网络安全风险预案十篇

网络安全风险预案篇1

关键词：医院网络及信息安全；现存风险；应急预案

自进入21世纪以来，在社会经济蓬勃发展的大背景下，我国医院信息网络系统建设技术水平已取得一定进步及发展，社会对于医院信息网络风险应对，提出全新的要求及标准。与此同时，为了顺应时展潮流，满足日益严格的风险应对要求，医院信息网络技术重心逐步向分析现存安全风险及提出应急处理预案转变。我国多数医疗机构信息网络系统较为健全，以内外网核心交换设备及天融信网闸为基础，逐一构建涉及放射科、急诊、病房及门诊在内网络系统。其中，信息网络指电子信息传输通道，不止是开发利用信息资源及应用信息技术的基础，更是共享信息、交换信息及传输信息的有力手段。鉴于此，本文针对医院网络及信息安全现存风险及应急处理预案的研究具有重要意义。

1医院信息网络现存安全风险

按风险来源，医院信息网络安全风险可分为网络病毒、黑客攻击、软件漏洞及操作风险。其中，网络病毒可细分为无害型、无危险型、危险型及破坏型，具有传播性、隐蔽性、感染性、潜伏性、可激发性、外在表现性及破坏性等鲜明特点，复制力强且迅速蔓延于信息网络中难以彻底根除，直接威胁信息网络中传输安全性，一旦医疗机构杀毒软件过于落后或更新管理重视程度不足加剧安全风险；黑客攻击可分为破坏性攻击及非破坏性攻击，轻者非法扰乱计算机系统正常运行，重者非法入侵信息网络系统盗取重要信息破坏系统内数据，造成不可预估性损失。

一旦医疗机构所使用的信息网络系统最初编程设计科学性不足或缺乏全面综合考量，存在产生软件漏洞的可能性成为黑客等不法分子的利用工具，造成破坏系统及盗取信息等問题，甚至设置木马程序及网络病毒入侵信息网络系统，导致系统瘫痪或稳定性下降等问题，大大影响医疗机构服务质量及服务效率。同时，IP协议中非法分子通过预测序列号等方法，可入侵信息网络系统内部完成信息盗取及破坏系统等任务。此外，操作风险属于人为因素风险范畴，其产生原因与操作人员专业技术水平存在着密切联系，一旦操作人员操作流程不正确或操作经验不足极易造成操作失误客观上加剧管理难度，甚至存在引入网络病毒的可能性。

2医院信息网络安全风险应急处理预案

2.1重视网络隔离

一般说来，医疗机构网络病毒、黑客攻击及木马程序均来源于信息网络外部，而为了保证医院信息网络安全性，以内网及外网为切入点采取相应的管理措施。因此在实际处理的过程中，相关技术人员遵循实事求是的工作原则，积极转变传统工作理念，利用网线接口切换内网及外网，通过设置内网及外网闸等方法，以达到有效隔离内外网切断外网木马程序、黑客供给及网络病毒，进入途径的目标充分发挥保护作用，并且不断扩大成本投入，增设非法入侵监测环节，每日定时检查医疗机构信息网络内多台计算机，排除疑似入侵风险，一旦发现入侵问题立刻采取隔离措施，避免非法入侵威胁数据安全。

2.2完善网络协议

在实际处理的过程中，相关技术人员遵循具体问题具体分析的工作原则，积极转变传统工作理念，定期清理信息网络系统设置相同IP地址或相同口令，将IP地址及口令与医疗机构信息网络系统中计算机MAC相绑定，避免不法分子冒领IP地址，进入医疗机构信息网络系统盗取相关信息破坏系统安全性，甚至不法分子冒领IP地址或口令受缺少计算机MAC绑定，无法顺利进入医疗机构信息网络系统内部。同时，利用静态及动态相结合防护技术纳入授权限制访问等机制保护静态信息安全性，以达到限制不法分子随意查阅及盗取相关信息的目标。此外，通过数据加密等方法或借助RSA加密技术能实现动态加密。

总而言之，医疗机构内部构建行之有效的信息安全风险，应急处理系统及健全统一领导协调配合管理机制，对于实现医疗机构信息网络有力协调、明确分工及统一领导具有不可比拟的积极作用，并且纳入重大安全事故报告机制能及时有效处理修复相关重大安全问题。

3结语

通过本文探究，认识到伴随社会不断进步及经济不断发展，未来信息化技术以无线网络为主流发展趋势，而如何保证信息网络安全性已成为每一位无线信息网络用户的要求。因此，相关技术人员积极转变传统工作理念，立足于医疗机构管理机制及实际情况，以现存安全风险为出发点，控制不法分子非法入侵系统行为，确保医院信息网络处于稳定运行状态，为广大医疗机构提供便捷、优质及快速的网络服务，进一步提高医疗机构服务质量，赢得社会及患者支持。

参考文献 

[1]李飞.医院网络与信息安全存在的风险及应急预案处理[J].电子技术与软件工程，2017（08）：224. 

[2]李畅淼.医院网络与信息安全存在的风险及应急预案处理[J].网络安全技术与应用，2016（11）：145-146. 

[3]刘锋，吴东东，姬晓波.医疗网络与外部网络信息安全交互方案设计[J].中国数字医学，2015（10）：96-98. 

[4]姚力，冯娟，蒋昆.医院网络与信息系统突发事件应急预案[J].中国数字医学，2013（02）：58-61. 

网络安全风险预案篇2

按照文件要求，市委网信办对照工作职责，认真排查梳理了我市网络安全风险点，逐项建立完善工作机制，现汇报如下：

1.网络安全风险研判工作：制定了《网络安全事件应急预案》，明确了由于人为原因、软硬件缺陷或故障、自然灾害等对网络和信息系统或其数据造成危害引发负面影响的事件的分析和处理。

2.网络安全风险决策评估机制：成立了网络安全和信息化领导小组，对全市网络安全工作统筹指挥。制定了《网络安全和信息化委员会工作规则》，明确网络安全工作职责和工作制度。

3.网络安全风险防控协同机制：组建了网络安全专家小组，努力应对新形势下网络安全错综复杂的局面，提高网络安全保障水平。实施网络安全事件应急处置联席会制度，对全市网络安全事件的进行预防和应急处理。

4. 网络安全风险防控责任机制：下发了《贯彻落实<党委（党组）网络安全工作责任制实施办法>责任分工方案》，明确责任主体和责任分工，提高网络风险防范防控意识和能力。

网络安全风险预案篇3

一、网络银行面临的新风险

—方面，传统银行面临的风险，如流动性风险、信用风险、利率风险等，在网络银行的经营中依然存在。另一方面，网络银行改变了传统银行业的经营理念和经营模式，不可避免地带来了更多的风险种类。根据网络银行的构成及运行方式，从技术和业务的角度分析，网络银行面临的这些新的风险可分为两类：基于网络信息技术导致的技术风险和基于网络金融业务特征导致的业务风险。

(一)网络银行的技术风险

网络金融是基于全球电子信息系统基础上运行的金融服务形态，因此，全球电子信息系统的技术性和管理性安全成为网络银行最为重要的系统风险。这些技术方面的原因主要包括：

1．技术选择风险。网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能，也来自于选择了被技术变革所淘汰的技术方案，造成技术相对落后、网络过时的状况，导致巨大的技术和商业机会的损失。

