隨著社保應用系統應用的不斷深入，社保應用系統管理和維護人員不得不面對這樣的問題：如何加強社保應用系統的安全管理和信息數據的保密措施，提升社保應用系統的安全性，并降低安全風險？要解決這些問題，就需要加強社保應用系統的風險管理工作，正確識別社保應用系統管理中所存在的安全風險類型和原因。

風險識別就是在風險發生之前挖掘出潛在的風險，并對其發生的可能性及危害程度進行綜合評估，以便采取措施緩解或避免，將風險所帶來的危害降到最低。

在社保應用系統安全風險識別工作中，可以用頭腦風暴法和調查分析，得出社保應用系統運行中存在的外部環境原因、基礎數據資料、操作流程不規范、人為因素、以及網絡安全因素等五種風險因素也即一級風險評價指標，每個風險因素又可以細分為多個風險子因素也即二級風險評價指標。

1、軟硬件故障等外部環境造成的風險

（1）電腦硬件產品、網絡設備產品硬件故障造成無法登錄社保應用系統，社保管理業務也就無法開展。

（2）電腦軟件系統故障也可能造成無法正常登錄系統，訪問不了遠程數據庫，引發業務無法正常開展的應用故障，這其中就包括計算機操作系統或社保應用系統軟件本身的故障。

（3）由于電腦系統受到黑客攻擊，導致信息數據被黑客竊取，造成重要信息的泄露。

（4）外部環境或因自然災害等不確定因素造成系統運行和應用故障，甚至數據的丟失。

（5）由于電腦系統存在系統漏洞，或者未及時安裝防火墻和殺毒軟件，系統和網絡受到來自電腦或網絡的病毒攻擊，造成網絡或操作系統癱瘓，無法正常使用系統開展業務。

2、數據基礎資料的安全風險

（1）社保應用系統建設初期所收集的數據或經由系統轉換的數據失真。

（2）系統建設初期資料審核人員對所采集要的數據審核力度不夠，使其基礎數據的質量不高。

3、操作流程方面的安全風險

（1）由于系統操作人員或系統維護員數據錄入不規范，未嚴格按照系統操作流程開展社保應用系統業務，造成系統數據不準確、不規范、不全面，不能達到社保應用系統數據存儲標準。

（2）業務人員在開展系統業務時，因為疏忽，錯誤地選擇系統功能模塊，造成系統誤操作，張冠李戴，致使系統數據失真。

（3）業務人員在做諸如新參保數據批量導入、業務回盤或更新數據時，使用已過期的數據模板或錯誤選擇數據進行導入，再加上數據審核不夠，導致進入系統的數據失真。

4、由于人為因素引起的風險

（1）由于業務人員缺乏系統深入廣泛應用培訓，對社保應用系統操作和使用不熟悉，無法使用系統開展日常業務工作，數據進入系統延時。

（2）由于業務人員在利用系統開展業務工作時，責任心不夠，不認真或者沒有認識到社保管理系統的重要性，造成系統數據的失真。

（3）社保應用系統管理科室或人員對系統運行監督檢查力度不夠，對下一級業務經辦機構前臺業務指導不夠。

（4）由于社保應用系統使用人員政治素質覺悟不高，組織紀律差，保密政策和法律法規執行力度不夠，或因出于某種利益和目的人為造成社保應用系統數據泄露。

（5）社保前臺系統應用人員崗位的調整頻繁造成其業務性質發生改變，隨之對系統的操作水平也會造成影響，系統應用專業技術人員流失也會造成系統應用障礙或無法為系統運行提供技術支持。

（6）社保應用系統管理人才流失或者區縣級系統運行維護專業技術隊伍未有效建立，造成業務系統運行維護工作無法正常開展，沒有強有力的系統維護隊伍支持，也就不能為社保應用系統的安全穩定運行提供保障。

（7）系統后期運行中人力、物力投入不夠，無法正常支持系統運行和維護。

（8）非法或假冒操作員利用現有操作系統、網絡設備的部分安全功能進行訪問控制存在控制強度較弱的特點進行非法訪問，或利用地下犯罪工具對主機進行攻擊來控制主機，進行非法操作，并修改數據。

5、未有效進行網絡安全管理造成的風險

（1）未有效利用防火墻構建多層次網絡安全體系來保證社保應用系統網絡安全。例如未利用防火墻把被保護的網絡獨立出來成為可管理、可控制的內部網絡或沒有根據社保計算機系統和處理、存儲數據的重要性來分層次劃分設置防火墻的級次，不能起到層層攔截不法入侵行為和有限授權操作的作用，不能有效實現內部網與外部不可信任網絡之間或內部網不同網絡安全域的隔離與訪問控制。

（2）沒有建立完整的入侵檢測系統，則不能及時發現社保計算機網絡的非法入侵和對信息系統的攻擊行為。或雖建立卻不能夠根據系統或自定義的安全策略恰如其分地做出諸如報警、阻斷連接等反應。

( 3）缺乏有效利用密碼等技術識別用戶身份和控制用戶權限來保證社保網絡應用數據庫的安全，或不對用戶數據加密而直接通過網絡在各個交換節點中傳輸，不能有效防止用戶信息在網絡環節上的泄漏和篡改問題，或沒有在目前已選用的通用數據庫基礎上增加控件，實現對數據庫的訪問/存取控制及加密控制等來建立數據庫安全保密系統。

（4）遠程數據庫服務器缺乏安全備份機制，或備份機制不完善，使系統數據的完整性存在潛在的安全隱患，一旦系統癱瘓，很可能無法恢復數據。

（5）其他網絡安全風險，其他網絡安全風險主要是指社保應用系統所使用操作系統和業務運行程序的安全性和穩定性不足；所使用數據倉庫的類型和安全配置不足以適應網絡安全的要求；系統出現災難時不能自動熱備和數據資料備份不完整；恢復網絡正常運行的時間間隔超過安全時效等風險。

不同類型的風險其成因不同，風險的危害程度和發生的概率也不一樣，針對不同類型的風險類型應采取不同的風險控制策略和解決方案。可以根據實際情況建立網絡安全審計評估系統，來保證計算機信息系統的安全運行，引進信息系統審計師定期、不定期地對核心業務系統和網絡數據進行安全風險評估，發現風險隱患，制訂相應的措施。同時在核心業務系統中采用審計軟件，對核心業務系統運行過程中的業務流、數據流進行監控，及時發現核心業務系統運行過程中出現的異常情況和不法入侵、攻擊現象，偵測業務運行中出現的風險隱患和程序漏洞，提醒計算機系統維護人員及時修補和完善。