企業(yè)信息安全風(fēng)險(xiǎn)分析與控制研究

摘 要：本文針對(duì)企業(yè)信息安全風(fēng)險(xiǎn)分析與控制這一課題，首先對(duì)企業(yè)信息安全風(fēng)險(xiǎn)進(jìn)行了簡(jiǎn)單的介紹，然后對(duì)企業(yè)信息安全風(fēng)險(xiǎn)進(jìn)行了分析，最后對(duì)企業(yè)信息安全風(fēng)險(xiǎn)控制的措施進(jìn)行了研究，希望能夠給相關(guān)從業(yè)人員的研究起到一定的參考作用。

關(guān)鍵詞：信息安全風(fēng)險(xiǎn)；控制；策略

1 企業(yè)信息安全風(fēng)險(xiǎn)概述

在企業(yè)的發(fā)展過程中，離不開信息。企業(yè)的信息主要包括以下四個(gè)部分：科研生產(chǎn)數(shù)據(jù)、發(fā)展規(guī)劃、合同、知識(shí)產(chǎn)權(quán)等。如果這些信息一旦出現(xiàn)泄露，那么對(duì)企業(yè)的損失是巨大的，甚至是無法挽回的。所謂的企業(yè)信息安全就是指信息在其生命周期中，他的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。如果想要自己企業(yè)的信息安全得到充分保障，那么就一定要充分重視這五個(gè)特性。因?yàn)橐坏┯幸粋€(gè)特性被破壞，那么就會(huì)嚴(yán)重影響信息的安全性。而信息安全風(fēng)險(xiǎn)就是指信息在特定的環(huán)境與特定的時(shí)間里可能遭遇的安全威脅。

2 企業(yè)信息安全風(fēng)險(xiǎn)分析

2.1 信息安全風(fēng)險(xiǎn)防范意識(shí)薄弱

隨著市場(chǎng)經(jīng)濟(jì)的迅速發(fā)展，和市場(chǎng)競(jìng)爭(zhēng)的日益激烈，很多企業(yè)都開始重視信息化建設(shè)。但是保證信息安全，除了要加強(qiáng)資金投入，更是要提高人們的信息安全防范意識(shí)。很多企業(yè)的領(lǐng)導(dǎo)者和員工都沒有充分認(rèn)識(shí)到信息安全的重要性，將大量安全事件和案例當(dāng)作故事，總覺得不會(huì)發(fā)生在自己身上，與自己無關(guān)。很多企業(yè)缺乏信息安全風(fēng)險(xiǎn)管理的制度建設(shè)，沒有出臺(tái)具體的制度，或者制度僅僅落在紙面上，沒有針對(duì)性，也沒有操作性，長年累月不進(jìn)行更新和修改，造成很多情況下，員工不知道怎么應(yīng)對(duì)信息安全風(fēng)險(xiǎn)，出現(xiàn)問題也不知道如何化解和處理。

2.2 技術(shù)手段不能充分發(fā)揮

這些年很多企業(yè)有了一定的安全防范意識(shí)，也配備了一些信息安全設(shè)備，但是這些設(shè)備從安裝上就很少有人問津，設(shè)備的參數(shù)設(shè)置、策略設(shè)定都不合理，往往就采用一個(gè)默認(rèn)設(shè)置，由于企業(yè)與企業(yè)之間有很大的不同，企業(yè)之間的信息安全風(fēng)險(xiǎn)也相差迥異，采用默認(rèn)狀態(tài)無法照顧企業(yè)的真實(shí)情況，無法有效的加強(qiáng)信息安全風(fēng)險(xiǎn)管理。另外很多企業(yè)缺乏對(duì)安全設(shè)備以及運(yùn)行日志的監(jiān)控，根本不去對(duì)日志進(jìn)行分析，即使系統(tǒng)發(fā)現(xiàn)了問題，也沒人去研究問題，解決問題?？傊?，在企業(yè)信息安全風(fēng)險(xiǎn)管理中往往比較被動(dòng)，缺乏主動(dòng)防御的意識(shí)，而且對(duì)于大多數(shù)中小企業(yè)而言，面臨激烈的市場(chǎng)競(jìng)爭(zhēng)，企業(yè)將主要精力和資金用于生產(chǎn)和銷售上，以期在短時(shí)間內(nèi)獲得可觀的利潤，在信息安全管理這種難以直接看到經(jīng)濟(jì)效益的問題上投入比較少，很多設(shè)備都老化了，線路都磨損嚴(yán)重，卻沒有得到及時(shí)更新和維護(hù)，留下了極大的隱患。

2.3 安全規(guī)定執(zhí)行不嚴(yán)謹(jǐn)

一些企業(yè)在實(shí)際工作制定了大量的安全管理規(guī)定，但是在實(shí)際工作中，大量業(yè)務(wù)系統(tǒng)的安全規(guī)定難以執(zhí)行，部分員工長期使用業(yè)務(wù)系統(tǒng)的初始口令、弱口令，有的員工隨意使用他人的業(yè)務(wù)系統(tǒng)賬號(hào)，使用完畢后也沒有及時(shí)關(guān)閉賬號(hào)，也不關(guān)電腦，外來人員很容易登陸電腦竊取企業(yè)機(jī)密文件，公司內(nèi)部也缺乏信息安全風(fēng)險(xiǎn)管理的意識(shí)，員工可以任意瀏覽、拷貝企業(yè)資料，而且也缺乏查殺病毒、木馬的意識(shí)。

3 企業(yè)信息安全風(fēng)險(xiǎn)控制的措施

3.1 加強(qiáng)基礎(chǔ)設(shè)施建設(shè)資金投入

企業(yè)要加強(qiáng)信息安全風(fēng)險(xiǎn)防范的資金投入，資金投入主要用于企業(yè)日常安全信息管理、技術(shù)人員的培訓(xùn)以及安全設(shè)備的購置等等，每年企業(yè)保證一定量的資金來對(duì)信息安全進(jìn)行投入，投入的資金與企業(yè)規(guī)模、企業(yè)對(duì)信息安全的要求息息相關(guān)。應(yīng)定期對(duì)公司信息安全的薄弱環(huán)節(jié)進(jìn)行評(píng)估，加強(qiáng)線路的維護(hù)和改造，更新防火墻和殺毒軟件等安全控制軟件，注重整體信息安全風(fēng)險(xiǎn)的控制。

3.2 提高個(gè)人信息安全意識(shí)

再好的安全設(shè)備都是人來操作的。作為企業(yè)員工都應(yīng)該充分認(rèn)識(shí)到信息安全的重要性。企業(yè)應(yīng)積極向員工進(jìn)行信息安全方面的宣傳，提高員工對(duì)信息安全的意識(shí)，并且認(rèn)識(shí)到保證信息安全的重要性。每位員工尤其是網(wǎng)絡(luò)技術(shù)服務(wù)人員要管理好各種口令卡和賬號(hào)，對(duì)用戶的網(wǎng)絡(luò)操作行為和權(quán)限都要進(jìn)行一定的控制，防止企業(yè)員工越權(quán)瀏覽、下載公司內(nèi)部信息，對(duì)于一些涉及企業(yè)機(jī)密的文件要及時(shí)進(jìn)行加密，對(duì)文件訪問權(quán)限進(jìn)行限制，預(yù)防非法訪問。同時(shí)還要對(duì)進(jìn)入企業(yè)內(nèi)部的信息進(jìn)行甄別篩選，防范病毒、木馬的入侵。要懂得如何對(duì)操作系統(tǒng)、應(yīng)用軟件進(jìn)行更新和漏洞修補(bǔ)，從而保證計(jì)算機(jī)處在最優(yōu)的防護(hù)狀態(tài)，減少病毒入侵。

3.3 加強(qiáng)安全產(chǎn)品管理

企業(yè)信息安全產(chǎn)品往往來自多個(gè)制造商，需要多個(gè)工具和基礎(chǔ)結(jié)構(gòu)來進(jìn)行管理、報(bào)告和分析。不同品牌、不同功能的信息安全設(shè)備被雜亂無章地堆疊在企業(yè)網(wǎng)絡(luò)中，不但兼容性差，還容易造成系統(tǒng)資源的浪費(fèi)。正確地部署和配置這些復(fù)安全產(chǎn)品十分困難，需要大量時(shí)間進(jìn)行測(cè)試和調(diào)整。另外，安全產(chǎn)品經(jīng)常會(huì)與現(xiàn)有業(yè)務(wù)系統(tǒng)的發(fā)生沖突，導(dǎo)致安全漏洞的產(chǎn)生和系統(tǒng)宕機(jī)。企業(yè)應(yīng)系統(tǒng)的考慮安全產(chǎn)品的選擇，搭建整體安全解決方案，在安全方案上線前，應(yīng)進(jìn)行大量的測(cè)試，確保其與現(xiàn)有業(yè)務(wù)系統(tǒng)不發(fā)生沖突，對(duì)于發(fā)現(xiàn)的問題，應(yīng)及時(shí)與方案提供廠商進(jìn)行溝通、調(diào)整，確保在企業(yè)業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下，提高企業(yè)信息安全風(fēng)險(xiǎn)把控的能力。

結(jié)束語

隨著信息化的到來，一些企業(yè)的發(fā)展也越來越依賴信息化。但是信息化有利也有弊，在給企業(yè)帶來便利的同時(shí)也給企業(yè)帶來了信息方面的風(fēng)險(xiǎn)。隨著市場(chǎng)經(jīng)濟(jì)的競(jìng)爭(zhēng)越來越激烈，信息安全上的威脅也越來越嚴(yán)重。所以每個(gè)企業(yè)都應(yīng)該充分認(rèn)識(shí)到這一點(diǎn)，充分重視企業(yè)信息安全方面的問題，認(rèn)真分析現(xiàn)在存在的問題并且采取有效的措施進(jìn)行積極的預(yù)防和解決，從而更好的保證企業(yè)的信息安全。

參考文獻(xiàn)

[1]陳慧勤.企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究[J].2011（40）.

[2]惠志斌.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)路徑[J].科技管理研究，2014（02）.

[3]葉銘.企業(yè)動(dòng)態(tài)信息安全風(fēng)險(xiǎn)控制系統(tǒng)的研究[J].2012（11）.

[4]劉正紅.XML加密技術(shù)的研究與實(shí)現(xiàn)[J].長春大學(xué)學(xué)報(bào)，2007，17（06）.

作者簡(jiǎn)介：倪冰，身份證號(hào)：320204198111052012。endprint