李志雷

（南陽虹志科技發(fā)展有限公司 473000）

摘 要：互聯(lián)網(wǎng)的高度發(fā)展，企業(yè)越來越依賴于信息技術(shù)和服務(wù)，同時企業(yè)信息妥全問題、數(shù)刁尾妥全問題屢見不鮮。信息化建設(shè)是現(xiàn)代企業(yè)謀發(fā)展的重要著力點(diǎn)，但信息安全風(fēng)險問題弱化了信息化的重要作用。本文從黑客攻擊、內(nèi)部控制管理、應(yīng)用系統(tǒng)安全等方面，分析了現(xiàn)代企業(yè)信息的安全風(fēng)險，并在此基礎(chǔ)之上，闡述了企業(yè)信息安全風(fēng)險的控制策略。

關(guān)鍵詞：企業(yè)信息安全；風(fēng)險控制

1.企業(yè)信息安全風(fēng)險性分析

1.1黑客入侵及其危害性

信息安全作為企業(yè)正常運(yùn)營的關(guān)鍵要素，是企業(yè)健康發(fā)展的重要保障。隨著現(xiàn)代企業(yè)與外界信息交流的不斷廣泛深入，企業(yè)使用計(jì)算機(jī)技術(shù)進(jìn)行信息交流，傳輸以及存儲逐漸日?；?。網(wǎng)絡(luò)化辦公，信息傳遞的便捷性、高效性、隱蔽性，的確可以大大提高企業(yè)的辦公效率，降低企業(yè)的經(jīng)營成本。但與此同時企業(yè)也將要應(yīng)對更多的信息安全威脅，其中“病毒入侵”就是目前最為常見的一種威脅?！安《救肭帧蓖ǔＪ呛诳屠没ヂ?lián)網(wǎng)攻擊企業(yè)、政府部門或者個人計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器，在計(jì)算機(jī)源程序中植入一組能夠自我復(fù)制的程序代碼，進(jìn)而影響計(jì)算機(jī)的使用功能，對計(jì)算機(jī)內(nèi)部系統(tǒng)文件進(jìn)行破壞，致使整個計(jì)算機(jī)系統(tǒng)癱瘓。更有非法黑客通過技術(shù)手段對目標(biāo)計(jì)算機(jī)植入病毒，竊取用戶個人隱私信息、機(jī)密性資料等?！安《救肭帧敝小癝QL注入”是黑客入侵網(wǎng)站過程中使用最多的手段，黑客利用可嵌入的外部數(shù)據(jù)庫接口將用戶數(shù)據(jù)編譯到可執(zhí)行操作的SQL語言當(dāng)中，實(shí)現(xiàn)木馬移植進(jìn)而控制用戶計(jì)算機(jī)的整個操作系統(tǒng)。

1.2企業(yè)缺乏信息安全防范意識

伴隨著互聯(lián)網(wǎng)技術(shù)日新月異的發(fā)展，“互聯(lián)網(wǎng)+”新思維為企業(yè)的發(fā)展及轉(zhuǎn)型升級注入了新的活力，越來越多的企業(yè)將會依托“互聯(lián)網(wǎng)+”擺脫企業(yè)發(fā)展的瓶頸。從當(dāng)今中小企業(yè)信息化建設(shè)方面來看，很多公司只是在技術(shù)層面上通過引進(jìn)資金，技術(shù)改造及更新去加強(qiáng)企業(yè)信息安全的建設(shè)，但在意識層面上對企業(yè)信息安全的認(rèn)識比較薄弱。一是部分企業(yè)全體上下對信息安全的認(rèn)知不夠：存在著信息安全風(fēng)險問題在公司決策層和各直屬部門之間不受重視的現(xiàn)象，認(rèn)為信息安全建設(shè)是網(wǎng)絡(luò)安全部門的事情，在各部門之間宣傳信息安全風(fēng)險防范難免有點(diǎn)小題大做。二是部分企業(yè)信息安全管理制度建設(shè)不夠：對于如何防范信息安全的威脅，公司內(nèi)部沒有明確的規(guī)章條例，造成企業(yè)員工對自己的行為是否威脅到企業(yè)信息安全沒有一個明確的認(rèn)識，處于一種模棱兩可的狀態(tài)。已經(jīng)確立的規(guī)章制度，由于操作性不強(qiáng)，執(zhí)行力度不夠后來又逐漸成為一種形式。加強(qiáng)企業(yè)信息化建設(shè)同時也是企業(yè)應(yīng)對當(dāng)今復(fù)雜多變的經(jīng)濟(jì)形勢的必要保障，因此企業(yè)應(yīng)該從戰(zhàn)略層面上考慮如何去鞏固和加強(qiáng)企業(yè)信息安全的建設(shè)。