2．系统安全风险。网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成，所以，电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。虽然网络银行都设计有多层安全系统，并不断出现新的、安全性的技术及方案，以保护虚拟金融柜台的平稳运行，但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素，也来自网络外部的数字攻击，以及计算机病毒破坏等因素。根据对发达国家不同行业的调查，系统停机对金融业造成的损失最大。网上黑客的袭击范围不断增大，手段日益翻新，攻击活动能量正以每年10倍的速度增长，其可利用网上的任何漏洞和缺陷非法进入主机、窃取信息、发送假冒电子邮件等。计算机网络病毒则可通过网络进行扩散与传染，传播速度是单机的几十倍，一旦某个程序被感染，则整台机器、整个网络也很快被感染，破坏力极大。系统安全风险不仅会扰乱或中断提供正常的服务，给银行带来直接的经济损失，而且影响网络银行的形象和客户对网络银行的信任水平。

3．外部技术支持风险。由于网络技术的高度知识化和专业化，或出于降低营运成本的考虑，网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。这种做法适应了网络银行发展的要求，但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。

(二)网络银行的业务风险

网络银行基于虚拟金融服务品种形成的业务风险主要包括操作风险、市场信号风险和法律风险。

1.操作风险。操作风险是指由于系统可靠性、稳定性和安全性的重大缺陷导致的潜在损失的可能性。这类风险可能来自于网络银行安全系统和其产品的设计缺陷及操作失误，也可能来自于网络银行客户的疏忽，商业银行职员在业务上的误操作，也可能导致网络银行严重的业务风险。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与客户间的信息交流、真假电子货币的识别等领域。例如，网络银行改变了传统的以图章为支付指令的结算手段，采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”，数字签名的可靠性完全取决于银行安全控制系统的严密与否。

2．市场信号风险。信息的非对称性可能导致网络银行面临不利选择和道德风险，这一风险被称为市场信号风险。由于网络银行无法在网上鉴别客户的风险水平而处于不利的选择地位，网上客户可能利用他们的隐蔽信息和隐蔽行动做出对自己有利但损害网络银行利益的决策等。另外，在虚拟的金融市场上，网上客户不了解每家银行提供的服务质量究竟是高是低，多数客户会按照他们对网络银行提供服务的平均质量来确定预期购买价格。结果，高质量的网络银行反而可能被低质量的网络银行排挤出网上市场。

3．法律风险。网络银行的法律风险源于违反相关法律规定、规章和制度，以及在网上交易中有关权利与义务的规定多不清晰，缺乏相应的网络消费者权益保护管理规则及试行条例。网络银行在我国还处于起步阶段，政府尚未有配套、完备的法律、法规与之相适应，金融立法框架主要基于传统金融业务，使银行在开展业务时无法可依。即使各国有相关的法律、法规，但网络是跨越国界的，各国之间有关金融交易的法律、法规存在差异，在网络银行的跨国交易业务中，难免产生国与国之间法律问题上的冲突。目前国际上尚未就网络银行涉及的法律问题达成共同协议，也没有—个仲裁机构，客户与网络银行很容易陷入法律纠纷之中。因此，利用网络提供或接受金融服务，签订经济合同就会面临在有关权利与义务等方面的相当大的法律风险，容易陷入不应有的纠纷之中，结果是使交易者面对着关于交易行为及其结果的更大的不确定性，增大了网络金融的交易费用，甚至影响网络金融的健康发展。

二、网络银行的监管

通过以上对网络银行面临的诸多崭新风险的分析，我们可以看出网络银行的发展将银行业的监管提升到更高的难度，网络银行的风险监管与控制更趋复杂化。笔者认为，要有效控制网络银行带来的新风险，必须针对各种风险的特征建立起国家、行业、企业三层次的网络银行监管系统，互相支持，互为补充，达到对风险强有力的预测、控制、化解的作用。

(一)国家层面的网络银行风险控制

国家层面的网络银行风险控制，具体是指在宏观层次上的风险防范与控制，旨在为网络银行的健康发展提供良好的环境和平台。具体来说：

1．大力发展先进的、具有自主知识产权的信息技术。目前我国在金融电子化业务中使用的计算机、路由器等软、硬件系统大部分由国外引进，而且信息技术相对落后，因此增大了我国网络银行发展的安全风险和技术选择风险。因此，应大力发展我国先进的信息技术，提高计算机系统的关键技术水平，在硬件设备方面迅速缩／j、与发达国家之间的差距，提高关键设备的安全防御能力。

2．加强防范和控制网络银行风险的制度建设。我国目前已初步制定关于网上证券交易、计算机使用安全保障等方面的法规，但还远不能适应网络发展的要求。应借鉴外国经验，在网络金融发展的初期及时制定和颁布有关法律法规，如在电子交易合法性、电子商务的安全保密、禁止利用计算机犯罪等方面加紧立法，修改(合同法)、(商业银行法)等法律条文中不适合网络金融发展的部分。另外，建立完善的社会信用制度是减少金融风险，促进金融业规范发展的制度保障。没有完善的社会信用体系，人们就会减少经济行为的确定性预期，网络金融业务的虚拟性会使这种不确定性预期得到强化，不利于网络金融的正常发展，也会增大法律调节的障碍和成本。

3．加强网络银行风险控制的国际协调与合作。网络金融业务环境的开放性、交易信息传递的快捷性强化了国际金融风险的传染性。对网络银行的监管需要不同国家金融监管当局的密切合作和配合，形成全球范围内的网络银行监管体系。对网络银行的监管包括对借用网络银行方式进行非法避税、洗黑钱等行为的监管；对利用网络银行方式进行跨国走私、非法贩卖军火武器及贩卖毒品等活动进行监管；对利用网络银行方非法攻击其他国家网络银行的电脑黑客网站，以及其他国际犯罪活动进行监管；对利用网络银行方式传输不利于本民族文化和伦理道德观念的信息进行监管等等。

(二)行业层面的网络银行风险挫制

行业层次即在中观层次的风险防范和控制，主要是中央银行对网络银行的各种风险进行监控。具体来讲：

1.及时调整和转变传统的监管思路和监管理念。应当清醒地认识到网络银行的诞生对中央银行传统监管方式带来的挑战：其一，网络银行的发展打破了传统的金融区域界限和行业界限，使得金融业务综合化发展的趋势不断加强。其二，网络的无界性使一项金融业务的开通将迅速普及到一家银行的各个分支机构(网络终端)，这将宣告传统监管方式下金融业务的市场准人实行分区域、按行业逐一严格审批的传统监管方式成为历史，金融监管部门面临的将是金融业务“一通百通”的局面。

2．严格网络银行的市场准入。现阶段，在审批过程中应把握：(1)严格制度建设。网络银行的公示、信息披露、内部控制和系统设计等制度性安排，必须严格审批。但对网络银行的硬件设施配备、技术投入、人员配置不宜干预过多，应当给银行以适当的弹性空间使其根据自己的实际情况进行筹划投资，避免因行政干预造成不必要的资源浪费。(2)重风险防范、化解机制，网络银行的设立或新业务的开展，必须具备完善的风险识别、鉴定、管理、风险弥补和处置方案、计划。

