资产安全分析精选(九篇)

第1篇：资产安全分析范文

【关键词】商业银行；信贷资产；安全性；健康发展

我国银行体系作为市场经济的重要资源配置机构之一，在我国的社会经济中起着重要的作用。其关系到国民的经济发展及社会的稳定，在对其信贷安全性问题研究的基础上，政府应加强公开对信息的披露；规范监管部门、企业、及中介机构等外部主体的经济行为；营造健康、良好的信用环境；提高我国银行监管的力度，更好地推动我国经济的健康发展。

一、我国商业银行信贷资产安全性的概念

银行资产的安全性指的是在银行信贷的经营及交易活动中，银行的信贷资产均正常运转，借款人也能按照事先信贷合同的相关规定，按时、足额地归还银行的借款，商业银行既能从事前约定的契约中获得一定的利益、使其的现金流量未发生减少或者损失，并且其的资产价值得到保值、增值的过程。

二、影响我国商业银行信贷资产安全性的因素

（1）商业银行间的恶性竞争。我国目前正处于市场经济转型的过渡阶段，对于多数银行的商业交易行为的规范及制度体系尚未健全，部分商业银行之间为争取更多的市场份额，出现严重的恶性、过度竞争、拼命扩张其的信贷规模等现象。（2）政府干预过多。政府通常会借住于行政手段对商业银行进行干预，以确保经济的增长，长期如此，在一定程度上扭曲了银行与企业的关系，导致商业银行的债权悬空、资产不稳定，部分地方的政府运用行政等强制性方式及手段，迫使银行增加对当地信贷的投入、进行过多地贷款，严重影响了我国商业银行的信贷资产安全。（3）社会与企业的信用制度缺失。我国面临着社会整体的信用意识较为淡漠，惩戒失信行为的力度不够，信用规则及制度尚未健全等问题。（4）信息的不对称。我国市场信用机制尚未健全、信息较为分割、银行的识别能力相对较差等因素，信贷市场的信息错乱现象十分突出。信息的不对称是导致我国银行资产的质量恶化、使用效率低下的原因之一。多数信用、中介的评审机构，为了自身的经济利益，与借款企业“串通合谋”，编制虚假信息、评审报告，骗取银行的信贷资产，影响了银行的信贷资产安全。

三、我国商业银行信贷资产安全性存在的问题

（1）信贷资产模式单一盈利能力低。我国信贷资产的盈利模式较为单一，盈利能力相对较差，银行信贷资产的收入多数来源于贷款的利息收入，并且其的盈利空间相对狭小，银行在追求盈利的同时，更倾向于扩大其资产的规模，进而放松了对风险的控制，以此同时，加大其资产的不安全性。银行信贷资产盈利能力的高低影响了其的资产运营的质量及效率，与其他国家银行的信贷资产状况相比，我国商业银行的资产在收益率及盈利状况方面相对较差。（2）信贷资产的期限及结构失衡。我国商业银行的贷款期限一般均较长、机构设置也较为不合理，在某种程度上，不仅极大地降低了其的信贷资产流动性、减慢了其的资金周转速度、降低了其的资产期限匹配性，加大了贷款企业的生产、经营及贷款偿债的难度。（3）信贷资产的管控力较低。我国的商业银行普遍面临着资本不足、抗风险能力、偿还能力均较低等情况，银行资产的信贷风险大，资本金不足的现象十分明显。基于银行信贷的规模增长过快、资本资金来源渠道狭窄等因素，导致我国的银行机构的管控力及抵抗风险的能力较低。

四、解决我国商业银行信贷资产安全的对策

（1）加快银行的产权制度改革。对我国商业银行的体制进行改革，积极引进投资人及机构，降低国有企业的持股比例，实现利益主体、投资主体的多元化发展，构建有效的产权、管理机制，推进制度创新，提高其的竞争效率，实现银行业及企业间的关系正常化。（2）强化商业银行内部控制执行的机制。进一步强化、完善商业银行的内控执行机制，是确保银行信贷资产安全的手段之一，也是加强其的管理及控制的重点工作。我们应正确认识到，我国现有的商业银行制度相对缺乏全面性，部分商业银行存在超授权或者违规放贷的现象。因此，各商业银行应树立风险控制的意识，以流动、安全、效益为原则，正确处理风险控制及经营发展间的关系，切实使银行信贷的资产得到保障。（3）加强社会的信用体系建设。政府应积极推动并且建立相关的信用评价、监督、体系，营造诚信和谐的社会。制定及完善信用方面的法规体系，注重加大对失信的惩处力度。首先，应健全信用管理方面的法律法规，做到有章可循、有法可依；其次，完善个人及企业间的资信评价体系，减少信息的不对称现象，提高信息的透明度；最后，积极创建、维护良好的信誉秩序，引导银行与企业均树立公平的竞争理念，避免恶性过度竞争。（4）转变政府职能。部分地方政府过多地对市场经济活动进行干预，严重影响了我国银行信贷资金的安全管理。政府在引导地方发展经济的同时，还应借鉴发达国家的成功经验，切实做好经济的转变增长工作。加大力度对社会的基础设施进行改善、服务，完善各种法规、信用体系、保障体系；加强对社会管理的职能，营造良好的发展环境，维护公平竞争秩序；严格依法执法，减少干预，注重引导，严格规范自己的行为；政府适当的进行引导，企业银行之间实现健康的发展，使我国银行的信贷资产安全得到有效地保障。（5）优化企业的融资方式。众所周知，企业是我国市场经济发展过程中重要的组成部分之一，也是金融业、银行业的重要参与者。企业融资的方式，在一定程度上影响着我国银行资产结构及金融体系结构，甚至将影响我国银行信贷资产的安全。为此，首先要对企业的融资方式进行优化，积极培育及发展债券市场，加大创新力度，活跃二级流通市场，实现债券市场品种的多样化；其次应尽快改变当前债券市场多头管理的现象，设立专门的、独立的部门对其的债券市场进行有效监管。减少政府干预行为，强化市场的法律建设，优化银行、企业的资源并进行合理的配置。（6）有效地实现信息的共享。信息的不对称是影响我国商业银行信贷资产安全性的重要因素，银行与企业间的信息受阻，来源渠道相对狭窄。因此，应积极主动地采取有效的措施，降低及缓解其经营活动过程中，信息不对称的问题，有效地实现信息的共享，维护银行信贷资产的安全。政府应建立企业、个人间的征信管理系统，降低信息的不对称程度，完善并且规范信息的查询、披露制度；采用电子技术进行科学、高效的管理，有效地防范我国商业银行内部人员的违法操作行为，减少商业银行内部人员操作的随意性及盲目性现象，进而实现及时地对可能出现的风险进行有效地识别、预替，电子技术的运用，使监督信贷管理的工作实现事前提醒、事中控制、事后监督的职能；建立各银行间的信息沟通、协调机制，实现信息的资源共享。

