前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全風(fēng)險評估論文范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全風(fēng)險評估論文范文第1篇

1.1信息安全風(fēng)險評估的含義

信息安全風(fēng)險評估是從風(fēng)險管理角度出發(fā)，構(gòu)建風(fēng)險評估模型，建立風(fēng)險評估體系，運用風(fēng)險評估方法，系統(tǒng)地分析信息系統(tǒng)所面臨的風(fēng)險威脅及系統(tǒng)的脆弱性/漏洞，評估風(fēng)險發(fā)生帶來的危害程度，提出應(yīng)對風(fēng)險的安全控制措施，規(guī)避和控制信息安全風(fēng)險，降低風(fēng)險發(fā)生的概率，將風(fēng)險控制在可承受的范圍，為信息安全風(fēng)險評估提供科學(xué)依據(jù)。

1.2信息安全風(fēng)險評估的方法

隨著信息安全風(fēng)險評估研究工作的不斷深入，形成了多種不同的信息安全風(fēng)險評估方法，這些方法的出現(xiàn)大大縮短了信息安全風(fēng)險評估的時間，節(jié)省了大量的資源，提高了信息安全風(fēng)險評估的效率和準(zhǔn)確性，為防范信息安全中出現(xiàn)的風(fēng)險提供了理論依據(jù)[3]。目前，常用的信息安全風(fēng)險評估的方法有定量評估方法、定性評估方法和定性與定量相結(jié)合的綜合評估方法。其中，定量評估方法是根據(jù)信息系統(tǒng)中風(fēng)險相關(guān)數(shù)據(jù)，利用具體的評估算法計算出評估結(jié)果，并對結(jié)果進行分析，它能夠直觀地反應(yīng)評估結(jié)果，更容易被人們接受。但是該方法主要依賴于數(shù)學(xué)模型來描述風(fēng)險，在量化的過程中將原本復(fù)雜的事物理想化，一般適用于風(fēng)險評估材料齊全且數(shù)學(xué)理論基礎(chǔ)較好的情況，常見的定量評估方法有Markov分析法、聚類分析方法、決策樹分析方法、風(fēng)險審計技術(shù)等。定性評估方法是評估者利用自己擁有的專業(yè)知識和積累的經(jīng)驗對信息系統(tǒng)存在的風(fēng)險進行識別和評價，并提出應(yīng)對風(fēng)險的安全控制措施。它對評估者知識和經(jīng)驗的要求較高，一般適用于風(fēng)險評估數(shù)據(jù)不全或者數(shù)學(xué)理論基礎(chǔ)較為薄弱的情況，常見的定性評估方法有故障樹分析法（FTA）、故障模式影響及危害性分析方法（RMECA）、德爾菲法（Delphi）等。在風(fēng)險評估的實際過程中，采用較多的是定性與定量相結(jié)合的綜合風(fēng)險評估方法，該方法可以將復(fù)雜問題按照層次化結(jié)構(gòu)分解成多個簡單的問題進行分析，大大節(jié)省了評估時間、人力和費用，提高了風(fēng)險評估的準(zhǔn)確性和效率，常見的定性與定量相結(jié)合的綜合評估方法有層次分析法。

1.3信息安全風(fēng)險評估的模型

[4]信息安全風(fēng)險評估模型是信息安全風(fēng)險評估的理論基礎(chǔ)，是提高信息安全風(fēng)險評估準(zhǔn)確性和效率的重要前提。信息安全風(fēng)險評估模型如圖1所示，造成信息安全風(fēng)險的主要因素有威脅、信息資產(chǎn)、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風(fēng)險，信息系統(tǒng)的威脅越大、脆弱性越暴露、漏洞越多、信息資產(chǎn)的價值越大、未被控制的風(fēng)險越多，則信息系統(tǒng)面臨的風(fēng)險也越多，風(fēng)險越多，信息系統(tǒng)的安全性越低。業(yè)務(wù)系統(tǒng)主要依賴于服務(wù)器和軟件等信息資產(chǎn)，業(yè)務(wù)系統(tǒng)越關(guān)鍵，對服務(wù)器等硬件和軟件資源的要求就越高，被攻擊的價值也就越大，面臨的風(fēng)險也就越大。資產(chǎn)的價值和防范風(fēng)險的意識會導(dǎo)出信息系統(tǒng)的安全需求。當(dāng)信息系統(tǒng)的安全需求被相應(yīng)的安全控制措施滿足時，就會降低發(fā)生風(fēng)險的概率。然而有些風(fēng)險由于成本過高、控制難度較大，往往不進行控制，這部分不被控制的風(fēng)險具有潛在的威脅，應(yīng)該受到密切監(jiān)視，它可能會增加信息系統(tǒng)的風(fēng)險。

2高校信息安全面臨的風(fēng)險及應(yīng)對策略分析

隨著高校數(shù)字化校園建設(shè)和信息化建設(shè)的不斷推進，高校業(yè)務(wù)處理對信息系統(tǒng)的依賴性越來越強。由于部分高校缺乏危機意識、防范風(fēng)險的制度和措施，沒有一套完善的信息系統(tǒng)風(fēng)險評估體系預(yù)防風(fēng)險，當(dāng)遇到信息安全的突發(fā)事件時，只能被動地采用“救火式”的方法處理風(fēng)險危機，使得信息系統(tǒng)面臨的風(fēng)險不斷增加。為了及時應(yīng)對信息系統(tǒng)面臨的各種風(fēng)險威脅，各個部門、各個環(huán)節(jié)應(yīng)密切配合、協(xié)調(diào)，對高校信息安全面臨的各種風(fēng)險及應(yīng)對策略應(yīng)進行調(diào)研分析，建立信息安全的風(fēng)險評估體系，實現(xiàn)風(fēng)險評估的規(guī)范化和制度化，逐步形成監(jiān)控風(fēng)險和控制風(fēng)險的有效機制[5]。

2.1高校信息安全面臨的風(fēng)險分析

高校信息安全面臨的風(fēng)險一般可以分為技術(shù)脆弱性/漏洞風(fēng)險和非技術(shù)性風(fēng)險[6]。

2.1.1技術(shù)脆弱性/漏洞風(fēng)險

高校信息系統(tǒng)面臨的技術(shù)性/漏洞風(fēng)險主要包括數(shù)據(jù)存儲風(fēng)險、系統(tǒng)權(quán)限設(shè)置風(fēng)險、軟件編碼風(fēng)險、硬件設(shè)備風(fēng)險和網(wǎng)絡(luò)安全風(fēng)險等。其中數(shù)據(jù)存儲風(fēng)險主要體現(xiàn)在數(shù)據(jù)存儲空間不足、數(shù)據(jù)備份策略不健全、數(shù)據(jù)庫安全性低容易導(dǎo)致SQL注入篡改數(shù)據(jù)庫中的數(shù)據(jù)、數(shù)據(jù)不被加密在傳輸過程中容易被篡改或刪除、數(shù)據(jù)庫結(jié)構(gòu)不合理等方面；系統(tǒng)設(shè)置權(quán)限風(fēng)險主要體現(xiàn)在訪問控制策略失效、系統(tǒng)訪問權(quán)限過大、客戶身份認(rèn)證失敗等；軟件編碼風(fēng)險主要體現(xiàn)在操作失誤、系統(tǒng)漏洞、系統(tǒng)接口不安全、代碼健壯性差、系統(tǒng)運行環(huán)境改變等；硬件設(shè)備風(fēng)險主要體現(xiàn)在服務(wù)器配置過低、物理設(shè)備損壞、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)硬件防護設(shè)備不齊全等；網(wǎng)絡(luò)安全風(fēng)險主要體現(xiàn)在網(wǎng)絡(luò)惡意攻擊使網(wǎng)絡(luò)癱瘓、服務(wù)劫持、拒絕服務(wù)、利用端口漏洞破壞系統(tǒng)、內(nèi)外網(wǎng)設(shè)置缺陷、網(wǎng)站掛馬、非法訪問系統(tǒng)、竊取和篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等。

2.1.2非技術(shù)性風(fēng)險

高校信息系統(tǒng)面臨的非技術(shù)性風(fēng)險主要包括人為疏忽行為、管理不到位、技術(shù)失效、蓄意行為和不可抗拒風(fēng)險等。其中人為疏忽行為主要體現(xiàn)在由于人為過失或非法操作導(dǎo)致服務(wù)器硬件損壞，系統(tǒng)和數(shù)據(jù)無法恢復(fù)等；管理不到位主要體現(xiàn)在沒有安裝殺毒軟件、沒有做系統(tǒng)備份策略和系統(tǒng)安全防護策略等；技術(shù)失效主要體現(xiàn)在硬件壽命設(shè)計缺陷、軟件服務(wù)到期、軟件后門等；蓄意行為主要體現(xiàn)在惡意軟件、系統(tǒng)設(shè)備帶木馬程序、蓄意泄漏機密文件、黑客與信息敲詐等；不可抗拒風(fēng)險主要體現(xiàn)為地震、雷擊等自然災(zāi)害造成的風(fēng)險。

