前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全風(fēng)險(xiǎn)評(píng)估論文范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全風(fēng)險(xiǎn)評(píng)估論文范文第1篇

1.1信息安全風(fēng)險(xiǎn)評(píng)估的含義

信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度出發(fā)，構(gòu)建風(fēng)險(xiǎn)評(píng)估模型，建立風(fēng)險(xiǎn)評(píng)估體系，運(yùn)用風(fēng)險(xiǎn)評(píng)估方法，系統(tǒng)地分析信息系統(tǒng)所面臨的風(fēng)險(xiǎn)威脅及系統(tǒng)的脆弱性/漏洞，評(píng)估風(fēng)險(xiǎn)發(fā)生帶來的危害程度，提出應(yīng)對(duì)風(fēng)險(xiǎn)的安全控制措施，規(guī)避和控制信息安全風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)發(fā)生的概率，將風(fēng)險(xiǎn)控制在可承受的范圍，為信息安全風(fēng)險(xiǎn)評(píng)估提供科學(xué)依據(jù)。

1.2信息安全風(fēng)險(xiǎn)評(píng)估的方法

隨著信息安全風(fēng)險(xiǎn)評(píng)估研究工作的不斷深入，形成了多種不同的信息安全風(fēng)險(xiǎn)評(píng)估方法，這些方法的出現(xiàn)大大縮短了信息安全風(fēng)險(xiǎn)評(píng)估的時(shí)間，節(jié)省了大量的資源，提高了信息安全風(fēng)險(xiǎn)評(píng)估的效率和準(zhǔn)確性，為防范信息安全中出現(xiàn)的風(fēng)險(xiǎn)提供了理論依據(jù)[3]。目前，常用的信息安全風(fēng)險(xiǎn)評(píng)估的方法有定量評(píng)估方法、定性評(píng)估方法和定性與定量相結(jié)合的綜合評(píng)估方法。其中，定量評(píng)估方法是根據(jù)信息系統(tǒng)中風(fēng)險(xiǎn)相關(guān)數(shù)據(jù)，利用具體的評(píng)估算法計(jì)算出評(píng)估結(jié)果，并對(duì)結(jié)果進(jìn)行分析，它能夠直觀地反應(yīng)評(píng)估結(jié)果，更容易被人們接受。但是該方法主要依賴于數(shù)學(xué)模型來描述風(fēng)險(xiǎn)，在量化的過程中將原本復(fù)雜的事物理想化，一般適用于風(fēng)險(xiǎn)評(píng)估材料齊全且數(shù)學(xué)理論基礎(chǔ)較好的情況，常見的定量評(píng)估方法有Markov分析法、聚類分析方法、決策樹分析方法、風(fēng)險(xiǎn)審計(jì)技術(shù)等。定性評(píng)估方法是評(píng)估者利用自己擁有的專業(yè)知識(shí)和積累的經(jīng)驗(yàn)對(duì)信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)價(jià)，并提出應(yīng)對(duì)風(fēng)險(xiǎn)的安全控制措施。它對(duì)評(píng)估者知識(shí)和經(jīng)驗(yàn)的要求較高，一般適用于風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)不全或者數(shù)學(xué)理論基礎(chǔ)較為薄弱的情況，常見的定性評(píng)估方法有故障樹分析法（FTA）、故障模式影響及危害性分析方法（RMECA）、德爾菲法（Delphi）等。在風(fēng)險(xiǎn)評(píng)估的實(shí)際過程中，采用較多的是定性與定量相結(jié)合的綜合風(fēng)險(xiǎn)評(píng)估方法，該方法可以將復(fù)雜問題按照層次化結(jié)構(gòu)分解成多個(gè)簡單的問題進(jìn)行分析，大大節(jié)省了評(píng)估時(shí)間、人力和費(fèi)用，提高了風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和效率，常見的定性與定量相結(jié)合的綜合評(píng)估方法有層次分析法。

1.3信息安全風(fēng)險(xiǎn)評(píng)估的模型

[4]信息安全風(fēng)險(xiǎn)評(píng)估模型是信息安全風(fēng)險(xiǎn)評(píng)估的理論基礎(chǔ)，是提高信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性和效率的重要前提。信息安全風(fēng)險(xiǎn)評(píng)估模型如圖1所示，造成信息安全風(fēng)險(xiǎn)的主要因素有威脅、信息資產(chǎn)、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風(fēng)險(xiǎn)，信息系統(tǒng)的威脅越大、脆弱性越暴露、漏洞越多、信息資產(chǎn)的價(jià)值越大、未被控制的風(fēng)險(xiǎn)越多，則信息系統(tǒng)面臨的風(fēng)險(xiǎn)也越多，風(fēng)險(xiǎn)越多，信息系統(tǒng)的安全性越低。業(yè)務(wù)系統(tǒng)主要依賴于服務(wù)器和軟件等信息資產(chǎn)，業(yè)務(wù)系統(tǒng)越關(guān)鍵，對(duì)服務(wù)器等硬件和軟件資源的要求就越高，被攻擊的價(jià)值也就越大，面臨的風(fēng)險(xiǎn)也就越大。資產(chǎn)的價(jià)值和防范風(fēng)險(xiǎn)的意識(shí)會(huì)導(dǎo)出信息系統(tǒng)的安全需求。當(dāng)信息系統(tǒng)的安全需求被相應(yīng)的安全控制措施滿足時(shí)，就會(huì)降低發(fā)生風(fēng)險(xiǎn)的概率。然而有些風(fēng)險(xiǎn)由于成本過高、控制難度較大，往往不進(jìn)行控制，這部分不被控制的風(fēng)險(xiǎn)具有潛在的威脅，應(yīng)該受到密切監(jiān)視，它可能會(huì)增加信息系統(tǒng)的風(fēng)險(xiǎn)。

2高校信息安全面臨的風(fēng)險(xiǎn)及應(yīng)對(duì)策略分析

隨著高校數(shù)字化校園建設(shè)和信息化建設(shè)的不斷推進(jìn)，高校業(yè)務(wù)處理對(duì)信息系統(tǒng)的依賴性越來越強(qiáng)。由于部分高校缺乏危機(jī)意識(shí)、防范風(fēng)險(xiǎn)的制度和措施，沒有一套完善的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估體系預(yù)防風(fēng)險(xiǎn)，當(dāng)遇到信息安全的突發(fā)事件時(shí)，只能被動(dòng)地采用“救火式”的方法處理風(fēng)險(xiǎn)危機(jī)，使得信息系統(tǒng)面臨的風(fēng)險(xiǎn)不斷增加。為了及時(shí)應(yīng)對(duì)信息系統(tǒng)面臨的各種風(fēng)險(xiǎn)威脅，各個(gè)部門、各個(gè)環(huán)節(jié)應(yīng)密切配合、協(xié)調(diào)，對(duì)高校信息安全面臨的各種風(fēng)險(xiǎn)及應(yīng)對(duì)策略應(yīng)進(jìn)行調(diào)研分析，建立信息安全的風(fēng)險(xiǎn)評(píng)估體系，實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估的規(guī)范化和制度化，逐步形成監(jiān)控風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的有效機(jī)制[5]。

2.1高校信息安全面臨的風(fēng)險(xiǎn)分析

高校信息安全面臨的風(fēng)險(xiǎn)一般可以分為技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)和非技術(shù)性風(fēng)險(xiǎn)[6]。

2.1.1技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)

高校信息系統(tǒng)面臨的技術(shù)性/漏洞風(fēng)險(xiǎn)主要包括數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)、系統(tǒng)權(quán)限設(shè)置風(fēng)險(xiǎn)、軟件編碼風(fēng)險(xiǎn)、硬件設(shè)備風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等。其中數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)存儲(chǔ)空間不足、數(shù)據(jù)備份策略不健全、數(shù)據(jù)庫安全性低容易導(dǎo)致SQL注入篡改數(shù)據(jù)庫中的數(shù)據(jù)、數(shù)據(jù)不被加密在傳輸過程中容易被篡改或刪除、數(shù)據(jù)庫結(jié)構(gòu)不合理等方面；系統(tǒng)設(shè)置權(quán)限風(fēng)險(xiǎn)主要體現(xiàn)在訪問控制策略失效、系統(tǒng)訪問權(quán)限過大、客戶身份認(rèn)證失敗等；軟件編碼風(fēng)險(xiǎn)主要體現(xiàn)在操作失誤、系統(tǒng)漏洞、系統(tǒng)接口不安全、代碼健壯性差、系統(tǒng)運(yùn)行環(huán)境改變等；硬件設(shè)備風(fēng)險(xiǎn)主要體現(xiàn)在服務(wù)器配置過低、物理設(shè)備損壞、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)硬件防護(hù)設(shè)備不齊全等；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要體現(xiàn)在網(wǎng)絡(luò)惡意攻擊使網(wǎng)絡(luò)癱瘓、服務(wù)劫持、拒絕服務(wù)、利用端口漏洞破壞系統(tǒng)、內(nèi)外網(wǎng)設(shè)置缺陷、網(wǎng)站掛馬、非法訪問系統(tǒng)、竊取和篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等。

2.1.2非技術(shù)性風(fēng)險(xiǎn)

高校信息系統(tǒng)面臨的非技術(shù)性風(fēng)險(xiǎn)主要包括人為疏忽行為、管理不到位、技術(shù)失效、蓄意行為和不可抗拒風(fēng)險(xiǎn)等。其中人為疏忽行為主要體現(xiàn)在由于人為過失或非法操作導(dǎo)致服務(wù)器硬件損壞，系統(tǒng)和數(shù)據(jù)無法恢復(fù)等；管理不到位主要體現(xiàn)在沒有安裝殺毒軟件、沒有做系統(tǒng)備份策略和系統(tǒng)安全防護(hù)策略等；技術(shù)失效主要體現(xiàn)在硬件壽命設(shè)計(jì)缺陷、軟件服務(wù)到期、軟件后門等；蓄意行為主要體現(xiàn)在惡意軟件、系統(tǒng)設(shè)備帶木馬程序、蓄意泄漏機(jī)密文件、黑客與信息敲詐等；不可抗拒風(fēng)險(xiǎn)主要體現(xiàn)為地震、雷擊等自然災(zāi)害造成的風(fēng)險(xiǎn)。