五、结语

总之，为更好地推动我国银行业的健康发展，提高其的国际竞争能力，减少与发达国家之间的差距，维护商业银行的信贷资金安全，我国的商业银行应加快产权制度方面的改革，努力提高在银行信贷资产安全性方面的防范及控制能力，增强其的综合实力，促进我国银行业健康的发展。

参考文献

[1]王静，李华．商业银行信贷风险管理研究[D]．淮北师范大学．2011：8～10

[2]基于信贷流程的商业银行信贷风险控制研究[D]．西安科技大学．2011：15～18

[3]温丽．基于项目管理思路的银行信贷风险管理研究[D]．江西理工大学．2011：16～20

第2篇：资产安全分析范文

关键词：信息安全；风险评估；系统设计

中图分类号：G647 文献标志码：A 文章编号：1674-9324（2016）23-0249-02

一、引言

信息时代为国家和个人提供了全新的发展机遇和生活空间，但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等，因此我们应按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析，以便采取安全措施，妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想，信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程，如何处理信息安全风险评估所产生的数据，是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。

二、风险评估过程

信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。

1.评估前准备。在风险评估实施前，需要对以下工作进行确定：确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。

2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别；资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值，经综合评定后，得出资产的价值。

3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发，找到可能遭受的威胁。识别威胁之后，还需要确定威胁发生的可能性。

4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发，找到可能被利用的脆弱性。识别脆弱性之后，还需要确定弱点可被利用的严重性。

5.已有安全措施确认。在识别脆弱性的同时，评估人员将对已采取的安全措施的有效性进行确认，评估其是否真正地降低了系统的脆弱性，抵御了威胁。

6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后，在考虑已有安全措施的情况下，利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响得出信息资产的风险。

三、系统设计

1.用角色设计。系统角色分为三种类型，各用户在登录后自动转入各自的操作页面。A.超级管理员：拥有系统所有权限；B.评估项目管理员：可以对所负责的评估项目进行管理，对评估人员进行分工和权限管理；C.评估人员：负责由项目管理员分配的测评工作，将评估数据导入系统。

2.系统模型。根据信息安全风险评估管理的业务需求，我们构建了以安全知识库为支撑，以风险评估流程为系统主要业务流，以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型，系统模型如图2所示。

3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括：①风险评估项目管理：评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项：项目名称、评估时间、评估对象等；主要输出项：项目计划书。②信息安全需求调研管理：该模块用于用户填写安全调研问卷，为安全评估提供数据支持。主要输入项：用户ID、调查答案；主要输出项：问卷标题、调查题内容。③资产识别。系统提供的资产识别，包括：硬件、软件、数据等，根据业务系统对组织战略的影响程度，对相关资产的重要性进行评价；主要输入项：评估对象（信息资产）、赋值规则；主要输出项：资产识别汇总表、资产识别报告。④威胁识别。威胁识别：系统提供多种网络环境的威胁模板，支持和帮助用户进行威胁识别和分析，并提供资产、脆弱性、威胁自动关联功能：主要输入项：评估对象、赋值规则；主要输出项：威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别：系统可提供多种系统的脆弱性识别功能，包括：主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入，目前支持的扫描系统有：Nessus、NMap等，主机系统支持：Windows、Linux、Unix等，数据库支持：MSSQL、Oracle等：主要输入项：评估对象、漏洞扫描结果、赋值规则；主要输出项：漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别：系统提供基于技术、管理等方面的安全措施检查功能，帮助用户了解目前的安全状况，找到安全管理问题，确定安全措施的有效性：主要输出项：安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作，可自动生成安全风险评估分析报告。主要输入项：评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则；主要输出项：风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析，并生成各阶段风险评估工作报告，主要包括如下：《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有：系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余，系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理，在进行评估活动时再从基础库提取有关数据，这样也能减少重复的输入工作。⑩数据接口。导入数据接口：资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式：如EXCEL文件等；常用的漏洞扫描工具：如绿盟、启明星辰、NESSUS、NMAP等。

四、结束语

该系统设计是以信息安全风险评估工作流程为基础，进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统，在实际风险管理过程中，可引入了质量管理理念――PDCA循环，即通过监控每一阶段的信息系统风险情况，及时发现问题，不断调整风险控制工作计划，从而实现信息安全风险管理的工作目标。

参考文献

第3篇：资产安全分析范文

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

b)分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

第4篇：资产安全分析范文

关键词：安全运维；技术支撑；信息安全

中图分类号：TP3 文献标识码：A

1 引言（Introduction）

为进一步规范信息安全管理，提高信息安全管理水平，建设一套集“监、管、控”功能为一体的安全运维管理平台势在必行[1，2]，通过对IT基础设施与应用系统的集中监控，实时反映IT资源的运行状况，对事件、问题、变更、配置等运维服务进行集中处理，最终实现信息资产可知、运行状态可视、服务流程可管、运维操作可控，全面提升信息安全保障能力，有效支撑业务系统的稳定运行，为运维工作提供有效技术支撑。

2 IT运维中存在的问题（Problems in the operation

management）

随着IT业务和规模不断在扩展，给信息中心人员的管理带来了一定程度上的难度，主要体现在以下几个方面：

一是随着网络环境的日趋复杂，传统的“来电响应式”的IT运维管理模式无法及时发现潜在的网络异常及隐患，如何实现网络的事前管理和透明化监控是保障应用系统稳定运行、核心业务正常运转的关键。

二是业务系统的数量不断增多，往往是业务部门向信息中心反映系统出现问题后，运维人员才发现系统出现了故障，具有滞后性。同时无法从业务角度来审视系统的健康度，导致故障无法快速定位业务故障点，也无法通过资源的故障判断它所影响到的业务系统等。

三是缺少有效技术手段，对网络边界完整性进行监控与管理，不能及时发现私自内联与非法外联等高风险行为。对业务访问、后台运维等操作行为缺少必要的监控与审计管理技术手段。

3 建设内容（The content of the construction）

信息系统安全运维管理平台应该包括以下内容：

3.1 综合监控管理子系统

综合监控管理子系统实现对IT基础层的路由交换设备、安全设备、服务器、数据库、中间件、服务等以及资源关联的应用进程、端口、日志等的全面监管，帮助管理人员及时了解IT架构（各类IT资源）的运行情况，形成安全事件关联分析，支持策略管理，能自动或手工设定启动相关事件处理流程。

3.2 安全运维服务管理子系统

运维服务管理子系统是安全管理、日常工作和服务管理的有机结合。运维服务管理子系统应基于ITIL（运维管理最佳实践等）和实际管理需求，提供服务流程管理、业务资源管理、安全管理为主的综合性管理，以保障运维管理的规范化和标准化，提升日常运维管理效能。