(三)企业层面的网络银行风险控制

企业层面的网络银行风险控制是指各网络银行在各自经营活动中对风险的防范和控制。

1.透彻研究国家的法律法规，必须强化内部监控，防范违规行为和电脑犯罪，避免因法律的不确定性带来的法律风险。

2．加强日常安全管理，对网络银行技术方案进行科学缜密的论证，以避免出现大的技术选择错误。

3．在经营过程中对网上金融消费者进行跟踪和信用登记，尽量避免与信用等级低的客户发生业务关系，降低信用风险。

4．在经营活动中严格按照信誉至上的准则办事，树立良好的银行信誉。

网络安全风险预案篇4

关键词：网络安全；评价系统；设计；实现

一、网络安全态势感知

态势感知（Situation Awareness）这一概念源于航天飞行的人因（Human Factors）研究，此后在军事战场、核反应控制、空中交通监管（Air Traffic Control，ATC）以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知（Situation Awareness）定义为感知在一定的时间和空间环境中的元素，包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次（如图1所示）的信息处理：（1）要素获取：感知和获取环境中的重要线索或元素，这是态势感知最基础的一步；（2）理解：整合感知到的数据和信息，分析其相关性；（3）预测：基于对环境信息的感知和理解，预测未来的发展趋势，这是态势感知中最高层次的要求。

图1态势感知的三级模型

而网络态势感知则源于空中交通监管（Air Traffic Control，ATC）态势感知（Mogford R H,1997），是一个比较新的概念，并且在这方面开展研究的个人和机构也相对较少。1999年，Tim Bass首次提出了网络态势感知（Cyberspace Situation Awareness）这个概念（Bass T, 2000），并对网络态势感知与ATC态势感知进行了类比，旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前，对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出，所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是，态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。因此，网络态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

图2网络安全态势感知系统框架

基于态势感知的三级模型，谭小彬等（2008）提出了一种网络安全态势感知系统的设计框架，如图2所示。该系统首先通过多传感器采集网络系统的各种信息，然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外，该系统还给出针对当前状态的网络系统的安全加方案，加固方案指导用户减少威胁和修复脆弱性，从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案，加固方案指导用户减少威胁和修复脆弱性，从而提高网络系统的安全态势。

二、网络信息系统安全测试评估支撑平台

网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成，如图3所示。各子系统采用松耦合结构，以数据交互作为联系方式，能够独立进行测试或评估。

图3支撑平台的组成

三、网络安全评估系统的实现

网络安全评估系统由六个子系统组成，其中一个管理控制子系统,一个态势评估与预测子系统，其他都是各种测试子系统。由于网络安全评估是本文的重点，所以本章主要介绍态势评估与预测子系统的实现，其他子系统的实现在本文不作介绍。

3.1风险评估中的关键技术

在风险评估模块中，风险值将采用两种模型计算，分别是矩阵模型和加权模型：

（1）矩阵模型。

该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型，采用该模型主要是为了方便以往使用其它风险评估系统的用户，使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成，首先通过安全事件可能性矩阵计算安全事件的可能性，该步以威胁发生的可能性和脆弱性严重程度作为输入，在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。

（2）加权模型。

基于加权的风险评估模型在总体框架和基本思路上，与GB/T20984所提出的典型风险评估模型一致，不同之处主要在于对安全事件作用在风险评估中的处理，通过引入加权，进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为，已发生的安全事件和证明能够发生的安全事件，在风险评估中的作用应该得到加强。其原理如图4所示。

图4加权模型

3.2态势评估中的关键技术

态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念，向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度，通过专题角度，用户可以深入了解威胁、脆弱性和资产的所有信息；通过要素角度，用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况；通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分，通过总体层次，用户可以了解所有威胁、脆弱性和资产的态势情况；通过类型层次，用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况；通过细微层次，用户可以了解每一个威胁、脆弱性和资产的态势情况。

对于态势值的计算，参考了风险值计算的原理，并在此基础上加入了Markov博弈分析，使得态势值的计算更加入微，有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论，可以计算出每一个威胁给系统态势带来的影响，但系统中往往有许多的威胁，所有我们需要对所有的威胁带来的影响做出处理，而不能将他们带来的影响简单地相加，否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响，这是不合理的。在本系统中，我们采用了如下公式来对它们进行处理。

其中S为系统的总体态势值，为第个威胁造成的态势值，为系统中所有的威胁集合。

结语

网络系统安全评估是一个年轻的研究课题，特别是其中的网络态势评估，现在才刚刚起步，本文对风险评估和态势评估中的关键技术进行了研究，取得了一定的研究成果，但仍存在一些待完善的工作。网络安全态势评估中，对与安全态势值没有一个统一的标准，普通用户将很难对安全态势值 有一个直观的认识，只能通过多次态势评估的结果比较，了解网络安全态势的走向。在本系统的态势评估中仅对安全态势值作了一个简单的等级映射，该部分还需要进一步完善。

网络安全风险预案篇5

1.1缺乏必要的应急机制保障尽管农村金融机构都会制定系统应急预案，但往往忽略配套的应急培训，缺乏有效的应急演练和压力测试，一旦紧急事故发生，对问题的及时完满处理就得不到保障。有些农村金融机构制定的系统应急预案存在着涵盖面过于笼统，在针对性和可操纵性方面存在着不足，这又直接关系着问题的处理效果。更多的农村金融机构在业务连续性方面缺乏有效的技术支持，只局限在网络及数据的备份层次，没有灾备，再者管理组织不够完善，一旦发生重大风险，就难以完成应急的有效性。这些情况都严重影响着应急执行效果，对风险的有效排除和危机的处理难以保障。

1.2缺乏健全的组织机构及岗位设置我国农村金融机构对科技部门重视不足，普遍存在科技部门人员配备不足的现象。一个科技人员往往身兼数职，在重要岗位经常发生AB岗位制度难以落实的情况。虽然有风险管理部门的设置，但该部门一般只发挥管控资产、负债类业务风险的作用，不涉及信息科技风险职能。农村金融机构应该高度重视科技风险管理工作，设置更健全的组织机构和岗位，不能让科技部门既是信息系统的建设者和维护者，又是信息科技风险的管理者，因为这样会在形成有效的制衡机制、有效识别并量化可能存在的信息科技风险方面存在着不足。

1.3科技从业人员素质相对偏低目前我国农村金融机构科技部门普遍存在着从业人员专业素质偏低的现象。现有的从业人员工作重点主要体现在日常基础性设备和网络工作的维护，更多掌握的是系统设备维护、机房管理等常规性工作，忽视了专业化的信息科技风险培训，因而对信息科技风险管理知识和相关专业知识相对缺乏，对信息科技管理、规避科技风险等管理性工作涉及较少，很难有效及时认识到各项系统存在的漏洞，更别提全面隐患的排查和消除。

1.4基础设施安全建设存在隐患基础设施安全的隐患主要体现在两方面：一是机房管理不善；二是网络运行安全性不高。我国农村金融机构的机房普遍存在着防火、防水、供电等不达标的现象，没有设置相应的防雷系统，门禁系统缺失、监控盲区的存在等等，这都是机房管理安全急需解决的问题。在网络运行方面，由于数据的大集中，对农村基层网络的稳定性和通畅性都提出了更高要求。现实情况是，农村金融机构存在未按监管要求配置主备通讯线路现象，这样导致基层网点出现不能正常办理业务的可能性增大，造成不良的影响。

