安全风险及防范大全11篇

安全风险及防范篇（1）

为有效防范电子银行安全风险，可以从以下几方面推进基础管理工作开展：

一是建立健全电子银行安全风险防范体系。目前，在国家保持农村信用社县域法人地位稳定不变的背景下，实施“小银行+大平台”模式的电子银行系统建设和风险防范是必然之举，将省联社科技中心打造成防范电子银行技术风险的中坚力量，同时明确省联社科技中心与法人机构应对电子银行业务风险的职能，增强农商行对电子银行业务的防范、抵御和危机处理能力。

安全风险及防范篇（2）

中图分类号：TD611+.2 文献标识码：A

引言

配网的安全运行不仅关系到居民的正常生活，稍有不慎还容易引起严重的安全事故，进而对居民的财产安全造成重大损失。因此对于配网运行过程中的安全风险评价以及管理体系的完善迫在眉睫。本文主要通过配网巡行过程中容易出现的故障为基本出发点结合配网运行异常过程中存在的安全风险的问题进行研究。并对方式配网故障的出现以及安全运行体系进行讨论。

1 配网运行的安全风险

1.1 配网硬件的安全风险

配网在运行的过程中由于电流的电阻发热效应以及电磁化效应会对线路自身造成一定的损害，这种损害主要表现为对线路以及配套基础设施的损害方面。输电线由于温度过高以及风力、降雨等自然因素问题，在使用一定时间之后，容易出现导线的断股、部分损股、烧灼、脱离等问题。并且由于安装过程中的不遵从现象以及鸟类、重力作用的原因对接头部分造成应的影响。严重直接导致了线路的断电以及火花的形成。以上两种均会对当地居民以及配网线路造成一定的影响。

1.2 配网巡视的风险

由于配网关系到电力的输送以及人们生活生产的开展，需要经常对配网线路进行巡视。通过不断的巡视来掌握配网的运行状态，并降低其不遵从的概率，进而保障了工业与居民用电系统的可靠性。

在巡视的过程中容易出现一定的风险主要表现为巡视过程中无意触电、配网地理环境造成的巡视风险、巡视中的坠落以及空间掉落物伤人等风险。在实际的操作过程中此类风险的存在往往是由于恶劣的天气状况以及复杂的地理环境以及不合规操作造成的。主要表现为巡视人员在对配网的巡视过程中出现坠落，落石，大雨，闪电等原因，进而对巡视人员造成伤害。增加了巡视过程中的风险的存在。

1.3 配网施工的风险

对于配网施工过程中存在的风险主要分为两大部分，一部分是在配网的架势过程中即首次施工的过程中存在的风险此部分的风险主要是通过施工过程中的不遵从以及施工人员对质量以及施工现成的安全把握不足而造成的。在实际的施工过程中主要表现为在杆体的假设过程中由于地基的不牢固造成的杆体倒塌，杆体附着物坠落等问题造成的人员伤亡。在线路的假设过程中施工人员由于安全意识不强，施工安全措施保护不利等问题而导致的施工人员受伤等问题。

另一方面配网施工风险则表现为在配网的正常损耗配件的更换以及维修方面存在的风险。此部分的风险主要表现为操作人员的操作不当而造成的。在针对线路的维修过程中由于混淆带电操作以及非带电操作的操作规程。而使得施工人员触电、在针对其他附属物的施工维修过程中除了触电风险之外，还存在附属物脱落，施工人员固定缺失等问题。在针对配电箱以及变压器的施工过程中风险的主要表现形式则分为了三点：

首先，在开关柜开启的过程中：存在带电合地刀（挂接地线）、带地刀（接地线）合开关，发生三相接地短路，产生爆炸以及人员电弧烧伤；存在带负荷拉刀闸，造成电弧放电；存在打开带电的电缆室门，并进入工作，造成触电事故；存在误碰设备，造成误分、合闸。

其次，在杆体上开关的过程中：杆体上开关没有安装接地刀闸，但杆体上开关的下一级如果接入开关柜，如果开关柜合上接地开关，则会出现带地刀合开关的风险。

最后，在母联方式的电源施工过程中：双电源设计的站点正常运行时，不允许两路电源合环运行，可以一条线路带两段母线的负荷，母联开关合闸运行； 或两路电源分别带一段母线运行，母联开关分闸。假如开关全部合闸，风险跟联络开关分析一致。

2 配网运行的风险防范对策

配网的运行风险防范对策同样分为三个方面：配网设备硬件的风险防范对策、配网设备巡察的风险防范对策以及配网设备维护的风险防范对策

2.1 配网设备硬件的风险防范对策

对于配网设备硬件的风险防范对策主要集中对设备安全系数的鉴定以及对硬件运行状况的检测。对于对硬件安全系数的鉴定需要严格的按照国家的配网施工原则与标准进行，针对不同种类的配网硬件设施按照执行规范进行风险的评估。比如对于变压器的使用过程中其散热装置的自然老化，线路的自然风险等问题均需要计入风险评价体系中去。对于存在较大运行风险的硬件设备应当予以及时的更换与维修，进而保障其安全的运行。对于硬件状况的检测则需要通过加强对配网线路及其附属硬件的检测，采用定期检测，重点排查的方式进行，来保证设备运行的低风险性。

2.2 配网设备巡察的风险防范对策

配网设备巡察的风险主要出现在排查人员的操作失误方面。因此对于风险的防范主要通过对巡察人员的行为规范以及技能培训方面，具体分为如下几点：

首先，需要对排查人员进行专业的技能培训，做到持证上岗，并具备一定的排查与施工经验。进而降低排查过程中出现的人为影响。

其次，在排查的过程中采用多人小组的模式进行，避免单独人员的排查工作，一方面通过相互监督的方式降低了不合规的风险，另一方面则是通过紧急问题的处理方面可以多人配合协调工作，降低了在排查过程中的风险。

最后，明确排查工作的工作目的，排除工作仅需对配网的线路进行检测以及必要的原因判断，而不需要进行现场的施工。由于排查人员与施工人员的专业技能领域以及配套工作与安全防护体系不同，进而贸然施工的话会增加风险系数。通过这种方式，在遇到问题的情况下及时的向相关部门反映而非强行施工，进而降低了在排除过程中存在的风险。

2.3 配网设备维护的风险防范对策

对于配网施工的防范风险则主要表现为施工的安全标准以及现场监督管理体制的健全方面。具体的对策如下：

首先，确保施工的执行标准与安全控制。在施工前应该对相应的施工设备与施工材料进行检测，避免由于设备损坏等问题造成的施工风险。此外，尤其是需要对施工环境进行反复确认，如是否带电，天气情况等因素。

其次，在施工的过程中应该严格的按照施工的质量标准去进行，比如对于配网杆体的架设过程中应该严格的按照国家的标准进行地基的铺设等问题。

最后，加强施工的过程中现场监管体系，尤其是对安全施工的体系的监管与评价，通过培训、宣传等手段增加施工过程中的安全系数。

总结

配网的运行安全风险主要来源于三部分：配网的硬件运行风险，配网线路的检测风险以及配网线路的施工风险。本文通过对前人研究结论的总结以及相关的工作经验。对如上三个问题进行分析，找到了存在风险的主要依据以及造成的危害。并从原因出发为风险的防范提出了自己的解决对策。希望能够为今后的配网运行安全提供理论基础。

参考文献

[1]倪展.配网作业安全标准化系统的开发及应用[J].电力信息化，2006，(7).65-67

安全风险及防范篇（3）

中图分类号：TU714 文献标识码：A 文章编号：1009-914X（2017）16-0188-01

目前，加强建筑施工现场安全建设是建筑施工企业管理工作的重中之重，发挥着不可比拟的作用和优势。建筑工程在施工过程中，难免会产生诸多的安全事故，严重威胁着施工人员的生命财产安全。必须要加强现场安全事故的风险防范建设，增强防范施工风险的能力和水平，确保建筑工程施工的安全性与稳定性，进而推动建筑施工企业的稳定发展。

