企業(yè)信息安全風(fēng)險分析及其控制

林振森

【摘 要】當(dāng)今社會，在經(jīng)營管理中采用現(xiàn)代通信技術(shù)實現(xiàn)信息的高效、準(zhǔn)確、互聯(lián)互通的流通，已經(jīng)是大多數(shù)企業(yè)的選擇，信息化已經(jīng)逐步向企業(yè)滲透。目前而言，企業(yè)的信息安全形勢嚴(yán)峻，亟需建立自己的信息安全風(fēng)險管理機(jī)制，以應(yīng)對企業(yè)信息化帶來的一系列問題。本文從分析企業(yè)信息安全風(fēng)險評估現(xiàn)狀出發(fā)，探討如何加強(qiáng)企業(yè)信息安全控制。

【關(guān)鍵詞】企業(yè)； 信息安全； 風(fēng)險評估； 風(fēng)險控制

引言：

計算機(jī)和網(wǎng)絡(luò)通信相結(jié)合的信息技術(shù)，是促進(jìn)當(dāng)代社會信息化發(fā)展的主要力量，為社會上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經(jīng)營與管理中已經(jīng)引用現(xiàn)代信息技術(shù)，從而使經(jīng)營與管理更為科學(xué)，工作效率更高，獲得的經(jīng)濟(jì)效益也越多。然而現(xiàn)代信息技術(shù)是一把雙刃劍，信息化的程度越高，由它帶來的風(fēng)險也越大。當(dāng)前，企業(yè)的信息安全風(fēng)險評估工作存在著一些問題，這些問題對企業(yè)的發(fā)展造成很多不利的影響。

一、企業(yè)信息安全風(fēng)險概述

對企業(yè)來說，信息是維持企業(yè)正常運作的必要資源。企業(yè)的信息包括重要的數(shù)據(jù)、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識產(chǎn)權(quán)等。這些信息一旦被泄露，那么企業(yè)將面臨著或大或小的經(jīng)濟(jì)損失，更嚴(yán)重的還會使企業(yè)面臨破產(chǎn)的危險。所謂的企業(yè)信息安全就是指信息在其生命周期中，它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障，那么信息的安全性就高；如果其中的某個特性被破壞，那么信息的安全性就低。而信息安全風(fēng)險就是指信息在特定的環(huán)境與特定的時間里可能遭遇的安全威脅。

信息安全風(fēng)險可以分為可控性風(fēng)險與不可控風(fēng)險、可接受風(fēng)險與不可接受風(fēng)險、自然風(fēng)險與人為風(fēng)險等[1]，這些風(fēng)險給企業(yè)的信息安全管理工作帶來了更多的不確定因素，加深了工作難度。

二、企業(yè)信息安全風(fēng)險評估的現(xiàn)狀與問題

當(dāng)前，我國企業(yè)的信息安全風(fēng)險評估工作存在著許多問題，給企業(yè)的日常經(jīng)營與管理帶來了許多不利的影響。

首先，企業(yè)沒有樹立正確的信息安全觀。很多企業(yè)的管理者在信息安全問題上會走向兩個極端，一種是認(rèn)為只要加大信息建設(shè)的投入，信息就存在絕對安全的可能；另一種是忽視信息安全建設(shè)，信息安全風(fēng)險意識淡薄。很多企業(yè)的管理層對信息資產(chǎn)的重要性認(rèn)識不夠，因而他們在保護(hù)信息安全方面幾乎是無作為。

其次，企業(yè)在具體的信息安全風(fēng)險評估工作中，表現(xiàn)出重安全技術(shù)而輕安全管理的思想與行為方式。這些企業(yè)在工作過程當(dāng)中，不論是在心理還是在行為上都過分依賴安全技術(shù)，甚至認(rèn)為只要安全技術(shù)過硬，信息安全就一定能夠得到保證，為此，企業(yè)普遍采用現(xiàn)代通信技術(shù)、計算機(jī)和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)信息安全系統(tǒng)。而在安全管理上，出現(xiàn)了管理措施不到位，員工在信息保密上不夠嚴(yán)肅等問題，造成信息安全技術(shù)做無用功。

此外，企業(yè)信息安全風(fēng)險評估工作還存在著管理制度不夠完善、責(zé)任劃分不夠明確等問題。信息安全風(fēng)險的評估工作需要收集各方面的大量的信息，如此才能增強(qiáng)評估的有效性。而企業(yè)由于管理制度不完善、職責(zé)劃分不明確等問題，造成各部門的工作不配合、不協(xié)調(diào)。信息技術(shù)部門被孤立，信息安全的風(fēng)險評估工作也就不能得到及時有效的完成。

