[摘要] 信息化是當今世界經(jīng)濟和社會發(fā)展的大趨勢，也是我國實現(xiàn)傳統(tǒng)產(chǎn)業(yè)升級和加快現(xiàn)代化建設(shè)的關(guān)鍵環(huán)節(jié)。當今中小商業(yè)企業(yè)與大企業(yè)一樣，都廣泛使用信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)，初步建設(shè)了自己的信息系統(tǒng)，以不斷提高企業(yè)的競爭力。信息系統(tǒng)在提高商業(yè)企業(yè)效益的同時，也給企業(yè)增加了各類風險隱患。各類商業(yè)企業(yè)網(wǎng)絡(luò)安全的相關(guān)報導也一直層出不窮，系統(tǒng)風險問題、網(wǎng)絡(luò)安全問題日益嚴重。本文結(jié)合作者IT行業(yè)從業(yè)經(jīng)驗，對商業(yè)信息系統(tǒng)面臨的安全和風險進行初步分析，并提出初步的應(yīng)對策略。

[關(guān)鍵詞] 商業(yè)企業(yè) 信息系統(tǒng) 網(wǎng)絡(luò)安全 風險防范

一、引言

信息化是當今世界經(jīng)濟和社會發(fā)展的大趨勢，也是我國實現(xiàn)傳統(tǒng)產(chǎn)業(yè)升級和加快現(xiàn)代化建設(shè)的關(guān)鍵環(huán)節(jié)。推動國民經(jīng)濟和社會信息化已被確立為我國重要的國家發(fā)展戰(zhàn)略。二十多年來，我國商業(yè)企業(yè)信息技術(shù)應(yīng)用經(jīng)歷了電子結(jié)算、單機（計算機）管理、網(wǎng)絡(luò)技術(shù)及電子商務(wù)等階段，已形成了一定的基礎(chǔ)，并開始進入應(yīng)用普及階段。

凡事都具有兩面性，商業(yè)企業(yè)在收獲信息化成果的同時，也應(yīng)該看到信息化帶來的巨大風險，比如前段時間網(wǎng)上報道《上海超市收銀記錄被篡改 巨額錢財流入“黑客”手》，類似的信息系統(tǒng)安全事故在商業(yè)企業(yè)中頻頻發(fā)生，應(yīng)該對這類風險安排適當?shù)目刂拼胧Ｐ畔⑾到y(tǒng)的風險和系統(tǒng)的應(yīng)用是伴生的，風險是永遠客觀存在的，怎樣防范風險、怎樣控制風險，這是商業(yè)企業(yè)信息化建設(shè)過程中必須應(yīng)對的問題。本文結(jié)合作者從事IT行業(yè)的經(jīng)歷和經(jīng)驗，對商業(yè)信息系統(tǒng)面臨的安全和風險進行初步分析，并提出自己初步的應(yīng)對策略。

二、商業(yè)信息系統(tǒng)面臨安全風險分析

1.系統(tǒng)硬件環(huán)境風險

商業(yè)信息系統(tǒng)的運行，依賴于特定的硬件環(huán)境，例如各類數(shù)據(jù)庫和網(wǎng)絡(luò)服務(wù)器、局域網(wǎng)絡(luò)、INTERNET、銀行POS終端等等，這些環(huán)境依賴大量的硬件設(shè)備，這些設(shè)備自身都存在一定的故障率，這類故障發(fā)生時必然影響信息系統(tǒng)正常運行。經(jīng)常發(fā)生的故障主要有電氣機械等方面硬故障、網(wǎng)絡(luò)通訊異常等通訊故障等。這類故障比較常見，大多數(shù)人也都能理解。

2.軟件環(huán)境風險

商業(yè)企業(yè)信息化實施后，系統(tǒng)中運行著各類操作系統(tǒng)、數(shù)據(jù)庫引擎、OA系統(tǒng)、POS終端系統(tǒng)、財務(wù)以及物流等各類應(yīng)用系統(tǒng)、各類網(wǎng)絡(luò)協(xié)議和通訊軟件等。作為軟件系統(tǒng)，必然存在未被發(fā)現(xiàn)的錯誤隱患，可能導致賬務(wù)錯亂、數(shù)據(jù)信息受損等，以及軟件系統(tǒng)的兼容性等風險。此類風險很難預知和檢測，即便經(jīng)過較長的一段時間的測試運行也難以發(fā)現(xiàn)。

3.網(wǎng)絡(luò)環(huán)境風險

信息技術(shù)發(fā)展到今天，網(wǎng)絡(luò)是最偉大的技術(shù)創(chuàng)新，目前商業(yè)企業(yè)幾乎所有的應(yīng)用系統(tǒng)都基于網(wǎng)絡(luò)進行構(gòu)建，從內(nèi)部辦公網(wǎng)到電子商務(wù)、從財務(wù)系統(tǒng)到網(wǎng)上結(jié)算，從物流管理到電子商務(wù)，網(wǎng)絡(luò)也成為商業(yè)企業(yè)提升服務(wù)質(zhì)量、擴寬營銷渠道的一個重要的手段。網(wǎng)絡(luò)的大量應(yīng)用，也帶來了大量的風險，例如黑客、病毒等等。應(yīng)當說，網(wǎng)絡(luò)環(huán)境風險在商業(yè)企業(yè)面臨的信息系統(tǒng)風險中占的比重最大，主要包括黑客攻擊、數(shù)據(jù)篡改、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等。

4.信息管理風險

管理風險是指由于管理體制的偏差、管理制度的不完善導致具體管理過程中出現(xiàn)漏洞而給計算機及網(wǎng)絡(luò)系統(tǒng)帶來的額外的風險。

（1)體制風險

所謂體制風險，主要是指在管理上缺乏統(tǒng)一的組織和領(lǐng)導所引發(fā)的風險。在信息管理方面往往只注重計算機在商業(yè)信息化業(yè)務(wù)中的應(yīng)用，過分強調(diào)科技的服務(wù)職能，而忽略了計算機安全管理工作，忽視監(jiān)管。信息部門人員單兵作戰(zhàn)，除了承擔業(yè)務(wù)軟件的推廣應(yīng)用，還要負責設(shè)備的維護與管理，往往是顧此失彼。各業(yè)務(wù)職能部門還沒有將計算機安全作為一項重要工作來抓，計算機風險管理幾乎是一片空白。

（2)制度風險

所謂制度風險，主要是指在商業(yè)信息化中，由于制度制定有漏洞或執(zhí)行不到位所造成的潛在風險。網(wǎng)絡(luò)安全運行管理、密碼專人管理、操作員管理、數(shù)據(jù)備份媒體存放管理等制度還有待于進一步完善。

（3)人員素質(zhì)風險

所謂人員素質(zhì)風險，主要是指因人員素質(zhì)參差不齊以及人員流動性大而引發(fā)計算機及網(wǎng)絡(luò)系統(tǒng)的風險。

三、商業(yè)信息系統(tǒng)安全應(yīng)對策略

針對如上所列商業(yè)信息系統(tǒng)風險，提出如下初步應(yīng)對策略：

1.硬件環(huán)境方面

改善硬件運行環(huán)境，機房建設(shè)要按照國家統(tǒng)一頒布的標準進行建設(shè)、施工、裝修、安裝，配備防盜、防火、防水、防雷、防磁、防鼠害等設(shè)備，如果有條件可以安裝電視監(jiān)控系統(tǒng)。做好設(shè)備維護工作。建立對各種計算機及網(wǎng)絡(luò)設(shè)備定期檢修、維護制度，并做好檢修、維護記錄；對突發(fā)性的安全事故處理要有應(yīng)急計劃，對主要服務(wù)器和網(wǎng)絡(luò)設(shè)備，要指定專人負責，發(fā)生故障保證及時修復，從而確保所有設(shè)備處于最佳運行狀態(tài)。定期與電力、電信等部門協(xié)調(diào)，爭取技術(shù)支持，保證良好的供電環(huán)境和暢通的網(wǎng)絡(luò)環(huán)境。

2.軟件環(huán)境方面

首先要作好信息化系統(tǒng)的方案設(shè)計，包括采用何種操作系統(tǒng)、數(shù)據(jù)庫引擎，如何進行系統(tǒng)集成等，為以后應(yīng)用打好基礎(chǔ)。各類業(yè)務(wù)系統(tǒng)軟件正式投入推廣使用前要進行全面的測試，以及時發(fā)現(xiàn)并修正軟件設(shè)計過程中的缺陷。加強操作人員權(quán)限和密碼管理。對訪問數(shù)據(jù)庫的所有用戶要科學的分配權(quán)限，實現(xiàn)權(quán)限等級管理，嚴禁越權(quán)操作，密碼強制定期修改，數(shù)據(jù)輸入檢查嚴密，盡量減少人工操作機會。做好數(shù)據(jù)備份，確保數(shù)據(jù)安全。對數(shù)據(jù)庫本身的安全脆弱問題，更要作相應(yīng)處理，對數(shù)據(jù)要進行多重備份、異地異處存放，以便發(fā)生類似意外掉電這類不可預見性故障時能提供快速恢復手段，以保證數(shù)據(jù)信息的完整性。

3.網(wǎng)絡(luò)環(huán)境方面

網(wǎng)絡(luò)安全的基本要求是保密、完整、可用、可控和可審查。從技術(shù)角度講，商業(yè)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全體系應(yīng)包括: 操作系統(tǒng)和數(shù)據(jù)庫安全、加密技術(shù)、網(wǎng)絡(luò)安全訪問控制、身份認證、攻擊監(jiān)控、防火墻技術(shù)、防病毒技術(shù)、備份和災(zāi)難恢復等。從管理角度看，應(yīng)著力健全計算機管理制度和運行規(guī)程，加強員工管理，不斷提高員工的安全防范意識和責任感，杜絕內(nèi)部作案的可能性，建立起良好的故障處理反應(yīng)機制。

4.信息管理方面

建立計算機風險防范組織體系。商業(yè)企業(yè)各部門領(lǐng)導要重視計算機安全工作，成立計算機安全領(lǐng)導小組，明確權(quán)利責任，做好對安全運行領(lǐng)導、檢查和監(jiān)督工作。整章建制，落實內(nèi)控制度。對現(xiàn)有的計算機安全制度進行全面清理，建立健全各項計算機安全管理和防范制度，完善業(yè)務(wù)的操作規(guī)程；加強要害崗位管理，建立和不斷補充完善要害崗位人員管理制度。解決人員素質(zhì)對計算機及網(wǎng)絡(luò)風險的影響，提高其處理計算機及網(wǎng)絡(luò)故障、防范計算機及網(wǎng)絡(luò)風險的能力。

四、結(jié)論

商業(yè)企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程，涉及到計算機技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面，同時，隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級換代，它又是一個不斷發(fā)展的動態(tài)過程。因此對商業(yè)企業(yè)信息系統(tǒng)運行風險和安全需求應(yīng)進行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受商業(yè)信息系統(tǒng)便利高效的同時，把握住信息系統(tǒng)安全的大門。

參考文獻:

[1]戴偉汪希杰戚雪輝:銀行計算機網(wǎng)絡(luò)風險防范與對策研究[J].中國農(nóng)業(yè)銀行武漢培訓學院學報，2002(06)

[2]楊榮:信息系統(tǒng)應(yīng)用中的風險控制[J].希賽網(wǎng)www.csai.cn

[3]劉守珍:電子商務(wù)信息系統(tǒng)中網(wǎng)絡(luò)技術(shù)的安全性分析和策略[J].電腦知識與技術(shù)，2005(18)

[4]池云:電子商務(wù)信息系統(tǒng)安全策略[J].遼寧行政學院學報，2004(05)