的量化评估和等级确定的具体方法。（5）研究地区电网运行方式风险评估模型，电网运行方式风险评估主要包括：系统风险指标体系和风险分析模块。系统风险指标体系主要从电网分区、重要用户、电压等级、负荷分布及损失等方面对电网运行风险等级进行划分。风险分析模块，负责对电网运行风险进行分析，给出电网在正常运行方式下某设备故障(停运)后引起风险事故造成的风险级别，该模块分风险辨识和风险估计两个方面。风险辨识主要对正常运行方式下某设备进行预设故障(检修/停运)进行风险评估，结合设备的保护措施，以影响停电区域最小为目标最终确定该设备故障(检修/停运)造成的停电风险事故。风险估计通过对后果进行分析，给出该设备造成风险事故过程中开关变位、二次设备动作信息的情景分析，参照风险指标体系给出事故后果造成的停电区域、减供负荷、重要用户停电等损失分析。风险评估模型根据损失分析结果最终给出该设备故障(检修/停运)引起电网运行风险最高等级及风险报告。（6）研究电网薄弱环节和脆弱节点的快速搜索算法，基于网络拓扑结构和电网负载率分布的安全运行风险管控措施及事故风险分析恢复供电辅助决策方法，研究辅助决策功能设计和实现方案。（7）研究可视化图形操作模拟、人机交互以及自动报告技术。通过模拟环境对一次指令的操作和防误校核，同步基于专家系统、外放式策略库，进行操作所带来的电网状态信息变化判断，启动风险评估与辅助决策，自动生成风险评估报告。

4应用效益

评估系统具有显著的特点：（1）实现电网薄弱环节和脆弱节点的快速搜索、风险定级与辅助决策（预案）的自动化与智能化。（2）提出基于网络拓扑结构和电网负载率分布的恢复供电辅助决策方法。（3)风险辨识过程中引入保护措施进行风险修正，提高风险定级的准确性。评估系统的实现，提高电网运行的智能化水平，为工作人员在日常电网运行中风险控制、应急预案管理、智能方式安排提供多种高效的辅助决策。提升风险评估的完整性与准确性，提高电网供电可靠性。同时，为设备检修、电网规划等提供辅助决策信息，挖掘电网元件可靠运行潜力，优化电网运行方式，提升电网安全运行水平，实现显著的经济效益和社会效益。

参考文献

网络安全风险防控预案范文篇10

为深入贯彻国家电网公司“11.18”安全生产工作会议精神，落实《国家电网公司2007年安全生产工作意见》，进一步加强公司安全生产工作，特提出公司系统2007年安全生产工作意见。

(一)工作思路

紧紧围绕“一强三优”发展战略和“三抓一创”工作思路，坚持“安全第一，预防为主”的方针，更新安全理念，树立科学安全观；以防止电网大面积停电事故为首要任务，强化电网安全措施；以杜绝人员责任事故为重点，深入开展安全生产年活动；进一步强化安全生产各项措施，严厉打击违章违纪，全面实现全年安全生产目标，确保湖南电网安全稳定运行。

（二）工作目标

突出“三保”：保命、保网、保主设备。

确保“六无”：无生产人身死亡事故、无重大电网事故、无重大设备事故、无水电厂垮坝事故、无重大生产场所火灾事故、无特大交通事故。

实现“三少一杜绝”：减少一般电网和设备事故、减少输电线路一类障碍、减少违章违纪、杜绝110千伏及以上恶性误操作事故。

（三）具体工作意见

第一条建立开展“爱心活动”、实施“平安工程”常态机制。开展“爱心活动”、实施“平安工程”，是公司全面落实科学发展观，促进和谐企业建设的重大战略，是坚持以人为本、确保安全稳定的重大举措，是一项长期的重要工作。为抓好这项工作，一是要制订安全生产开展“爱心活动”、实施“平安工程”工作制度，建立开展“爱心活动”、实施“平安工程”工作的常态机制。二是在认真总结2006年安全生产开展“爱心活动”、实施“平安工程”工作经验的基础上，继续开展“无违章工作现场”活动，以保护人的生命、杜绝责任事故、确保电网平安为根本目的，把工作重心放在员工、班组、作业现场，深入落实公司贯彻《国家电网公司安全生产开展“爱心活动”、实施“平安工程”十条措施》的实施意见。三是建设“平安文化”，培育“平安理念”，树立“风险可以防范、失误应该避免、事故能够控制、违章就是事故”的理念，大力营造“以人为本、珍惜生命、遵章守纪、安全文明”的氛围，让“奉献爱心”融入员工的人生观和价值观，夯实和谐企业的基础，促进和谐企业的建设。