一、建筑施工现场安全事故发生的成因分析

（一）缺乏高度的安全观念

在建筑工程施工中，缺乏较强的安全观念，对操作流程的执行力度不够深入。一些企业甚至对安全规划流程的建设漠不关心，仅仅按照个人主观意愿来进行操作，有着较强的盲目性与随意性。一般来说，施工人员往往过于追赶施工项目的进度，并没有深入结合安全生产要求，在具体操作环节中与安全原则背道而驰。由于诸多安全隐患的发生，引发了大量的施工现场安全事故。

（二）过于注重经济效益的增长

建筑施工企业往往过于注重企业经济利润的增长，并没有对安全施工项目中的安全措施投入过多的资金，使建筑施工现场严重缺乏配套可行的安全设施和安全装置，很难使建筑项目获得强有力的安全性保障。在发生安全事故时，难免猝不及手，无法实施有效地监督与控制，进而引发了建筑施工F场安全事故的发生。

此外，建筑施工企业并没有对安全生产提出过高的要求，管理也较为松散，对于安全管理工作漠不关心，安全生产制度的执行力度严重不足[1]，一定程度上使安全性检查工作形同虚设，过于表面化、形式化，造成了施工现场极大地安全隐患。

二、建筑施工现场常见的安全风险研究

（一）安全管理人员的综合素质有待于进一步提升

一般来说，安全事故发生的根本原因就是由于建筑工程施工现场的安全风险管理的缺失和缺少建立完善的管理体制所造成的，而且安全管理机构也存在着较多问题。一些施工企业虽然建立了一定的安全管理部门，但是部门的随意性比较大、比较分散，安全管理人员的综合素质参差不齐，有待于进一步提升。

（二）建筑工程施工器材的质量缺乏保障

一些建筑施工企业在经济效益的驱动下，行业内部竞争越来越激烈。一些施工企业为了实现自身的竞争目标，并没有将资金过多地投入到安全风险的支出中，施工人员所购置的生产设备器材严重不符合标准，假冒伪劣产品屡禁不止。在施工过程中经常偷工减料，通过不合理手段来降低企业的经济成本投入，由此造成了企业的安全风险。

（三）缺少对于工作人员的安全教育培训

众所周知，建筑施工现场安全事故发生以后，一定程度上由于施工人员自身的综合素质所限，施工人员中农民工的身份比较多。然而建筑行业自身有诸多限制性因素，农民工团队之间有着较大的流通性，并不是十分了解建筑工地现场的实际情况，再加上自身安全保护意识的缺失，严重威胁着建筑施工现场的安全。

三、建筑施工现场安全事故的风险防范措施

（一）合理规划和布局施工现场

建筑施工企业要对施工现场进行规范合理的规划，管理人员要予以高度的重视，建筑施工企业要在施工和生产前期阶段中，充分掌握施工项目的实际情况，制定科学合理的施工现场管理方法，及时编制书面材料计划书和项目工作安排书[2]，将其由具体的责任人来进行负责。同时，在施工期间由于自然因素的影响，难免会影响到正常的施工进度，制定风险应对管理措施，可以有效降低施工现场安全隐患的蔓延。

（二）加强施工现场的安全观念教育

人为因素是造成安全风险的重要因素，必须要将由于人为因素而引发不安全行为的危害降至最低，不断加强建筑施工现场作业人员的安全观念，循序渐进地来进行操作。

1.做好开工前的技术交底工作

安全风险严重影响着建筑施工现场的安全，具有较为明显的动态性特征，而且各个阶段所产生的安全危险源具有着较大的差异。因此，设计人员和施工人员要共同做好技术交底工作，提升自身的技术能力和水平，更好地规避安全隐患的发生。

2，加强法律法规的宣传与教育

在施工人员的待岗培训期间，要加强学习安全知识和政策法规等方面的知识，加强工作人员对于应对各种危险源的应急技术，不断对安全风险进行预防与监控，尽可能地避免施工现场的安全事故风险的发生。

（三）做好建筑工程施工的安全防护工作，提供良好的建筑施工作业氛围

1.现阶段，加强对安全帽、安全带以及安全网等设置是建筑施工安全事故进行控制的重要手段，还要加强像楼梯口、电梯口等安全事故多发地段的防护，最大程度地避免施工人员由于高空作业和物体打击等安全安全所带来的伤害。同时，严格规范触电事故的防护和操作措施，可以增设漏电保护装置来避免触电事故的发生。

2.在建筑施工现场的施工保障中，施工设备和施工环境都是必不可少的，施工现场环境对建筑工程产生了极其深远的影响，甚至起到一定的决定性作用。脚手架材料的随意摆放和施工现场材料码放过高等安全风险都会严重威胁着作业人员的生命安全。因此，建筑施工现场要严格遵守环境管理体系的运行模式，施工企业的各个单位要加大对施工现场的环境整顿力度，增强人机系统的统一性与协调性，避免施工现场安全事故风险。

（四）正确识别和转移安全风险

1.加强对安全风险的识别与判断

加强对建筑施工安全管理风险的识别，是安全风险管理的首要环节，可以对潜在的安全风险进行分类和整理。在建筑工程的施工中，安全风险很难完全消除，而且经常存在于施工过程的方方面面中，很难及时察觉出来。因此，要充分结合施工安全风险的特征，采用科学先进的管理方法加强对安全风险的识别与判断，要做好信息资料的收集与整理工作，深入分析安全风险所存在的不确定性，要加快形成风险识别报告。

2.加强对施工安全风险的转移

风险转移主要是指将风险结果借助于一定的方式方法来转移给能够带来经济利益的其他单位，以免自身承受过于沉重的风险损失。一般来说，风险转移主要包括保险和担保两种不同的转移方法[3]。建筑工程保险一般是指建筑施工企业向保险公司进行投保，在发生安全事件时，出现了一定的财产损失或者人员伤亡使，保险公司予以一定的赔偿和支付。然而建筑施工企业要充分结合自身承受风险的能力和范围，合理选择安全风险投保，并且制定科学完善道德建筑工程保险制度。

此外，要严格规范市场，确保其招标投标的公平性与公正性，构建良好的招标、投标市场，避免一些投标单位陪标和串标等违法行为的发生，严厉打击暗箱操作行为，加大政府投资项目的监督与管理力度，避免国家财产的损失与浪费。

四、结束语

综上所述，加强建筑施工现场安全风险的防范建设势在必行，可以增强建筑施工企业的经济效益和社会效益，确保建筑施工项目的顺利完工。建筑工程施工安全事故的防范建设任重而道远，加强建筑工程施工安全的风险识别与评价，增强施工现场安全事故防范的能力和水平，避免风险源的扩散和蔓延，营造安全、良好的施工现场环境，避免出现财产损失和人身伤亡等现象的发生，进而实现建筑施工企业可持续发展的战略目标。

参考文献：

安全风险及防范篇（4）

中图分类号：TP309.5 文献标识码：A 文章编号：1007-9599（2013）01-0048-02

随着我国社会经济建设飞速发展，对人才的需求不断扩大，特别是对具有探索精神和创新精神的新型人才缺口日益扩大，如何在基础教育中培养学生的探索精神和创新显得日益迫切，在新课改大背景下，初中化学教学应该在传统说教教学模式的束缚下解放出来，通过引导学生对世界的积极探索，提升其探索能力和创新能力，这客观上对初中化学教学现有教学模式和教学方法提出了新的挑战。本文从我国银行信息安全面临的严峻形势出发，分析了银行信息安全风险识别的方法，并系统的提出了对银行信息安全风险进行有效防范的合理措施，希望能够我国银行信息安全风险防范带来有益启发。

银行系统对信息的依赖性越来越大，这客观上要求我国银行业要加强新形势下银行信息安全风险识别及防范对策的研究，银行信息安全风险识别与风险防范是一个系统工程，涉及到信息风险识别、信息风险评估、信息风险防范等方面。