1.5电子银行风险管理不到位信息科技的出现为农村金融机构各项业务的丰富和高效提供了方便，促进了我国农村金融机构信息科技建设的飞速发展。随着信息科技在各个业务领域的不断深入，农村金融机构的业务呈现飞速增长趋势，尤其是信息科技的优势体现——电子银行的应用。在这样的环境下，多数农村金融机构的管理重心都放在了传统业务发展方面，疏于电子银行风险的管理。虽然制定了电子银行相关的各项管理制度，但在具体的执行上，仍然存在着严重的不到位情况，加上人员配置的不够，最终直接导致电子银行风险管理缺失。因此，目前我国农村金融机构中的电子银行风险处于多发、高发期。

2农村金融机构信息科技风险防控策略

2.1增强风险防范意识，加大风险管理投入信息科技工作对农村金融机构经营起着重要基础和保障作用，必须充分认识信息科技风险防范在金融机构监管中的重要性。农村金融机构高层管理者必须提高信息科技风险防范的思想认识，对信息科技风险的管理加深了解，加强信息科技风险监管工作的管理工作，最终将信息科技风险管理工作纳入日常经营中去。同时，要加强信息科技安全建设方面的投入，及时消除信息科技系统所面临的各种风险和隐患，保障农村金融机构的稳步和连续性运行。

2.2完善应急预案，加强应急演练农村金融机构要细化危机场景，完善应急预案，定期对信息科技人员开展应急管理培训，根据自身实际情况不断完善应急预案的内容，做到“责任明确、流程明确、预案明确、报告明确、联络明确”，并确保预案的具体性和可操作性，从业人员在不断进行应急预案演练的过程中，不断提高自身的应急能力、抗风险的能力和处理突发事件的能力。另外，为了确保信息系统业务的连续性，农村金融机构还要加强业务连续性管理，根据自身真实状况加强业务连续性体系建设，制定切实可行的业务连续性计划，并定期不定期开展业务连续性应急演练。

2.3增强从业人员专业素质，加强岗位管理针对高素质专业从业人员不足和岗位配置不足的问题，一是加大农村金融机构的人员投入，引入高素质的信息科技人员，同时加大从业人员的培训力度，培养一批专门从事信息科技风险管理工作的专业人才。其次是增加管理、运行、维护等岗位人员的配置，关键岗位设置有效的AB岗位，满足岗位需求。最后，根据《商业银行信息科技风险管理指引》要求，完善相关信息科技风险管理管理制度，加强信息科技风险审计，最终形成人员控制、制度保障、审计监督三位一体的信息科技风险管理模式。

2.4加强基础设施建设，提升基础设施安全水平重点加强机房电力、UPS、消防系统等关键机房环境设备安全的保障，针对基础设施不完善的情况，农村金融机构要采取有效措施改善，保障业务系统工作的连续性。同时完善机房管理制度，实时监控各种设备的运行状况，做到对设备故障的有效预测和报警。还要组织专业人员定期对基础设施进行风险排查，检验基础设施相关的安全、流程和管理措施漏洞，确保基础设施安全管理有效性

2.5加强电子银行风险防范农村金融机构要采取必要手段防范犯罪分子利用银行卡、网上银行、ATM、POS等金融机具实施的不法活动。一方面，可通过提高网络安全、网上银行身份认证等级、合理制定POS、ATM和网上银行的交易限额等技术手段加强防范，另一方面可借助通过公众金融服务教育和柜面宣传增强风险防范合力，加强审查力度，强化电子银行业务风险防范。

网络安全风险预案篇6

关键词：3G物联网安全

中图分类号：TP391.44 文献标识码：A 文章编号：1007-9416（2012）03-0000-00

自2009年8月总理提出“感知中国”以来,物联网被正式列为国家五大新兴战略性产业之一，写入“政府工作报告”，物联网在中国受到了全社会极大的关注，其受关注程度是在美国、欧盟、以及其他各国不可比拟的。

1、安全风险分析

网联网在体系结构上主要分为：应用层、支撑层、传输层和感知层4个层次，不同的层次面临着不同的安全风险和安全需求，从物联网与传统的IT系统比较看，物联网应用特有的安全问题主要有：在末端设备信息被非法读取；末端设备及其数据的非法冒名；末端阻塞、损坏或无法连接。由此可见，物联网与传统IT系统在安全保护方面，主要的不同之处集中于物联网的末端设备和末端网络。可以说感知层的安全问题是物联网发展应用的首要问题。

因此，本文将研究的重点放在物联网感知层、传输层的安全研究上。对于基于3G平台的物联网感知层、传输层安全风险，本文主要将其分解两个部分，一是3G的接入风险，二是末端无线传感网络的信息安全。

1.1 3G接入风险

3G的接入风险主要集中在物联网的传输层和感知层，这部分的安全机制主要为用户和无线传感器网络的网关节点提供安全的3G移动通信网络服务，因此面临的主要安全风险有：

1.1.1分布式拒绝服务攻击（DDOS）

随着互联网的不断发展，利用一批受控制的机器向另一台机器发起攻击成为可能，DDOS攻击就是通过使网络过载来干扰甚至阻断正常的网络通讯。作为物联网应用的载体3G通信网络，互联网遇到的DOS攻击和分布式拒绝服务攻击（DDOS）也将在3G网络中继续存在。

1.1.2身份仿冒攻击

当物联网把海量的客观物品与信息传输网相连接，从而进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理时，

身份仿冒、中间人仿冒等风险将不可避免。同时，由于物联网更加直接地获取、存储、传递、处理个人或组织的信息，因此如何正确、可靠地标识客观物品或主体，抵御仿冒攻击是确保物联网信息安全的重要环节。

1.2无线传感网络的信息安全风险

物联网是互联网、移动通信网和传感网等网络的融合，因此无线传感网络的信息安全风险主要体现跨异构网络的网络攻击，从信息安全的角度可以将无线传感网络的信息安全风险界定为以下4个方面：信息被窃取：非法用户或程序进入网络系统，占用合法用户的资源，非法获取机密信息。信息被篡改：对于加密的信息，非法用户的窃取并不能直接损害机密信息，但是非法用户或程序可以通过修改、删除、插入等方式破坏原有信息，从而达到损害他人利益的目的。信息被丢失：信息的丢失主要有传输故障、终端设备故障以及非法删除等原因而丢失。信息被仿冒：信息仿冒与3G接入风险中仿冒攻击在本质上是相同的，不同之处在于，接入中的仿冒主要体现为身份仿冒。

2、安全体系架构

由于物联网中不同的层次存着这不同的安全风险、安全需求和安全技术，因此物联网的安全体系结构从层次上看也应分为应用、支撑、传输、感知4个层次，同时基于3G网络平台的物联网应用，也将具有3G传输网络的基本特征。

考虑到在应用层、支撑层的安全体系与其他承载网络差异不大，因此本文着重探讨传输层和感知层的安全体系架构。感知层安全主要是3G网络平台终端的无线信息采集、交互的安全，主要依靠3G接入认证、无线加密技术、PKI公钥基础设施来保障。

3、安全技术研究

3.1接入认证

当智能终端需要对特定网关节点内的传感信息进行访问控制时，由于这些信息往往直接与相应主体的隐私相关，因此，对于合法控制端的接入认证显得尤为重要。单纯使用密码验证或是数字证书已经不足以保障对物联网中3G终端的接入认证，借鉴合址认证技术，将密码口令与3G智能终端硬件信息进行捆绑验证，这样可以可以大大提高接入认证的有效性和安全性。主要步骤如下：