第二条扎实开展“安全生产年”活动，全面实现2007年安全生产目标。按照公司决定，2007年为“安全生产年”。各单位领导要高度重视，加强组织领导，深刻领会活动的重要意义，扎实开展好“安全生产年”活动。一是要结合安全生产实际，按照公司“安全生产年”活动方案进行部署和安排，认真研究制订工作方案和措施，落实各项工作的部门、责任人，确保取得实效。二是要广泛宣传动员，应充分运用公司系统广播、电视、报刊、安全信息平台等媒体，大力宣传“遵章守纪，构建和谐”的主题，大力宣传公司《安全生产“违章下岗”实施规定》，以“三铁”反“三违”，树立“遵章光荣、违章下岗”的良好意识，保障员工平安。三是通过开展一系列安全活动，落实“安全生产年”活动的措施，促进安全生产责任制的落实，在安全生产方面做到领导更加重视、气氛更加浓厚、措施更加得力、员工更加自觉、设备更加健康、电网更加安全，全面实现2007年安全生产目标。

第三条加强管理，强化措施，提高电网安全稳定运行水平。

确保电网安全稳定运行，是公司安全工作的重要任务。在加强电网管理方面，一是坚持电网统一调度，严肃调度纪律，严格执行调度规程和有关规定，保证生产、调度系统指令畅通，切实维护好电网运行秩序。二是根据电网负荷、设备健康状况等运行情况的变化，合理安排电网运行方式，按照规定留有必须的旋转备用和事故备用，确保电网安全稳定和可靠供电。三是要认真吸取国内外电网事故教训，积极开展大电网安全稳定问题及低频振荡问题的研究，完善电网安全稳定控制措施，利用科技手段，加强低周低压减载装置管理，构筑保证电网安全稳定的“三道防线”。四是提高电网事故应急处理水平，根据电网运行特点，制定电网事故处理预案和滚动修编黑启动方案。重点落实防止枢纽变电站全停和保厂（站）用电措施，组织实施电网反事故演习，提高调度、运行人员处理事故和应对突发事件的能力。五是做好各类安全检查工作，认真开展春季、夏季、秋季和冬季的安全大检查工作，做好重要政治活动和节假日保电检查及各类专项安全检查工作。检查工作必须加强领导，精心组织，力戒形式主义，做到有计划、有布置、有重点、有落实、有反馈。

在强化继电保护专业管理方面，一是针对2006年继电保护存在的问题，加强管理，认真做好电网元件、35千伏及以下重合闸等保护、自动装置的技术监督工作，排查整改设备隐患，进一步提高继电保护正确动作率。二是认真落实国家电网公司《防止电网事故十八项重大反事故措施》，各单位要对照继电保护反措相关要求，全面检查落实反措情况，明确时间要求和责任人。三是加强继电保护全过程的技术监督，依据相关技术规程、规范，重点做好继电保护装置和综合自动化装置投产验收工作，继电保护反事故措施未落实的工程项目，不得交接和验收。

在生产技术管理、监督工作方面，一是开展对设备的整治，使设备更加健康。二是推进设备评估，开展状态检修工作。以设备评估结果为主要依据，以主变压器为突破口大力推进输变电设备状态检修工作，2007年要对40%以上已到大修期限的主变压器进行状态评估，根据评估结果重新确定大修时间。三是强化设备薄弱环节的监督，发挥新技术、新设备、新方法在技术监督方面的作用，及时排查、整改缺陷，提高设备健康水平。四是落实电力设施保护的技防和人防措施，保证设备安全。

第四条建立安全生产风险管理体系，开展好安全风险评估和安全性评价工作。按照《国家电网公司安全生产风险管理体系规范》要求，一是要建立健全安全生产风险管理体系，深入推进安全生产风险评估的研究及试点工作。以安全生产风险评估为重点，强化安全生产预防意识和基础管理，针对人身事故和人员责任事故的突出问题，认真研究防范人身事故和人员责任事故的安全风险评估标准，通过对人的行为以及影响人的行为的各种因素、各个环节进行评价，找出存在问题，提高防范风险的针对性、可操作性和实用性措施，消除隐患，努力减少人身事故和人员责任事故。二是结合《国家电网公司企业安全风险评估标准》，着力开展安全风险评估宣传动员和教育培训工作，使各级人员牢固树立安全风险意识，增强员工安全风险和危害的辨识能力，为实施安全生产风险管理做好准备。三是试点单位（长沙、株洲、永州电业局和东江电厂）要按照国家电网公司关于安全风险评估两个文件的要求，结合实际制定方案，组织评估，加强过程控制，注重实效。公司将组织专家进行评审，积累和总结经验，以便推广和持续改进。四是做好安全性评价工作，开展好输电网、县级企业、并网电厂设备和基建工程项目的安全性评价工作，组织排查电网薄弱环节和设备重大隐患，实施重大隐患监控整改，实现安全风险评估和安全性评价工作的闭环管理。通过开展安全风险评估和安全性评价工作，逐步建立符合企业实际的安全生产风险管理体系，逐步实现安全管理从事后管理向预防管理为主转变，从要我安全到我要安全、我会安全转变。