3.2.1 安全信息采集与分析

采集各种厂商、各种类型的日志信息，针对采集的各类安全要素信息，实现性能与可用性分析、配置符合性分析、安全事件分析、脆弱性分析、风险分析和宏观态势分析。其中，风险分析包括了资产价值分析、影响性分析、弱点分析、威胁分析等；宏观态势分析包括了地址熵分析、热点分析、关键安全指标分析、业务健康度分析、关键管理指标分析。可集成第三方安全管理中心软件。

（1）安全事件采集

根据前期从各种网络设备、服务器、存储、应用等对象收集的各种安全资源、对象的安全事件、安全配置、安全漏洞、资产信息等数据，进行范式化处理，把各种不同表达方式的日志转换成的统一的描述形式。

（2）安全事件分析

透过智能化的安全事件关联分析，提供基于规则的关联分析、基于情境的关联分析和基于行为的关联分析技术。

管理对象的日志量和告警事件量应在应用系统拓扑图显示；用户点击拓扑节点可以查询事件和告警信息详情；可以对一段时间内的安全事件进行行为分析，形象化地展示海量安全事件之间的关联关系，从宏观的角度来协助定位安全问题。

安全事件以可视化视图展示，具备多种展现手段，至少包括事件拓扑图、IP全球定位图、动态事件移动图、事件多维分析图、资产拓扑图等。

3.2.2 安全隐患预警与处置

采用主动管理方式，能够在威胁发生之前进行事前安全管理。主要提供安全威胁预警管理、主动漏洞扫描管理、主动攻击测试等方式配合进行安全核查。

安全威胁预警管理，用户可以通过预警管理功能内部及外部的早期预警信息，并与资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。

主动漏洞扫描管理，能够主动地、定期自动化地发起漏洞扫描、攻击测试等，并将扫描结果与资产进行匹配，进行资产和业务的脆弱性管理。

配合安全检查管理，够协助运维管理人员建立安全配置基线管理体系，实现资产安全配置检查工作的标准化、自动化，并将其纳入全网业务脆弱性和风险管控体系。

3.2.3 告警管理

为了全面的收集各类事件告警，系统应提供所有事件告警的统一管理。

（1）告警内容

告警内容包含事件的节点、类型、级别、位置、相关业务等，帮助运维人员在收到故障报警时能够迅速了解故障相关的资源、人员、业务等信息，快速作出反应。

（2）告警处理

系统需要针对各业务系统涉及IT资源环境进行实时故障处理。它能从主机和业务系统的各个环节收集事件信息，通过对这些信息的过滤、处理、关联，分递给相关人员，使得最重要的故障能够优先地被关注及处理。

告警消息能按照应用类别、消息种类、消息级别和处理岗位进行分类处理。消息种类可分为：操作系统、数据库、中间件、存储、硬件、应用、安全和网络等。

（3）告警

能对告警级别进行自定义，根据级别确定电话告警，短信告警，邮件告警的方式进行报警。

3.2.4 风险管理

信息安全风险管理工作是在安全信息分析与处理功能的基础上进行信息安全风险评估、信息安全整改任务等工作。

信息安全风险评估，根据安全信息分析结果开展风险评估流程，将风险评估结果形成丰富而详细的图形及报表。

信息安全整改，将信息安全风险评估信息汇总，归并各个部门需处置的信息安全风险，进行集中处置工作并进行整改落实情况分析。

4 结论（Conclusion）

建立以资产管理为基础，项目管理为纽带，以信息系统为核心，建立对IT业务的全生命周期的完整管理，从状态监控、行为审计、风险评估、服务管理四个维度建立起来的一套适合安全运维工作需求的统一业务支撑平台，使得各类用户能够对系统的关联性、健康性、可用性、风险性、连续性、安全性等多维度进行精确度量、分析评估，实现事后运维向事中运维以至向事前防范的转变，最终实现信息系统的持续安全运营。

参考文献（References）

[1] 景义琼.基于ITIL的网络运维管理系统的设计与实现[D].复

旦大学，2010：15-18.

[2] 李荣华.基于ITIL的IT运维管理系统的设计与实现[D].北京

邮电大学，2010：13-15.

[3] 李长征.电子政务运维管理的关注因素[J].信息化建设，2009

（02）：1-2.

第5篇：资产安全分析范文

关键词：网络安全；风险评估；模糊综合评价

0 前言

网络安全正逐渐成为一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。安全风险评估是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。

然而，现有的评估方法在科学性、合理性方面存在一定欠缺。例如：评审法要求严格按照BS7799标准，缺乏实际可操作性；漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估；层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题，本文拟引用一种定性与定量相结合，综合化程度较高的评标方法——模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价，是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法，它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化，很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

1 关于风险评估的几个重要概念

按照ITSEC的定义对本文涉及的重要概念加以解释：

风险(Risk)：威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat)：导致对系统或组织有害的，未预料的事件发生的可能性。

漏洞(Vulnerabmty)：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。

资产(Asset)：资产是属于某个组织的有价值的信息或者资源，本文指的是与评估对象信息处理有关的信息和信息载体。

2 网络安全风险评估模型

2.1 网络安全风险评估中的评估要素

从风险评估的角度看，信息资产的脆弱性和威胁的严重性相结合，可以获得威胁产生时实际造成损害的成功率，将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见，信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看，这三者也构成了逻辑上不可分割的有机整体：①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念；②根据IS0-13335的定义，安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险，从而达到降低安全风险的目的；③根据IS0-13335的观点，漏洞是和资产相联系的。漏洞可能为威胁所利用，从而导致对信息系统或者业务对象的损害。同样，也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出，安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害，因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。

即风险R＝f(z，t，v)。其中：z为资产的价值，v为网络的脆弱性等级，t为对网络的威胁评估等级。

2.2 资产评估

资产评估是风险评估过程的重要因素，主要是针对与企业运作有关的安全资产。通过对这些资产的评估，根据组织的安全需求，筛选出重要的资产，即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估，针对有形资产；另一方面是资产的重要性评估，主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供：①企业内部重要资产信息的管理；②重要资产的价值评估；③资产对企业运作的重要性评估；④确定漏洞扫描器的分布。

2.3 威胁评估

安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有：IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段，一方面可以了解组织信息安全的环境，另一方面同时对安全威胁进行半定量赋值，分别表示强度不同的安全威胁。

威胁评估大致来说包括：①确定相对重要的财产，以及其价值等安全要求；②明确每种类型资产的薄弱环节，确定可能存在的威胁类型；③分析利用这些薄弱环节进行某种威胁的可能性；④对每种可能存在的威胁具体分析造成损坏的能力；⑤估计每种攻击的代价；⑥估算出可能的应付措施的费用。

