企業(yè)運(yùn)維管理中信息系統(tǒng)安全風(fēng)險(xiǎn)控制探討論文

　　摘要：為了有效控制運(yùn)維管理中信息系統(tǒng)的安全風(fēng)險(xiǎn)，文章通過對信息系統(tǒng)控制難點(diǎn)進(jìn)行研究，分析了現(xiàn)今系統(tǒng)存在的安全風(fēng)險(xiǎn)，并制定了詳細(xì)的解決策略。以期能夠?qū)Ψ欠ㄔL問、信息篡改的問題進(jìn)行有效的控制，為今后企業(yè)運(yùn)維管理提供可靠的參考數(shù)據(jù)，為企業(yè)的發(fā)展做出有力的支撐。

　　關(guān)鍵詞：企業(yè)運(yùn)維管理；信息系統(tǒng)；安全風(fēng)險(xiǎn)

　　隨著信息時(shí)代的來臨，信息系統(tǒng)和技術(shù)已經(jīng)成為當(dāng)下各個(gè)領(lǐng)域不可或缺以及賴以生存的基礎(chǔ)性建設(shè)。現(xiàn)今信息已經(jīng)成為衡量一個(gè)企業(yè)綜合競爭水平的重要標(biāo)志。但是，信息技術(shù)在不斷支撐著企業(yè)業(yè)務(wù)開展的同時(shí)，其在運(yùn)維方面也會(huì)產(chǎn)生相應(yīng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)為非法訪問、信息篡改以及信息泄露。這些風(fēng)險(xiǎn)就會(huì)對企業(yè)的信息安全帶來巨大的隱患。

　　1信息系統(tǒng)安全風(fēng)險(xiǎn)的控制難點(diǎn)

　　近年來隨著網(wǎng)絡(luò)技術(shù)的不斷更新，企業(yè)也通過各種安全措施加強(qiáng)了信息系統(tǒng)安全風(fēng)險(xiǎn)的防護(hù)措施，但仍存在兩個(gè)難點(diǎn)，首先是信息系統(tǒng)的高風(fēng)險(xiǎn)性，由于當(dāng)下信息系統(tǒng)較為復(fù)雜，且漏洞較多，就會(huì)使得系統(tǒng)處于高風(fēng)險(xiǎn)性，使得運(yùn)維人員很難進(jìn)行控制。其次是當(dāng)下IP管理以及信息系統(tǒng)的規(guī)模逐漸增加，也就使得攻擊源變得多樣化，運(yùn)維人員無法進(jìn)行有效的追蹤，也無法進(jìn)行有效的防護(hù)。

　　2企業(yè)運(yùn)維管理中信息系統(tǒng)安全風(fēng)險(xiǎn)分析

　　近年來，信息時(shí)代的腳步逐漸加快，信息化的水平也在與日俱增。信息技術(shù)也以其方便、實(shí)用等特點(diǎn)廣泛地應(yīng)用在各企業(yè)之間。而為了更好地將信息技術(shù)的最大作用發(fā)揮出來，就需要定期對其維護(hù)。但是隨著信息系統(tǒng)的應(yīng)用需求逐漸增加，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，使得信息系統(tǒng)的結(jié)構(gòu)愈加復(fù)雜，也使得技術(shù)漏洞逐漸增加，這就會(huì)對企業(yè)的信息系統(tǒng)帶來安全隱患。在現(xiàn)今運(yùn)維管理中信息系統(tǒng)的安全風(fēng)險(xiǎn)主要包括下述幾個(gè)方面。

　　2.1服務(wù)器終端層面的風(fēng)險(xiǎn)