第五条健全安全生产应急管理体系，组织制定各类应急预案。按照《国家电网公司应急工作管理规定》的要求，一是要落实应急保障体系的建设，首先要建立各级应急机构，健全抢险救灾物质的储备制度，配齐专（兼）职人员，组建应急抢修队伍。二是要规范公司应急预案体系的结构，补充完善各类应急预案。各单位要定时间、定部门组织编写好各类应急预案，做好评审和上报备案，确保预案符合实际，以满足各类突发事件的需要。三是加强应急预案演练，提高应对重大事故、自然灾害等突发事件的处置能力。四是积极响应各级政府对公共卫生和社会治安等突发事件的应急管理要求，促进应急处置的协调配合和职责落实，建立联动协调机制。五是开展专项监督检查，重点监督14个地级城市电网大面积停电应急处置预案编制、演练和评估工作及电厂的黑启动工作方案编制、演练和评估工作，加强应急管理工作制度化、规范化和系统化建设。

第六条深入推进反事故斗争，减少事故。反事故斗争是公司系统安全生产的长期任务。各单位、各部门要按照《国家电网公司反事故斗争二十五条重点措施》的要求，继续深入落实公司反事故斗争二十七条措施，切实抓好领导层、管理层、执行层三个层面的“对照检查”，落实安全责任制。二是要把反事故斗争与安全工作实际结合起来，与公司安全目标结合起来，突出开展反人员责任事故的斗争。各单位都要制定实施措施，强化针对性和可操作性。三是要突出重点，强化措施，充分吸取国外大面积停电事故和去年华中电网“7.1”大面积停电事故教训，开展隐患排查与治理，强化电网应急处置工作，确保不发生重大电网事故。四是与重大设备事故作斗争。开展主设备隐患清理整治工作，对可能构成重大设备事故的主设备建立档案，重点监督，及时发现和消除重大设备隐患。在变电方面，开展变压器专项整治活动，大幅度减少变压器（和高抗）强迫停运事件。进一步做好变电站的接地改造工作和220千伏变电站瓷瓶探伤技术的监督及红外测温工作，开展变电站直流系统和非电量保护的全面清查与整改，减少故障。在输电方面，进一步做好输电线路防雷击、防污闪、防山火、防冰灾工作和红外测温工作，重点对35千伏及以上运行年限超过30年的老旧输变电设备或缺陷较多的设备进行综合治理，减少线路故障率。在基建方面，重点突出对大型施工机具缺陷的排查。在水电厂方面，要突出大坝和主机、主变的技术监督工作，提高水电厂设备健康水平。

通过反事故斗争，杜绝由于人员责任、设备问题和外部因素造成的人身、电网、设备事故，确保公司2007年度安全目标的全面实现。

第七条落实安全监督体系职责，强化专项安全监督。为充分发挥安全监督体系的作用，必须认真履行安全监察体系的职责，进一步完善常规监督、专项监督、事故监察三者相结合的监督机制。落实安全监督职责，要强化全面、全员、全过程、全方位安全管理的监督，做到责任到位、措施到位，不断强化执行力。要进一步落实事故监察职责，严格贯彻执行《电力生产事故调查规程》和《国家电网公司人身伤亡统计分析管理规定》，做好事故调查处理与统计分析工作，按照“四全”安全监督与管理要求，将农电生产和人身伤亡事故、通信安全、计算机网络与信息安全事件统一纳入事故管理体系。全面开展人身伤亡事故统计分析，掌握事故规律，深刻吸取事故教训，采取预防措施。在开展专项安全监督方面，针对2006年安全生产的薄弱环节，一是开展以防人员责任事故为主的现场专项安全监督，着重贯彻新《安规》，重点打击26种严重违章行为，减少直至杜绝人员责任事故。二是开展应急预案专项安全监督，督促应急体系的建设，补充完善各类应急预案，提高应对突发事件的处理能力与速度。三是开展危险点分析与预控措施的专项安全生产监督，促进现场作业危险点分析与预控措施的有效实施，将作业中的风险降到最低，有效防范人员责任事故的发生。四是开展班组建设专项安全监督，以班组建设安全管理部分为标准，以现场安全管理为重点，强化基础管理，促进创建“无违章班组”和“无违章工作现场”活动的开展，夯实企业的安全基础。五是开展“两措”费用落实情况的专项安全监督，督促各单位足额划拨“两措”费用，保证“两措”费用真正落到生产一线。六是开展交通安全专项监督，监督《七项硬性措施》贯彻执行情况，确保交通安全。七是开展消防专项监督，重点是无人值班变电站消防报警装置是否完好和消防设施是否齐备。

第八条加强安全教育培训，提高员工安全素质。安全教育培训是提高员工安全素质、保障安全生产的重要措施。全面提高员工安全素质，必须加大培训力度，创新培训工作机制。一是要突出分层次、分级培训，充分发挥基层班组和车间的作用，建立车间、班组培训制度，并下达培训次数、指标，检查考核培训效果；二是要突出针对性，注重现场培训、岗位培训和实际操作，缺什么，补（培训）什么。对厂、局（公司）领导干部的安全培训要集中组织，分批开展，学习安全生产方针政策和法律、法规以及国内外先进的安全管理理念和现代安全管理知识等，提高领导干部安全管理水平。今年要对安监人员组织持证上岗培训，学习安全生产方针政策及法律法规、规程规定、安全生产风险管理方法，提高安全监察人员业务能力。对一线人员的培训重点是岗位技能、标准化作业和《安规》培训，做到真正懂业务、懂技术，熟悉标准，能实施标准化作业，做到持证上岗。新人员入厂培训，要强化纪律教育，必须将26种严重违章行为作为重点培训内容，象“三大纪律八项注意”一样提出来，使他们牢牢记住，为以后拒绝违章打下基础。针对2006年作业现场中出现的违章现象，必须强化《安规》、“双票”、“26种严重违章行为”和标准化作业指导书等安全规程制度的培训，注重提高解决岗位实际问题和“三不伤害”的能力，让大家读规程、懂规程，做到按章指挥，照规程办事。