2.4 脆弱性评估

安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果，我们可以分析出此设备提供的所有服务的风险状况，进而得出不同服务的风险值。然后根据不同服务在资产中的权重，结合该服务的风险级别，可以最后得到资产的漏洞风险值。

3 评估方法

3.1传统的评估方法

关于安全风险评估的最直接的评估模型就是，以一个简单的类数学模型来计算风险。即：风险＝威胁+脆弱+资产影响

但是，逻辑与计算需要乘积而不是和的数学模型。即：风险＝威胁x脆弱x资产影响

3.2 模糊数学评估方法

然而，为了计算风险，必须计量各单独组成要素（威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线，界限两边截然分为两个级别。同时，因为风险要素的赋值是离散的，而非连续的，所以对于风险要素的确定和评估本身也有很大的主观性和不精确性，因此运用以上评估算法，最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析，能较好地解决评估的模糊性，也在一定程度上解决了从定性到定量的难题。在风险评估中，出现误差是很普遍的现象。风险评估误差的存在，增加了评估工作的复杂性，如何把握和处理评估误差，是评估工作的难点之一。

在本评估模型中，借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果，又能充分考虑到影响评估的各因素的精度及其他一些因素，尽量消除因为评估的主观性和离散数据所带来的偏差。

（1）确定隶属函数。

在模糊理论中，运用隶属度来刻画客观事物中大量的模糊界限，而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时，当U值等于49时为低风险，等于51时就成了中等风险。

此时如运用模糊概念，用隶属度来刻画这条分界线就好得多。比如，当U值等于50时，隶属低风险的程度为60％，隶属中等风险的程度为40％。

为了确定模糊运算，需要为每一个评估因子确定一种隶属函数。如对于资产因子，考虑到由于资产级别定义时的离散性和不精确性，致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产（如3级资产)的可能性，可定义如下的资产隶属函数体现这一因素：当资产级别为3时，资产隶属于二级风险级别的程度为10％，隶属于三级风险级别的程度为80％，属于四级风险级别的程度为10％。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

（2）建立关系模糊矩阵。

对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合，则U＝(资产，漏洞，威胁)；取V为风险级别的集合，针对我们的评估系统，则V＝(低，较低，中，较高，高)。对U上的每个单项指标进行评价，通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如，漏洞因子有一组实测值，就可以分别求出属于各个风险级别的隶属度，得出一组五个数。同样资产，威胁因子也可以得出一组数，组成一个5×3模糊矩阵，记为关系模糊矩阵R。

（3）权重模糊矩阵。

一般来说，风险级别比较高的因子对于综合风险的影响也是最大的。换句话说，高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视，即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵，记为权重模糊矩阵B，则B＝(β1，β2，β3)。

（4）模糊综合评价算法。

进行单项评价并配以权重后，可以得到两个模糊矩阵，即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为：Y＝B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵：Y＝(y1，y2，y3，y4，y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样，最后将得到一个模糊评估形式的结果，当然也可以对这个结果进行量化。比如我们可以定义N＝1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

4 网络安全风险评估示例

以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中，我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产，我们进行了资产评估、威胁评估和漏洞评估，得到的风险级别分别为：4、2、2。

那么根据隶属函数的定义，各个因子隶属于各个风险级别的隶属度为：

如果要进行量化，那么最后的评估风险值为：PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04＝2.8。因此此时该资产的安全风险值为2.8。

参考文献

［1］郭仲伟.风险分析与决策［M］.北京：机械工业出版社，1987.

［2］韩立岩，汪培庄.应用模糊数学［M］.北京：首都经济贸易大学出版社，1998.

［3］徐小琳，龚向阳.网络安全评估软件综述［J］.网络信息安全，2001.

第6篇：资产安全分析范文

风险评估技术常用的工具一般有渗透测试工具和脆弱性扫描工具。渗透测试工具一般常使用人工结合渗透测试工具进行，常用的Web渗透测试工具有IBMAppScan、AWVS、HPWEBinspect，通常需对漏洞进行人工验证，以确定漏洞准确性。脆弱性扫描工具主要用于评估网络或主机存在的系统漏洞，常见工具有Nessus，能对主机、网络设备、安全设备进行扫描并形成脆弱性报告。此外，在风险评估过程中，除了利用上述工具来发现系统风险外，还需要利用系统现有数据来进行现状分析和趋势分析，这其中常用的手段有：入侵检测日志分析、主机日志分析、应用系统日志分析、主机/网络检查表等。

风险评估流程

1总体流程

根据风险评估中包含的各个要求，要分别进行实施，整体的风险评估流程如图3所示。

2风险评估准备阶段

通过做好准备工作，能够大大提升风险评估的效果，降低项目实施风险，该阶段是风险评估整个过程的重要组成部分。风险评估准备阶段一般应包含如下工作内容：明确风险评估范围、确定风险评估目标、组建项目团队、设定系统性风险评估方法、整体风险评估方案获得高层批准。

3资产识别阶段

资产识别主要针对现有的信息资产进行分类识别和描述，在识别的基础上从信息安全的角度，机密性、完整性和可用性对其进行赋值，确定信息资产的价值，作为影响分析的基础，典型资产类别可以分为：网络设备、服务器、终端、安全设备、物理环境、业务系统、数据、文档、组织和人员等。

4脆弱性识别

脆弱性评估常被称作弱点评估，是风险评估的重要工作，通过脆弱性评估能够发现信息资产存在的弱点。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性分类可分为技术脆弱性和管理脆弱性，其中技术脆弱性又可以细分为：物理安全、网络安全、系统安全、应用安全、数据安全5个方面。

5威胁识别

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。

环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害，也可能是偶发的或蓄意的事件。对威胁识别的简单方法就是对威胁进行分类，针对不同的威胁，可以根据其表现形式将威胁识别分为以下几类：软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。威胁分析方法首先需要考虑威胁的来源，然后分析存在哪些威胁种类，最后做出威胁来源和威胁种类的交叉表进行威胁赋值。

6风险分析

风险分析中要涉及资产、威胁、脆弱性3个基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

风险评估的主要内容

信息安全风险评估包含的内容涉及信息安全管理和技术，同时包括网络、系统、应用和数据等不同的技术层面，但根据保险行业的特定需求，总体定位在网络设备和网络架构方面的技术评估。主要内容包括：