1 我国银行业信息安全风险识别现状

1.1 我国银行信息安全风险识别总体水平有待提高

随着我国社会经济的飞速发展，银行业信息化水平越来越高，但是新形势下，一方面，由于网络资讯的发达和电子商务等涉及网络渠道业务的占比不断增多，银行信息面临着越来越多的外部风险，如客户重要信息泄露、黑客对银行信息系统的网络攻击、银行信息系统自身架构存在安全隐患等；而一方面看，银行客户本身乃至整个社会对个人财产信息等隐私保护的重视程度加大，企业客户或重要个体客户对银行安全系数要求的不断提高等。各种内外因素影响下，客观上要求我国银行业必须加强对信息安全风险的管理，对信息风险识别能力要不断提高，但是现阶段受到技术、人才、设备、管理体系等方面的制约，我国银行信息系统对风险识别的总体水平有待提高。

1.2 我国银行业信息安全风险形势严峻

我国银行业信息安全风险形势较为严峻，进入新时期后，银行业信息安全面临着越来越大的外部挑战，特别是一些银行由于信息系统的开放性，特别是随着电子商务等业务量的增长，银行为了更大限度的方便客户，往往更依赖于信息系统，而信息系统很容易受到木马、病毒、钓鱼网站等影响，使得银行业信息系统安全风险形势较为严峻，特别是一些高科技信息犯罪，主要针对目标就是银行等金融信息系统。如2012年发生的特大跨国电信诈骗犯罪，犯罪分子利用盗窃的银行个人信息有针对性的对银行客户实施诈骗等。

2 银行信息安全风险识别的方法

风险识别是风险管理理论重要组成部分，在风险管理理论中，风险识别是指通过一系列风险评估手段对风险评估主体开展风险评估的过程，信息安全风险识别是指依据相关国际或者国家标准，对相关组织信息系统安全风险进行识别评价的过程，这一过程应该包括信息系统的完整性、安全性、可靠性等方面的评价。信息安全风险识别主要有以下几种方法：

基线评估法重点强调对信息系统的定性评估，特点在于投资较小，而效益较高。详细评估法重点在于对信息系统中所有资产进行详细评估，一般由资产安全性与脆弱性评估两个方面组成。组合评估是一种详细评估，对系统采用差别化针对性评估。运用以上信息安全风险识别方法时要注意分析风险评估对象所处的内外部环境，并要充分考虑信息安全风险评估要实现的目标，针对不同的风险评估对象、风险评估预期目标作出合适的选择，各种不同的风险识别方法重点不同进而运用的对象和结果也会不同。

3 银行信息安全风险防范的建议

3.1 重视银行信息安全风险识别体系建设

银行信息安全风险识别是一个系统工程，在进行银行信息安全风险防范时要重视银行信息安全风险识别体系的建设，完善的银行信息安全风险识别体系，是确保银行信息安全风险可控的重要前提，具体做法是先从起点上提高系统的整体安全系数标准，建立严格的银行信息安全风险管理原则和相关风险识别操作流程，并且要定期对银行信息安全风险识别体系可靠性进行评估和检查，确保做到万无一失。

3.2 建立完善的银行信息安全风险应急预案

建立完善的银行信息安全风险应急预案，这是保证银行信息风险可控的重要环节，特别是在新时期，建立完善的银行信息安全风险应急预案是给金融系统稳定上了双保险，如针对黑客对银行信息系统进行攻击时应该采取什么具体措施进行有效应对，还有如果银行信息系统出现突况，如何最大限度的减少银行和客户的损失，如果银行信息部分重要信息泄露如何处置等等，完善的银行信息风险预案要求对各种可能突发事件进行事前考虑，并事前提出应对的具体措施。

3.3 加大对银行信息安全犯罪的惩罚力度

相关职能部门要加大对银行信息安全犯罪的打击力度，从根源上严肃管理，落实常规化的管理，避免出现“签签名”“走过场”的形式化管理。发现问题，要及时按照相关法律法规对相关人员给予严厉处罚，特别是针对银行信息系统的特大犯罪要严惩不贷，坚决打击各种类型的网络金融犯罪，形成对银行信息安全犯罪的高压打击态势。只有在对银行信息安全犯罪的惩罚上加大力度，才能使整个银行系统从意识上提高警觉，更加重视维护自身的信息安全。

3.4 建立银行信息安全风险控制机制

银行信息安全风险控制机制的形成需要对这个信息系统的架构进行合理设计，在目标设置上做到精准精确，而进行设计时要重视以下几个方面的建设，特别是要使银行信息安全风险控制能够实现预期目标，并且能够通过该风险控制机制不断优化风险管理体系提高风险控制水平。信息安全风险控制机制应该包括以下几个方面：

（1）建立完善的风险责任机制。建立完善的风险责任机制重点就在于在银行信息安全风险控制体系要将各个环节各个部门的责任进行细化，做到每一个环节都能够有专门人员对重要事项进行负责，做到对风险负责、对安全负责。

（2）建立完善的风险通报机制。对银行信息安全风险发生后，应该如何对相关风险通报是需要研究的重要课题，通报包括对上级通报和对下通报，对上级通报要客观真实准确，而对下通报要严肃认真既不夸大也不隐瞒。

（3）建立银行信息安全风险管理团队。人才是银行信息安全风险管理的关键，要充分发挥人才的作用，银行信息安全风险管理团队是银行信息安全风险管理的主力军，他们在银行信息安全风险的识别、评估、应对等过程中扮演着十分重要的角色。

总之，银行信息安全风险识别是一个系统工程，要重视银行信息安全风险识别方法的研究和运用，把握其运用的重点和相关方法，特别是要采取有效措施对银行信息安全风险进行管理和控制，建立可靠的风险预防和控制机制，最大限度地维护我国银行信息安全，确保金融系统的稳定。银行信息安全的保护，维系着整个国家金融安全的稳定和繁荣，只有加强重视程度，提高防范意识，严控严防，才能使银行信息安全体系在良性环境中健康发展，为我国社会主义经济建设提供稳定的金融支持。

参考文献：

安全风险及防范篇（5）

中图分类号：F279 文献标识码：A 文章编号：1007-9416（2017）01-0204-02

互联网的飞速发展，海量的信息资源极大的方便了用户的信息需求，但同时也给网络用户带来了信息安全问题。网络的开放性使得其在安全性上存在病毒入侵、信息泄露等安全风险，据不完全统计全球平均每20秒就会发生一次网络安全事件；我国超过90%的网络管理系统都遭到过黑客攻击或病毒入侵。尽管完全遏制网络攻击几乎是不可能的，任一组织的网络系统都不可能是真正的“金刚”之身，可以说网络安全是网络时代的永恒任务。