(1)将密码口令信息合法智能终端节点的硬件信息（SIM卡编号或终端网络地址）存放于服务器端；(2)智能终端接入时，提供密码口令；(3)移动运营商向服务器端提供终端节点的硬件信息；(4)服务器端对比验证终端的合法性，并确定移动终端对传感网络的控制权限。

3.2信息安全的实现

信息安全的基本需求主要包括：保密性、完整性、可靠性和真实性，主要实现的手段包括对称加密、非对称加密、摘要算法等技术。这些加密技术主要应用在无线传感网络和3G网络平台中。

传感网络采集的信息，需要经过相应的加密方案才能在无线传感网络和3G网络中传输，方案描述如下：

采集信息通过预定的HASH函数处理，生成相应的摘要信息；利用传感终端私钥非对称加密摘要，生成签名信息；传感终端，随机生成会话密钥，用于加密采集信息，生成信息密文，以此保障信息的机密性；传感终端通过预定的3G智能终端的公钥，通过非对称加密生成密钥的密文；3G智能终端接收到签名信息、信息密文和密钥密文，通过预定的3G智能终端的私钥，解密密钥密文，生成密钥密文；用密钥明文解密信息密文，生成信息明文；用相同的HASH函数处理信息明文，生成新的信息摘要；利用传感终端公钥解密签名信息，以此验证信息的来源真实性，并得到原信息摘要；将生成的新摘要与接收的原摘要比较，验证信息完整性，相同则信息完整，反之信息不完整。

网络安全风险预案篇7

越来越多的企业正在利用云、移动和大数据环境，应对各种挑战并加速创新、增强灵活性，改进财务管理。然而，这些趋势也会带来严重的安全隐患。根据惠普主导的最新调查表明，一半以上的中国业务及技术高管认为，缺乏对云服务安全需求的认识令其担忧。而超过四分之三的受访者表示，如何保护和利用大数据也令人担忧。

这项调查结果表明：企业通过采取主动的信息安全保护措施，利用智能安全防御能力降低风险的需求在不断增长。企业在其安全防御方案中变得越来越主动，并更注重战略、管理及安全智能。93％的中国受访企业业务和技术高管表示，其所在企业的安全领导与其他首席级高管拥有同等的话语权，而在全球则有71％的受访者对此表示认同。此外，对安全智能的需求也在持续增加，在中国，85％的受访者指出，他们正在探索使用安全信息和事件管理（SIEM）措施，而在全球该比例为82％。

然而，研究同时表明，企业依然把过多精力投入到被动安全防御措施上，而非更重要的主动安全防御措施。例如，超过一半的受访者表示其花在被动安全防御措施上的时间和预算大于对主动防御措施的投资。在中国，约有一半（52％）的受访企业目前已部署信息风险管理战略，而在全球该比例则不到一半（45％）。在中国，55％的企业仍在手动整合信息风险管理报告，或者根本不衡量风险，这将会妨碍企业主动预测安全威胁的能力，而在全球该比例为53％。

惠普公司企业安全产品部北亚区总经理姚翔说，安全行业是一个被动行业，CIO愿意构建业务系统，缺不愿意主动投入安全，但在企业建设中，安全又是非常重要的部分。企业高管认为增加企业安全管理复杂性的关键IT趋势包括：移动性、大数据、身份管理、基于打印机的入侵。安全形势越来越复杂，攻击以多种形式、捆绑在一起出现，迫使企业反思传统防御策略。尽管技术创新不断涌现，威胁的复杂性、持续性和不可预测性仍在不断增加。为了应对这些复杂的威胁，企业必须采用主动、可持续的信息风险管理方法。惠普智能安全解决方案能够帮助客户对其安全环境进行评估，转型及管理，以对企业最重要的资产进行保护。

惠普公司推出的HP　ArcSight　Enterprise　Secufity　Manager（ESM）6.0c，是目前市场上最强大的可扩展安全监控与法规遵从解决方案，能够帮助客户以前所未有的速度发现网络威胁并进行修复。

姚翔解释说，云计算和移动数据等主要IT发展趋势已对网络活动的可控性和可视性产生了影响，并增加了潜在安全风险。缺乏可视性会妨碍企业防御网络威胁的能力，从而导致敏感数据丢失、服务中断并损害企业声誉。然而，传统的安全信息与事件管理（SIEM）系统缺乏在大量数据产生时发现真正安全威胁的能力。

网络安全风险预案篇8

一、网络会计信息具有诸多显著特点

如今网络科技的快速发展，使得会计信息完全能够实现全球无障碍的交流与共享。与此同时，在会计电算化的基础上，传统的手工记账也慢慢被电子记账所代替，电子记账的优越性也渐渐被显现出来。不容置疑，网络化会计信息的确具备诸多优势。

1、网络会计信息可实现开放与共享

网络会计信息通过网络媒介传递给信息使用者，从而利用网络收集整理财务类或非财务类的有效信息，企业中的有关部门和机构也能从中攫取所需的会计信息资料。会计信息资源的共享包含功能和数据的共享，会计信息功能的共享则是在会计系统软件，会计电算化等系统中实现共享。会计信息数据的共享是指不同终端，通过网络共同管理、分享服务器的数据信息。由此，网络会计信息得以实现有目的指向性的开放与共享。

2、网络会计信息能够与时俱进

网络会计信息是具备实时效应的。也就是说网络会计信息能够保持在当前时间段内是绝对有效的，而不是像传统会计信息一样会出现失效或无意义的会计信息的情况。事实上，一方面，企业信息披露难免会存在间断性，另一方面，企业的经营又会马不停蹄地持续进行，这样一来，使得会计信息想要达到及时效应根本就是天方夜谭。然而，会计信息即使是在实时更新的网络环境下也有可能会失效，所以不得不经常进行备份与时俱进。

3、网络会计信息准确可靠易传播

网络会计信息是准确无误的，具体体现在会计数据资料的内容和核算都必须保证有据可查，一律不允许存在被篡改的和错误的会计信息。网络会计信息是真实可信的，具体体现在信息来源的可靠度规范鉴别上，伪造的虚假会计信息一律禁止在网络上传播。网络会计信息是便于传播的，具体表现为企业能够利用网络准确无误的查询会计信息。会计信息也能够通过网络或者相关人员进行合理传播。

4、网络会计信息具有实时效应

利用网络媒介，企业可以在短时间内将各部门的信息进行整理分类，并及时传输至企业的财务部门。财务部门收到信息后及时对这些信息进行处理加工并做出一系列有效反馈，从而使各个部门能够进行及时有效的沟通，同时尽其所能地发挥出会计信息的反映功能和交易导向功能。

5、网络会计信息可实现综合全面的披露

网络会计信息的使用者必须获取能够准确的、综合的、客观的反映企业的经营及财务状况的会计信息，这样也就方便了信息使用者直接从网络中获取相关有价值的财务信息。参照特定目的，系统自动收集各类相关会计数据，科学直观的反映出企业运营的各个环节。

