安全風險評估論文
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇安全風險評估論文范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
安全風險評估論文范文第1篇
信息安全風險評估是從風險管理角度出發,構建風險評估模型,建立風險評估體系,運用風險評估方法,系統地分析信息系統所面臨的風險威脅及系統的脆弱性/漏洞,評估風險發生帶來的危害程度,提出應對風險的安全控制措施,規避和控制信息安全風險,降低風險發生的概率,將風險控制在可承受的范圍,為信息安全風險評估提供科學依據。
1.2信息安全風險評估的方法
隨著信息安全風險評估研究工作的不斷深入,形成了多種不同的信息安全風險評估方法,這些方法的出現大大縮短了信息安全風險評估的時間,節省了大量的資源,提高了信息安全風險評估的效率和準確性,為防范信息安全中出現的風險提供了理論依據[3]。目前,常用的信息安全風險評估的方法有定量評估方法、定性評估方法和定性與定量相結合的綜合評估方法。其中,定量評估方法是根據信息系統中風險相關數據,利用具體的評估算法計算出評估結果,并對結果進行分析,它能夠直觀地反應評估結果,更容易被人們接受。但是該方法主要依賴于數學模型來描述風險,在量化的過程中將原本復雜的事物理想化,一般適用于風險評估材料齊全且數學理論基礎較好的情況,常見的定量評估方法有Markov分析法、聚類分析方法、決策樹分析方法、風險審計技術等。定性評估方法是評估者利用自己擁有的專業知識和積累的經驗對信息系統存在的風險進行識別和評價,并提出應對風險的安全控制措施。它對評估者知識和經驗的要求較高,一般適用于風險評估數據不全或者數學理論基礎較為薄弱的情況,常見的定性評估方法有故障樹分析法(FTA)、故障模式影響及危害性分析方法(RMECA)、德爾菲法(Delphi)等。在風險評估的實際過程中,采用較多的是定性與定量相結合的綜合風險評估方法,該方法可以將復雜問題按照層次化結構分解成多個簡單的問題進行分析,大大節省了評估時間、人力和費用,提高了風險評估的準確性和效率,常見的定性與定量相結合的綜合評估方法有層次分析法。
1.3信息安全風險評估的模型
[4]信息安全風險評估模型是信息安全風險評估的理論基礎,是提高信息安全風險評估準確性和效率的重要前提。信息安全風險評估模型如圖1所示,造成信息安全風險的主要因素有威脅、信息資產、信息系統的脆弱性及漏洞和未被控制的殘余風險,信息系統的威脅越大、脆弱性越暴露、漏洞越多、信息資產的價值越大、未被控制的風險越多,則信息系統面臨的風險也越多,風險越多,信息系統的安全性越低。業務系統主要依賴于服務器和軟件等信息資產,業務系統越關鍵,對服務器等硬件和軟件資源的要求就越高,被攻擊的價值也就越大,面臨的風險也就越大。資產的價值和防范風險的意識會導出信息系統的安全需求。當信息系統的安全需求被相應的安全控制措施滿足時,就會降低發生風險的概率。然而有些風險由于成本過高、控制難度較大,往往不進行控制,這部分不被控制的風險具有潛在的威脅,應該受到密切監視,它可能會增加信息系統的風險。
2高校信息安全面臨的風險及應對策略分析
隨著高校數字化校園建設和信息化建設的不斷推進,高校業務處理對信息系統的依賴性越來越強。由于部分高校缺乏危機意識、防范風險的制度和措施,沒有一套完善的信息系統風險評估體系預防風險,當遇到信息安全的突發事件時,只能被動地采用“救火式”的方法處理風險危機,使得信息系統面臨的風險不斷增加。為了及時應對信息系統面臨的各種風險威脅,各個部門、各個環節應密切配合、協調,對高校信息安全面臨的各種風險及應對策略應進行調研分析,建立信息安全的風險評估體系,實現風險評估的規范化和制度化,逐步形成監控風險和控制風險的有效機制[5]。
2.1高校信息安全面臨的風險分析
高校信息安全面臨的風險一般可以分為技術脆弱性/漏洞風險和非技術性風險[6]。
2.1.1技術脆弱性/漏洞風險
高校信息系統面臨的技術性/漏洞風險主要包括數據存儲風險、系統權限設置風險、軟件編碼風險、硬件設備風險和網絡安全風險等。其中數據存儲風險主要體現在數據存儲空間不足、數據備份策略不健全、數據庫安全性低容易導致SQL注入篡改數據庫中的數據、數據不被加密在傳輸過程中容易被篡改或刪除、數據庫結構不合理等方面;系統設置權限風險主要體現在訪問控制策略失效、系統訪問權限過大、客戶身份認證失敗等;軟件編碼風險主要體現在操作失誤、系統漏洞、系統接口不安全、代碼健壯性差、系統運行環境改變等;硬件設備風險主要體現在服務器配置過低、物理設備損壞、網絡帶寬不足、網絡硬件防護設備不齊全等;網絡安全風險主要體現在網絡惡意攻擊使網絡癱瘓、服務劫持、拒絕服務、利用端口漏洞破壞系統、內外網設置缺陷、網站掛馬、非法訪問系統、竊取和篡改網絡傳輸數據等。
2.1.2非技術性風險
高校信息系統面臨的非技術性風險主要包括人為疏忽行為、管理不到位、技術失效、蓄意行為和不可抗拒風險等。其中人為疏忽行為主要體現在由于人為過失或非法操作導致服務器硬件損壞,系統和數據無法恢復等;管理不到位主要體現在沒有安裝殺毒軟件、沒有做系統備份策略和系統安全防護策略等;技術失效主要體現在硬件壽命設計缺陷、軟件服務到期、軟件后門等;蓄意行為主要體現在惡意軟件、系統設備帶木馬程序、蓄意泄漏機密文件、黑客與信息敲詐等;不可抗拒風險主要體現為地震、雷擊等自然災害造成的風險。
2.2高校信息安全面臨的風險應對策略分析