第九条加强建设项目全过程安全监督与管理。根据国家电网公司对基建安全管理的规定，落实《国家电网公司建设项目安全风险管理若干规定》，规范建设项目全过程安全监督与管理。一是要加强基建施工单位工程项目管理力度，各施工基建单位一定要根据各自施工能力承接业务，不得超能力承接，再层层转包。对电网新、改、扩建工程，必须组织技术力量，妥善管理，精心组织施工，严格遵守有关规章制度，确保安全。送变电公司要特别加强特高压试验示范工程施工现场安全监督与管理，定期开展施工现场安全检查，督促落实安全组织措施、技术措施，确保特高压试验示范工程建设安全；二是要进一步落实安全生产责任制，重点落实项目法人的安全责任和监理部门责任制，加强对各类危险场所、重要施工作业点的安全监理，以确保施工全过程的安全。三是要加强现场安全文明施工，继续开展安全文明施工竞赛活动，全面推行安全性评价，对500千伏电网工程都要进行施工项目安全性评价，严格执行危险点分析和安全预控措施。四是要加强外包施工队伍的管理，发包单位必须严格审查外包施工队伍的安全资质，未经安全资质审查或审查不合格的坚决不能录用。在签订合同时应有“如果分包方不遵守安全规程，甲方可以随时更换”的条款，促使他们加强安全管理。发现外包员工违规，要马上清退。五是要按照公司要求签订《施工安全协议书（范本）》，以规范基建工程分（承）包工程安全管理，降低企业安全风险，严禁以包代管。六是要认真吸取“7.4”和“11.19”事故的教训，开展施工机械安全隐患专项安全监督，仔细排查，杜绝各类施工机械超期服役，确保人身和设备安全。七是严格招投标管理，加强承包商和供货商资质管理和业绩考核，推行安全业绩与工程项目招投标联动机制。八是要关心关爱施工单位一线人员、农民工的基本利益，充分调动积极性，构建和谐文明施工氛围。

第十条落实责任，强化农电安全生产管理工作。认真贯彻《国家电网公司关于加强安全生产工作的决定》和《国家电网公司安全生产职责规范》的要求，按照“谁主管、谁负责”的原则，以农电六项机制为手段，进一步提高农电安全管理水平。一是理顺农电安全保证和监督体系的关系，做到职责明确，界面清晰，农电安全保证体系以安全管理为主，农电安全监督体系以监督为主，按照职责分工全面落实各自的责任。二是进一步落实农电监督体系的职责，规范农电安全事故调查监督统计考核机制，将农电生产人身事故纳入各级安全监督事故调查统计体系，按照农电安全管理考核制度，统一监管考核。三是为防止农电人身事故，要立足农村供电所，全面落实“三防十要”反事故措施，开展农电标准化作业，强化作业现场安全风险防范，规范作业人员的行为，杜绝工作的随意性，确保现场安全。四是继续开展县供电企业安全性评价，今年完成全部县供电企业的安全性评价查评工作，夯实农电安全基础。五是加强农电员工的培训教育，开展县供电企业负责人、供电所长、工作负责人的《安规》和安全知识调考工作，提高安全技能和防范意识，提高遵守工作纪律和执行规章制度的自觉性。六是进一步做好农村安全用电“三道防线”的构建工作，第一是做好农村安全用电宣传工作；第二是做好台区总保护和家用漏电保护器使用的调研，规范台区总保护器的运用，提高台区总保护器的安装率、投运率和正确动作率；第三是加大整治低压线路工作的力度，着力整治农村危及人身安全的低压线路，防止对地距离不够或线路断线导致的事故。

第十一条加强多经和交通安全管理工作。根据国家电网公司对多经系统安全管理的规定，在安全管理上实行“谁主管，谁负责”的要求，多经系统要加大力度，提高安全管理和监督水平。一是要进一步建立健全安全生产规章制度，完善安全生产保障体系和监督体系。监督体系要有专门的机构和人员，充分发挥安全生产保障体系和监督体系的作用。二是针对多经系统施工队伍杂，“三工”、外聘劳务队伍多的特点，要参照基建系统的管理模式，加强对外包队伍和“三工”人员的安全管理和监督，严格审查外包队伍的安全资质，签订合同及安全责任书，明确双方职责。三是施工前必须进行安全教育和安全技术措施交底，认真审查施工“三措”，在安全管理和监督工作上禁止以包代管。四是原则要求“三工”人员应从有法人资质的劳务队伍中招用，降低企业安全风险。