二、网络会计信息存在风险与隐患

1、网络化会计信息存在技术风险

（1）网络会计信息存在硬件风险。硬件风险不仅来自硬件自身的功能失效的可能，还包含计算机硬件所处的环境。硬件是计算机各类实体部件的统称，计算机硬件可能受到零件质量好坏的影响，造成数据处理的失效或信息的泄露等，导致会计信息数据的损毁。硬盘、存储器或是线路故障也会产生很多不安全因素。人员的不正确操作、人为的有意破坏硬件设备、不可预测的灾害，例如火灾，机房漏水等对计算机硬件的破坏也是非常大的风险。

（2）网络会计信息存在软件风险。软件系统是会计信息能够正常被运用的核心保障。首先，黑客攻击与计算机病毒是造成软件风险的一大因素。其次，财务软件本身也存在着安全风险，最后软件内部控制的不严格也容易造成安全隐患。

（3）网络会计信息存在网络使用风险。一方面，局域网与互联网的风险，在网络信息时代，无论是局域网或是互联网，在网络环境中均能被访问到。第三方有意无意的攻击我方网络都会造成可怕的风险。另一方面，网络上的电子商务也存在交易风险。如今，随着电子商务的崛起，电子网络交易也渐渐成为主流，电子买卖双方存在的信息均能受到威胁。这些威胁包括竞争威胁、机密性数据丧失威胁、虚假订单等威胁。

2、网络会计信息存在系统风险

（1）财务信息易被窃取。网络会计信息系统不可否认给企业带来了诸多利好，同时也承担着财务信息在网上被非法窃取的风险。

（2）网络会计信息易遭侵袭。各类会计信息系统通过网络成为一个庞大的完整的体系，然而互联网总是难以逃脱黑客入侵和恶性病毒的干扰，从而使网络化会计信息系统承受一定的风险。

（3）存储介质存在风险性。存储介质在存储过程中容易遭受到意外的毁损，也存在被带走的风险。在大多数计算机操作系统中，即使文件被删除，但是仅仅只是删除了文件名，释放了存储空间而文件的内容扔保留在存储介质上，易造成大量文件的丢失及被窃取。

3、网络会计信息存在着应用和管理风险

（1）授权控制下降。在传统手工会计操作系统环境下，企业的各类经济业务的往来和各个环节均能设置成内部相互关联的授权程序，而在网络环境下，这种授权可能仅凭一个密码或口令就能够获取，或是相关会计人员把密码告知他人。这些做法和行为使口令的作用降低，导致会计信息泄露，修改或被删除。

（2）内部人员道德风险。无论会计信息设置多严密的保护措施，由于工作人员问题造成的风险也不容忽视。数据显示，在网络会计信息系统被广泛使用之后，会计舞弊和失误的案例在数量虽在下降，但造成的损失和过失的性质却更为严重。首先，会计信息系统的使用者可以借由篡改会计资料等伎俩非法牟利，而系统本身却并不会留下痕迹，这在某种程度上就给会计犯罪提供了动机。其次，管理层经常被授予很高的权限，这就给网络会计舞弊提供了更多可能。

（3）职责分离及监督不规范。网络会计信息系统的使用者也是会计信息的掌握者。而且信息系统的开放、操作和维护等活动中存在的职责分离现象对信息系统的监管的要求就显得尤为重要。而在系统中职责的分离和监督的不规范也给会计信息带来了诸多风险。

（4）相关法律法规不健全。当下，我国针对网络会计信息安全的法律法规尚不健全，更多的仅仅是局限于探索阶段。相关法律的漏洞与空缺无疑给不法分子提供了可乘之机。

三、网络会计信息风险防范对策

1、技术风险防范

（1）加强硬件的安全维护。针对硬件存在的诸多风险，我们应定期对硬件进行检测维修和故障排查。硬件的维护工作即包括日常设备的定期检测与更新换代、设备故障的诊断和排除，包括零件的检查、服务器动态检查、通讯设施故障的检查和排除等。

（2）加强软件的管理监测。最首要的问题就是要加强软件系统的内部控制，加大软件开发力度保证各项活动的有效性和合法性。其次，建立规范完善的病毒预防体系。最后，定期对软件进行维护与检测，对各类财务软件进行各类检测、监管。

（3）加强网络使用风险防范。首先，可以安装防火墙，用以保护局域网与互联网内的企业信息系统免受来自互联网中的攻击。其次，可以利用安全认证与数据加密的方式，实现共同保护会计数据。最后，可以采用一种主动控制技术，即入侵检测的技术来监听流动的网络数据包，并有效识别黑客的数据包，防止黑客入侵。

2、系统风险防范

（1）利用身份验证防范财务信息窃取风险。财务信息易被窃取，我们可以利用先进的身份验证技术来有效防范这一风险。身份验证有两种方式：其一，采用操作人员独有的，别人难以仿制的信息作为身份验证的唯一标识。如今，最常用的就是密码。为了保证密码的安全性，可以采用多种复杂方式编写，可以采用汉子和数字合并，也可以采用现在流行的二维码、图形码来设置。其二，也能采用特点的信息交换或者编码计算来有效验证身份。

（2）建立完善黑客和病毒预防系统。长期以来，网络黑客和计算机病毒都是困扰广大的计算机用户，在网络环境下的会计信息系统也存在此方面的危害。首先在软件的使用方面，要坚决使用正版，彻底杜绝盗版。其次在病毒预防方面，要安装专业的防毒软件，决不能疏于防范。最后，实时对会计信息进行监控，抵制黑客入侵。

（3）加强对会计信息系统档案介质的管理。会计档案要采用两种或是两种以上的介质进行保存。对非常重要的数据、介质形式的数据都要进行双备份，简历严格的数据备份机制，并保存在不同的地方。

3、应用和管理风险防范

（1）建立完善的内部控制和管理制度，加强内部审计。完善会计人员岗位责任制度和职能控制等内部控制和管理制度，明确分工规定各自的职责和权限，对内部系统操作员、管理人员进行严格分离，互不兼任。对会计信息实行用户权限分级授权的管理，明确岗位责任。同时引进定期的审核制度，有效的对企业会计信息进行审计。

（2）加强内部人员的道德素质教育。预防各类案件发生的首要前提是增强内部操作人员的安全意识。因此，企业应加强人员的培训，加强内部人员的会计职业道德建设。特别要让内部人员树立风险意识，加强道德方面的修养与培养。熟练掌握会计相关的法律法规，规范自身行为。

网络安全风险预案篇9

关键词：信息化 高中学校 财务风险 防范 对策

一、引言

财务管理工作是高中学校日常工作的重要内容之一，财务工作的质量直接影响到高中日常活动和运作，财务工作的顺利进行是学校其他日常工作得以顺利开展的前提和保障。随着技术革新速度的加快，信息的增长速度也随之加快，信息技术的应用也越来越广泛，这给高中的财务工作带来便利的同时也带来了一定的风险。信息环境具有开放性，着使得高中财务管理工作的网络安全性和数据完整性得不到保障，电子数据遗失或者失真等现象时有发生。因此，要想在信息化背景下处理好财务工作中存在的风险，可以从以下几个阶段的不同方面入手。

二、要做好财务预算阶段过程中的财务风险防范工作

财务预算工作是财务工作中的核心内容之一，财务预算工作的质量直接影响到后期财务决算工作的质量，财务预算是财务计划实施的必要前提和基础，是该阶段财务工作的纲要，同时也是绩效考核工作开展的重要依据。因此，高中学校要想做好财务工作就要首先从财务预算工作着手。