在對信息安全進行風險評估時,可以根據風險評估等級、風險發生概率大小、風險影響大小、控制風險的難易程度和風險管理的成本,給出處理與應對風險的相應策略,供高校決策部門和相關技術部門參考,來降低風險對信息系統的影響。高校應對信息安全面臨風險的應對策略主要有風險規避、風險轉嫁、風險預防、風險控制、風險承受和風險追蹤等。其中風險規避是高校在風險發生之前,采取相關技術措施消除風險因素,避免風險發生;風險轉嫁是高校不能完全避免風險發生時,為了降低風險造成的損失,將風險轉嫁給其他組織或個人承擔,并支付風險承擔者一定費用;風險預防是高校在風險發生之前密切監視風險的動態,采取相應風險防范措施,以降低風險發生的概率;風險控制是高校在風險發生時采取各種技術手段降低風險影響后果,縮小風險影響范圍等;風險承受是高校在綜合考慮控制風險難度、控制風險花費、風險發生概率和高校風險承受能力等情況下,選擇自行承擔風險的方式;風險追蹤是高校在發現風險時,對風險的來源及發起者進行跟蹤,查到根源后追究其相應責任,客觀上可以降低風險發生的頻率。
3高校信息安全的風險評估過程
[7]高校信息安全風險評估過程包括風險評估目標確定、風險識別、風險評價、風險控制策略選擇和風險評估效果分析幾個環節,這些環節是相輔相成,缺一不可的。
3.1風險評估目標確定
風險評估目標是高校開展信息安全風險評估的首要步驟。高校在對信息安全進行風險評估時,應當制定準確的風險評估目標。風險評估目標主要包括風險評價標準、風險因素標準、風險控制目標、風險控制費用標準、風險防范措施制定、風險評估效果評價、風險發生后果影響等。
3.2風險識別
風險識別是高校信息安全風險評估過程中最重要也最難的環節。風險識別直接關系到風險評價結果及風險等級的確定,關系到風險控制策略的選擇,如果不能正確識別風險,就不能采取正確的風險控制策略去規避和控制風險,會大大增加風險發生的可能性。3.3風險評價風險評價是高校信息安全風險評估過程中的主要環節。它主要包括對風險成因、發生概率、影響范圍、威脅程度、損失大小等因素進行定性和定量分析,通過特定的風險評估方法進行測算分析,確定風險的等級及危害程度。
3.險控制策略選擇
高校在綜合考慮風險承受能力、風險控制費用、風險危害程度、風險發生概率和風險評估目標等因素的基礎上,根據風險評價結果,選取相應的風險控制策略,來降低風險發生的概率及帶來的危害。
3.5風險評估效果分析
風險評估效果分析是高校結合自身的實際情況對風險評估等級的判斷是否準確、風險識別的準確性、風險評估目標是否達標、風險控制策略是否得當、風險評估過程的科學性、風險評估數據和算法的合理性進行綜合分析的過程。它對高校提高信息安全風險評估的準確性和科學性有一定的指導作用。
4結語
安全風險評估論文范文第2篇
關鍵詞:網絡安全 風險評估 方法
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2016)11-0210-01
1 網絡安全風險概述
1.1 網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2 網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。
1.3 風險評估指標
在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2 網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1 網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2 風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3 安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3 結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
安全風險評估論文范文第3篇
【 關鍵詞 】 大數據;數據庫;安全;風險評估
Big Data Era Database Information System Security Risk Assessment Technical Analysis
Zeng Jian-guo
(Xinhua News Agency Beijing 100070)
【 Abstract 】 The rapid development of multimedia computer and Internet technology makes human society entered the era of big data, massive data resources for people's work, life and learning convenience. Era of big data database information system is the foundation to support the development of human information. Therefore, the security of database information system has an important role. The information work events based on the author's many years, detailed analysis the face database information system security risk, and discusses the risk evaluation technology, in order to be able to database information security defense system and lay a solid foundation.