2.2高校信息安全面臨的風(fēng)險應(yīng)對策略分析

在對信息安全進行風(fēng)險評估時，可以根據(jù)風(fēng)險評估等級、風(fēng)險發(fā)生概率大小、風(fēng)險影響大小、控制風(fēng)險的難易程度和風(fēng)險管理的成本，給出處理與應(yīng)對風(fēng)險的相應(yīng)策略，供高校決策部門和相關(guān)技術(shù)部門參考，來降低風(fēng)險對信息系統(tǒng)的影響。高校應(yīng)對信息安全面臨風(fēng)險的應(yīng)對策略主要有風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)嫁、風(fēng)險預(yù)防、風(fēng)險控制、風(fēng)險承受和風(fēng)險追蹤等。其中風(fēng)險規(guī)避是高校在風(fēng)險發(fā)生之前，采取相關(guān)技術(shù)措施消除風(fēng)險因素，避免風(fēng)險發(fā)生；風(fēng)險轉(zhuǎn)嫁是高校不能完全避免風(fēng)險發(fā)生時，為了降低風(fēng)險造成的損失，將風(fēng)險轉(zhuǎn)嫁給其他組織或個人承擔(dān)，并支付風(fēng)險承擔(dān)者一定費用；風(fēng)險預(yù)防是高校在風(fēng)險發(fā)生之前密切監(jiān)視風(fēng)險的動態(tài)，采取相應(yīng)風(fēng)險防范措施，以降低風(fēng)險發(fā)生的概率；風(fēng)險控制是高校在風(fēng)險發(fā)生時采取各種技術(shù)手段降低風(fēng)險影響后果，縮小風(fēng)險影響范圍等；風(fēng)險承受是高校在綜合考慮控制風(fēng)險難度、控制風(fēng)險花費、風(fēng)險發(fā)生概率和高校風(fēng)險承受能力等情況下，選擇自行承擔(dān)風(fēng)險的方式；風(fēng)險追蹤是高校在發(fā)現(xiàn)風(fēng)險時，對風(fēng)險的來源及發(fā)起者進行跟蹤，查到根源后追究其相應(yīng)責(zé)任，客觀上可以降低風(fēng)險發(fā)生的頻率。

3高校信息安全的風(fēng)險評估過程

[7]高校信息安全風(fēng)險評估過程包括風(fēng)險評估目標(biāo)確定、風(fēng)險識別、風(fēng)險評價、風(fēng)險控制策略選擇和風(fēng)險評估效果分析幾個環(huán)節(jié)，這些環(huán)節(jié)是相輔相成，缺一不可的。

3.1風(fēng)險評估目標(biāo)確定

風(fēng)險評估目標(biāo)是高校開展信息安全風(fēng)險評估的首要步驟。高校在對信息安全進行風(fēng)險評估時，應(yīng)當(dāng)制定準(zhǔn)確的風(fēng)險評估目標(biāo)。風(fēng)險評估目標(biāo)主要包括風(fēng)險評價標(biāo)準(zhǔn)、風(fēng)險因素標(biāo)準(zhǔn)、風(fēng)險控制目標(biāo)、風(fēng)險控制費用標(biāo)準(zhǔn)、風(fēng)險防范措施制定、風(fēng)險評估效果評價、風(fēng)險發(fā)生后果影響等。

3.2風(fēng)險識別

風(fēng)險識別是高校信息安全風(fēng)險評估過程中最重要也最難的環(huán)節(jié)。風(fēng)險識別直接關(guān)系到風(fēng)險評價結(jié)果及風(fēng)險等級的確定，關(guān)系到風(fēng)險控制策略的選擇，如果不能正確識別風(fēng)險，就不能采取正確的風(fēng)險控制策略去規(guī)避和控制風(fēng)險，會大大增加風(fēng)險發(fā)生的可能性。3.3風(fēng)險評價風(fēng)險評價是高校信息安全風(fēng)險評估過程中的主要環(huán)節(jié)。它主要包括對風(fēng)險成因、發(fā)生概率、影響范圍、威脅程度、損失大小等因素進行定性和定量分析，通過特定的風(fēng)險評估方法進行測算分析，確定風(fēng)險的等級及危害程度。

3.險控制策略選擇

高校在綜合考慮風(fēng)險承受能力、風(fēng)險控制費用、風(fēng)險危害程度、風(fēng)險發(fā)生概率和風(fēng)險評估目標(biāo)等因素的基礎(chǔ)上，根據(jù)風(fēng)險評價結(jié)果，選取相應(yīng)的風(fēng)險控制策略，來降低風(fēng)險發(fā)生的概率及帶來的危害。

3.5風(fēng)險評估效果分析

風(fēng)險評估效果分析是高校結(jié)合自身的實際情況對風(fēng)險評估等級的判斷是否準(zhǔn)確、風(fēng)險識別的準(zhǔn)確性、風(fēng)險評估目標(biāo)是否達(dá)標(biāo)、風(fēng)險控制策略是否得當(dāng)、風(fēng)險評估過程的科學(xué)性、風(fēng)險評估數(shù)據(jù)和算法的合理性進行綜合分析的過程。它對高校提高信息安全風(fēng)險評估的準(zhǔn)確性和科學(xué)性有一定的指導(dǎo)作用。

4結(jié)語

安全風(fēng)險評估論文范文第2篇

關(guān)鍵詞：網(wǎng)絡(luò)安全 風(fēng)險評估 方法

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1007-9416（2016）11-0210-01

1 網(wǎng)絡(luò)安全風(fēng)險概述

1.1 網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)最大的特點便是自身的靈活性高、便利性強，其能夠為廣大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能，網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看，無線網(wǎng)絡(luò)安全主要是保證使用者進行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性，其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題，由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性，其在安全方面面臨著較大的風(fēng)險，如何對這些風(fēng)險進行預(yù)防直接關(guān)乎著使用者的切身利益。想要對無線網(wǎng)絡(luò)安全進行全面正確的評估，單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求，因此，本文更推薦將層次分析法和逼近思想法進行雙重結(jié)合，進一步對一些不確定因素進行全面的評估，確保分析到每一個定量和變量，進一步計算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險值。而對于有線網(wǎng)絡(luò)，影響其安全風(fēng)險的因素相對較少，但是依然要對其進行全面分析，盡最大可能得到最準(zhǔn)確的數(shù)值。

1.2 網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天，如何對網(wǎng)絡(luò)進行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個方面均有著不同的要求，而借助這些各方面各個層次的安全目標(biāo)最終匯集成為一個總的目標(biāo)方案，而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率，盡最大可能減少每個環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險，從而保證網(wǎng)絡(luò)的合理安全運行。

1.3 風(fēng)險評估指標(biāo)

在本論文的分析過程之中，主要對風(fēng)險評估劃分了三個系統(tǒng)化的指標(biāo)，即網(wǎng)絡(luò)層指標(biāo)體系、網(wǎng)絡(luò)傳輸風(fēng)險指標(biāo)體系以及物理安全風(fēng)險指標(biāo)體系，在各個指標(biāo)體系之中，又分別包含了若干個指標(biāo)要素，最終形成了一個完整的風(fēng)險評估指標(biāo)體系，進而避免了資源的不必要浪費，最終達(dá)到網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)。

2 網(wǎng)絡(luò)安全風(fēng)險評估的方法

如何對網(wǎng)絡(luò)風(fēng)險進行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進行了全面的分析，結(jié)合網(wǎng)絡(luò)動態(tài)風(fēng)險的特點以及難點問題，最終在確定風(fēng)險指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法，最終能夠保證網(wǎng)絡(luò)信息安全。

2.1 網(wǎng)絡(luò)風(fēng)險分析

作為網(wǎng)絡(luò)安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié)，網(wǎng)絡(luò)風(fēng)險分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險評估的成敗。對于網(wǎng)絡(luò)風(fēng)險進行分析，不單單要涉及指標(biāo)性因素，還有將許多不穩(wěn)定的因素考慮在內(nèi)，全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進行分析的過程之中，要從宏觀和微觀兩個方面進行入手分手，最大程度的保證將內(nèi)外部因素全部考慮在內(nèi)，對網(wǎng)絡(luò)資產(chǎn)有一個大致的判斷，并借此展開深層次的分析和研究。

