現(xiàn)代企業(yè)信息安全風(fēng)險(xiǎn)控制研究

張征

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司信息系統(tǒng)部，廣東 廣州 510000）

現(xiàn)代企業(yè)信息安全風(fēng)險(xiǎn)控制研究

張征

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司信息系統(tǒng)部，廣東 廣州 510000）

信息化建設(shè)是現(xiàn)代企業(yè)謀發(fā)展的重要著力點(diǎn)，但信息安全風(fēng)險(xiǎn)問(wèn)題弱化了信息化的重要作用。本文從黑客攻擊、內(nèi)部控制管理、應(yīng)用系統(tǒng)安全等方面，分析了現(xiàn)代企業(yè)信息的安全風(fēng)險(xiǎn)，并在此基礎(chǔ)之上，闡述了企業(yè)信息安全風(fēng)險(xiǎn)的控制策略。本文旨在強(qiáng)化對(duì)企業(yè)信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)，并為企業(yè)構(gòu)建信息安全防范體系提供一定的參考資料，深化現(xiàn)代企業(yè)信息化建設(shè)。

現(xiàn)代企業(yè)；信息安全；風(fēng)險(xiǎn)控制；策略

1 引言

信息時(shí)代的到來(lái)為企業(yè)的發(fā)展創(chuàng)造了新的模式，帶來(lái)發(fā)展的新機(jī)遇。但是，信息安全風(fēng)險(xiǎn)所到來(lái)的影響，也在一定程度上制約了企業(yè)的可持續(xù)發(fā)展。因此，企業(yè)在發(fā)展中一方面要充分利用信息資源，讓其成為企業(yè)發(fā)展的重要推動(dòng)力；另一方面，要充分認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)的影響，有針對(duì)性地構(gòu)建安全防范體系，提高信息的安全，這才是充分發(fā)揮其重要作用的前提。本文立足于對(duì)企業(yè)信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)，就企業(yè)如何強(qiáng)化信息安全建設(shè)提出了若干建議。

2 現(xiàn)代企業(yè)信息安全風(fēng)險(xiǎn)分析

信息是現(xiàn)代企業(yè)構(gòu)建可持續(xù)發(fā)展戰(zhàn)略的重要資源，也是優(yōu)化并調(diào)整企業(yè)發(fā)展模式的重要基礎(chǔ)。但是，企業(yè)信息安全風(fēng)險(xiǎn)也日益突出，成為制約企業(yè)信息化建設(shè)的重要因素。一方面，企業(yè)信息系統(tǒng)面臨來(lái)自網(wǎng)絡(luò)的安全威脅，如黑客攻擊、木馬入侵等，影響了企業(yè)信息系統(tǒng)的正常運(yùn)行；另一方面，企業(yè)信息安全防范意識(shí)薄弱，內(nèi)部管理工作落實(shí)不到位，導(dǎo)致企業(yè)信息系統(tǒng)處于危險(xiǎn)環(huán)境之中。

2.1 黑客攻擊、木馬入侵

開放的網(wǎng)絡(luò)環(huán)境之下，企業(yè)信息安全普遍存在病毒入侵的威脅。在利益的驅(qū)使之下，黑客通過(guò)對(duì)企業(yè)的網(wǎng)站進(jìn)行攻擊，對(duì)企業(yè)信息系統(tǒng)的安全運(yùn)行造成最直接的威脅。如，2014年11月24日，黑客組織“和平衛(wèi)士”（Guardians of Peace）公布索尼影業(yè)員工電郵，涉及公司高管薪酬和索尼非發(fā)行電影拷貝等內(nèi)容，對(duì)索尼影業(yè)的發(fā)展造成極大的影響。在黑客攻擊的過(guò)程中，其所采用的入侵方式多樣化，但以SQL注入的方式最具危害性，具體如圖1所示。SQL注入旨在通過(guò)外部接口把用戶數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)操作語(yǔ)言當(dāng)中。這樣一來(lái)，不僅可以實(shí)現(xiàn)對(duì)用戶信息的入侵和操作，而且通過(guò)數(shù)據(jù)庫(kù)將木馬植入到企業(yè)的信息網(wǎng)站之中。因此，SQL注入攻擊的危害性大，且可以繞過(guò)計(jì)算機(jī)的防火墻系統(tǒng)，對(duì)企業(yè)信息安全帶來(lái)極大的影響，不利于企業(yè)信息安全的構(gòu)建。

圖1 “SQL注入”攻擊

2.2 內(nèi)部控制不到位

信息時(shí)代的到來(lái)，給現(xiàn)代企業(yè)的發(fā)展注入了新的發(fā)展元素，強(qiáng)化信息化建設(shè)成為企業(yè)內(nèi)部控制管理的重要內(nèi)容。但是，企業(yè)具有趨利的天性，強(qiáng)調(diào)經(jīng)濟(jì)效益為導(dǎo)向下的企業(yè)發(fā)展模式，進(jìn)而對(duì)信息安全建設(shè)落實(shí)不到位。首先，企業(yè)缺乏信息安全防范意識(shí)，主觀能動(dòng)性相對(duì)比較欠缺；其次，企業(yè)信息安全宣傳教育工作疏于開展，導(dǎo)致企業(yè)職工在網(wǎng)絡(luò)操作中，出現(xiàn)不規(guī)范的違法行為，進(jìn)而為黑客及病毒的攻擊創(chuàng)造了機(jī)會(huì)；再次，企業(yè)缺乏信息安全風(fēng)險(xiǎn)管理制度的建立，導(dǎo)致信息風(fēng)險(xiǎn)管理流于形式，無(wú)法滿足企業(yè)信息安全發(fā)展的需求。

2.3 應(yīng)用系統(tǒng)安全性不高

企業(yè)信息化建設(shè)的實(shí)現(xiàn)，依托于各種應(yīng)用系統(tǒng)的有效應(yīng)用。但應(yīng)用系統(tǒng)安全性不高等問(wèn)題，在很大程度上影響了企業(yè)的信息安全。一方面，應(yīng)用系統(tǒng)設(shè)計(jì)本身存在不足或安全漏洞，如數(shù)據(jù)傳輸、存儲(chǔ)采用明文的方式。這樣一來(lái)，數(shù)據(jù)極易被惡意軟件、木馬所竊取，實(shí)現(xiàn)非法訪問(wèn)，進(jìn)而造成企業(yè)信息丟失或泄露等安全風(fēng)險(xiǎn)；另一方面，企業(yè)應(yīng)用系統(tǒng)的安全防范模式相對(duì)比較單一，通過(guò)“口令”的認(rèn)證模式，難以構(gòu)建完備的安全防范。并且，企業(yè)職工在密碼設(shè)置上，過(guò)于簡(jiǎn)單，且操作行為不規(guī)范，這也造成應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)增加的重要因素。

3 企業(yè)信息安全風(fēng)險(xiǎn)的控制策略

企業(yè)信息安全風(fēng)險(xiǎn)的控制，關(guān)鍵在于如何營(yíng)造安全的信息環(huán)境、強(qiáng)化安全技術(shù)體系的構(gòu)建，以及風(fēng)險(xiǎn)控制的制度建設(shè)，從本質(zhì)上優(yōu)化企業(yè)信息安全的內(nèi)外環(huán)境。因此，企業(yè)可著力于以下幾個(gè)方面，優(yōu)化與調(diào)整企業(yè)信息風(fēng)險(xiǎn)控制的有效性。

3.1 注重信息安全建設(shè)，設(shè)置安全管理機(jī)構(gòu)

信息安全是企業(yè)信息化建設(shè)的重要基礎(chǔ)，注重信息安全建設(shè)的狠抓落實(shí)，是企業(yè)強(qiáng)化內(nèi)部控制管理的必然需求。當(dāng)前，企業(yè)疏于信息安全管理工作的落實(shí)，導(dǎo)致企業(yè)所處于的信息環(huán)境“危機(jī)四伏”。因此，首先，企業(yè)應(yīng)加信息安全納入到安全管理之中，夯實(shí)信息安全建設(shè)管理的重要地位。其次，建立健全的安全責(zé)任制度，并逐步形成聯(lián)動(dòng)的信息安全管理機(jī)制，提高信息安全管理的有效性；再次，設(shè)置安全管理機(jī)構(gòu)，負(fù)責(zé)企業(yè)信息安全的建設(shè)、管理，以及信息安全人員的教育培訓(xùn)等工作，為企業(yè)信息安全風(fēng)險(xiǎn)的控制創(chuàng)造良好的內(nèi)部環(huán)境。

3.2 強(qiáng)化防火墻設(shè)計(jì)，提高信息安全防范能力

當(dāng)前，黑客攻擊、木馬入侵等在很大程度上增加了企業(yè)信息安全風(fēng)險(xiǎn)，不利于企業(yè)信息化建設(shè)的推進(jìn)。因此，強(qiáng)化防火墻設(shè)計(jì)是提高企業(yè)信息安全防范能力的重要舉措。一些企業(yè)在信息安全設(shè)備的應(yīng)用過(guò)程中，存在不規(guī)范、錯(cuò)誤使用的問(wèn)題。不同功能、品牌的安全設(shè)備由于兼容性差，導(dǎo)致安全設(shè)備的安全防范能力下降。這就強(qiáng)調(diào)，企業(yè)在安全防范體系的構(gòu)建中，要注重科學(xué)合理原則，針對(duì)企業(yè)信息安全建設(shè)的需求，做到體系的完備性與安全性。例如，企業(yè)在信息安全風(fēng)險(xiǎn)防范體系的構(gòu)建中，可以引入終端安全管理系統(tǒng)。在這方面，殺毒軟件公司瑞星是典型的案例。瑞星公司在其終端安全管理體系的構(gòu)建中，使用了“統(tǒng)一系統(tǒng)平臺(tái)+獨(dú)立功能模塊”的設(shè)計(jì)理念，具體如圖2所示。這樣一來(lái)，不僅提高了企業(yè)信息安全防范體系的構(gòu)建，而且優(yōu)化了企業(yè)信息系統(tǒng)運(yùn)行的環(huán)境。

3.3 提高信息安全意識(shí)，規(guī)范操作行為

良好的主觀能動(dòng)性是提高企業(yè)信息安全風(fēng)險(xiǎn)控制的重要基礎(chǔ)。首先，企業(yè)要強(qiáng)化安全管理人員的安全意識(shí)，規(guī)范并引導(dǎo)其管理工作的有效落實(shí)。尤其是在管理工作中，嚴(yán)格依照相關(guān)的規(guī)章制度進(jìn)行，避免人為管理或操作不當(dāng)，而造成信息安全問(wèn)題；其次，積極推進(jìn)企業(yè)安全文化建設(shè)，為信息安全風(fēng)險(xiǎn)控制的落實(shí)創(chuàng)造良好的內(nèi)部環(huán)境。企業(yè)職工認(rèn)識(shí)到信息安全的重要性，潛移默化中規(guī)范并引導(dǎo)職工規(guī)范信息操作；再次，做好信息設(shè)備的維護(hù)與保護(hù)等工作。一方面，要對(duì)企業(yè)的電腦等設(shè)備進(jìn)行防雷、防磁等保護(hù)，讓機(jī)械設(shè)備處于良好的環(huán)境下運(yùn)行；另一方面，不定期開展設(shè)備維護(hù)工作，以便于及時(shí)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題。

圖2 終端安全管理系統(tǒng)

4 結(jié)束語(yǔ)

綜上所述，現(xiàn)代企業(yè)信息安全風(fēng)險(xiǎn)是多方因素綜合作用的結(jié)果，但無(wú)論是外部的黑客攻擊、木馬入侵，還是內(nèi)部的控制管理不到位，都強(qiáng)調(diào)企業(yè)要重視信息安全防范體系的構(gòu)建，確保信息成為企業(yè)發(fā)展的重要資源。因此，一方面要注重信息安全建設(shè)，建立健全相應(yīng)的管理制度；另一方面，要強(qiáng)化信息安全的教育與培訓(xùn)，并構(gòu)建完備的安全防范體系，確保企業(yè)信息系統(tǒng)的安全。

[1]張建業(yè)．電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理研究[J]．中國(guó)電力教育，2013，(26)：102-104．

[2]陽(yáng)玉明．供電企業(yè)信息安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施分析[J]．電源技術(shù)應(yīng)用，2013，(09)：22-24．

[3]吳樹強(qiáng)．電力企業(yè)信息安全風(fēng)險(xiǎn)研究[J]．科學(xué)時(shí)代，2012，(13)：67．

[4]任偉．鋼鐵企業(yè)信息安全風(fēng)險(xiǎn)系統(tǒng)管理研究[J]．山西冶金，2008，(04)：28-29．

[5]王剛．關(guān)于企業(yè)信息安全風(fēng)險(xiǎn)管理系統(tǒng)的研究[J]．華北電力技術(shù)，2013，(09)：12-14．

[6]D．Treck，Security policy conceptual modeling and formalization for networked information system[J]．Computer Communication，2000，Volume23：63-64．

Study on the Control of Modern Enterprise Information Security Risk

Zhang Zheng
(China Mobile Group Guangdong Co.,Guangzhou 510000,Guangdong)

Informatization construction is an important focal point of the modern enterprise development,while the problem of information security risk weakens the important role of information technology.From the hacker attack,the internal control management,application system security and other aspects,this article analyzes the information security risk in modern enterprises,and on this basis,expounds the control strategy.This paper aims to strengthen the understanding of enterprise information security risk,and provide certain references for enterprise to construct the information security system,deepening the informationzation construction of modern enterprises.

modern enterprise;information security;risk control;strategy

TP309

A

：1008-66609(2015)04-0074-03

作者信息：張征，男，湖北荊門人，本科，高級(jí)工程師，研究方向：信息安全。