【 Keywords 】 big data; database; security; risk assessment
1 引言
大數據給人們的工作、生活和學習帶來了極大的便利,提高了人們的生活質量、工作效率和學習成效,具有重要的作用。數據庫是承載互聯網大數據的存儲器,是為人們提供數據信息的基礎,因此數據庫在大數據時代具有重要的作用。面對日益增長的海量數據信息資源以及豐富的互聯網應用軟件,大數據時代數據庫信息系統的安全風險呈現多樣化、智能化、傳播迅速化特點。許多計算機學者將數據庫安全風險評估、安全防御作為數據庫未來發展的重要方向之一。計算機學者經過多年的研究,已經提出了許多風險評估技術,比如基于灰色理論、基于專家系統、基于神經網絡和數據挖掘算法等,有效地提高了數據庫信息系統安全風險評估的準確程度,快速地發現數據庫存在的安全漏洞,及時打補丁和構建防御系統,為大數據的應用保駕護航。
2 大數據時代數據庫信息系統面臨的安全風險
大數據時代數據庫信息系統面臨的安全風險包括多種,比如木馬、病毒和黑客攻擊,并且存在安全攻擊形式和渠道多樣化、數據庫信息系統漏洞快速增長、安全威脅智能化等特點。
2.1 安全攻擊形式和渠道多樣化
數據庫信息系統為大數據應用提供基礎支撐。云計算、分布式計算、移動計算等技術的快速發展和進步,為大數據應用軟件接入數據庫信息系統提供了豐富的渠道,為人們應用大數據資源的同時帶來了潛在的攻擊,并且使得攻擊形式和渠道呈現多樣化特點。安全攻擊可以采用應用軟件接入端口、郵件傳輸端口、數據采集端口等攻入數據信息系統,并且攻擊形式除了木馬、病毒和黑客之外,還采取了拒絕服務、斷網等形式。
2.2 數據庫信息系統漏洞快速增長
大數據為人們提供了豐富的數據資源,促進許多軟件開發商設計與實現適于人們需求的應用程序,以便存取數據資源,提供不同種類的應用。應用軟件開發過程中,采用的系統架構、實現技術、接入數據庫端口不同,因此導致數據庫信息系統面臨著多種存取模式,比如離線存取、在線存取、斷點續傳等,使得數據庫信息系統漏洞在應用中不斷的上升,為數據庫信息系統的防護帶來了潛在威脅。
2.3 數據庫信息系統安全威脅智能化
隨著計算機技術的快速提升,網絡中傳播的木馬、病毒和黑客攻擊也得到迅速提升,呈現出智能化的特點,潛藏的時間更長,傳播速度更快,感染范圍也更加廣泛,更加難以被風險評估技術、安全防御技術掃描到,一旦爆發將會給數據庫信息系統帶來嚴重的影響。
3 大數據時代數據庫信息系統風險評估技術
數據庫信息系統可以為大數據時代提供數據來源,豐富應用系統功能。數據庫信息系統需要為用戶提供強大的安全風險評估技術,以便能夠確保數據庫信息系統的安全。目前,許多計算機學者經過多年的研究,數據庫信息系統風險評估技術包括安全檢查表法、專家評價法、事故樹分析法、層次分析方法。
(1)安全檢查表法。安全檢查表法可以指定詳細的數據庫風險評估規范、評估內容,邀請經驗較為豐富的安全風險評估專家根據安全檢查表逐項進行評估,及時發現數據庫信息系統存在的風險。
(2)專家評估法。專家評估方法可以根據數據庫信息系統過去、現在運行的情況,參考風險評估標準和準則,預測數據庫信息系統未來的安全趨勢,專家評估過程中,主要采取專家審議法和專家質疑法兩種措施,都可以有效的進行風險分析和評估。
(3)事故樹分析方法。事故樹分析方法本質是一種信息系統風險演繹分析方法,通過分析數據庫信息系統組成部分之間的邏輯關系,以便能夠明確安全事故發生的基本原因,事故樹分析方法能夠識別誘發安全事故的基本風險元素。
(4)層次分析方法。層次分析方法可以自頂向下將組成數據庫信息系統的軟硬件資源劃分不同的層次,形成一個層次模型,并且按照風險可能發生的概率進行優化和組織,最終識別風險發生可能較大的資源。
安全檢查表法、專家評估法、事故樹分析方法屬于定性風險評估,其需要依賴數據庫信息系統安全評估人員的風險分析經驗,結合風險評估標準和類似案例等,評估數據庫信息系統的風險分級,風險評估結果具有很強的個人主觀性。層次分析方法屬于定量分析方法,其可以確定威脅事件發生的概率,確定威脅發生后對系統引起的損失,定量分析可以更加準確的、直觀的描述系統的風險級別,獲取更好的風險分析結果,更具有客觀性,因此逐漸成為風險分析和評估的主流方法。
4 結束語
數據庫信息系統安全風險評估可以有效地發現存儲系統存在的安全漏洞,并且定量計算風險發生的可能性和帶來的嚴重影響,以便制定完善的安全防御策略,保證數據庫信息系統正常運行。
參考文獻
[1] 文偉平, 郭榮華, 孟正等.信息安全風險評估關鍵技術研究與實現[J].信息網絡安全, 2015, 31(2):145-146.
[2] 李剛. Microsoft SQL Server數據庫風險分析與建議[J].信息安全與技術, 2014, 32(8):55-57.
[3] 西米莎.基于大數據背景的數據庫安全問題與保障體系分析[J]. 數字化用戶, 2014, 34(18):89-90.
[4] 李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用, 2014, 28(5):82-82.