1 大型国企的主要网络安全风险

我国大型国有企业已普遍建立了统一的计算机信息系统平台，由于生产、管理数据集中于一个平台上，一损俱损，因而对网络安全提出了很高的要求。以目前我国大型国企的网络安全现状来看，其安全威胁主要来自以下方面：（1）内网威胁。有调查显示约有七成的网络安全威胁来自于企业内部，对于国有企业而言，内部人员的非法操作或误操作对企业的危害是极大的。这些威胁主要表现为：内部人员无意或有意的泄露、盗取企业信息，滥用或误用内部敏感、关键数据等。尽管目前我国大型国企虽然内部T工的网络隐患防范意识正在逐步提高，但这些安全威胁仍然普遍存在的现实情况。（2）外网威胁。在当前这个信息互联的时代，几乎任何国有企业的局域网都实现是与外网互联。在复杂的网络系统中，可能每一天都有入侵者试图闯入网络节点。一旦有员工主机受到网络攻击或感染病毒，就有可能影响整个企业的网络系统，甚至还可能影响到与企业网络系统有链接的其它单位网络。（3）系统风险。系统风险包括，操作系统风险与应用系统风险两大类。目前没有安全漏洞的操作系统是不存在的，当企业网络连上外网之后，必然存在非法入侵的可能。如果大型国有企业操作系统没有采用较高安全级别的系统配置与系统应用，就很容易被人侵入，给企业带来网络安全风险。应用系统的安全风险则更为复杂，因为应用系统是动态的。对于大型国企而言，应用系统的风险主要包括：1）服务器风险。大型国有企业的网络应用多为共享资源，员工有意或无意将硬盘中的信息共享，并长期暴露在网络邻居上的现象是很常见的，这些信息很容易被泄露出去，影响企业的信息安全。2）数据库风险。包括猜测或盗取口令访问、非授权用户的访问、攻击数据库漏洞等风险。当然，因意外导致数据库信息丢失，造成的安全问题也不应该被忽视。3）病毒侵害。通常病毒程序会通过网上下载、人为投放、电子邮件等途径潜入企业内部网络系统。由于大型国企的网络平台是统一的，因此一旦有一台主机感染病毒，就可能迅速影响整个企业内部网络，造成信息泄露、死机、文件数据丢失等安全隐患。4）数据传送风险。对于大型国有企业而言，数据安全尤为重要，数据在公网传输过程中也可能被人非法窃取、删改，一些与竞争对手可能通过技术手段给传送线路上的信息做手脚，造成数据受损或泄露。（4）管理风险。网络管理是大型国有企业网络安全防范中的重要内容，是必要的部分，对降低企业网络安全风险作用重大。其主要包括：1）责任不清，权限管理混乱，致使信息泄露，且出现问题后，追责也较为困难；2）内部不满员工也可能导致信息泄露；3）为了省事或便于记忆，有些大型国有企业设置的登录口令过于简单，导致极易破解，造成网络安全风险等。

2 确保大型国企网络安全的主要技术

所谓网络安全技术，即解决介入控制及确保数据传输安全的技术手段。目前主要的网络安全技术有：（1）网络防火墙技术。作为一种加强网络间访问控制，阻止外网非法入侵的技术手段，网络防火墙技术对保护大型国企内部网络操作环境，维护网络安全有着重要的作用。它能够按照一定得安全策略检测网络间得通信许可，并监视系统的网络运行情况。防火墙负责网络的安全认证，是整个网络安全体系中的最底一层。现代防火墙技术发展迅速，目前已开始向网络层之外的其他安全层级延伸，不再只是单纯的安全过滤，还可以向网络应用提供一定的安全服务，有一些防火墙产品甚至可以提供数据安全、病毒防御、用户认证等多种安全服务。（2）安全隔离。从安全风险来看，基于网络层与基于应用层的攻击较多，难以防范。几年来兴起了一种全新安全防护技术――安全隔离技术。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成信息的安全交换。（3）网络防毒及防蠕虫技术。蠕虫病毒与普通病毒不同，这类病毒通常可以单独安装到系统中，可以独立运行――这也是蠕虫病毒与普通计算机病毒的主要区别。目前，蠕虫病毒越来越多，隐蔽性也越来越强，很难被用户发现，因此危害极大。控制普通病毒的方法是搭建全网终端的集中式防病毒系统；而控制蠕虫病毒需要“阻断”其传播途径，构建邮件防御、漏洞防御、共享防御等立体式的防病毒系统。（4）加密技术。加密技术可分对称加密与非对称加密。对称加密即对信息的加密和解密都使用相同的钥，该方法可简化加密处理过程，信息交换双方都不必彼此研究和交换钥的加密算法。非对称加密即将密钥被分解公钥和私有密钥。这对密钥中任何一把都可以作为公钥（加密密钥）通过非加密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。

3 大型国企网络安全风险的防范措施

对于大型国有企业而言，计算机网络信息资源直接关系到其内部各项业务的运行，如果出现安全问题，轻则影响其网络的正常使用，重则导致整个网络平台瘫痪，数据丢失，信息外泄，给企业带来巨大的损失。因此应根据大型国企的实际情况制定安全防范措施，确保网络安全。

一方面，要加强网络安全管理。对于大型国有企业而言，网络安全管理特别重要，在实践中，我们发现许多网络安全问题出现在组织资源管理上。大型国有企业，可在遵循网络安全多人负责、职责分离、任期有限制的原则下，根据企业需要，制定与企业安防重点、工作环境、业务流程相应的安全管理制度，降低网络安全风险。第一，加强口令安全管理。所有企业内部员工必须对自己的工号或上机口令保密，并定期更改，以防被盗用，尤其是要加强对超级用户的口令保密。为了确保超级用户口令安全，超级用户或系统管理员应只在中心机房登陆，减少密码口令被盗风险。第二，建立严格的设备维护制度。设备安全是其他安全性措施的前提。除了要做好计算机的防火、防雷、防水、防盗等物理设备安全外，还应在不同地点，采用多介质备份操作系统及数据库系统，以防因设备问题导致数据、信息丢失。此外，对于大型国有企业而言，还应编制网络系统的运行记录，以便及时掌握全网运行状态。第三，构建病毒立体防御管理机制。包括定期对网络系统进行查毒、杀毒、升级杀毒程序；对员工进行防病毒教育；严谨在生产机器上安全与业务无关的软件等。通过安全管理，可使大型国企员工充分意识到网络安全工作的重要性。

另一方面，病毒与黑客技术也发展很快，且种类很多，因此，对于大型国有企业来说，充分利用、发展现代安防技术，构建立w防御体系也是极为必要的。第一，划分并隔离不同安全域。以大型国有企业的安全需求划分、隔离不同的安全域，防止误操作域无权访问。第二，建立防火墙系统。对网络接口、网络拨号接口、数据库、PC终端、DMZ等建立防火墙系统，并有针对性的进行防火墙隔离。第三，防范病毒和外部入侵。大型国企网管可以在CISCO路由设备中设置用户口令及EN―ABLE口令，解决网络层的安全问题；可以利用UNIX系统的安全机制，保证用户身份、用户授权和基于授权的系统的安全；对各服务器操作系统和数据库设立访问权限，以防非法用户使用TELNET、FTP等远程登录工具非法入侵。第四，加密、认证技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护等方面；采取信息侦听的方式寻找未授权的网络访问尝试和违规行为，从而发现系统遭受的攻击伤害。第五，PKI体系。公钥基础设施（PKI）是通过使用公钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括：认证服务，保密（加密），完整，安全通信，安全时间戳，不可否认服务（抗抵赖服务），特权管理，密钥管理等。总之，大型国企的网络安全管理，其重要在于关键点管理，企业应在可以接受的成本范围内对症下药，通过“整体防御+重点保护”相结合，维护网络安全。

安全风险及防范篇（6）

众所周知，在我们使用电的过程中电力调度是极其重要的环节，电力调度能够安全进行对于提高电的安全使用系数具有至关重要的作用。为了更好地将电应用到各个行业中，尤其是人们的日常生活中，确保电力使用的安全性，我们必须首先了解并认识到电力调度安全风险以及防范措施，并且尽可能地加大对电力调度安全风险以及防范措施的资金投入力度。尽管近几年来我国在电力调度安全风险及防范措施上取得了一系列的成就，但与其他一些发达国家相比较，我国在电力调度安全风险及防范控制方面始终存在诸多问题，进而大大增加了电力使用的危险性。为了尽快改变这一现状，提高电力调度的安全性，下面将对电力调度安全风险以及防范措施作详细的介绍。

一、电力调度运行的安全风险

（一）系统因素

影响电力调度安全运行的因素比较多，其中比较常见的因素就是系统因素，系统因素对于电力调度安全运行影响比较显著。在电力调度正常运行的过程中，必须利用各种仪器设备进行操作，然后对所有的电网进行统一的控制，只有保证所有仪器设备正常运行，才能更好地确保电力调度的安全性。在运行过程中任何仪器设备出现故障，都会影响电力调度的安全运行，使得电力调度工作不能正常进行。另外，电力调度运行的过程中，如果电力调度系统本身存在问题，也会大大增加电力调度运行中出现故障的概率。

