安全风险及防范例1

[中图分类号] F490.5 [文献标识码] A

企业信息化建设的脚步越来越快，伴随着快节奏的信息化之路所产生的安全风险也越来越多。没有安全风险意识对ERP系统是极其危险的，风险发生所导致的后果一般不可逆的且没办法补救。只有提前做好风险防范才能有效抑制风险的发生，从而避免不必要的损失。本文结合计算机技术及网络技术的最新发展分析了当前ERP软件系统使用中面临的人为因素和客观因素导致的风险，并提出了具体防范建议。希望本文的研究有助于企业加强ERP软件系统使用的安全性，从而帮助企业有效发挥使用ERP软件系统的作用。

一、计算机、网络技术及ERP软件发展现状

ERP是Enterprise Resource Planning的缩写（企业资源计划），20世纪90年代随着计算机技术发展以及在企业管理中的应用而提出的概念，它是以计算机技术和管理科学为基础而最新发展而来的。随着计算机技术、网络技术的不断发展进步，管理对数据准确性及时性的要求不断提高，ERP系统也在不断发展整合，由最早的库存管理，销售管理发展到如今囊括财务管理、生产管理、库存管理、客户管理、供应链管理、销售管理、质量管理等业务相关内容的管理。当前，随着电子商务的发展，互联网的发展，ERP的框架分化为C/S结构（客户端/服务器模式）和B/S（浏览器/服务器模式）结构。管理模式的不同和框架的不同所面临的风险也各有不同，防范方法也差异很大。本文从通用角度探讨风险及防范方法，不针对个例去研究。

二、人为因素导致ERP软件系统的风险

（一）手工录入差错风险

手工录入原始数据的时候，没有严格执行审核机制，录入错误导致后面一系列的计算和分析都是建立的错误的数据之上的。由于原始数据多是手写，录入员对数据的辨识存在主观因。录入过程中也是手工录入，也存在重复录入和遗漏内容等主观因素，这些都会导致录入错误。例如数字‘3’和‘8’的书写不规范就容易混淆，还有日期格式的不同比如5.9.2013有的人认为是5月9日，有的人认为是9月5日，这样就造成认识上的误差导致数据录入错误。

（二）数据篡改风险

出于某种目的，不按着正常软件操作流程进行数据更正，直接进入原始表更改数据导致表之间的关联关系失效。这样导致整个ERP的数据计算和分析都是错误的，更严重的有可能导致表格之间校验失败整个数据库无法使用。目前ERP作为企业经营分析的主要数据依据，一些管理者或使用者出于个人目的篡改原始数据又不想留下更改痕迹（正常数据更正程序都会记录数据更改过程），以达到影响数据分析结果目。例如，某日用百货公司向ERP系统供应商反映客户储值卡无交易记录，但余额变少的情况，系统供应商在认真核查所有ERP系统后发现无操作误差，最后在核查数据库事务日志的时候发现有人用系统管理员登录数据库直接修改储值卡余额，最后根据IP锁定某操作人员通过盗取数据库管理员密码篡改数据为自己谋利侧行为。

（三）病毒导致ERP系统的安全风险

移动存储设备、不安全的网络访问及恶意的网络攻击导致病毒对ERP系统的数据安全造成风险。互联网普及带来的后果之一就是病毒传播越来越快、越来越广泛。病毒伴随着计算机系统的发展，也由最初的以恶作剧为目的发展到当前以破坏软硬件系统及盗取用户信息资料和资金为目的。由最初少数技术能力强的个人制作发展到当前的团队批量制作，病毒导致的危害性变得更深更大。ERP系统上保存的客户、供应商资料及内部数据资料都有可能成为新型病毒攻击的目标。例如，颇具争议的‘灰鸽子病毒’。2007年国内很多不太懂电脑的人通过使用‘灰鸽子病毒’盗取他人网银密码、游戏账号密码、充值网站密码为自己谋利而违法落网的案例，‘灰鸽子病毒’名义上是远程控制软件，同时又具有好多病毒特征（可配置服务器端，监视记录键盘，截取屏幕，免杀功能等等），这样的工具被不法人员所利用就成为了盗窃工具。

三、客观因素导致ERP软件系统的风险

（一）网络不稳定导致数据存储不完全带来的安全风险

随着连锁企业及集团企业对ERP系统数据的及时性要求日益提高，现在大多数ERP系统都支持互联网访问或者专线数据传输，网络的质量直接决定着ERP系统的数据的完整性。同时由于多运营商的不同接入方式导致网络的实际传输和标称相差悬殊，致使ERP系统运行速度慢甚至产生网络连接错误。由于网络不稳定导致的数据存储不完全带来的安全风险，局域网老化，互联网拥堵，VPN接入速度等等方面原因导致数据错误，最终都导致ERP系统完整性的安全风险。

（二）服务器硬件损坏导致数据存储丢失带来的安全风险

由于企业对ERP系统重要性的认识不足及投资限制问题，一般企业都是单服务器运转，很少有企业能做到双机热备。单服务器运行导致数据存储危险性加大，机房的温度控制，是否配备长效的UPS（不间断电源）等因素都对服务器存储数据至关重要。同时地震、火灾、水灾、偷盗等不可抗因素对现代化机房的威胁也不可忽视的，服务器都集中存放在机房，机房的安全隐患导致了ERP系统的安全风险。

四、ERP软件系统安全风险的防范方法

（一）人为因素导致风险的防范方法

通过加强人员管理、提高风险意识，修补漏洞以达到防范人为因素造成的安全风险。具体可以从三个方面入手。

1.建立审计校验机制可有效防范数据录入错误风险。手工录入错误可以通过提高录入员自我检查、设置必要的审计人员来避免，也可以通过在ERP系统里设置原始数据录入的合理校验机制来防范风险，适当延长原始数据保存周期及录入登记手续，做到随时可以追溯数据来源，规范手工单据书写标准（可以参考财务数据的书写标准）、统一编码（ERP系统从建立之初就建立一整套编码体系，在系统运行过程中要严格执行编码标准，防止重码、误码对ERP系统的数据统计产生的风险）、统一格式（对于日期等容易产生差错的格式性数据，统一规范格式，比如日期格式YYYY-MM-DD4位年2位月2位日前面提到日期表述应该是2013-05-09），以达到避免手工录入给ERP系统带来的安全风险。

2.加强内部控制合理分配权限可有效防范数据篡改风险。针对不正常修改表格，可以严格管控数据库管理员、ERP系统管理员权限，对于数据库密码要设置足够强度并且定期修改，以防范密码盗取。明晰各管理员的权责，让数据管理员不参与营运管理，有效避免数据管理员参与篡改数据的风险。规范各岗位使用ERP系统安全意识，操作人员离开座位时，必须退出ERP系统或者锁定ERP系统，防范他人盗用用户名修改数据。在ERP服务器端设置数据校验功能对于没有按正常修改的数据提出异常警报，并保存数据库更改记录。

3.对于病毒所带来的风险可以通过以下方法封堵。使用上网行为管理的设备分别针对不同使用人员给予不同上网权限，过滤不安全网站，封闭USB端口、不得随意使用移动存储设备，通过域来管理用户，普通用户只分配操作权限不具有安装卸载软件和更改系统设置权限，安装正版杀毒软件并及时更新病毒库，及时更新系统安全补丁，设置网络防火墙隔离互联网和局域网，对操作人员培训上网常识，不要点击不确定安全的文件，建立杀毒服务器，监视整个网络防毒杀毒情况，通过这些手段来防范病毒对ERP系统造成的安全风险。

（二）客观因素导致安全风险的防范方法

客观因素导致的安全风险可以通过优化网络运行环境，多做备份来防范风险。

1.对于web的ERP建议及时更新服务器安全补丁，封闭不使用的端口，提高管理员密码强度，强制定期更换用户密码，来保护服务器的安全。定期检查网络运行环境，防止局域网产生链路、回路；检查服务器端口承压。对于中国南电信北联通的情况，建议VPN服务器使用多运营商宽带混合接入，以保障不同用户拨入时都能有稳定的网络环境。同时协调ERP软件系统开发商做好数据的网络校验以达到防范风险目的。

2.防范ERP服务器硬件的风险，选用优质服务器，同时硬盘采取RAID磁盘阵列（RAID1或者RAID5都是廉价解决方案，也可以考虑RAID0+1模式），资金充足可以使用双服务器热备份，同时数据库设置每天自动备份，如果条件允许最好采取异地保存数据，以避免水灾火灾地震等不可抗因素对ERP系统数据的风险，控制机房温度做好通风去静电措施，配备长效UPS防止意外断电造成服务器硬件损坏，建立不可抗因素应对方案，能在发生不可抗因素对机房灾难性毁灭后及时有效的恢复ERP系统。

五、结束语

提高风险意识，加强风险管理，总结经验教训，对于ERP系统的长效稳定运行提供了有利保障。只有这样才能使ERP系统正常运行，为经营管理者提供有效、及时、准确的数据，提供决策数据依据。前述从大家容易忽略、易发生的几种风险给予大家提醒和警示，并提供了一些防范方法供企业参考。使用EPR系统的企业能由上至下树立信息安全的观念，管理层从战略高度出发建立一整套安全风险防范体系，严格执行，必然使员工在处理ERP系统业务时，能依据相关规定做到安全控制和风险防范。