安全風險評估論文范文第4篇
摘要:外貿企業風險包括戰略層面風險、經營環節風險和財務風險。外貿企業內部控制是企業風險管理的核心機制,其目標在于合理保證外貿企業財務報告等經濟信息的真實、完整,合理保證外貿企業戰略和經營活動的效率、效果,合理保證外貿企業財務收支活動的合法、合規,合理保證外貿企業各項資產的安全以及促進外貿企業實現其發展戰略。外貿企業內部控制的核心要素包括內部環境、風險評估、控制活動、信息與溝通、內部監督。基于內部控制有效性視角,外貿企業風險的控制對策包括優化內部環境、加強風險評估、健全控制活動、強化信息與溝通和完善內部監督。
關鍵詞:外貿企業風險 內部控制 風險管理 控制對策
一、外貿企業核心業務和關鍵風險
外貿企業是指專門從事對外貿易(進出口)的企業,在國家規定的注冊地,這些企業對產品和服務有合法的進出口經營權。它的業務往來重點在國外,通過市場調研,把國外商品進口到國內來銷售,或者收購國內商品銷售到國外,從中賺取差價。外貿企業的核心業務主要由出口和進口兩部分組成,簡稱進出口業務。筆者認為,外貿企業風險是指外貿企業作為一個社會經濟主體,在存續期間內受所面臨的政治、經濟、社會和技術等環境因素的影響,其真實業績與企業目標發生偏離的可能性。關于外貿企業風險,現有文獻的梳理如表1所示。
由此可見,外貿企業面臨的風險主要包括兩大類,一是經營風險,二是財務風險。
(一)經營風險。經營風險是指外貿企業經營目標無法實現的可能性。經營風險的極端形式是經營失敗。從廣義上分析,外貿企業經營風險包括:(1)戰略層面風險。是指外貿企業在戰略制定和實施過程中,其戰略目標無法實現的可能性,包括政治風險、貿易壁壘風險、政策風險、投資風險和自然災害風險等。(2)經營環節風險。即狹義上的經營風險,它是指外貿企業經營環節目標無法實現的可能性,包括信用風險、結算風險、匯率風險、利率風險、法律風險和道德風險等。
(二)財務風險。董峰(1996)認為,外貿企業財務風險按其財務活動的基本內容來劃分,可分為籌資風險、匯率風險、投資風險、資金回收風險與收益分配風險。朱威(2005)認為,我國外貿企業財務風險主要包括籌資決策風險、投資決策風險、股利決策風險、外匯風險(交易風險、折算風險、經濟風險)、衍生金融工具風險、企業重組風險等。吳曉慶(2010)認為,外貿業務財務風險主要包括信用風險、外匯風險、結算風險、現金流風險、反傾銷風險。葛維璐(2012)認為,外貿企業面臨的財務風險主要有信用風險、匯率風險、流動性風險、非關稅壁壘風險。張小宇、王慶敏(2016)認為,中小外貿企業財務風險包括信用風險、融資風險、流動資金不足風險、匯率風險等。筆者認為,從狹義上理解,外貿企業財務風險是指外貿企業由于負債融資而形成的風險,或稱資不抵債風險。而從廣義理解,外貿企業財務風險是指外貿企業財務管理目標無法實現的可能性,它包括資不抵債風險、壞賬風險、流動性風險和現金流風險等。 除此之外,外貿企業風險還可以區分為系統風險(市場風險)和非系統風險(企業特有風險)。外貿企業風險的存在往往會給外貿企業各項目標的實現帶來很大的不確定性。因此,如何基于內部控制有效性視角,加強外貿企業風險管理的理論與實務研究非常重要。
二、外貿企業內部控制的目標和要素
(一)外貿企業內部控制的涵義和目標。關于內部控制理念的演變,經歷了內部牽制(20世紀40年代以前)、內部控制制度(20世紀40―70年代)、內部控制結構(1988―1991年)、內部控制――整體框架(1992年至今)等階段(宋夏云,2003)。1992年,美國反欺詐財務報告全國委員會下屬發起機構委員會(COSO)了“內部控制――整體框架”,并指出:企業內部控制是指由企業董事會、管理層和其他員工實施的,旨在為達成以下目標而提供合理保證的過程:(1)財務報告的可靠(可靠性);(2)經營的效率、效果(效率效果性);(3)法律和法規的遵循(合規性)。我國《企業內部控制基本規范》(2008)指出,企業內部控制是由企業董事會、監事會、經理層和全體員工實施的,旨在實現以下目標的過程:(1)企I經營管理的合法合規;(2)資產的安全;(3)財務報告及相關信息的真實完整;(4)提高經營效率、效果;(5)促進企業實現發展戰略。
