摘 要：本文針對企業(yè)信息安全風險分析與控制這一課題，首先對企業(yè)信息安全風險進行了簡單的介紹，然后對企業(yè)信息安全風險進行了分析，最后對企業(yè)信息安全風險控制的措施進行了研究，希望能夠給相關(guān)從業(yè)人員的研究起到一定的參考作用。

關(guān)鍵詞：信息安全風險；控制；策略

1 企業(yè)信息安全風險概述

在企業(yè)的發(fā)展過程中，離不開信息。企業(yè)的信息主要包括以下四個部分：科研生產(chǎn)數(shù)據(jù)、發(fā)展規(guī)劃、合同、知識產(chǎn)權(quán)等。如果這些信息一旦出現(xiàn)泄露，那么對企業(yè)的損失是巨大的，甚至是無法挽回的。所謂的企業(yè)信息安全就是指信息在其生命周期中，他的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。如果想要自己企業(yè)的信息安全得到充分保障，那么就一定要充分重視這五個特性。因為一旦有一個特性被破壞，那么就會嚴重影響信息的安全性。而信息安全風險就是指信息在特定的環(huán)境與特定的時間里可能遭遇的安全威脅。

2 企業(yè)信息安全風險分析

2.1 信息安全風險防范意識薄弱

隨著市場經(jīng)濟的迅速發(fā)展，和市場競爭的日益激烈，很多企業(yè)都開始重視信息化建設(shè)。但是保證信息安全，除了要加強資金投入，更是要提高人們的信息安全防范意識。很多企業(yè)的領(lǐng)導(dǎo)者和員工都沒有充分認識到信息安全的重要性，將大量安全事件和案例當作故事，總覺得不會發(fā)生在自己身上，與自己無關(guān)。很多企業(yè)缺乏信息安全風險管理的制度建設(shè)，沒有出臺具體的制度，或者制度僅僅落在紙面上，沒有針對性，也沒有操作性，長年累月不進行更新和修改，造成很多情況下，員工不知道怎么應(yīng)對信息安全風險，出現(xiàn)問題也不知道如何化解和處理。

2.2 技術(shù)手段不能充分發(fā)揮

這些年很多企業(yè)有了一定的安全防范意識，也配備了一些信息安全設(shè)備，但是這些設(shè)備從安裝上就很少有人問津，設(shè)備的參數(shù)設(shè)置、策略設(shè)定都不合理，往往就采用一個默認設(shè)置，由于企業(yè)與企業(yè)之間有很大的不同，企業(yè)之間的信息安全風險也相差迥異，采用默認狀態(tài)無法照顧企業(yè)的真實情況，無法有效的加強信息安全風險管理。另外很多企業(yè)缺乏對安全設(shè)備以及運行日志的監(jiān)控，根本不去對日志進行分析，即使系統(tǒng)發(fā)現(xiàn)了問題，也沒人去研究問題，解決問題?？傊?，在企業(yè)信息安全風險管理中往往比較被動，缺乏主動防御的意識，而且對于大多數(shù)中小企業(yè)而言，面臨激烈的市場競爭，企業(yè)將主要精力和資金用于生產(chǎn)和銷售上，以期在短時間內(nèi)獲得可觀的利潤，在信息安全管理這種難以直接看到經(jīng)濟效益的問題上投入比較少，很多設(shè)備都老化了，線路都磨損嚴重，卻沒有得到及時更新和維護，留下了極大的隱患。

2.3 安全規(guī)定執(zhí)行不嚴謹

一些企業(yè)在實際工作制定了大量的安全管理規(guī)定，但是在實際工作中，大量業(yè)務(wù)系統(tǒng)的安全規(guī)定難以執(zhí)行，部分員工長期使用業(yè)務(wù)系統(tǒng)的初始口令、弱口令，有的員工隨意使用他人的業(yè)務(wù)系統(tǒng)賬號，使用完畢后也沒有及時關(guān)閉賬號，也不關(guān)電腦，外來人員很容易登陸電腦竊取企業(yè)機密文件，公司內(nèi)部也缺乏信息安全風險管理的意識，員工可以任意瀏覽、拷貝企業(yè)資料，而且也缺乏查殺病毒、木馬的意識。

3 企業(yè)信息安全風險控制的措施

3.1 加強基礎(chǔ)設(shè)施建設(shè)資金投入

企業(yè)要加強信息安全風險防范的資金投入，資金投入主要用于企業(yè)日常安全信息管理、技術(shù)人員的培訓(xùn)以及安全設(shè)備的購置等等，每年企業(yè)保證一定量的資金來對信息安全進行投入，投入的資金與企業(yè)規(guī)模、企業(yè)對信息安全的要求息息相關(guān)。應(yīng)定期對公司信息安全的薄弱環(huán)節(jié)進行評估，加強線路的維護和改造，更新防火墻和殺毒軟件等安全控制軟件，注重整體信息安全風險的控制。

3.2 提高個人信息安全意識

再好的安全設(shè)備都是人來操作的。作為企業(yè)員工都應(yīng)該充分認識到信息安全的重要性。企業(yè)應(yīng)積極向員工進行信息安全方面的宣傳，提高員工對信息安全的意識，并且認識到保證信息安全的重要性。每位員工尤其是網(wǎng)絡(luò)技術(shù)服務(wù)人員要管理好各種口令卡和賬號，對用戶的網(wǎng)絡(luò)操作行為和權(quán)限都要進行一定的控制，防止企業(yè)員工越權(quán)瀏覽、下載公司內(nèi)部信息，對于一些涉及企業(yè)機密的文件要及時進行加密，對文件訪問權(quán)限進行限制，預(yù)防非法訪問。同時還要對進入企業(yè)內(nèi)部的信息進行甄別篩選，防范病毒、木馬的入侵。要懂得如何對操作系統(tǒng)、應(yīng)用軟件進行更新和漏洞修補，從而保證計算機處在最優(yōu)的防護狀態(tài)，減少病毒入侵。

3.3 加強安全產(chǎn)品管理

企業(yè)信息安全產(chǎn)品往往來自多個制造商，需要多個工具和基礎(chǔ)結(jié)構(gòu)來進行管理、報告和分析。不同品牌、不同功能的信息安全設(shè)備被雜亂無章地堆疊在企業(yè)網(wǎng)絡(luò)中，不但兼容性差，還容易造成系統(tǒng)資源的浪費。正確地部署和配置這些復(fù)安全產(chǎn)品十分困難，需要大量時間進行測試和調(diào)整。另外，安全產(chǎn)品經(jīng)常會與現(xiàn)有業(yè)務(wù)系統(tǒng)的發(fā)生沖突，導(dǎo)致安全漏洞的產(chǎn)生和系統(tǒng)宕機。企業(yè)應(yīng)系統(tǒng)的考慮安全產(chǎn)品的選擇，搭建整體安全解決方案，在安全方案上線前，應(yīng)進行大量的測試，確保其與現(xiàn)有業(yè)務(wù)系統(tǒng)不發(fā)生沖突，對于發(fā)現(xiàn)的問題，應(yīng)及時與方案提供廠商進行溝通、調(diào)整，確保在企業(yè)業(yè)務(wù)系統(tǒng)正常運行的前提下，提高企業(yè)信息安全風險把控的能力。

結(jié)束語

隨著信息化的到來，一些企業(yè)的發(fā)展也越來越依賴信息化。但是信息化有利也有弊，在給企業(yè)帶來便利的同時也給企業(yè)帶來了信息方面的風險。隨著市場經(jīng)濟的競爭越來越激烈，信息安全上的威脅也越來越嚴重。所以每個企業(yè)都應(yīng)該充分認識到這一點，充分重視企業(yè)信息安全方面的問題，認真分析現(xiàn)在存在的問題并且采取有效的措施進行積極的預(yù)防和解決，從而更好的保證企業(yè)的信息安全。

參考文獻

[1]陳慧勤.企業(yè)信息安全風險管理的框架研究[J].2011（40）.

[2]惠志斌.企業(yè)IT風險管理的體系構(gòu)建與實現(xiàn)路徑[J].科技管理研究，2014（02）.

[3]葉銘.企業(yè)動態(tài)信息安全風險控制系統(tǒng)的研究[J].2012（11）.

[4]劉正紅.XML加密技術(shù)的研究與實現(xiàn)[J].長春大學(xué)學(xué)報，2007，17（06）.

作者簡介：倪冰，身份證號：320204198111052012。endprint