（二）人为因素

在电力调度安全运行的过程中，工作人员扮演了极其重要的角色，他们是仪器设备正常运行的操作者，所以在电力调度运行的过程中，他们的工作能力会直接影响电力调度运行的安全风险。与其他行业相比较，电力调度的各个步骤都需要工作人员进行手动操作，在运行的过程中，一旦工作人员失误使得电力调度运行在某一个环节出现了故障，都会直接影响到整个电力调度系统的安全运行，甚至会使得整个电力调度系统处于瘫痪的状态。另外，许多工作人员的责任意识比较差，在工作过程中他们不能严格按照国家规定进行操作，进而大大增加了电力调度运行中出现故障的概率。

二、提高电力调度安全防范的措施

（一）加强对于电力调度操作人员的培训力度

为了更好地提高整个电力调度安全防范，首先要不断加强对于电力调度操作人员的培训力度，进而不断提高他们的工作能力和综合素养，将提高他们的工作能力作为电力调度企业的一个重要任务，并且尽可能加大对于电力调度操作人员培训工作的资金投入力度。例如，企业应该定期对所有电力调度操作人员进行培训，在培训的过程中首先对他们的理论基础进行培训，并且聘请专业的电力调度操作技术人员对他们进行培训。在培训时首先进行理论知识的培训，让他们对所有电力调度的技能以及电路系统进行全面的认识和了解。在他们掌握理论知识的基础之后进行实践学习，如企业可以增加一些安全事故案例的学习，在案例学习完成之后要求他们根据案例进行模拟演习，并要求所有工作人员必须参与实际的演习，在演习结束以后对他们的培训成果进行检验，对于考核成绩优秀的工作人员应该给予一定的奖励。

（二）不断建立健全操作规程

一个合理完善的操作规程对于确保整个电力调度安全运行具有极其重要的作用，因此为了降低电力调度运行风险，各个电力企业必须要尽快发现企业操作规程存在的问题，然后尽快建立健全操作规程。另外，操作规程是整个电力行业工作过程中不可或缺的一部分，并且一个合理完善的操作规程还可以更好地约束所有电力调度操作人员的工作行为。例如，对于电力企业而言，首先应该结合目前电力调度行业的发展趋势，了解企业电力调度操作规程存在的问题，然后及时修改落后的操作规程，并不断更新、完善操作规程。另外，对于一些因为新技术增加的操作规程，企业应该尽快补充，使得电力调度操作规程能够始终M足电力行业的发展需求。另外，企业还应该将操作规程展示在显眼的地方，使得所有电力调度操作人员可以随时了解操作规程。最后，电力企业还应该不断引进其他优秀企业的电力调度操作规程，并结合自身企业的发展情况对已有的操作规程进行适当的改革和创新。

（三）定期检查电力调度设施

为了更好地确保所有电力调度仪器设备正常运行，尽可能降低电力调度运行过程中的安全风险，各个电力企业必须要定期检查所有电力调度设施。例如，电力企业应该成立专门的电力调度仪器设备检查小组，然后要求各个检查小组必须要定期对所有的仪器设备进行认真的检查，在检查过程中，一旦发现仪器设备不能正常运行必须要及时进行维修，确保所有仪器设备的安全性。而对于一些完全无法使用的仪器设备必须及时进行更换。另外，在检查过程中一旦发现任何的故障问题必须立即向企业汇报。最后，企业还应该对这些检查人员进行培训，使得他们可以更好地了解并掌握所有与电力调度仪器设备检查有关的基础理论知识，并且不断提高他们的工作能力。

三、结语

随着我国社会和经济的不断发展，我国电力系统的规模也在不断扩大。电力调度在电力系统正常运行中发挥着重要的作用，但是，在电力调度实际工作过程中还存在很多问题，如安全管理机制不到位、操作人员综合素质低等，都增加了电力调度的风险。因此，企业应该有针对性地提出解决措施，不断提升电力调度工作人员的综合素质，依靠先进的科学技术，提高电力调度的自动化、信息化水平，促进我国电力行业快速发展。

（作者单位为国网福建永春供电公司）

安全风险及防范篇（7）

中图分类号：F407.61 文献标识码：A 文章编号：1672-3791（2013）04（a）-0161-01

电力调度工作的重心在于能够让电网中的各个环节在调度中心的配合和指导下，伴随着电网供电负荷的不断变化而协助每个环节的安全、稳定运行，从中降低安全风险的级别，提升电网的稳定性及安全性。本文结合笔者的总结，主要论述了电力调度运行风险问题，并提出了预防的对策。

1 电力调度安全风险管理目的

电网安全管理的目的就是降低系统运行的危险，提升运行的安全级别。在电力调度过程中难免会遇到许多安全上的风险问题。因此，对安全风险进行管理极为重要。安全风险管理主要是把各种电力系统、单位、建设工程在工作中碰到的安全问题进行研究，最后做出安全隐患的判别与评价，从中提出产生安全问题的原因，采取有效的预防策略，以降低运行的风险及保护人员的安全。

2 电力调度中风险判别和评价

2.1 风险判别

在电网运行当中，人的行为对电网运行起到关键性的作用。根据国家标准GB/T13816-19925对生产的危险和有害因素分类的规定，生产危险和有害因素可划分为6种；电力调度工作中的危险因素主要来自于人的行为造成的危害，其中主要包括：人员指挥错误（指挥失误、违章指挥）；人员操作失误（误操作、违章作业）。

2.2 风险评价

风险评价主要是指使用安全技术，对运行系统所具有的安全性能进行研究，以此正确地辨识系统可能发生的安全隐患和危害程度。该系统采用金尼法对风险进行评估。这个方法主要是把与系统中可能接触到的安全隐患有关的三种因素在指标上的数值进行相乘，公式是：D=L×E×C。其中L表示安全隐患可能发生的几率有多大；E表示在缺乏安全保障的环境里，人体被暴露的次数有多频繁；C表示当安全隐患发生后造成的损失；D表示风险等级划分。

对于安全隐患可能发生率L值：最小值取0.1，最大值取10，其它在0.1～10之间，如表1。

人体被暴露的次数E值：最小值取0.5，最大值取10，其它在0.5～10，如表2。

安全隐患损失C值：将需要救护的轻微损失值取1，把造成多人死亡值取为100，其它在1～100之间，如表3。

风险级别D值：根据经验，把风险级别划分为5个等级，如表4。

3 电力调度运行风险及预防对策

电网调度人员在电网安全运行中起到关键性的作用。每个级别进行调度的工作人员在对电网发生安全隐患和在日常工作中所下达的每一条关于调度的指令都应该是绝对正确的。

根据风险判别和评估方法，如由于调度操作失误造成事故发展，但不经常，（L）值取3；每天都有可能发生安全隐患，（E）值取6；如果发生调度操作失误，造成一人伤亡，（C）值取15。

D=L×E×C=3×6×15=270

通过风险级别划分，D值为270，处于160～320之间，危险等级属于3级，危险程度高，所以应视为是重大危险源。

3.1 调度操作上出现的失误

（1）对工作票进行严格的审核、签收。对于相关工作人员填写的工作票是否符合要求，工作的时间、内容、相关设备的双重命名以及特殊标注等方面是否表达清楚要进行认真的审核。审核完毕后对于符合规定的工作票进行签收，不符合规定的工作票要拒收，并退回要求其按相关规定重新填写。

（2）对调度操作指令票应该给予预令。经过审核并且符合规定的工作任务，调度应该根据相关要求提前书写操作票并给予提前预发。在预发的过程中相关操作人员一定要互通姓名、工作单位、个人岗位，而且对操作票上的预发时间进行检查，并给予预发的调令。

3.2 电力调度中风险的预防对策

（1）安全事故防范。在电力调度前，应充分检查气温、负荷情况、设备运行情况。并做出系统性与安全性分析，从中根据不同的情况制定不同的防范措施。如果遇到重大的节假日或者是比较特殊的运行方式还应该针对其可能出现的安全事故编制相应的预案。

