試論通信企業IT系統風險控制策略

中國電信西安分公司 韓 媛

本文首先分析了通信企業IT系統的運行風險，包括網絡運行中的風險問題、客戶信息風險問題、內部管理方面的風險等，隨后文章介紹了通信企業IT系統的風險控制體系，包括IT系統脆弱性評估、IT系統的安全保護項目以及應急預案的建立等，最后文章提出了提高通信企業中IT系統風險控制能力的策略，包括加強數據信息系統的安全控制、提高IT系統的風險管理能力、健全防護體系等措施，希望能給相關人士提供一些參考。

一、引言

隨著科技的發展我國逐漸迎來了信息時代，信息技術的成熟，使其逐漸成為我國各個行業領域中的必不可少的管理技術。同時信息技術已經成為當今時代衡量一個企業發展實力的重要標準，能夠體現出一個企業的綜合實力。但我們在使用信息技術來進行管理的過程中同樣會遇到各種各樣的風險問題，從而給企業帶來發展危機，本文就此分析了通信企業運行過程中IT系統法風險控制問題，并提出了具體的解決措施。

二、通信企業IT系統的運行風險

（一）網絡運行中的風險問題

首先是日志記錄方面的風險問題，在一些IT系統可能還沒有開啟或是根本不具備日志功能，從而導致核心IT系統中沒有完整的日志記錄，同時也沒有對控制機制進行定期的收集歸檔整理，同時IT系統中的部分日志信息記錄也不夠完善，從而沒有辦法對客戶一些重要數據信息進行全面的審核，從而對于一些沒有經過授權的訪問行為進行科學的審核，為通信企業的發展帶來一定的影響。

其次就是IT系統硬件方面的故障問題而導致的運行風險，外在的硬件風險問題主要可以體現在以下幾個方面，網絡機房的設計問題、網絡機房在安裝過程中不能滿足相關的安全運行標準、企業中供電系統的問以及不夠充足的后備電源導致通信企業業務中斷的問題。硬件設備中的內在風險問題主要表現在設備的超期服役、設備老化、基礎不良以及設備自身的斷線、短路等問題而產生的運行風險。

最后是系統接口處的風險問題，在一些IT系統中存在數據傳輸方面的安全隱患，這種問題主要是接口處的問題所導致的，從而讓網絡中的第三方可以在沒有經過授權的問題下直接通過系統接口，利用通信企業中安全防護系統的漏洞或是弱口令方面的不當對IT系統進行非授權訪問或是實施攻擊，接口問題也是企業中IT系統維護人員和技術人員容易出現疏漏的地方，一旦對方的非法攻擊成功，將會形成無法挽回的后果。

（二）客戶信息風險問題

首先是客戶信息泄露方面的問題，通信企業中的職員一般會將客戶信息無意或有意地泄露給社會中的外界人員，從而出現客戶隱私泄露的問題，此外，客戶的個人隱私也可能會被社會中一些不法分子利用，對客戶個人利益造成一定的影響，嚴重影響社會秩序。

其次就是濫用客戶信息的問題，通信企業沒有根據具體規定來合理使用客戶信息，從而導致客戶的部分信息被應用到啟發其它方面，引起法律方面的糾紛問題或是引發客戶的投訴，影響公司的信譽問題。

（三）內部管理方面的風險

首先是審批管理方面的風險問題，一些重要信息在操作過程中缺少充分的參考依據，從而導致業務處理流程不符合相關的規范要求，同時在管理層中的審批過程中也缺少科學的管控，致使各種違規操作現象頻發，增加了企業的運行風險。

其次是職責分工方面的風險問題，IT系統的運行操作一般都是由一個人來兼顧多樣運行系統的，包括管理數據庫和操作系統等，從而導致在職責分工方面存在一定的沖突。將多個層面的任務同時授權給同一個人進行管理，會使個人權利過大，能夠對IT系統進行各種操作，同時還可以讓管理人員利用數據庫權限和操作系統對應用系統中的操作記錄進行任意的修改，增加了相關管理人員職權濫用的風險。

三、通信企業IT系統的風險控制體系

（一）IT系統脆弱性評估

IT系統脆弱性評估主要包括四項內容，一是評估網通信網絡是否安全。從而保證通信系統和網絡可以免遭內外攻擊，避免由于網絡通信網絡問題所引發的風險問題。二是對企業中的運行系統和數據庫系統進行安全評估。在評估數據庫時應該使用人工測試和設備掃描想相結合的方式，主要評價內容為訪問時限、帳號管理、權限設置、并發時間以及存儲過程等內容。三是對企業中的應用數據進行科學評估，分別是評估數據信息的保密性，IT系統中的數據信息需要進行分級保護，對關鍵數據要通過加密措施進行科學保護，同時對訪問主體進行嚴格的控制，并建立起完善的授權體系。其次是數據信息的完整性，需要通過常規的黑客技術來模擬檢測目標客戶系統的安全性，從而找到系統中的漏洞和技術缺陷，并進行全面的分析。最后是數據信息的有效性，建立能夠檢驗數據信息完整性的檢驗機制，從而防止數據信息被任意篡改。

（二）IT系統的安全保護項目

在檢測完IT系統脆弱性后可以根據企業中的IT系統來明確系統保護項目，其中主要有訪問保護、軟件和硬件保護以及管理流程控制等內容。訪問保護從廣義方面來看，就是對節點安全、網絡接口、網絡鎖定和網絡監測、網絡服務器以及網絡授權、進網訪問等進行全面的監控。硬件保護就是讓網絡交換、系統終端和服務器等硬件設施免受人為和自然的破壞。軟件保護就是防止IT系統被人非法進行控制，從而降低使用性能。流程管理控制需要根據評估結果建立科學完善的內部管理制度，同時根據企業實際發展情況對IT系統中的管理漏洞進行詳細的修補和完善。

（三）應急預案的建立

理論上我們是無法將IT系統中所有運行風險全部消除的，為此就需要建立相應的應急預案來進行完善，IT系統方面的應急預案包括各種風險問題出現后促進IT系統恢復關鍵服務的活動[1]。比如在業務連續規劃遭到系統中斷或破壞后支持IT系統的功能，業務處理方面的恢復，為核心系統的長期運行能力提供基礎的保障。災難性恢復規劃方案主要是應用在各種災難性事件發生后，設備無法進行正常訪問的過程中。

四、通信企業IT系統的風險控制策略

（一）加強數據信息的安全控制

通信企業中數據信息的風險控制主要可以從三個方面入手，一是信息存儲方面的安全性，在這一過程中可以通過科學的加密技術有效處理數據庫中的各種數據信息，同時在數據產生源頭入手來建立完善的安全防護系統。二是標識安全，在這一過程中可以利用標識技術來標注區分各種數據信息，經過審計之后，可以加強IT系統和標識之間的聯系性，如此能夠有效避免信息篡改的問題。三是網絡訪問的安全性，在這一過程中可以通過強制性的訪問控制來進行管理，從而限制訪問主體[2]。比如部分非管理員權限的數據信息只能進行讀取但是不能進行重新修改或是打印，至于部分關鍵信息可以設置無權觀看。要想提高信息的安全性，需要有效控制應用安全，通過分析IT系統中的需求設計指導安全運行保障。同時還需要對IT系統進行定期的滲透檢測，假如企業中具備先進的技術條件，還可以利用源代碼來分析IT系統中的安全風險，細致查找各種系統樓多功能，一旦發現就立即實施修復操作，從而促進IT系統安全防控性能的不斷提高。

（二）提高IT系統的風險管理能力

通信企業中的IT設計隊伍可以利用一系列科學方法來改善IT系統的風險管理能力，同時提高企業內部控制的整體效率，讓企業中的內部管理流程更具實用性和完備性，為企業發展提供基礎的安全保障。IT系統的審計效能主要可以體現在對治理機制的貢獻上[3]。IT系統利用科學的IT管理系統，將技術平臺、管理架構、運維成本、績效考核、管控制度以及管理流程的維護進行有效的融合。隨后在結合IT系統來進行系統運維管理工作，從而將系統中被動解決、服務質量、效率低下、溝通不暢等問題進行有效的解決，提高通信企業的應用服務意識。IT審計方法包括風險識別、安全測試、問題追溯等，風險識別包括剩余風險評價、內部控制測試、固有風險評價、風險識別等。安全測試主要有信息技術測試、數據庫測試、應用測試、流量探查、漏洞掃描等方法。而問題追溯實際上就是根據已有案例的發生特征，對IT系統日志進行詳細的分析對比工作，從而找出相應的解決方案，或是從已有線索入手，根據具體的風險特征，找出有效的風險控制策略。

（三）健全防護體系

攻和防、矛和盾、惡與正存在于各個方面，同時不會隨著時間的發展而消失。同時IT系統是風險防控也是一樣，要想徹底防止IT系統中的非法入侵問題，需要健全IT系統的風險防護體系。同時通信企業應該培養一支維護隊伍，從而讓維護人員不斷學習新技術，了解黑客的攻擊手段，同時不斷完善企業IT系統中的防護系統，只有從攻擊者的角度進行考慮才能更好地建立防護系統，提高信息系統的防護能力，杜絕信息篡改和信息偷竊等問題的發生。要想提高通信企業中IT系統的管理能力，需要對IT系統進行專項檢查，通過制定完善的管理規范來進行日常管理，同時還要，明確定義IT系統中的各項管理細節，如此才能讓信息系統的日常管理更加規范化和明確化，加強專項檢查，從而促進IT系統管理能力的不斷提高。企業還需要定時整理內部各種信息資源，從而建立起完善的應急備災系統，對企業的應急備災能力進行定時檢查，建立信息丟失查詢系統，讓丟失信息能夠及時進行備份恢復。

四、結語

綜上所述，通信企業和傳統企業相比在運行發展方面具有較大的差距，主要是以知識密集型的產業為主，因此對IT系統具有較高的依賴性，主要特征就是信息和知識，因此需要將信息技術作為發展的基礎支撐。這種行業屬性決定了通信企業需要加強對IT系統的重視，從而更好地利用IT系統進行風險控制，從而促進企業的平穩發展。