[参 考 文 献]

安全风险及防范例2

1.网络舆情风险。近年来，河南移动、河南联通、奇虎360等企业初步形成了以郑州、洛阳、开封为轴带，辐射带动新乡、焦作、许昌等市的中部数据走廊格局，为全省互联网发展提供了强有力的支撑。郑州作为河南的省会城市，与省内其他地市相比，有着更为重要的政治、经济、文化地位。据统计，郑州市互联网固网线路带宽940G，约占全省总带宽的70%；网站16.4万余家，占全省97.6%；关乎国计民生的重要信息系统2000余个，占全省近40%。2013年的统计结果显示，虽然我省的互联网在近些年取得了长足的发展，但是自2012年以来，针对政府的黑客攻击层出不穷。2012年8月14日晚，郑州市工商局专业分局网站遭黑客入侵，主页被恶意篡改后添加了反动标语。2012年7月4日上午，郑州景安互联网数据中心发现，部署在公司服务器上的延津县、获嘉县的政府网站遭黑客入侵攻击，主页被恶意篡改。据统计，2010年以来，涉及河南省的网络大规模群体性聚集日益增多，一旦形成网络“舆论风暴”，将严重影响社会稳定。随着无线网络、手机移动网络等网络新技术的推广普及，互联网已成为各种社会舆情的主要发源地和扩散地，网上网下呼应，紧密联系现实社会的突发事件往往第一时间在网上出现并迅速传播、扩张和爆发，在短时间内引发大规模群体突发事件，严重影响社会和谐稳定。

2.网络金融风险。河南省通信管理局发部的《2013河南省互联网发展状况报告》显示，河南省使用网络购物、网上银行、网上支付和旅行预订的网民分别达到3279万、2780万、2751万和1747万，网民渗透率分别为56.5%、47.9%、47.4%和30.1%，分别高出全国平均水平的7.6、7.4、5.3和0.8个百分点。随着电子商务的飞速发展，针对网上购物和网络支付的漏洞，假冒电子银行和充值购物网站，骗取客户个人信息和钱财的网络安全风险事件层出不穷。此类网站为了躲避打击绝大多数把服务器托管在境外，河南省每年接到很多遭受经济损失的用户报案，特别是游戏充值类网上诈骗，但由于金额多数达不到立案标准，立案较少。

3.网络信息风险。网络信息风险主要表现为克隆知名网站、虚假信息、实施侵权行为。这些看似权威的机关或媒体网站，实则只是个人开办的，他们假借知名网站的名义刊登广告、虚假信息、收取“删帖费”、疯狂进行敛财。不法分子借知名网站的经典页面提高假网站的知名度，例如，克隆“赶集网”的“赶驴网”。2013年2月5日，郑州市重点网站“商都网”发现一名为“新家居网”的网站，盗用商都网的页面内容。他们除域名及联系方式外，对商都网的排版、页面内容、备案号等全面克隆复制。此类对论坛内容进行复制的行为，由于缺乏法律依据，现阶段只能从管理角度让其停止侵权行为。

二、河南省网络安全风险的特点及原因

《2013河南省互联网发展状况报告》显示，截至2013年12月，河南省互联网用户总数达到5657万户，居全国第5位，同比增长11.8%。其中，固定互联网用户总数达到1103.8万户，同比增长8.1%；移动互联网用户总数达到4553.3万户，同比增长11.9%。但由于各种原因，河南省在网络安全风险与防范方面存在一些不足和问题。

1.安全形势严峻凸显缺乏风险防范意识。随着“宽带中国2013专项行动”在河南省的实施，我省呈现出移动互联网飞速扩展、应用终端更新迅速、信息系统云端储存、资源大数据化等诸多新特点和新领域。但更多的网络安全风险事件也随之产生，网络攻击呈现出入侵渠道多、威力强度大、影响范围广、实施门槛低等特点，我省互联网面临的情况将更为复杂，网络安全风险形势将更加严峻。我省在网络防范方面的问题缺乏安全意识，主要表现在以下几个方面。第一，很多机关部门和企业将官方网站的管理和维护外包给网站服务商，由于很多非正规的服务商缺乏责任意识，不能及时发现客户信息外泄、网站被恶意篡改或植入木马病毒等情况，给机关和企业造成无法弥补的损失。第二，有些机关和企业虽然由本单位维护和管理网站，但一般都是由本单位技术人员兼职管理，缺乏专业人才，导致安全防范技能跟不上网络发展的需要，容易给恶意攻击留下漏洞。第三，政府机关和企事业单位普遍不重视在网络安全风险与防范方面的投入，建立初步的网络安全风险管理制度和应急预案仅仅是为了通过网络安全风险的等级认证，应付上级检查，之后就不再对网络安全风险的技术建设投入更多的资金和人力，也不再进行深入的网络安全风险设计和维护。第四，公众的安全意识有所提升，只是体现在个人电脑上安装与更新杀毒软件以及及时修补漏洞意识的提高。但是随着移动互联网的飞速发展，手机所使用的安卓平台成为网络安全风险的重灾区，恶意程序在手机用户中快速繁衍和扩散，安卓平台的开放性给其用户带来了极大的安全隐患。2012年移动互联网上的安全事件发生率呈井喷之势，并在2013年持续走高，个体网络安全风险与防范的重点已经转移到了移动互联网上，因此提升手机用户的网络安全风险意识刻不容缓。

2.网络违法现象凸显网络安全法律不健全。当前，河南省在完善网络安全相关法律法规上已经做了大量的工作，以国家的法律法规和规章制度为基础，结合本地实际，出台了一系列适用于本省的法律法规。但是现行的法律法规仍然滞后于网络的发展，难以适应新形势。目前互联网的运行、使用和管理存在众多法律空白和盲点，网络安全风险与防范法律法规不健全。例如，我国虽然在《刑法》（修正案七）、《中华人民共和国刑法修正案（七）》、《维护互联网安全的决定》、《治安管理处罚法》等法律法规上对网络违法行为进行了界定和惩处，但是由于条文笼统，缺乏适用性和操作性，不能有效惩治和震慑违法犯罪分子，使一些侵犯网络信息的行为钻法律的空子，逃避法律的惩罚。由于保护范围平衡化问题的缺失，导致“入侵重要领域计算机信息系统罪”的量刑反而轻于“入侵普通计算机信息系统罪”。由于缺失法定刑配置，导致重要领域计算机信息系统可能更易遭到入侵。由于电子勘验鉴定机构司法许可的缺失，网络犯罪的审判工作被推向尴尬境地。由此可见，制定有效的互联网安全防范制度和法律，打击利用互联网进行违法犯罪行为，是实现河南省网络安全风险应急管理的基础，因此，最大限度地保护用户的网络安全任重而道远。

3.移动互联网普及凸显缺乏联动机制。河南省在网络安全风险与防范领域，仍然局限在各自分管的领域进行分散式的治理，各个防范机构之间缺乏有效的联动机制。主要表现在：第一，公安机关对跨地域实施的网络违法犯罪，难以掌握犯罪证据，展开调查追踪有困难，造成立案容易破案难的局面。第二，由于网络犯罪的社会危害性不直观，行为人的罪恶感弱化，导致该类犯罪防控难度加大。第三，“第三方支付平台”防范职能不清，催生网络交易混乱，易被犯罪嫌疑人利用，造成对虚拟社会违法犯罪活动打击不力。第四，部分网络运营商在利益的驱使下，轻视管理责任，忽视对虚拟交易的管理，增加了网络风险防范的难度。就河南省而言，建立有效的互联网安全管理制度和机制，促使公安、工商、教育、文化传媒和众多的互联网安全管理机构实现预警共享、应急沟通和应急协作，提高网络安全风险防护、防范能力，是实现河南省网络安全风险应急管理新突破的重中之重。

4.新兴技术发展凸显风险监管技术落后。第一，大数据意味着大风险。虽然云平台和网盘能够将海量数据集中存储，为数据提取、分析和处理提供方便，但是存储大量高价值数据的信息系统将吸引更多的潜在攻击者。第二，云平台存在各种安全隐患。黑客将攻击隐藏在云端，在云平台上利用数据挖掘和关联分析技术盗取信息，给安全事件的追踪分析增加了困难。第三，以移动互联网为主体的多元化智能终端的发展也为网络攻击带来了更多的攻击渠道，为不法分子提供更多的手段，并实施网络违法犯罪活动。因此，如何应对新技术带来的新风险是我省网络安全风险防范将要面对的重要问题。随着互联网的高速发展，最显著的特点是网络安全风险防范领域扩大了，从技术角上来看，打击网络违法犯罪的根本是双方网络技术之间的抗衡。由于我省的网络安全风险防范仍处于初级发展阶段，客观层面存在基础数据库不完善、专业设备缺乏、管控技术手段更新不及时、技术力量不足、计算机取证和痕迹提取新兴技术欠缺等众多缺憾。主观层面存在公安民警缺乏搜集网络情报信息的敏感性、侦查技能与网络发展不匹配、工作缺乏技术含量和精确性较低等不足。因此，全面提升河南省网络安全风险防范的技术水平，是保障我省网络信息安全的重要因素。

