随着社保应用系统应用的不断深入，社保应用系统管理和维护人员不得不面对这样的问题：如何加强社保应用系统的安全管理和信息数据的保密措施，提升社保应用系统的安全性，并降低安全风险？要解决这些问题，就需要加强社保应用系统的风险管理工作，正确识别社保应用系统管理中所存在的安全风险类型和原因。

风险识别就是在风险发生之前挖掘出潜在的风险，并对其发生的可能性及危害程度进行综合评估，以便采取措施缓解或避免，将风险所带来的危害降到最低。

在社保应用系统安全风险识别工作中，可以用头脑风暴法和调查分析，得出社保应用系统运行中存在的外部环境原因、基础数据资料、操作流程不规范、人为因素、以及网络安全因素等五种风险因素也即一级风险评价指标，每个风险因素又可以细分为多个风险子因素也即二级风险评价指标。

1、软硬件故障等外部环境造成的风险

（1）电脑硬件产品、网络设备产品硬件故障造成无法登录社保应用系统，社保管理业务也就无法开展。

（2）电脑软件系统故障也可能造成无法正常登录系统，访问不了远程数据库，引发业务无法正常开展的应用故障，这其中就包括计算机操作系统或社保应用系统软件本身的故障。

（3）由于电脑系统受到黑客攻击，导致信息数据被黑客窃取，造成重要信息的泄露。

（4）外部环境或因自然灾害等不确定因素造成系统运行和应用故障，甚至数据的丢失。

（5）由于电脑系统存在系统漏洞，或者未及时安装防火墙和杀毒软件，系统和网络受到来自电脑或网络的病毒攻击，造成网络或操作系统瘫痪，无法正常使用系统开展业务。

2、数据基础资料的安全风险

（1）社保应用系统建设初期所收集的数据或经由系统转换的数据失真。

（2）系统建设初期资料审核人员对所采集要的数据审核力度不够，使其基础数据的质量不高。

3、操作流程方面的安全风险

（1）由于系统操作人员或系统维护员数据录入不规范，未严格按照系统操作流程开展社保应用系统业务，造成系统数据不准确、不规范、不全面，不能达到社保应用系统数据存储标准。

（2）业务人员在开展系统业务时，因为疏忽，错误地选择系统功能模块，造成系统误操作，张冠李戴，致使系统数据失真。

（3）业务人员在做诸如新参保数据批量导入、业务回盘或更新数据时，使用已过期的数据模板或错误选择数据进行导入，再加上数据审核不够，导致进入系统的数据失真。

4、由于人为因素引起的风险

（1）由于业务人员缺乏系统深入广泛应用培训，对社保应用系统操作和使用不熟悉，无法使用系统开展日常业务工作，数据进入系统延时。

（2）由于业务人员在利用系统开展业务工作时，责任心不够，不认真或者没有认识到社保管理系统的重要性，造成系统数据的失真。

（3）社保应用系统管理科室或人员对系统运行监督检查力度不够，对下一级业务经办机构前台业务指导不够。

（4）由于社保应用系统使用人员政治素质觉悟不高，组织纪律差，保密政策和法律法规执行力度不够，或因出于某种利益和目的人为造成社保应用系统数据泄露。

（5）社保前台系统应用人员岗位的调整频繁造成其业务性质发生改变，随之对系统的操作水平也会造成影响，系统应用专业技术人员流失也会造成系统应用障碍或无法为系统运行提供技术支持。

（6）社保应用系统管理人才流失或者区县级系统运行维护专业技术队伍未有效建立，造成业务系统运行维护工作无法正常开展，没有强有力的系统维护队伍支持，也就不能为社保应用系统的安全稳定运行提供保障。

（7）系统后期运行中人力、物力投入不够，无法正常支持系统运行和维护。

（8）非法或假冒操作员利用现有操作系统、网络设备的部分安全功能进行访问控制存在控制强度较弱的特点进行非法访问，或利用地下犯罪工具对主机进行攻击来控制主机，进行非法操作，并修改数据。

5、未有效进行网络安全管理造成的风险

（1）未有效利用防火墙构建多层次网络安全体系来保证社保应用系统网络安全。例如未利用防火墙把被保护的网络独立出来成为可管理、可控制的内部网络或没有根据社保计算机系统和处理、存储数据的重要性来分层次划分设置防火墙的级次，不能起到层层拦截不法入侵行为和有限授权操作的作用，不能有效实现内部网与外部不可信任网络之间或内部网不同网络安全域的隔离与访问控制。

（2）没有建立完整的入侵检测系统，则不能及时发现社保计算机网络的非法入侵和对信息系统的攻击行为。或虽建立却不能够根据系统或自定义的安全策略恰如其分地做出诸如报警、阻断连接等反应。

( 3）缺乏有效利用密码等技术识别用户身份和控制用户权限来保证社保网络应用数据库的安全，或不对用户数据加密而直接通过网络在各个交换节点中传输，不能有效防止用户信息在网络环节上的泄漏和篡改问题，或没有在目前已选用的通用数据库基础上增加控件，实现对数据库的访问/存取控制及加密控制等来建立数据库安全保密系统。

（4）远程数据库服务器缺乏安全备份机制，或备份机制不完善，使系统数据的完整性存在潜在的安全隐患，一旦系统瘫痪，很可能无法恢复数据。

（5）其他网络安全风险，其他网络安全风险主要是指社保应用系统所使用操作系统和业务运行程序的安全性和稳定性不足；所使用数据仓库的类型和安全配置不足以适应网络安全的要求；系统出现灾难时不能自动热备和数据资料备份不完整；恢复网络正常运行的时间间隔超过安全时效等风险。

不同类型的风险其成因不同，风险的危害程度和发生的概率也不一样，针对不同类型的风险类型应采取不同的风险控制策略和解决方案。可以根据实际情况建立网络安全审计评估系统，来保证计算机信息系统的安全运行，引进信息系统审计师定期、不定期地对核心业务系统和网络数据进行安全风险评估，发现风险隐患，制订相应的措施。同时在核心业务系统中采用审计软件，对核心业务系统运行过程中的业务流、数据流进行监控，及时发现核心业务系统运行过程中出现的异常情况和不法入侵、攻击现象，侦测业务运行中出现的风险隐患和程序漏洞，提醒计算机系统维护人员及时修补和完善。