企业信息安全风险分析与控制研究

李志雷

（南阳虹志科技发展有限公司 473000）

摘 要：互联网的高度发展，企业越来越依赖于信息技术和服务，同时企业信息妥全问题、数刁尾妥全问题屡见不鲜。信息化建设是现代企业谋发展的重要着力点，但信息安全风险问题弱化了信息化的重要作用。本文从黑客攻击、内部控制管理、应用系统安全等方面，分析了现代企业信息的安全风险，并在此基础之上，阐述了企业信息安全风险的控制策略。

关键词：企业信息安全；风险控制

1.企业信息安全风险性分析

1.1黑客入侵及其危害性

信息安全作为企业正常运营的关键要素，是企业健康发展的重要保障。随着现代企业与外界信息交流的不断广泛深入，企业使用计算机技术进行信息交流，传输以及存储逐渐日常化。网络化办公，信息传递的便捷性、高效性、隐蔽性，的确可以大大提高企业的办公效率，降低企业的经营成本。但与此同时企业也将要应对更多的信息安全威胁，其中“病毒入侵”就是目前最为常见的一种威胁。“病毒入侵”通常是黑客利用互联网攻击企业、政府部门或者个人计算机网络服务器，在计算机源程序中植入一组能够自我复制的程序代码，进而影响计算机的使用功能，对计算机内部系统文件进行破坏，致使整个计算机系统瘫痪。更有非法黑客通过技术手段对目标计算机植入病毒，窃取用户个人隐私信息、机密性资料等。“病毒入侵”中“SQL注入”是黑客入侵网站过程中使用最多的手段，黑客利用可嵌入的外部数据库接口将用户数据编译到可执行操作的SQL语言当中，实现木马移植进而控制用户计算机的整个操作系统。

1.2企业缺乏信息安全防范意识

伴随着互联网技术日新月异的发展，“互联网+”新思维为企业的发展及转型升级注入了新的活力，越来越多的企业将会依托“互联网+”摆脱企业发展的瓶颈。从当今中小企业信息化建设方面来看，很多公司只是在技术层面上通过引进资金，技术改造及更新去加强企业信息安全的建设，但在意识层面上对企业信息安全的认识比较薄弱。一是部分企业全体上下对信息安全的认知不够：存在着信息安全风险问题在公司决策层和各直属部门之间不受重视的现象，认为信息安全建设是网络安全部门的事情，在各部门之间宣传信息安全风险防范难免有点小题大做。二是部分企业信息安全管理制度建设不够：对于如何防范信息安全的威胁，公司内部没有明确的规章条例，造成企业员工对自己的行为是否威胁到企业信息安全没有一个明确的认识，处于一种模棱两可的状态。已经确立的规章制度，由于操作性不强，执行力度不够后来又逐渐成为一种形式。加强企业信息化建设同时也是企业应对当今复杂多变的经济形势的必要保障，因此企业应该从战略层面上考虑如何去巩固和加强企业信息安全的建设。

1.3安全技术设备未充分发挥作用

为加强企业信息安全建设，部分企业往往会针对性地选择安装一些技术设备。其中对设备的运行状况及参数设置往往都是一知半解。仅仅依靠系统默认设置的参数而忽略企业的实际情况，不能有效的从源头上拦截信息安全的威胁。更甚至有部分企业缺乏对技术设备运行日志的监控，未能从监测到的运行状况分析出可能潜在的风险，无法做到事前控制，对于风险管理通常处于一种被动防御的状态。其次，部分企业在信息安全技术设备上的投入不成比列，缺乏专业的信息安全技术人才，硬件设备维护和更新不及时等等都为企业信息安全管理埋下隐患。面对当今激烈的市场竞争环境，企业信息安全建设能否提上公司未来发展的章程往往决定着一个公司未来的发展可以走多远。

1.4信息安全规定执行力度不够

科学的安全规定对于企业信息安全的管理至关重要。规定的制定和执行要能够体现出人性化，可操作性强，便于追踪，易于管理的特点。部分企业制定了许多信息安全管理制度，但执行的实际情况并不理想，情况也复杂多变。例如：强制为企业内部员工及信息安全人员配置口令卡，对信息数据传输进行加密等举措执行难度较大。有部分企业随意放置不能正常运行的安全设备，由于没有对关键数据进行加密、保护或者销毁处理致使设备流出公司被他人进行了数据还原和信息恢复。诸如此类，企业员工很多不良的行为将会严重威胁企业信息安全的管理，应该引起公司领导层面的注意，应该时刻加强、倡导、鼓励员工对企业信息安全规定的认真执行。

2.企业信息安全风险的控制策略

对企业信息相关安全风险控制的问题，核心是怎样创建安全的信息环境、在技术上如何创造安全的构架体系、以及如何构建制度建设。从最根本来讲是对企业信息安全内外环境的优化。可以考虑从以下的几个方面来加强企业的信息安全，保证企业信息安全控制的有效性。

2.1 加强信息安全的建设，创建安全管理机构

企业信息化建设，其重要基础是信息的安全，没有信息安全作保证，其它的都不能谈起，加大信息安全防范治理力度，是企业对自身内部控制管理的必要要求。有些企业未能很好的落实企业信息安全管理相关工作，造成的后果是很严重的，致使企业自身处在危机环境之中。考虑以上疏于管理信息安全所带来的后果，首先，企业应该把信息安全纳入到安全管理之中，突出其重要地位。其次，建立完整齐备的安全责任制度，逐渐形成一种互助协防联动的信息安全管理模式。最后，对负责信息安全的相关人员进行培训和教育来提高他们在信息安全方面的能力。

2.2 加强防火墙的设计，提升信息安全的防范能力

现如今黑客存在、木马入侵等一些危险因子在相当大的程度上要求企业要增加自身企业的抗风险能力，这阻碍了企业信息化建设的进步。所以，企业提高信息化安全防范能力的重要举措是加强防火墙的设计。一些企业在应用信息安全设备时，不规范、甚至错误使用一些设备。由于不同的设备具有不同功能，不同品牌的问题，这导致设备兼容性差，使一些设备的抗风险能力下降。这就必须突出在构建企业安全防范的过程中，一定要运用科学合理的方式，就构建信息安全来说，务必做到安全性和完备性的统一。例如，企业在构建信息安全风险防范体系时，引入终端安全管理系统是一个很好的选择。从这看，瑞星杀毒软件公司是最成功最典型的一个。瑞星公司在应对信息安全的问题时采用统一平台和独立功能模块相结合的先进设计理念，构建自己企业的终端安全管理体系。不仅能够成功地构建自己企业信息安全，还可以对企业系统所运行的环境进行优化。

2.3 加强信息安全意识，规范操作行为

加强对企业信息安全风险的控制，其重要基础是人的主观能动性。首先，安全管理人员的安全意识要加强，并核实这些管理人员的工作是否有效落实到位。最关键的是要严格依据相关的规章制度进行操作，应避免因人为的误操作和管理不周所造成重大信息安全问题。其次，要营造一种良好的信息安全責任落实安全文化建设的内部环境，企业的员工会意识到信息安全的重要性，在潜移默化中规范自己的操作，降低安全风险。最后，要加大不定期对信息设备维护和保护的工作。其一，加强企业电脑等安全设备防雷、防磁等保护，使机械设备处在良好的状态环境；其二，要加强设备的维护保养工作，发现问题及时解决。

3结束语

随着互联网的日益普及，企业的信息安全呈现一种越来越复杂的趋势。要提升对企业信息安全风险的认识，可通过建立规章制度、加强技术手段、加大宣传教育力度等多方面来增强企业的抗风险能力，保证网络的保密性、完整性和可用性。

参考文献

[1]吴昌伦，王毅刚，信息安全策略研究[M]，网络安全技术与应川，2003，75-78.

[2]王刚.关于企业信息安全风险管理系统的研究[J].华北电力技术，2013，（09）：12-14.