外貿企業內部控制目標是指外貿企業內部控制機制運行的預期效果或理想狀態,是構建外貿企業內部控制框架的邏輯起點。筆者認為,外貿企業內部控制可以定義為受外貿企業治理層、管理層和其他員工的影響,旨在實現以下目標而提供合理保證的一種過程:(1)外貿企業財務報告等經濟信息的真實、完整;(2)外貿企業戰略和經營活動的效率、效果;(3)外貿企業財務收支活動的合法、合規;(4)外貿企業各項資產的安全;(5)促進外貿企業實現其發展戰略。它們相互聯系、相互影響,共同構成一個完整的外貿企業內部控制的目標體系。
(二)外貿企業內部控制的要素。COSO(1992 & 2013)指出,企業內部控制的要素包括內部環境、風險評估、控制活動、信息與溝通,以及監控。我國《企業內部控制基本規范》(2008)指出,企業內部控制的要素包括內部環境、風險評估、控制活動、信息與溝通、內部監督。以下筆者分別對其進行討論。
1.內部環境。內部環境設定了外貿企業實施內部控制的基調,直接影響到企業治理層、管理層和其他員工對外貿企業內部控制的功能定位。良好的內部環境是內部控制機制有效運行的基礎。外貿企業內部環境包括治理結構與權責分配、管理層的理念和經營風格、治理層對內部控制的重視程度、對誠信和道德價值觀的溝通與落實、對專業勝任能力的強調以及企業人力資源政策與實務等。
2.風險評估。風險評估是指外貿企業選用定量和定性指標,在風險預警模型構建和優化基礎上,對外貿企業所面臨的戰略層面風險、經營環節風險和財務風險進行有效識別和科學評估,并及時外貿企業風險的預警信息。即風險評估過程的作用是識別、評估和管理影響外貿企業經營目標實現的各種不確定因素。
3.控制活動。控制活動是指外貿企業根據風險評估結果,采取有針對性和靈活性的措施和方法,努力將外貿企業風險降低至可接受的范圍之內。控制活動有助于合理保證外貿企業治理層和管理層提出的風險管控指令得到充分執行,其內容包括授權、職責分離、業績評價、信息處理和實物控制等。
4.信息與溝通。信息與溝通是外貿企業及時、準確地收集、整理、加工、匯總和傳遞與企業內部控制及風險管理有關的信息,確保各種控制指令在企業內外部之間進行有效傳播和溝通。其中與外貿企業財務報告等信息可靠、相關的信息系統通常包括以下職能:(1)識別與記錄所有的有效交易;(2)及時、詳細地描述交易;(3)恰當地計量交易;(4)正確確定交易生成的會計期間;(5)在財務報表中恰當地列報交易的結果等。
5.內部監督。內部監督是對外貿企業內部控制制度的建立與實施情況實施監督檢查,評價內部控制機制運行的有效性。外貿企業可以授權內部審計機構等職能部門對內部控制的設計和執行進行專門的評價,找出內部控制機制運行的優勢和缺陷,并提出補救建議。
三、基于內部控制有效性視角的外貿企業風險的控制對策
(一)優化內部環境。外貿企業內部環境直接影響到內部控制機制運行的有效性以及企業戰略目標、經營環節目標和財務管理目標的實現程度。外貿企業風險管理的核心環節包括風險識別、風險評估和風險應對。理想的風險管理模式,需要外貿企業按照風險發生的輕重緩急進行有效排序。例如,對于戰略層面的風險,外貿企業治理層和管理層應該高度關注,一旦決策失誤,其前景堪憂。對于經營環節風險和財務風險,企業管理層應該高度重視內部環境的優化,采取合理的措施和方法,及時找出關鍵風險因素,按照風險程度高低進行正確處理。筆者認為,內部環境屬于外貿企業內部控制的核心要素,是內部控制機制有效運行的關鍵影響因素。因此,外貿企業應該采取必要的措施,不斷優化內部環境,其內容包括治理結構與權責分配、治理層對內部環境的重視、管理層的理念和經營風格、對誠信和道德價值觀的溝通與落實、對專業勝任能力的強調、人力資源政策與實務等,并確保外貿企業內部控制機制得到有效運行,進而合理控制其風險。
(二)加強風險評估。在日趨激烈的國內外市場競爭環境下,我國外貿企業風險不斷凸現,時刻威脅著外貿企業的安全。對于戰略層面風險,應該引起外貿企業治理層和管理層的共同關注。外貿企業可以采用PEST分析法、SWOT分析法和Porter五力分析法,對外貿企業的戰略及其潛在的風險進行診斷與分析;對于經營環節風險,外貿企業各個職能部門可以采用定量指標和定性指標相結合的方法,通過構建不同經營環節的風險預警模型,對其風險進行評估和應對;對于財務風險,外貿企業可以采用財務指標為主、非財務指標為輔的評估模式,在指標選取和指標賦權基礎上,合理構建企業財務風險預警模型,對外貿企業財務風險進行動態、精準評估。筆者認為,風險評估是外貿企業內部控制和風險管理的核心環節,是外貿企業風險有效應對的關鍵。在條件允許情形下,外貿企業可以成立專門的風險管控機構,對外貿企業所面臨的各種風險進行動態評估,及時提交高質量的風險預警報告,以最大可能減少外貿企業的損失。