（2）调度运行防范。调度人员应从稳定原则出发，对电网运行方式进行科学、合理的调整，使电力设备可以在正常的条件下顺利运转，并且也可以保证对相关用户的供电情况；对已经停止供电的用户要进行及时有效的恢复，尤其是对大型工厂的供电和对某些特殊用户保安系统的供电。

4 结语

总之，电力调度安全管理工作的重点是保证电网系统的安全运行，减少不必要的危险因素的出现。其中，最主要的危险因素是人为因素，应提升电力调度人员的操作水平和专业知识。另外，应做好运行设备的安全检查和工作，最大程度地降低设备存在的风险级别，提升电网运行的稳定性和安全性。

安全风险及防范篇（8）

一、网络金融安全风险

（一）业务风险

网络金融建立于网络传输的高效、便捷的基础之上，互联网的金融服务因为其快捷的交易方式得到了迅速的发展。网络去联系交易方，有一定的虚拟性，从这个角度来看，这也加大了交易者身份的验证难度，无法避免出现交易者身份证明的交易误差，且信用评价不够透明，进一步增大了网络金融的使用风险。除此之外，还有一个重要问题是交易的信息风险，由于金融机构之间的信息不对称、传递信息的滞后性以及网络时代的信息污染，进一步对信息造成了影响。互联网金融作用于虚拟网络中，很多信息都是通过网上的数据进行的，比以往的传统金融业务方式更具有便捷的方式，同时也会随着用户的激增，带来大量的垃圾广告，影响到互联网金融企业的信息传递，最终带来信息风险。

（二）管理风险

目前我国缺乏独立自主的网络信息安全技术，我国的互联网金融企业所使用的配套硬件、软件系统都是来源于发达国家，从本质上来看，我们缺乏对信息系统的了解程度和掌握程度，这就使得一些国外的不法分子很容易利用自身先进的技术侵入我国的金融系统当中。网络安全当下是金融行业发展遇到的一个比较棘手的问题，在互联网技术不断引进国内的同时，我们还会受到网络病毒的干扰，进而对网络的使用造成一定程度的干扰。当下我过已经有了自主研发的原生态系统，但因为技术尚不成熟，存在着大量的漏洞和不稳定因素，这些都会威胁到使用的稳定性和安全性。所以，网络金融在良好的发展势头下没有成熟的技术支持，是当下其发展一个重要的问题。网络金融建立于互联网上，互联网本身的安全性和用户的操作规范有着较强的关联性，具体的风险可能因为系统的不完善以及有关产品设计的缺漏等等，会对自身的运营造成威胁。

二、网络金融安全的防范措施

（一）业务风险防范

任何事情在未到来前就要做好应对的准备，对于金融行业的风险防范更是如此。通常情况下，金融行业的事故之所以会发生，会造成大范围的影响，都是因为应急措施不够到位，在处理体系的设置上存在漏洞。所以，要想竭力避免有关的金融事故，就需要从根源降低业务处理的风险，建立健全系统处理机制，当下我国的业务风险防范主要从完善信用审核制度入手。近些年来，个人信用征信制度的投入使用使得我国的个人信用体系空白得到了弥补。在我国快速发展的金融行业，建立健全个人和企业的征信体系，更有助于促进网络金融行业的发展。这可以进一步降低网络金融的虚拟性问题，减少法律调节的障碍和成本。利用个人、企业的信用调查、认证、评级等服务，逐步实现征信的透明化，让一些信用不好的企业和个人，在互联网金融中难以立足，减少信用的使用风险。

（二）管理风险防范

随着社会的不断发展，金融行业的拓展规模越来越大，其管理的内容也越来越复杂。庞大的信息体系让我们感到无所适从，从传统的管理方式来看，一些管理方法和管理思路已经跟不上时代的发展。在大数据时代，海量的银行交易数据，再加上产品的功能和系统是金融行业处理风险的重要掌控点，在办理相关业务时，工作人员需要有谨慎的工作态度，避免出现工作的事物。企业方面也需要进一步提升功能和系统的稳定性、可靠性，配备上强有力的监控系统，使得整个互联网金融可以得到正常的运行。金融软件的开发设计上，需要工作人员进一步严格要求自己，企业管理者要严格控制工作人员的开发产品质量，从而使其更好地投入运营和使用当中。大数据时代的特征为金融工作带来了诸多挑战，电子数据的高度集合化，使得金融行业的传统模式无法得到充分的发挥。由于金融工作的数量巨大，数字信息并不利于金融从业人员寻找重点，以此影响到金融从业人员的判断。数据结构的多样复杂性，使得数据内涵并不能再短时间内为金融工作者所理解和掌握，数据类型的多样性，使得金融从业人员的非结构化采集能力、分析能力都有待提升。

加大互联网的支付风险防范控制力度，因为支付作为互联网金融防范的重要环节，所以要进一步建立健全计算机的防火技术，建立网络安全管理制度，优化企业的内部管理和专人管理。掌握核心的技术，更好地应用于电子信息产品的开发。

三、结束语

随着经济全球化的进一步发展，我国金融市场也在不断践行对外开放的政策，在网络时代，金融的安全问题成为我们化解金融风险的重要问题。从一定程度上来说，网络具有较强的破坏力，比以往的呆账、烂账的危害更大，一旦出现了不可控的风险，则对于金融行业的打击是具有毁灭性的。所以，网络时代，金融行业要更加重视自身的安全防范体系构建，只有将其控制在手中，才能够更稳健地推进有关工作。

参考文献：

安全风险及防范篇（9）

引言

城市建设的重要组成部分市政工程，其有利于促进现代化经济建设的发展。市政工程具有独特的特征，主要包括社会性与公益性，可以较好地推动广大人民的学习、生活和工作。现代市政工程充分考虑“以人为本，安全生产”的建设原则，积极发挥客观作用造福广大市民。现阶段，市政工程发展形势非常好，故伴随的生产质量方面的问题也随之出现，人们越来越注重此方面的问题。在市政建设过程中，有必要加强安全生产方面的管理工作，这不但能够较好地促进社会稳定发展，同时还能够为城市建设作出重要的贡献。

一、市政工程安全生产的主要特点

1、施工布置方面

（1）市政工程所涉及的环节相对较多。众所周知，一般而言大的建设项目都是由许多小的工程建设组合而成的，市政工程也不例外。市政工程直接危及到广大民众的生命财产安全，因而市政工程在满足广大民众权益的前提下，与各个分享工程建设存在较为密切的关系。不同的施工环节，相应的施工工艺与工序也是有所差异的。市政工程的环节不仅较为多种多样，其布置也是相对复杂的，并且相应的施工难度较大。(2)施工现场的交叉作业较为频繁。市政工程建设中存在较多的交叉作业，这些交叉作业是频繁发生的，因而伴随的问题也相对较多。这些交叉作业不但能够为项目提供便利，与此同时也对风险管理方面带来了较大的难度。(3)风险因素的不确定性。无论何种工作，都存在着一定的风险性。虽然有些风险可以预计，但其中也会存在某些不确定的因素，也就是未知的风险因素。市政工程施工过程中，施工区域内经常会有安全责任与管理盲区的混淆，这种问题一般都无法解决，会增大市政工程的安全生产的难度。此外，市政工程建设过程中存在着一定的流动性，一段的工作或者时间之后，工作人员与时间都会发生相应的变化。这就需要相关作业人员增强对新环境的适应能力。假若适应得不好，将会增大施工过程中的潜在危险，甚至可能会引发一定的事故隐患。