（一）要利用现代信息技术做好财务预警工作

信息技术的广泛应用，使得各行业的财务工作向信息化、数据化和规范化方向发展，财务信息的收集、筛选和分析工作所采用的方式方法与以往不同。高中财务人员在制定财务预算的时候要充分利用现代化的信息技术，搜集信息，扩大财务信息的来源，同时要结合学校具体的财务活动对财务数据进行分析，做好相应的数据分析工作，以便为高中提供及时有效的预警信息。另一方面，财务人员要明确财务目标，根据真实的财务状况和现金流量情况来开展财务预测工作，同时要以数量化的形式来传达财务预警信息，以便使学校能够及时调整预算，提高财务预算的可操作性和科学性，保证财务活动为财务目标服务。

（二）强化基础数据的审核，保证信息的准确性

科学的财务预算与财务数据的真实性和准确性是息息相关的，合理的财务预算工作的开展需要真实精确的财务信息做基础。高中要建立健全财务预算机制，同时要构建完善的财务系统和财务软件平台，保证财务工作环境与真实环境的统一性。高中财务人员首先要充分利用信息网络技术编制财务预算，在数据收集、筛选和分析工作中要保持严谨的态度，避免数据遗漏和失真等问题的出现。其次，财务人员要强化数据核实工作的力度，力求多方验证，从而为预算的合理性和科学性提供保障。

（三）做好网络监督工作，确保预算方案的有效实行

在网络环境中，数据真实性受到极大的威胁，信息数据被篡改和伪造的可能性加大，这样就会间接导致财务预算方案不够合理，进而导致预算执行与预算方案之间发生背离。为了保证预算执行工作的有效开展，高中学校应该根据实际情况建立财务监督系统，划分网络数据的使用和监察权限，防止数据被滥用。其次，还应该实行业务层级复核制度，对数据进行定期检核，控制财务网络系统，以便对学校财务工作进行监督和管理。这样有利于做好财务预算执行工作，有利于预算方案的有效实施和做好财务风险规避工作，进而实现财务目标。

三、做好高中日常工作中的财务风险防范工作

高中日常工作中的财务风险防范工作是整个财务管理工作中的主要部分，决定着整个财务管理工作质量的高低。

（一）要健全财务管理系统

健全财务管理系统是财务风险防范工作的重心，现代信息技术的不断革新使得网络系统的安全性下降，网络黑客、口令试探、身份假借和信息窃取等问题十分突出。高中要想保证财务工作的安全性，就要建立一个独立的财务管理系统，同时要保证系统运行的安全性，避免系统漏洞导致的信息失真。高中也可以采用局域网等形式来避免自身财务信息的泄露。同时，高中要做好网络权限等级划分工作，加强网络权限管理工作的力度，以便避免数据被非法访问和非法使用等问题的出现。其次，要做好财务网络系统的维护工作，要做好系统的更新和升级工作，同时要做好数据脱机备份，避免数据的遗失。

（二）制定资金运作程序

资金运作的好坏直接影响到高中的日常运作。高中财务管理工作要有一套完善的资金运作程序作为保障，以便其有效的规避财务风险。要制定严格的资金审批流程，消除跨级审批现象，同时要规范资金管理程序，实现资金动态全程监督管理。同时也可以设置相应的主管领导对资金动态进行全程的监督和管理。

（三）要确保收支平衡

财务收支平衡是高中学校中各项工作得以长久健康开展的有力保障，收支平衡是财务工作的重心，确保财务收支平衡是财务活动的基本要求。因此，高中学校的财务人员在日常的工作中要合理控制支出，合理分配收入，努力做好收支平衡。同时，财务人员要严格明确资金的来源和资金的使用方向，以收入来决定支出金额，合理安排，优化资金的配置并提高资金的使用效率，以便做到收支相依，最终实现收支平衡的目的。

四、结束语

现代信息技术的发展是一股不可阻碍的潮流，技术革命给各行各业带来了机遇和挑战。信息技术的应用使得高中学校财务工作发生了新的变化，同时也带来了风险。学校的财务部门要结合学校的实际情况，利用现代信息技术来制定合理科学和具有现实可操作性的财务制度，保证财务计划的有效开展，进一步规避财务风险，提高财务工作的质量和效率。

参考文献：

网络安全风险预案篇10

关键词：未成年人；网络安全风险；网络安全保护；法律规制

一、我国未成年人网络安全风险概述

新时代，未成年人不断通过网络来认识世界，放飞自我，智能互联网已经全面渗透到未成年人的学习、生活、娱乐、社交过程中，为其成长提供了多样化的资源和路径。中国互联网络信息中心的统计数据显示，截至2019年6月，我国网民规模达8．54亿，其中，10岁以下网民群体占比4．0％，10－19岁网民群体占比16．9％。［1］但应看到，在网络社会中，信息流动具有难以控制的风险，使得网络社会存在向风险社会随意转化与建构的可能，［2］未成年人极有可能成为网络安全风险的受害者。这是因为：未成年人有区别于一般网民的身心特点———价值观尚未形成，是非判断能力低，对外界环境的影响缺乏抵抗力；心理和人格发展尚未成熟，自控能力低，容易受到网络不良信息的负面影响；具有强烈的好奇心，猎奇的欲望强，容易受到蛊惑。网络空间的虚拟性、匿名性、全球性等特点与未成年人身心特点叠加，给未成年人的发展带来了许多不确定的风险。［3］细言之，未成年人网络安全的风险因素具体表现在：一是技术风险。如某些境内外不法分子大肆运用钓鱼、伪基站、植入木马等手段精心编造各种骗局，未成年人在网上下载文件、图片、视频或程序时点击不明链接往往“中招”。二是人际交往风险。如随着“狼人杀”等游戏在未成年人中走红，许多中小学生与成人玩家混玩游戏、多人群聊，过早接触成人玩家的网络圈子，使得不法之徒有了可乘之机。三是个人内在风险。未成年人的心智成熟程度有限，对安全信息的辨识能力不强，缺乏自制力，因而面对的网络安全风险也被放大。如：8岁男童因模仿短视频网站上“胶带粘门”的整人视频，导致6岁的弟弟绊倒摔伤；学抖音上的小姐姐浓妆艳抹，小女孩故作成熟说着“土味情话”；12岁女孩偷用父亲手机，3天打赏男主播10万元，等等。未成年人网络安全风险的类型大致可分为：一是内容性风险，如血腥或暴力、成人色情、商业化等。二是联系性风险，如网络欺凌、骚扰、跟踪，被迫性行为，意识形态说服，个人信息滥用等。三是行为性风险，如不当评论、分享传播色情信息、网络、网络侵犯版权等。实践中，未成年人网络安全风险显然不可能通过阻断隔离的方式来化解，通过法律规制来营造健康的网络环境就显得尤为重要。