(三)健全控制活動。控制活動是指外貿企業對其風險進行正確識別和評估后,制定科學的風險應對政策、程序、機制和措施,對其風險進行有效應對,其最終目的在于將外貿企業風險降低至可以接受的水平。例如,對于外貿企業的系統風險,企業治理層和管理層應該事前評估和科學應對。對于系統風險或市場風險,必須承受的,堅決承受,不能承受的,可以選擇放棄,或者退出戰略;而對于外貿企業的非系統風險或企業特有風險,外貿企業管理層可以考慮事先設定一個合理的風險承受水平,選擇風險分擔或者風險轉移策略。筆者認為,控制活動屬于外貿企業風險應對的重要機制,其關鍵要素包括授權、職責分離、業績評價、信息處理、實物控制等。為了有效降低外貿企業風險,企業可以考慮建立以下控制機制:(1)對于重大投資活動,應該由企業治理層和管理層共同做出科學、民主的決策;對于企業的日常經營活動,可以由企業管理層進行自主決策;(2)對于企業各項業務活動,外貿企業應堅持責分離的原則,盡量避免出現失誤,甚至欺詐行為;(3)為了避免出現人才流失、業務流失等風險,外貿企業可以建立科學的員工激勵機制。外貿企業可以適時構建合理可行的業績評價體系,對外貿企業業務人員進行定期考核,做到賞罰分明,并努力留住人才;(4)對于外貿企業,尤其是外貿上市公司財務報表等信息披露,其管理層應該承擔應有的法律責任;(5)外貿企業應該建立、健全實物資產的有限接觸制度,以確保外貿企業重要資產的安全、完整。
(四)強化信息與溝通。良好的信息與溝通機制是外貿企業內部控制機制有效運行的重要條件。在外貿企業的風險管理中,企業治理層、管理層和其他員工應該精誠團結,共同肩負著各自的職責。為了有效識別、評估和應對外貿企業風險,企業應該強化信息與溝通過程,做到企業各個層次的人員都能清晰地認識到自己肩負的責任,包括對戰略層面目標、經營環節目標、財務管理目標及其潛在的風險進行有效識別,了解與認識外貿企業內部控制各個構成要素及其相應的功能,并能夠積極參與到企業內部控制與風險管理活動中。在企業風險管理中,尤其需要外貿企業治理層、管理層和其他員工清晰地認識與理解企業風險控制活動的目的、機制、模式和方法,而如何強化外貿企業的信息與溝通能力,是實現企業風險控制目標的關鍵。
(五)完善內部監督。企業風險管理是一個持續發展的動態過程,企業戰略層面目標、經營環節目標、財務管理目標及其風險都會隨著環境的變化而調整,這要求外貿企業的治理層和管理層及時監控企業風險管理的運行狀況。內部監督是內部控制的必要環節,外貿企業應設置獨立的機構,配備專門人員,科學、有效地評估內部控制機制的運行狀況,及時發現和報告內部控制機制運行的重大缺陷,督促相關職能部門及時修補。外貿企業的內部監督包括主管部門的監督、外部審計的監督和內部審計的監督。其中內部審計監督在整個內部控制系統中發揮著基石作用。內部審計可以合理保證外貿企業遵循國家的政策與法規、財務報告的真實性、企業投資和經營管理活動的效率效果性,以及企業戰略目標、經營環節目標和財務管理目標的實現程度等。正因為如此,外貿企業應當不斷拓展和強化內部審計職能,增強其獨立性,提升專業勝任能力,督促外貿企業優化內部控制的運行機制,以合理保證外貿企業的健康、高效發展。X
參考文獻:
[1]胡通海.試論外貿企業經營風險類型及內部控制的建立[J].國際商務財會,2013,(10).
[2]劉永澤,張亮.我國政府部門內部控制框架體系的構建研究[J].會計研究,2012,(1).
[3]錢劍婉.外貿企業風險控制與全面預算管理研究[J].國際商務財會,2010,(2).
[4]宋夏云.芻議內部控制的運作機制[J].審計與理財,2003,(9).
[5]吳曉慶.我國企業外貿業務的財務風險管理研究[D].鄭州大學碩士學位論文,2010.
[6]徐芳.外貿企業內部控制與風險管理――基于寧波地區的研究[D].寧波大學碩士學位論文,2009.
[7]徐珂.基于企業財務視角的外貿經營風險防范研究[D].東華大學碩士學位論文,2007.
[8]袁玉霞,張璐,王霞.外貿企業風險管理與控制[J].國際商務財會,2010,(10).
[9]朱威.我國外貿企業財務風險管理研究[D].中南大學碩士學位論文,2005.