2.2 風(fēng)險評估

在網(wǎng)絡(luò)安全風(fēng)險評估之中，可以說整個活動的核心便是風(fēng)險評估了。網(wǎng)絡(luò)風(fēng)險的突發(fā)性以及并發(fā)性相對其他風(fēng)險較高，這便進一步的體現(xiàn)了風(fēng)險評估工作的重要性。在進行風(fēng)險評估的過程之中，我們主要通過對風(fēng)險誘導(dǎo)因素進行定量和定性分析，在此分析的基礎(chǔ)上再加以運用逼近思想法進行全面的驗證，從而不斷的促進風(fēng)險評估工作的效率以及安全性。在進行風(fēng)險評估的過程之中，要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進行分析，將工作思想放開，不能拘泥于理論知識，將實踐和理論相結(jié)合，最終完成整個風(fēng)險評估工作。

2.3 安全風(fēng)險決策與監(jiān)測

在進行安全風(fēng)險決策的過程之中，對信息安全依法進行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險安全的前提。安全決策主要是根據(jù)系統(tǒng)實時所面對的具體狀況所進行的風(fēng)險方案決策，其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定，從而最終保證風(fēng)險評估得以平穩(wěn)進行。而對于安全監(jiān)測，網(wǎng)絡(luò)風(fēng)險評估的任何一個過程都離不開安全檢測的運行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性，在系統(tǒng)更新?lián)Q代中，倘若由于一些新的風(fēng)險要素導(dǎo)致整個網(wǎng)絡(luò)的安全評估出現(xiàn)問題，那么之前的風(fēng)險分析和決策對于后面的管理便已經(jīng)毫無作用，這時候網(wǎng)絡(luò)監(jiān)測所起到的一個作用就是實時判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況，倘若產(chǎn)生了突發(fā)狀況，相關(guān)決策部門能夠第一時間的進行策略調(diào)整。因此，網(wǎng)絡(luò)監(jiān)測在整個工作之中起到一個至關(guān)重要的作用。

3 結(jié)語

網(wǎng)絡(luò)安全風(fēng)險評估是一個復(fù)雜且完整的系統(tǒng)工程，其本質(zhì)性質(zhì)決定了風(fēng)險評估的難度。在進行網(wǎng)絡(luò)安全風(fēng)險評估的過程之中，要有層次的選擇合適的評估方法進行評估，確保風(fēng)險分析和評估工作的有序進行，同時又要保證安全決策和安全檢測的完整運行，與此同時，要保證所有的突發(fā)狀況都能夠及時的反映和對付，最終確保整個網(wǎng)絡(luò)安全的平穩(wěn)運行。

參考文獻

[1]程建華.信息安全風(fēng)險管理、評估與控制研究[D].吉林大學(xué)，2008.

[2]李志偉.信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D].北京交通大學(xué)，2010.

[3]孫文磊.信息安全風(fēng)險評估輔助管理軟件開發(fā)研究[D].天津大學(xué)，2012.

安全風(fēng)險評估論文范文第3篇

【 關(guān)鍵詞 】 大數(shù)據(jù)；數(shù)據(jù)庫；安全；風(fēng)險評估

Big Data Era Database Information System Security Risk Assessment Technical Analysis

Zeng Jian-guo

（Xinhua News Agency Beijing 100070）

【 Abstract 】 The rapid development of multimedia computer and Internet technology makes human society entered the era of big data， massive data resources for people's work， life and learning convenience. Era of big data database information system is the foundation to support the development of human information. Therefore， the security of database information system has an important role. The information work events based on the author's many years， detailed analysis the face database information system security risk， and discusses the risk evaluation technology， in order to be able to database information security defense system and lay a solid foundation.

【 Keywords 】 big data； database； security； risk assessment

1 引言

大數(shù)據(jù)給人們的工作、生活和學(xué)習(xí)帶來了極大的便利，提高了人們的生活質(zhì)量、工作效率和學(xué)習(xí)成效，具有重要的作用。數(shù)據(jù)庫是承載互聯(lián)網(wǎng)大數(shù)據(jù)的存儲器，是為人們提供數(shù)據(jù)信息的基礎(chǔ)，因此數(shù)據(jù)庫在大數(shù)據(jù)時代具有重要的作用。面對日益增長的海量數(shù)據(jù)信息資源以及豐富的互聯(lián)網(wǎng)應(yīng)用軟件，大數(shù)據(jù)時代數(shù)據(jù)庫信息系統(tǒng)的安全風(fēng)險呈現(xiàn)多樣化、智能化、傳播迅速化特點。許多計算機學(xué)者將數(shù)據(jù)庫安全風(fēng)險評估、安全防御作為數(shù)據(jù)庫未來發(fā)展的重要方向之一。計算機學(xué)者經(jīng)過多年的研究，已經(jīng)提出了許多風(fēng)險評估技術(shù)，比如基于灰色理論、基于專家系統(tǒng)、基于神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘算法等，有效地提高了數(shù)據(jù)庫信息系統(tǒng)安全風(fēng)險評估的準(zhǔn)確程度，快速地發(fā)現(xiàn)數(shù)據(jù)庫存在的安全漏洞，及時打補丁和構(gòu)建防御系統(tǒng)，為大數(shù)據(jù)的應(yīng)用保駕護航。

2 大數(shù)據(jù)時代數(shù)據(jù)庫信息系統(tǒng)面臨的安全風(fēng)險

大數(shù)據(jù)時代數(shù)據(jù)庫信息系統(tǒng)面臨的安全風(fēng)險包括多種，比如木馬、病毒和黑客攻擊，并且存在安全攻擊形式和渠道多樣化、數(shù)據(jù)庫信息系統(tǒng)漏洞快速增長、安全威脅智能化等特點。

2.1 安全攻擊形式和渠道多樣化

數(shù)據(jù)庫信息系統(tǒng)為大數(shù)據(jù)應(yīng)用提供基礎(chǔ)支撐。云計算、分布式計算、移動計算等技術(shù)的快速發(fā)展和進步，為大數(shù)據(jù)應(yīng)用軟件接入數(shù)據(jù)庫信息系統(tǒng)提供了豐富的渠道，為人們應(yīng)用大數(shù)據(jù)資源的同時帶來了潛在的攻擊，并且使得攻擊形式和渠道呈現(xiàn)多樣化特點。安全攻擊可以采用應(yīng)用軟件接入端口、郵件傳輸端口、數(shù)據(jù)采集端口等攻入數(shù)據(jù)信息系統(tǒng)，并且攻擊形式除了木馬、病毒和黑客之外，還采取了拒絕服務(wù)、斷網(wǎng)等形式。

2.2 數(shù)據(jù)庫信息系統(tǒng)漏洞快速增長

大數(shù)據(jù)為人們提供了豐富的數(shù)據(jù)資源，促進許多軟件開發(fā)商設(shè)計與實現(xiàn)適于人們需求的應(yīng)用程序，以便存取數(shù)據(jù)資源，提供不同種類的應(yīng)用。應(yīng)用軟件開發(fā)過程中，采用的系統(tǒng)架構(gòu)、實現(xiàn)技術(shù)、接入數(shù)據(jù)庫端口不同，因此導(dǎo)致數(shù)據(jù)庫信息系統(tǒng)面臨著多種存取模式，比如離線存取、在線存取、斷點續(xù)傳等，使得數(shù)據(jù)庫信息系統(tǒng)漏洞在應(yīng)用中不斷的上升，為數(shù)據(jù)庫信息系統(tǒng)的防護帶來了潛在威脅。

2.3 數(shù)據(jù)庫信息系統(tǒng)安全威脅智能化

隨著計算機技術(shù)的快速提升，網(wǎng)絡(luò)中傳播的木馬、病毒和黑客攻擊也得到迅速提升，呈現(xiàn)出智能化的特點，潛藏的時間更長，傳播速度更快，感染范圍也更加廣泛，更加難以被風(fēng)險評估技術(shù)、安全防御技術(shù)掃描到，一旦爆發(fā)將會給數(shù)據(jù)庫信息系統(tǒng)帶來嚴(yán)重的影響。

3 大數(shù)據(jù)時代數(shù)據(jù)庫信息系統(tǒng)風(fēng)險評估技術(shù)

數(shù)據(jù)庫信息系統(tǒng)可以為大數(shù)據(jù)時代提供數(shù)據(jù)來源，豐富應(yīng)用系統(tǒng)功能。數(shù)據(jù)庫信息系統(tǒng)需要為用戶提供強大的安全風(fēng)險評估技術(shù)，以便能夠確保數(shù)據(jù)庫信息系統(tǒng)的安全。目前，許多計算機學(xué)者經(jīng)過多年的研究，數(shù)據(jù)庫信息系統(tǒng)風(fēng)險評估技術(shù)包括安全檢查表法、專家評價法、事故樹分析法、層次分析方法。

（1）安全檢查表法。安全檢查表法可以指定詳細(xì)的數(shù)據(jù)庫風(fēng)險評估規(guī)范、評估內(nèi)容，邀請經(jīng)驗較為豐富的安全風(fēng)險評估專家根據(jù)安全檢查表逐項進行評估，及時發(fā)現(xiàn)數(shù)據(jù)庫信息系統(tǒng)存在的風(fēng)險。