三、河南省网络安全风险的防范策略

1.提高安全意识。当前新兴的互联网技术可能引发的新问题和新风险主要包括不断翻新的木马病毒、钓鱼网站、僵尸网络、恶意程序、安全漏洞等。随着网络新技术、新应用的层出不穷，为了应对飞速发展的互联网技术，运营商的网络线路每半年至少升级一次，技术更新也是网络管控面临的一大难题。在经费方面，省财政应统一将市县两级网络安全风险建设经费纳入年度预算，并逐年递增，确保网络技术装备一流化、国际化，真正达到与互联网技术同步发展。各个基础信息网络和重要信息系统的所属单位应加大网络安全风险保障投入，强化安全防护和管理，坚持做到安全防护设施的同步规划、同步建设和同步运行。在保障经费投入的基础上，非常有必要加强对政府机关、企事业单位和民众的网络安全风险意识和宣传教育。例如，通过电视、广播、网站、宣传册等多种渠道，提醒民众保护好个人数据资料，对涉及的个人信息、支付信息、财产信息应保持高度的警觉性，提升网络安全风险防范意识，防范个人信息泄露和财产损失。

2.提升依法管网能力。推进法律建设的重要途径就是加强网络空间立法。加快出台国家信息安全战略的有关法律、法规，明确应对网络攻击、网络窃密、网络犯罪和网络恐怖主义等网络安全风险威胁的战略目标、指导思想和方针，为维护国家网络空间安全制订整体规划。具体到河南省，就要求清晰地划分政府机关、管理部门、相关企业的责任；分步骤出台或细化法律、法规以防护重要信息的安全系统，防范网络敏感信息，保护个人重要信息，进一步细化网络违法犯罪的法律量刑标准。加大网络违法犯罪打击力度，进一步加强队伍法治建设，推进网络依法规范有序运行。一方面，建立专门的法治队伍，加强对我国现有法律、法规的研究，确保互联网专项整治活动中，依法有据地打击和处理网络违法犯罪行动，同时主动协调检察院、法院，结合新型、高发的网络违法犯罪问题，达成共识，切实解决执法难点，维护社会稳定；另一方面，加大宣传力度，教育引导网民依法用网的自律意识。

安全风险及防范例3

中图分类号：TD611+.2 文献标识码：A

引言

配网的安全运行不仅关系到居民的正常生活，稍有不慎还容易引起严重的安全事故，进而对居民的财产安全造成重大损失。因此对于配网运行过程中的安全风险评价以及管理体系的完善迫在眉睫。本文主要通过配网巡行过程中容易出现的故障为基本出发点结合配网运行异常过程中存在的安全风险的问题进行研究。并对方式配网故障的出现以及安全运行体系进行讨论。

1 配网运行的安全风险

1.1 配网硬件的安全风险

配网在运行的过程中由于电流的电阻发热效应以及电磁化效应会对线路自身造成一定的损害，这种损害主要表现为对线路以及配套基础设施的损害方面。输电线由于温度过高以及风力、降雨等自然因素问题，在使用一定时间之后，容易出现导线的断股、部分损股、烧灼、脱离等问题。并且由于安装过程中的不遵从现象以及鸟类、重力作用的原因对接头部分造成应的影响。严重直接导致了线路的断电以及火花的形成。以上两种均会对当地居民以及配网线路造成一定的影响。

1.2 配网巡视的风险

由于配网关系到电力的输送以及人们生活生产的开展，需要经常对配网线路进行巡视。通过不断的巡视来掌握配网的运行状态，并降低其不遵从的概率，进而保障了工业与居民用电系统的可靠性。

在巡视的过程中容易出现一定的风险主要表现为巡视过程中无意触电、配网地理环境造成的巡视风险、巡视中的坠落以及空间掉落物伤人等风险。在实际的操作过程中此类风险的存在往往是由于恶劣的天气状况以及复杂的地理环境以及不合规操作造成的。主要表现为巡视人员在对配网的巡视过程中出现坠落，落石，大雨，闪电等原因，进而对巡视人员造成伤害。增加了巡视过程中的风险的存在。

1.3 配网施工的风险

对于配网施工过程中存在的风险主要分为两大部分，一部分是在配网的架势过程中即首次施工的过程中存在的风险此部分的风险主要是通过施工过程中的不遵从以及施工人员对质量以及施工现成的安全把握不足而造成的。在实际的施工过程中主要表现为在杆体的假设过程中由于地基的不牢固造成的杆体倒塌，杆体附着物坠落等问题造成的人员伤亡。在线路的假设过程中施工人员由于安全意识不强，施工安全措施保护不利等问题而导致的施工人员受伤等问题。

另一方面配网施工风险则表现为在配网的正常损耗配件的更换以及维修方面存在的风险。此部分的风险主要表现为操作人员的操作不当而造成的。在针对线路的维修过程中由于混淆带电操作以及非带电操作的操作规程。而使得施工人员触电、在针对其他附属物的施工维修过程中除了触电风险之外，还存在附属物脱落，施工人员固定缺失等问题。在针对配电箱以及变压器的施工过程中风险的主要表现形式则分为了三点：

首先，在开关柜开启的过程中：存在带电合地刀（挂接地线）、带地刀（接地线）合开关，发生三相接地短路，产生爆炸以及人员电弧烧伤；存在带负荷拉刀闸，造成电弧放电；存在打开带电的电缆室门，并进入工作，造成触电事故；存在误碰设备，造成误分、合闸。

其次，在杆体上开关的过程中：杆体上开关没有安装接地刀闸，但杆体上开关的下一级如果接入开关柜，如果开关柜合上接地开关，则会出现带地刀合开关的风险。

最后，在母联方式的电源施工过程中：双电源设计的站点正常运行时，不允许两路电源合环运行，可以一条线路带两段母线的负荷，母联开关合闸运行； 或两路电源分别带一段母线运行，母联开关分闸。假如开关全部合闸，风险跟联络开关分析一致。

2 配网运行的风险防范对策

配网的运行风险防范对策同样分为三个方面：配网设备硬件的风险防范对策、配网设备巡察的风险防范对策以及配网设备维护的风险防范对策

2.1 配网设备硬件的风险防范对策

对于配网设备硬件的风险防范对策主要集中对设备安全系数的鉴定以及对硬件运行状况的检测。对于对硬件安全系数的鉴定需要严格的按照国家的配网施工原则与标准进行，针对不同种类的配网硬件设施按照执行规范进行风险的评估。比如对于变压器的使用过程中其散热装置的自然老化，线路的自然风险等问题均需要计入风险评价体系中去。对于存在较大运行风险的硬件设备应当予以及时的更换与维修，进而保障其安全的运行。对于硬件状况的检测则需要通过加强对配网线路及其附属硬件的检测，采用定期检测，重点排查的方式进行，来保证设备运行的低风险性。

2.2 配网设备巡察的风险防范对策

配网设备巡察的风险主要出现在排查人员的操作失误方面。因此对于风险的防范主要通过对巡察人员的行为规范以及技能培训方面，具体分为如下几点：

首先，需要对排查人员进行专业的技能培训，做到持证上岗，并具备一定的排查与施工经验。进而降低排查过程中出现的人为影响。

其次，在排查的过程中采用多人小组的模式进行，避免单独人员的排查工作，一方面通过相互监督的方式降低了不合规的风险，另一方面则是通过紧急问题的处理方面可以多人配合协调工作，降低了在排查过程中的风险。

最后，明确排查工作的工作目的，排除工作仅需对配网的线路进行检测以及必要的原因判断，而不需要进行现场的施工。由于排查人员与施工人员的专业技能领域以及配套工作与安全防护体系不同，进而贸然施工的话会增加风险系数。通过这种方式，在遇到问题的情况下及时的向相关部门反映而非强行施工，进而降低了在排除过程中存在的风险。

2.3 配网设备维护的风险防范对策

对于配网施工的防范风险则主要表现为施工的安全标准以及现场监督管理体制的健全方面。具体的对策如下：

首先，确保施工的执行标准与安全控制。在施工前应该对相应的施工设备与施工材料进行检测，避免由于设备损坏等问题造成的施工风险。此外，尤其是需要对施工环境进行反复确认，如是否带电，天气情况等因素。

其次，在施工的过程中应该严格的按照施工的质量标准去进行，比如对于配网杆体的架设过程中应该严格的按照国家的标准进行地基的铺设等问题。

最后，加强施工的过程中现场监管体系，尤其是对安全施工的体系的监管与评价，通过培训、宣传等手段增加施工过程中的安全系数。

总结

配网的运行安全风险主要来源于三部分：配网的硬件运行风险，配网线路的检测风险以及配网线路的施工风险。本文通过对前人研究结论的总结以及相关的工作经验。对如上三个问题进行分析，找到了存在风险的主要依据以及造成的危害。并从原因出发为风险的防范提出了自己的解决对策。希望能够为今后的配网运行安全提供理论基础。