网络安全风险防控预案范文篇11

[关键词]网络银行;业务特点;风险;防范

[中图分类号]F830.2[文献标识码]A[文章编号]1006-5024(2006)09-0135-03

[作者简介]张华伦,江西九江学院组织部高级讲师,研究方向为“三农”问题;(江西九江332000)

张凤玉,江西应用技术职业学院人文与管理系主任,副教授,研究方向为农业经济｡(江西赣州341000)

一､网络银行的业务特点

(一)低成本和价格优势

1.组建成本低｡一般而言,网络银行的创建费用只相当于传统银行开办一个小分支机构的费用｡

2.交易成本低｡就银行一笔业务的成本来看,手工交易约为1美元,ATM和电话交易约为25美分,而互联网交易仅需1美分,只有手工交易单位成本的1%｡

3.给客户的价格优势｡由于网络银行运营成本比较低,可将节省的成本与客户共享｡通过提供较传统银行高的存款利率､低收费､部分服务免费等方法争夺更大的客户市场｡而且,通过网络电子确认系统,还可避免诈骗和损失｡如在美国,目前支票占支付市场的60%,传统纸制支票诈骗曾使零售商每年损失120亿美元,而电子支票不仅消除了支票诈骗的可能性,而且节省了处理大量纸制支票的费用和时间｡

(二)持续性与互动｡网络银行系统与客户之间可以通过电子邮件､上网自主服务等途径｡实现网络在线实时沟通｡银行的客户可以在任何时间､任何地方通过因特网就能得到银行的金融服务｡银行业务不受时空限制,每天可向客户提供24小时不间断服务,这也延长了银行的业务时间｡

(三)标准化服务｡网络银行通过私码与公码两套加密系统对客户进行隐私保护｡网络银行提供的服务比物理的营业网点更标准､更规范,避免了因工作人员的业务素质高低及情绪好坏所带来的服务满意度差异｡

(四)业务全球化｡网络银行是一个开放的体系,是全球化的银行,网络银行利用因特网能够提供全球化的金融服务｡传统银行是通过设立分支机构开拓国际市场的,而网络银行只需借助因特网,便可以将其金融业务和市场延伸到地球的每个角落,把世界上每个公民都当做自己的潜在客户去争取｡网络银行无疑是金融运营方式的革命,它使得银行竞争突破国界变为全球性竞争｡

随着互联网络的发展,拥有先进网络技术和营销经验的国际性大银行或其他金融机构完全可以不在其他国家设立分支机构,而利用网络银行争揽金融业务,抢占当地的金融市场｡网络银行业务的竞争将是无国界的､更为迅速的竞争｡

二､网络银行风险透析

由于网络银行主要经营电子货币和电子结算业务等虚拟金融业务,所以,网络银行除了具有传统商业银行经营过程中存在的信用风险､流动性风险､利率风险､汇率风险和市场风险外,从技术､业务､法律角度分析,还具有以下特定风险｡

(一)技术风险｡主要表现在两个方面:第一是安全风险｡由于网络银行是建立在计算机网络基础上的,因而计算机网络技术方面的缺陷必然会威胁到网络银行的安全｡这些技术方面的原因有许多,主要包括:(1)目前许多银行采用了UNIX系统主机终端模式,而UNIX系统在网络安全上存在严重漏洞｡主要原因是UNIX系统未提供主机与终端之间的通讯加密,而且它本身就是一个开放的系统,其源代码已经公开,如从一网的UNIX工作站上使用“跟踪路由”命令的话,就可以看见数据从客户机传送到服务器要经过的许多不同节点和系统,它们最容易受到攻击｡(2)TCP/IP协议安全性差｡由于Internet采用的是TCP/IP协议,该协议在实现上力求简单高效,而较少考虑安全因素,大多数Internet上的信息加密程度不高,在电子邮件口令方面､文件传输过程中很容易被窥探和截获｡(3)防火墙安全性不高｡就防火墙的安全性来讲,首先是防火墙产品自身是否安全;其次是防火墙设置是否合理｡目前,许多防火墙在配置上无意识地扩大了访问权限,从而可能被外部人员利用,从中获得有用信息｡(4)缺乏有效监视和评估网络安全性的手段｡(5)未能对来自Internet电子邮件携带的病毒及Web浏览可能存在的恶意Java/ActiveX4控件进行有效控制｡第二是技术选择风险｡网络银行必须选择一种技术解决方案来支撑网上业务的开展,因而存在所选择的技术解决方案在设计上可能出现缺陷或被错误操作的风险｡比如,在与客户的信息传输中,如果网络银行使用的系统与客户终端的软件不相兼容,那么,就存在着传输中断或速度降低的可能｡

(二)业务风险

1.操作风险｡操作风险来源于系统可靠性､稳定性和安全性的重大缺陷而导致潜在损失的可能性｡操作风险可能来自网络银行客户的疏忽,也可能来自网络银行安全系统和其产品的设计缺陷及操作失误｡操作风险主要涉及网络银行账户的授权使用､网络银行的风险管理系统､网络银行与其他银行和客户间的信息交流､真假电子货币的识别等｡