（2）專家評估法。專家評估方法可以根據(jù)數(shù)據(jù)庫信息系統(tǒng)過去、現(xiàn)在運行的情況，參考風(fēng)險評估標(biāo)準(zhǔn)和準(zhǔn)則，預(yù)測數(shù)據(jù)庫信息系統(tǒng)未來的安全趨勢，專家評估過程中，主要采取專家審議法和專家質(zhì)疑法兩種措施，都可以有效的進行風(fēng)險分析和評估。

（3）事故樹分析方法。事故樹分析方法本質(zhì)是一種信息系統(tǒng)風(fēng)險演繹分析方法，通過分析數(shù)據(jù)庫信息系統(tǒng)組成部分之間的邏輯關(guān)系，以便能夠明確安全事故發(fā)生的基本原因，事故樹分析方法能夠識別誘發(fā)安全事故的基本風(fēng)險元素。

（4）層次分析方法。層次分析方法可以自頂向下將組成數(shù)據(jù)庫信息系統(tǒng)的軟硬件資源劃分不同的層次，形成一個層次模型，并且按照風(fēng)險可能發(fā)生的概率進行優(yōu)化和組織，最終識別風(fēng)險發(fā)生可能較大的資源。

安全檢查表法、專家評估法、事故樹分析方法屬于定性風(fēng)險評估，其需要依賴數(shù)據(jù)庫信息系統(tǒng)安全評估人員的風(fēng)險分析經(jīng)驗，結(jié)合風(fēng)險評估標(biāo)準(zhǔn)和類似案例等，評估數(shù)據(jù)庫信息系統(tǒng)的風(fēng)險分級，風(fēng)險評估結(jié)果具有很強的個人主觀性。層次分析方法屬于定量分析方法，其可以確定威脅事件發(fā)生的概率，確定威脅發(fā)生后對系統(tǒng)引起的損失，定量分析可以更加準(zhǔn)確的、直觀的描述系統(tǒng)的風(fēng)險級別，獲取更好的風(fēng)險分析結(jié)果，更具有客觀性，因此逐漸成為風(fēng)險分析和評估的主流方法。

4 結(jié)束語

數(shù)據(jù)庫信息系統(tǒng)安全風(fēng)險評估可以有效地發(fā)現(xiàn)存儲系統(tǒng)存在的安全漏洞，并且定量計算風(fēng)險發(fā)生的可能性和帶來的嚴(yán)重影響，以便制定完善的安全防御策略，保證數(shù)據(jù)庫信息系統(tǒng)正常運行。

參考文獻

[1] 文偉平， 郭榮華， 孟正等.信息安全風(fēng)險評估關(guān)鍵技術(shù)研究與實現(xiàn)[J].信息網(wǎng)絡(luò)安全， 2015， 31（2）：145-146.

[2] 李剛. Microsoft SQL Server數(shù)據(jù)庫風(fēng)險分析與建議[J].信息安全與技術(shù)， 2014， 32（8）：55-57.

[3] 西米莎.基于大數(shù)據(jù)背景的數(shù)據(jù)庫安全問題與保障體系分析[J]. 數(shù)字化用戶， 2014， 34（18）：89-90.

[4] 李靖.網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2014， 28（5）：82-82.

安全風(fēng)險評估論文范文第4篇

摘要：外貿(mào)企業(yè)風(fēng)險包括戰(zhàn)略層面風(fēng)險、經(jīng)營環(huán)節(jié)風(fēng)險和財務(wù)風(fēng)險。外貿(mào)企業(yè)內(nèi)部控制是企業(yè)風(fēng)險管理的核心機制，其目標(biāo)在于合理保證外貿(mào)企業(yè)財務(wù)報告等經(jīng)濟信息的真實、完整，合理保證外貿(mào)企業(yè)戰(zhàn)略和經(jīng)營活動的效率、效果，合理保證外貿(mào)企業(yè)財務(wù)收支活動的合法、合規(guī)，合理保證外貿(mào)企業(yè)各項資產(chǎn)的安全以及促進外貿(mào)企業(yè)實現(xiàn)其發(fā)展戰(zhàn)略。外貿(mào)企業(yè)內(nèi)部控制的核心要素包括內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督?；趦?nèi)部控制有效性視角，外貿(mào)企業(yè)風(fēng)險的控制對策包括優(yōu)化內(nèi)部環(huán)境、加強風(fēng)險評估、健全控制活動、強化信息與溝通和完善內(nèi)部監(jiān)督。

關(guān)鍵詞：外貿(mào)企業(yè)風(fēng)險 內(nèi)部控制 風(fēng)險管理 控制對策

一、外貿(mào)企業(yè)核心業(yè)務(wù)和關(guān)鍵風(fēng)險

外貿(mào)企業(yè)是指專門從事對外貿(mào)易（進出口）的企業(yè)，在國家規(guī)定的注冊地，這些企業(yè)對產(chǎn)品和服務(wù)有合法的進出口經(jīng)營權(quán)。它的業(yè)務(wù)往來重點在國外，通過市場調(diào)研，把國外商品進口到國內(nèi)來銷售，或者收購國內(nèi)商品銷售到國外，從中賺取差價。外貿(mào)企業(yè)的核心業(yè)務(wù)主要由出口和進口兩部分組成，簡稱進出口業(yè)務(wù)。筆者認(rèn)為，外貿(mào)企業(yè)風(fēng)險是指外貿(mào)企業(yè)作為一個社會經(jīng)濟主體，在存續(xù)期間內(nèi)受所面臨的政治、經(jīng)濟、社會和技術(shù)等環(huán)境因素的影響，其真實業(yè)績與企業(yè)目標(biāo)發(fā)生偏離的可能性。關(guān)于外貿(mào)企業(yè)風(fēng)險，現(xiàn)有文獻的梳理如表1所示。

由此可見，外貿(mào)企業(yè)面臨的風(fēng)險主要包括兩大類，一是經(jīng)營風(fēng)險，二是財務(wù)風(fēng)險。

（一）經(jīng)營風(fēng)險。經(jīng)營風(fēng)險是指外貿(mào)企業(yè)經(jīng)營目標(biāo)無法實現(xiàn)的可能性。經(jīng)營風(fēng)險的極端形式是經(jīng)營失敗。從廣義上分析，外貿(mào)企業(yè)經(jīng)營風(fēng)險包括：（1）戰(zhàn)略層面風(fēng)險。是指外貿(mào)企業(yè)在戰(zhàn)略制定和實施過程中，其戰(zhàn)略目標(biāo)無法實現(xiàn)的可能性，包括政治風(fēng)險、貿(mào)易壁壘風(fēng)險、政策風(fēng)險、投資風(fēng)險和自然災(zāi)害風(fēng)險等。（2）經(jīng)營環(huán)節(jié)風(fēng)險。即狹義上的經(jīng)營風(fēng)險，它是指外貿(mào)企業(yè)經(jīng)營環(huán)節(jié)目標(biāo)無法實現(xiàn)的可能性，包括信用風(fēng)險、結(jié)算風(fēng)險、匯率風(fēng)險、利率風(fēng)險、法律風(fēng)險和道德風(fēng)險等。

（二）財務(wù)風(fēng)險。董峰（1996）認(rèn)為，外貿(mào)企業(yè)財務(wù)風(fēng)險按其財務(wù)活動的基本內(nèi)容來劃分，可分為籌資風(fēng)險、匯率風(fēng)險、投資風(fēng)險、資金回收風(fēng)險與收益分配風(fēng)險。朱威（2005）認(rèn)為，我國外貿(mào)企業(yè)財務(wù)風(fēng)險主要包括籌資決策風(fēng)險、投資決策風(fēng)險、股利決策風(fēng)險、外匯風(fēng)險（交易風(fēng)險、折算風(fēng)險、經(jīng)濟風(fēng)險）、衍生金融工具風(fēng)險、企業(yè)重組風(fēng)險等。吳曉慶（2010）認(rèn)為，外貿(mào)業(yè)務(wù)財務(wù)風(fēng)險主要包括信用風(fēng)險、外匯風(fēng)險、結(jié)算風(fēng)險、現(xiàn)金流風(fēng)險、反傾銷風(fēng)險。葛維璐（2012）認(rèn)為，外貿(mào)企業(yè)面臨的財務(wù)風(fēng)險主要有信用風(fēng)險、匯率風(fēng)險、流動性風(fēng)險、非關(guān)稅壁壘風(fēng)險。張小宇、王慶敏（2016）認(rèn)為，中小外貿(mào)企業(yè)財務(wù)風(fēng)險包括信用風(fēng)險、融資風(fēng)險、流動資金不足風(fēng)險、匯率風(fēng)險等。筆者認(rèn)為，從狹義上理解，外貿(mào)企業(yè)財務(wù)風(fēng)險是指外貿(mào)企業(yè)由于負(fù)債融資而形成的風(fēng)險，或稱資不抵債風(fēng)險。而從廣義理解，外貿(mào)企業(yè)財務(wù)風(fēng)險是指外貿(mào)企業(yè)財務(wù)管理目標(biāo)無法實現(xiàn)的可能性，它包括資不抵債風(fēng)險、壞賬風(fēng)險、流動性風(fēng)險和現(xiàn)金流風(fēng)險等。 除此之外，外貿(mào)企業(yè)風(fēng)險還可以區(qū)分為系統(tǒng)風(fēng)險（市場風(fēng)險）和非系統(tǒng)風(fēng)險（企業(yè)特有風(fēng)險）。外貿(mào)企業(yè)風(fēng)險的存在往往會給外貿(mào)企業(yè)各項目標(biāo)的實現(xiàn)帶來很大的不確定性。因此，如何基于內(nèi)部控制有效性視角，加強外貿(mào)企業(yè)風(fēng)險管理的理論與實務(wù)研究非常重要。