安全風險評估論文范文第5篇
論文關健詞:應用流分析;風險評估;流量分組
論文摘要:針對網絡中的各種應用服務的識別檢測,采用應用層協議簽名的流量識別技術和流量分組技術,實現網絡應用流的分析和風險評估系統——RAS,提出基于流量分組技術的應用流風險評估模型。該系統為網絡資源分配和網絡安全的預測提供有價值的依據。實驗結果表明,TARAS系統具有良好的流量分析效率和風險評估準確性。
1概述
基于互聯網的新技術、新應用模式及需求,為網絡的管理帶來了挑戰:(1)關鍵應用得不到保障,OA, ERP等關鍵業務與BT,QQ等爭奪有限的廣域網資源;(2)網絡中存在大量不安全因素,據CNCERT/CC獲得的數據表明,2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統流量分析方法已無法有效地應對新的網絡技術、動態端口和多會話等應用,使得傳統的基于端口的流量監控方法失去了作用。
如何有效地掌握網絡運行狀態、合理分配網絡資源,成為網絡管理者們的當務之急。針對以上需求,作者設計并實現了一套網絡應用流分析與風險評估系統(Traffic Analysis and Risk Assessment System, TARAS)。
當前,網絡流量異常監測主要基于TCP/IP協議。文獻[5]提出使用基于協議簽名的方法識別應用層協議。本系統采用了應用層協議簽名的流量分析技術,這是目前應用流分析最新技術。然而,簡單的流量分析并不能確定網絡運行狀態是否安全。因此,在流量分析的基礎上,本文提出了應用流風險評估模型。該模型使用流量分組技術從定量和定性兩方面對應用流進行風險評估,使網絡運行狀態安全與杏這個不確定性問題得到定性評估,這是當前網絡管理領域需要的。
2流量分析模型
目前應用流識別技術有很多,本文提出的流量識別方法是對Subhabrata Sen提出的應用協議特征方法的改進。針對種類繁多的應用層協議采用了兩級匹配結構,提高效率。
應用識別模塊在Linux環境下使用Libpcap開發庫,通過旁路監聽的方式實現。在設計的時候考慮到數據報文處理的效率,采用了類似于Linux下的NetFilter框架的設計方法,結構見圖1。
采取上述流量識別框架的優點:(1)在對TCP報文頭的查找中使用了哈希散列算法,提高了效率;(2)借鑒狀態防火墻的技術,使用面向流(flow)的識別技術,對每個TCP連接的只分析識別前10個報文,對于該連接后續的數據報文則直接查找哈希表進行分類,這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設計使得可擴展性較好。
在匹配模塊設計過程中,筆者發現如果所有的協議都按照基于協議特征的方式匹配,那么隨著協議數量的增大,效率又會成為一個需要解決的問題。
因此,在設計應用流識別模塊時,筆者首先考慮到傳輸層端口與網絡應用流之間的聯系,雖然兩者之間沒有絕對固定的對應關系,但是它們之間存在著制約,比如:QQ協議的服務器端口基本不會出現在80, 8000, 4000以外的端口;HTTP協議基本不會出現在80, 443, 8080以外的端口等,因此,本文在流量分析過程中首先將一部分固定端口的協議使用端口散列判斷進行預分類,提高匹配效率。
對于端口不固定的應用流識別,采用兩級的結構。將最近經常檢測到的業務流量放在常用流量識別子模塊里面,這樣可以提高查找的速度。另外,不同的網絡環境所常用的網絡應用流也不同,因此,也沒有必要在協議特征庫中大范圍查找。兩級查詢匹配保證了模型對網絡環境的自適應性,它能夠隨著網絡環境的改變以及網絡應用的變化而改變自己的查詢策略,但不降低匹配效率。應用流識別子模塊的設計具體結構見圖2。
3風險評估模型
本文采用基于流量分組技術的風險評估方法。流量分組的目的是為流量的安全評估提供數據。
3.1應用流的分組
網絡應用種類多、變化頻度高,這給應用流的評估帶來了麻煩,如果要綜合考慮每一種應用流對網絡帶來的影響,顯然工作量是難以完成的。因此,本文引入應用流分組的概念。應用流分組的目的是從網絡環境和安全角度的考慮,將識別后的流量進行歸類分組。筆者在長期實驗過程中,根據應用的重要性、對網絡的占用率、對網絡的威脅性等因素得到一個較為合理的分組規則,即將網絡流量分為:關鍵業務,傳統流量,P2P及流媒體,攻擊流,其他5類。應用流分組確定了流量評估的維度,這樣有利于提高評估的效率。表1列舉了部分應用流的分組。
應用流分組模塊有2個功能。首先是將檢測到的各種應用流量按照表1中的分組歸類,并計算各分組應用流量的大小、連接數目、通信主機數目3個方面的信息,并以一定的時間周期向流量安全評估模塊傳送數據。另外一個是在安全事件出現時,向安全響應模塊提供異常應用流名稱和其他相關信息。應用流分組模塊的輸入是各應用流的流量大小,而輸出有2個:
(1)整個網絡的流量分布矩陣。
(2)異常主機流量分組中的成份。
筆者引入流量矩陣的概念。流量矩陣A的數學定義為
其中,aij表示第i臺主機的第j組流量的大小,aij的單位為實際流量的單位大小。流量矩陣反映了網絡中信息流動的整體情況。
由于TCP/IP協議的廣泛應用,網絡流量中的絕大部分使用基于TCP的傳輸層協議,因此傳輸層的網絡連接數也在一定程度上反映了網絡流量的情況。定義網絡連接數矩陣為