2.市场信号风险｡市场信号风险是指由于信息非对称导致的网络银行面临的不利选择和道德风险引发的业务风险｡例如,由于网络银行无法在网上鉴别客户的风险水平而处于不利的选择地位,网上客户利用他们的隐蔽信息和隐蔽行动对自己有利但损害网络银行利益的决策,以及由于不利的公众评价而使网络银行丧失客户和资金来源的风险等｡在虚拟金融服务市场上,网上客户不了解每家银行提供的服务质量究竟是高还是低,或者说,究竟是物美价廉,还是货不对路｡因此,多数客户将会按照他们对网络银行提供服务的平均质量来确定预期的购买价格｡但是,这个预期的购买价格将低于提供高质量服务的网络银行能够承受的最低价格,结果,只有提供低质量服务的网络银行可以被客户接受,而高质量的网络银行则被排挤出网上市场｡

3.信誉风险｡网络银行信誉风险是指网络银行无法建立良好的客户关系,不能建立自身的良好银行信誉,从而无法从事银行业务｡一旦网络银行提供的虚拟金融服务产品不能满足公众所预期的水平,且在社会上产生广泛的不良反映时,就形成了网络银行的信誉风险｡或者,如果网络银行的安全系统曾经遭到破坏,无论这种破坏的原因来自内部还是来自外部,都会影响社会公众对网络银行的商业信心｡

(三)法律风险｡网络银行的法律风险主要来源两方面:一方面是违反相关法律规定､规章和制度,以及在网上交易中没有遵守有关权利义务的规定,这些法律和规章制度包括消费者权益保护法､财务披露制度､隐私保护法､知识产权保护法和货币发行制度等;另一方面是网络银行法律的缺乏｡我国网络银行尚处于起步阶段,政府有关法规中对于网络银行权利和义务的规定不清晰,缺乏相应的网络消费者权益保护管理规章及试行条例｡因此,利用网络及其他电子媒体签订的经济合同中存在较大的法律风险｡

网络银行的风险类型呈现复杂性和多样性的特征｡目前,国际国内主要的网络银行风险可以归纳为以下几种类型:

1.电子扒手｡一些被称为“电子扒手”的银行偷窃者专门窃取别人网络地址,这类窃案近年呈迅速上升趋势｡因为Internet服务在给银行和用户提供共享资源的同时,也为窃取银行业､用户秘密数据的非法“侵入者”敞开了大门｡一些窃贼盗取银行､企业秘密卖给竞争对手,或因商业利益,或因对所在银行､企业不满,甚至因好奇盗取银行和企业密码,浏览企业核心机密｡据美国官方统计,每年银行在网络上被偷窃的资金达6000万美元,而每年在网络上企图利用电子化盗窃作案的总数高达5-100亿美元之间｡“电子扒手”平均作案值是25万美元,而持枪抢劫银行只有7500美元｡“电子扒手”多数为解读密码的高手,作案手段隐蔽,不易被抓获,通常能够查获的约为1/6,而只有2%的网络窃贼被抓获｡

2.网上诈骗｡网上诈骗已成为世界上第二种最常见的网络风险｡一些不法分子通过发送电子邮件或在互联网上提供各种吸引人的免费资料等引诱互联网用户,当用户接受他们提供的电子邮件或免费资料时,不法分子编制的病毒也随之进入用户的计算机中,并偷偷修改用户的金融软件;当用户使用这些软件进入银行的网址时,修改后的软件就会自动将用户账号上的钱转移到不法分子的账号上｡网上诈骗包括市场操纵､知情人交易､无照经纪人､投资顾问活动､欺骗性或不正当销售活动､误导进行高科技投资等10种互联网网络诈骗｡据北美证券管理者协会调查,估计每年网上诈骗使投资者损失100亿美元｡

3.电脑黑客｡称非法入侵电脑系统者为“黑客”,是美国麻省理工学院的学者首先提出的｡克罗地亚的3名中学生在操纵电脑遨游信息高速公路时,进入了美国军方的电脑系统,破译了五角大楼的密码,从一个核数据库中复制了美国军方的机密文件｡据美国参议院一个小组委员会的估计,1995年全球企业界损失在“黑客”手中的财富达8亿美元,其中美国企业损失4亿美元｡由于对“黑客”闯入国家安全防务系统的担忧,甚至担忧未来的“电子珍珠港袭击”,目前已经有许多国家具有制造电子炸弹的能力,这对引发国家金融安全的潜在风险也是极大的｡

4.计算机病毒｡计算机病毒对银行电脑系统形成了巨大的威胁｡据英国《金融时报》报道,在1996-1997年的18个月中,世界范围内新发现的计算机病毒数量几乎翻了一番｡平均每个月新发现的计算机病毒数从过去200种上升到500种左右｡全世界已知的计算机病毒已达18000种,尚有上百种待查明的计算机病毒在流传｡1999年4月26日的CIH病毒的爆发,就使中国4万多台电脑不能正常运行,大多数电脑的C盘数据被毁,中国民航的20多台电脑也被感染,部分航班时刻表数据被毁｡此外,随着国际互联网络的普及,银行的电子函件也成为计算机病毒传播的主要渠道｡