二、外貿(mào)企業(yè)內(nèi)部控制的目標(biāo)和要素

（一）外貿(mào)企業(yè)內(nèi)部控制的涵義和目標(biāo)。關(guān)于內(nèi)部控制理念的演變，經(jīng)歷了內(nèi)部牽制（20世紀(jì)40年代以前）、內(nèi)部控制制度（20世紀(jì)40―70年代）、內(nèi)部控制結(jié)構(gòu)（1988―1991年）、內(nèi)部控制――整體框架（1992年至今）等階段（宋夏云，2003）。1992年，美國反欺詐財務(wù)報告全國委員會下屬發(fā)起機構(gòu)委員會（COSO）了“內(nèi)部控制――整體框架”，并指出：企業(yè)內(nèi)部控制是指由企業(yè)董事會、管理層和其他員工實施的，旨在為達(dá)成以下目標(biāo)而提供合理保證的過程：（1）財務(wù)報告的可靠（可靠性）；（2）經(jīng)營的效率、效果（效率效果性）；（3）法律和法規(guī)的遵循（合規(guī)性）。我國《企業(yè)內(nèi)部控制基本規(guī)范》（2008）指出，企業(yè)內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的，旨在實現(xiàn)以下目標(biāo)的過程：（1）企I經(jīng)營管理的合法合規(guī)；（2）資產(chǎn)的安全；（3）財務(wù)報告及相關(guān)信息的真實完整；（4）提高經(jīng)營效率、效果；（5）促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。

外貿(mào)企業(yè)內(nèi)部控制目標(biāo)是指外貿(mào)企業(yè)內(nèi)部控制機制運行的預(yù)期效果或理想狀態(tài)，是構(gòu)建外貿(mào)企業(yè)內(nèi)部控制框架的邏輯起點。筆者認(rèn)為，外貿(mào)企業(yè)內(nèi)部控制可以定義為受外貿(mào)企業(yè)治理層、管理層和其他員工的影響，旨在實現(xiàn)以下目標(biāo)而提供合理保證的一種過程：（1）外貿(mào)企業(yè)財務(wù)報告等經(jīng)濟信息的真實、完整；（2）外貿(mào)企業(yè)戰(zhàn)略和經(jīng)營活動的效率、效果；（3）外貿(mào)企業(yè)財務(wù)收支活動的合法、合規(guī)；（4）外貿(mào)企業(yè)各項資產(chǎn)的安全；（5）促進外貿(mào)企業(yè)實現(xiàn)其發(fā)展戰(zhàn)略。它們相互聯(lián)系、相互影響，共同構(gòu)成一個完整的外貿(mào)企業(yè)內(nèi)部控制的目標(biāo)體系。

（二）外貿(mào)企業(yè)內(nèi)部控制的要素。COSO（1992 & 2013）指出，企業(yè)內(nèi)部控制的要素包括內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通，以及監(jiān)控。我國《企業(yè)內(nèi)部控制基本規(guī)范》（2008）指出，企業(yè)內(nèi)部控制的要素包括內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督。以下筆者分別對其進行討論。

1.內(nèi)部環(huán)境。內(nèi)部環(huán)境設(shè)定了外貿(mào)企業(yè)實施內(nèi)部控制的基調(diào)，直接影響到企業(yè)治理層、管理層和其他員工對外貿(mào)企業(yè)內(nèi)部控制的功能定位。良好的內(nèi)部環(huán)境是內(nèi)部控制機制有效運行的基礎(chǔ)。外貿(mào)企業(yè)內(nèi)部環(huán)境包括治理結(jié)構(gòu)與權(quán)責(zé)分配、管理層的理念和經(jīng)營風(fēng)格、治理層對內(nèi)部控制的重視程度、對誠信和道德價值觀的溝通與落實、對專業(yè)勝任能力的強調(diào)以及企業(yè)人力資源政策與實務(wù)等。

2.風(fēng)險評估。風(fēng)險評估是指外貿(mào)企業(yè)選用定量和定性指標(biāo)，在風(fēng)險預(yù)警模型構(gòu)建和優(yōu)化基礎(chǔ)上，對外貿(mào)企業(yè)所面臨的戰(zhàn)略層面風(fēng)險、經(jīng)營環(huán)節(jié)風(fēng)險和財務(wù)風(fēng)險進行有效識別和科學(xué)評估，并及時外貿(mào)企業(yè)風(fēng)險的預(yù)警信息。即風(fēng)險評估過程的作用是識別、評估和管理影響外貿(mào)企業(yè)經(jīng)營目標(biāo)實現(xiàn)的各種不確定因素。

3.控制活動。控制活動是指外貿(mào)企業(yè)根據(jù)風(fēng)險評估結(jié)果，采取有針對性和靈活性的措施和方法，努力將外貿(mào)企業(yè)風(fēng)險降低至可接受的范圍之內(nèi)?？刂苹顒佑兄诤侠肀ＷC外貿(mào)企業(yè)治理層和管理層提出的風(fēng)險管控指令得到充分執(zhí)行，其內(nèi)容包括授權(quán)、職責(zé)分離、業(yè)績評價、信息處理和實物控制等。

4.信息與溝通。信息與溝通是外貿(mào)企業(yè)及時、準(zhǔn)確地收集、整理、加工、匯總和傳遞與企業(yè)內(nèi)部控制及風(fēng)險管理有關(guān)的信息，確保各種控制指令在企業(yè)內(nèi)外部之間進行有效傳播和溝通。其中與外貿(mào)企業(yè)財務(wù)報告等信息可靠、相關(guān)的信息系統(tǒng)通常包括以下職能：（1）識別與記錄所有的有效交易；（2）及時、詳細(xì)地描述交易；（3）恰當(dāng)?shù)赜嬃拷灰祝唬?）正確確定交易生成的會計期間；（5）在財務(wù)報表中恰當(dāng)?shù)亓袌蠼灰椎慕Y(jié)果等。

5.內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是對外貿(mào)企業(yè)內(nèi)部控制制度的建立與實施情況實施監(jiān)督檢查，評價內(nèi)部控制機制運行的有效性。外貿(mào)企業(yè)可以授權(quán)內(nèi)部審計機構(gòu)等職能部門對內(nèi)部控制的設(shè)計和執(zhí)行進行專門的評價，找出內(nèi)部控制機制運行的優(yōu)勢和缺陷，并提出補救建議。

三、基于內(nèi)部控制有效性視角的外貿(mào)企業(yè)風(fēng)險的控制對策

（一）優(yōu)化內(nèi)部環(huán)境。外貿(mào)企業(yè)內(nèi)部環(huán)境直接影響到內(nèi)部控制機制運行的有效性以及企業(yè)戰(zhàn)略目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)和財務(wù)管理目標(biāo)的實現(xiàn)程度。外貿(mào)企業(yè)風(fēng)險管理的核心環(huán)節(jié)包括風(fēng)險識別、風(fēng)險評估和風(fēng)險應(yīng)對。理想的風(fēng)險管理模式，需要外貿(mào)企業(yè)按照風(fēng)險發(fā)生的輕重緩急進行有效排序。例如，對于戰(zhàn)略層面的風(fēng)險，外貿(mào)企業(yè)治理層和管理層應(yīng)該高度關(guān)注，一旦決策失誤，其前景堪憂。對于經(jīng)營環(huán)節(jié)風(fēng)險和財務(wù)風(fēng)險，企業(yè)管理層應(yīng)該高度重視內(nèi)部環(huán)境的優(yōu)化，采取合理的措施和方法，及時找出關(guān)鍵風(fēng)險因素，按照風(fēng)險程度高低進行正確處理。筆者認(rèn)為，內(nèi)部環(huán)境屬于外貿(mào)企業(yè)內(nèi)部控制的核心要素，是內(nèi)部控制機制有效運行的關(guān)鍵影響因素。因此，外貿(mào)企業(yè)應(yīng)該采取必要的措施，不斷優(yōu)化內(nèi)部環(huán)境，其內(nèi)容包括治理結(jié)構(gòu)與權(quán)責(zé)分配、治理層對內(nèi)部環(huán)境的重視、管理層的理念和經(jīng)營風(fēng)格、對誠信和道德價值觀的溝通與落實、對專業(yè)勝任能力的強調(diào)、人力資源政策與實務(wù)等，并確保外貿(mào)企業(yè)內(nèi)部控制機制得到有效運行，進而合理控制其風(fēng)險。

