企業(yè)信息安全風險分析與控制研究

李志雷

（南陽虹志科技發(fā)展有限公司 473000）

摘 要：互聯(lián)網(wǎng)的高度發(fā)展，企業(yè)越來越依賴于信息技術(shù)和服務，同時企業(yè)信息妥全問題、數(shù)刁尾妥全問題屢見不鮮。信息化建設(shè)是現(xiàn)代企業(yè)謀發(fā)展的重要著力點，但信息安全風險問題弱化了信息化的重要作用。本文從黑客攻擊、內(nèi)部控制管理、應用系統(tǒng)安全等方面，分析了現(xiàn)代企業(yè)信息的安全風險，并在此基礎(chǔ)之上，闡述了企業(yè)信息安全風險的控制策略。

關(guān)鍵詞：企業(yè)信息安全；風險控制

1.企業(yè)信息安全風險性分析

1.1黑客入侵及其危害性

信息安全作為企業(yè)正常運營的關(guān)鍵要素，是企業(yè)健康發(fā)展的重要保障。隨著現(xiàn)代企業(yè)與外界信息交流的不斷廣泛深入，企業(yè)使用計算機技術(shù)進行信息交流，傳輸以及存儲逐漸日?；?。網(wǎng)絡化辦公，信息傳遞的便捷性、高效性、隱蔽性，的確可以大大提高企業(yè)的辦公效率，降低企業(yè)的經(jīng)營成本。但與此同時企業(yè)也將要應對更多的信息安全威脅，其中“病毒入侵”就是目前最為常見的一種威脅。“病毒入侵”通常是黑客利用互聯(lián)網(wǎng)攻擊企業(yè)、政府部門或者個人計算機網(wǎng)絡服務器，在計算機源程序中植入一組能夠自我復制的程序代碼，進而影響計算機的使用功能，對計算機內(nèi)部系統(tǒng)文件進行破壞，致使整個計算機系統(tǒng)癱瘓。更有非法黑客通過技術(shù)手段對目標計算機植入病毒，竊取用戶個人隱私信息、機密性資料等?！安《救肭帧敝小癝QL注入”是黑客入侵網(wǎng)站過程中使用最多的手段，黑客利用可嵌入的外部數(shù)據(jù)庫接口將用戶數(shù)據(jù)編譯到可執(zhí)行操作的SQL語言當中，實現(xiàn)木馬移植進而控制用戶計算機的整個操作系統(tǒng)。

1.2企業(yè)缺乏信息安全防范意識

伴隨著互聯(lián)網(wǎng)技術(shù)日新月異的發(fā)展，“互聯(lián)網(wǎng)+”新思維為企業(yè)的發(fā)展及轉(zhuǎn)型升級注入了新的活力，越來越多的企業(yè)將會依托“互聯(lián)網(wǎng)+”擺脫企業(yè)發(fā)展的瓶頸。從當今中小企業(yè)信息化建設(shè)方面來看，很多公司只是在技術(shù)層面上通過引進資金，技術(shù)改造及更新去加強企業(yè)信息安全的建設(shè)，但在意識層面上對企業(yè)信息安全的認識比較薄弱。一是部分企業(yè)全體上下對信息安全的認知不夠：存在著信息安全風險問題在公司決策層和各直屬部門之間不受重視的現(xiàn)象，認為信息安全建設(shè)是網(wǎng)絡安全部門的事情，在各部門之間宣傳信息安全風險防范難免有點小題大做。二是部分企業(yè)信息安全管理制度建設(shè)不夠：對于如何防范信息安全的威脅，公司內(nèi)部沒有明確的規(guī)章條例，造成企業(yè)員工對自己的行為是否威脅到企業(yè)信息安全沒有一個明確的認識，處于一種模棱兩可的狀態(tài)。已經(jīng)確立的規(guī)章制度，由于操作性不強，執(zhí)行力度不夠后來又逐漸成為一種形式。加強企業(yè)信息化建設(shè)同時也是企業(yè)應對當今復雜多變的經(jīng)濟形勢的必要保障，因此企業(yè)應該從戰(zhàn)略層面上考慮如何去鞏固和加強企業(yè)信息安全的建設(shè)。

1.3安全技術(shù)設(shè)備未充分發(fā)揮作用

為加強企業(yè)信息安全建設(shè)，部分企業(yè)往往會針對性地選擇安裝一些技術(shù)設(shè)備。其中對設(shè)備的運行狀況及參數(shù)設(shè)置往往都是一知半解。僅僅依靠系統(tǒng)默認設(shè)置的參數(shù)而忽略企業(yè)的實際情況，不能有效的從源頭上攔截信息安全的威脅。更甚至有部分企業(yè)缺乏對技術(shù)設(shè)備運行日志的監(jiān)控，未能從監(jiān)測到的運行狀況分析出可能潛在的風險，無法做到事前控制，對于風險管理通常處于一種被動防御的狀態(tài)。其次，部分企業(yè)在信息安全技術(shù)設(shè)備上的投入不成比列，缺乏專業(yè)的信息安全技術(shù)人才，硬件設(shè)備維護和更新不及時等等都為企業(yè)信息安全管理埋下隱患。面對當今激烈的市場競爭環(huán)境，企業(yè)信息安全建設(shè)能否提上公司未來發(fā)展的章程往往決定著一個公司未來的發(fā)展可以走多遠。