2、施工条件方面

（1）施工环境条件恶劣。在市政建设过程中，施工的环境条件往往都是较为恶劣的。施工现场中，一般都会设有屏障来对环境条件进行保护。在工作环境未达到最佳的施工环境前，安全生产方面或多或少会存在一些问题。此外，施工地点也会对广大居民的交通路线与交通方式产生影响，危及到广大民众的生活。通常施工地段会设有警示作用的安全标语，这是在提醒当地居民与施工人员，但这仍然无法避免安全事故的发生。（2）作业现场影响大。施工条件会对施工的作业现场产生一定的影响，并且其影响程度不能忽视。比如，市政工程的项目基地一般都会存在着较多的工作人员，人员相对较为杂乱。现场施工过程中，所有问题都要结合实际情况确定解决措施，往往会与预期的计划有所差异。因而，作业现场的影响还是相对较大的。(3)风险因素的偶然性。现场施工中，意外是难以避免的，市政工程建设也不例外。在交通道路施工过程中，环境与交通因素都会对道路施工产生一定的偶然影响。例如，道路的修缮必须在一定的范围内实行，在施工过程中，假若遇到路段相对较窄的地方，就会对材料运输与施工机械带来一定的困难。此外，时间也会对工程产生偶然性的影响。

二、市政工程的风险防范措施

1、建立健全安全管理制度。市政工程往往具有综合性的特征，因而必须要对施工过程中的安全生产进行调控，将安全管理贯穿于整个施工过程中。同时不断健全相应安全生产管理制度，开展系列安全教育培训，使得作业人员都能够明确自身的职责。2、确保定人定机管理，专门人员负责机械作业。市政施工建设过程中，通常会用到各种各样的机械设备。对于机械设备的管理工作，必须要定机定人，及时对设备进行维护。3、及时检测危险作业环境，考虑到实际工程中各种的潜在安全隐患，做好应急方面的工作。市政工程通常会受到外界隐喻与气候条件的影响，存在许多位置的危险源。4、做好安全技术交底方面的工作，详细归纳总结检查内容，依次排查安全风险。在市政工程中，不能忽视对安全与风险排查的记录。这个过程是资料的积累的过程，可以为以后的工程实践提供很高的参考价值。在此过程的实施中，确保操作人员要明确安全技术交底各个方面内容，保障市政工程的安全生产。

结语

现阶段，我国的市政工程发展越来越快，形成较为复杂且完善的市政工程网络，涵盖了城市居民生活的各个方面。在此大背景下，市政工程对安全生产的要求也随之提高。市政工程直接危及广大民众的生命财产安全，因而，市政工程必须要坚持安全第一的原则，强化各个部门的职责与监控力度，进一步维护好社会的稳定与发展。

参考文献:

[1]朱明安.市政工程安全生产特点及风险防范对策[J].城市道桥与防洪,2009(06):114-119.

[2]廖京略.市政工程安全生产特点及防范措施[J].四川水泥,2015(02):278.

安全风险及防范篇（10）

1.1数据库安全接入端口设计数据库安全接入端口主要应用的方式是虚拟化节点的管理方式。“虚拟化节点管理”存在目的是为了给系统管理员提供更简便且直观的工作方式。其中，虚拟化阶段管理界面主要负责对外界操作的相应工作[3]，并对相应页面发出操作请求信号。虚拟化节点信息管理主要负责节点固定信息和变动信息的收集整理。虚拟化节点信息获取的主要工作是维护节点内的信息数据完整。安全接入端口功能结构设计如图1所示。虚拟化节点管理类图按照节点处理信息的类型不同分为信息管理和信息获取两类，三者在功能设计层面具有不同的职责分工。其中：虚拟化节点管理作为统筹管理层，负责对虚拟化节点的应用请求做出响应、监控虚拟化节点的使用状态、收回节点使用权限，实现资源的统一调配和分时复用；虚拟化节点信息管理负责节点信息的接收、转发、校对，是主功能类；虚拟化节点信息获取是保障层功能，用于信息的维护与管控，对信息安全和状态进行监管。1.2用户访问操作加密控制非授权用户访问数据库的第一层加密是身份认证，用户只有通过了信息安全系统的身份判定，才能访问初级界面的信息，但不能访问更深层次的数据信息[4]。在用户身份信息认证控制运行的过程中，数据库会调取储存过的可访问人员名单，与用户输入的身份信息进行匹配认证。同时向下一层级发送指令，只开放非授权用户可以访问的数据包。技术研发人员还特别注意到了数据库保密措施这项技术，研究发现，大多数互联网企业都会对储存的数据本身进行保密处理，这样即使是信息丢失或者泄露，盗取者也不能马上使用，在没有解密算法的条件下，盗取的信息只是一组乱码，毫无用处。应用层加密，是在数据传输中即完成加密操作，当数据存入数据库中时，已经具备了加密属性，重要数据得到保护，即使信息被窃取也无法被破译[5]。在应用层的数据加密，需要将用户行为关联其中，判断行为的合法性和目的性，通过机器学习，挖掘用户行为特征，建立行为判断规则，实现低人工干预的自动安全防护规则的生成与实施。行为判断规则的算法流程设计为：输入端：通过数据积累，建立数值化的用户行为数据集S，其最小支持度min−sups=，最小相关度阈maxconf=m；输出端：通过输入端的数据激励，关联用户行为，形成规则库A，以及正常的用户行为规则数据库D。在输入端和输出端之间进行如下运算：（1）根据最小支持度min−sups=生成项目集合P；（2）ForEachp⊆P{if(max−conf)ToA}；（3）If(x(p−x)⊆Aand(p−x)Then——→x；（4）从规则库A中找到正常的用户行为规则，将其删选，另外保存至规则库D；（5）RETURND。算法的设计中，需要具备最小支持度的数据集合储备，才构成了运算的最低条件基础，在此行为集合中，通过最小相关度阈值得到用户行为数据集的用户行为规则库，作为安全的操作行为，在安全风险防范中不予拦截。但是现实中，任何时间段的用户行为都会存在非正常的操作，其分布满足高斯规则，因此需要在建立规则过程中，剔除掉破坏行为的干扰，筛选出用户正常行为，建立规则[6]。1.3静动态职责分离维护数据库运行大部分人访问一个系统时，操作都是一步一步进行的，通过计算机的身份验证，建立信息交流，提取自己所需要的信息。在用户进行操作时，动态职责分离约束功能（如图2所示）就会把用户的角色进行分类分级，只有按照层级操作，才能访问最终界面，调取有用数据[7]。而此时，数据库中的其他功能信息对此用户角色是关闭的，也就是说用户不能同时进行两项技术操作。静态职责分离约束主要是对定点位置的一场进行处理，与之相对的，动态职责分离约束是会给多名同时访问的用户下发不同的角色，在同一时间点，不同的角色无法进入到同一个数据操作流程中，用户的操作会被自动分层或进行排队等待。静态职责分离约束则是将所有用户进行统一的限制性分配，这样即使是某一个运行模块出现问题，也不影响其他部门人员进行信息的调取和使用。在日常工作中，使用静态职责进行信息调取的数据开销太大，因此可以认为静态职责分离约束是一项应急措施。静动态结合的方式最大限度维护数据库正常运行。1.4内部信息审计实现安全风险防范审计是对行为的合理性、合法性进行监察的过程，内部信息审计对数据库的使用过程进行监督发现危害安全行为。内部信息审计的形式主要包括操作日志和访问数据库两种情况，审计模块首先会将这些数据信息记录在册[8]，之后审计模块会先对这些操作进行正常和异常行为的检测，再进行分类储存。数据管理工作人员在查看时就极大地提升了工作效率，先在正常行为包中检查，再到异常行为包中进行异常数据查看并进行相关操作，可以挖掘到异常操作的用户端地址，还能够查看该用户在特定时间段开展的关联操作，将结果和过程对应到人。这样就可以分辨出哪些是员工误操作，及时进行培训，哪些是恶意操作，及时进行防范。数据管理员可以在出现安全问题时，通过表1的分类文件找出问题根源。下面首先创建数据库连接日志类和用户操作日志类。然后建立这两个类对应的网址映射类。这样我们就可以根据两个映射类匹配数据字段，查询出所有的日志记录。可以实现数据库安全防范功能。