1.3安全技術(shù)設(shè)備未充分發(fā)揮作用

為加強(qiáng)企業(yè)信息安全建設(shè)，部分企業(yè)往往會針對性地選擇安裝一些技術(shù)設(shè)備。其中對設(shè)備的運(yùn)行狀況及參數(shù)設(shè)置往往都是一知半解。僅僅依靠系統(tǒng)默認(rèn)設(shè)置的參數(shù)而忽略企業(yè)的實(shí)際情況，不能有效的從源頭上攔截信息安全的威脅。更甚至有部分企業(yè)缺乏對技術(shù)設(shè)備運(yùn)行日志的監(jiān)控，未能從監(jiān)測到的運(yùn)行狀況分析出可能潛在的風(fēng)險，無法做到事前控制，對于風(fēng)險管理通常處于一種被動防御的狀態(tài)。其次，部分企業(yè)在信息安全技術(shù)設(shè)備上的投入不成比列，缺乏專業(yè)的信息安全技術(shù)人才，硬件設(shè)備維護(hù)和更新不及時等等都為企業(yè)信息安全管理埋下隱患。面對當(dāng)今激烈的市場競爭環(huán)境，企業(yè)信息安全建設(shè)能否提上公司未來發(fā)展的章程往往決定著一個公司未來的發(fā)展可以走多遠(yuǎn)。

1.4信息安全規(guī)定執(zhí)行力度不夠

科學(xué)的安全規(guī)定對于企業(yè)信息安全的管理至關(guān)重要。規(guī)定的制定和執(zhí)行要能夠體現(xiàn)出人性化，可操作性強(qiáng)，便于追蹤，易于管理的特點(diǎn)。部分企業(yè)制定了許多信息安全管理制度，但執(zhí)行的實(shí)際情況并不理想，情況也復(fù)雜多變。例如：強(qiáng)制為企業(yè)內(nèi)部員工及信息安全人員配置口令卡，對信息數(shù)據(jù)傳輸進(jìn)行加密等舉措執(zhí)行難度較大。有部分企業(yè)隨意放置不能正常運(yùn)行的安全設(shè)備，由于沒有對關(guān)鍵數(shù)據(jù)進(jìn)行加密、保護(hù)或者銷毀處理致使設(shè)備流出公司被他人進(jìn)行了數(shù)據(jù)還原和信息恢復(fù)。諸如此類，企業(yè)員工很多不良的行為將會嚴(yán)重威脅企業(yè)信息安全的管理，應(yīng)該引起公司領(lǐng)導(dǎo)層面的注意，應(yīng)該時刻加強(qiáng)、倡導(dǎo)、鼓勵員工對企業(yè)信息安全規(guī)定的認(rèn)真執(zhí)行。

2.企業(yè)信息安全風(fēng)險的控制策略

對企業(yè)信息相關(guān)安全風(fēng)險控制的問題，核心是怎樣創(chuàng)建安全的信息環(huán)境、在技術(shù)上如何創(chuàng)造安全的構(gòu)架體系、以及如何構(gòu)建制度建設(shè)。從最根本來講是對企業(yè)信息安全內(nèi)外環(huán)境的優(yōu)化。可以考慮從以下的幾個方面來加強(qiáng)企業(yè)的信息安全，保證企業(yè)信息安全控制的有效性。

2.1 加強(qiáng)信息安全的建設(shè)，創(chuàng)建安全管理機(jī)構(gòu)