5.信息污染｡正如在工业革命时期存在工业污染一样,信息时代也有信息污染和信息过剩,大量无序的信息不是资源而是灾难｡互联网络用户数和网络业务量的急剧增加,也带来了新的问题,包括大量商品广告等网上“垃圾”,影响了网络银行发送和接受网络信息的效率,更严重的是风险也随之增加｡

三､网络银行的风险防范

网络银行的种种风险已引起我国政府与金融界的高度重视,我们在创建和发展网络银行的同时,应从以下几方面努力防范和化解网络银行的风险:

1.设计和执行与网络银行风险相适应的内部控制系统

网络银行改变了传统银行的内部控制､岗位分工和明晰的审计轨迹,使银行在经营和审计方面都极为缺乏专门的技术和技能｡银行机构必须具有充分到位的控制措施,由独立的审计部门对内部控制系统作定期的测试和评估｡网络银行内部控制系统的目标应包含:技术规划与战略目标的一致性;数据的可用性;数据的完整性;对数据保密和对隐私的保护措施;管理信息系统的可靠性｡

网络银行内部控制系统的要素包括三方面:一是内部会计控制,用来保障以资金记录的资产及其可靠性｡二是运营控制,用来保障业务目标的实现｡三是管理控制,用来保障运营效率的执行政策与程序｡这三个要素体现在以下三个层次:一是预防性控制;二是侦测控制;三是纠正控制｡

2.加快发展网络加密技术｡近年来,世界加密技术的市场规模巨大,达到几十亿美元,并呈现迅猛发展的态势｡美国在加密技术电脑软件的开发方面具有世界领先地位,较其他在加密技术方面先进的国家如以色列､瑞士､俄罗斯和日本等还略胜一筹｡我国应尽快学习和借鉴美国等发达国家的先进技术和经验,加快网络加密技术的创新､开发和应用,包括乱码加密处理､系统自动签退技术､网络使用记录检查评定技术､人体特征识别技术等｡

3.发展数据库技术,建立大型网络银行数据库｡通过数据库技术存储和处理信息来支持银行决策｡要防范网络银行的资产风险,必须从解决信息对称､充分､透明和正确性着手,依靠数据库技术储存､管理和分析处理数据,这是现代化管理必须要完成的基础工作｡(1)网络银行数据库的设计可从社会化思路考虑信息资源的采集､加工和分析,以客户为中心进行资产､负债和中间业务的科学管理｡(2)不同银行可实行借款人信用信息共享制度,建立不良借款人的预警名单和“黑名单”制度｡(3)对有一定比例的资产控制关系､业务控制关系､人事关联关系的企业或企业集团,通过数据库进行归类整理､分析､统计,统一授信和监控｡

4.加速金融工程学科在我国的研究､开发和利用｡金融工程是在金融创新和金融高科技基础上产生的,是指运用各种有关理论和知识,设计和开发金融创新工具或技术,以期在一定风险度内获得最佳收益｡我国金融工程的研究与开发应以系统工程理论为指导,学习和借鉴西方马柯维兹的投资组合理论､夏普的资本资产定价理论､莫迪格里安尼和米勒的资本结构理论以及布莱克和斯科尔斯的期权价格等理论,并大量运用数理统计技术､运筹学技术､仿真模拟技术和自动化网络技术,不断创造､设计､开发各种新的组合金融工具,使我国金融衍生工具创新和风险控制能得以加强｡

5.加快电子商务和网络银行的立法进程｡针对目前网络金融活动中出现的问题,借鉴先进国家的经验,建立相关的法律,以规范网络金融参与者的行为｡首先,电子商务立法要解决电子交易的合法性,如怎样取用交易的电子证据?芽法律是否认可这样的证据?芽电子货币､电子银行的行为规范､跨国银行的法律问题｡其次,对电子商务的安全保密也必须有法律保障,对计算机犯罪､计算机泄密､窃取商业和金融机密等也都要有相应的法律制裁,以逐步形成有法律许可､法律保障和法律约束的电子商务环境｡

参考文献:

[1]纪玉山.网络经济[M].长春:长春出版社,2000.

[2]张贵乐.金融制度国际比较[M].大连:东北财经大学出版社,1999.

网络安全风险防控预案范文篇12

1．1信息科技风险管理制度不到位

1．1．1制度建设不完善、不系统

多数农村信用社没有制定信息科技中长期发展规划和战略，信息科技风险管理和控制措施多分散于其他管理制度中，没有专门的科技风险管理制度．部分县联社的管理制度滞后于信息系统、信息技术的发展，没有随着新购买设备、设施而及时更新、完善相关的管理制度．没有随着信息系统的升级换代而重新修订，难以起到防范信息科技风险的作用．

1．1．2制度执行不到位、不全面

农村信用社信息安全领导小组流于形式，并没有充分发挥赋予的规划、管理和决策等职责，导致信息系统建设滞后．另外，多数农村信用社不能执行相关管理制度和规定．例如，对信息系统运行维护不到位，没有按照制度规定定期进行巡查，对发现的主机、数据库异常及故障没有记录或记录不全面．