参考文献

[1]倪展.配网作业安全标准化系统的开发及应用[J].电力信息化，2006，(7).65-67

安全风险及防范例4

【关键词】妇产科；安全风险；医疗纠纷；防范对策

妇产科涉及范围广且整体性、专业性较强、风险大，对妇产科护士的知识面要求广，应急能力要求强，无菌要求高，是不同于一般临床科室的高风险科室［1］。随着我国医疗事业的发展，人们的健康意识和法制观念日益增强，加之医疗环境存在诸多不稳定的因素，医患之间关系不和谐，使得妇产科成为医疗纠纷的高发科室，也对妇产科的护理工作提出了更高的要求。良好的医疗环境是保证医疗安全和医疗质量的重要因素。因此，如何防范护理风险，保证护理安全，全面提高护理质量成为目前大多数学者研究的重点。本文将重点对妇产科的护理安全风险进行分析并探讨采取何种有效的措施防范安全风险。

1 妇产科护理中存在的安全风险及原因

1.1 患者方面重视不够:随着现代医疗技术的发展，妇产科患者手术和治疗的危险性和复杂性呈逐渐递增趋势，而对孕产妇及家属来说，妊娠分娩的过程是人体自然生理现象，是安全的，无需对其过度的担心，对其危险性重视不够，风险防范意识差，不能够积极配合医护人员的治疗，因此给治疗安全埋下了隐患。

1.2 护理人员法制观念淡薄:有些护理人员法律意识淡薄，不能依法从事护理工作，有时会侵犯到患者享有的某些权利，如：知情权、健康权、受尊重权、安全权及选择权等。护理人员在护理过程中由于忽视潜在的风险隐患，忽略患者的心理需求，侵犯了患者的权益，导致护患之间冲突和纠纷的现象经常发生。

1.3 护理人员责任心不强，专业技术不过硬: 护理工作是一项责任重大的服务性工作，护理人员不仅应具备良好的职业道德，还必须具备适应护理工作需要的专业知识和娴熟的操作技能。有些护理人员擅自离岗、串岗，对患者病情的观察存在疏忽，没有严格按照相关的护理规章制度进行护理操作，不严于职守。个别护理人员临床经验不足，技术水平有限，对整个产程及产后的病情变化、并发症的发生观察不够细致，预见性差，延误处理时机［2］，也是导致妇产科护理安全风险的主要原因。

1.4 护患之间缺乏沟通:护理人员与患者接触最多，在与患者交往中，如果不注意自身言行，态度冷漠，出现问题不主动与患者交流就易于出现护理质量缺陷而产生纠纷［3］。由于缺乏必要的沟通，护理人员无法将手术、分娩、新生儿的喂养等信息及时传递给患者，导致患者对治疗安全认识不清，缺乏对医护人员的信任感。

1.5 护理行为监督力度不够:医院职能部门对护理工作的检查流于形式，监管力度不够，没有做到对妇产科护理工作的各个环节做到严格监管，护理工作中存在的诸多不规范的操作，护理质量的下降也给护理工作带来了巨大的风险。

2 护理风险防范对策2.1增强法律意识，加强护理风险教育:妇产科每项护理操作均存在着法律问题，科室应定期组织医护人员共同学习相关的法律知识，对护理工作中涉及的法律问题进行探讨，互相交流心得，避免纠纷的发生的同时也能运用法律手段维护自身的权益。护理人员在护理工作中应对风险有正确的认识，通过加强风险教育，对潜在的风险做出正确的评估，以便采取合理的措施控制风险的发生。

2.2 加强敬业精神的教育，增强责任心:护理人员应认真学习和掌握相关的规章制度，自觉遵守各项制度，严格要求自己，规范自己的言行。教育护理人员本着对患者生命高度负责的精神，认真护理，严格执行操作规程，确保医护安全和医护质量［4］。通过举办护理礼仪大赛、 爱岗敬业演讲比赛等活动提高护理人员的文化素养，增强其责任感。

2.3 开展护理人员技能培训，提高知识和技能水平:良好的护理技术是防范护理质量缺陷的基础和保证，医学的高速发展要求护理人员必须终身学习。护理管理者应为护理人员提供更多的机会参加各种学习［5］，定期举办护理专题讲座，加强各种护理基本技能的操作练习，通过举办各种技能操作大赛提高各个层次护理人员的操作水平。医院应为年轻的护理人员创造更多的外出进修和深造的机会，积极学习新技术以适应医院的发展需求。

2.4 加强护患沟通:和谐的护患关系是提高患者满意度的重要保证，加强与患者及其家属交流，注意沟通的技巧，及时准确的将病情进展及异常情况告知家属，可以增进患者及其家属的信任感。对患者及其家属进行健康宣教，向孕产讲解分娩知识，给予患者心理护理，消除其恐惧心理，减轻心理压力，树立分娩的信心。

2.5 加强组织管理监督:由院领导牵头，护士长参与成立监督组定期对护理工作的各个环节进行监管，及时发现安全隐患，将风险扼杀在萌芽阶段。同时各临床科室之间应加强交流，互相监督，监督护理人员的行为和护理质量。对护理工作开展较好的科室或个人给予褒奖，对表现差的个人或科室给予惩罚，通过奖罚结合调动护理人员的责任心，提高护理管理质量。

3 小结

妇产科护理风险存在于患者、护士、医疗护理水平及组织管理等方面，护理人员必须规范职业行为，增强责任心，为患者提供优质的服务。只有这样才能将护理风险消灭在萌芽状态，减少和避免护患纠纷引发的不良后果，保证护理安全。

参考文献

［1］ 梁英，孙芳霞，周春兰. 妇产科护理安全隐患及防范细节管理［J］.中国民康医学，2009，21（8）:2335-2336.

［2］ 季宏波，赵莉，董艳红.妇产科护理纠纷的常见原因及对策［J］.中国病案，2008，9（10）:17-18.

［3］ 王素芹.妇产科常见护理纠纷原因分析及防范对策［J］.齐鲁护理杂志，2008，14（6）:123.

安全风险及防范例5

电力是生产生活必不可少的资源，电力调度的好坏直接影响到人们生活的质量以及需求，为了为人们提供更为周到、高品质的供电服务，就需要做好电力调度运行工作。然而然而调度运行的过程中，我们可能会遇到各种各样的安全风险，这些风险或是不及时、又有效地预防、解决，电力调度运行的效果将很难得到保障。笔者结合自身的经验，分析了当前电力调度运行存在的安全风险，并提出了相应的预防对策，具体如下。

1电力调度运行存在的安全风险

1.1运行体制不健全

有效的运行体制是电力调度运行效果的保障，然而当前部分电力企业电力调度运行机制不健全，在诸多方面存在缺陷，不单单体现在人员管理、安全管理上，还体现在规章制度的建立与执行、检修计划无计划等方面。正是由于这些机制存在缺陷，使得电力调度难以达到理想的效果，引发了诸多的安全风险。

1.2电力调度故障

安全风险最常见的原因就是电力调度故障，一旦出现电力调度故障，电力调度的运行及服务将受到直接的影响。电力调度故障的种类很多去，其中不但包括机器类故障、保护系统故障、电脑系统故障，还包括保护系统故障、自然灾害及其他不可抗力导致的故障等。对这些故障，我们要采取两手策略，一方面要筛选可以预防的故障，采取有效地预防对策，另一方面要做好应急预案，当遇到自然灾害等不可抗力导致故障的时候，能够有条不紊地应对。

1.3人员方面问题

人员问题也是导致安全风险的重要原因，从当前的情况来看，主要体现在如下几个方面：其一，当人员交接、轮换的时候，由于责任心不强，很可能导致命令错误、信息传递不明，进而诱发安全风险。诸如电力企业使用命令过于烦琐，且清晰度不高，据很可能导致命令的传输――接收不一致；当人员从事繁琐工作的时候，容易烦躁、疲劳，在这种情况下也容易诱发错误；如果人员未能近距离观察，也可能导致判断错误，影响信息的准确性、有效性；当轮班交接的时候，若是未能严格按照交接流程、程序完成交接，极易遗漏信息，出现失误、错误，威胁电力调度运行安全。其二，当人员送电过程中，若是未能贯彻相关规定、章程、工作内容，也会埋下安全隐患。诸如延误送电，一些工作人员的命令意识不强，对调度命令不重视，使得电力调度的效率大大降低。一旦出现紧急问题，这种低效率的命令执行，也会导致诸多安全风险。

2电力调度运行安全风险防范对策

2.1预防人为电力调度故障

在实际的电力调度过程中，存在诸多由人为因素导致的电力故障，针对这种电力故障，电力企业应该采取有效地预防措施。之所以会出现这些电力调度故障，本质上还是因为电网的规章制度并未贯彻落实，操作人员的责任意识、命令意识不强，导致电力调度指令难以精确完成，进而诱发了安全风险。为此，电力企业应该加强对调度人员的安全风险培训，加深调度人员对制度的了解，贯彻落实电力调度的相关制度。具体来说，可以采取如下措施：其一，加强工作票审查工作。为了确保电力调度运行的规范性，电力企业应该严格审查工作票。这样做的目的，一方面是为了规范工作票管理制度，另一方面是针对票上的特殊要求进行精确审核，避免出现漏洞、错误。只有经过审核的工作票才能签收。其二，预先发放调度指令票。当完成工作票的审查后，电力企业可以预先发放调度指令票。预先发放应该做好核对工作，避免其中的姓名、单位、岗位等信息发生错误，影响调度指令效果。