1)信息资产的调查，主要针对网络拓扑，网络设备和服务器设备等。

2)网络架构弱点评估，针对目前的网络拓扑图进行弱点分析。

3)网络设备和服务器系统弱点评估，针对设备目前的系统配置进行分析，确认其是否达到应有的安全效果，结合渗透测试的手段。

4)现有安全控制措施，通过分析目前的安全控制措施，综合总结网络架构和设备的弱点。

5)整体网络威胁和风险分析，综合分析网络中面临的威胁和可能的风险，形成总体安全现状。

6)建议安全措施和规划。根据风险评估的成果和建设目标，形成建议的安全措施和时间进度，建立1-2年的信息安全规划。

项目实施成果

根据以上工作内容，项目的最终成果包括：

1)信息资产清单和分析结果。清晰明确系统和网络信息资产，明确其机密性、完整性和可用性的安全目标，同时确定资产的重要类别；必要时可以建立内部的信息资产库。

2)系统和网络脆弱性报告。明确服务器系统、网络设备、网络结构和安全设备可能存在的弱点。

3)系统和网络威胁报告。根据已有的弱点分析目前可能面临的威胁和威胁发生后对业务、系统和网络造成的影响。

4)安全现状报告。基于风险的安全现状总体分析报告，明确目前的网络安全风险。

5)建议安全措施和规划。从技术和管理的角度提出后期进行系统建设的安全控制措施。

结语

第7篇：资产安全分析范文

高新技术产业开发区和经济技术开发区也已成为安徽地区经济增长最快、最具活力的区域，大大促进了安徽产业结构的调整和经济增长方式的转变，它的发展不仅使制造业的发展出现了新的增长点，而且带动了整个制造业技术水平的提升与结构的调整，国内一些学者从不同角度研究产业技术开发区产业发展中存在的问题、对策以及与经济发展的关系。郭春，张光明用因子分析和聚类分析法对不同地区的高新技术产业进行比较分析。结果显示我国不同省份的高新技术产业自主创新能力水平存在很大差异［1］。刘旭研究发现，目前安徽经济开发区产业发展的不足主要是集聚度不高、产业层次不好，并提出了环境方面的制约因素［2］。李建峰等对黑龙江高新技术产业的整体发展状况进行透析，特别提出高新技术产业发展过程中的知识产权战略的问题［3］。綦良群，孙凯应用协同学理论并结合耗散结构理论，分析了开发区技术产业和传统产业协同发展机理，提出了促进和保障东北老工业基地高新技术产业和传统产业协同发展的机制［4］。赵美，于春田采用回归分析法从横向与纵向两方面论证了发高新技术对经济发展的推动作用［5］。李向东等利用可拓工程方法，建立评价经济开发区产业安全的指标体系和物元评价模型，结合评价指标对经济开发区产业安全的影响程度，为更好地保障我国经济开发区产业安全提出了相应对策［6］。彭练等选取全员劳动生产率、贸易特化系数、R＆D强度三个指标来分析比较我国高新技术产业的国际竞争力，提出对于促进产业的发展一些看法［7］。通过上述文献分析发现，国内众多学者虽然对经济开发区产业的发展与各方面因素之间的关系进行了研究，得出了一些有价值的结论。但是对经济开发区产业的发展与经济发展关系之间的实证研究，大多直接采用理论的不平衡的单方面因素分析方法，而没有采用社会经济统计方法建立综合经济测评指标。鉴于此，本文使用了统计软件SPSS社会经济统计方法，进行因子得分分析，设计了安徽省经济开发区产业测评指标体系，同时参考《安徽省2009年统计年鉴》中的数据，对安徽省经济开发区的产业发展水平进行了实证研究。

2实证分析

2．1指标选取及数据来源

为了反映安徽省经济开发区产业发展状况，建立了高新技术产业开发区和经济技术产业开发区经济综合测评指标体系:全区企业经营收入(x1)、工业总产值(x2)、进口总额(x3)、出口总额(x4)、税收总额(x5)、财政收入(x6)、而固定资产投资总额(x7)、基础设施投资总额(x8)，以上指标代表经济开发区经济产值，反映其总体经济实力;从利用外资方面考虑，有当年新批进区外商投资企业(x9)、新批外部投资项目投资总额(x10)、合同外资金额(x11)、当年实际利用外商直接投资额(x12);还有利用内资情况，有当年新批进区省外境内企业(x13)、当年建成投产企业(x14)、合同引进省外境内资金金额(x15)、当年实际利用省外境内资金金额(x16)，利用外商直接投资和利用内资情况，反映吸收内、外资的竞争力和影响力，也在一定程度上代表了产业的集聚效应，和资金的投入效率和利用率。研究的数据主要来源于《安徽省2009年统计年鉴》，为了全面对比、系统地分析评价安徽省近年经济开发区产业经济发展水平，本文选取了安徽省两类开发区，即2个高新技术产业开发区和6个经济技术产业开发区的主要经济指标。这8个省级开发区分别为:合肥高新技术产业开发区(简称合开区)，合肥经济技术开发区(简称合经区)，合肥瑶海经济开发试验区(简称合瑶区)，芜湖经济技术开发区(简称芜开区)，蚌埠高新技术产业开发区(简称蚌开区)，铜陵经济技术开发区(简称铜开区)，安庆经济技术开发区(简称安开区)，滁州经济技术开发区(简称滁开区)。

2．2研究方法

依据上述经济开发区产业经济测评指标体系，采用因子分析方法对安徽省两类开发区经济发展状况进行测评，先将数据标准化处理，然后确定指标权重，根据因子分析得到的因子得分和区域总得分对各开发区进行排名和分类进行综合分析，以期找出产业发展水平差异、存在的问题和区域的相似性。

