現代企業信息安全風險控制研究

張征

（中國移動通信集團廣東有限公司信息系統部，廣東 廣州 510000）

現代企業信息安全風險控制研究

張征

（中國移動通信集團廣東有限公司信息系統部，廣東 廣州 510000）

信息化建設是現代企業謀發展的重要著力點，但信息安全風險問題弱化了信息化的重要作用。本文從黑客攻擊、內部控制管理、應用系統安全等方面，分析了現代企業信息的安全風險，并在此基礎之上，闡述了企業信息安全風險的控制策略。本文旨在強化對企業信息安全風險的認識，并為企業構建信息安全防范體系提供一定的參考資料，深化現代企業信息化建設。

現代企業；信息安全；風險控制；策略

1 引言

信息時代的到來為企業的發展創造了新的模式，帶來發展的新機遇。但是，信息安全風險所到來的影響，也在一定程度上制約了企業的可持續發展。因此，企業在發展中一方面要充分利用信息資源，讓其成為企業發展的重要推動力；另一方面，要充分認識到信息安全風險的影響，有針對性地構建安全防范體系，提高信息的安全，這才是充分發揮其重要作用的前提。本文立足于對企業信息安全風險的認識，就企業如何強化信息安全建設提出了若干建議。

2 現代企業信息安全風險分析

信息是現代企業構建可持續發展戰略的重要資源，也是優化并調整企業發展模式的重要基礎。但是，企業信息安全風險也日益突出，成為制約企業信息化建設的重要因素。一方面，企業信息系統面臨來自網絡的安全威脅，如黑客攻擊、木馬入侵等，影響了企業信息系統的正常運行；另一方面，企業信息安全防范意識薄弱，內部管理工作落實不到位，導致企業信息系統處于危險環境之中。

2.1 黑客攻擊、木馬入侵

開放的網絡環境之下，企業信息安全普遍存在病毒入侵的威脅。在利益的驅使之下，黑客通過對企業的網站進行攻擊，對企業信息系統的安全運行造成最直接的威脅。如，2014年11月24日，黑客組織“和平衛士”（Guardians of Peace）公布索尼影業員工電郵，涉及公司高管薪酬和索尼非發行電影拷貝等內容，對索尼影業的發展造成極大的影響。在黑客攻擊的過程中，其所采用的入侵方式多樣化，但以SQL注入的方式最具危害性，具體如圖1所示。SQL注入旨在通過外部接口把用戶數據插入到實際的數據操作語言當中。這樣一來，不僅可以實現對用戶信息的入侵和操作，而且通過數據庫將木馬植入到企業的信息網站之中。因此，SQL注入攻擊的危害性大，且可以繞過計算機的防火墻系統，對企業信息安全帶來極大的影響，不利于企業信息安全的構建。

圖1 “SQL注入”攻擊

2.2 內部控制不到位

信息時代的到來，給現代企業的發展注入了新的發展元素，強化信息化建設成為企業內部控制管理的重要內容。但是，企業具有趨利的天性，強調經濟效益為導向下的企業發展模式，進而對信息安全建設落實不到位。首先，企業缺乏信息安全防范意識，主觀能動性相對比較欠缺；其次，企業信息安全宣傳教育工作疏于開展，導致企業職工在網絡操作中，出現不規范的違法行為，進而為黑客及病毒的攻擊創造了機會；再次，企業缺乏信息安全風險管理制度的建立，導致信息風險管理流于形式，無法滿足企業信息安全發展的需求。

2.3 應用系統安全性不高

企業信息化建設的實現，依托于各種應用系統的有效應用。但應用系統安全性不高等問題，在很大程度上影響了企業的信息安全。一方面，應用系統設計本身存在不足或安全漏洞，如數據傳輸、存儲采用明文的方式。這樣一來，數據極易被惡意軟件、木馬所竊取，實現非法訪問，進而造成企業信息丟失或泄露等安全風險；另一方面，企業應用系統的安全防范模式相對比較單一，通過“口令”的認證模式，難以構建完備的安全防范。并且，企業職工在密碼設置上，過于簡單，且操作行為不規范，這也造成應用系統安全風險增加的重要因素。

3 企業信息安全風險的控制策略

企業信息安全風險的控制，關鍵在于如何營造安全的信息環境、強化安全技術體系的構建，以及風險控制的制度建設，從本質上優化企業信息安全的內外環境。因此，企業可著力于以下幾個方面，優化與調整企業信息風險控制的有效性。

3.1 注重信息安全建設，設置安全管理機構

信息安全是企業信息化建設的重要基礎，注重信息安全建設的狠抓落實，是企業強化內部控制管理的必然需求。當前，企業疏于信息安全管理工作的落實，導致企業所處于的信息環境“危機四伏”。因此，首先，企業應加信息安全納入到安全管理之中，夯實信息安全建設管理的重要地位。其次，建立健全的安全責任制度，并逐步形成聯動的信息安全管理機制，提高信息安全管理的有效性；再次，設置安全管理機構，負責企業信息安全的建設、管理，以及信息安全人員的教育培訓等工作，為企業信息安全風險的控制創造良好的內部環境。

3.2 強化防火墻設計，提高信息安全防范能力

當前，黑客攻擊、木馬入侵等在很大程度上增加了企業信息安全風險，不利于企業信息化建設的推進。因此，強化防火墻設計是提高企業信息安全防范能力的重要舉措。一些企業在信息安全設備的應用過程中，存在不規范、錯誤使用的問題。不同功能、品牌的安全設備由于兼容性差，導致安全設備的安全防范能力下降。這就強調，企業在安全防范體系的構建中，要注重科學合理原則，針對企業信息安全建設的需求，做到體系的完備性與安全性。例如，企業在信息安全風險防范體系的構建中，可以引入終端安全管理系統。在這方面，殺毒軟件公司瑞星是典型的案例。瑞星公司在其終端安全管理體系的構建中，使用了“統一系統平臺+獨立功能模塊”的設計理念，具體如圖2所示。這樣一來，不僅提高了企業信息安全防范體系的構建，而且優化了企業信息系統運行的環境。

3.3 提高信息安全意識，規范操作行為

良好的主觀能動性是提高企業信息安全風險控制的重要基礎。首先，企業要強化安全管理人員的安全意識，規范并引導其管理工作的有效落實。尤其是在管理工作中，嚴格依照相關的規章制度進行，避免人為管理或操作不當，而造成信息安全問題；其次，積極推進企業安全文化建設，為信息安全風險控制的落實創造良好的內部環境。企業職工認識到信息安全的重要性，潛移默化中規范并引導職工規范信息操作；再次，做好信息設備的維護與保護等工作。一方面，要對企業的電腦等設備進行防雷、防磁等保護，讓機械設備處于良好的環境下運行；另一方面，不定期開展設備維護工作，以便于及時發現問題、解決問題。

圖2 終端安全管理系統

4 結束語

綜上所述，現代企業信息安全風險是多方因素綜合作用的結果，但無論是外部的黑客攻擊、木馬入侵，還是內部的控制管理不到位，都強調企業要重視信息安全防范體系的構建，確保信息成為企業發展的重要資源。因此，一方面要注重信息安全建設，建立健全相應的管理制度；另一方面，要強化信息安全的教育與培訓，并構建完備的安全防范體系，確保企業信息系統的安全。

[1]張建業．電網企業信息安全風險管理研究[J]．中國電力教育，2013，(26)：102-104．

[2]陽玉明．供電企業信息安全風險及應對措施分析[J]．電源技術應用，2013，(09)：22-24．

[3]吳樹強．電力企業信息安全風險研究[J]．科學時代，2012，(13)：67．

[4]任偉．鋼鐵企業信息安全風險系統管理研究[J]．山西冶金，2008，(04)：28-29．

[5]王剛．關于企業信息安全風險管理系統的研究[J]．華北電力技術，2013，(09)：12-14．

[6]D．Treck，Security policy conceptual modeling and formalization for networked information system[J]．Computer Communication，2000，Volume23：63-64．

Study on the Control of Modern Enterprise Information Security Risk

Zhang Zheng
(China Mobile Group Guangdong Co.,Guangzhou 510000,Guangdong)

Informatization construction is an important focal point of the modern enterprise development,while the problem of information security risk weakens the important role of information technology.From the hacker attack,the internal control management,application system security and other aspects,this article analyzes the information security risk in modern enterprises,and on this basis,expounds the control strategy.This paper aims to strengthen the understanding of enterprise information security risk,and provide certain references for enterprise to construct the information security system,deepening the informationzation construction of modern enterprises.

modern enterprise;information security;risk control;strategy

TP309

A

：1008-66609(2015)04-0074-03

作者信息：張征，男，湖北荊門人，本科，高級工程師，研究方向：信息安全。