（二）加強風(fēng)險評估。在日趨激烈的國內(nèi)外市場競爭環(huán)境下，我國外貿(mào)企業(yè)風(fēng)險不斷凸現(xiàn)，時刻威脅著外貿(mào)企業(yè)的安全。對于戰(zhàn)略層面風(fēng)險，應(yīng)該引起外貿(mào)企業(yè)治理層和管理層的共同關(guān)注。外貿(mào)企業(yè)可以采用PEST分析法、SWOT分析法和Porter五力分析法，對外貿(mào)企業(yè)的戰(zhàn)略及其潛在的風(fēng)險進行診斷與分析；對于經(jīng)營環(huán)節(jié)風(fēng)險，外貿(mào)企業(yè)各個職能部門可以采用定量指標(biāo)和定性指標(biāo)相結(jié)合的方法，通過構(gòu)建不同經(jīng)營環(huán)節(jié)的風(fēng)險預(yù)警模型，對其風(fēng)險進行評估和應(yīng)對；對于財務(wù)風(fēng)險，外貿(mào)企業(yè)可以采用財務(wù)指標(biāo)為主、非財務(wù)指標(biāo)為輔的評估模式，在指標(biāo)選取和指標(biāo)賦權(quán)基礎(chǔ)上，合理構(gòu)建企業(yè)財務(wù)風(fēng)險預(yù)警模型，對外貿(mào)企業(yè)財務(wù)風(fēng)險進行動態(tài)、精準(zhǔn)評估。筆者認(rèn)為，風(fēng)險評估是外貿(mào)企業(yè)內(nèi)部控制和風(fēng)險管理的核心環(huán)節(jié)，是外貿(mào)企業(yè)風(fēng)險有效應(yīng)對的關(guān)鍵。在條件允許情形下，外貿(mào)企業(yè)可以成立專門的風(fēng)險管控機構(gòu)，對外貿(mào)企業(yè)所面臨的各種風(fēng)險進行動態(tài)評估，及時提交高質(zhì)量的風(fēng)險預(yù)警報告，以最大可能減少外貿(mào)企業(yè)的損失。

（三）健全控制活動?？刂苹顒邮侵竿赓Q(mào)企業(yè)對其風(fēng)險進行正確識別和評估后，制定科學(xué)的風(fēng)險應(yīng)對政策、程序、機制和措施，對其風(fēng)險進行有效應(yīng)對，其最終目的在于將外貿(mào)企業(yè)風(fēng)險降低至可以接受的水平。例如，對于外貿(mào)企業(yè)的系統(tǒng)風(fēng)險，企業(yè)治理層和管理層應(yīng)該事前評估和科學(xué)應(yīng)對。對于系統(tǒng)風(fēng)險或市場風(fēng)險，必須承受的，堅決承受，不能承受的，可以選擇放棄，或者退出戰(zhàn)略；而對于外貿(mào)企業(yè)的非系統(tǒng)風(fēng)險或企業(yè)特有風(fēng)險，外貿(mào)企業(yè)管理層可以考慮事先設(shè)定一個合理的風(fēng)險承受水平，選擇風(fēng)險分擔(dān)或者風(fēng)險轉(zhuǎn)移策略。筆者認(rèn)為，控制活動屬于外貿(mào)企業(yè)風(fēng)險應(yīng)對的重要機制，其關(guān)鍵要素包括授權(quán)、職責(zé)分離、業(yè)績評價、信息處理、實物控制等。為了有效降低外貿(mào)企業(yè)風(fēng)險，企業(yè)可以考慮建立以下控制機制：（1）對于重大投資活動，應(yīng)該由企業(yè)治理層和管理層共同做出科學(xué)、民主的決策；對于企業(yè)的日常經(jīng)營活動，可以由企業(yè)管理層進行自主決策；（2）對于企業(yè)各項業(yè)務(wù)活動，外貿(mào)企業(yè)應(yīng)堅持責(zé)分離的原則，盡量避免出現(xiàn)失誤，甚至欺詐行為；（3）為了避免出現(xiàn)人才流失、業(yè)務(wù)流失等風(fēng)險，外貿(mào)企業(yè)可以建立科學(xué)的員工激勵機制。外貿(mào)企業(yè)可以適時構(gòu)建合理可行的業(yè)績評價體系，對外貿(mào)企業(yè)業(yè)務(wù)人員進行定期考核，做到賞罰分明，并努力留住人才；（4）對于外貿(mào)企業(yè)，尤其是外貿(mào)上市公司財務(wù)報表等信息披露，其管理層應(yīng)該承擔(dān)應(yīng)有的法律責(zé)任；（5）外貿(mào)企業(yè)應(yīng)該建立、健全實物資產(chǎn)的有限接觸制度，以確保外貿(mào)企業(yè)重要資產(chǎn)的安全、完整。

（四）強化信息與溝通。良好的信息與溝通機制是外貿(mào)企業(yè)內(nèi)部控制機制有效運行的重要條件。在外貿(mào)企業(yè)的風(fēng)險管理中，企業(yè)治理層、管理層和其他員工應(yīng)該精誠團結(jié)，共同肩負(fù)著各自的職責(zé)。為了有效識別、評估和應(yīng)對外貿(mào)企業(yè)風(fēng)險，企業(yè)應(yīng)該強化信息與溝通過程，做到企業(yè)各個層次的人員都能清晰地認(rèn)識到自己肩負(fù)的責(zé)任，包括對戰(zhàn)略層面目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)、財務(wù)管理目標(biāo)及其潛在的風(fēng)險進行有效識別，了解與認(rèn)識外貿(mào)企業(yè)內(nèi)部控制各個構(gòu)成要素及其相應(yīng)的功能，并能夠積極參與到企業(yè)內(nèi)部控制與風(fēng)險管理活動中。在企業(yè)風(fēng)險管理中，尤其需要外貿(mào)企業(yè)治理層、管理層和其他員工清晰地認(rèn)識與理解企業(yè)風(fēng)險控制活動的目的、機制、模式和方法，而如何強化外貿(mào)企業(yè)的信息與溝通能力，是實現(xiàn)企業(yè)風(fēng)險控制目標(biāo)的關(guān)鍵。

（五）完善內(nèi)部監(jiān)督。企業(yè)風(fēng)險管理是一個持續(xù)發(fā)展的動態(tài)過程，企業(yè)戰(zhàn)略層面目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)、財務(wù)管理目標(biāo)及其風(fēng)險都會隨著環(huán)境的變化而調(diào)整，這要求外貿(mào)企業(yè)的治理層和管理層及時監(jiān)控企業(yè)風(fēng)險管理的運行狀況。內(nèi)部監(jiān)督是內(nèi)部控制的必要環(huán)節(jié)，外貿(mào)企業(yè)應(yīng)設(shè)置獨立的機構(gòu)，配備專門人員，科學(xué)、有效地評估內(nèi)部控制機制的運行狀況，及時發(fā)現(xiàn)和報告內(nèi)部控制機制運行的重大缺陷，督促相關(guān)職能部門及時修補。外貿(mào)企業(yè)的內(nèi)部監(jiān)督包括主管部門的監(jiān)督、外部審計的監(jiān)督和內(nèi)部審計的監(jiān)督。其中內(nèi)部審計監(jiān)督在整個內(nèi)部控制系統(tǒng)中發(fā)揮著基石作用。內(nèi)部審計可以合理保證外貿(mào)企業(yè)遵循國家的政策與法規(guī)、財務(wù)報告的真實性、企業(yè)投資和經(jīng)營管理活動的效率效果性，以及企業(yè)戰(zhàn)略目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)和財務(wù)管理目標(biāo)的實現(xiàn)程度等。正因為如此，外貿(mào)企業(yè)應(yīng)當(dāng)不斷拓展和強化內(nèi)部審計職能，增強其獨立性，提升專業(yè)勝任能力，督促外貿(mào)企業(yè)優(yōu)化內(nèi)部控制的運行機制，以合理保證外貿(mào)企業(yè)的健康、高效發(fā)展。X

參考文獻：

[1]胡通海.試論外貿(mào)企業(yè)經(jīng)營風(fēng)險類型及內(nèi)部控制的建立[J].國際商務(wù)財會，2013，（10）.

[2]劉永澤，張亮.我國政府部門內(nèi)部控制框架體系的構(gòu)建研究[J].會計研究，2012，（1）.

