张征

（中国移动通信集团广东有限公司信息系统部，广东 广州 510000）

现代企业信息安全风险控制研究

张征

（中国移动通信集团广东有限公司信息系统部，广东 广州 510000）

信息化建设是现代企业谋发展的重要着力点，但信息安全风险问题弱化了信息化的重要作用。本文从黑客攻击、内部控制管理、应用系统安全等方面，分析了现代企业信息的安全风险，并在此基础之上，阐述了企业信息安全风险的控制策略。本文旨在强化对企业信息安全风险的认识，并为企业构建信息安全防范体系提供一定的参考资料，深化现代企业信息化建设。

现代企业；信息安全；风险控制；策略

1 引言

信息时代的到来为企业的发展创造了新的模式，带来发展的新机遇。但是，信息安全风险所到来的影响，也在一定程度上制约了企业的可持续发展。因此，企业在发展中一方面要充分利用信息资源，让其成为企业发展的重要推动力；另一方面，要充分认识到信息安全风险的影响，有针对性地构建安全防范体系，提高信息的安全，这才是充分发挥其重要作用的前提。本文立足于对企业信息安全风险的认识，就企业如何强化信息安全建设提出了若干建议。

2 现代企业信息安全风险分析

信息是现代企业构建可持续发展战略的重要资源，也是优化并调整企业发展模式的重要基础。但是，企业信息安全风险也日益突出，成为制约企业信息化建设的重要因素。一方面，企业信息系统面临来自网络的安全威胁，如黑客攻击、木马入侵等，影响了企业信息系统的正常运行；另一方面，企业信息安全防范意识薄弱，内部管理工作落实不到位，导致企业信息系统处于危险环境之中。

2.1 黑客攻击、木马入侵

开放的网络环境之下，企业信息安全普遍存在病毒入侵的威胁。在利益的驱使之下，黑客通过对企业的网站进行攻击，对企业信息系统的安全运行造成最直接的威胁。如，2014年11月24日，黑客组织“和平卫士”（Guardians of Peace）公布索尼影业员工电邮，涉及公司高管薪酬和索尼非发行电影拷贝等内容，对索尼影业的发展造成极大的影响。在黑客攻击的过程中，其所采用的入侵方式多样化，但以SQL注入的方式最具危害性，具体如图1所示。SQL注入旨在通过外部接口把用户数据插入到实际的数据操作语言当中。这样一来，不仅可以实现对用户信息的入侵和操作，而且通过数据库将木马植入到企业的信息网站之中。因此，SQL注入攻击的危害性大，且可以绕过计算机的防火墙系统，对企业信息安全带来极大的影响，不利于企业信息安全的构建。

图1 “SQL注入”攻击

2.2 内部控制不到位

信息时代的到来，给现代企业的发展注入了新的发展元素，强化信息化建设成为企业内部控制管理的重要内容。但是，企业具有趋利的天性，强调经济效益为导向下的企业发展模式，进而对信息安全建设落实不到位。首先，企业缺乏信息安全防范意识，主观能动性相对比较欠缺；其次，企业信息安全宣传教育工作疏于开展，导致企业职工在网络操作中，出现不规范的违法行为，进而为黑客及病毒的攻击创造了机会；再次，企业缺乏信息安全风险管理制度的建立，导致信息风险管理流于形式，无法满足企业信息安全发展的需求。

2.3 应用系统安全性不高

企业信息化建设的实现，依托于各种应用系统的有效应用。但应用系统安全性不高等问题，在很大程度上影响了企业的信息安全。一方面，应用系统设计本身存在不足或安全漏洞，如数据传输、存储采用明文的方式。这样一来，数据极易被恶意软件、木马所窃取，实现非法访问，进而造成企业信息丢失或泄露等安全风险；另一方面，企业应用系统的安全防范模式相对比较单一，通过“口令”的认证模式，难以构建完备的安全防范。并且，企业职工在密码设置上，过于简单，且操作行为不规范，这也造成应用系统安全风险增加的重要因素。

3 企业信息安全风险的控制策略

企业信息安全风险的控制，关键在于如何营造安全的信息环境、强化安全技术体系的构建，以及风险控制的制度建设，从本质上优化企业信息安全的内外环境。因此，企业可着力于以下几个方面，优化与调整企业信息风险控制的有效性。

3.1 注重信息安全建设，设置安全管理机构

信息安全是企业信息化建设的重要基础，注重信息安全建设的狠抓落实，是企业强化内部控制管理的必然需求。当前，企业疏于信息安全管理工作的落实，导致企业所处于的信息环境“危机四伏”。因此，首先，企业应加信息安全纳入到安全管理之中，夯实信息安全建设管理的重要地位。其次，建立健全的安全责任制度，并逐步形成联动的信息安全管理机制，提高信息安全管理的有效性；再次，设置安全管理机构，负责企业信息安全的建设、管理，以及信息安全人员的教育培训等工作，为企业信息安全风险的控制创造良好的内部环境。

3.2 强化防火墙设计，提高信息安全防范能力

当前，黑客攻击、木马入侵等在很大程度上增加了企业信息安全风险，不利于企业信息化建设的推进。因此，强化防火墙设计是提高企业信息安全防范能力的重要举措。一些企业在信息安全设备的应用过程中，存在不规范、错误使用的问题。不同功能、品牌的安全设备由于兼容性差，导致安全设备的安全防范能力下降。这就强调，企业在安全防范体系的构建中，要注重科学合理原则，针对企业信息安全建设的需求，做到体系的完备性与安全性。例如，企业在信息安全风险防范体系的构建中，可以引入终端安全管理系统。在这方面，杀毒软件公司瑞星是典型的案例。瑞星公司在其终端安全管理体系的构建中，使用了“统一系统平台+独立功能模块”的设计理念，具体如图2所示。这样一来，不仅提高了企业信息安全防范体系的构建，而且优化了企业信息系统运行的环境。

3.3 提高信息安全意识，规范操作行为

良好的主观能动性是提高企业信息安全风险控制的重要基础。首先，企业要强化安全管理人员的安全意识，规范并引导其管理工作的有效落实。尤其是在管理工作中，严格依照相关的规章制度进行，避免人为管理或操作不当，而造成信息安全问题；其次，积极推进企业安全文化建设，为信息安全风险控制的落实创造良好的内部环境。企业职工认识到信息安全的重要性，潜移默化中规范并引导职工规范信息操作；再次，做好信息设备的维护与保护等工作。一方面，要对企业的电脑等设备进行防雷、防磁等保护，让机械设备处于良好的环境下运行；另一方面，不定期开展设备维护工作，以便于及时发现问题、解决问题。

图2 终端安全管理系统

4 结束语

综上所述，现代企业信息安全风险是多方因素综合作用的结果，但无论是外部的黑客攻击、木马入侵，还是内部的控制管理不到位，都强调企业要重视信息安全防范体系的构建，确保信息成为企业发展的重要资源。因此，一方面要注重信息安全建设，建立健全相应的管理制度；另一方面，要强化信息安全的教育与培训，并构建完备的安全防范体系，确保企业信息系统的安全。

[1]张建业．电网企业信息安全风险管理研究[J]．中国电力教育，2013，(26)：102-104．

[2]阳玉明．供电企业信息安全风险及应对措施分析[J]．电源技术应用，2013，(09)：22-24．

[3]吴树强．电力企业信息安全风险研究[J]．科学时代，2012，(13)：67．

[4]任伟．钢铁企业信息安全风险系统管理研究[J]．山西冶金，2008，(04)：28-29．

[5]王刚．关于企业信息安全风险管理系统的研究[J]．华北电力技术，2013，(09)：12-14．

[6]D．Treck，Security policy conceptual modeling and formalization for networked information system[J]．Computer Communication，2000，Volume23：63-64．

Study on the Control of Modern Enterprise Information Security Risk

Zhang Zheng
(China Mobile Group Guangdong Co.,Guangzhou 510000,Guangdong)

Informatization construction is an important focal point of the modern enterprise development,while the problem of information security risk weakens the important role of information technology.From the hacker attack,the internal control management,application system security and other aspects,this article analyzes the information security risk in modern enterprises,and on this basis,expounds the control strategy.This paper aims to strengthen the understanding of enterprise information security risk,and provide certain references for enterprise to construct the information security system,deepening the informationzation construction of modern enterprises.

modern enterprise;information security;risk control;strategy

TP309

A

：1008-66609(2015)04-0074-03

作者信息：张征，男，湖北荆门人，本科，高级工程师，研究方向：信息安全。