2.2高校信息安全面臨的風(fēng)險(xiǎn)應(yīng)對(duì)策略分析

在對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，可以根據(jù)風(fēng)險(xiǎn)評(píng)估等級(jí)、風(fēng)險(xiǎn)發(fā)生概率大小、風(fēng)險(xiǎn)影響大小、控制風(fēng)險(xiǎn)的難易程度和風(fēng)險(xiǎn)管理的成本，給出處理與應(yīng)對(duì)風(fēng)險(xiǎn)的相應(yīng)策略，供高校決策部門和相關(guān)技術(shù)部門參考，來降低風(fēng)險(xiǎn)對(duì)信息系統(tǒng)的影響。高校應(yīng)對(duì)信息安全面臨風(fēng)險(xiǎn)的應(yīng)對(duì)策略主要有風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)嫁、風(fēng)險(xiǎn)預(yù)防、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)承受和風(fēng)險(xiǎn)追蹤等。其中風(fēng)險(xiǎn)規(guī)避是高校在風(fēng)險(xiǎn)發(fā)生之前，采取相關(guān)技術(shù)措施消除風(fēng)險(xiǎn)因素，避免風(fēng)險(xiǎn)發(fā)生；風(fēng)險(xiǎn)轉(zhuǎn)嫁是高校不能完全避免風(fēng)險(xiǎn)發(fā)生時(shí)，為了降低風(fēng)險(xiǎn)造成的損失，將風(fēng)險(xiǎn)轉(zhuǎn)嫁給其他組織或個(gè)人承擔(dān)，并支付風(fēng)險(xiǎn)承擔(dān)者一定費(fèi)用；風(fēng)險(xiǎn)預(yù)防是高校在風(fēng)險(xiǎn)發(fā)生之前密切監(jiān)視風(fēng)險(xiǎn)的動(dòng)態(tài)，采取相應(yīng)風(fēng)險(xiǎn)防范措施，以降低風(fēng)險(xiǎn)發(fā)生的概率；風(fēng)險(xiǎn)控制是高校在風(fēng)險(xiǎn)發(fā)生時(shí)采取各種技術(shù)手段降低風(fēng)險(xiǎn)影響后果，縮小風(fēng)險(xiǎn)影響范圍等；風(fēng)險(xiǎn)承受是高校在綜合考慮控制風(fēng)險(xiǎn)難度、控制風(fēng)險(xiǎn)花費(fèi)、風(fēng)險(xiǎn)發(fā)生概率和高校風(fēng)險(xiǎn)承受能力等情況下，選擇自行承擔(dān)風(fēng)險(xiǎn)的方式；風(fēng)險(xiǎn)追蹤是高校在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)，對(duì)風(fēng)險(xiǎn)的來源及發(fā)起者進(jìn)行跟蹤，查到根源后追究其相應(yīng)責(zé)任，客觀上可以降低風(fēng)險(xiǎn)發(fā)生的頻率。

3高校信息安全的風(fēng)險(xiǎn)評(píng)估過程

[7]高校信息安全風(fēng)險(xiǎn)評(píng)估過程包括風(fēng)險(xiǎn)評(píng)估目標(biāo)確定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)控制策略選擇和風(fēng)險(xiǎn)評(píng)估效果分析幾個(gè)環(huán)節(jié)，這些環(huán)節(jié)是相輔相成，缺一不可的。

3.1風(fēng)險(xiǎn)評(píng)估目標(biāo)確定

風(fēng)險(xiǎn)評(píng)估目標(biāo)是高校開展信息安全風(fēng)險(xiǎn)評(píng)估的首要步驟。高校在對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)當(dāng)制定準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估目標(biāo)。風(fēng)險(xiǎn)評(píng)估目標(biāo)主要包括風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)因素標(biāo)準(zhǔn)、風(fēng)險(xiǎn)控制目標(biāo)、風(fēng)險(xiǎn)控制費(fèi)用標(biāo)準(zhǔn)、風(fēng)險(xiǎn)防范措施制定、風(fēng)險(xiǎn)評(píng)估效果評(píng)價(jià)、風(fēng)險(xiǎn)發(fā)生后果影響等。

3.2風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是高校信息安全風(fēng)險(xiǎn)評(píng)估過程中最重要也最難的環(huán)節(jié)。風(fēng)險(xiǎn)識(shí)別直接關(guān)系到風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果及風(fēng)險(xiǎn)等級(jí)的確定，關(guān)系到風(fēng)險(xiǎn)控制策略的選擇，如果不能正確識(shí)別風(fēng)險(xiǎn)，就不能采取正確的風(fēng)險(xiǎn)控制策略去規(guī)避和控制風(fēng)險(xiǎn)，會(huì)大大增加風(fēng)險(xiǎn)發(fā)生的可能性。3.3風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)是高校信息安全風(fēng)險(xiǎn)評(píng)估過程中的主要環(huán)節(jié)。它主要包括對(duì)風(fēng)險(xiǎn)成因、發(fā)生概率、影響范圍、威脅程度、損失大小等因素進(jìn)行定性和定量分析，通過特定的風(fēng)險(xiǎn)評(píng)估方法進(jìn)行測算分析，確定風(fēng)險(xiǎn)的等級(jí)及危害程度。

3.險(xiǎn)控制策略選擇

高校在綜合考慮風(fēng)險(xiǎn)承受能力、風(fēng)險(xiǎn)控制費(fèi)用、風(fēng)險(xiǎn)危害程度、風(fēng)險(xiǎn)發(fā)生概率和風(fēng)險(xiǎn)評(píng)估目標(biāo)等因素的基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，選取相應(yīng)的風(fēng)險(xiǎn)控制策略，來降低風(fēng)險(xiǎn)發(fā)生的概率及帶來的危害。

3.5風(fēng)險(xiǎn)評(píng)估效果分析

風(fēng)險(xiǎn)評(píng)估效果分析是高校結(jié)合自身的實(shí)際情況對(duì)風(fēng)險(xiǎn)評(píng)估等級(jí)的判斷是否準(zhǔn)確、風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確性、風(fēng)險(xiǎn)評(píng)估目標(biāo)是否達(dá)標(biāo)、風(fēng)險(xiǎn)控制策略是否得當(dāng)、風(fēng)險(xiǎn)評(píng)估過程的科學(xué)性、風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)和算法的合理性進(jìn)行綜合分析的過程。它對(duì)高校提高信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和科學(xué)性有一定的指導(dǎo)作用。

4結(jié)語

安全風(fēng)險(xiǎn)評(píng)估論文范文第2篇

關(guān)鍵詞：網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)評(píng)估 方法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）11-0210-01

1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)概述

1.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)最大的特點(diǎn)便是自身的靈活性高、便利性強(qiáng)，其能夠?yàn)閺V大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能，網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看，無線網(wǎng)絡(luò)安全主要是保證使用者進(jìn)行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性，其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題，由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲(chǔ)和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性，其在安全方面面臨著較大的風(fēng)險(xiǎn)，如何對(duì)這些風(fēng)險(xiǎn)進(jìn)行預(yù)防直接關(guān)乎著使用者的切身利益。想要對(duì)無線網(wǎng)絡(luò)安全進(jìn)行全面正確的評(píng)估，單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求，因此，本文更推薦將層次分析法和逼近思想法進(jìn)行雙重結(jié)合，進(jìn)一步對(duì)一些不確定因素進(jìn)行全面的評(píng)估，確保分析到每一個(gè)定量和變量，進(jìn)一步計(jì)算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)值。而對(duì)于有線網(wǎng)絡(luò)，影響其安全風(fēng)險(xiǎn)的因素相對(duì)較少，但是依然要對(duì)其進(jìn)行全面分析，盡最大可能得到最準(zhǔn)確的數(shù)值。

1.2 網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天，如何對(duì)網(wǎng)絡(luò)進(jìn)行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個(gè)方面均有著不同的要求，而借助這些各方面各個(gè)層次的安全目標(biāo)最終匯集成為一個(gè)總的目標(biāo)方案，而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評(píng)估的工作效率，盡最大可能減少每個(gè)環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從而保證網(wǎng)絡(luò)的合理安全運(yùn)行。

1.3 風(fēng)險(xiǎn)評(píng)估指標(biāo)

在本論文的分析過程之中，主要對(duì)風(fēng)險(xiǎn)評(píng)估劃分了三個(gè)系統(tǒng)化的指標(biāo)，即網(wǎng)絡(luò)層指標(biāo)體系、網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)指標(biāo)體系以及物理安全風(fēng)險(xiǎn)指標(biāo)體系，在各個(gè)指標(biāo)體系之中，又分別包含了若干個(gè)指標(biāo)要素，最終形成了一個(gè)完整的風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，進(jìn)而避免了資源的不必要浪費(fèi)，最終達(dá)到網(wǎng)絡(luò)安全的評(píng)估標(biāo)準(zhǔn)。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法

如何對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進(jìn)行了全面的分析，結(jié)合網(wǎng)絡(luò)動(dòng)態(tài)風(fēng)險(xiǎn)的特點(diǎn)以及難點(diǎn)問題，最終在確定風(fēng)險(xiǎn)指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法，最終能夠保證網(wǎng)絡(luò)信息安全。

2.1 網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

作為網(wǎng)絡(luò)安全第一個(gè)環(huán)節(jié)也是最為重要的一個(gè)環(huán)節(jié)，網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的成敗。對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行分析，不單單要涉及指標(biāo)性因素，還有將許多不穩(wěn)定的因素考慮在內(nèi)，全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進(jìn)行分析的過程之中，要從宏觀和微觀兩個(gè)方面進(jìn)行入手分手，最大程度的保證將內(nèi)外部因素全部考慮在內(nèi)，對(duì)網(wǎng)絡(luò)資產(chǎn)有一個(gè)大致的判斷，并借此展開深層次的分析和研究。