企業(yè)信息化建設(shè)，其重要基礎(chǔ)是信息的安全，沒有信息安全作保證，其它的都不能談起，加大信息安全防范治理力度，是企業(yè)對自身內(nèi)部控制管理的必要要求。有些企業(yè)未能很好的落實(shí)企業(yè)信息安全管理相關(guān)工作，造成的后果是很嚴(yán)重的，致使企業(yè)自身處在危機(jī)環(huán)境之中?？紤]以上疏于管理信息安全所帶來的后果，首先，企業(yè)應(yīng)該把信息安全納入到安全管理之中，突出其重要地位。其次，建立完整齊備的安全責(zé)任制度，逐漸形成一種互助協(xié)防聯(lián)動的信息安全管理模式。最后，對負(fù)責(zé)信息安全的相關(guān)人員進(jìn)行培訓(xùn)和教育來提高他們在信息安全方面的能力。

2.2 加強(qiáng)防火墻的設(shè)計(jì)，提升信息安全的防范能力

現(xiàn)如今黑客存在、木馬入侵等一些危險因子在相當(dāng)大的程度上要求企業(yè)要增加自身企業(yè)的抗風(fēng)險能力，這阻礙了企業(yè)信息化建設(shè)的進(jìn)步。所以，企業(yè)提高信息化安全防范能力的重要舉措是加強(qiáng)防火墻的設(shè)計(jì)。一些企業(yè)在應(yīng)用信息安全設(shè)備時，不規(guī)范、甚至錯誤使用一些設(shè)備。由于不同的設(shè)備具有不同功能，不同品牌的問題，這導(dǎo)致設(shè)備兼容性差，使一些設(shè)備的抗風(fēng)險能力下降。這就必須突出在構(gòu)建企業(yè)安全防范的過程中，一定要運(yùn)用科學(xué)合理的方式，就構(gòu)建信息安全來說，務(wù)必做到安全性和完備性的統(tǒng)一。例如，企業(yè)在構(gòu)建信息安全風(fēng)險防范體系時，引入終端安全管理系統(tǒng)是一個很好的選擇。從這看，瑞星殺毒軟件公司是最成功最典型的一個。瑞星公司在應(yīng)對信息安全的問題時采用統(tǒng)一平臺和獨(dú)立功能模塊相結(jié)合的先進(jìn)設(shè)計(jì)理念，構(gòu)建自己企業(yè)的終端安全管理體系。不僅能夠成功地構(gòu)建自己企業(yè)信息安全，還可以對企業(yè)系統(tǒng)所運(yùn)行的環(huán)境進(jìn)行優(yōu)化。

2.3 加強(qiáng)信息安全意識，規(guī)范操作行為

加強(qiáng)對企業(yè)信息安全風(fēng)險的控制，其重要基礎(chǔ)是人的主觀能動性。首先，安全管理人員的安全意識要加強(qiáng)，并核實(shí)這些管理人員的工作是否有效落實(shí)到位。最關(guān)鍵的是要嚴(yán)格依據(jù)相關(guān)的規(guī)章制度進(jìn)行操作，應(yīng)避免因人為的誤操作和管理不周所造成重大信息安全問題。其次，要營造一種良好的信息安全責(zé)任落實(shí)安全文化建設(shè)的內(nèi)部環(huán)境，企業(yè)的員工會意識到信息安全的重要性，在潛移默化中規(guī)范自己的操作，降低安全風(fēng)險。最后，要加大不定期對信息設(shè)備維護(hù)和保護(hù)的工作。其一，加強(qiáng)企業(yè)電腦等安全設(shè)備防雷、防磁等保護(hù)，使機(jī)械設(shè)備處在良好的狀態(tài)環(huán)境；其二，要加強(qiáng)設(shè)備的維護(hù)保養(yǎng)工作，發(fā)現(xiàn)問題及時解決。

3結(jié)束語

隨著互聯(lián)網(wǎng)的日益普及，企業(yè)的信息安全呈現(xiàn)一種越來越復(fù)雜的趨勢。要提升對企業(yè)信息安全風(fēng)險的認(rèn)識，可通過建立規(guī)章制度、加強(qiáng)技術(shù)手段、加大宣傳教育力度等多方面來增強(qiáng)企業(yè)的抗風(fēng)險能力，保證網(wǎng)絡(luò)的保密性、完整性和可用性。

參考文獻(xiàn)

[1]吳昌倫，王毅剛，信息安全策略研究[M]，網(wǎng)絡(luò)安全技術(shù)與應(yīng)川，2003，75-78.

[2]王剛.關(guān)于企業(yè)信息安全風(fēng)險管理系統(tǒng)的研究[J].華北電力技術(shù)，2013，（09）：12-14.