最后，我國有些企業(yè)在信息安全風(fēng)險評估的技術(shù)與方法上落后于時代。現(xiàn)代信息系統(tǒng)越往后發(fā)展，結(jié)構(gòu)就越復(fù)雜。這要求企業(yè)要根據(jù)不斷變化的信息技術(shù)來改進(jìn)自己的風(fēng)險管理理念和手段，同時也要吸收國際上的先進(jìn)信息安全風(fēng)險評估技術(shù)，保障自身的信息安全。

三、企業(yè)信息安全風(fēng)險的控制

企業(yè)信息安全問題對企業(yè)來說是不應(yīng)該被忽視的部分，企業(yè)應(yīng)該在經(jīng)營與管理的每個環(huán)節(jié)做好信息安全風(fēng)險的控制工作，使企業(yè)的重要信息能夠得到充分的保護(hù)。企業(yè)信息安全風(fēng)險的控制可以從風(fēng)險分析、管理控制、技術(shù)控制三個方面來進(jìn)行。

（一）風(fēng)險分析

在進(jìn)行信息安全風(fēng)險控制之前，先對風(fēng)險進(jìn)行分析可以使風(fēng)險控制工作更加具有針對性，能夠提高風(fēng)險控制工作的效率。對風(fēng)險的分析可以從信息資產(chǎn)面臨的威脅、存在的弱點等方面來進(jìn)行[2]。在風(fēng)險分析工作中，要明確以下幾點：首先是信息安全風(fēng)險控制工作中需要保護(hù)哪些信息，這些信息具有什么樣的價值；信息資產(chǎn)面臨著哪些潛在的威脅，導(dǎo)致這些威脅產(chǎn)生的根源是什么，威脅發(fā)生的幾率有多大；信息資產(chǎn)中是否具有漏洞，這些漏洞是否會被人威脅利用；信息資產(chǎn)發(fā)生威脅之后，企業(yè)會面臨多大的損失；企業(yè)該采取什么樣的措施來應(yīng)對風(fēng)險帶來的損失，等等。

（二）管理控制

企業(yè)信息安全風(fēng)險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進(jìn)行。首先，企業(yè)應(yīng)該建立信息安全組織機(jī)構(gòu)，吸收組織成員，協(xié)調(diào)企業(yè)內(nèi)部的各項資源，制定信息安全控制的目標(biāo)并通過組織成員履行職責(zé)來達(dá)到目標(biāo)。其次，企業(yè)要培養(yǎng)素質(zhì)高、責(zé)任心強(qiáng)、原則性強(qiáng)，能夠遵守企業(yè)政策的人員。企業(yè)信息安全風(fēng)險的控制不僅與強(qiáng)大的技術(shù)力量有關(guān)，而且還有賴于執(zhí)行人員對信息安全工作的支持與參與。此外，在政策實施上，企業(yè)要嚴(yán)格執(zhí)行相關(guān)的信息安全保護(hù)政策，比如目前國際通用的《信息技術(shù)—信息安全管理實施細(xì)則》[1]，為企業(yè)執(zhí)行信息安全保護(hù)工作提供一個統(tǒng)一的標(biāo)準(zhǔn)，從而使工作能夠有序地展開。

（三）技術(shù)控制

技術(shù)對信息安全控制的影響力是比較大的，它在很大程度上決定了信息安全風(fēng)險的大小、范圍，同時它也決定了修補(bǔ)信息安全漏洞的方式和方法。因此，在技術(shù)方面對信息安全風(fēng)險進(jìn)行控制是非常有必要的。首先，技術(shù)構(gòu)架的設(shè)計應(yīng)該遵循系統(tǒng)性原則、技術(shù)先進(jìn)性原則、可控性原則、適度性原則等，使技術(shù)能夠更好地服務(wù)于風(fēng)險控制；其次，要做好安全域的信息安全保障工作，根據(jù)不同的安全域所面臨的不同風(fēng)險來進(jìn)行信息安全保護(hù)工作；最后，要提高信息安全保障技術(shù)。目前而言，我國的信息安全保障技術(shù)與國際上的相比明顯處于落后狀態(tài)，因此，企業(yè)要引進(jìn)先進(jìn)的技術(shù)力量，加強(qiáng)信息安全風(fēng)險的控制力度。

四、結(jié)語

在這個信息化高度發(fā)展的社會，任何企業(yè)與個人在享受信息化帶來的便利的同時，也要承擔(dān)信息化帶來的風(fēng)險。我國企業(yè)在激烈的市場競爭中，不可避免會遇到信息安全上的威脅。因此每個企業(yè)都應(yīng)該做好信息安全的管控工作，認(rèn)真、嚴(yán)肅地對待當(dāng)前網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題。

參考文獻(xiàn)：

[1]谷田.網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題研究[D].鄭州大學(xué)2012

[2]易新明.某大型工礦企業(yè)信息系統(tǒng)安全測評與漏洞分析及其改進(jìn)[D].湖南大學(xué)2013

[3]沈軍.企業(yè)信息安全管控平臺的設(shè)計與實現(xiàn)[D].電子科技大學(xué)2013