1．2信息科技风险管控措施不到位

1．2．1第三方制约措施不到位

目前，县联社及所辖营业场所没有设立接受相关信息科技风险第三方评估报告的相应机制．农村信用社向有关监管部门提供的审计调查报告，由各级联社管理人员自我评测和分析，缺乏第三方独立评估和测试．报告得出的结论不能反映出客观的、真实的信息科技风险状况和管理水平，容易掩盖其信息科技风险隐患．

1．2．2风险管理架构不健全

农村信用社虽然设置了风险管理部门，但是在职能上并未包含信息科技风险的监察和控制，仅仅对资产负债业务、融资业务进行督查和规范．信息科技风险管理工作主要依靠科技部门，而科技部门是信息系统的建设者和维护者，由其承担科技风险管理职能，缺少必要的制衡机制．

1．3信息科技工作系统性管理不到位

1．3．1硬件基础设施薄弱

现在，农村信用社在物理层面上实现了内、外网络的隔离，但针对U盘、移动硬盘等设备尚没有建立防护策略和有效的管理制约手段．外网病毒容易通过上述设备侵入到内部网络，导致内网带宽被侵占，影响综合业务系统的正常运行．

1．3．2应急预案徒有形式

目前，农村信用社在联社层面上制定了系统应急预案，但大部分基层网点尚未根据预案对电力设备、网络设备等实施压力测试，也没有进行过应急演练．应急预案还只是停留在形式上，出现突发故障或紧急事件时不一定能达到预期的处置结果．另外，有些应急预案涵盖的项目过多，针对性和可操作性不强，影响应急预案的实效．

2加强信息科技风险管理的对策

中国银监会《商业银行信息科技风险管理指引》明确要求，各银行业金融机构要从满足业务发展需要出发，加强信息科技风险管理和控制，从“要我做”变为“我要做”．农村信用社应该切实转变以技术防范为主的被动的信息安全工作方式，积极构建防御策略．从事前、事中、事后三个环节建立以预防为主的主动信息科技风险管控机制，真正做到事前有预防、事中有控制和事后有检查．

2．1加强信息科技风险防范的基础设施建设

2．1．1加强组织领导各级领导要站在维护业务稳定和促进农村信用社发展的高度，充分认识信息科技安全的紧迫性和重要性，要看到农村信用社的现状和未来，充分认识IT价值，明确信息科技风险管理目标，将信息科技风险纳入自身的总体风险框架．

2．1．2打造一支稳定、团结、高效的科技队伍

农村信用社应该以市级或县级为单位，将全市或全县科技人员集中、分类管理，按照系统管理人员、安全管理员、维护操作人员等进行分类．以县级联社计算机系统管理员为重点管理对象，要求各位安全管理员务必保障各营业网点操作人员的正常业务运行．真正实现自上而下，从机关到网点逐级、有序地管理，使信息科技风险管理与控制的触角延伸到每一个基层营业网点，确保每一项业务的正常开展．

2．1．3构建信息科技风险管控长效机制

农村信用社要辩证地看待业务发展与信息科技风险防范之间的关系，提高对信息科技风险重大危害性的认识，构建全系统共同参与的、自上而下的信息科技风险管控长效机制．通过对信息科技风险的识别、计量、监测和控制，完善管控措施，加强领导管理，追究事故责任，消除风险隐患，推动业务发展和创新，进一步提高信息技术的基础性作用．

2．2信息科技风险防范的技术与制度

2．2．1提高农村信用社的信息技术水平

引进指纹认证系统，针对工作人员账户管理建立有效的、与访问级别相匹配的访问控制机制．工作人员访问系统和进入数据库必须通过认证．确保密匙使用安全，要通过风险预警，提高技术防范手段，加强后台监督．严格控制操作风险，通过改善门禁系统、防雷、消防等硬件设施，发展和使用计算机加密技术、访问控制技术、“防火墙”技术、病毒防治技术和监控技术，筑起多道计算机安全防范屏障，以科技技术保障制度的落实．

2．2．2完善信息科技风险管理制度

按照《商业银行信息科技风险管理指引》要求，农村信用社要建立健全科技风险管理制度和操作规程．针对应急演练和日常管理中出现的管理漏洞，认真进行梳理和归类，调整优化，确保管理制度不存在缺陷和漏洞，确保操作规程合理、完整、可行．

2．3加强信息科技风险管理的监督检查和审计

2．3．1探索信息科技风险管理方法

在进一步提高信息技术应用水平的基础上，积极探索风险管理的识别、计量、监测和控制的管理技术和管理工具，实时监测信息系统的风险隐患和漏洞，完善补救措施，积极加强整改．

2．3．2加强信息科技风险现场检查

进一步建立健全检查制度，开发和设计现场检查程序．综合运用数据检查、情景模拟或联网检查等方式和方法，及时查找和发现信息系统中存在问题和不足，及时纠正问题和消除隐患．进一步完善信息技术，加强信息管理．

2．3．3要加强外部审计监督