2.2 風(fēng)險(xiǎn)評(píng)估

在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估之中，可以說整個(gè)活動(dòng)的核心便是風(fēng)險(xiǎn)評(píng)估了。網(wǎng)絡(luò)風(fēng)險(xiǎn)的突發(fā)性以及并發(fā)性相對(duì)其他風(fēng)險(xiǎn)較高，這便進(jìn)一步的體現(xiàn)了風(fēng)險(xiǎn)評(píng)估工作的重要性。在進(jìn)行風(fēng)險(xiǎn)評(píng)估的過程之中，我們主要通過對(duì)風(fēng)險(xiǎn)誘導(dǎo)因素進(jìn)行定量和定性分析，在此分析的基礎(chǔ)上再加以運(yùn)用逼近思想法進(jìn)行全面的驗(yàn)證，從而不斷的促進(jìn)風(fēng)險(xiǎn)評(píng)估工作的效率以及安全性。在進(jìn)行風(fēng)險(xiǎn)評(píng)估的過程之中，要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進(jìn)行分析，將工作思想放開，不能拘泥于理論知識(shí)，將實(shí)踐和理論相結(jié)合，最終完成整個(gè)風(fēng)險(xiǎn)評(píng)估工作。

2.3 安全風(fēng)險(xiǎn)決策與監(jiān)測

在進(jìn)行安全風(fēng)險(xiǎn)決策的過程之中，對(duì)信息安全依法進(jìn)行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險(xiǎn)安全的前提。安全決策主要是根據(jù)系統(tǒng)實(shí)時(shí)所面對(duì)的具體狀況所進(jìn)行的風(fēng)險(xiǎn)方案決策，其具有臨時(shí)性和靈活性的特點(diǎn)。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定，從而最終保證風(fēng)險(xiǎn)評(píng)估得以平穩(wěn)進(jìn)行。而對(duì)于安全監(jiān)測，網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的任何一個(gè)過程都離不開安全檢測的運(yùn)行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性，在系統(tǒng)更新?lián)Q代中，倘若由于一些新的風(fēng)險(xiǎn)要素導(dǎo)致整個(gè)網(wǎng)絡(luò)的安全評(píng)估出現(xiàn)問題，那么之前的風(fēng)險(xiǎn)分析和決策對(duì)于后面的管理便已經(jīng)毫無作用，這時(shí)候網(wǎng)絡(luò)監(jiān)測所起到的一個(gè)作用就是實(shí)時(shí)判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況，倘若產(chǎn)生了突發(fā)狀況，相關(guān)決策部門能夠第一時(shí)間的進(jìn)行策略調(diào)整。因此，網(wǎng)絡(luò)監(jiān)測在整個(gè)工作之中起到一個(gè)至關(guān)重要的作用。

3 結(jié)語

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜且完整的系統(tǒng)工程，其本質(zhì)性質(zhì)決定了風(fēng)險(xiǎn)評(píng)估的難度。在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的過程之中，要有層次的選擇合適的評(píng)估方法進(jìn)行評(píng)估，確保風(fēng)險(xiǎn)分析和評(píng)估工作的有序進(jìn)行，同時(shí)又要保證安全決策和安全檢測的完整運(yùn)行，與此同時(shí)，要保證所有的突發(fā)狀況都能夠及時(shí)的反映和對(duì)付，最終確保整個(gè)網(wǎng)絡(luò)安全的平穩(wěn)運(yùn)行。

參考文獻(xiàn)

[1]程建華.信息安全風(fēng)險(xiǎn)管理、評(píng)估與控制研究[D].吉林大學(xué)，2008.

[2]李志偉.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理對(duì)策研究[D].北京交通大學(xué)，2010.

[3]孫文磊.信息安全風(fēng)險(xiǎn)評(píng)估輔助管理軟件開發(fā)研究[D].天津大學(xué)，2012.

安全風(fēng)險(xiǎn)評(píng)估論文范文第3篇

【 關(guān)鍵詞 】 大數(shù)據(jù)；數(shù)據(jù)庫；安全；風(fēng)險(xiǎn)評(píng)估

Big Data Era Database Information System Security Risk Assessment Technical Analysis

Zeng Jian-guo

（Xinhua News Agency Beijing 100070）

【 Abstract 】 The rapid development of multimedia computer and Internet technology makes human society entered the era of big data， massive data resources for people's work， life and learning convenience. Era of big data database information system is the foundation to support the development of human information. Therefore， the security of database information system has an important role. The information work events based on the author's many years， detailed analysis the face database information system security risk， and discusses the risk evaluation technology， in order to be able to database information security defense system and lay a solid foundation.

【 Keywords 】 big data； database； security； risk assessment

1 引言

大數(shù)據(jù)給人們的工作、生活和學(xué)習(xí)帶來了極大的便利，提高了人們的生活質(zhì)量、工作效率和學(xué)習(xí)成效，具有重要的作用。數(shù)據(jù)庫是承載互聯(lián)網(wǎng)大數(shù)據(jù)的存儲(chǔ)器，是為人們提供數(shù)據(jù)信息的基礎(chǔ)，因此數(shù)據(jù)庫在大數(shù)據(jù)時(shí)代具有重要的作用。面對(duì)日益增長的海量數(shù)據(jù)信息資源以及豐富的互聯(lián)網(wǎng)應(yīng)用軟件，大數(shù)據(jù)時(shí)代數(shù)據(jù)庫信息系統(tǒng)的安全風(fēng)險(xiǎn)呈現(xiàn)多樣化、智能化、傳播迅速化特點(diǎn)。許多計(jì)算機(jī)學(xué)者將數(shù)據(jù)庫安全風(fēng)險(xiǎn)評(píng)估、安全防御作為數(shù)據(jù)庫未來發(fā)展的重要方向之一。計(jì)算機(jī)學(xué)者經(jīng)過多年的研究，已經(jīng)提出了許多風(fēng)險(xiǎn)評(píng)估技術(shù)，比如基于灰色理論、基于專家系統(tǒng)、基于神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘算法等，有效地提高了數(shù)據(jù)庫信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確程度，快速地發(fā)現(xiàn)數(shù)據(jù)庫存在的安全漏洞，及時(shí)打補(bǔ)丁和構(gòu)建防御系統(tǒng)，為大數(shù)據(jù)的應(yīng)用保駕護(hù)航。

2 大數(shù)據(jù)時(shí)代數(shù)據(jù)庫信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)

大數(shù)據(jù)時(shí)代數(shù)據(jù)庫信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)包括多種，比如木馬、病毒和黑客攻擊，并且存在安全攻擊形式和渠道多樣化、數(shù)據(jù)庫信息系統(tǒng)漏洞快速增長、安全威脅智能化等特點(diǎn)。

2.1 安全攻擊形式和渠道多樣化

數(shù)據(jù)庫信息系統(tǒng)為大數(shù)據(jù)應(yīng)用提供基礎(chǔ)支撐。云計(jì)算、分布式計(jì)算、移動(dòng)計(jì)算等技術(shù)的快速發(fā)展和進(jìn)步，為大數(shù)據(jù)應(yīng)用軟件接入數(shù)據(jù)庫信息系統(tǒng)提供了豐富的渠道，為人們應(yīng)用大數(shù)據(jù)資源的同時(shí)帶來了潛在的攻擊，并且使得攻擊形式和渠道呈現(xiàn)多樣化特點(diǎn)。安全攻擊可以采用應(yīng)用軟件接入端口、郵件傳輸端口、數(shù)據(jù)采集端口等攻入數(shù)據(jù)信息系統(tǒng)，并且攻擊形式除了木馬、病毒和黑客之外，還采取了拒絕服務(wù)、斷網(wǎng)等形式。

2.2 數(shù)據(jù)庫信息系統(tǒng)漏洞快速增長

大數(shù)據(jù)為人們提供了豐富的數(shù)據(jù)資源，促進(jìn)許多軟件開發(fā)商設(shè)計(jì)與實(shí)現(xiàn)適于人們需求的應(yīng)用程序，以便存取數(shù)據(jù)資源，提供不同種類的應(yīng)用。應(yīng)用軟件開發(fā)過程中，采用的系統(tǒng)架構(gòu)、實(shí)現(xiàn)技術(shù)、接入數(shù)據(jù)庫端口不同，因此導(dǎo)致數(shù)據(jù)庫信息系統(tǒng)面臨著多種存取模式，比如離線存取、在線存取、斷點(diǎn)續(xù)傳等，使得數(shù)據(jù)庫信息系統(tǒng)漏洞在應(yīng)用中不斷的上升，為數(shù)據(jù)庫信息系統(tǒng)的防護(hù)帶來了潛在威脅。

2.3 數(shù)據(jù)庫信息系統(tǒng)安全威脅智能化

隨著計(jì)算機(jī)技術(shù)的快速提升，網(wǎng)絡(luò)中傳播的木馬、病毒和黑客攻擊也得到迅速提升，呈現(xiàn)出智能化的特點(diǎn)，潛藏的時(shí)間更長，傳播速度更快，感染范圍也更加廣泛，更加難以被風(fēng)險(xiǎn)評(píng)估技術(shù)、安全防御技術(shù)掃描到，一旦爆發(fā)將會(huì)給數(shù)據(jù)庫信息系統(tǒng)帶來嚴(yán)重的影響。

3 大數(shù)據(jù)時(shí)代數(shù)據(jù)庫信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)

數(shù)據(jù)庫信息系統(tǒng)可以為大數(shù)據(jù)時(shí)代提供數(shù)據(jù)來源，豐富應(yīng)用系統(tǒng)功能。數(shù)據(jù)庫信息系統(tǒng)需要為用戶提供強(qiáng)大的安全風(fēng)險(xiǎn)評(píng)估技術(shù)，以便能夠確保數(shù)據(jù)庫信息系統(tǒng)的安全。目前，許多計(jì)算機(jī)學(xué)者經(jīng)過多年的研究，數(shù)據(jù)庫信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)包括安全檢查表法、專家評(píng)價(jià)法、事故樹分析法、層次分析方法。

（1）安全檢查表法。安全檢查表法可以指定詳細(xì)的數(shù)據(jù)庫風(fēng)險(xiǎn)評(píng)估規(guī)范、評(píng)估內(nèi)容，邀請(qǐng)經(jīng)驗(yàn)較為豐富的安全風(fēng)險(xiǎn)評(píng)估專家根據(jù)安全檢查表逐項(xiàng)進(jìn)行評(píng)估，及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫信息系統(tǒng)存在的風(fēng)險(xiǎn)。

（2）專家評(píng)估法。專家評(píng)估方法可以根據(jù)數(shù)據(jù)庫信息系統(tǒng)過去、現(xiàn)在運(yùn)行的情況，參考風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和準(zhǔn)則，預(yù)測數(shù)據(jù)庫信息系統(tǒng)未來的安全趨勢，專家評(píng)估過程中，主要采取專家審議法和專家質(zhì)疑法兩種措施，都可以有效的進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估。