2.2做好电力调度过程管理

具体来说，要做到如下两点：其一，及时、有效地处理安全隐患、事故。安全风险的诱发因素并不是确定的，和环境、设备、人员、气候等都有关系。为此，在实际的电力调度过程中，一旦出现安全隐患、事故，调度人员应该结合隐患、事故的具体情况，采取针对性的隐患剖析、决策分析，拟定针对性的安全防范措施；当出现安全事故的时候，应该按照安全预案的要求，消除安全事故的不利影响，降低损失。其二，优化电网运行。在电力调度的过程中，电网运行方式同样十分重要。为此，电力企业应该着力优化电网运行方式，确保电网运行的稳定性、科学性，并结合电网的实际运行情况，进行动态性调整，确保用电的稳定性、安全性。如果存在断电已久的用户，要优先处理这些用户；如果涉及到一些特殊用户，应该着力保障其安全供电，诸如医院等。

2.3加强电力调度人员培训

电力调度运行的安全性，究其根本还是要落实到调度人员上。只有不断加强对电力调度人员的培训，才能有效地预防相关故障、管理问题，消除安全隐患。具体来说，可以采取如下措施：其一，加强对电力调度人员的培训。电力企业应该聘请国内外专家、学者对电力调度人员进行培训，提高其理论素质和专业技能，树立开阔的行业视野和宏伟蓝图，使其加深对工作的了解和热爱，提高工作的积极性，保持饱满的工作热情。其二，派遣电力调度人员观摩、学习。除了理论、专业素质上的提升外，实践能力、调度能力的提升同样重要。为此，电力企业应该选取优秀的电力调度企业、小组作为观摩对象，让调度人员在实践中感受这些企业、小组的调度文化、调度机制、调度流程、调度内容、调度流程等，以便更好地改造自身的调度工作，减少安全隐患的发生。

3结语

本文从运行机制、调度故障、人员等三个方面分析了电力调度运行存在的安全风险，在此基础上提出了相应的预防对策，希望能够改善电力调度的安全管理制度、流程，提高电力调度人员的综合素质和安全管理、调度能力，更好地促进电力调度事业的发展。

参考文献：

[1]陆日英.浅析电力调度运行安全风险及防范策略[J].企业技术开发，2015（14）.

安全风险及防范例6

中图分类号：F279 文献标识码：A 文章编号：1007-9416（2017）01-0204-02

互联网的飞速发展，海量的信息资源极大的方便了用户的信息需求，但同时也给网络用户带来了信息安全问题。网络的开放性使得其在安全性上存在病毒入侵、信息泄露等安全风险，据不完全统计全球平均每20秒就会发生一次网络安全事件；我国超过90%的网络管理系统都遭到过黑客攻击或病毒入侵。尽管完全遏制网络攻击几乎是不可能的，任一组织的网络系统都不可能是真正的“金刚”之身，可以说网络安全是网络时代的永恒任务。

1 大型国企的主要网络安全风险

我国大型国有企业已普遍建立了统一的计算机信息系统平台，由于生产、管理数据集中于一个平台上，一损俱损，因而对网络安全提出了很高的要求。以目前我国大型国企的网络安全现状来看，其安全威胁主要来自以下方面：（1）内网威胁。有调查显示约有七成的网络安全威胁来自于企业内部，对于国有企业而言，内部人员的非法操作或误操作对企业的危害是极大的。这些威胁主要表现为：内部人员无意或有意的泄露、盗取企业信息，滥用或误用内部敏感、关键数据等。尽管目前我国大型国企虽然内部T工的网络隐患防范意识正在逐步提高，但这些安全威胁仍然普遍存在的现实情况。（2）外网威胁。在当前这个信息互联的时代，几乎任何国有企业的局域网都实现是与外网互联。在复杂的网络系统中，可能每一天都有入侵者试图闯入网络节点。一旦有员工主机受到网络攻击或感染病毒，就有可能影响整个企业的网络系统，甚至还可能影响到与企业网络系统有链接的其它单位网络。（3）系统风险。系统风险包括，操作系统风险与应用系统风险两大类。目前没有安全漏洞的操作系统是不存在的，当企业网络连上外网之后，必然存在非法入侵的可能。如果大型国有企业操作系统没有采用较高安全级别的系统配置与系统应用，就很容易被人侵入，给企业带来网络安全风险。应用系统的安全风险则更为复杂，因为应用系统是动态的。对于大型国企而言，应用系统的风险主要包括：1）服务器风险。大型国有企业的网络应用多为共享资源，员工有意或无意将硬盘中的信息共享，并长期暴露在网络邻居上的现象是很常见的，这些信息很容易被泄露出去，影响企业的信息安全。2）数据库风险。包括猜测或盗取口令访问、非授权用户的访问、攻击数据库漏洞等风险。当然，因意外导致数据库信息丢失，造成的安全问题也不应该被忽视。3）病毒侵害。通常病毒程序会通过网上下载、人为投放、电子邮件等途径潜入企业内部网络系统。由于大型国企的网络平台是统一的，因此一旦有一台主机感染病毒，就可能迅速影响整个企业内部网络，造成信息泄露、死机、文件数据丢失等安全隐患。4）数据传送风险。对于大型国有企业而言，数据安全尤为重要，数据在公网传输过程中也可能被人非法窃取、删改，一些与竞争对手可能通过技术手段给传送线路上的信息做手脚，造成数据受损或泄露。（4）管理风险。网络管理是大型国有企业网络安全防范中的重要内容，是必要的部分，对降低企业网络安全风险作用重大。其主要包括：1）责任不清，权限管理混乱，致使信息泄露，且出现问题后，追责也较为困难；2）内部不满员工也可能导致信息泄露；3）为了省事或便于记忆，有些大型国有企业设置的登录口令过于简单，导致极易破解，造成网络安全风险等。

2 确保大型国企网络安全的主要技术

所谓网络安全技术，即解决介入控制及确保数据传输安全的技术手段。目前主要的网络安全技术有：（1）网络防火墙技术。作为一种加强网络间访问控制，阻止外网非法入侵的技术手段，网络防火墙技术对保护大型国企内部网络操作环境，维护网络安全有着重要的作用。它能够按照一定得安全策略检测网络间得通信许可，并监视系统的网络运行情况。防火墙负责网络的安全认证，是整个网络安全体系中的最底一层。现代防火墙技术发展迅速，目前已开始向网络层之外的其他安全层级延伸，不再只是单纯的安全过滤，还可以向网络应用提供一定的安全服务，有一些防火墙产品甚至可以提供数据安全、病毒防御、用户认证等多种安全服务。（2）安全隔离。从安全风险来看，基于网络层与基于应用层的攻击较多，难以防范。几年来兴起了一种全新安全防护技术――安全隔离技术。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成信息的安全交换。（3）网络防毒及防蠕虫技术。蠕虫病毒与普通病毒不同，这类病毒通常可以单独安装到系统中，可以独立运行――这也是蠕虫病毒与普通计算机病毒的主要区别。目前，蠕虫病毒越来越多，隐蔽性也越来越强，很难被用户发现，因此危害极大。控制普通病毒的方法是搭建全网终端的集中式防病毒系统；而控制蠕虫病毒需要“阻断”其传播途径，构建邮件防御、漏洞防御、共享防御等立体式的防病毒系统。（4）加密技术。加密技术可分对称加密与非对称加密。对称加密即对信息的加密和解密都使用相同的钥，该方法可简化加密处理过程，信息交换双方都不必彼此研究和交换钥的加密算法。非对称加密即将密钥被分解公钥和私有密钥。这对密钥中任何一把都可以作为公钥（加密密钥）通过非加密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。

3 大型国企网络安全风险的防范措施

对于大型国有企业而言，计算机网络信息资源直接关系到其内部各项业务的运行，如果出现安全问题，轻则影响其网络的正常使用，重则导致整个网络平台瘫痪，数据丢失，信息外泄，给企业带来巨大的损失。因此应根据大型国企的实际情况制定安全防范措施，确保网络安全。

一方面，要加强网络安全管理。对于大型国有企业而言，网络安全管理特别重要，在实践中，我们发现许多网络安全问题出现在组织资源管理上。大型国有企业，可在遵循网络安全多人负责、职责分离、任期有限制的原则下，根据企业需要，制定与企业安防重点、工作环境、业务流程相应的安全管理制度，降低网络安全风险。第一，加强口令安全管理。所有企业内部员工必须对自己的工号或上机口令保密，并定期更改，以防被盗用，尤其是要加强对超级用户的口令保密。为了确保超级用户口令安全，超级用户或系统管理员应只在中心机房登陆，减少密码口令被盗风险。第二，建立严格的设备维护制度。设备安全是其他安全性措施的前提。除了要做好计算机的防火、防雷、防水、防盗等物理设备安全外，还应在不同地点，采用多介质备份操作系统及数据库系统，以防因设备问题导致数据、信息丢失。此外，对于大型国有企业而言，还应编制网络系统的运行记录，以便及时掌握全网运行状态。第三，构建病毒立体防御管理机制。包括定期对网络系统进行查毒、杀毒、升级杀毒程序；对员工进行防病毒教育；严谨在生产机器上安全与业务无关的软件等。通过安全管理，可使大型国企员工充分意识到网络安全工作的重要性。

另一方面，病毒与黑客技术也发展很快，且种类很多，因此，对于大型国有企业来说，充分利用、发展现代安防技术，构建立w防御体系也是极为必要的。第一，划分并隔离不同安全域。以大型国有企业的安全需求划分、隔离不同的安全域，防止误操作域无权访问。第二，建立防火墙系统。对网络接口、网络拨号接口、数据库、PC终端、DMZ等建立防火墙系统，并有针对性的进行防火墙隔离。第三，防范病毒和外部入侵。大型国企网管可以在CISCO路由设备中设置用户口令及EN―ABLE口令，解决网络层的安全问题；可以利用UNIX系统的安全机制，保证用户身份、用户授权和基于授权的系统的安全；对各服务器操作系统和数据库设立访问权限，以防非法用户使用TELNET、FTP等远程登录工具非法入侵。第四，加密、认证技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护等方面；采取信息侦听的方式寻找未授权的网络访问尝试和违规行为，从而发现系统遭受的攻击伤害。第五，PKI体系。公钥基础设施（PKI）是通过使用公钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括：认证服务，保密（加密），完整，安全通信，安全时间戳，不可否认服务（抗抵赖服务），特权管理，密钥管理等。总之，大型国企的网络安全管理，其重要在于关键点管理，企业应在可以接受的成本范围内对症下药，通过“整体防御+重点保护”相结合，维护网络安全。

安全风险及防范例7

中图分类号：F83 文献标识码：A

收录日期：2016年5月19日

一、绪论

（一）网络金融概述。网络金融是对以网络信息技术为平台的金融活动的总称，它融合了现代金融的网络信息化和传统金融的固有特性，但它又不同于传统金融机构以物理形态存在的金融活动。它是为了适应电子商务的迅速发展、互联网技术的全面深入而产生的一种金融运行模式，它集合了网络金融机构、网络金融市场、网络金融交易、网络金融监管等因素，是金融业发展过程中的一种运行机制。

从狭义上看，网络金融以互联网或网络通信为媒介、以计算机等终端为基础，通过互联网大数据为客户后台处理其在用户前端操作界面所提交的请求，以此完成交易的新型金融模式。从广义上看，网络金融不单纯包含前端后台的网上交易，还包括交易所需的网络环境、网络金融市场等配套设施，比如电子支付与网络银行、电子货币、网络证券和网络保险等网络金融的配套服务。

（二）网络金融的特征。一方面大数据时代来临，金融机构之间在网络信息平台通过占有数据上演群雄角逐，我国金融业积累了包括客户身份、资产负债情况、资金收付交易等大量高价值密度的数据已经超过100TB，信息平台的搭建保证了网络金融在大数据时代的初步发展；另一方面前述海量数据、信息的处理必须基于移动通信技术、互联网技术深层次的发展，在充分的数据后台保障后进行移动传输、需求信息分析乃至个性化定制服务均离不开互联网技术的发展；二者促使网络金融的发展以信息技术为依托。互联网高效数据处理能力使得金融信息的自动化程度越来越高，不受时间和空间限制，能及时为客户服务；金融机构业务处理方式在网络基础上更加便捷；交互式网络连接促进金融机构实现以客户和市场为导向的发展战略，有利于金融创新的深入推进。

二、当前网络金融存在的风险

（一）业务风险

1、信用风险。网络金融基于网络传输的高效及时，专用网络的投入使用，互联网金融企业因其服务便捷性而发展迅速，通过网络联系交易方，具有很强的虚拟性，这相较于实体网点来说加大了交易者身份的验证难度，增大了交易者之间的信息确认误差，使信用评价不透明，增大了信用风险。

2、信息风险。主要是金融机构之间信息不对称、信息传递时滞性导致的，此外还有网络信息时代造成的信息污染和信息无序产生的影响。互联网金融企业之间由于网络虚拟性，多数金融服务通过网上数据传输完成，有比传统金融更有利的信息优势，同样网络用户量和业务量激增也会带来大量垃圾广告，影响互联网金融企业的信息传递时效，最终形成信息风险。

3、交易风险。网络金融因其虚拟的服务方式，突破了交易双方的时空限制，打破原有实体网点束缚，大部分业务只需要在网络环境完成，因此收获了大量的客户群，也产生了庞大的交易量。交易风险在国际市场上表现为投机者通过汇率、利率变动进行关联交易，给经营者和客户带来不利影响。在网络金融的无国界性和国际间存在的交易风险结合后，世界各地金融机构或互联网企业的支付结算很可能会出现类似内幕交易行为，产生交易风险。

（二）管理风险

1、安全风险。我国缺乏自主安全的网络信息技术，使得互联网金融企业运营所需的配套系统和硬件设备都是来自科技发达的国家，我们自身对所用设备性能及信息不能完全了解和掌握，这使国外不安全技术应用者的侵入很容易。网络安全也是我国网络金融发展过程中的大问题，我国互联网金融企业在引进先进技术的同时还可能遭受本国计算机病毒、网络犯罪等不安全的网络环境威胁。此外，我国开始自主研发的原生系统由于技术不成熟还存在较大的系统漏洞和不安全因素。因此，我国网络金融的发展存在严重的安全风险。

2、操作风险。网络金融依托互联网，其系统稳定性、可靠性和安全性都是可能导致用户操作风险的，操作风险可能来自系统本身安全系统不完善、金融产品的设计不足和用户操作失误，该风险主要发生在系统操作过程中账户的不安全授权使用、管理系统的不规则权限设置和用户之间信息不对称。

3、技术选择风险。除了依靠外部市场的技术服务支持，互联网金融企业开展业务必须选择一种技术解决方案，防止业务出错带来损失。随着技术的进步，互联网金融企业技术的选择范围也越来越广，如果选择错误，就会出现技术选择风险，有可能带来不可预估的损失。因为网络技术具有较强的专业性，技术操作者需具备较高的专业技能，依据专业判定正确的技术选择，才能形成完整的技术选择方案。在互联网金融企业中，由于技术选择失误，可能使其失去企业生存的基础。

（三）法律风险。法律风险是随着网络金融发展产生的，因为目前国内金融立法的不完善，相应的网络消费者权益保护管理规则及试行条例也没有，而传统立法主要是针对传统的金融业务，这就导致互联网金融企业的法律保障不够，如客户开户的身份认证、合同有效性的确认甚至在金融市场的准入均无明确的法律条文颁布。由此，互联网金融企业在提供金融服务时存在较大的法律风险，和客户很容易产生纠纷，影响网络金融的健康快速发展。

三、加强网络金融风险防范的措施

（一）业务风险防范

1、信用风险的防范。我国信用风险防范主要从加快社会信用制度建设，完善社会信用制度方面出发。社会信用体系不完善，人们经济行为的确定性预期会减少，网络金融特有的虚拟性将这种不确定性预期放大，影响网络金融稳定。在发达国家，企业逾期未收齐的应收账款仅占贸易总额的0.25%～0.5%，而这一比例在我国企业中高达5%。近年来，由银行等金融机构牵头建立的个人信用征信制度才终结了我国之前个人信用体系属于空白的状况。由此可见，在我国发展较快的网络金融行业，建立健全个人、企业信用体系更有利于网络金融的正常发展，这可以降低网络金融虚拟性带来的风险，减少法律调节的障碍和成本。网络金融机构应该开发个人、企业客户信用数据系统，以此提供个人、企业信用度查询服务、个人资信认证、企业资信评级等服务，逐步实现信用透明，让有信誉的个人和企业发展越来越好，让资信评级较低、信用不好的企业、个人寸步难行，使信用成为企业发展的根本，以减少信用风险，规范网络金融市场的信用要求，促进互联网金融企业的健康发展。

2、信息风险的防范。首先，为实现互联网金融企业内部信息的及时管理，防范信息安全事故，要建立数据系统，以自建、外包或同行互助的方式建立数据管理系统并根据企业实际情况逐步完善各模块功能，有效进行数据管理；其次，要在平常业务过程中探究、摸索信息风险防范的方法，争取在企业内引进专业人才形成有经验的风险防范传播体系，通过信息管理强制实现信息录入、保存和传播规范进行；最后，要提升互联网金融企业从业人员的风险安全意识，时刻关注内部信息的安全以及外部数据的引进源头，将信息分层按等级选择合适的信息安全等级进行防御，实现高效、合理的资源利用，降低企业成本。

