首都经济贸易大学硕士学位论文网络风险及其防范姓名:黄新立申请学位级别:硕士专业:金融学指导教师:齐瑞宗2002.3.1摘要/地球正在进入一个崭新的信息时代,信息时代的最大特征是互联网的广泛应用,网上银行、网上政府、网上保险、网上购物、网上支付、网络广告、网上大学……网络,真的如同他的名字一样,散布在我们生活中的各行各业,成为企业和个人获得价值的一条更为便捷的途径。
然而技术的发展存在双刃性,网络应用的推广同样会给我们带来很多负面影响,随之产生的网络风险也会愈加严重。
黑客事件频频发生,2000年2月7、8、9同三天美国多家著名网站先后遭到互联网历史上最严重的计算机黑客攻击,造成的间接和直接损失达10亿美元二同时,网络化使计算机病毒有了新的发展,现在病毒数量已经达到45000种夕随着计算机及网络应用的扩展,电脑信息安全所面临的危险和已造成的损失也在成倍地增长。
每年计算机犯罪仅在银行所造成的损失,美国近100亿美元,德国近50亿美元,日本、英国近20亿美元,而且继续呈上升趋势。
面对网络带来的风险,网络安全变得异常脆弱。
如何避免和转移哩垒!墨堕,加强计算机安全,随范立匕基坦§垦噩,已成为当今又一崭熬的研究课题。
本文分四部来论述风险的一般理论,网络风险的特点,网络§遁的越和网络风险的保险,探寻降低、转移网络风险的方法,减少网络风险带来的损失。
/一、风险管理的一般理论f1、风险风险是指人们对未来行为的决策及客观条件的不确定性而导致的实际结果与预期结果之间偏离的程度。
客观环境和条件的不确定性是风险的重要成因,风险的大小取决于实际结果与预期结果偏离的程度。
风险因素、风险事故和损失是风险的三要素,风险的存在具有客观性和普遍性,风险的发生具有偶然性和必然性,风险具有变动性。
从不同的角度对风险进行分类,可以将风险分为:人身风险、财产风险、责任风险;纯粹风险和投机风险;基本风险与特定风险;静态风险与动态风险;自然风险与人为风险;可控风险与不可控风险;可保风险和不可保风险。
2、风险管理风险管理是研究风险发生的规律和风险控制技术的一门管理科学,是指个人、家庭或组织对可能遇到的风险进行识别、估计和评价,并在此基础上有效地控制和处置风险,以最低的成本实现最大安全保障的活动。
风险管理的目的是通过对风险的有效管理,预防损失的发生以及减少损失发生的影响程度,以保证获得最大的利益。
风险管理的总目标是选择最经济和有效的方法使风险成本最小。
风险管理首先对风险进行识别和衡量,然后处理风险。
处理风险有六种方法,风险规避、风险承担、自我保险、损失防范、风险转移、保险。
二、网络风险特点及其表现1、网络风险的特点所谓网络风险,是指在Intemet日益成为日常生活重要手段的过程中,因技术、管理及法律等方面的不确定性而造成的损失的不确定性。
网络风险具有以下特点:网络风险具有非行业性、外生性、广泛性、人为性、纯粹性、不完全可控性、关联性、灾难性、技术性和滞后性。
2、网络风险的表现网络风险主要表现为以下几个方面:网络故障风险、媒体法律风险、安全性风险。
其中安全性风险可以分为:(1)自然灾害:比如火灾、洪水、地震或断电等。
(2)网络自身风险:网络由于自身存在的安全缺陷导致各种各样的攻击存在。
(3)网络攻击风险:既有来自企业网络外部的攻击,也有来自内部的安全威胁。
外部风险主要是外来人为威胁,包括各种有意、无意的损害。
如“黑客”的恶意攻击、网络数据的非法截取、计算机病毒的传播等。
来自企业内部的威胁包括:误用或滥用关键、敏感数据;因不当使用Internet接入而降低生产率。
内部员工窃取机密资料等。
(4)安全管理风险:安全问题不仅仅是一个单纯的技术问题。
安全风险30%在于技术、70%在于管理,针对安全管理的特殊性,需要有相应行之有效的安全技术手段做保障。
(5)网络的发展风险:随着互联网的发展,黑客的攻击手法也在呈线性增长,如果反黑客技术发展不足够快,后果不堪设想。
三、网络风险的防范1、风险防范综述防范网络风险,首先进行网络安全风险评估,设立网络安全保障架构,然后制定防范的具体措施。
风险评估通常是借助于自己的网络管理人员或者通过能够为用户提供网络安全顾问咨询服务的专业人员,帮助分析和诊断自身的网络安全状况,从技术和管理两个层面去挖掘网络安全问题存在的各个方面,形成完整的安全风险评估报告。
风险评估最常用的是安全扫描工具,可多方位、多角度考察网络安全漏洞和弱点,花费低、效果好、见效快。
网络安全保障架构考虑到网络风险存在的诸个方面:对于网络故障风险,可以通过改进网络设备性能、采用先进的传输技术、提高网络承载能力、定期检查网络设备等方式来避免。
对于媒体法律风险,可以通过制定相应的法律条款、加强宣传、提高人们的法律意识等来防范。
对于网络安全风险中的自然风险,如火灾、断电等,可以通过加强机房安全管理、投保企业财产险、增设不间断电源等方法来规避。
对于安全风险中的网络自身风险和网络攻击风险,则应该根据一定的优先级有选择有步骤地解决来自网络级、系统级、用户级、应用级、数据级的安全问题。
2、风险防范的具体措旅(1)技术保障:常用的技术保障措施有防火墙技术、VNP设备、安全监测预警系统、系统日志审计工具、数据加密技术、数字签名技术等。
(2)加强安全运营管理:制定安全标准及法规、完善内部管理机制。
四、网络风险的保险1、网络风险的可保性分析尽管保险是人们处理风险的最有效的方法之一,但并不是所有的风险都是可以承保的。
保险承保的只是可保风险,从网络风险的特点和表现来看,网络风险具备了可保风险的特征:网络风险的发生是偶然的,而且事先无法预知损失的程度;由于网络使用的广泛性,每个连接在网络上的电脑都有遭受损失的可能性;而且网络风险有可能导致较大的损失;因Intemet中断造成的损失,应属于财产损失,而媒体法律风险责任所造成的侵害名誉权、版权等也涉及到诉讼费用的损失;因而,网络风险是可保的。