2仿真实验

2.1实验准备进行数据库安全运行仿真实验是为了验证设计的方法是否对用户的异常操作行为具有准确的甄别功能。首先从企业的内部审计存储器中随机抽取用户的操作日志，然后设置不同数量和长短的正常操作语句、异常操作语句。之后，在用户正常数据中加入异常操作，检验系统的识别异常操作能力，判断安全风险防范的效果。根据合法用户的正常操作，抽取其数据特征，并有针对性的调整操作细节，构建异常操作样例，种类为三种：（1）异常行为，设计合法身份用户的超越数据库使用权限行为，如发现该行为，安全风险防范系统应停止服务，终止该操作；（2）非法入侵，设定非法用户操作行为，以未被授权的用户身份使用数据库；（3）木马窃取，设定注入类语句，在后台操作数据库。实验过程设计为：编号1.在200条正常操作中夹入90条异常行为操作。编号2.在200条正常操作中夹入90条非法入侵操作。编号3.在200条正常操作中夹入90条木马窃取操作。编号4.在200条正常操作中各加入30条用户越权操作、非法用户操作和终止注入操作。编号5.200条正常操作。为了比较直观地显示出实验的内容和结果，实验操作是在单一用户操作下进行的，并且数据库目标也仅有一个。软件的安全防范措施是用网络抓包的方式获取数据通行信息，并进行数据来源分析，导出操作用户的客户端地址以及要访问的数据库信息，这样就能够实现多个用户操作访问不同的数据时，也能进行安全排查。2.2实验结论五项操作的实验数据如表2所示。从表2可以看出，当操作都是在安全范围内进行，没有任何异常操作的情况下，安全风险防范系统不会影响数据库的正常使用，没有安全预警；在正常操作中夹带非法操作情况下，风险防范系统能够以较高的比例发现异常行为，发出报警信息，并终止当前操作。对于不能100%识别异常行为问题，经研究分析，是安全风险防范系统对较长语句的学习不足，导致没能建立防范规则，造成漏警。每一项的漏报数据在总条数上不超过1.5%，在合理的漏报范围内。根据以上数据，证明本文设计的数据库安全方式是有实用性的。

安全风险及防范篇（11）

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 13. 067

[中图分类号] TN929.53；TP309.5 [文献标识码] A [文章编号] 1673 - 0194（2017）13- 0158- 03

0 引 言

近年来，智能手机的应用已达到普及，据相关数据显示，手机网民近几年持续增长，截至2016年12月，我国手机网民已达6.95亿。手机在工作、娱乐、社交、网购等诸多领域得到了广泛的应用，使用范围也在逐步扩大，深受用户青睐的手机支付除了网上支付，也逐步向线下领域渗透。智能手机的应用越来越广泛，使用安全愈发重要，由于操作系统的漏洞或人为的不当使用，智能手机有很大的安全风险，目前，智能手机主流的操作系统是Andriod、iOS操作系统，这两个操作系统都有很大的漏洞和缺陷，Andriod操作系统的开放性使得手机应用可以获取的权限较多；iOS操作系统云端存在着使用者信息保密的漏洞，也存在很多系统“后门”，这些漏洞和缺陷给病毒入侵创造了良好的条件，给智能手机造成了重大的安全隐患。另外，有的用户使用手机的习惯差、密码设置简单、常点击不明链接等操作容易造成信息泄露，甚至会导致手机恶意消费资费、网银被盗刷等。

1 智能手机面临的主要安全风险

1.1 电话或短信骚扰，电信诈骗

据360手机卫士数据显示，近年来骚扰电话、垃圾短信等持续增多，2016年的手机骚扰电话拦截量创新高，主要为广告推销和诈骗电话。近年来，我国发生了很多电信诈骗案，犯罪分子利用电话、网络和短信等方式，设置骗局，诱使受害人给犯罪分子打款或转账，给用户带来财产损失。

1.2 手机木马病毒

手机支付方便快捷，但是有很大的安全隐患。手机的操作系统和应用软件都存在一定的漏洞和缺陷，黑客利用系统和应用软件的漏洞向手机植入木马病毒，手机感染木马病毒后，可能会有资费消耗、恶意扣费、系统破坏、窃取隐私、远程控制等风险，其中，远程控制和隐私窃取可能泄露用户的短信、电话、微信、银行转账等信息，这些信息被不法分子利用后对用户实施诈骗，盗走用户网银等。

1.3 网络钓鱼

近几年，手机端的钓鱼网站明显增多，利用网络钓鱼诈骗有几个常规步骤：诱导用户点击陌生链接然后跳转至钓鱼网站，得到个人关键信息、银行卡账号和密码，再通过木马拦截用户动态验证码及消费提示进行盗刷，陌生链接一般通过短信、即时通信软件和电子邮件传播，其中最常见的是通过伪基站的方式进行短信群发，伪造银行网站，利用中奖、积分兑换等各种手段诱骗用户登录钓鱼网站填写身份证号、银行卡号、查询密码、预留手机号等个人信息，获得用户重要信息后，对用户实施诈骗，盗取财产。

1.4 个人信息泄露

个人信息泄露在我国属于普遍现象，网络支付诈骗早已形成了一条完整的黑产业链，在这条黑产业链的源头就是个人信息的泄露，用户的个人信息被明码标价卖给不法分子，盗取网民财产，信息泄露的途径主要有以下几个方面：①在虚假或钓鱼网站上填写的个人信息导致的泄露；②手机上的木马APP导致个人信息泄露；③在公共场所连接了一些没有密码的钓鱼WiFi，用户手机的上传下载的数据可能被窃取；④有的不法分子在二维码里植入木马、钓鱼网站，盗取用户信息。

2 智能手机安全问题的防范措施

（1）开启系统自动检测更新设置，及时更新操作系统，修补漏洞能降低手机的安全隐患，智能手机操作系统的漏洞和缺陷众多，Andriod、iOS等主流操作系统用一段时间后会升级，时刻关注自己手机的官方网站的更新信息，及时更新操作系统、修补漏洞。

（2）从正规的应用商店下载官方版支付、工具、游戏类手机APP，以确保下载的APP安全可靠，在安装应用时要留意系统提示的权限种类，对一些与应用无关的权限要保持警惕。

（3）重视手机支付安全，手机支付方便快捷，备受人们青睐，犯罪分子瞄准移动支付领域，盗取用户钱财。手机支付安全要警惕泄密和中木马，主要从以下两个方面保护手机支付安全：①养成良好习惯，不进行不当操作，设置安全合理的密码；在公共场所上网尤其是涉及金融支付时，不要连接公共的不明来源的免费WiFi，以免数据被窃走；区分钓鱼网站与官网的异同，陌生链接不要轻易点开，不在安全性未知的网站界面填写个人信息；谨防二维码附带有恶意软件；在不同的地方设置不同的密码，并定期修改社交账号密码以防“撞库”；设置网银、手机银行单日转账额度上限，减少损失。②安装并及时更新安全防护软件，比如腾讯手机管家、360安全卫士等，开启骚扰拦截功能，有效拦截垃圾信息，开启金融保护和账号保护功能，定期查杀病毒并清理垃圾，及时将手机安全管理软件升级到最新版本。

（4）增强安全防范意识，提高自我保护能力。选购手机时选择口碑好的品牌，这些品牌拥有较完备的安全防护体系，拒绝山寨机；手机使用时要进行开机、锁屏的密码设置，维修手机要全程监管，防止被人安装窃密硬件和软件；合理使用云服务，个人隐私和敏感信息不要上传至云平台，上传的数据进行加密确保信息丢失后不会被轻易破解；不需要定位服务时关闭手机的地理定位功能。

3 结 语

随着技术的发展，智能手机的功能日趋强大，相当于一台移动的PC机，存储了个人的大量重要信息，手机丢失或者数据泄密将会造成巨大的损失，用户要提高防范意识，养成良好的使用习惯，避免信息泄露，减少财产的损失。

主要参考文献

[1]王勇，廖志孟.智能手机的信息安全问题探讨[J].科技广场，2015（11）：50-60.

[2]李维华.智能手机风险分析与安全防护[J].网络安全技术与应用，2015（9）：79-80.