（3）事故樹分析方法。事故樹分析方法本質(zhì)是一種信息系統(tǒng)風(fēng)險(xiǎn)演繹分析方法，通過分析數(shù)據(jù)庫信息系統(tǒng)組成部分之間的邏輯關(guān)系，以便能夠明確安全事故發(fā)生的基本原因，事故樹分析方法能夠識(shí)別誘發(fā)安全事故的基本風(fēng)險(xiǎn)元素。

（4）層次分析方法。層次分析方法可以自頂向下將組成數(shù)據(jù)庫信息系統(tǒng)的軟硬件資源劃分不同的層次，形成一個(gè)層次模型，并且按照風(fēng)險(xiǎn)可能發(fā)生的概率進(jìn)行優(yōu)化和組織，最終識(shí)別風(fēng)險(xiǎn)發(fā)生可能較大的資源。

安全檢查表法、專家評(píng)估法、事故樹分析方法屬于定性風(fēng)險(xiǎn)評(píng)估，其需要依賴數(shù)據(jù)庫信息系統(tǒng)安全評(píng)估人員的風(fēng)險(xiǎn)分析經(jīng)驗(yàn)，結(jié)合風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和類似案例等，評(píng)估數(shù)據(jù)庫信息系統(tǒng)的風(fēng)險(xiǎn)分級(jí)，風(fēng)險(xiǎn)評(píng)估結(jié)果具有很強(qiáng)的個(gè)人主觀性。層次分析方法屬于定量分析方法，其可以確定威脅事件發(fā)生的概率，確定威脅發(fā)生后對(duì)系統(tǒng)引起的損失，定量分析可以更加準(zhǔn)確的、直觀的描述系統(tǒng)的風(fēng)險(xiǎn)級(jí)別，獲取更好的風(fēng)險(xiǎn)分析結(jié)果，更具有客觀性，因此逐漸成為風(fēng)險(xiǎn)分析和評(píng)估的主流方法。

4 結(jié)束語

數(shù)據(jù)庫信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以有效地發(fā)現(xiàn)存儲(chǔ)系統(tǒng)存在的安全漏洞，并且定量計(jì)算風(fēng)險(xiǎn)發(fā)生的可能性和帶來的嚴(yán)重影響，以便制定完善的安全防御策略，保證數(shù)據(jù)庫信息系統(tǒng)正常運(yùn)行。

參考文獻(xiàn)

[1] 文偉平， 郭榮華， 孟正等.信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全， 2015， 31（2）：145-146.

[2] 李剛. Microsoft SQL Server數(shù)據(jù)庫風(fēng)險(xiǎn)分析與建議[J].信息安全與技術(shù)， 2014， 32（8）：55-57.

[3] 西米莎.基于大數(shù)據(jù)背景的數(shù)據(jù)庫安全問題與保障體系分析[J]. 數(shù)字化用戶， 2014， 34（18）：89-90.

[4] 李靖.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2014， 28（5）：82-82.

安全風(fēng)險(xiǎn)評(píng)估論文范文第4篇

摘要：外貿(mào)企業(yè)風(fēng)險(xiǎn)包括戰(zhàn)略層面風(fēng)險(xiǎn)、經(jīng)營環(huán)節(jié)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)。外貿(mào)企業(yè)內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理的核心機(jī)制，其目標(biāo)在于合理保證外貿(mào)企業(yè)財(cái)務(wù)報(bào)告等經(jīng)濟(jì)信息的真實(shí)、完整，合理保證外貿(mào)企業(yè)戰(zhàn)略和經(jīng)營活動(dòng)的效率、效果，合理保證外貿(mào)企業(yè)財(cái)務(wù)收支活動(dòng)的合法、合規(guī)，合理保證外貿(mào)企業(yè)各項(xiàng)資產(chǎn)的安全以及促進(jìn)外貿(mào)企業(yè)實(shí)現(xiàn)其發(fā)展戰(zhàn)略。外貿(mào)企業(yè)內(nèi)部控制的核心要素包括內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督。基于內(nèi)部控制有效性視角，外貿(mào)企業(yè)風(fēng)險(xiǎn)的控制對(duì)策包括優(yōu)化內(nèi)部環(huán)境、加強(qiáng)風(fēng)險(xiǎn)評(píng)估、健全控制活動(dòng)、強(qiáng)化信息與溝通和完善內(nèi)部監(jiān)督。

關(guān)鍵詞：外貿(mào)企業(yè)風(fēng)險(xiǎn) 內(nèi)部控制 風(fēng)險(xiǎn)管理 控制對(duì)策

一、外貿(mào)企業(yè)核心業(yè)務(wù)和關(guān)鍵風(fēng)險(xiǎn)

外貿(mào)企業(yè)是指專門從事對(duì)外貿(mào)易（進(jìn)出口）的企業(yè)，在國家規(guī)定的注冊地，這些企業(yè)對(duì)產(chǎn)品和服務(wù)有合法的進(jìn)出口經(jīng)營權(quán)。它的業(yè)務(wù)往來重點(diǎn)在國外，通過市場調(diào)研，把國外商品進(jìn)口到國內(nèi)來銷售，或者收購國內(nèi)商品銷售到國外，從中賺取差價(jià)。外貿(mào)企業(yè)的核心業(yè)務(wù)主要由出口和進(jìn)口兩部分組成，簡稱進(jìn)出口業(yè)務(wù)。筆者認(rèn)為，外貿(mào)企業(yè)風(fēng)險(xiǎn)是指外貿(mào)企業(yè)作為一個(gè)社會(huì)經(jīng)濟(jì)主體，在存續(xù)期間內(nèi)受所面臨的政治、經(jīng)濟(jì)、社會(huì)和技術(shù)等環(huán)境因素的影響，其真實(shí)業(yè)績與企業(yè)目標(biāo)發(fā)生偏離的可能性。關(guān)于外貿(mào)企業(yè)風(fēng)險(xiǎn)，現(xiàn)有文獻(xiàn)的梳理如表1所示。

由此可見，外貿(mào)企業(yè)面臨的風(fēng)險(xiǎn)主要包括兩大類，一是經(jīng)營風(fēng)險(xiǎn)，二是財(cái)務(wù)風(fēng)險(xiǎn)。

（一）經(jīng)營風(fēng)險(xiǎn)。經(jīng)營風(fēng)險(xiǎn)是指外貿(mào)企業(yè)經(jīng)營目標(biāo)無法實(shí)現(xiàn)的可能性。經(jīng)營風(fēng)險(xiǎn)的極端形式是經(jīng)營失敗。從廣義上分析，外貿(mào)企業(yè)經(jīng)營風(fēng)險(xiǎn)包括：（1）戰(zhàn)略層面風(fēng)險(xiǎn)。是指外貿(mào)企業(yè)在戰(zhàn)略制定和實(shí)施過程中，其戰(zhàn)略目標(biāo)無法實(shí)現(xiàn)的可能性，包括政治風(fēng)險(xiǎn)、貿(mào)易壁壘風(fēng)險(xiǎn)、政策風(fēng)險(xiǎn)、投資風(fēng)險(xiǎn)和自然災(zāi)害風(fēng)險(xiǎn)等。（2）經(jīng)營環(huán)節(jié)風(fēng)險(xiǎn)。即狹義上的經(jīng)營風(fēng)險(xiǎn)，它是指外貿(mào)企業(yè)經(jīng)營環(huán)節(jié)目標(biāo)無法實(shí)現(xiàn)的可能性，包括信用風(fēng)險(xiǎn)、結(jié)算風(fēng)險(xiǎn)、匯率風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和道德風(fēng)險(xiǎn)等。

（二）財(cái)務(wù)風(fēng)險(xiǎn)。董峰（1996）認(rèn)為，外貿(mào)企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)按其財(cái)務(wù)活動(dòng)的基本內(nèi)容來劃分，可分為籌資風(fēng)險(xiǎn)、匯率風(fēng)險(xiǎn)、投資風(fēng)險(xiǎn)、資金回收風(fēng)險(xiǎn)與收益分配風(fēng)險(xiǎn)。朱威（2005）認(rèn)為，我國外貿(mào)企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)主要包括籌資決策風(fēng)險(xiǎn)、投資決策風(fēng)險(xiǎn)、股利決策風(fēng)險(xiǎn)、外匯風(fēng)險(xiǎn)（交易風(fēng)險(xiǎn)、折算風(fēng)險(xiǎn)、經(jīng)濟(jì)風(fēng)險(xiǎn)）、衍生金融工具風(fēng)險(xiǎn)、企業(yè)重組風(fēng)險(xiǎn)等。吳曉慶（2010）認(rèn)為，外貿(mào)業(yè)務(wù)財(cái)務(wù)風(fēng)險(xiǎn)主要包括信用風(fēng)險(xiǎn)、外匯風(fēng)險(xiǎn)、結(jié)算風(fēng)險(xiǎn)、現(xiàn)金流風(fēng)險(xiǎn)、反傾銷風(fēng)險(xiǎn)。葛維璐（2012）認(rèn)為，外貿(mào)企業(yè)面臨的財(cái)務(wù)風(fēng)險(xiǎn)主要有信用風(fēng)險(xiǎn)、匯率風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、非關(guān)稅壁壘風(fēng)險(xiǎn)。張小宇、王慶敏（2016）認(rèn)為，中小外貿(mào)企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)包括信用風(fēng)險(xiǎn)、融資風(fēng)險(xiǎn)、流動(dòng)資金不足風(fēng)險(xiǎn)、匯率風(fēng)險(xiǎn)等。筆者認(rèn)為，從狹義上理解，外貿(mào)企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)是指外貿(mào)企業(yè)由于負(fù)債融資而形成的風(fēng)險(xiǎn)，或稱資不抵債風(fēng)險(xiǎn)。而從廣義理解，外貿(mào)企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)是指外貿(mào)企業(yè)財(cái)務(wù)管理目標(biāo)無法實(shí)現(xiàn)的可能性，它包括資不抵債風(fēng)險(xiǎn)、壞賬風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)和現(xiàn)金流風(fēng)險(xiǎn)等。 除此之外，外貿(mào)企業(yè)風(fēng)險(xiǎn)還可以區(qū)分為系統(tǒng)風(fēng)險(xiǎn)（市場風(fēng)險(xiǎn)）和非系統(tǒng)風(fēng)險(xiǎn)（企業(yè)特有風(fēng)險(xiǎn)）。外貿(mào)企業(yè)風(fēng)險(xiǎn)的存在往往會(huì)給外貿(mào)企業(yè)各項(xiàng)目標(biāo)的實(shí)現(xiàn)帶來很大的不確定性。因此，如何基于內(nèi)部控制有效性視角，加強(qiáng)外貿(mào)企業(yè)風(fēng)險(xiǎn)管理的理論與實(shí)務(wù)研究非常重要。

