中國(guó)電信西安分公司 韓 媛

本文首先分析了通信企業(yè)IT系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)運(yùn)行中的風(fēng)險(xiǎn)問(wèn)題、客戶(hù)信息風(fēng)險(xiǎn)問(wèn)題、內(nèi)部管理方面的風(fēng)險(xiǎn)等，隨后文章介紹了通信企業(yè)IT系統(tǒng)的風(fēng)險(xiǎn)控制體系，包括IT系統(tǒng)脆弱性評(píng)估、IT系統(tǒng)的安全保護(hù)項(xiàng)目以及應(yīng)急預(yù)案的建立等，最后文章提出了提高通信企業(yè)中IT系統(tǒng)風(fēng)險(xiǎn)控制能力的策略，包括加強(qiáng)數(shù)據(jù)信息系統(tǒng)的安全控制、提高IT系統(tǒng)的風(fēng)險(xiǎn)管理能力、健全防護(hù)體系等措施，希望能給相關(guān)人士提供一些參考。

一、引言

隨著科技的發(fā)展我國(guó)逐漸迎來(lái)了信息時(shí)代，信息技術(shù)的成熟，使其逐漸成為我國(guó)各個(gè)行業(yè)領(lǐng)域中的必不可少的管理技術(shù)。同時(shí)信息技術(shù)已經(jīng)成為當(dāng)今時(shí)代衡量一個(gè)企業(yè)發(fā)展實(shí)力的重要標(biāo)準(zhǔn)，能夠體現(xiàn)出一個(gè)企業(yè)的綜合實(shí)力。但我們?cè)谑褂眯畔⒓夹g(shù)來(lái)進(jìn)行管理的過(guò)程中同樣會(huì)遇到各種各樣的風(fēng)險(xiǎn)問(wèn)題，從而給企業(yè)帶來(lái)發(fā)展危機(jī)，本文就此分析了通信企業(yè)運(yùn)行過(guò)程中IT系統(tǒng)法風(fēng)險(xiǎn)控制問(wèn)題，并提出了具體的解決措施。

二、通信企業(yè)IT系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)

（一）網(wǎng)絡(luò)運(yùn)行中的風(fēng)險(xiǎn)問(wèn)題

首先是日志記錄方面的風(fēng)險(xiǎn)問(wèn)題，在一些IT系統(tǒng)可能還沒(méi)有開(kāi)啟或是根本不具備日志功能，從而導(dǎo)致核心IT系統(tǒng)中沒(méi)有完整的日志記錄，同時(shí)也沒(méi)有對(duì)控制機(jī)制進(jìn)行定期的收集歸檔整理，同時(shí)IT系統(tǒng)中的部分日志信息記錄也不夠完善，從而沒(méi)有辦法對(duì)客戶(hù)一些重要數(shù)據(jù)信息進(jìn)行全面的審核，從而對(duì)于一些沒(méi)有經(jīng)過(guò)授權(quán)的訪問(wèn)行為進(jìn)行科學(xué)的審核，為通信企業(yè)的發(fā)展帶來(lái)一定的影響。

其次就是IT系統(tǒng)硬件方面的故障問(wèn)題而導(dǎo)致的運(yùn)行風(fēng)險(xiǎn)，外在的硬件風(fēng)險(xiǎn)問(wèn)題主要可以體現(xiàn)在以下幾個(gè)方面，網(wǎng)絡(luò)機(jī)房的設(shè)計(jì)問(wèn)題、網(wǎng)絡(luò)機(jī)房在安裝過(guò)程中不能滿足相關(guān)的安全運(yùn)行標(biāo)準(zhǔn)、企業(yè)中供電系統(tǒng)的問(wèn)以及不夠充足的后備電源導(dǎo)致通信企業(yè)業(yè)務(wù)中斷的問(wèn)題。硬件設(shè)備中的內(nèi)在風(fēng)險(xiǎn)問(wèn)題主要表現(xiàn)在設(shè)備的超期服役、設(shè)備老化、基礎(chǔ)不良以及設(shè)備自身的斷線、短路等問(wèn)題而產(chǎn)生的運(yùn)行風(fēng)險(xiǎn)。

最后是系統(tǒng)接口處的風(fēng)險(xiǎn)問(wèn)題，在一些IT系統(tǒng)中存在數(shù)據(jù)傳輸方面的安全隱患，這種問(wèn)題主要是接口處的問(wèn)題所導(dǎo)致的，從而讓網(wǎng)絡(luò)中的第三方可以在沒(méi)有經(jīng)過(guò)授權(quán)的問(wèn)題下直接通過(guò)系統(tǒng)接口，利用通信企業(yè)中安全防護(hù)系統(tǒng)的漏洞或是弱口令方面的不當(dāng)對(duì)IT系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)或是實(shí)施攻擊，接口問(wèn)題也是企業(yè)中IT系統(tǒng)維護(hù)人員和技術(shù)人員容易出現(xiàn)疏漏的地方，一旦對(duì)方的非法攻擊成功，將會(huì)形成無(wú)法挽回的后果。

（二）客戶(hù)信息風(fēng)險(xiǎn)問(wèn)題

首先是客戶(hù)信息泄露方面的問(wèn)題，通信企業(yè)中的職員一般會(huì)將客戶(hù)信息無(wú)意或有意地泄露給社會(huì)中的外界人員，從而出現(xiàn)客戶(hù)隱私泄露的問(wèn)題，此外，客戶(hù)的個(gè)人隱私也可能會(huì)被社會(huì)中一些不法分子利用，對(duì)客戶(hù)個(gè)人利益造成一定的影響，嚴(yán)重影響社會(huì)秩序。

其次就是濫用客戶(hù)信息的問(wèn)題，通信企業(yè)沒(méi)有根據(jù)具體規(guī)定來(lái)合理使用客戶(hù)信息，從而導(dǎo)致客戶(hù)的部分信息被應(yīng)用到啟發(fā)其它方面，引起法律方面的糾紛問(wèn)題或是引發(fā)客戶(hù)的投訴，影響公司的信譽(yù)問(wèn)題。

（三）內(nèi)部管理方面的風(fēng)險(xiǎn)

首先是審批管理方面的風(fēng)險(xiǎn)問(wèn)題，一些重要信息在操作過(guò)程中缺少充分的參考依據(jù)，從而導(dǎo)致業(yè)務(wù)處理流程不符合相關(guān)的規(guī)范要求，同時(shí)在管理層中的審批過(guò)程中也缺少科學(xué)的管控，致使各種違規(guī)操作現(xiàn)象頻發(fā)，增加了企業(yè)的運(yùn)行風(fēng)險(xiǎn)。

其次是職責(zé)分工方面的風(fēng)險(xiǎn)問(wèn)題，IT系統(tǒng)的運(yùn)行操作一般都是由一個(gè)人來(lái)兼顧多樣運(yùn)行系統(tǒng)的，包括管理數(shù)據(jù)庫(kù)和操作系統(tǒng)等，從而導(dǎo)致在職責(zé)分工方面存在一定的沖突。將多個(gè)層面的任務(wù)同時(shí)授權(quán)給同一個(gè)人進(jìn)行管理，會(huì)使個(gè)人權(quán)利過(guò)大，能夠?qū)T系統(tǒng)進(jìn)行各種操作，同時(shí)還可以讓管理人員利用數(shù)據(jù)庫(kù)權(quán)限和操作系統(tǒng)對(duì)應(yīng)用系統(tǒng)中的操作記錄進(jìn)行任意的修改，增加了相關(guān)管理人員職權(quán)濫用的風(fēng)險(xiǎn)。

三、通信企業(yè)IT系統(tǒng)的風(fēng)險(xiǎn)控制體系

（一）IT系統(tǒng)脆弱性評(píng)估

IT系統(tǒng)脆弱性評(píng)估主要包括四項(xiàng)內(nèi)容，一是評(píng)估網(wǎng)通信網(wǎng)絡(luò)是否安全。從而保證通信系統(tǒng)和網(wǎng)絡(luò)可以免遭內(nèi)外攻擊，避免由于網(wǎng)絡(luò)通信網(wǎng)絡(luò)問(wèn)題所引發(fā)的風(fēng)險(xiǎn)問(wèn)題。二是對(duì)企業(yè)中的運(yùn)行系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全評(píng)估。在評(píng)估數(shù)據(jù)庫(kù)時(shí)應(yīng)該使用人工測(cè)試和設(shè)備掃描想相結(jié)合的方式，主要評(píng)價(jià)內(nèi)容為訪問(wèn)時(shí)限、帳號(hào)管理、權(quán)限設(shè)置、并發(fā)時(shí)間以及存儲(chǔ)過(guò)程等內(nèi)容。三是對(duì)企業(yè)中的應(yīng)用數(shù)據(jù)進(jìn)行科學(xué)評(píng)估，分別是評(píng)估數(shù)據(jù)信息的保密性，IT系統(tǒng)中的數(shù)據(jù)信息需要進(jìn)行分級(jí)保護(hù)，對(duì)關(guān)鍵數(shù)據(jù)要通過(guò)加密措施進(jìn)行科學(xué)保護(hù)，同時(shí)對(duì)訪問(wèn)主體進(jìn)行嚴(yán)格的控制，并建立起完善的授權(quán)體系。其次是數(shù)據(jù)信息的完整性，需要通過(guò)常規(guī)的黑客技術(shù)來(lái)模擬檢測(cè)目標(biāo)客戶(hù)系統(tǒng)的安全性，從而找到系統(tǒng)中的漏洞和技術(shù)缺陷，并進(jìn)行全面的分析。最后是數(shù)據(jù)信息的有效性，建立能夠檢驗(yàn)數(shù)據(jù)信息完整性的檢驗(yàn)機(jī)制，從而防止數(shù)據(jù)信息被任意篡改。

（二）IT系統(tǒng)的安全保護(hù)項(xiàng)目

在檢測(cè)完IT系統(tǒng)脆弱性后可以根據(jù)企業(yè)中的IT系統(tǒng)來(lái)明確系統(tǒng)保護(hù)項(xiàng)目，其中主要有訪問(wèn)保護(hù)、軟件和硬件保護(hù)以及管理流程控制等內(nèi)容。訪問(wèn)保護(hù)從廣義方面來(lái)看，就是對(duì)節(jié)點(diǎn)安全、網(wǎng)絡(luò)接口、網(wǎng)絡(luò)鎖定和網(wǎng)絡(luò)監(jiān)測(cè)、網(wǎng)絡(luò)服務(wù)器以及網(wǎng)絡(luò)授權(quán)、進(jìn)網(wǎng)訪問(wèn)等進(jìn)行全面的監(jiān)控。硬件保護(hù)就是讓網(wǎng)絡(luò)交換、系統(tǒng)終端和服務(wù)器等硬件設(shè)施免受人為和自然的破壞。軟件保護(hù)就是防止IT系統(tǒng)被人非法進(jìn)行控制，從而降低使用性能。流程管理控制需要根據(jù)評(píng)估結(jié)果建立科學(xué)完善的內(nèi)部管理制度，同時(shí)根據(jù)企業(yè)實(shí)際發(fā)展情況對(duì)IT系統(tǒng)中的管理漏洞進(jìn)行詳細(xì)的修補(bǔ)和完善。

（三）應(yīng)急預(yù)案的建立

理論上我們是無(wú)法將IT系統(tǒng)中所有運(yùn)行風(fēng)險(xiǎn)全部消除的，為此就需要建立相應(yīng)的應(yīng)急預(yù)案來(lái)進(jìn)行完善，IT系統(tǒng)方面的應(yīng)急預(yù)案包括各種風(fēng)險(xiǎn)問(wèn)題出現(xiàn)后促進(jìn)IT系統(tǒng)恢復(fù)關(guān)鍵服務(wù)的活動(dòng)[1]。比如在業(yè)務(wù)連續(xù)規(guī)劃遭到系統(tǒng)中斷或破壞后支持IT系統(tǒng)的功能，業(yè)務(wù)處理方面的恢復(fù)，為核心系統(tǒng)的長(zhǎng)期運(yùn)行能力提供基礎(chǔ)的保障。災(zāi)難性恢復(fù)規(guī)劃方案主要是應(yīng)用在各種災(zāi)難性事件發(fā)生后，設(shè)備無(wú)法進(jìn)行正常訪問(wèn)的過(guò)程中。

四、通信企業(yè)IT系統(tǒng)的風(fēng)險(xiǎn)控制策略

（一）加強(qiáng)數(shù)據(jù)信息的安全控制

通信企業(yè)中數(shù)據(jù)信息的風(fēng)險(xiǎn)控制主要可以從三個(gè)方面入手，一是信息存儲(chǔ)方面的安全性，在這一過(guò)程中可以通過(guò)科學(xué)的加密技術(shù)有效處理數(shù)據(jù)庫(kù)中的各種數(shù)據(jù)信息，同時(shí)在數(shù)據(jù)產(chǎn)生源頭入手來(lái)建立完善的安全防護(hù)系統(tǒng)。二是標(biāo)識(shí)安全，在這一過(guò)程中可以利用標(biāo)識(shí)技術(shù)來(lái)標(biāo)注區(qū)分各種數(shù)據(jù)信息，經(jīng)過(guò)審計(jì)之后，可以加強(qiáng)IT系統(tǒng)和標(biāo)識(shí)之間的聯(lián)系性，如此能夠有效避免信息篡改的問(wèn)題。三是網(wǎng)絡(luò)訪問(wèn)的安全性，在這一過(guò)程中可以通過(guò)強(qiáng)制性的訪問(wèn)控制來(lái)進(jìn)行管理，從而限制訪問(wèn)主體[2]。比如部分非管理員權(quán)限的數(shù)據(jù)信息只能進(jìn)行讀取但是不能進(jìn)行重新修改或是打印，至于部分關(guān)鍵信息可以設(shè)置無(wú)權(quán)觀看。要想提高信息的安全性，需要有效控制應(yīng)用安全，通過(guò)分析IT系統(tǒng)中的需求設(shè)計(jì)指導(dǎo)安全運(yùn)行保障。同時(shí)還需要對(duì)IT系統(tǒng)進(jìn)行定期的滲透檢測(cè)，假如企業(yè)中具備先進(jìn)的技術(shù)條件，還可以利用源代碼來(lái)分析IT系統(tǒng)中的安全風(fēng)險(xiǎn)，細(xì)致查找各種系統(tǒng)樓多功能，一旦發(fā)現(xiàn)就立即實(shí)施修復(fù)操作，從而促進(jìn)IT系統(tǒng)安全防控性能的不斷提高。

（二）提高IT系統(tǒng)的風(fēng)險(xiǎn)管理能力

通信企業(yè)中的IT設(shè)計(jì)隊(duì)伍可以利用一系列科學(xué)方法來(lái)改善IT系統(tǒng)的風(fēng)險(xiǎn)管理能力，同時(shí)提高企業(yè)內(nèi)部控制的整體效率，讓企業(yè)中的內(nèi)部管理流程更具實(shí)用性和完備性，為企業(yè)發(fā)展提供基礎(chǔ)的安全保障。IT系統(tǒng)的審計(jì)效能主要可以體現(xiàn)在對(duì)治理機(jī)制的貢獻(xiàn)上[3]。IT系統(tǒng)利用科學(xué)的IT管理系統(tǒng)，將技術(shù)平臺(tái)、管理架構(gòu)、運(yùn)維成本、績(jī)效考核、管控制度以及管理流程的維護(hù)進(jìn)行有效的融合。隨后在結(jié)合IT系統(tǒng)來(lái)進(jìn)行系統(tǒng)運(yùn)維管理工作，從而將系統(tǒng)中被動(dòng)解決、服務(wù)質(zhì)量、效率低下、溝通不暢等問(wèn)題進(jìn)行有效的解決，提高通信企業(yè)的應(yīng)用服務(wù)意識(shí)。IT審計(jì)方法包括風(fēng)險(xiǎn)識(shí)別、安全測(cè)試、問(wèn)題追溯等，風(fēng)險(xiǎn)識(shí)別包括剩余風(fēng)險(xiǎn)評(píng)價(jià)、內(nèi)部控制測(cè)試、固有風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)識(shí)別等。安全測(cè)試主要有信息技術(shù)測(cè)試、數(shù)據(jù)庫(kù)測(cè)試、應(yīng)用測(cè)試、流量探查、漏洞掃描等方法。而問(wèn)題追溯實(shí)際上就是根據(jù)已有案例的發(fā)生特征，對(duì)IT系統(tǒng)日志進(jìn)行詳細(xì)的分析對(duì)比工作，從而找出相應(yīng)的解決方案，或是從已有線索入手，根據(jù)具體的風(fēng)險(xiǎn)特征，找出有效的風(fēng)險(xiǎn)控制策略。

（三）健全防護(hù)體系

攻和防、矛和盾、惡與正存在于各個(gè)方面，同時(shí)不會(huì)隨著時(shí)間的發(fā)展而消失。同時(shí)IT系統(tǒng)是風(fēng)險(xiǎn)防控也是一樣，要想徹底防止IT系統(tǒng)中的非法入侵問(wèn)題，需要健全I(xiàn)T系統(tǒng)的風(fēng)險(xiǎn)防護(hù)體系。同時(shí)通信企業(yè)應(yīng)該培養(yǎng)一支維護(hù)隊(duì)伍，從而讓維護(hù)人員不斷學(xué)習(xí)新技術(shù)，了解黑客的攻擊手段，同時(shí)不斷完善企業(yè)IT系統(tǒng)中的防護(hù)系統(tǒng)，只有從攻擊者的角度進(jìn)行考慮才能更好地建立防護(hù)系統(tǒng)，提高信息系統(tǒng)的防護(hù)能力，杜絕信息篡改和信息偷竊等問(wèn)題的發(fā)生。要想提高通信企業(yè)中IT系統(tǒng)的管理能力，需要對(duì)IT系統(tǒng)進(jìn)行專(zhuān)項(xiàng)檢查，通過(guò)制定完善的管理規(guī)范來(lái)進(jìn)行日常管理，同時(shí)還要，明確定義IT系統(tǒng)中的各項(xiàng)管理細(xì)節(jié)，如此才能讓信息系統(tǒng)的日常管理更加規(guī)范化和明確化，加強(qiáng)專(zhuān)項(xiàng)檢查，從而促進(jìn)IT系統(tǒng)管理能力的不斷提高。企業(yè)還需要定時(shí)整理內(nèi)部各種信息資源，從而建立起完善的應(yīng)急備災(zāi)系統(tǒng)，對(duì)企業(yè)的應(yīng)急備災(zāi)能力進(jìn)行定時(shí)檢查，建立信息丟失查詢(xún)系統(tǒng)，讓丟失信息能夠及時(shí)進(jìn)行備份恢復(fù)。

四、結(jié)語(yǔ)

綜上所述，通信企業(yè)和傳統(tǒng)企業(yè)相比在運(yùn)行發(fā)展方面具有較大的差距，主要是以知識(shí)密集型的產(chǎn)業(yè)為主，因此對(duì)IT系統(tǒng)具有較高的依賴(lài)性，主要特征就是信息和知識(shí)，因此需要將信息技術(shù)作為發(fā)展的基礎(chǔ)支撐。這種行業(yè)屬性決定了通信企業(yè)需要加強(qiáng)對(duì)IT系統(tǒng)的重視，從而更好地利用IT系統(tǒng)進(jìn)行風(fēng)險(xiǎn)控制，從而促進(jìn)企業(yè)的平穩(wěn)發(fā)展。