2、国外网络保险现状国外保险公司已经意识到网络安全保险的重要性,在一些发达国家和地区,包括互联网保险在内的高科技保险业务正成倍增长。
美国已有相应的网络责任保险产品,欧洲也已经出现针对Internet认证中心的责任保险产品,英国、美国的保险公司推出了“黑客保险”;苏黎世保险公司先后在英国、美国、日本分公司推出“E—Risk保险”项目,这是一种以使用因特网开展业务的企业为对象的新型保险业务。
3、国内网络保险现状到目前为止,我国还没有一家保险公司开展网络安全保险业务。
一方面是因为法律条件尚不具备。
另一方面高科技企业保险额度大,对保险条款的严谨程度要求更高。
而网络发展时间较短,而且还处于高速发展之中,保险公司缺乏可供参考的损失记录和历史数据,无法进行充分的分析和计算,确定自身能够承担的风险度和厘定保险费率。
另外保险公司自身在风险监控方面缺乏经验,也没有公共的风险评估组织对网络风险的损失大小、可保性进行评估,所以不敢贸然出手。
尽管开展网络保险存在这样或那样的障碍,保险公司还是应该作一些尝试。
如对一些互联网依存度较低,网络工作相对单一的普通上网企业承保;效仿国外做法在保单上附加条款;采用共同保险、相互保险形式等等。
目前可以尝试以下两种责任险:一是针对媒体法律风险的Intemet责任险,二是IT职业责任险,主要针对的是网络中断风险及安全性风险。
五、结论综前所述,面对网络化带来的风险,要采取立体的、全方位的防范措施,从技术、管理、保险诸方面进行防范,尽可能将网络风险及其带来的损失控制在最,J、。
4AbstractJustliketheindustrialrevolution,anewrevolutionistakingplacearoundUS,thatisthewideapplicationofintemethasbroughtUStoanewinformationera.Intemethasbeenwidelyusedinmanyrespectofsociallife、countrysafety、militarytechnologyandbusinessetc..andhasbecomet11enecessaryt00linmodemsociety.Butwiththeexpansionoftheapplicationofcomputerandnetwork,theriskitbringsaboutisgettingmoreandmorehuge,thelossitmakeshasalsodoublyincreased.Howtostrengthenthenetworksafetyandhowtoshunanddivertthenetworkriskhasnowbecomeaveryimportantsubject.Inthisthesiswediscussthenetworkriskandhowtokeepawaytherisk.ThefirstpartofthesisiSaboutthegeneraltheoryoftheriskmanagement.inthispartmainlydiscusswhatiSrisk;thethreeelementoftherisk.thatisriskfactor、riskaccidentandloss;thecharacteristicoftherisk;theriskclassification.AlsowediscusswhatiSriskmanagement;t}leandnecessityoftheriskmanagement;theprocedureoftheriskgoalmanagement·ThesecondpartofthethesisiSaboutthecharacteristicandclassificationofⅡ1enetworkrisk.Thenetworkriskisdifferentfromtraditionalrisk.itwidelyexistsineverycomeroflife,involvesalmosteverytrade;itmainlycausedbyhacker、computervirusanddeliberatedestroyoftheemployee.ThenetworkriskiSpurerisk.itCanmakedisasterandCannotbefullycontrolled.Thenetworkriskcanbeclassifiedasnetworkfailurerisk.medialawriskandsaferisk.ThethirdpartofthethesisiSabouthowtoavoidthenetworkrisk.Firstcarrythroughvulnerabilityassessment,buildupnetsafeflame,thenestablishmaterialprotectivemeasure.Themaintechnologicalmethodisfirewalltechnology、safetyrouter、VNPfacility、encryptiontechniquesanddigitalsignature.Besides,toensurethesafetyofnetwork,weshouldstrengthenmanagement,establishsafetystandardandruleoflaw.ThelastpartofthethesisiSabouttheinsuranceofnetworkrisk.Throughinsurancewecandivertnetworkrisk。