　　服務(wù)器終端層面的風(fēng)險(xiǎn)主要分為下述幾個(gè)部分：①信息系統(tǒng)的基本安全保密配置不夠完善，管理不夠成熟，這就使得用戶可以私自更改BIOS的啟動(dòng)順序，使得安全防護(hù)產(chǎn)品的失效，從而進(jìn)行信息的竊取和篡改；②安全風(fēng)險(xiǎn)的報(bào)警裝置不夠成熟，不能夠達(dá)到預(yù)期的效果，通常會(huì)由于安全產(chǎn)品之間的兼容性問題失去應(yīng)用的效用，出現(xiàn)誤報(bào)或者漏報(bào)的情況。然后就是系統(tǒng)含有漏洞，信息系統(tǒng)最主要的部分就是系統(tǒng)，在當(dāng)下的企業(yè)中應(yīng)用的操作系統(tǒng)基本上都為Windows系列，而一些停止補(bǔ)丁升級(jí)的Windows系統(tǒng)就存在著漏洞，很容易受到侵蝕，進(jìn)而造成數(shù)據(jù)的丟失。2.2網(wǎng)絡(luò)層面的風(fēng)險(xiǎn)在網(wǎng)絡(luò)層面安全風(fēng)險(xiǎn)主要為網(wǎng)絡(luò)設(shè)備的安全配置不當(dāng)，通常會(huì)開啟多余的服務(wù)或者端口，這就存在了被非法訪問的隱患。同時(shí)在訪問控制方面不能對接入進(jìn)行有效的控制，會(huì)造成設(shè)備非法接入的風(fēng)險(xiǎn)。另外，企業(yè)通常不會(huì)對用戶進(jìn)行分層、分級(jí)，這就會(huì)導(dǎo)致網(wǎng)絡(luò)拓?fù)浠靵y，使得企業(yè)重要的信息資源存在被非法授權(quán)訪問的安全隱患。

　　2.3硬件層面的風(fēng)險(xiǎn)

　　現(xiàn)今，企業(yè)都擁有大量的硬件，且都是采用的國外進(jìn)口。企業(yè)根本無法知曉底層硬件的工作機(jī)制，其是否含有隱藏通道等。例如惠普的某型號(hào)服務(wù)器已經(jīng)被證實(shí)存在后門，這些設(shè)備的運(yùn)維都需要專業(yè)的工作人員進(jìn)行，這也就會(huì)使得維修過程容易發(fā)生信息篡改或者信息竊取的風(fēng)險(xiǎn)。2.4應(yīng)用層面的風(fēng)險(xiǎn)應(yīng)用層面的風(fēng)險(xiǎn)主要就是身份認(rèn)證的管理不夠完善。管理員的口令較弱、用戶名和密碼過于簡單等都會(huì)被攻擊者利用。甚至在當(dāng)下一些企業(yè)還有用戶名公用、濫用的現(xiàn)象，這就更給攻擊者提供了良好的機(jī)會(huì)，攻擊者可以通過這些漏洞進(jìn)行水平提權(quán)，進(jìn)而對信息進(jìn)行竊取，甚至其可以獲取管理者的權(quán)限，對系統(tǒng)進(jìn)行控制，這就會(huì)給企業(yè)造成巨大的經(jīng)濟(jì)損失。

　　2.5安全審計(jì)層面的風(fēng)險(xiǎn)

　　在當(dāng)下的信息系統(tǒng)風(fēng)險(xiǎn)管理都會(huì)部署一些安全監(jiān)測產(chǎn)品，例如防火墻、殺毒軟件等。這些產(chǎn)品只能針對某類安全問題有效，這就使得信息系統(tǒng)的審計(jì)工作變得松散，不能形成完整的體系。而且由于系統(tǒng)的兼容性等原因，總會(huì)出現(xiàn)誤報(bào)、漏報(bào)的現(xiàn)象，這就會(huì)對審計(jì)的作用帶來巨大的影響，使其無法發(fā)揮其應(yīng)有的效用。另外，企業(yè)雖然相應(yīng)的部署了安全管理平臺(tái)進(jìn)行日志的收集，但在當(dāng)下的信息系統(tǒng)中智能分析能力較弱，不能夠?qū)θ�局進(jìn)行有效的監(jiān)控，也就沒有辦法實(shí)現(xiàn)綜合監(jiān)控和安全風(fēng)險(xiǎn)的態(tài)勢分析。

　　3企業(yè)運(yùn)維管理中信息系統(tǒng)安全風(fēng)險(xiǎn)的控制策略

　　通過對上述安全風(fēng)險(xiǎn)的問題進(jìn)行有效的分析，基于信息的特點(diǎn)，本文提出了下述信息系統(tǒng)安全風(fēng)險(xiǎn)的控制策略。