其中,Lij表示第i臺主機第J組應用流的網絡連接數。
在網絡通信過程中,每個流量分組的通信主機數量具有參考價值,在此引入通信主機數量矩陣,數學描述為
其中,hij為表示某一分組流量的通信主機數目。
另外,流量分組模塊在接收到安全響應模塊的請求時,會向其發送該異常網絡節點的應用流類別信息。
信息內容為:主機IP地址,主機應用流分組名,應用流名稱列表。
3.2應用流的風險評估
網絡流量的特征是網絡安全性的重要表現。本節主要描述網絡用戶流量的安全評估過程和機制。流量的安全評估實際上是網絡風險評估過程的一部分。風險評估的方法有定量評估、定性評估和定性與定量結合的評估方法。在此本文借鑒風險評估定性與定量結合的方法設計流量的安全評估子模型。
本節首先確定該模型的評估的對象、指標和目標,評估的具體方法如下:
(1)流量安全評估的對象是每個網絡節點的應用流分組。
(2)評估對象的定量指標分別是網絡流量大小、網絡連接數和網絡通信主機數。
(3)評價的目標是確定各應用流的安全性。
(4)評估方法是以先定量后定性的方法為原則,具體方法如下:
1)制定各分組流量的安全評估規則,為量化評估提供依據。
2)參照安全評估規則,根據3個量化指標評價網絡用戶流量的安全性,并得到安全評分。
3)根據安全性評價集,將量化后的安全評分指標定性化。另外,對于攻擊流進行特別評估,并且當出現攻擊流時,攻擊流安全等級代表主機安全等級。
安全評估子模型的結構如圖3所示。
3.2.1各分組流量的安全定量評價
對于不同分組的通信行為和流量特點,本模塊采用分指標量化評估的方法進行安全評估。表2中各指標的安全性劃分是根據實驗得出的結論。
對于各流量安全評估節點,A各節點應用分組流量的集合;L為網絡連接的集合;H是各節點通信主機數集合;Sij是各節點量化評估的結果集合。定義安全評估函數F(A,L,H)=Sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目標節點流量安全評估的量化結果,從而實現對目標安全狀況的定量分析。
將該評價方法設為F則該過程可用數學描述如下:
其中,Sij為各網絡節點中應用流分組的安全評分。
3.2.2流量安全定性評價
量化后的安全評分對與安全程度的描述仍然有很大的不確定性,因此,需要將安全評分定性化以確定其所在的安全級別。每個安全級別確定安全分數以及對于攻擊流的安全等級劃分如表3—表5所示。
以上5個安全等級對于流量的安全性的區分如下:
(1)安全狀態表明該分組流量屬于正常情況;
(2)可疑狀態表明該分組流量中有可疑成分或流量大小超過正常情況;
(3)威脅狀態表明該類流量威脅到網絡的正常運行和使用;
(4)危險狀態主要指該分組流量危害網絡的正常運行;
(5)高危狀態表明該類分組的流量成分已嚴重危害網絡正常運行。
量化安全評分經過定性劃分后可以得到一個定性的流量安全評估矩陣Th,將該過程用運算h表示為
其中,Tij為第i臺主機第j組應用流的安全等級。
4實驗結果
4.1應用流的識別率
由于TARAS系統能夠識別多種應用流量,因此識別算法的準確性是一個重要的指標。網絡環境重的各種因素以及網絡應用協議特征不斷變化等原因,TARAS系統對應用流的識別存在漏報和誤報的間題。應用流的識別率見表6。由表6的統計數據可以看到,TARAS對各種協議的識別存在漏報和誤報的情況。具體來看,eMule應用由于大量使用UDP傳輸數據,因此識別率不高。另外,http協議通常使用傳輸層80端口,但這個端口也被QQ和MSN 2個聊天軟件使用,除此之外一些木馬后門程序為了防止防火墻的封殺也往往使用該端口,因此,在識別過程中http協議會產生誤報,即將非http協議數據也當作http協議計算。
4.2應用流的風險評估
為了測試TARAS系統風險評估的準確性,筆者在擁有8臺主機的局域網中做相關測試,并以其中3臺(主機17、主機77和主機177)進行實驗。局域網內8臺主機各應用分組流量狀況如表7所示。關鍵業務和其他應用的分組流量為0。
主機17使用傳統應用FTP執行下載任務,其他流量分組中無或只有極少流量,從表7可以看出,該主機的傳統應用分組流量達到2 Mb/s,此時傳統應用流量分組應該達到威脅級別,而其他分組應該都是安全級別,主機的總體評價為安全。主機77不斷受到Nimda蠕蟲病毒的攻擊,從表7可以發現,該主機高危分組的流量為2 048 kb/s,此時該分組應該達到高危級別,而其他分組由于流量為0因此為安全,主機的總體評價為高危。主機177使用BT進行下載,并使其流量達到1 536 kb/s,根據風險評估策略,該主機的P2P及流媒體分組應該達到威脅級別,其他分組應該都是安全級別,主機的總體評價為安全。表8為TETRAS系統對表7所示流量狀況進行評估所得的風險評估結果。
對比表7和表8可以發現,TARAS系統能夠正確地對網絡中各主機流量狀況進行風險評估。同時該實驗結果也證實:雖然TARAS系統對于應用流的識別存在一定誤差,但是該誤差沒有嚴重影響網絡運行狀況和風險級別安全,誤差在可接受范圍內。
5結束語
本文針對當前網絡管理面臨的問題,將應用流成份分析和風險評估引入到網絡流量分析和評估領域中,設計并實現了應用流分析和評估系統——TARAS。該系統主要解決網絡流量管理中的2個問題:
