企業(yè)運維管理中信息系統安全風(fēng)險控制探討論文

　　摘要：為了有效控制運維管理中信息系統的安全風(fēng)險，文章通過(guò)對信息系統控制難點(diǎn)進(jìn)行研究，分析了現今系統存在的安全風(fēng)險，并制定了詳細的解決策略。以期能夠對非法訪(fǎng)問(wèn)、信息篡改的問(wèn)題進(jìn)行有效的控制，為今后企業(yè)運維管理提供可靠的參考數據，為企業(yè)的發(fā)展做出有力的支撐。

　　關(guān)鍵詞：企業(yè)運維管理；信息系統；安全風(fēng)險

　　隨著(zhù)信息時(shí)代的來(lái)臨，信息系統和技術(shù)已經(jīng)成為當下各個(gè)領(lǐng)域不可或缺以及賴(lài)以生存的基礎性建設�，F今信息已經(jīng)成為衡量一個(gè)企業(yè)綜合競爭水平的重要標志。但是，信息技術(shù)在不斷支撐著(zhù)企業(yè)業(yè)務(wù)開(kāi)展的同時(shí)，其在運維方面也會(huì )產(chǎn)生相應的安全風(fēng)險，主要表現為非法訪(fǎng)問(wèn)、信息篡改以及信息泄露。這些風(fēng)險就會(huì )對企業(yè)的信息安全帶來(lái)巨大的隱患。

　　1信息系統安全風(fēng)險的控制難點(diǎn)

　　近年來(lái)隨著(zhù)網(wǎng)絡(luò )技術(shù)的不斷更新，企業(yè)也通過(guò)各種安全措施加強了信息系統安全風(fēng)險的防護措施，但仍存在兩個(gè)難點(diǎn)，首先是信息系統的高風(fēng)險性，由于當下信息系統較為復雜，且漏洞較多，就會(huì )使得系統處于高風(fēng)險性，使得運維人員很難進(jìn)行控制。其次是當下IP管理以及信息系統的規模逐漸增加，也就使得攻擊源變得多樣化，運維人員無(wú)法進(jìn)行有效的追蹤，也無(wú)法進(jìn)行有效的防護。

　　2企業(yè)運維管理中信息系統安全風(fēng)險分析

　　近年來(lái)，信息時(shí)代的腳步逐漸加快，信息化的水平也在與日俱增。信息技術(shù)也以其方便、實(shí)用等特點(diǎn)廣泛地應用在各企業(yè)之間。而為了更好地將信息技術(shù)的最大作用發(fā)揮出來(lái)，就需要定期對其維護。但是隨著(zhù)信息系統的應用需求逐漸增加，網(wǎng)絡(luò )規模的不斷擴大，使得信息系統的結構愈加復雜，也使得技術(shù)漏洞逐漸增加，這就會(huì )對企業(yè)的信息系統帶來(lái)安全隱患。在現今運維管理中信息系統的安全風(fēng)險主要包括下述幾個(gè)方面。

　　2.1服務(wù)器終端層面的風(fēng)險

　　服務(wù)器終端層面的風(fēng)險主要分為下述幾個(gè)部分：①信息系統的基本安全保密配置不夠完善，管理不夠成熟，這就使得用戶(hù)可以私自更改BIOS的啟動(dòng)順序，使得安全防護產(chǎn)品的失效，從而進(jìn)行信息的竊取和篡改；②安全風(fēng)險的報警裝置不夠成熟，不能夠達到預期的效果，通常會(huì )由于安全產(chǎn)品之間的兼容性問(wèn)題失去應用的效用，出現誤報或者漏報的情況。然后就是系統含有漏洞，信息系統最主要的部分就是系統，在當下的企業(yè)中應用的操作系統基本上都為Windows系列，而一些停止補丁升級的Windows系統就存在著(zhù)漏洞，很容易受到侵蝕，進(jìn)而造成數據的丟失。2.2網(wǎng)絡(luò )層面的風(fēng)險在網(wǎng)絡(luò )層面安全風(fēng)險主要為網(wǎng)絡(luò )設備的安全配置不當，通常會(huì )開(kāi)啟多余的服務(wù)或者端口，這就存在了被非法訪(fǎng)問(wèn)的隱患。同時(shí)在訪(fǎng)問(wèn)控制方面不能對接入進(jìn)行有效的控制，會(huì )造成設備非法接入的風(fēng)險。另外，企業(yè)通常不會(huì )對用戶(hù)進(jìn)行分層、分級，這就會(huì )導致網(wǎng)絡(luò )拓撲混亂，使得企業(yè)重要的信息資源存在被非法授權訪(fǎng)問(wèn)的安全隱患。