二、外貿(mào)企業(yè)內(nèi)部控制的目標(biāo)和要素

（一）外貿(mào)企業(yè)內(nèi)部控制的涵義和目標(biāo)。關(guān)于內(nèi)部控制理念的演變，經(jīng)歷了內(nèi)部牽制（20世紀(jì)40年代以前）、內(nèi)部控制制度（20世紀(jì)40―70年代）、內(nèi)部控制結(jié)構(gòu)（1988―1991年）、內(nèi)部控制――整體框架（1992年至今）等階段（宋夏云，2003）。1992年，美國反欺詐財(cái)務(wù)報(bào)告全國委員會(huì)下屬發(fā)起機(jī)構(gòu)委員會(huì)（COSO）了“內(nèi)部控制――整體框架”，并指出：企業(yè)內(nèi)部控制是指由企業(yè)董事會(huì)、管理層和其他員工實(shí)施的，旨在為達(dá)成以下目標(biāo)而提供合理保證的過程：（1）財(cái)務(wù)報(bào)告的可靠（可靠性）；（2）經(jīng)營的效率、效果（效率效果性）；（3）法律和法規(guī)的遵循（合規(guī)性）。我國《企業(yè)內(nèi)部控制基本規(guī)范》（2008）指出，企業(yè)內(nèi)部控制是由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工實(shí)施的，旨在實(shí)現(xiàn)以下目標(biāo)的過程：（1）企I經(jīng)營管理的合法合規(guī)；（2）資產(chǎn)的安全；（3）財(cái)務(wù)報(bào)告及相關(guān)信息的真實(shí)完整；（4）提高經(jīng)營效率、效果；（5）促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略。

外貿(mào)企業(yè)內(nèi)部控制目標(biāo)是指外貿(mào)企業(yè)內(nèi)部控制機(jī)制運(yùn)行的預(yù)期效果或理想狀態(tài)，是構(gòu)建外貿(mào)企業(yè)內(nèi)部控制框架的邏輯起點(diǎn)。筆者認(rèn)為，外貿(mào)企業(yè)內(nèi)部控制可以定義為受外貿(mào)企業(yè)治理層、管理層和其他員工的影響，旨在實(shí)現(xiàn)以下目標(biāo)而提供合理保證的一種過程：（1）外貿(mào)企業(yè)財(cái)務(wù)報(bào)告等經(jīng)濟(jì)信息的真實(shí)、完整；（2）外貿(mào)企業(yè)戰(zhàn)略和經(jīng)營活動(dòng)的效率、效果；（3）外貿(mào)企業(yè)財(cái)務(wù)收支活動(dòng)的合法、合規(guī)；（4）外貿(mào)企業(yè)各項(xiàng)資產(chǎn)的安全；（5）促進(jìn)外貿(mào)企業(yè)實(shí)現(xiàn)其發(fā)展戰(zhàn)略。它們相互聯(lián)系、相互影響，共同構(gòu)成一個(gè)完整的外貿(mào)企業(yè)內(nèi)部控制的目標(biāo)體系。

（二）外貿(mào)企業(yè)內(nèi)部控制的要素。COSO（1992 & 2013）指出，企業(yè)內(nèi)部控制的要素包括內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通，以及監(jiān)控。我國《企業(yè)內(nèi)部控制基本規(guī)范》（2008）指出，企業(yè)內(nèi)部控制的要素包括內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督。以下筆者分別對(duì)其進(jìn)行討論。

1.內(nèi)部環(huán)境。內(nèi)部環(huán)境設(shè)定了外貿(mào)企業(yè)實(shí)施內(nèi)部控制的基調(diào)，直接影響到企業(yè)治理層、管理層和其他員工對(duì)外貿(mào)企業(yè)內(nèi)部控制的功能定位。良好的內(nèi)部環(huán)境是內(nèi)部控制機(jī)制有效運(yùn)行的基礎(chǔ)。外貿(mào)企業(yè)內(nèi)部環(huán)境包括治理結(jié)構(gòu)與權(quán)責(zé)分配、管理層的理念和經(jīng)營風(fēng)格、治理層對(duì)內(nèi)部控制的重視程度、對(duì)誠信和道德價(jià)值觀的溝通與落實(shí)、對(duì)專業(yè)勝任能力的強(qiáng)調(diào)以及企業(yè)人力資源政策與實(shí)務(wù)等。

2.風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是指外貿(mào)企業(yè)選用定量和定性指標(biāo)，在風(fēng)險(xiǎn)預(yù)警模型構(gòu)建和優(yōu)化基礎(chǔ)上，對(duì)外貿(mào)企業(yè)所面臨的戰(zhàn)略層面風(fēng)險(xiǎn)、經(jīng)營環(huán)節(jié)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)進(jìn)行有效識(shí)別和科學(xué)評(píng)估，并及時(shí)外貿(mào)企業(yè)風(fēng)險(xiǎn)的預(yù)警信息。即風(fēng)險(xiǎn)評(píng)估過程的作用是識(shí)別、評(píng)估和管理影響外貿(mào)企業(yè)經(jīng)營目標(biāo)實(shí)現(xiàn)的各種不確定因素。

3.控制活動(dòng)。控制活動(dòng)是指外貿(mào)企業(yè)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，采取有針對(duì)性和靈活性的措施和方法，努力將外貿(mào)企業(yè)風(fēng)險(xiǎn)降低至可接受的范圍之內(nèi)。控制活動(dòng)有助于合理保證外貿(mào)企業(yè)治理層和管理層提出的風(fēng)險(xiǎn)管控指令得到充分執(zhí)行，其內(nèi)容包括授權(quán)、職責(zé)分離、業(yè)績評(píng)價(jià)、信息處理和實(shí)物控制等。

4.信息與溝通。信息與溝通是外貿(mào)企業(yè)及時(shí)、準(zhǔn)確地收集、整理、加工、匯總和傳遞與企業(yè)內(nèi)部控制及風(fēng)險(xiǎn)管理有關(guān)的信息，確保各種控制指令在企業(yè)內(nèi)外部之間進(jìn)行有效傳播和溝通。其中與外貿(mào)企業(yè)財(cái)務(wù)報(bào)告等信息可靠、相關(guān)的信息系統(tǒng)通常包括以下職能：（1）識(shí)別與記錄所有的有效交易；（2）及時(shí)、詳細(xì)地描述交易；（3）恰當(dāng)?shù)赜?jì)量交易；（4）正確確定交易生成的會(huì)計(jì)期間；（5）在財(cái)務(wù)報(bào)表中恰當(dāng)?shù)亓袌?bào)交易的結(jié)果等。

5.內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是對(duì)外貿(mào)企業(yè)內(nèi)部控制制度的建立與實(shí)施情況實(shí)施監(jiān)督檢查，評(píng)價(jià)內(nèi)部控制機(jī)制運(yùn)行的有效性。外貿(mào)企業(yè)可以授權(quán)內(nèi)部審計(jì)機(jī)構(gòu)等職能部門對(duì)內(nèi)部控制的設(shè)計(jì)和執(zhí)行進(jìn)行專門的評(píng)價(jià)，找出內(nèi)部控制機(jī)制運(yùn)行的優(yōu)勢和缺陷，并提出補(bǔ)救建議。

三、基于內(nèi)部控制有效性視角的外貿(mào)企業(yè)風(fēng)險(xiǎn)的控制對(duì)策

（一）優(yōu)化內(nèi)部環(huán)境。外貿(mào)企業(yè)內(nèi)部環(huán)境直接影響到內(nèi)部控制機(jī)制運(yùn)行的有效性以及企業(yè)戰(zhàn)略目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)和財(cái)務(wù)管理目標(biāo)的實(shí)現(xiàn)程度。外貿(mào)企業(yè)風(fēng)險(xiǎn)管理的核心環(huán)節(jié)包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)。理想的風(fēng)險(xiǎn)管理模式，需要外貿(mào)企業(yè)按照風(fēng)險(xiǎn)發(fā)生的輕重緩急進(jìn)行有效排序。例如，對(duì)于戰(zhàn)略層面的風(fēng)險(xiǎn)，外貿(mào)企業(yè)治理層和管理層應(yīng)該高度關(guān)注，一旦決策失誤，其前景堪憂。對(duì)于經(jīng)營環(huán)節(jié)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)，企業(yè)管理層應(yīng)該高度重視內(nèi)部環(huán)境的優(yōu)化，采取合理的措施和方法，及時(shí)找出關(guān)鍵風(fēng)險(xiǎn)因素，按照風(fēng)險(xiǎn)程度高低進(jìn)行正確處理。筆者認(rèn)為，內(nèi)部環(huán)境屬于外貿(mào)企業(yè)內(nèi)部控制的核心要素，是內(nèi)部控制機(jī)制有效運(yùn)行的關(guān)鍵影響因素。因此，外貿(mào)企業(yè)應(yīng)該采取必要的措施，不斷優(yōu)化內(nèi)部環(huán)境，其內(nèi)容包括治理結(jié)構(gòu)與權(quán)責(zé)分配、治理層對(duì)內(nèi)部環(huán)境的重視、管理層的理念和經(jīng)營風(fēng)格、對(duì)誠信和道德價(jià)值觀的溝通與落實(shí)、對(duì)專業(yè)勝任能力的強(qiáng)調(diào)、人力資源政策與實(shí)務(wù)等，并確保外貿(mào)企業(yè)內(nèi)部控制機(jī)制得到有效運(yùn)行，進(jìn)而合理控制其風(fēng)險(xiǎn)。