3、交易风险的防范。互联网金融企业在国际间交易结算用人民币作为合同货币，对外出口产品采用在外汇市场上汇率呈上涨趋势的货币，正确选用货币签订合同。在国际交易合同中，添加货币保值的附属条款，保证自己的交易资金在遇到汇率变动时可以有底数的价值变动，这样可以减少汇率风险较高的货币所带来的巨额损失；此外，交易双方可以通过合理要求调整价格或利率来争取到对自己有利的合同货币，可以将收付外汇的结算日或偿还日根据计价货币汇率的变动趋势提前几日或延后几日来防范汇率变动的交易风险，可以针对自己正在进行的交易另外进行一笔和现交易路径相反的交易来抵消两种交易由于汇率变动造成的损失，还可以投保保险公司以求在汇率变动中弥补所蒙受的损失。

（二）管理风险防范。庞大的网上银行交易量产生海量的交易数据，加上系统功能、产品设计方面将是网络金融中操作风险防范的关键点。操作员在业务办理时要本着认真审慎的态度，杜绝操作失误；作为企业方则要加强系统可靠性、稳定性和安全性的监控，维护电脑信息处理系统正常运行；而网络金融产品设计缺陷则需要产品开发人员细化产品开发步骤，从严控制产品质量；此外，可以开发真假电子货币识别系统，增进客户和网络金融机构间的信息交流，构建多功能的风险管理系统。

加大防范互联网金融企业的支付网络风险，因为支付网络是网络金融风险防范的重要环节，所以要健全计算机防火墙技术，建立计算机网络安全管理制度，落实计算机的专人管理制度。另外，以掌握核心技术为目的发展电子信息产品制造和软件开发，拥有独立自主的安全软件，加大科技研发，培养专业反病毒计算机人员，争取从源头上控制计算机病毒的传播，保障网络金融安全。进行业务整改，细分业务品种，从小类规范业务处理过程，提高标准化程度，完善电子银行服务体系，加强对网上银行、手机银行、电话银行等需要提供网络数据的业务方式的整合研究，集成各种信息技术，切实防范网络金融发展过程中的安全风险。要选择高素质的网络金融从业人员，提升业务流程熟悉度，培养既掌握网络、计算机、移动通信等技术，又掌握金融实务规则的综合管理人才，做到岗位分工明确的同时，还要注意各岗位之间的共性培养，科学分工的基础上综合发展，逐步实现金融电子化人才体系，由此达到相互制约，相互监督的目的。此外，在发展过程中出现的金融产品方案、技术方案等必须与时俱进，互联网金融企业中陈旧、过时的评估体系要进行修改或重做，避免出现因以前的评估体系评估方向不全、因产品规则滞后造成的技术方案选择失误。

（三）法律风险的防范。法律风险是网络金融风险防范的强硬措施，网络金融的监管要根据国家立法的基本情况，加快我国网络金融的立法工作，要结合未来发展趋势，针对我国互联网金融企业的经营范围、制度流程、服务标准等，借鉴境外成功经验，制定科学、可操作、符合实际的网络金融法律法规，切实做到有法可依、违法必究。首先，要对客户的准入加强监管，网络虚拟性是网络金融的特征，为保证交易安全性，鉴别优质客户，互联网金融企业在录入客户信息时，必须严格进行认证，做好准入第一步；其次，对已经准入客户的隐私做好保护工作，客户的个人数据是办理业务留存下来的重要信息，关系到客户个人的社会活动行为记录，因此采取保密措施对客户数据加强保护，免遭非法盗取或恶意破坏；最后，要明确划分互联网金融企业和其他服务商之间的权利和义务，网络交易产生的诸多数据在网络环境下很容易被修改或更新，明确各方权利义务，更有利于责权分立，互相监督，防范法律风险。

主要参考文献：

[1]田世宏.我国网络银行的发展与监管对策[J].中南财经政法大学学报，2004.5.

安全风险及防范例8

随着我国社会经济的迅速发展和进步，石油天然气在国家经济发展和人民生活中的作用越来越重要。而通过管道输送油气，具有高效、低耗、连续输送和自动化程度高等优点，并且这也是石油运输最主要的方式。从上个世纪八十年代开始，随着改革开放进程的加快，油气能源企业通过引进先进技术设备在油气管道建设方面取得了非凡的成就，油气管道建设的总里数也有了突破。并且已经形成了贯穿东北、西南及西部等油气管道的网络布局。在此基础上，展望“十二五建设”，我国资源管道的总里数也会再创新高。而在油气管道的快速发展之下，我们也面临着管道安全的风险和挑战。本文就管道风险的类型和如何保证管道安全运行作以探讨。

一、油气管道业务的风险类型

油气管道是油气运输的重要方式，由于管道具有管径大、运距长、压力高和输量大的特点，包括管线、站场、通信、防腐设施等附属系统，是一项复杂的工程。而且管道输送的介质又是易燃、易爆、易挥发的，其一旦因各种原因造成管道泄漏、破坏，则可能引发火灾、爆炸事故，进而造成生命、财产的巨大损失，与此同时，也会给环境保护带来负面影响。因此，分析油气管道业务的风险类型尤其重要。

1、管道本体风险

我国现有的油气管道大多使用时间长，已经开始老化不能正常使用，按照相关规定可以推算出，我国现有的油气管道已经过了使用期限。从相关理论可以分析出，我国现今的油气管道不论使用时间长短，都易发生安全事故，比如东北管网庆铁线的林源――新庙管段已发现有49996处缺陷，焊缝点腐蚀处深达6毫米，这些问题发生的原因大多是管道建设时所引用的技术设备不当或者施工人员操作失误，所以在油气管道建设好后就有了一定的安全隐患。

2、自然环境风险

管道安全还受自然环境和自然灾害因素的制约。我国第一条穿越原始森林的管道是中俄原油管道，管道沿线的地表境况复杂，经过漠河到大兴安岭地区的冻土区域，环境十分脆弱。而西北油气管道途径沙漠、戈壁、三山一塬等复杂地形地貌，如遇相关自然灾害会给油气运输造成极其严重的威胁。

3、社会环境风险

部分油气管道由于受地域限制，必须经过城市以及水源地，然而城市建设的进程也在加快，城市建设时必然会对地下的油气管道造成威胁。管道沿线途径敏感点，还会面临恐怖袭击的威胁。

4、企业内在风险

我国油气管道工业的起步比较晚，缺乏大型网管建设与运行管理的相关经验，在标准、技术、管理和人员素质方面与国外先进管道企业相比，仍然存在一定的差距与不足，因此油气管道的安全运行依然存在一定的风险和挑战。[1]

二、油气管道安全风险的防范措施

陆上油气的安全运输主要是依靠最安全环保的管道运输方式，我国已经形成了“北油南调，西油东运”的管网运输格局，管道运输是经济发展的大动脉，管道把油气能源与相关市场联系在一起，而且油气资源是国家经济发展的支撑动力之一，是人们生活质量的保障以及社会稳定的需要，所以油气管道运输的作用是巨大的。因此，要保证大规模油气管道的安全运行也是一种挑战，在面临油管安全风险时也要采取相应的对策措施。

1、依靠先进理念保障管道安全

管道运营企业在新时期应培养企业各部门各职员的安全意识，培养管理人员的安全管理责任意识，并且需要积极的顺应时代潮流，努力学习先进的管理经验，综合企业的实际情况建立适合企业的安全管理理念，并且在实际中避免理念与实际的脱节。培养企业员工的风险预防意识，需要他们在实际操作中注意防微杜渐，避免因自己疏忽而造成事故的发生，努力将追究型事故转变为预防型工作。[2]

2、依靠先进技术保障管道安全

要想实现管道本质上的安全性，关键在于实现先进科学技术的发展革新，在发展技术中必须注意对油气管道标准体系的建立以及健全，必须对相关技术的研究与试验进行跟踪记录，并与国外的研究进程进行对比，努力提高企业的技术水平，从技术的标准层面规范安全生产行为。将科技创新的重点放在安全生产的技术层面，根据相关原则进行技术应用的框架设计，滚动研究相关技术，使得研究成果能运用到管道建设过程中，促进管道运输建设的发展。

3、实施完整性管理，确保管道安全

完整性管理指的是能提前对油气管道中的安全隐患进行辨认与预防，采取相关措施使风险有所减缓，将风险控制于可接受的范围之内。这是管道安全管理中预防性管理的重大变革，总地来说，管道安全业务流程可分为以下几个方面：收集并处理管道数据、确定高后果区、评估管道运输中的安全隐患、对油气管道进行全面评价、依据安全隐患进行维修处理以及对油气管道进行效能评价。油气管道管理体系已日趋完善，国家也利用计算机技术及网络技术建立了油气管道数据的交流平台，使得各大油气管道管理企业能够根据相关数据进行管道的建设与管理。

4、提高企业员工的综合素质来保障管道安全

管道企业要确保管道安全生产，必须以高水平、高素质的员工为后盾。管道企业需定时对员工进行安全意识、安全技能的培训，并且在通过相关考核后才能上岗。培训时注意使他们明白自己身上的责任，提高他们对安全生产的重视程度，并且使他们掌握相关技能，能在实际施工中合理进行操作，突况发生之后也能及时采取措施把伤害降到最低。[3]