2．3经济产业开发区经济发展水平及问题分析

SPSS17．0统计分析软件的因子分析得知，全区企业经营收入、工业总产值、出口总额、进口总额、税收总额、财政收入、固定资产投资总额、当年实际利用外商直接投资额、当年实际利用省外境内资金金额在第1个因子上的荷载较高，权重为53．64%，意味着它们与第1个因子的相关程度高，因此第1个因子主要是经济开发区产值因素。基础设施投资额、当年新批进区外商投资企业、新批外部投资项目投资总额、合同外资金额，在第2个因子上的荷载较高，权重为18．28%，因此第2个因子主要是利用外商直接投资情况因素。当年新批进区省外境内企业、当年建成投产企业、合同引进省外境内资金金额在第3个因子上的荷载较高，权重为18．21%，主要为利用内资情况因素。3个因子的累计贡献率为91．13%。安徽省各开发区综合得分排序见表1。根据统计年鉴相关数据和因子分析可以得出，两类开发区发展速度均很快，经济总量已有相当规模，两类开发区发展均已成为安徽经济的新增长点，两类开发区的产业集聚功能均日益显现，成为我省高新技术产业和现代制造业的重要基地，但两类开发区的区别如下:①高新区在经济总量、开发效益方面超过经济技术开发区;②高新区的产业和产品分布较集中，主要以高新技术产业和产品为主，经济技术开发区的高新技术产业与产品仍占有较大比重，但产业、产品分布较宽泛;③高新区在技术创新、成果孵化、吸引人才方面的成效更明显，经济技术开发区在引进外资、外企和发展外向型经济方面成绩更为突出。具体分析来看综合得分最高的是合经区和合开区，合经区的F1得分和F3得分都较高，说明合经区的高新技术产业的发展水平主要体现在全区的经济产值以及综合利用外资和内资的基础上，同时合经区的全区企业经营收入是8个主要开发区中最高的，在利用内外资上处于8个主要开发区的第二的位置上。合开区的F1、F2得分虽都为正值，但F1和F2得分较低。主要是因为全区的经济产值和利用内外资的金额在8个开发区中均较低，内外资资金使用效率不高。合瑶区的F2得分最高，突出的表现在其固定资产投资总额和基础设施投资额均较高，说明固定资产和基础设施带来的效益较大。F1得分为正值且不低的另一个开发区就是芜开区，其在全区经济产值和工业总产值均不低，属于综合效益较好的开发区。这四个开发区，在进出口方面，出口额都远远大于进口额，是典型的贸易顺差区，因此经营能力、发展能力、营运能力方面都很好，但也说明产业总量较小，领军型的企业还未完全形成。铜开区在F1、F2的得分均为负值且较低，其全区企业经营收入处在倒数第二位，工业总产值处在倒数第一位，开发效益水平，但在F3的得分最高，说明它能充分的吸引并利用内资的能力较好，但也说明它在发展的过程中可能过度依赖内部资金，但在外资利用效率方面较低。同时进口远高于出口，贸易逆差较明显，说明其在产品自主创新能力方面较为缺失，没有坚持把推动自主创新摆在突出位置，没有完善的科技创新体制，可以说其科技创新能力和核心竞争力还不够。蚌开区、安开区和滁开区。这三个开发区的因子得分情况很相似，都为负值且相近，发展水平在这8个开发区中处于中下等水平，蚌开区的基础设施投资不足，产能效益转化不够，由于自身条件原因，吸引和利用外资的能力较差，企业融资能力差，投入不足会导致技术创新和高新技术产品研发的障碍，其发展过程中瓶颈较多。安开区虽然进出口基本平衡，全区的企业经营收入却大大高于其他两个开发区，主要还是得益于固定资产的投资，而滁开区的整体发展水平较落后。由此可见，经济开发区产业化是一项综合工程，受多种因素的制约，安徽省各经济开发区产业发展水平主要取决于进出口、内外资的资金支持、技术产品的创新性、成果转化率以及基础设施投资等因素，但安徽省经济开发区产业集聚度不高、规模小，高新技术产业开发区和经济技术开发区的效益、规模相近，主要原因是产业的差异性不明显，产业同构化严重，可以说经济开发区产业化的发展面临着良好机遇，同时也面临着新的挑战。在新形势下，经济开发区产业能不能产业化，产业结构差异化，实现平衡高效差别的发展，提高竞争力，关键是看能不能实现技术创新，管理创新和组织创新。

第8篇：资产安全分析范文

一、收益性分析方法版权所有

收益性就是企业赚取利润的能力。从损益表中只能了解到盈亏额，分析不出因果关系，也评价不出好坏程度。因此，需要通过财务报表中的有关项目之间的联系来评价企业的收益性。企业收益性水平高，意味着企业可获取的回报高，同时说明企业的资产与资本结构合理，并在经营活动中有效地运用，为企业安全性打下了牢固的基础。

反映企业收益性指标有很多，通常使用的主要有：

1.销售净利率

销售净利率是指净利与销售收入的百分比，其计算公式为：

销售利率＝（净利／销售收入）×100％

该指标反映每一元销售收入带来的净利润的多少，也是反映投资者从销售收入中获得收益的比率。净利率低说明企业管理当局未能创造足够的销售收入或未能控制好成本、费用或者皆有。利用这一比率时，投资者不仅要注意净利的绝对数量，而且也要注意到它的质量，即会计处理是否谨慎，是否多提坏帐准备和折旧费来减少净利。

2.毛利率

毛利率是销售收入扣减产品销售成本后的余额，它反映的是企业生产效率的高低，是企业利润的源泉。计算公式：

毛利率＝毛利润／销售收入

与此相关的是销售成本率，其公式为：

销售成本率＝销售成本／销售收入＝1－毛利率

毛利率的变化与多种因素有关，是销售收入与产品成本变动的综合结果。当经济形势发生变化，产品成本上升时，产品售价往往难以及时随之调整，从而表现为毛利率的下降；如果企业通过改善经营管理、加强技术改造等措施降低了产品成本，则相应地表现为毛利率的上升。企业产品结构变化对毛利率也产生很大的影响。当企业由生产微利产品转向生产高利产品时，毛利率将显著上升，从而增加净利，提高投资者的报酬率。

3.资产净利率

资产净利率是企业净利与平均资产总额的百分比。该指标表明企业资产的利用效果，指标越高，表明资产的利用效果越好，说明企业在增收节支和加速资金周转方面取得了良好效果。资产净利率是一个综合指标，其计算公式为：

资产净利率＝资产周转率×销售净利率

又可分解为：资产净利率＝销售收入／资产平均总额×年销售净利润／年销售收入

从上式中可知，资产净利率的高低由销售净利率和资金周转率决定。资金周转率越高，资产净利率越高，同时提高收益。但若资金周转率过高，则会导致资金不足，降低安全性（流动性）。而且从以上指标分析中可知，要提高企业效益就必须增加销售收入，降低产品成本，加快资金周转率来增加净利。

进行收益分析，还应考核一些有用比率，一是销售退回和折让比率，即销售退回和折让除以销售收入。这一比率高，说明生产或销售部门存在问题，应及时检查另一个比率：销售折扣比率，即用销售折扣除以销售收入。用这一比率可了解竞争对手的销售政策，从而调整自己的销售战略，增加销售收入，提高净利。

二、安全性分析方法

企业安全性主要是保证能收回本金和固定性收益。影响企业安全性的主要因素是企业的资本流动性和资本结构的合理性。它可通过资产负债表的有关项目之间相互比较来分析。资本流动性所反映的是到期偿债能力，当然还有分析资本结构的合理问题。反映投资安全性的主要指标有：支付能力、资金和资源利用效率、资本结构合理性分析。

1.支付能力分析

分析企业是否有维持一定的短期偿债能力，对于企业会计报表使用者而言非常重要。如果某一企业无法维持其短期偿债能力，连带也无法维持其长期偿债能力，同样也满足不了股东对股利的要求，最终会陷入企业资金周转的困难，甚至可能难逃破产的厄运。短期偿债能力是企业活动的主要凭籍，短期偿债能力薄弱，不仅维持日常交易活动艰难，而且根本谈不上如何计划未来。分析支付能力的主要指标有：