（二）加強(qiáng)風(fēng)險(xiǎn)評(píng)估。在日趨激烈的國內(nèi)外市場競爭環(huán)境下，我國外貿(mào)企業(yè)風(fēng)險(xiǎn)不斷凸現(xiàn)，時(shí)刻威脅著外貿(mào)企業(yè)的安全。對(duì)于戰(zhàn)略層面風(fēng)險(xiǎn)，應(yīng)該引起外貿(mào)企業(yè)治理層和管理層的共同關(guān)注。外貿(mào)企業(yè)可以采用PEST分析法、SWOT分析法和Porter五力分析法，對(duì)外貿(mào)企業(yè)的戰(zhàn)略及其潛在的風(fēng)險(xiǎn)進(jìn)行診斷與分析；對(duì)于經(jīng)營環(huán)節(jié)風(fēng)險(xiǎn)，外貿(mào)企業(yè)各個(gè)職能部門可以采用定量指標(biāo)和定性指標(biāo)相結(jié)合的方法，通過構(gòu)建不同經(jīng)營環(huán)節(jié)的風(fēng)險(xiǎn)預(yù)警模型，對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估和應(yīng)對(duì)；對(duì)于財(cái)務(wù)風(fēng)險(xiǎn)，外貿(mào)企業(yè)可以采用財(cái)務(wù)指標(biāo)為主、非財(cái)務(wù)指標(biāo)為輔的評(píng)估模式，在指標(biāo)選取和指標(biāo)賦權(quán)基礎(chǔ)上，合理構(gòu)建企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)預(yù)警模型，對(duì)外貿(mào)企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)、精準(zhǔn)評(píng)估。筆者認(rèn)為，風(fēng)險(xiǎn)評(píng)估是外貿(mào)企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理的核心環(huán)節(jié)，是外貿(mào)企業(yè)風(fēng)險(xiǎn)有效應(yīng)對(duì)的關(guān)鍵。在條件允許情形下，外貿(mào)企業(yè)可以成立專門的風(fēng)險(xiǎn)管控機(jī)構(gòu)，對(duì)外貿(mào)企業(yè)所面臨的各種風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)評(píng)估，及時(shí)提交高質(zhì)量的風(fēng)險(xiǎn)預(yù)警報(bào)告，以最大可能減少外貿(mào)企業(yè)的損失。

（三）健全控制活動(dòng)。控制活動(dòng)是指外貿(mào)企業(yè)對(duì)其風(fēng)險(xiǎn)進(jìn)行正確識(shí)別和評(píng)估后，制定科學(xué)的風(fēng)險(xiǎn)應(yīng)對(duì)政策、程序、機(jī)制和措施，對(duì)其風(fēng)險(xiǎn)進(jìn)行有效應(yīng)對(duì)，其最終目的在于將外貿(mào)企業(yè)風(fēng)險(xiǎn)降低至可以接受的水平。例如，對(duì)于外貿(mào)企業(yè)的系統(tǒng)風(fēng)險(xiǎn)，企業(yè)治理層和管理層應(yīng)該事前評(píng)估和科學(xué)應(yīng)對(duì)。對(duì)于系統(tǒng)風(fēng)險(xiǎn)或市場風(fēng)險(xiǎn)，必須承受的，堅(jiān)決承受，不能承受的，可以選擇放棄，或者退出戰(zhàn)略；而對(duì)于外貿(mào)企業(yè)的非系統(tǒng)風(fēng)險(xiǎn)或企業(yè)特有風(fēng)險(xiǎn)，外貿(mào)企業(yè)管理層可以考慮事先設(shè)定一個(gè)合理的風(fēng)險(xiǎn)承受水平，選擇風(fēng)險(xiǎn)分擔(dān)或者風(fēng)險(xiǎn)轉(zhuǎn)移策略。筆者認(rèn)為，控制活動(dòng)屬于外貿(mào)企業(yè)風(fēng)險(xiǎn)應(yīng)對(duì)的重要機(jī)制，其關(guān)鍵要素包括授權(quán)、職責(zé)分離、業(yè)績評(píng)價(jià)、信息處理、實(shí)物控制等。為了有效降低外貿(mào)企業(yè)風(fēng)險(xiǎn)，企業(yè)可以考慮建立以下控制機(jī)制：（1）對(duì)于重大投資活動(dòng)，應(yīng)該由企業(yè)治理層和管理層共同做出科學(xué)、民主的決策；對(duì)于企業(yè)的日常經(jīng)營活動(dòng)，可以由企業(yè)管理層進(jìn)行自主決策；（2）對(duì)于企業(yè)各項(xiàng)業(yè)務(wù)活動(dòng)，外貿(mào)企業(yè)應(yīng)堅(jiān)持責(zé)分離的原則，盡量避免出現(xiàn)失誤，甚至欺詐行為；（3）為了避免出現(xiàn)人才流失、業(yè)務(wù)流失等風(fēng)險(xiǎn)，外貿(mào)企業(yè)可以建立科學(xué)的員工激勵(lì)機(jī)制。外貿(mào)企業(yè)可以適時(shí)構(gòu)建合理可行的業(yè)績評(píng)價(jià)體系，對(duì)外貿(mào)企業(yè)業(yè)務(wù)人員進(jìn)行定期考核，做到賞罰分明，并努力留住人才；（4）對(duì)于外貿(mào)企業(yè)，尤其是外貿(mào)上市公司財(cái)務(wù)報(bào)表等信息披露，其管理層應(yīng)該承擔(dān)應(yīng)有的法律責(zé)任；（5）外貿(mào)企業(yè)應(yīng)該建立、健全實(shí)物資產(chǎn)的有限接觸制度，以確保外貿(mào)企業(yè)重要資產(chǎn)的安全、完整。

（四）強(qiáng)化信息與溝通。良好的信息與溝通機(jī)制是外貿(mào)企業(yè)內(nèi)部控制機(jī)制有效運(yùn)行的重要條件。在外貿(mào)企業(yè)的風(fēng)險(xiǎn)管理中，企業(yè)治理層、管理層和其他員工應(yīng)該精誠團(tuán)結(jié)，共同肩負(fù)著各自的職責(zé)。為了有效識(shí)別、評(píng)估和應(yīng)對(duì)外貿(mào)企業(yè)風(fēng)險(xiǎn)，企業(yè)應(yīng)該強(qiáng)化信息與溝通過程，做到企業(yè)各個(gè)層次的人員都能清晰地認(rèn)識(shí)到自己肩負(fù)的責(zé)任，包括對(duì)戰(zhàn)略層面目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)、財(cái)務(wù)管理目標(biāo)及其潛在的風(fēng)險(xiǎn)進(jìn)行有效識(shí)別，了解與認(rèn)識(shí)外貿(mào)企業(yè)內(nèi)部控制各個(gè)構(gòu)成要素及其相應(yīng)的功能，并能夠積極參與到企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理活動(dòng)中。在企業(yè)風(fēng)險(xiǎn)管理中，尤其需要外貿(mào)企業(yè)治理層、管理層和其他員工清晰地認(rèn)識(shí)與理解企業(yè)風(fēng)險(xiǎn)控制活動(dòng)的目的、機(jī)制、模式和方法，而如何強(qiáng)化外貿(mào)企業(yè)的信息與溝通能力，是實(shí)現(xiàn)企業(yè)風(fēng)險(xiǎn)控制目標(biāo)的關(guān)鍵。

（五）完善內(nèi)部監(jiān)督。企業(yè)風(fēng)險(xiǎn)管理是一個(gè)持續(xù)發(fā)展的動(dòng)態(tài)過程，企業(yè)戰(zhàn)略層面目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)、財(cái)務(wù)管理目標(biāo)及其風(fēng)險(xiǎn)都會(huì)隨著環(huán)境的變化而調(diào)整，這要求外貿(mào)企業(yè)的治理層和管理層及時(shí)監(jiān)控企業(yè)風(fēng)險(xiǎn)管理的運(yùn)行狀況。內(nèi)部監(jiān)督是內(nèi)部控制的必要環(huán)節(jié)，外貿(mào)企業(yè)應(yīng)設(shè)置獨(dú)立的機(jī)構(gòu)，配備專門人員，科學(xué)、有效地評(píng)估內(nèi)部控制機(jī)制的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)和報(bào)告內(nèi)部控制機(jī)制運(yùn)行的重大缺陷，督促相關(guān)職能部門及時(shí)修補(bǔ)。外貿(mào)企業(yè)的內(nèi)部監(jiān)督包括主管部門的監(jiān)督、外部審計(jì)的監(jiān)督和內(nèi)部審計(jì)的監(jiān)督。其中內(nèi)部審計(jì)監(jiān)督在整個(gè)內(nèi)部控制系統(tǒng)中發(fā)揮著基石作用。內(nèi)部審計(jì)可以合理保證外貿(mào)企業(yè)遵循國家的政策與法規(guī)、財(cái)務(wù)報(bào)告的真實(shí)性、企業(yè)投資和經(jīng)營管理活動(dòng)的效率效果性，以及企業(yè)戰(zhàn)略目標(biāo)、經(jīng)營環(huán)節(jié)目標(biāo)和財(cái)務(wù)管理目標(biāo)的實(shí)現(xiàn)程度等。正因?yàn)槿绱耍赓Q(mào)企業(yè)應(yīng)當(dāng)不斷拓展和強(qiáng)化內(nèi)部審計(jì)職能，增強(qiáng)其獨(dú)立性，提升專業(yè)勝任能力，督促外貿(mào)企業(yè)優(yōu)化內(nèi)部控制的運(yùn)行機(jī)制，以合理保證外貿(mào)企業(yè)的健康、高效發(fā)展。X

參考文獻(xiàn)：

[1]胡通海.試論外貿(mào)企業(yè)經(jīng)營風(fēng)險(xiǎn)類型及內(nèi)部控制的建立[J].國際商務(wù)財(cái)會(huì)，2013，（10）.

[2]劉永澤，張亮.我國政府部門內(nèi)部控制框架體系的構(gòu)建研究[J].會(huì)計(jì)研究，2012，（1）.

[3]錢劍婉.外貿(mào)企業(yè)風(fēng)險(xiǎn)控制與全面預(yù)算管理研究[J].國際商務(wù)財(cái)會(huì)，2010，（2）.