三、结语

综上所述，我国当前的油气管道风险主要分为管道本体风险、企业内部风险、自然环境风险以及社会环境风险。因此，必须从油气管道的安全理念管理、科学技术的研发创新、企业员工素质的提高以及完整性管理的应用出发对管道企业进行管理，在保障管道建设质量以及安全生产的前提下，提高企业的经济效益，保障管道运行的安全性。

【参考文献】

安全风险及防范例9

一、网络金融安全风险

（一）业务风险

网络金融建立于网络传输的高效、便捷的基础之上，互联网的金融服务因为其快捷的交易方式得到了迅速的发展。网络去联系交易方，有一定的虚拟性，从这个角度来看，这也加大了交易者身份的验证难度，无法避免出现交易者身份证明的交易误差，且信用评价不够透明，进一步增大了网络金融的使用风险。除此之外，还有一个重要问题是交易的信息风险，由于金融机构之间的信息不对称、传递信息的滞后性以及网络时代的信息污染，进一步对信息造成了影响。互联网金融作用于虚拟网络中，很多信息都是通过网上的数据进行的，比以往的传统金融业务方式更具有便捷的方式，同时也会随着用户的激增，带来大量的垃圾广告，影响到互联网金融企业的信息传递，最终带来信息风险。

（二）管理风险

目前我国缺乏独立自主的网络信息安全技术，我国的互联网金融企业所使用的配套硬件、软件系统都是来源于发达国家，从本质上来看，我们缺乏对信息系统的了解程度和掌握程度，这就使得一些国外的不法分子很容易利用自身先进的技术侵入我国的金融系统当中。网络安全当下是金融行业发展遇到的一个比较棘手的问题，在互联网技术不断引进国内的同时，我们还会受到网络病毒的干扰，进而对网络的使用造成一定程度的干扰。当下我过已经有了自主研发的原生态系统，但因为技术尚不成熟，存在着大量的漏洞和不稳定因素，这些都会威胁到使用的稳定性和安全性。所以，网络金融在良好的发展势头下没有成熟的技术支持，是当下其发展一个重要的问题。网络金融建立于互联网上，互联网本身的安全性和用户的操作规范有着较强的关联性，具体的风险可能因为系统的不完善以及有关产品设计的缺漏等等，会对自身的运营造成威胁。

二、网络金融安全的防范措施

（一）业务风险防范

任何事情在未到来前就要做好应对的准备，对于金融行业的风险防范更是如此。通常情况下，金融行业的事故之所以会发生，会造成大范围的影响，都是因为应急措施不够到位，在处理体系的设置上存在漏洞。所以，要想竭力避免有关的金融事故，就需要从根源降低业务处理的风险，建立健全系统处理机制，当下我国的业务风险防范主要从完善信用审核制度入手。近些年来，个人信用征信制度的投入使用使得我国的个人信用体系空白得到了弥补。在我国快速发展的金融行业，建立健全个人和企业的征信体系，更有助于促进网络金融行业的发展。这可以进一步降低网络金融的虚拟性问题，减少法律调节的障碍和成本。利用个人、企业的信用调查、认证、评级等服务，逐步实现征信的透明化，让一些信用不好的企业和个人，在互联网金融中难以立足，减少信用的使用风险。

（二）管理风险防范

随着社会的不断发展，金融行业的拓展规模越来越大，其管理的内容也越来越复杂。庞大的信息体系让我们感到无所适从，从传统的管理方式来看，一些管理方法和管理思路已经跟不上时代的发展。在大数据时代，海量的银行交易数据，再加上产品的功能和系统是金融行业处理风险的重要掌控点，在办理相关业务时，工作人员需要有谨慎的工作态度，避免出现工作的事物。企业方面也需要进一步提升功能和系统的稳定性、可靠性，配备上强有力的监控系统，使得整个互联网金融可以得到正常的运行。金融软件的开发设计上，需要工作人员进一步严格要求自己，企业管理者要严格控制工作人员的开发产品质量，从而使其更好地投入运营和使用当中。大数据时代的特征为金融工作带来了诸多挑战，电子数据的高度集合化，使得金融行业的传统模式无法得到充分的发挥。由于金融工作的数量巨大，数字信息并不利于金融从业人员寻找重点，以此影响到金融从业人员的判断。数据结构的多样复杂性，使得数据内涵并不能再短时间内为金融工作者所理解和掌握，数据类型的多样性，使得金融从业人员的非结构化采集能力、分析能力都有待提升。

加大互联网的支付风险防范控制力度，因为支付作为互联网金融防范的重要环节，所以要进一步建立健全计算机的防火技术，建立网络安全管理制度，优化企业的内部管理和专人管理。掌握核心的技术，更好地应用于电子信息产品的开发。

三、结束语

随着经济全球化的进一步发展，我国金融市场也在不断践行对外开放的政策，在网络时代，金融的安全问题成为我们化解金融风险的重要问题。从一定程度上来说，网络具有较强的破坏力，比以往的呆账、烂账的危害更大，一旦出现了不可控的风险，则对于金融行业的打击是具有毁灭性的。所以，网络时代，金融行业要更加重视自身的安全防范体系构建，只有将其控制在手中，才能够更稳健地推进有关工作。

参考文献：

安全风险及防范例10

中图分类号：TP309 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Role Based Access Control Security Risk and its Prevention

Chen Fang

(Suzhou College of Information Technology,Wujiang215200,China)

Abstract:Computer technology has become a business management essential technology,through establishing office automation model for enterprises to create favorable conditions for the management.Considering that the computer's own risks,enterprises in the design of office automation mode must also pay attention to the security risk prevention.This paper analyzed the role access control under the security risks and preventive measures.

Keywords:Role access;Security risk;Prevention;Analysis

为了保证计算机数据库的安全，企业在创建自动化办公系统时要对数据库访问权限进行设置，而基于角色的访问控制则是常用的访问控制模式。但从实际运用情况看，角色访问控制自身也存在诸多安全隐患，企业必须要制定严格的防范策略才能保证访问控制的有效运行。

一、角色访问控制的风险

随着企业经营规模的扩大改革，计算机办公自动化的作用更加明显。企业纷纷创建了计算机控制中心协调内部运作，对企业内部信息设置了权限访问，以免重要的商业信息被窃取而造成经济损失。角色访问控制是企业管理系统的主要构成，其主要是系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这种被授予“角色”的控制方法，能够为用户的计算机操作提供很大的方便，严格规定了操作系统的权限划分情况，避免企业企业系统运行错杂混乱。

基于角色的访问控制在运行期间也会遇到各种风险，给企业的办公自动化造成诸多阻碍。安全风险是导致角色访问控制失效的主要因素，对企业造成的经济损失较大。其安全风险主要表现为：权限盗用，部分用户私自盗用权限访问系统，对系统内部的信息随意调配使用；系统漏洞，计算机系统自身存在的漏洞造成后期管理混乱，容易引起企业计算机内部控制系统的错乱；人员失误，管理人员在控制系统时没有按照标准操作，给入侵者创造了攻击条件等等。

二、安全风险的防范措施

为了适应市场经济改革发展的需要，企业引进先进的计算机控制系统是不可缺少的。角色访问控制模式的推广提高了企业办公自动化水平，但对于角色权限的设置，企业在制定系统管理计划时要注重风险的防范。笔者认为，企业应从可持续发展角度考虑角色访问控制的风险控制。

（一）权限公平。市场经济体制改革后，企业在市场经营中面临的竞争问题更加严重，同行之间为了赚取更多的经济利益而开展全面竞争活动。企业在引进计算机控制系统后应合理划分权限，对每个管理人员给予一定的管理权，使其能积极参与到系统管理中，企业可根据实际控制需要分配权限。

（二）持续思想。计算机技术的运用是为了保证企业的持续发展。社会主义可持续发展观的核心要求在于发展的“持续性”，这是社会主义市场经济的最根本思想。企业不能盲目地引进角色访问控制模式，而是要将远光放长远。角色访问控制模式引进后，企业还有投入资金配备针对性的安全防御系统。

（三）效率思想。效率优先是我国大型企业创造盈利的基本条件，只有整体生产效率提升了，企业的产量、效率、收益才能稳步增长。因此，企业在经营管理期间要注重效益考核，对基于角色访问控制系统的操控严格管理。只有提升了角色访问控制的效率，才能加快企业内部建设。

三、结论

总之，基于角色访问控制系统的运用不仅维护了企业经营管理的有序进行，也是对内部信息安全管理的重要措施。企业在制定自动化管理模式的同时，应注重角色访问控制潜在的风险隐患。对于潜在的访问控制风险要提前防范，这样才能保证管理系统的高效运行，为企业创造更多的经济效益。

参考文献：

[1]赵亮,茅兵,谢立.访问控制研究综述[J].计算机工程,2004,2

[2]尹志兵,黄红明,熊桂喜.一种基于PMI的访问控制模型及其应用[J].计算机工程,2004,1

[3]董雅莉,邵秀丽,刘Z.面向任务,基于角色的工作流技术在CIMS中的应用[J].计算机应用,2002,10

[4]甘泉,贺也平,韩乃平.一种改进的基于角色的访问控制[J].计算机工程,2006,7