（1）流动比率。流动比率是指流动资产与流动负债的比例关系，表示每元流动负债有多少流动资产来作还款的保证。一般来说，企业的流动比率越大，说明企业的短期偿债能力越强。对于投资人来讲，流动比率越高越好。因为比率越高，资金流动越畅通，投资者的短期投资行为越有保障。

流动比率因受到若干因素的影响，实际上是无法为各种行业确定一项共同的标准的。一般来说，凡营业周期较短的企业，其流动比率也较低。因为营业周期较短，就意味着具备较高的应收帐款周转率，而且无须储存大量存货，所以其流动比率可以相对降低。反之，如果营运周期较长，则其流动比率会相应提高。因此，企业投资者在分析流动比率时，应与行业平均比率或以前各期比率相比较来判断流动比率是偏高还是偏低。计算流动比的公式为：

流动比率＝流动资产／流动负债

其中：流动资产＝现金及现金等价物＋应收帐款＋存货＋预付费用

由上列各项因素得知，流动比率表示企业在其特定时点可使用的静止状态的资源，是一种存量观念。因为其分子分母都取自时点报表——资产负债表，不能代表全年平均的一般状况，而这种静止状态的资金偿付概念显然与未来真正资金流动的情形无必然的因果关系，流动比率仅显示在未来短期内资金流入与流出的可能途径。事实上，此项资金流量与销售、利润及经营情况等因素，具有密切的关联性；而这些因素在计算流动比率时，均未予考虑。

总而言之，企业在采用流动比率对企业进行短期偿债能力分析时，尚须配合其他各项分析工具，才能作出最后的判断。

（2）速动比率。速动比率也是检验企业短期偿债能力的一个有效工具。它反映的是企业速动资产与流动负债的比率。所谓速动资产，是指现金、有价证券及应收帐款等各项可迅速支付流动负债的资产。在流动资产中，预付费用是变现能力最差的项目。例如预付租金、预付保险费等，因在合同中订有不可退回的条款，故其变现能力为零，一般的预付费用也很难收回而转化为现金。存货项目中作为安全库存的那一部分资产，几乎是一项长期资产。而原材料、在制品等存货的变现能力较低，部分存货可能已被抵押给特殊债权人，并且企业在为偿债和清算而被迫出售库存品时，其价格也往往受到不利的影响。速动比率的计算，就是将这些变现能力较差的流动资产扣除后，由剩下的现金有价证券和应收帐款等迅速变现的流动资产与流动负债除后得到。

一般报表分析者认为，企业的速动比率至少要维持在1.0以上才算具有良好的财务状况。通常情况下，速动比率的变化趋势与流动比率是密切相关的，也就是说，通过分析两者中任何一项比率，都可以得到关于短期流动性改善或恶化情况的相同信息。影响流动比率变化的因素，通常情况下也会影响速动比率变化。一般而言，流动性不断恶化的财务状况会导致企业风险增大，不安全。

2.资金、资源利用效率分析

合理地筹措资金，有效地运用资金，是企业科学经营管理的条件，是分析企业安全性的重要指标。具体指标有：

（1）应收帐款周转率。应收帐款周转率是指企业赊销收入净额与平均应收帐款余额的比率，用以反映企业应收帐款的流动程度。它是用来分析应收帐款的合理性与收帐效率的指标。流动比率和速动比率只是静态地说明了企业偿还短期债务能力；而应收帐款周转率与存货周转率则动态地补充说明了企业的流动资产的流动性，进而说明企业短期偿债能力。应收帐款周转率的计算公式为：

应收帐款周转率＝赊销净额／平均应收帐款余额版权所有

应收帐款周转率反映了企业资金的周转和利用情况。周转率高，说明企业在短期内收回货款，利用营业产生的资金支付短期债务的能力强，在一定程度上可弥补流动性比率低的不利影响，使资金流动安全。企业现存问题中，存在应收帐款因收不回来而形成的呆帐。因此，分析应收帐款周转率指标时，还应结合应收帐款坏帐备抵率来分析。即坏帐备抵与应收帐款总额之比。该比率如逐年增加，企业应注意应收帐款有效性问题，因它必须连带影响应收帐款的周转性，影响资金安全性。

（2）存货周转率。存货周转率是一特定期间的存货余额对期间销货成本的比例关系，用以衡量企业存货通过销售实现周转的速度。企业流动资产中，存货往往占有相当份量。因为大多数企业为了销售的需要都维持相当数量的存货，如存货不足，不能及时供货，销售就会因减少而导致净利的降低，影响长期偿还能力，降低资金流动的安全性。

存货周转率＝销售成本／平均库存额或存货周转天数＝360／存货周转率

上式反映了与销售量相比，存货利用效率的高低。存货周转率高，表时存货的使用效率高，存货积压的风险相对降低，资金流动的安全有保障。但存货周转率过高也有问题，如库存水平太低，未设置应有安全库存、经常性缺货、采购次数过于频繁、批量太小，造成库存成本过高。存货周转率过低，通常是企业库存管理不良、产供销配合不好、库存积压和资金积压的结果。这样会导致企业库存成本上升，减弱资金流动安全性。

在企业实际工作中，如果存货中存在劣质积压品，就会影响周转率的真实性，从而不能真实反映企业资金流动安全性，应及时进行改善处理。

（3）长期资产与所有者权益比率。从这个比率中，可以看出自有资金的动向，可通过企业的资源配置结构来反映企业资金流动的安全性。一般而言，该比率较低，资金流动安全性较高；比率低，所有者权益的收益率会降低。在美国通常以1.0做为标准比率使用，如该比率小于1.0说明该企业固定资产全部由自有资金来解决，剩余部分用于流动资产中；如该比率大于1.0，则说明自有资金不足，不足部分由长期债务来解决。企业如以长期举债方式过多地购置固定资产，企业将处于危险边缘。因此，企业往往利用该指标来考核资金、资源利用效率。

（4）长期资产与长期资金比率。一般而言，企业的长期资产如长期投资、固定资产、无形资产等，一般用自有资金和长期负债等长期运用的基金来支持。因此，长期资产与长期资金比率以低于1.0为好；如果该比率高于1.0，说时企业长期资产的一部分是由流动负债来支持的，这样则会降低企业的资金、资源利用效率。

3.资本结构的安全性分析

企业保持较好的资金流动性、资本结构的合理性，提高资金收益率，是保障企业投资安全性的重要指标。进行资本结构合理性分析，目的在于衡量企业的长期偿债能力。评价企业的长期偿债能力时，不仅要分析企业偿还本金的能力，也要分析其支付利息的能力。具体指标有：