二、我国未成年人网络安全保护法律规制的价值功能

法律规制是指国家及政府通过法律的手段以解决市场失灵、维护社会秩序为目的，基于法律规则对社会主体的行为活动以及伴随其活动产生的社会问题进行干预和控制。运用法治思维和法治方式对网络空间进行有效治理，能够保障未成年人在网络社会的合法权益免受侵害。（一）法律规制有助于为未成年人构建法治化的网络秩序空间。新时代，从明确提出“没有网络安全就没有国家安全”，到突出强调“树立正确的网络安全观”，再到明确要求“全面贯彻落实总体国家安全观”，这一系列的重大举措无不体现了党和国家对网络安全问题的重视。［4］现实中，未成年人极易成为境内外敌对势力“侵蚀”和“利用”的对象。通过法律手段对网络进行规制，夯实网络空间社会主义核心价值观的法治保障，能够为未成年人提供风清气正的网络文化环境并保障其合法的网络权益，进而实现“网络安全从娃娃抓起”的目标。（二）法律规制有助于塑造新时代未成年人的公民品格。目前，中青年以上的网民都是从线下移民到线上生活的，可以称之为“网络移民”；而青少年网民都是生来就伴随互联网一同成长、共同发展的，可以称之为“网络原住民”。无论“网络移民”还是“网络原住民”，都要自觉成为“网络公民”，在网络社会中既享有权利，更承担义务；既享受网络的自由便利，更维护网络的健康发展。［5］新时代，党和国家大力推动全体社会成员以公民之精神广泛参与到社会治理中来，牢固树立社会主义核心价值观，建设新时代中国特色社会主义公民文化。同时，对于未成年人网络权益的保护也逐渐增强，2016年6月28日，教育部、司法部、全国普法办联合《青少年法治教育大纲》，明确指出加强青少年的法治宣传教育，是全面依法治国、加快建设社会主义法治国家的基础工程，是在青少年群体中深入开展社会主义核心价值观教育的重要途径，是全面贯彻党的教育，促进青少年健康成长、全面发展，培养社会主义合格公民的客观要求。这正是法律正义价值的具体实践。（三）法律规制有助于未成年人达成开拓创新与维护秩序的动态平衡。互联网时代，网络所造就的自由“飞地”大大增进了人们的自我赋权领域与能力，但秩序风险也相伴而来，对信息技术变革时代的法律规制形成了严峻挑战。［6］这就需要党和国家基于公共利益、公平正义和社会秩序的考量，对其进行合理的法律干预。未成年人是互联网时代最富有创新精神、最有活力的人类群体，自当成为互联网技术的主要运用者和技术开拓者。［7］对未成年人网络安全进行法律规制，能够在不牺牲网络行业整体利益的前提下，切实保障未成年人的网络自由表达与利用等合法权益，进而实现网络安全个人利益、公共利益乃至社会利益的综合协调。

三、我国未成年人网络安全保护法律规制的现实困境

对于未成年人网络安全的保护，无论是“儿童利益最大化原则”抑或是“特殊监护模式”都共同指向了未成年人特别保护的国家责任。“虽然对未成年人进行监护、照顾和教育首先是父母的责任，但是互联网的广泛性为未成年人接触外界提供了直通机会，父母对未成年人的控制减弱，这就导致父母在防范未成年人网络风险方面力有不逮，必须依靠国家力量来完善对未成年人的保护。”［8］然而，目前我国未成年人网络安全保护法律规制的实践还面临诸多困境。（一）法律制度不完善。为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，国家出台了一系列法律法规，如《中华人民共和国网络安全法》（以下简称《网络安全法》）、《互联网上网服务营业场所管理条例》《互联网直播服务管理规定》等。但对于未成年人网络安全保护，国家尚未单独立法，相关条文只是散见于《中华人民共和国宪法》《中华人民共和国刑法》《中华人民共和国民法总则》《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）、《中华人民共和国预防未成年人犯罪法》《网络安全法》等法律之中，且在内容上并未体现互联网环境下对未成年人的特殊保护，对构成网络犯罪的未成年人如何承担刑事责任亦缺乏明确规定。实践中，多层、多头的法律体系格局导致了法律适用过程中相互冲突的情况时有发生。（二）执法体系不健全。目前，我国对于未成年人网络安全的执法还处于初级阶段。抖音在美国被处罚，在某种程度上也反映出我国在未成年人网络安全保护上执法不力。在执法依据方面，作为现行未成年人网络安全保护基本法的《网络安全法》尚存诸多缺陷。例如：部分“蜻蜓点水”式的宣示条款缺乏现实操作性；术语体系较为混乱，对于互联网企业先后使用了“网络运营者”“网络产品、服务的提供者”“网络服务提供者”“应用软件提供者”等多种称谓；对政府内部的职权划转关系、机构设置关系未作明确规定，等等。在执法模式方面，执法机关以往在物理空间行之有效的执法模式放置于网络空间就显得有些“水土不服”。网络空间的无边界性使得管辖争议无法避免，而网络空间的独特证据形式也给执法机关如何保证电子数据的客观性、合法性增加了难度。［9］在执法机制方面，未成年人网络安全保护法律规制的事前预防、事中监督、事后处置机制还有所欠缺。具体表现在：对网民、互联网企业等主体的宣传教育不够；跨区域、跨部门协调执法体系尚未形成，信息交流共享不畅；相关法律法规对法律责任的主体、对象、范围和程序等规定不明确；行政执法与刑事司法之间缺乏有效的衔接程序设计，等等。在执法能力方面，由于网络执法人员规模有限，且具备网络专业素养、法治素养的执法人员严重不足，导致在未成年人网络安全法律规制过程中出现办案效力低下、办案“一刀切”等现象。（三）司法保障不到位。司法是维护社会公平正义的最后一道防线。特别是对于未成年人这一特殊群体而言，司法保障不仅能有效救济网络空间给未成年人造成的侵害，还能有效规制未成年人在网络空间中的违法犯罪行为。然而实践中，我国对于未成年人网络安全的司法保障尚有瑕疵。在侦查起诉环节，针对未成年人网络安全的专门性人才稀缺，尚未形成办案、帮教、救助的专业环境，未成年人刑事特别程序模式有待创新，未成年人刑事检察办案区建设还需加强。在审判执行环节，如何把握好“法官造法”或者“司法能动主义”的限度，达成未成年人网络安全保护之目的还在探索当中，少年法庭的建设也存在地域差别明显、专业队伍不足等问题。在社会支持环节，信息共享的服务平台缺位，影响了司法社会工作服务的便捷性；跨机构、跨区域协作及资源链接机制不畅，影响了社会力量参与的综合效益；专业人才不足，影响了项目服务的整体效果；政府购买社工组织服务等社会支持配套措施缺位，影响了司法社会工作的持续发展。［10］（四）法治意识淡薄。目前，我国未成年人网络安全治理领域法治意识淡薄的问题较为突出。就未成年人自身而言，一方面，未成年人身心发展不成熟，沉迷于网络游戏，极易掉进各种诈骗陷阱或遭受网络色情、网络欺凌等不法行为侵害，且事后不懂或羞于维权；另一方面，未成年人法治意识不强，极易受网络不良信息影响而诱发盗窃、抢劫、强奸等严重犯罪行为。就互联网企业（网络平台）而言，根据实名制设置游戏防沉迷，早已是业界常识，但中消协对50款游戏进行体验发现，只有部分采用实名制，而且有的实名制验证方式形同虚设。另外，一些直播平台出现的未成年妈妈等案例也说明平台在运营过程中还是容易被流量、日活等利益私心所绑架。就家长、学校而言，一些家长网络安全法律知识匮乏，无法对孩子进行有效引导与监管；部分学校过于重视传统应试教育，网络安全法治教育宣传力度不够，对未成年人依法上网缺乏必要的指导。