　　3.1加強(qiáng)信息系統(tǒng)數(shù)據(jù)資源的安全風(fēng)險(xiǎn)控制

　　數(shù)據(jù)資源的風(fēng)險(xiǎn)控制主要從三個(gè)方面進(jìn)行：①存儲(chǔ)安全，可以采用先進(jìn)的加密技術(shù)對信息數(shù)據(jù)庫進(jìn)行加密處理，從數(shù)據(jù)資產(chǎn)產(chǎn)生的源頭進(jìn)行安全防護(hù)體系的構(gòu)建；②標(biāo)識(shí)安全，通過標(biāo)識(shí)技術(shù)對信息進(jìn)行去區(qū)分標(biāo)注，經(jīng)過審計(jì)后，讓標(biāo)識(shí)與信息系統(tǒng)密不可分，這樣就不會(huì)出現(xiàn)信息篡改的問題；③訪問安全，可以采用強(qiáng)制訪問控制的方式，對訪問主體進(jìn)行限制。例如，某些數(shù)據(jù)非管理員權(quán)限僅能讀取，不能夠打印或者重新編輯，而一些重要信息限制再無權(quán)觀看。

　　3.2加強(qiáng)信息系統(tǒng)的信息安全風(fēng)險(xiǎn)控制

　　信息安全主要就是對應(yīng)用安全進(jìn)行控制，通過對系統(tǒng)的需求進(jìn)行有效的分析，設(shè)計(jì)開發(fā)指導(dǎo)驗(yàn)收運(yùn)維過程中進(jìn)行安全保障。同時(shí)還要定期對系統(tǒng)進(jìn)行滲透測試，如果企業(yè)的技術(shù)較為先進(jìn)，還可以通過源代碼進(jìn)行安全風(fēng)險(xiǎn)分析，仔細(xì)地對漏洞進(jìn)行查找，如果發(fā)現(xiàn)及時(shí)進(jìn)行修復(fù)，長此以往就會(huì)不斷提高系統(tǒng)的整體安全性。另外還要將運(yùn)維過程中出現(xiàn)的問題進(jìn)行整體分析，這樣就能夠形成較為完善的風(fēng)險(xiǎn)控制規(guī)范，為后續(xù)的系統(tǒng)安全提供可行性較高的參考數(shù)據(jù)。

　　3.3構(gòu)建運(yùn)維風(fēng)險(xiǎn)控制平臺(tái)

　　針對認(rèn)證管理和孤島等問題，就可以億堡壘機(jī)為中間體進(jìn)行控制平臺(tái)的構(gòu)建，形成對企業(yè)信息系統(tǒng)全面的安全監(jiān)控。通過安全防護(hù)產(chǎn)品的報(bào)警日志和應(yīng)用系統(tǒng)的審計(jì)日志，構(gòu)建威脅事件的審計(jì)模型，構(gòu)建完善的綜合安全事件分析統(tǒng)計(jì)平臺(tái)，這樣才能對風(fēng)險(xiǎn)事件進(jìn)行關(guān)聯(lián)審計(jì)分析，最終實(shí)現(xiàn)實(shí)時(shí)報(bào)警的效果。

　　3.4加強(qiáng)信息系統(tǒng)的管理和梳理

　　要想切實(shí)地提高企業(yè)的信息系統(tǒng)運(yùn)維管理能力，必須要加強(qiáng)信息安全專項(xiàng)檢查，要制定詳細(xì)的規(guī)范來明確信息系統(tǒng)日常需要進(jìn)行的管理操作，還要對日常管理的具體細(xì)節(jié)進(jìn)行定義，這樣才能使信息系統(tǒng)日常管理規(guī)范、明確，繼而使其信息化和制度化。還要閉環(huán)管理信息安全風(fēng)險(xiǎn)和運(yùn)維實(shí)踐，防止低層次的信息安全問題發(fā)生。另外還要加強(qiáng)專項(xiàng)檢查整體提高信息系統(tǒng)的安全運(yùn)維能力。同時(shí)還要對信息資源進(jìn)行有效的分類整理，要構(gòu)建完善的應(yīng)急備災(zāi)能力，還要定期對應(yīng)急備災(zāi)的能力進(jìn)行檢測，例如可以臨時(shí)構(gòu)建信息丟失的問題，看其恢復(fù)能力，只有這樣才能有效地保障備份能夠及時(shí)地恢復(fù)。

　　3.5構(gòu)建完善的信息風(fēng)險(xiǎn)防護(hù)體系

　　正與邪、矛與盾、攻與防，永遠(yuǎn)都是相對存在的。在信息系統(tǒng)風(fēng)險(xiǎn)控制上也是一樣的，要想預(yù)防攻擊者的非法入侵，就必須要建立完善的信息風(fēng)險(xiǎn)防護(hù)體系。所以，企業(yè)要培養(yǎng)構(gòu)建一支團(tuán)隊(duì)，讓其不斷進(jìn)行學(xué)習(xí)，掌握攻擊的技術(shù)，然后讓其對企業(yè)的防護(hù)系統(tǒng)進(jìn)行破壞，進(jìn)而完善，只有不斷地從攻擊者的角度去思考，才能夠構(gòu)建完善的防護(hù)體系，只有不斷進(jìn)行攻防，才能夠更好地提升信息風(fēng)險(xiǎn)防護(hù)體系，讓其更好地保護(hù)信息系統(tǒng)，防止信息竊取和篡改的問題出現(xiàn)。

　　4結(jié)語

　　綜上所述，雖然當(dāng)下企業(yè)對信息安全風(fēng)險(xiǎn)的防護(hù)工作不斷重視，也構(gòu)建了許多防護(hù)的措施，具備了一些防護(hù)能力，但由于信息技術(shù)的不斷發(fā)展，使漏洞變得更加隱蔽。所以，企業(yè)要想穩(wěn)定發(fā)展，必須要采取措施對信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行運(yùn)維控制，只有這樣才能有效的保障企業(yè)的經(jīng)濟(jì)利益，為企業(yè)的發(fā)展做出有力的支撐。

　　參考文獻(xiàn)：

　　[1]上官琳琳.企業(yè)信息系統(tǒng)的管理與運(yùn)維研究[J].管理觀察,2014(18):100-101+104.

　　[2]何芬.企業(yè)運(yùn)維管理中信息系統(tǒng)安全風(fēng)險(xiǎn)控制探究[J].信息技術(shù)與信息化,2014(5):208-210+212.

　　[3]石磊,王剛.關(guān)于企業(yè)信息安全風(fēng)險(xiǎn)管理系統(tǒng)的研究[J].華北電力技術(shù),2013(9):65-70.

　　[4]姚遠(yuǎn),肖應(yīng)霖,談向東.信息安全風(fēng)險(xiǎn)管理在企業(yè)訪問控制管理中的應(yīng)用研究[J].信息網(wǎng)絡(luò)安全,2012(12):77-79.

　　[5]利用統(tǒng)一安全運(yùn)維管理平臺(tái)建設(shè)企業(yè)信息安全可度量體系[J].計(jì)算機(jī)安全,2011(2):93-94.

【企業(yè)運(yùn)維管理中信息系統(tǒng)安全風(fēng)險(xiǎn)控制探討論文】相關(guān)文章：

探討企業(yè)稅務(wù)風(fēng)險(xiǎn)管理思考論文08-19

企業(yè)營銷成本風(fēng)險(xiǎn)控制模式探討06-30

企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)管理與內(nèi)部控制關(guān)系探討的論文10-02

電力通信運(yùn)維作業(yè)風(fēng)險(xiǎn)研究論文09-17

臨床護(hù)理風(fēng)險(xiǎn)管理探討的論文08-21

大企業(yè)稅務(wù)風(fēng)險(xiǎn)管理探討09-19

淺析內(nèi)部控制與企業(yè)全面風(fēng)險(xiǎn)管理論文10-21

風(fēng)險(xiǎn)管理下的企業(yè)內(nèi)部控制論文08-31

分析企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)實(shí)務(wù)的論文10-08

淺談企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理論文08-16