（1）资产负债率。资产负债率是企业负债总额与资产总额的比率。计算公式为：

资产负债率＝负债总额／资产总额×100％

资产负债率反映企业全部资产中有多大比重是通过借贷获取的。对投资者而言，负债对总资产的比率越小，表明所有者权益的比率越大，则企业的资金力量越强，资金收益率低。它希望以较高的负债比率，扩大企业获利基础，并以较少的投资即可控制整个企业。但若负债比率过高，而企业状况良好，当然可通过财务杠杆作用使投资者获得较高的报酬率；倘企业状况不佳，利息费用将使之不堪重负，有导致破产的危险。

（2）所有者权益比率。所有者权益比率是企业所有者权益与资产总额的比率。

所有者权益比率＝所有者权益／资产总额

由会计恒等式（资产＝负债＋所有者权益）可以得出：负债／资产＋所有者权益／资产＝1，即负债比率＋所有者权益比率＝1。由此，权益比率是负债比率的反面，两者表达相同的状况，实际应用时，只求其一即可。

（3）负债与所有者权益比率。负债与所有者权益比率反映了两者的比例关系。计算公式为：

负债与自有资金比率＝负债总额／所有者权益

负债与所有者权益比率，与前两个比率意义基本一致，分别从不同角度表达了同一事实。由会计恒等式（资产＝负债＋所有者权益）可得：

资产／所有者权益＝负债／所有者权益＋1

或负债与所有者权益比率＝1／所有者权益－1＝负债比率／所有者权益比率

同时，这一比率还表明了投资者对企业乃至债权人承担的义务的大小。比率低，则表明投资者对债权人承担的责任越大，企业长期偿债能力越强。

此外，由于某些资产如无形资产、递延资产及一些递延借项的价值不稳定。因此，这些资产对于企业偿债能力的意义不大。因此，应将其从企业资产中扣除，在据以计算负债与有形资产比率时宜保守一些。特别是当企业陷入财务危机并有倒闭的危险时，有形资产是偿债的主要来源。该项比率越低，则表明企业有形资产对其负债的保障程度越高。

三、效益性分析方法

企业不仅关心投资的报酬，更关心高报酬率的持续性。因此，企业获取高利润的持续性分析成为被关注的另一点。企业的产品成本、宏观经济条件、各种政策规定等竞争环境相同时，企业要在竞争中取胜，只有以提高效益来赚取更多的利润。

企业效益，是指在企业的生产经营中，投入的劳动、资源、设备、材料等各种经营要素，经过经营者和职工有效地运用，产出更高的经济价值和社会贡献。它用来衡量劳动力与资产的有效利用程度。具体指标有：

1.附加价值率

投资者选择投资项目时，最关心的是能否产生高附加价值的问题。附加价值是企业生产活动过程中创造出的新增价值。用公式表示为：

附加价值＝税前净利＋人工费＋资本化利息＋租金＋费用税金

附加价值的计算，可通过查找损益表、管理费用明细表、制造费用明细表来计算。附加价值率是附加价值与销售收入的比值。它反映每一元销售收入带来的附加价值。一般来说，越是资本密集的行业，其产品附加价值越高，净利润也随之提高；反之资本密集程度相对较低的行业，产品附加价值较低，净利润也就较低。

2.劳动生产效率

劳动生产效率是附加价值与总人数之比。它反映一人所创造的附加价值。

计算公式为：

劳动生产效率＝附加价值／总人数

该指标越高，说明劳动利用效率高，创造了更多的附加价值，因而成为衡量同行业间竞争力的重要指标。

第9篇：资产安全分析范文

1信息安全风险评估的方法

1.1定性分析方法

这是评估方法具有的一个明显特点就是它的主观性较强，在风险评估人员主观上对资产风险因素所面临的威胁以及漏洞等作出评估判断的过程。它的结构构成包括故障树分析法、事件树分析法以及原因———后果法等。（1）故障树分析法。这种分析方法的适用于对风险事件的发生源之间关系以及它的深层次原因进行探究的，它的主要目的是在发现信息故障后对信息安全所进行的定性分析。从它的运行原理来看，它是把信息系统中发生的结果来作为首要解决的问题，分析总结出不愿发生事件的形成因素，从而确定出各个因素之间的逻辑关系。（2）事件树分析方法。这种方法是在原有的信息系统风险基础上，来对这些信息安全风险事件发生可能产生的风险结果进行详细的分析探究，它的分析工作开展的一个显著特点就是需要对序列组中可能发生的危险事故的结果进行合理的列举，需要注意的是这并代表是最后的结果，只是其中的一个环节，但是它的缺点就是不适于进行大范围的普适。（3）原因———后果分析方法。这种分析方法从运行原理的实质上来看，它是对前两种分析方法的一种融合，它是前两种分析方法所具有显著特点的结合，但是，这种方法也有应用的缺点，就是它在大型的、复杂的信息系统中应用并起不到应有的效果。

1.2定量分析方法

这种分析方法是对定性方法的一种改进，削弱了定性方法的主观性，但是在一些大型复杂的信息系统中，就很可能造成一些定量数据难以获得，需要浪费较多的时间成本，基于此，它的应用最为广泛的是定量的故障树分析法和风险评审技术两种。

1.3定性分析和定量分析相结合的方法

这种两相结合的方法在现代应用领域中是最为常见的，也是最适合的形式，这两种方法相结合的主要目的是为了有效的弥补定性分析法和定量分析法之间的缺陷，因此，它的综合性就会相对强一些。这种分析模式，适用范围最为广泛的并且最为主流的是层次分析法。

2在业务流程基础上的信息安全风险评估方法

2.1信息资产的辨别

信息安全风险评估主要是针对于信息和信息处理设备所受到的威胁、影响以及威胁事件发生后所带来的损失而进行的评估预测，那么所进行评估的内容主要涉及到四个要素，即资产、威胁、漏洞以及原有的安全措施。对于这四个要素之间的关系论述，它们是属于相互关系、相互作用的因素，各自对系统风险的影响各不相同，共同构成复杂的风险评估系统工程。我们在实际的风险评估工作中，主要是对已经存在的风险提出一系列有效的安全防范措施，并依据风险措施实行采取合理的控制措施，从而使风险控制到最合理的范围内，那么这么讲就可以把它的具体实施流程划分为两大部分，即对风险的分析和对风险的控制。

2.2业务流程的风险模型分析

在业务开展的基本流程中，对于位置变动资产的识别可以在它的开始阶段就进行，这是对位置变动来说的，而对于位置固定的资产识别，就需要对每一个具体业务的节点进行逐一开展。对于位置固定资产的识别来说，因为其自身需要有大量的人工操作，因此它的风险一般是集中于业务节点环节上，并且各个节点上的风险类别、发生方式、起源以及造成的后果影响都是不相同的。此外，由于这些风险的产生是因为位置固定资产而引起的，因此，在业务流程的过程中一般只需要对位置固定资产的风险采取相应的控制措施就可以了，这样也就确保了位置别动不会对资产的保密性、完整性以及可用性造成威胁。

3总结