企业信息安全风险分析与控制

　　摘 要 随着互联网的高度发展，企业越来越依赖于信息技术和服务，同时企业信息安全问题、数据安全问题屡见不鲜。企业的信息安全涉及到多个方面，从信息的采集、存储到传输、访问整个过程，每一个过程中都存在信息安全风险。鉴于此，本文对企业信息安全风险进行了分析并提出了控制措施。

　　关键词 信息安全风险；控制；策略

　　中图分类号：TP309 文献标识码：A 文章编号：1671-7597（2013）12-0144-02

　　信息化时代，计算机应用范围日益广泛，社会发展和人们生活已经离不开信息网络。信息成为企业中重要的资源之一，很多企业都大量引入了信息化办公手段，运行于系统、网络和电脑的数据安全成为了企业信息安全面临的重要问题。尽管很多企业都认识到信息安全风险管理的重要性，也纷纷从人员配置、资金投入、技术更新等多方面加强对信息安全风险的管理，但是企业信息安全风险并没有随之消失，相反却在不断地增长。现在，公司在越来越多的威胁面前显得更为脆弱。网络攻击日益频繁、攻击手段日益多样化，从病毒到垃圾邮件，这些方式都被用来窃取公司信息。，如不提前防范，一旦被袭，网络阻塞、系统瘫痪、信息传输中断、数据丢失等等，无疑将给企业业务带来巨大的经济损失。

　　中国国家互联网应急中心抽样监测显示，2011年，网络安全威胁呈蔓延之势，有近5万个境外IP地址作为木马或僵尸网络控制服务器，参与控制了我国境内近890万台主机，网上资产损失就高达十多亿。仿冒我国境内银行网站站点的IP，也有将近3/4来自美国。可见企业信息安全风险控制势在必行，不仅仅是企业需要关注的问题，也是涉及到国家安全的重要课题。

　　1 企业信息安全风险分析

　　1.1 黑客的入侵和攻击

　　企业面临着一系列的信息安全威胁，其中最普遍的一种信息安全威胁就是病毒入侵。一些教授黑客技术的网络资源随处可见，很多年轻人处于好奇或者出于牟利目的，从网上购得黑客技术，对企业网站进行攻击。2011年4月26日，索尼在“游戏站”博客发布通告，称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络，窃取大量用户个人信息，包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等，受影响用户大约7800万。黑客入侵方式中危害最严重的当属SQL注入。SQL注入的实际意义是利用某些数据库的外部接口把用户数据插入到实际的数据操作语言当中，从而达到入侵数据库乃至操作系统的目的，很多黑客通过SQL注入交互和命令，利用数据库实现木马植入到网站中。SQL注入和缓冲区溢出漏洞相比，可以绕过防火墙直接访问数据库，进一步获得数据库所在的服务器权限，给企业造成的损失十分惨重，更使广大互联网用户深受其害。

　　1.2 企业信息安全防范意识薄弱

　　目前，很多企业都加强了信息化建设，通过资金投入、技术改造等多方面加强企业信息安全。但是信息风险不仅仅是技术层面的东西，更重要是人的意识层面对安全风险的认识。在企业中，很多部门和个人依然对信息安全风险问题不重视，有的认为信息风险安全是网络部门的事情，与其他部门或者员工没有关系，而且也帮不上忙；有的人认为对信息安全的宣传有夸张的嫌疑，真正遭受过网络攻击的企业屈指可数，肯定不会发生在自己身上；有的企业 缺乏信息安全风险管理的制度建设，没有出台具体的故障制度，造成很多情况下，员工无章可循，不知道怎么应对网络信息风险，出现问题也不知道如何化解和处理。有的企业尽管已经制定了规章制度，但很多都是流于形式，没有针对性，也没有操作性，长年累月不进行更新和修改，滞后于信息化时代发展的要求。

　　1.3 技术装备和设施的作用发挥不充分

　　很多企业为了加强信息安全风险管理，都有针对性的部署了一些信息安全设备，然后这些从安装上就很少有人问津，设备的运行状况和参数设置都不合理，都是根据系统提示采用默认设置，由于企业与企业之间有很大的不同，企业之间的信息安全风险也相差迥异，采用默认状态无法照顾企业的真实情况，不能从源头上有针对性的加强信息安全风险管理。很多企业缺乏对安全设备以及运行日志的监控，不能有效的根据设备运行状况进行细致分析，从而采取适当措施加强信息风险管理。总之，在企业信息安全风险管理中被动保护的情况比较普遍，缺乏主动防御的意识，而且对于大多数中小企业而言，企业资金和规模都比较小，面临激烈的市场竞争，企业将主要精力用于市场开拓和产品的影响，以期在短时间内获得可观的利润，企业在信息安全风险上的投入比较少，很多设备都老化了，线路都磨损严重，却没有得到及时更新和维护，为企业安全风险管理埋下了隐患。

　　1.4 企业信息安全规定不严谨

　　很多企业在实际工作制定了大量的安全管理规定，但是在实际操作中，对企业员工以及信息服务人员的口令卡、数据加密等要求很难得到落实。部分员工长期使用初始口令、加密强度较弱的口令，有的员工登陆系统时使用别人的账号，使用完毕后也没有及时关闭账号，也不关电脑，外来人员很容易登陆电脑窃取企业机密文件，公司内部也缺乏信息安全风险管理的意识，员工可以任意下载企业资料，可以随意将企业资料设置成共享状态，在拷贝企业文件或者数据时，也没有经过杀毒过程，直接下载或者用邮件发送。甚至很多企业员工在上班时间看电影、玩游戏、下载文件比较普遍，员工随意打开一些不安全的网站，随意接受一些来源可疑的邮件，成病毒传播、木马下载、账号及密码被盗，自己还浑然不知。这些不良行为都严重威胁企业的信息安全，加上现代企业人员流动比较频繁，员工跳槽很普遍，很多员工离职后也没有上交公司账号和口令卡，依然可以登录原公司系统，给企业网络风险带来隐患。企业废弃不用的一些安全设备也没有及时进行加密和保护处理，里面的数据没有及时进行删除，安全设备随意放置，外人很容易从这些设备中还原和复制原有的信息资源。

　　2 企业信息安全风险的控制

　　2.1 加强基础设施建设资金投入 　　企业要加强信息安全风险防范的资金投入，资金投入主要用于企业日常安全信息管理、技术人员的培训以及安全设备的购置等等，每年企业从企业利润中拿出一定比例的资金来加强信息安全的投入，投入的资金与企业规模、企业对信息安全的要求息息相关。针对很多公司信息化设备老化，线路损耗严重的现实情况，企业要加强线路的维护和改造，购买新的防火墙和杀毒软件等等，在采购和使用信息安全产品时，企业一定要重视产品的管理功能是否强大、解决方案是否全面，以及企业安全管理人员的技术水平。例如企业可以购入UPS电源，突然停电时可以利用该电源用来应急，以保证公司信息化建设中系统的正常运行和设备技术的及时更新。

　　2.2 提高个人信息安全意识

　　维护企业计算机网络信息安全是企业每一位员工都应该关注的课题，企业要加强信息安全风险防范的宣传，让每一位员工都对基本得到网络安全信息技术有所了解，对计算机风险的重要性有清楚的认识，每位员工尤其是网络技术服务人员要把口令卡和账号管理好，不能泄露或者遗失，使用者的网络操作行为和权限都要进行一定的控制，防止企业员工越权浏览公司信息，对于一些涉及企业机密的文件要及时进行加密，对文件是否可以公开访问进行限制，减少不合法的访问。还要及时清理文件，一些废弃的或者没有价值的文件要及时进行删除，要彻底删除不能仅仅放到回收站，保证其他人无法通过复制或者还原电脑设备中的信息。对于企业电脑设备要注意防磁、防雷击等保护措施，企业职工要对电脑设备的基本保养和维护措施有了解，不要在过于潮湿、气温过高的地方使用电脑，要懂得如何对电脑系统继续软件更新和漏洞的修补，从而保证计算机处在最优的防护状态，减少病毒入侵。

　　2.3 加强防火墙设计

　　由员工网络操作不当造成的黑客入侵、商业机密泄露也威胁着企业的生存和发展。一直以来，企业信息安全解决方案都需要来自多个制造商的不同产品，需要多个工具和基础结构来进行管理、报告和分析。不同品牌、不同功能的信息安全设备被杂乱无章地堆叠在企业网络中，不但兼容性差，还容易造成企业网络拥堵。正确地部署和配置这些复杂的解决方案十分困难，而且需要大量时间。另外，大量安全产品互操作性不足，无法与已有的安全和 IT 基础结构很好的集成。这样组成的解决方案难以管理，增加了拥有者总成本，并可能在网络上留下安全漏洞。企业可以引入终端安全管理系统进行信息安全风险的防范，例如瑞星企业终端安全管理系统采用了统一系统平台+独立功能模块的设计理念，集病毒查杀双引擎、专业防火墙和信息安全审计等于一身，具有网络安全管理、客户端行为审计、即时通讯管理和审计、客户端漏洞扫描和补丁管理等功能；企业信息安全新品还采用了模块化的新形式，企业可以根据自己的需求定制相应的功能组合；通过瑞星在线商店，企业也可以随着信息安全需求的变化添加所需模块，减轻首次购买的支付成本及后续的升级成本。

　　总之，随着网络应用的日益普及，企业信息安全风险问题日益复杂。要切实加强对信息安全风险的认识，从规章制度、技术手段以及宣传教育等多方面加强企业信息安全风险防范，确保网络信息的保密性、完整性和可用性。

　　参考文献

　　[1]夏青.浅述网络技术与信息安全[J].科技情报开发与经济，2003（11）.

　　[2]马俊，王铁存.网络数据传输安全对策[J].航空计算技术，2006，25（4）.

　　[3]李象江.网络安全技术与管理[J].现代图书情报，2006（2）.

　　[4]陈月波.网络信息安全第1版[M].武汉：武汉工业大学出版社，2008.

　　[5]刘正红.XML加密技术的研究与实现[J].长春大学学报，2007，17（6）.

　　[6]刘宝旭.网络信息系统安全与管理[J].中国信息导报，2000（11）.

　　作者简介

　　金黎阳（1989-），女，2012年毕业于东北石油大学计算机科学与技术专业，现在大庆油田信息技术公司信息技术北京分公司从事信息化建设工作，研究涉及网络攻防、风险控制等。