[4]宋夏云.芻議內(nèi)部控制的運(yùn)作機(jī)制[J].審計(jì)與理財(cái)，2003，（9）.

[5]吳曉慶.我國企業(yè)外貿(mào)業(yè)務(wù)的財(cái)務(wù)風(fēng)險(xiǎn)管理研究[D].鄭州大學(xué)碩士學(xué)位論文，2010.

[6]徐芳.外貿(mào)企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理――基于寧波地區(qū)的研究[D].寧波大學(xué)碩士學(xué)位論文，2009.

[7]徐珂.基于企業(yè)財(cái)務(wù)視角的外貿(mào)經(jīng)營風(fēng)險(xiǎn)防范研究[D].東華大學(xué)碩士學(xué)位論文，2007.

[8]袁玉霞，張璐，王霞.外貿(mào)企業(yè)風(fēng)險(xiǎn)管理與控制[J].國際商務(wù)財(cái)會(huì)，2010，（10）.

[9]朱威.我國外貿(mào)企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)管理研究[D].中南大學(xué)碩士學(xué)位論文，2005.

安全風(fēng)險(xiǎn)評(píng)估論文范文第5篇

論文關(guān)健詞：應(yīng)用流分析；風(fēng)險(xiǎn)評(píng)估；流量分組

論文摘要：針對(duì)網(wǎng)絡(luò)中的各種應(yīng)用服務(wù)的識(shí)別檢測，采用應(yīng)用層協(xié)議簽名的流量識(shí)別技術(shù)和流量分組技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用流的分析和風(fēng)險(xiǎn)評(píng)估系統(tǒng)——RAS，提出基于流量分組技術(shù)的應(yīng)用流風(fēng)險(xiǎn)評(píng)估模型。該系統(tǒng)為網(wǎng)絡(luò)資源分配和網(wǎng)絡(luò)安全的預(yù)測提供有價(jià)值的依據(jù)。實(shí)驗(yàn)結(jié)果表明，TARAS系統(tǒng)具有良好的流量分析效率和風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性。

1概述

基于互聯(lián)網(wǎng)的新技術(shù)、新應(yīng)用模式及需求，為網(wǎng)絡(luò)的管理帶來了挑戰(zhàn):(1)關(guān)鍵應(yīng)用得不到保障，OA， ERP等關(guān)鍵業(yè)務(wù)與BT，QQ等爭奪有限的廣域網(wǎng)資源;(2)網(wǎng)絡(luò)中存在大量不安全因素，據(jù)CNCERT/CC獲得的數(shù)據(jù)表明，2006年上半年約有14萬臺(tái)中國大陸主機(jī)感染過Beagle和Slammer蠕蟲;(3)傳統(tǒng)流量分析方法已無法有效地應(yīng)對(duì)新的網(wǎng)絡(luò)技術(shù)、動(dòng)態(tài)端口和多會(huì)話等應(yīng)用，使得傳統(tǒng)的基于端口的流量監(jiān)控方法失去了作用。

如何有效地掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)、合理分配網(wǎng)絡(luò)資源，成為網(wǎng)絡(luò)管理者們的當(dāng)務(wù)之急。針對(duì)以上需求，作者設(shè)計(jì)并實(shí)現(xiàn)了一套網(wǎng)絡(luò)應(yīng)用流分析與風(fēng)險(xiǎn)評(píng)估系統(tǒng)(Traffic Analysis and Risk Assessment System， TARAS)。

當(dāng)前，網(wǎng)絡(luò)流量異常監(jiān)測主要基于TCP/IP協(xié)議。文獻(xiàn)[5]提出使用基于協(xié)議簽名的方法識(shí)別應(yīng)用層協(xié)議。本系統(tǒng)采用了應(yīng)用層協(xié)議簽名的流量分析技術(shù)，這是目前應(yīng)用流分析最新技術(shù)。然而，簡單的流量分析并不能確定網(wǎng)絡(luò)運(yùn)行狀態(tài)是否安全。因此，在流量分析的基礎(chǔ)上，本文提出了應(yīng)用流風(fēng)險(xiǎn)評(píng)估模型。該模型使用流量分組技術(shù)從定量和定性兩方面對(duì)應(yīng)用流進(jìn)行風(fēng)險(xiǎn)評(píng)估，使網(wǎng)絡(luò)運(yùn)行狀態(tài)安全與杏這個(gè)不確定性問題得到定性評(píng)估，這是當(dāng)前網(wǎng)絡(luò)管理領(lǐng)域需要的。

2流量分析模型

目前應(yīng)用流識(shí)別技術(shù)有很多，本文提出的流量識(shí)別方法是對(duì)Subhabrata Sen提出的應(yīng)用協(xié)議特征方法的改進(jìn)。針對(duì)種類繁多的應(yīng)用層協(xié)議采用了兩級(jí)匹配結(jié)構(gòu)，提高效率。

應(yīng)用識(shí)別模塊在Linux環(huán)境下使用Libpcap開發(fā)庫，通過旁路監(jiān)聽的方式實(shí)現(xiàn)。在設(shè)計(jì)的時(shí)候考慮到數(shù)據(jù)報(bào)文處理的效率，采用了類似于Linux下的NetFilter框架的設(shè)計(jì)方法，結(jié)構(gòu)見圖1。

采取上述流量識(shí)別框架的優(yōu)點(diǎn):(1)在對(duì)TCP報(bào)文頭的查找中使用了哈希散列算法，提高了效率;(2)借鑒狀態(tài)防火墻的技術(shù)，使用面向流(flow)的識(shí)別技術(shù)，對(duì)每個(gè)TCP連接的只分析識(shí)別前10個(gè)報(bào)文，對(duì)于該連接后續(xù)的數(shù)據(jù)報(bào)文則直接查找哈希表進(jìn)行分類，這樣避免了分析每個(gè)報(bào)文帶來的效率瓶頸;(3)模式匹配模塊的設(shè)計(jì)使得可擴(kuò)展性較好。

在匹配模塊設(shè)計(jì)過程中，筆者發(fā)現(xiàn)如果所有的協(xié)議都按照基于協(xié)議特征的方式匹配，那么隨著協(xié)議數(shù)量的增大，效率又會(huì)成為一個(gè)需要解決的問題。

因此，在設(shè)計(jì)應(yīng)用流識(shí)別模塊時(shí)，筆者首先考慮到傳輸層端口與網(wǎng)絡(luò)應(yīng)用流之間的聯(lián)系，雖然兩者之間沒有絕對(duì)固定的對(duì)應(yīng)關(guān)系，但是它們之間存在著制約，比如:QQ協(xié)議的服務(wù)器端口基本不會(huì)出現(xiàn)在80， 8000， 4000以外的端口;HTTP協(xié)議基本不會(huì)出現(xiàn)在80， 443， 8080以外的端口等，因此，本文在流量分析過程中首先將一部分固定端口的協(xié)議使用端口散列判斷進(jìn)行預(yù)分類，提高匹配效率。

對(duì)于端口不固定的應(yīng)用流識(shí)別，采用兩級(jí)的結(jié)構(gòu)。將最近經(jīng)常檢測到的業(yè)務(wù)流量放在常用流量識(shí)別子模塊里面，這樣可以提高查找的速度。另外，不同的網(wǎng)絡(luò)環(huán)境所常用的網(wǎng)絡(luò)應(yīng)用流也不同，因此，也沒有必要在協(xié)議特征庫中大范圍查找。兩級(jí)查詢匹配保證了模型對(duì)網(wǎng)絡(luò)環(huán)境的自適應(yīng)性，它能夠隨著網(wǎng)絡(luò)環(huán)境的改變以及網(wǎng)絡(luò)應(yīng)用的變化而改變自己的查詢策略，但不降低匹配效率。應(yīng)用流識(shí)別子模塊的設(shè)計(jì)具體結(jié)構(gòu)見圖2。

3風(fēng)險(xiǎn)評(píng)估模型

本文采用基于流量分組技術(shù)的風(fēng)險(xiǎn)評(píng)估方法。流量分組的目的是為流量的安全評(píng)估提供數(shù)據(jù)。

3.1應(yīng)用流的分組

網(wǎng)絡(luò)應(yīng)用種類多、變化頻度高，這給應(yīng)用流的評(píng)估帶來了麻煩，如果要綜合考慮每一種應(yīng)用流對(duì)網(wǎng)絡(luò)帶來的影響，顯然工作量是難以完成的。因此，本文引入應(yīng)用流分組的概念。應(yīng)用流分組的目的是從網(wǎng)絡(luò)環(huán)境和安全角度的考慮，將識(shí)別后的流量進(jìn)行歸類分組。筆者在長期實(shí)驗(yàn)過程中，根據(jù)應(yīng)用的重要性、對(duì)網(wǎng)絡(luò)的占用率、對(duì)網(wǎng)絡(luò)的威脅性等因素得到一個(gè)較為合理的分組規(guī)則，即將網(wǎng)絡(luò)流量分為:關(guān)鍵業(yè)務(wù)，傳統(tǒng)流量，P2P及流媒體，攻擊流，其他5類。應(yīng)用流分組確定了流量評(píng)估的維度，這樣有利于提高評(píng)估的效率。表1列舉了部分應(yīng)用流的分組。

應(yīng)用流分組模塊有2個(gè)功能。首先是將檢測到的各種應(yīng)用流量按照表1中的分組歸類，并計(jì)算各分組應(yīng)用流量的大小、連接數(shù)目、通信主機(jī)數(shù)目3個(gè)方面的信息，并以一定的時(shí)間周期向流量安全評(píng)估模塊傳送數(shù)據(jù)。另外一個(gè)是在安全事件出現(xiàn)時(shí)，向安全響應(yīng)模塊提供異常應(yīng)用流名稱和其他相關(guān)信息。應(yīng)用流分組模塊的輸入是各應(yīng)用流的流量大小，而輸出有2個(gè):

(1)整個(gè)網(wǎng)絡(luò)的流量分布矩陣。

(2)異常主機(jī)流量分組中的成份。

筆者引入流量矩陣的概念。流量矩陣A的數(shù)學(xué)定義為

其中，aij表示第i臺(tái)主機(jī)的第j組流量的大小，aij的單位為實(shí)際流量的單位大小。流量矩陣反映了網(wǎng)絡(luò)中信息流動(dòng)的整體情況。