1.4信息安全規(guī)定執(zhí)行力度不夠

科學的安全規(guī)定對于企業(yè)信息安全的管理至關(guān)重要。規(guī)定的制定和執(zhí)行要能夠體現(xiàn)出人性化，可操作性強，便于追蹤，易于管理的特點。部分企業(yè)制定了許多信息安全管理制度，但執(zhí)行的實際情況并不理想，情況也復雜多變。例如：強制為企業(yè)內(nèi)部員工及信息安全人員配置口令卡，對信息數(shù)據(jù)傳輸進行加密等舉措執(zhí)行難度較大。有部分企業(yè)隨意放置不能正常運行的安全設(shè)備，由于沒有對關(guān)鍵數(shù)據(jù)進行加密、保護或者銷毀處理致使設(shè)備流出公司被他人進行了數(shù)據(jù)還原和信息恢復。諸如此類，企業(yè)員工很多不良的行為將會嚴重威脅企業(yè)信息安全的管理，應該引起公司領(lǐng)導層面的注意，應該時刻加強、倡導、鼓勵員工對企業(yè)信息安全規(guī)定的認真執(zhí)行。

2.企業(yè)信息安全風險的控制策略

對企業(yè)信息相關(guān)安全風險控制的問題，核心是怎樣創(chuàng)建安全的信息環(huán)境、在技術(shù)上如何創(chuàng)造安全的構(gòu)架體系、以及如何構(gòu)建制度建設(shè)。從最根本來講是對企業(yè)信息安全內(nèi)外環(huán)境的優(yōu)化?？梢钥紤]從以下的幾個方面來加強企業(yè)的信息安全，保證企業(yè)信息安全控制的有效性。

2.1 加強信息安全的建設(shè)，創(chuàng)建安全管理機構(gòu)

企業(yè)信息化建設(shè)，其重要基礎(chǔ)是信息的安全，沒有信息安全作保證，其它的都不能談起，加大信息安全防范治理力度，是企業(yè)對自身內(nèi)部控制管理的必要要求。有些企業(yè)未能很好的落實企業(yè)信息安全管理相關(guān)工作，造成的后果是很嚴重的，致使企業(yè)自身處在危機環(huán)境之中?？紤]以上疏于管理信息安全所帶來的后果，首先，企業(yè)應該把信息安全納入到安全管理之中，突出其重要地位。其次，建立完整齊備的安全責任制度，逐漸形成一種互助協(xié)防聯(lián)動的信息安全管理模式。最后，對負責信息安全的相關(guān)人員進行培訓和教育來提高他們在信息安全方面的能力。

2.2 加強防火墻的設(shè)計，提升信息安全的防范能力

現(xiàn)如今黑客存在、木馬入侵等一些危險因子在相當大的程度上要求企業(yè)要增加自身企業(yè)的抗風險能力，這阻礙了企業(yè)信息化建設(shè)的進步。所以，企業(yè)提高信息化安全防范能力的重要舉措是加強防火墻的設(shè)計。一些企業(yè)在應用信息安全設(shè)備時，不規(guī)范、甚至錯誤使用一些設(shè)備。由于不同的設(shè)備具有不同功能，不同品牌的問題，這導致設(shè)備兼容性差，使一些設(shè)備的抗風險能力下降。這就必須突出在構(gòu)建企業(yè)安全防范的過程中，一定要運用科學合理的方式，就構(gòu)建信息安全來說，務必做到安全性和完備性的統(tǒng)一。例如，企業(yè)在構(gòu)建信息安全風險防范體系時，引入終端安全管理系統(tǒng)是一個很好的選擇。從這看，瑞星殺毒軟件公司是最成功最典型的一個。瑞星公司在應對信息安全的問題時采用統(tǒng)一平臺和獨立功能模塊相結(jié)合的先進設(shè)計理念，構(gòu)建自己企業(yè)的終端安全管理體系。不僅能夠成功地構(gòu)建自己企業(yè)信息安全，還可以對企業(yè)系統(tǒng)所運行的環(huán)境進行優(yōu)化。

2.3 加強信息安全意識，規(guī)范操作行為

加強對企業(yè)信息安全風險的控制，其重要基礎(chǔ)是人的主觀能動性。首先，安全管理人員的安全意識要加強，并核實這些管理人員的工作是否有效落實到位。最關(guān)鍵的是要嚴格依據(jù)相關(guān)的規(guī)章制度進行操作，應避免因人為的誤操作和管理不周所造成重大信息安全問題。其次，要營造一種良好的信息安全責任落實安全文化建設(shè)的內(nèi)部環(huán)境，企業(yè)的員工會意識到信息安全的重要性，在潛移默化中規(guī)范自己的操作，降低安全風險。最后，要加大不定期對信息設(shè)備維護和保護的工作。其一，加強企業(yè)電腦等安全設(shè)備防雷、防磁等保護，使機械設(shè)備處在良好的狀態(tài)環(huán)境；其二，要加強設(shè)備的維護保養(yǎng)工作，發(fā)現(xiàn)問題及時解決。

3結(jié)束語

隨著互聯(lián)網(wǎng)的日益普及，企業(yè)的信息安全呈現(xiàn)一種越來越復雜的趨勢。要提升對企業(yè)信息安全風險的認識，可通過建立規(guī)章制度、加強技術(shù)手段、加大宣傳教育力度等多方面來增強企業(yè)的抗風險能力，保證網(wǎng)絡的保密性、完整性和可用性。

參考文獻

[1]吳昌倫，王毅剛，信息安全策略研究[M]，網(wǎng)絡安全技術(shù)與應川，2003，75-78.

[2]王剛.關(guān)于企業(yè)信息安全風險管理系統(tǒng)的研究[J].華北電力技術(shù)，2013，（09）：12-14.