随着计算机技术高速发展,网络安全也面临着重大挑战,特别是金融行业。金融行业中的网络安全问题是随着银行策略、组织架构、信息系统和操作流程的改变而改变。为了防止和减少风险,需要新的安全管理体系去预防金融网络安全的方法。全面风险管理作为金融业乃至信息安全也是新的管理方法,它采用了定性与定量考评方法的风险管理的模式实现银行内外环境变化风险评估。本论文以对金融类公司的调研为基础,结合金融类公司的实际需求进行了系统的需求分析,并可以根据用户的具体要求和未来可能需要添加的功能,该系统在体系结构上采用基于三层的B/S模式,数据层采用oracle数据库作为数据存储与管理,利用oracle管理系统大容量数据与保持数据一致性。Oracle强大的安全性与易用性为系统设计与数据存储提供了基础条件,在加上与J2EE技术的集合,使网页数据更新与后台数据库更新同步成为可能,有效扩展了金融业对外提供实时服务的可能性,在结构上采用基于SOA的多层软件设计和基于Struts和Hibernate的数据库中间件,并定义了统一的数据访问接口实现上层应用访问底层数据库,同时进行了基于UDDI注册服务中心的信息系统服务访问实现。在功能上,系统提供了良好的业务模块管理、数据库管理、数据容灾管理、风险计算管理、项目风险管理、项目信息管理页面,通过该页面可以实现信息增加、删除、修改,数据库容灾备份与恢复,自动生成项目风险报表,实现项目信息编集操作等。在论文最后通过IS027001评估用例与测试架构对金融信息安全风险评估测试。本系统主要研究ISO27001风险评估与风险管理相关理论,并结合银行风险评估与风险管理实际需求完成银行风险评估与风险指标量化,并重点将网络资产细化表、威胁明细表、网络安全威胁的风险系数矩阵的参考表用于银行安全风险、信息资产、系统脆弱性、安全预警、安全响应、网络安全管理、安全时间管理中,从而实现银行威胁及其脆弱性进行定性、定量的风险分析,对于研究银行信息安全具有普遍的意义。