由于TCP/IP協(xié)議的廣泛應(yīng)用，網(wǎng)絡(luò)流量中的絕大部分使用基于TCP的傳輸層協(xié)議，因此傳輸層的網(wǎng)絡(luò)連接數(shù)也在一定程度上反映了網(wǎng)絡(luò)流量的情況。定義網(wǎng)絡(luò)連接數(shù)矩陣為

其中，Lij表示第i臺(tái)主機(jī)第J組應(yīng)用流的網(wǎng)絡(luò)連接數(shù)。

在網(wǎng)絡(luò)通信過程中，每個(gè)流量分組的通信主機(jī)數(shù)量具有參考價(jià)值，在此引入通信主機(jī)數(shù)量矩陣，數(shù)學(xué)描述為

其中，hij為表示某一分組流量的通信主機(jī)數(shù)目。

另外，流量分組模塊在接收到安全響應(yīng)模塊的請(qǐng)求時(shí)，會(huì)向其發(fā)送該異常網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用流類別信息。

信息內(nèi)容為:主機(jī)IP地址，主機(jī)應(yīng)用流分組名，應(yīng)用流名稱列表。

3.2應(yīng)用流的風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)流量的特征是網(wǎng)絡(luò)安全性的重要表現(xiàn)。本節(jié)主要描述網(wǎng)絡(luò)用戶流量的安全評(píng)估過程和機(jī)制。流量的安全評(píng)估實(shí)際上是網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估過程的一部分。風(fēng)險(xiǎn)評(píng)估的方法有定量評(píng)估、定性評(píng)估和定性與定量結(jié)合的評(píng)估方法。在此本文借鑒風(fēng)險(xiǎn)評(píng)估定性與定量結(jié)合的方法設(shè)計(jì)流量的安全評(píng)估子模型。

本節(jié)首先確定該模型的評(píng)估的對(duì)象、指標(biāo)和目標(biāo)，評(píng)估的具體方法如下:

(1)流量安全評(píng)估的對(duì)象是每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用流分組。

(2)評(píng)估對(duì)象的定量指標(biāo)分別是網(wǎng)絡(luò)流量大小、網(wǎng)絡(luò)連接數(shù)和網(wǎng)絡(luò)通信主機(jī)數(shù)。

(3)評(píng)價(jià)的目標(biāo)是確定各應(yīng)用流的安全性。

(4)評(píng)估方法是以先定量后定性的方法為原則，具體方法如下:

1)制定各分組流量的安全評(píng)估規(guī)則，為量化評(píng)估提供依據(jù)。

2)參照安全評(píng)估規(guī)則，根據(jù)3個(gè)量化指標(biāo)評(píng)價(jià)網(wǎng)絡(luò)用戶流量的安全性，并得到安全評(píng)分。

3)根據(jù)安全性評(píng)價(jià)集，將量化后的安全評(píng)分指標(biāo)定性化。另外，對(duì)于攻擊流進(jìn)行特別評(píng)估，并且當(dāng)出現(xiàn)攻擊流時(shí)，攻擊流安全等級(jí)代表主機(jī)安全等級(jí)。

安全評(píng)估子模型的結(jié)構(gòu)如圖3所示。

3.2.1各分組流量的安全定量評(píng)價(jià)

對(duì)于不同分組的通信行為和流量特點(diǎn)，本模塊采用分指標(biāo)量化評(píng)估的方法進(jìn)行安全評(píng)估。表2中各指標(biāo)的安全性劃分是根據(jù)實(shí)驗(yàn)得出的結(jié)論。

對(duì)于各流量安全評(píng)估節(jié)點(diǎn)，A各節(jié)點(diǎn)應(yīng)用分組流量的集合;L為網(wǎng)絡(luò)連接的集合;H是各節(jié)點(diǎn)通信主機(jī)數(shù)集合;Sij是各節(jié)點(diǎn)量化評(píng)估的結(jié)果集合。定義安全評(píng)估函數(shù)F(A，L，H)=Sij(1≤ i ≤ n， 1≤ j ≤ 5)，用于表示目標(biāo)節(jié)點(diǎn)流量安全評(píng)估的量化結(jié)果，從而實(shí)現(xiàn)對(duì)目標(biāo)安全狀況的定量分析。

將該評(píng)價(jià)方法設(shè)為F則該過程可用數(shù)學(xué)描述如下:

其中，Sij為各網(wǎng)絡(luò)節(jié)點(diǎn)中應(yīng)用流分組的安全評(píng)分。

3.2.2流量安全定性評(píng)價(jià)

量化后的安全評(píng)分對(duì)與安全程度的描述仍然有很大的不確定性，因此，需要將安全評(píng)分定性化以確定其所在的安全級(jí)別。每個(gè)安全級(jí)別確定安全分?jǐn)?shù)以及對(duì)于攻擊流的安全等級(jí)劃分如表3—表5所示。

以上5個(gè)安全等級(jí)對(duì)于流量的安全性的區(qū)分如下:

(1)安全狀態(tài)表明該分組流量屬于正常情況;

(2)可疑狀態(tài)表明該分組流量中有可疑成分或流量大小超過正常情況;

(3)威脅狀態(tài)表明該類流量威脅到網(wǎng)絡(luò)的正常運(yùn)行和使用;

(4)危險(xiǎn)狀態(tài)主要指該分組流量危害網(wǎng)絡(luò)的正常運(yùn)行;

(5)高危狀態(tài)表明該類分組的流量成分已嚴(yán)重危害網(wǎng)絡(luò)正常運(yùn)行。

量化安全評(píng)分經(jīng)過定性劃分后可以得到一個(gè)定性的流量安全評(píng)估矩陣Th，將該過程用運(yùn)算h表示為

其中，Tij為第i臺(tái)主機(jī)第j組應(yīng)用流的安全等級(jí)。

4實(shí)驗(yàn)結(jié)果

4.1應(yīng)用流的識(shí)別率

由于TARAS系統(tǒng)能夠識(shí)別多種應(yīng)用流量，因此識(shí)別算法的準(zhǔn)確性是一個(gè)重要的指標(biāo)。網(wǎng)絡(luò)環(huán)境重的各種因素以及網(wǎng)絡(luò)應(yīng)用協(xié)議特征不斷變化等原因，TARAS系統(tǒng)對(duì)應(yīng)用流的識(shí)別存在漏報(bào)和誤報(bào)的間題。應(yīng)用流的識(shí)別率見表6。由表6的統(tǒng)計(jì)數(shù)據(jù)可以看到，TARAS對(duì)各種協(xié)議的識(shí)別存在漏報(bào)和誤報(bào)的情況。具體來看，eMule應(yīng)用由于大量使用UDP傳輸數(shù)據(jù)，因此識(shí)別率不高。另外，http協(xié)議通常使用傳輸層80端口，但這個(gè)端口也被QQ和MSN 2個(gè)聊天軟件使用，除此之外一些木馬后門程序?yàn)榱朔乐狗阑饓Φ姆鈿⒁餐褂迷摱丝冢虼耍谧R(shí)別過程中http協(xié)議會(huì)產(chǎn)生誤報(bào)，即將非http協(xié)議數(shù)據(jù)也當(dāng)作http協(xié)議計(jì)算。

4.2應(yīng)用流的風(fēng)險(xiǎn)評(píng)估

為了測試TARAS系統(tǒng)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性，筆者在擁有8臺(tái)主機(jī)的局域網(wǎng)中做相關(guān)測試，并以其中3臺(tái)(主機(jī)17、主機(jī)77和主機(jī)177)進(jìn)行實(shí)驗(yàn)。局域網(wǎng)內(nèi)8臺(tái)主機(jī)各應(yīng)用分組流量狀況如表7所示。關(guān)鍵業(yè)務(wù)和其他應(yīng)用的分組流量為0。

主機(jī)17使用傳統(tǒng)應(yīng)用FTP執(zhí)行下載任務(wù)，其他流量分組中無或只有極少流量，從表7可以看出，該主機(jī)的傳統(tǒng)應(yīng)用分組流量達(dá)到2 Mb/s，此時(shí)傳統(tǒng)應(yīng)用流量分組應(yīng)該達(dá)到威脅級(jí)別，而其他分組應(yīng)該都是安全級(jí)別，主機(jī)的總體評(píng)價(jià)為安全。主機(jī)77不斷受到Nimda蠕蟲病毒的攻擊，從表7可以發(fā)現(xiàn)，該主機(jī)高危分組的流量為2 048 kb/s，此時(shí)該分組應(yīng)該達(dá)到高危級(jí)別，而其他分組由于流量為0因此為安全，主機(jī)的總體評(píng)價(jià)為高危。主機(jī)177使用BT進(jìn)行下載，并使其流量達(dá)到1 536 kb/s，根據(jù)風(fēng)險(xiǎn)評(píng)估策略，該主機(jī)的P2P及流媒體分組應(yīng)該達(dá)到威脅級(jí)別，其他分組應(yīng)該都是安全級(jí)別，主機(jī)的總體評(píng)價(jià)為安全。表8為TETRAS系統(tǒng)對(duì)表7所示流量狀況進(jìn)行評(píng)估所得的風(fēng)險(xiǎn)評(píng)估結(jié)果。

對(duì)比表7和表8可以發(fā)現(xiàn)，TARAS系統(tǒng)能夠正確地對(duì)網(wǎng)絡(luò)中各主機(jī)流量狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估。同時(shí)該實(shí)驗(yàn)結(jié)果也證實(shí):雖然TARAS系統(tǒng)對(duì)于應(yīng)用流的識(shí)別存在一定誤差，但是該誤差沒有嚴(yán)重影響網(wǎng)絡(luò)運(yùn)行狀況和風(fēng)險(xiǎn)級(jí)別安全，誤差在可接受范圍內(nèi)。

5結(jié)束語

本文針對(duì)當(dāng)前網(wǎng)絡(luò)管理面臨的問題，將應(yīng)用流成份分析和風(fēng)險(xiǎn)評(píng)估引入到網(wǎng)絡(luò)流量分析和評(píng)估領(lǐng)域中，設(shè)計(jì)并實(shí)現(xiàn)了應(yīng)用流分析和評(píng)估系統(tǒng)——TARAS。該系統(tǒng)主要解決網(wǎng)絡(luò)流量管理中的2個(gè)問題: