中國電信西安分公司 韓 媛

本文首先分析了通信企業(yè)IT系統(tǒng)的運行風險，包括網(wǎng)絡運行中的風險問題、客戶信息風險問題、內(nèi)部管理方面的風險等，隨后文章介紹了通信企業(yè)IT系統(tǒng)的風險控制體系，包括IT系統(tǒng)脆弱性評估、IT系統(tǒng)的安全保護項目以及應急預案的建立等，最后文章提出了提高通信企業(yè)中IT系統(tǒng)風險控制能力的策略，包括加強數(shù)據(jù)信息系統(tǒng)的安全控制、提高IT系統(tǒng)的風險管理能力、健全防護體系等措施，希望能給相關(guān)人士提供一些參考。

一、引言

隨著科技的發(fā)展我國逐漸迎來了信息時代，信息技術(shù)的成熟，使其逐漸成為我國各個行業(yè)領(lǐng)域中的必不可少的管理技術(shù)。同時信息技術(shù)已經(jīng)成為當今時代衡量一個企業(yè)發(fā)展實力的重要標準，能夠體現(xiàn)出一個企業(yè)的綜合實力。但我們在使用信息技術(shù)來進行管理的過程中同樣會遇到各種各樣的風險問題，從而給企業(yè)帶來發(fā)展危機，本文就此分析了通信企業(yè)運行過程中IT系統(tǒng)法風險控制問題，并提出了具體的解決措施。

二、通信企業(yè)IT系統(tǒng)的運行風險

（一）網(wǎng)絡運行中的風險問題

首先是日志記錄方面的風險問題，在一些IT系統(tǒng)可能還沒有開啟或是根本不具備日志功能，從而導致核心IT系統(tǒng)中沒有完整的日志記錄，同時也沒有對控制機制進行定期的收集歸檔整理，同時IT系統(tǒng)中的部分日志信息記錄也不夠完善，從而沒有辦法對客戶一些重要數(shù)據(jù)信息進行全面的審核，從而對于一些沒有經(jīng)過授權(quán)的訪問行為進行科學的審核，為通信企業(yè)的發(fā)展帶來一定的影響。

其次就是IT系統(tǒng)硬件方面的故障問題而導致的運行風險，外在的硬件風險問題主要可以體現(xiàn)在以下幾個方面，網(wǎng)絡機房的設計問題、網(wǎng)絡機房在安裝過程中不能滿足相關(guān)的安全運行標準、企業(yè)中供電系統(tǒng)的問以及不夠充足的后備電源導致通信企業(yè)業(yè)務中斷的問題。硬件設備中的內(nèi)在風險問題主要表現(xiàn)在設備的超期服役、設備老化、基礎不良以及設備自身的斷線、短路等問題而產(chǎn)生的運行風險。

最后是系統(tǒng)接口處的風險問題，在一些IT系統(tǒng)中存在數(shù)據(jù)傳輸方面的安全隱患，這種問題主要是接口處的問題所導致的，從而讓網(wǎng)絡中的第三方可以在沒有經(jīng)過授權(quán)的問題下直接通過系統(tǒng)接口，利用通信企業(yè)中安全防護系統(tǒng)的漏洞或是弱口令方面的不當對IT系統(tǒng)進行非授權(quán)訪問或是實施攻擊，接口問題也是企業(yè)中IT系統(tǒng)維護人員和技術(shù)人員容易出現(xiàn)疏漏的地方，一旦對方的非法攻擊成功，將會形成無法挽回的后果。

（二）客戶信息風險問題

首先是客戶信息泄露方面的問題，通信企業(yè)中的職員一般會將客戶信息無意或有意地泄露給社會中的外界人員，從而出現(xiàn)客戶隱私泄露的問題，此外，客戶的個人隱私也可能會被社會中一些不法分子利用，對客戶個人利益造成一定的影響，嚴重影響社會秩序。

其次就是濫用客戶信息的問題，通信企業(yè)沒有根據(jù)具體規(guī)定來合理使用客戶信息，從而導致客戶的部分信息被應用到啟發(fā)其它方面，引起法律方面的糾紛問題或是引發(fā)客戶的投訴，影響公司的信譽問題。

（三）內(nèi)部管理方面的風險

首先是審批管理方面的風險問題，一些重要信息在操作過程中缺少充分的參考依據(jù)，從而導致業(yè)務處理流程不符合相關(guān)的規(guī)范要求，同時在管理層中的審批過程中也缺少科學的管控，致使各種違規(guī)操作現(xiàn)象頻發(fā)，增加了企業(yè)的運行風險。