[3]錢劍婉.外貿(mào)企業(yè)風(fēng)險控制與全面預(yù)算管理研究[J].國際商務(wù)財會，2010，（2）.

[4]宋夏云.芻議內(nèi)部控制的運作機制[J].審計與理財，2003，（9）.

[5]吳曉慶.我國企業(yè)外貿(mào)業(yè)務(wù)的財務(wù)風(fēng)險管理研究[D].鄭州大學(xué)碩士學(xué)位論文，2010.

[6]徐芳.外貿(mào)企業(yè)內(nèi)部控制與風(fēng)險管理――基于寧波地區(qū)的研究[D].寧波大學(xué)碩士學(xué)位論文，2009.

[7]徐珂.基于企業(yè)財務(wù)視角的外貿(mào)經(jīng)營風(fēng)險防范研究[D].東華大學(xué)碩士學(xué)位論文，2007.

[8]袁玉霞，張璐，王霞.外貿(mào)企業(yè)風(fēng)險管理與控制[J].國際商務(wù)財會，2010，（10）.

[9]朱威.我國外貿(mào)企業(yè)財務(wù)風(fēng)險管理研究[D].中南大學(xué)碩士學(xué)位論文，2005.

安全風(fēng)險評估論文范文第5篇

論文關(guān)健詞：應(yīng)用流分析；風(fēng)險評估；流量分組

論文摘要：針對網(wǎng)絡(luò)中的各種應(yīng)用服務(wù)的識別檢測，采用應(yīng)用層協(xié)議簽名的流量識別技術(shù)和流量分組技術(shù)，實現(xiàn)網(wǎng)絡(luò)應(yīng)用流的分析和風(fēng)險評估系統(tǒng)——RAS，提出基于流量分組技術(shù)的應(yīng)用流風(fēng)險評估模型。該系統(tǒng)為網(wǎng)絡(luò)資源分配和網(wǎng)絡(luò)安全的預(yù)測提供有價值的依據(jù)。實驗結(jié)果表明，TARAS系統(tǒng)具有良好的流量分析效率和風(fēng)險評估準(zhǔn)確性。

1概述

基于互聯(lián)網(wǎng)的新技術(shù)、新應(yīng)用模式及需求，為網(wǎng)絡(luò)的管理帶來了挑戰(zhàn):(1)關(guān)鍵應(yīng)用得不到保障，OA， ERP等關(guān)鍵業(yè)務(wù)與BT，QQ等爭奪有限的廣域網(wǎng)資源;(2)網(wǎng)絡(luò)中存在大量不安全因素，據(jù)CNCERT/CC獲得的數(shù)據(jù)表明，2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統(tǒng)流量分析方法已無法有效地應(yīng)對新的網(wǎng)絡(luò)技術(shù)、動態(tài)端口和多會話等應(yīng)用，使得傳統(tǒng)的基于端口的流量監(jiān)控方法失去了作用。

如何有效地掌握網(wǎng)絡(luò)運行狀態(tài)、合理分配網(wǎng)絡(luò)資源，成為網(wǎng)絡(luò)管理者們的當(dāng)務(wù)之急。針對以上需求，作者設(shè)計并實現(xiàn)了一套網(wǎng)絡(luò)應(yīng)用流分析與風(fēng)險評估系統(tǒng)(Traffic Analysis and Risk Assessment System， TARAS)。

當(dāng)前，網(wǎng)絡(luò)流量異常監(jiān)測主要基于TCP/IP協(xié)議。文獻[5]提出使用基于協(xié)議簽名的方法識別應(yīng)用層協(xié)議。本系統(tǒng)采用了應(yīng)用層協(xié)議簽名的流量分析技術(shù)，這是目前應(yīng)用流分析最新技術(shù)。然而，簡單的流量分析并不能確定網(wǎng)絡(luò)運行狀態(tài)是否安全。因此，在流量分析的基礎(chǔ)上，本文提出了應(yīng)用流風(fēng)險評估模型。該模型使用流量分組技術(shù)從定量和定性兩方面對應(yīng)用流進行風(fēng)險評估，使網(wǎng)絡(luò)運行狀態(tài)安全與杏這個不確定性問題得到定性評估，這是當(dāng)前網(wǎng)絡(luò)管理領(lǐng)域需要的。

2流量分析模型

目前應(yīng)用流識別技術(shù)有很多，本文提出的流量識別方法是對Subhabrata Sen提出的應(yīng)用協(xié)議特征方法的改進。針對種類繁多的應(yīng)用層協(xié)議采用了兩級匹配結(jié)構(gòu)，提高效率。

應(yīng)用識別模塊在Linux環(huán)境下使用Libpcap開發(fā)庫，通過旁路監(jiān)聽的方式實現(xiàn)。在設(shè)計的時候考慮到數(shù)據(jù)報文處理的效率，采用了類似于Linux下的NetFilter框架的設(shè)計方法，結(jié)構(gòu)見圖1。

采取上述流量識別框架的優(yōu)點:(1)在對TCP報文頭的查找中使用了哈希散列算法，提高了效率;(2)借鑒狀態(tài)防火墻的技術(shù)，使用面向流(flow)的識別技術(shù)，對每個TCP連接的只分析識別前10個報文，對于該連接后續(xù)的數(shù)據(jù)報文則直接查找哈希表進行分類，這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設(shè)計使得可擴展性較好。

在匹配模塊設(shè)計過程中，筆者發(fā)現(xiàn)如果所有的協(xié)議都按照基于協(xié)議特征的方式匹配，那么隨著協(xié)議數(shù)量的增大，效率又會成為一個需要解決的問題。

因此，在設(shè)計應(yīng)用流識別模塊時，筆者首先考慮到傳輸層端口與網(wǎng)絡(luò)應(yīng)用流之間的聯(lián)系，雖然兩者之間沒有絕對固定的對應(yīng)關(guān)系，但是它們之間存在著制約，比如:QQ協(xié)議的服務(wù)器端口基本不會出現(xiàn)在80， 8000， 4000以外的端口;HTTP協(xié)議基本不會出現(xiàn)在80， 443， 8080以外的端口等，因此，本文在流量分析過程中首先將一部分固定端口的協(xié)議使用端口散列判斷進行預(yù)分類，提高匹配效率。

對于端口不固定的應(yīng)用流識別，采用兩級的結(jié)構(gòu)。將最近經(jīng)常檢測到的業(yè)務(wù)流量放在常用流量識別子模塊里面，這樣可以提高查找的速度。另外，不同的網(wǎng)絡(luò)環(huán)境所常用的網(wǎng)絡(luò)應(yīng)用流也不同，因此，也沒有必要在協(xié)議特征庫中大范圍查找。兩級查詢匹配保證了模型對網(wǎng)絡(luò)環(huán)境的自適應(yīng)性，它能夠隨著網(wǎng)絡(luò)環(huán)境的改變以及網(wǎng)絡(luò)應(yīng)用的變化而改變自己的查詢策略，但不降低匹配效率。應(yīng)用流識別子模塊的設(shè)計具體結(jié)構(gòu)見圖2。

3風(fēng)險評估模型

本文采用基于流量分組技術(shù)的風(fēng)險評估方法。流量分組的目的是為流量的安全評估提供數(shù)據(jù)。

3.1應(yīng)用流的分組

網(wǎng)絡(luò)應(yīng)用種類多、變化頻度高，這給應(yīng)用流的評估帶來了麻煩，如果要綜合考慮每一種應(yīng)用流對網(wǎng)絡(luò)帶來的影響，顯然工作量是難以完成的。因此，本文引入應(yīng)用流分組的概念。應(yīng)用流分組的目的是從網(wǎng)絡(luò)環(huán)境和安全角度的考慮，將識別后的流量進行歸類分組。筆者在長期實驗過程中，根據(jù)應(yīng)用的重要性、對網(wǎng)絡(luò)的占用率、對網(wǎng)絡(luò)的威脅性等因素得到一個較為合理的分組規(guī)則，即將網(wǎng)絡(luò)流量分為:關(guān)鍵業(yè)務(wù)，傳統(tǒng)流量，P2P及流媒體，攻擊流，其他5類。應(yīng)用流分組確定了流量評估的維度，這樣有利于提高評估的效率。表1列舉了部分應(yīng)用流的分組。

應(yīng)用流分組模塊有2個功能。首先是將檢測到的各種應(yīng)用流量按照表1中的分組歸類，并計算各分組應(yīng)用流量的大小、連接數(shù)目、通信主機數(shù)目3個方面的信息，并以一定的時間周期向流量安全評估模塊傳送數(shù)據(jù)。另外一個是在安全事件出現(xiàn)時，向安全響應(yīng)模塊提供異常應(yīng)用流名稱和其他相關(guān)信息。應(yīng)用流分組模塊的輸入是各應(yīng)用流的流量大小，而輸出有2個:

(1)整個網(wǎng)絡(luò)的流量分布矩陣。

(2)異常主機流量分組中的成份。

筆者引入流量矩陣的概念。流量矩陣A的數(shù)學(xué)定義為

其中，aij表示第i臺主機的第j組流量的大小，aij的單位為實際流量的單位大小。流量矩陣反映了網(wǎng)絡(luò)中信息流動的整體情況。

由于TCP/IP協(xié)議的廣泛應(yīng)用，網(wǎng)絡(luò)流量中的絕大部分使用基于TCP的傳輸層協(xié)議，因此傳輸層的網(wǎng)絡(luò)連接數(shù)也在一定程度上反映了網(wǎng)絡(luò)流量的情況。定義網(wǎng)絡(luò)連接數(shù)矩陣為

其中，Lij表示第i臺主機第J組應(yīng)用流的網(wǎng)絡(luò)連接數(shù)。

在網(wǎng)絡(luò)通信過程中，每個流量分組的通信主機數(shù)量具有參考價值，在此引入通信主機數(shù)量矩陣，數(shù)學(xué)描述為

其中，hij為表示某一分組流量的通信主機數(shù)目。

另外，流量分組模塊在接收到安全響應(yīng)模塊的請求時，會向其發(fā)送該異常網(wǎng)絡(luò)節(jié)點的應(yīng)用流類別信息。

信息內(nèi)容為:主機IP地址，主機應(yīng)用流分組名，應(yīng)用流名稱列表。

3.2應(yīng)用流的風(fēng)險評估

網(wǎng)絡(luò)流量的特征是網(wǎng)絡(luò)安全性的重要表現(xiàn)。本節(jié)主要描述網(wǎng)絡(luò)用戶流量的安全評估過程和機制。流量的安全評估實際上是網(wǎng)絡(luò)風(fēng)險評估過程的一部分。風(fēng)險評估的方法有定量評估、定性評估和定性與定量結(jié)合的評估方法。在此本文借鑒風(fēng)險評估定性與定量結(jié)合的方法設(shè)計流量的安全評估子模型。

本節(jié)首先確定該模型的評估的對象、指標(biāo)和目標(biāo)，評估的具體方法如下:

(1)流量安全評估的對象是每個網(wǎng)絡(luò)節(jié)點的應(yīng)用流分組。

(2)評估對象的定量指標(biāo)分別是網(wǎng)絡(luò)流量大小、網(wǎng)絡(luò)連接數(shù)和網(wǎng)絡(luò)通信主機數(shù)。

(3)評價的目標(biāo)是確定各應(yīng)用流的安全性。

(4)評估方法是以先定量后定性的方法為原則，具體方法如下:

1)制定各分組流量的安全評估規(guī)則，為量化評估提供依據(jù)。

2)參照安全評估規(guī)則，根據(jù)3個量化指標(biāo)評價網(wǎng)絡(luò)用戶流量的安全性，并得到安全評分。

3)根據(jù)安全性評價集，將量化后的安全評分指標(biāo)定性化。另外，對于攻擊流進行特別評估，并且當(dāng)出現(xiàn)攻擊流時，攻擊流安全等級代表主機安全等級。

安全評估子模型的結(jié)構(gòu)如圖3所示。

3.2.1各分組流量的安全定量評價

對于不同分組的通信行為和流量特點，本模塊采用分指標(biāo)量化評估的方法進行安全評估。表2中各指標(biāo)的安全性劃分是根據(jù)實驗得出的結(jié)論。

對于各流量安全評估節(jié)點，A各節(jié)點應(yīng)用分組流量的集合;L為網(wǎng)絡(luò)連接的集合;H是各節(jié)點通信主機數(shù)集合;Sij是各節(jié)點量化評估的結(jié)果集合。定義安全評估函數(shù)F(A，L，H)=Sij(1≤ i ≤ n， 1≤ j ≤ 5)，用于表示目標(biāo)節(jié)點流量安全評估的量化結(jié)果，從而實現(xiàn)對目標(biāo)安全狀況的定量分析。

將該評價方法設(shè)為F則該過程可用數(shù)學(xué)描述如下:

其中，Sij為各網(wǎng)絡(luò)節(jié)點中應(yīng)用流分組的安全評分。

3.2.2流量安全定性評價

量化后的安全評分對與安全程度的描述仍然有很大的不確定性，因此，需要將安全評分定性化以確定其所在的安全級別。每個安全級別確定安全分?jǐn)?shù)以及對于攻擊流的安全等級劃分如表3—表5所示。

以上5個安全等級對于流量的安全性的區(qū)分如下:

(1)安全狀態(tài)表明該分組流量屬于正常情況;

(2)可疑狀態(tài)表明該分組流量中有可疑成分或流量大小超過正常情況;

(3)威脅狀態(tài)表明該類流量威脅到網(wǎng)絡(luò)的正常運行和使用;

(4)危險狀態(tài)主要指該分組流量危害網(wǎng)絡(luò)的正常運行;

(5)高危狀態(tài)表明該類分組的流量成分已嚴(yán)重危害網(wǎng)絡(luò)正常運行。

量化安全評分經(jīng)過定性劃分后可以得到一個定性的流量安全評估矩陣Th，將該過程用運算h表示為

其中，Tij為第i臺主機第j組應(yīng)用流的安全等級。

4實驗結(jié)果

4.1應(yīng)用流的識別率

由于TARAS系統(tǒng)能夠識別多種應(yīng)用流量，因此識別算法的準(zhǔn)確性是一個重要的指標(biāo)。網(wǎng)絡(luò)環(huán)境重的各種因素以及網(wǎng)絡(luò)應(yīng)用協(xié)議特征不斷變化等原因，TARAS系統(tǒng)對應(yīng)用流的識別存在漏報和誤報的間題。應(yīng)用流的識別率見表6。由表6的統(tǒng)計數(shù)據(jù)可以看到，TARAS對各種協(xié)議的識別存在漏報和誤報的情況。具體來看，eMule應(yīng)用由于大量使用UDP傳輸數(shù)據(jù)，因此識別率不高。另外，http協(xié)議通常使用傳輸層80端口，但這個端口也被QQ和MSN 2個聊天軟件使用，除此之外一些木馬后門程序為了防止防火墻的封殺也往往使用該端口，因此，在識別過程中http協(xié)議會產(chǎn)生誤報，即將非http協(xié)議數(shù)據(jù)也當(dāng)作http協(xié)議計算。

4.2應(yīng)用流的風(fēng)險評估

為了測試TARAS系統(tǒng)風(fēng)險評估的準(zhǔn)確性，筆者在擁有8臺主機的局域網(wǎng)中做相關(guān)測試，并以其中3臺(主機17、主機77和主機177)進行實驗。局域網(wǎng)內(nèi)8臺主機各應(yīng)用分組流量狀況如表7所示。關(guān)鍵業(yè)務(wù)和其他應(yīng)用的分組流量為0。

主機17使用傳統(tǒng)應(yīng)用FTP執(zhí)行下載任務(wù)，其他流量分組中無或只有極少流量，從表7可以看出，該主機的傳統(tǒng)應(yīng)用分組流量達(dá)到2 Mb/s，此時傳統(tǒng)應(yīng)用流量分組應(yīng)該達(dá)到威脅級別，而其他分組應(yīng)該都是安全級別，主機的總體評價為安全。主機77不斷受到Nimda蠕蟲病毒的攻擊，從表7可以發(fā)現(xiàn)，該主機高危分組的流量為2 048 kb/s，此時該分組應(yīng)該達(dá)到高危級別，而其他分組由于流量為0因此為安全，主機的總體評價為高危。主機177使用BT進行下載，并使其流量達(dá)到1 536 kb/s，根據(jù)風(fēng)險評估策略，該主機的P2P及流媒體分組應(yīng)該達(dá)到威脅級別，其他分組應(yīng)該都是安全級別，主機的總體評價為安全。表8為TETRAS系統(tǒng)對表7所示流量狀況進行評估所得的風(fēng)險評估結(jié)果。

對比表7和表8可以發(fā)現(xiàn)，TARAS系統(tǒng)能夠正確地對網(wǎng)絡(luò)中各主機流量狀況進行風(fēng)險評估。同時該實驗結(jié)果也證實:雖然TARAS系統(tǒng)對于應(yīng)用流的識別存在一定誤差，但是該誤差沒有嚴(yán)重影響網(wǎng)絡(luò)運行狀況和風(fēng)險級別安全，誤差在可接受范圍內(nèi)。

5結(jié)束語

本文針對當(dāng)前網(wǎng)絡(luò)管理面臨的問題，將應(yīng)用流成份分析和風(fēng)險評估引入到網(wǎng)絡(luò)流量分析和評估領(lǐng)域中，設(shè)計并實現(xiàn)了應(yīng)用流分析和評估系統(tǒng)——TARAS。該系統(tǒng)主要解決網(wǎng)絡(luò)流量管理中的2個問題: