張征

（中國移動通信集團廣東有限公司信息系統(tǒng)部，廣東 廣州 510000）

現(xiàn)代企業(yè)信息安全風險控制研究

張征

（中國移動通信集團廣東有限公司信息系統(tǒng)部，廣東 廣州 510000）

信息化建設是現(xiàn)代企業(yè)謀發(fā)展的重要著力點，但信息安全風險問題弱化了信息化的重要作用。本文從黑客攻擊、內(nèi)部控制管理、應用系統(tǒng)安全等方面，分析了現(xiàn)代企業(yè)信息的安全風險，并在此基礎之上，闡述了企業(yè)信息安全風險的控制策略。本文旨在強化對企業(yè)信息安全風險的認識，并為企業(yè)構建信息安全防范體系提供一定的參考資料，深化現(xiàn)代企業(yè)信息化建設。

現(xiàn)代企業(yè)；信息安全；風險控制；策略

1 引言

信息時代的到來為企業(yè)的發(fā)展創(chuàng)造了新的模式，帶來發(fā)展的新機遇。但是，信息安全風險所到來的影響，也在一定程度上制約了企業(yè)的可持續(xù)發(fā)展。因此，企業(yè)在發(fā)展中一方面要充分利用信息資源，讓其成為企業(yè)發(fā)展的重要推動力；另一方面，要充分認識到信息安全風險的影響，有針對性地構建安全防范體系，提高信息的安全，這才是充分發(fā)揮其重要作用的前提。本文立足于對企業(yè)信息安全風險的認識，就企業(yè)如何強化信息安全建設提出了若干建議。

2 現(xiàn)代企業(yè)信息安全風險分析

信息是現(xiàn)代企業(yè)構建可持續(xù)發(fā)展戰(zhàn)略的重要資源，也是優(yōu)化并調(diào)整企業(yè)發(fā)展模式的重要基礎。但是，企業(yè)信息安全風險也日益突出，成為制約企業(yè)信息化建設的重要因素。一方面，企業(yè)信息系統(tǒng)面臨來自網(wǎng)絡的安全威脅，如黑客攻擊、木馬入侵等，影響了企業(yè)信息系統(tǒng)的正常運行；另一方面，企業(yè)信息安全防范意識薄弱，內(nèi)部管理工作落實不到位，導致企業(yè)信息系統(tǒng)處于危險環(huán)境之中。

2.1 黑客攻擊、木馬入侵

開放的網(wǎng)絡環(huán)境之下，企業(yè)信息安全普遍存在病毒入侵的威脅。在利益的驅(qū)使之下，黑客通過對企業(yè)的網(wǎng)站進行攻擊，對企業(yè)信息系統(tǒng)的安全運行造成最直接的威脅。如，2014年11月24日，黑客組織“和平衛(wèi)士”（Guardians of Peace）公布索尼影業(yè)員工電郵，涉及公司高管薪酬和索尼非發(fā)行電影拷貝等內(nèi)容，對索尼影業(yè)的發(fā)展造成極大的影響。在黑客攻擊的過程中，其所采用的入侵方式多樣化，但以SQL注入的方式最具危害性，具體如圖1所示。SQL注入旨在通過外部接口把用戶數(shù)據(jù)插入到實際的數(shù)據(jù)操作語言當中。這樣一來，不僅可以實現(xiàn)對用戶信息的入侵和操作，而且通過數(shù)據(jù)庫將木馬植入到企業(yè)的信息網(wǎng)站之中。因此，SQL注入攻擊的危害性大，且可以繞過計算機的防火墻系統(tǒng)，對企業(yè)信息安全帶來極大的影響，不利于企業(yè)信息安全的構建。

圖1 “SQL注入”攻擊

2.2 內(nèi)部控制不到位

信息時代的到來，給現(xiàn)代企業(yè)的發(fā)展注入了新的發(fā)展元素，強化信息化建設成為企業(yè)內(nèi)部控制管理的重要內(nèi)容。但是，企業(yè)具有趨利的天性，強調(diào)經(jīng)濟效益為導向下的企業(yè)發(fā)展模式，進而對信息安全建設落實不到位。首先，企業(yè)缺乏信息安全防范意識，主觀能動性相對比較欠缺；其次，企業(yè)信息安全宣傳教育工作疏于開展，導致企業(yè)職工在網(wǎng)絡操作中，出現(xiàn)不規(guī)范的違法行為，進而為黑客及病毒的攻擊創(chuàng)造了機會；再次，企業(yè)缺乏信息安全風險管理制度的建立，導致信息風險管理流于形式，無法滿足企業(yè)信息安全發(fā)展的需求。

2.3 應用系統(tǒng)安全性不高

企業(yè)信息化建設的實現(xiàn)，依托于各種應用系統(tǒng)的有效應用。但應用系統(tǒng)安全性不高等問題，在很大程度上影響了企業(yè)的信息安全。一方面，應用系統(tǒng)設計本身存在不足或安全漏洞，如數(shù)據(jù)傳輸、存儲采用明文的方式。這樣一來，數(shù)據(jù)極易被惡意軟件、木馬所竊取，實現(xiàn)非法訪問，進而造成企業(yè)信息丟失或泄露等安全風險；另一方面，企業(yè)應用系統(tǒng)的安全防范模式相對比較單一，通過“口令”的認證模式，難以構建完備的安全防范。并且，企業(yè)職工在密碼設置上，過于簡單，且操作行為不規(guī)范，這也造成應用系統(tǒng)安全風險增加的重要因素。

3 企業(yè)信息安全風險的控制策略

企業(yè)信息安全風險的控制，關鍵在于如何營造安全的信息環(huán)境、強化安全技術體系的構建，以及風險控制的制度建設，從本質(zhì)上優(yōu)化企業(yè)信息安全的內(nèi)外環(huán)境。因此，企業(yè)可著力于以下幾個方面，優(yōu)化與調(diào)整企業(yè)信息風險控制的有效性。

3.1 注重信息安全建設，設置安全管理機構

信息安全是企業(yè)信息化建設的重要基礎，注重信息安全建設的狠抓落實，是企業(yè)強化內(nèi)部控制管理的必然需求。當前，企業(yè)疏于信息安全管理工作的落實，導致企業(yè)所處于的信息環(huán)境“危機四伏”。因此，首先，企業(yè)應加信息安全納入到安全管理之中，夯實信息安全建設管理的重要地位。其次，建立健全的安全責任制度，并逐步形成聯(lián)動的信息安全管理機制，提高信息安全管理的有效性；再次，設置安全管理機構，負責企業(yè)信息安全的建設、管理，以及信息安全人員的教育培訓等工作，為企業(yè)信息安全風險的控制創(chuàng)造良好的內(nèi)部環(huán)境。

3.2 強化防火墻設計，提高信息安全防范能力

當前，黑客攻擊、木馬入侵等在很大程度上增加了企業(yè)信息安全風險，不利于企業(yè)信息化建設的推進。因此，強化防火墻設計是提高企業(yè)信息安全防范能力的重要舉措。一些企業(yè)在信息安全設備的應用過程中，存在不規(guī)范、錯誤使用的問題。不同功能、品牌的安全設備由于兼容性差，導致安全設備的安全防范能力下降。這就強調(diào)，企業(yè)在安全防范體系的構建中，要注重科學合理原則，針對企業(yè)信息安全建設的需求，做到體系的完備性與安全性。例如，企業(yè)在信息安全風險防范體系的構建中，可以引入終端安全管理系統(tǒng)。在這方面，殺毒軟件公司瑞星是典型的案例。瑞星公司在其終端安全管理體系的構建中，使用了“統(tǒng)一系統(tǒng)平臺+獨立功能模塊”的設計理念，具體如圖2所示。這樣一來，不僅提高了企業(yè)信息安全防范體系的構建，而且優(yōu)化了企業(yè)信息系統(tǒng)運行的環(huán)境。

3.3 提高信息安全意識，規(guī)范操作行為

良好的主觀能動性是提高企業(yè)信息安全風險控制的重要基礎。首先，企業(yè)要強化安全管理人員的安全意識，規(guī)范并引導其管理工作的有效落實。尤其是在管理工作中，嚴格依照相關的規(guī)章制度進行，避免人為管理或操作不當，而造成信息安全問題；其次，積極推進企業(yè)安全文化建設，為信息安全風險控制的落實創(chuàng)造良好的內(nèi)部環(huán)境。企業(yè)職工認識到信息安全的重要性，潛移默化中規(guī)范并引導職工規(guī)范信息操作；再次，做好信息設備的維護與保護等工作。一方面，要對企業(yè)的電腦等設備進行防雷、防磁等保護，讓機械設備處于良好的環(huán)境下運行；另一方面，不定期開展設備維護工作，以便于及時發(fā)現(xiàn)問題、解決問題。

圖2 終端安全管理系統(tǒng)

4 結束語

綜上所述，現(xiàn)代企業(yè)信息安全風險是多方因素綜合作用的結果，但無論是外部的黑客攻擊、木馬入侵，還是內(nèi)部的控制管理不到位，都強調(diào)企業(yè)要重視信息安全防范體系的構建，確保信息成為企業(yè)發(fā)展的重要資源。因此，一方面要注重信息安全建設，建立健全相應的管理制度；另一方面，要強化信息安全的教育與培訓，并構建完備的安全防范體系，確保企業(yè)信息系統(tǒng)的安全。

[1]張建業(yè)．電網(wǎng)企業(yè)信息安全風險管理研究[J]．中國電力教育，2013，(26)：102-104．

[2]陽玉明．供電企業(yè)信息安全風險及應對措施分析[J]．電源技術應用，2013，(09)：22-24．

[3]吳樹強．電力企業(yè)信息安全風險研究[J]．科學時代，2012，(13)：67．

[4]任偉．鋼鐵企業(yè)信息安全風險系統(tǒng)管理研究[J]．山西冶金，2008，(04)：28-29．

[5]王剛．關于企業(yè)信息安全風險管理系統(tǒng)的研究[J]．華北電力技術，2013，(09)：12-14．

[6]D．Treck，Security policy conceptual modeling and formalization for networked information system[J]．Computer Communication，2000，Volume23：63-64．

Study on the Control of Modern Enterprise Information Security Risk

Zhang Zheng
(China Mobile Group Guangdong Co.,Guangzhou 510000,Guangdong)

Informatization construction is an important focal point of the modern enterprise development,while the problem of information security risk weakens the important role of information technology.From the hacker attack,the internal control management,application system security and other aspects,this article analyzes the information security risk in modern enterprises,and on this basis,expounds the control strategy.This paper aims to strengthen the understanding of enterprise information security risk,and provide certain references for enterprise to construct the information security system,deepening the informationzation construction of modern enterprises.

modern enterprise;information security;risk control;strategy

TP309

A

：1008-66609(2015)04-0074-03

作者信息：張征，男，湖北荊門人，本科，高級工程師，研究方向：信息安全。