其次是職責分工方面的風險問題，IT系統(tǒng)的運行操作一般都是由一個人來兼顧多樣運行系統(tǒng)的，包括管理數(shù)據(jù)庫和操作系統(tǒng)等，從而導致在職責分工方面存在一定的沖突。將多個層面的任務同時授權(quán)給同一個人進行管理，會使個人權(quán)利過大，能夠?qū)T系統(tǒng)進行各種操作，同時還可以讓管理人員利用數(shù)據(jù)庫權(quán)限和操作系統(tǒng)對應用系統(tǒng)中的操作記錄進行任意的修改，增加了相關(guān)管理人員職權(quán)濫用的風險。

三、通信企業(yè)IT系統(tǒng)的風險控制體系

（一）IT系統(tǒng)脆弱性評估

IT系統(tǒng)脆弱性評估主要包括四項內(nèi)容，一是評估網(wǎng)通信網(wǎng)絡是否安全。從而保證通信系統(tǒng)和網(wǎng)絡可以免遭內(nèi)外攻擊，避免由于網(wǎng)絡通信網(wǎng)絡問題所引發(fā)的風險問題。二是對企業(yè)中的運行系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行安全評估。在評估數(shù)據(jù)庫時應該使用人工測試和設備掃描想相結(jié)合的方式，主要評價內(nèi)容為訪問時限、帳號管理、權(quán)限設置、并發(fā)時間以及存儲過程等內(nèi)容。三是對企業(yè)中的應用數(shù)據(jù)進行科學評估，分別是評估數(shù)據(jù)信息的保密性，IT系統(tǒng)中的數(shù)據(jù)信息需要進行分級保護，對關(guān)鍵數(shù)據(jù)要通過加密措施進行科學保護，同時對訪問主體進行嚴格的控制，并建立起完善的授權(quán)體系。其次是數(shù)據(jù)信息的完整性，需要通過常規(guī)的黑客技術(shù)來模擬檢測目標客戶系統(tǒng)的安全性，從而找到系統(tǒng)中的漏洞和技術(shù)缺陷，并進行全面的分析。最后是數(shù)據(jù)信息的有效性，建立能夠檢驗數(shù)據(jù)信息完整性的檢驗機制，從而防止數(shù)據(jù)信息被任意篡改。

（二）IT系統(tǒng)的安全保護項目

在檢測完IT系統(tǒng)脆弱性后可以根據(jù)企業(yè)中的IT系統(tǒng)來明確系統(tǒng)保護項目，其中主要有訪問保護、軟件和硬件保護以及管理流程控制等內(nèi)容。訪問保護從廣義方面來看，就是對節(jié)點安全、網(wǎng)絡接口、網(wǎng)絡鎖定和網(wǎng)絡監(jiān)測、網(wǎng)絡服務器以及網(wǎng)絡授權(quán)、進網(wǎng)訪問等進行全面的監(jiān)控。硬件保護就是讓網(wǎng)絡交換、系統(tǒng)終端和服務器等硬件設施免受人為和自然的破壞。軟件保護就是防止IT系統(tǒng)被人非法進行控制，從而降低使用性能。流程管理控制需要根據(jù)評估結(jié)果建立科學完善的內(nèi)部管理制度，同時根據(jù)企業(yè)實際發(fā)展情況對IT系統(tǒng)中的管理漏洞進行詳細的修補和完善。

（三）應急預案的建立

理論上我們是無法將IT系統(tǒng)中所有運行風險全部消除的，為此就需要建立相應的應急預案來進行完善，IT系統(tǒng)方面的應急預案包括各種風險問題出現(xiàn)后促進IT系統(tǒng)恢復關(guān)鍵服務的活動[1]。比如在業(yè)務連續(xù)規(guī)劃遭到系統(tǒng)中斷或破壞后支持IT系統(tǒng)的功能，業(yè)務處理方面的恢復，為核心系統(tǒng)的長期運行能力提供基礎的保障。災難性恢復規(guī)劃方案主要是應用在各種災難性事件發(fā)生后，設備無法進行正常訪問的過程中。

四、通信企業(yè)IT系統(tǒng)的風險控制策略

（一）加強數(shù)據(jù)信息的安全控制

通信企業(yè)中數(shù)據(jù)信息的風險控制主要可以從三個方面入手，一是信息存儲方面的安全性，在這一過程中可以通過科學的加密技術(shù)有效處理數(shù)據(jù)庫中的各種數(shù)據(jù)信息，同時在數(shù)據(jù)產(chǎn)生源頭入手來建立完善的安全防護系統(tǒng)。二是標識安全，在這一過程中可以利用標識技術(shù)來標注區(qū)分各種數(shù)據(jù)信息，經(jīng)過審計之后，可以加強IT系統(tǒng)和標識之間的聯(lián)系性，如此能夠有效避免信息篡改的問題。三是網(wǎng)絡訪問的安全性，在這一過程中可以通過強制性的訪問控制來進行管理，從而限制訪問主體[2]。比如部分非管理員權(quán)限的數(shù)據(jù)信息只能進行讀取但是不能進行重新修改或是打印，至于部分關(guān)鍵信息可以設置無權(quán)觀看。要想提高信息的安全性，需要有效控制應用安全，通過分析IT系統(tǒng)中的需求設計指導安全運行保障。同時還需要對IT系統(tǒng)進行定期的滲透檢測，假如企業(yè)中具備先進的技術(shù)條件，還可以利用源代碼來分析IT系統(tǒng)中的安全風險，細致查找各種系統(tǒng)樓多功能，一旦發(fā)現(xiàn)就立即實施修復操作，從而促進IT系統(tǒng)安全防控性能的不斷提高。

（二）提高IT系統(tǒng)的風險管理能力

通信企業(yè)中的IT設計隊伍可以利用一系列科學方法來改善IT系統(tǒng)的風險管理能力，同時提高企業(yè)內(nèi)部控制的整體效率，讓企業(yè)中的內(nèi)部管理流程更具實用性和完備性，為企業(yè)發(fā)展提供基礎的安全保障。IT系統(tǒng)的審計效能主要可以體現(xiàn)在對治理機制的貢獻上[3]。IT系統(tǒng)利用科學的IT管理系統(tǒng)，將技術(shù)平臺、管理架構(gòu)、運維成本、績效考核、管控制度以及管理流程的維護進行有效的融合。隨后在結(jié)合IT系統(tǒng)來進行系統(tǒng)運維管理工作，從而將系統(tǒng)中被動解決、服務質(zhì)量、效率低下、溝通不暢等問題進行有效的解決，提高通信企業(yè)的應用服務意識。IT審計方法包括風險識別、安全測試、問題追溯等，風險識別包括剩余風險評價、內(nèi)部控制測試、固有風險評價、風險識別等。安全測試主要有信息技術(shù)測試、數(shù)據(jù)庫測試、應用測試、流量探查、漏洞掃描等方法。而問題追溯實際上就是根據(jù)已有案例的發(fā)生特征，對IT系統(tǒng)日志進行詳細的分析對比工作，從而找出相應的解決方案，或是從已有線索入手，根據(jù)具體的風險特征，找出有效的風險控制策略。

（三）健全防護體系

攻和防、矛和盾、惡與正存在于各個方面，同時不會隨著時間的發(fā)展而消失。同時IT系統(tǒng)是風險防控也是一樣，要想徹底防止IT系統(tǒng)中的非法入侵問題，需要健全IT系統(tǒng)的風險防護體系。同時通信企業(yè)應該培養(yǎng)一支維護隊伍，從而讓維護人員不斷學習新技術(shù)，了解黑客的攻擊手段，同時不斷完善企業(yè)IT系統(tǒng)中的防護系統(tǒng)，只有從攻擊者的角度進行考慮才能更好地建立防護系統(tǒng)，提高信息系統(tǒng)的防護能力，杜絕信息篡改和信息偷竊等問題的發(fā)生。要想提高通信企業(yè)中IT系統(tǒng)的管理能力，需要對IT系統(tǒng)進行專項檢查，通過制定完善的管理規(guī)范來進行日常管理，同時還要，明確定義IT系統(tǒng)中的各項管理細節(jié)，如此才能讓信息系統(tǒng)的日常管理更加規(guī)范化和明確化，加強專項檢查，從而促進IT系統(tǒng)管理能力的不斷提高。企業(yè)還需要定時整理內(nèi)部各種信息資源，從而建立起完善的應急備災系統(tǒng)，對企業(yè)的應急備災能力進行定時檢查，建立信息丟失查詢系統(tǒng)，讓丟失信息能夠及時進行備份恢復。

四、結(jié)語

綜上所述，通信企業(yè)和傳統(tǒng)企業(yè)相比在運行發(fā)展方面具有較大的差距，主要是以知識密集型的產(chǎn)業(yè)為主，因此對IT系統(tǒng)具有較高的依賴性，主要特征就是信息和知識，因此需要將信息技術(shù)作為發(fā)展的基礎支撐。這種行業(yè)屬性決定了通信企業(yè)需要加強對IT系統(tǒng)的重視，從而更好地利用IT系統(tǒng)進行風險控制，從而促進企業(yè)的平穩(wěn)發(fā)展。