　　2.3硬件層面的風(fēng)險

　　現今，企業(yè)都擁有大量的硬件，且都是采用的國外進(jìn)口。企業(yè)根本無(wú)法知曉底層硬件的工作機制，其是否含有隱藏通道等。例如惠普的某型號服務(wù)器已經(jīng)被證實(shí)存在后門(mén)，這些設備的運維都需要專(zhuān)業(yè)的工作人員進(jìn)行，這也就會(huì )使得維修過(guò)程容易發(fā)生信息篡改或者信息竊取的風(fēng)險。2.4應用層面的風(fēng)險應用層面的風(fēng)險主要就是身份認證的管理不夠完善。管理員的口令較弱、用戶(hù)名和密碼過(guò)于簡(jiǎn)單等都會(huì )被攻擊者利用。甚至在當下一些企業(yè)還有用戶(hù)名公用、濫用的現象，這就更給攻擊者提供了良好的機會(huì )，攻擊者可以通過(guò)這些漏洞進(jìn)行水平提權，進(jìn)而對信息進(jìn)行竊取，甚至其可以獲取管理者的權限，對系統進(jìn)行控制，這就會(huì )給企業(yè)造成巨大的經(jīng)濟損失。

　　2.5安全審計層面的風(fēng)險

　　在當下的信息系統風(fēng)險管理都會(huì )部署一些安全監測產(chǎn)品，例如防火墻、殺毒軟件等。這些產(chǎn)品只能針對某類(lèi)安全問(wèn)題有效，這就使得信息系統的審計工作變得松散，不能形成完整的體系。而且由于系統的兼容性等原因，總會(huì )出現誤報、漏報的現象，這就會(huì )對審計的作用帶來(lái)巨大的影響，使其無(wú)法發(fā)揮其應有的效用。另外，企業(yè)雖然相應的部署了安全管理平臺進(jìn)行日志的收集，但在當下的信息系統中智能分析能力較弱，不能夠對全局進(jìn)行有效的監控，也就沒(méi)有辦法實(shí)現綜合監控和安全風(fēng)險的態(tài)勢分析。

　　3企業(yè)運維管理中信息系統安全風(fēng)險的控制策略

　　通過(guò)對上述安全風(fēng)險的問(wèn)題進(jìn)行有效的分析，基于信息的特點(diǎn)，本文提出了下述信息系統安全風(fēng)險的控制策略。

　　3.1加強信息系統數據資源的安全風(fēng)險控制

　　數據資源的風(fēng)險控制主要從三個(gè)方面進(jìn)行：①存儲安全，可以采用先進(jìn)的加密技術(shù)對信息數據庫進(jìn)行加密處理，從數據資產(chǎn)產(chǎn)生的源頭進(jìn)行安全防護體系的構建；②標識安全，通過(guò)標識技術(shù)對信息進(jìn)行去區分標注，經(jīng)過(guò)審計后，讓標識與信息系統密不可分，這樣就不會(huì )出現信息篡改的問(wèn)題；③訪(fǎng)問(wèn)安全，可以采用強制訪(fǎng)問(wèn)控制的方式，對訪(fǎng)問(wèn)主體進(jìn)行限制。例如，某些數據非管理員權限僅能讀取，不能夠打印或者重新編輯，而一些重要信息限制再無(wú)權觀(guān)看。

　　3.2加強信息系統的信息安全風(fēng)險控制

　　信息安全主要就是對應用安全進(jìn)行控制，通過(guò)對系統的需求進(jìn)行有效的分析，設計開(kāi)發(fā)指導驗收運維過(guò)程中進(jìn)行安全保障。同時(shí)還要定期對系統進(jìn)行滲透測試，如果企業(yè)的技術(shù)較為先進(jìn)，還可以通過(guò)源代碼進(jìn)行安全風(fēng)險分析，仔細地對漏洞進(jìn)行查找，如果發(fā)現及時(shí)進(jìn)行修復，長(cháng)此以往就會(huì )不斷提高系統的整體安全性。另外還要將運維過(guò)程中出現的問(wèn)題進(jìn)行整體分析，這樣就能夠形成較為完善的風(fēng)險控制規范，為后續的系統安全提供可行性較高的參考數據。

　　3.3構建運維風(fēng)險控制平臺

　　針對認證管理和孤島等問(wèn)題，就可以?xún)|堡壘機為中間體進(jìn)行控制平臺的構建，形成對企業(yè)信息系統全面的安全監控。通過(guò)安全防護產(chǎn)品的報警日志和應用系統的審計日志，構建威脅事件的審計模型，構建完善的綜合安全事件分析統計平臺，這樣才能對風(fēng)險事件進(jìn)行關(guān)聯(lián)審計分析，最終實(shí)現實(shí)時(shí)報警的效果。

　　3.4加強信息系統的管理和梳理

　　要想切實(shí)地提高企業(yè)的信息系統運維管理能力，必須要加強信息安全專(zhuān)項檢查，要制定詳細的規范來(lái)明確信息系統日常需要進(jìn)行的管理操作，還要對日常管理的具體細節進(jìn)行定義，這樣才能使信息系統日常管理規范、明確，繼而使其信息化和制度化。還要閉環(huán)管理信息安全風(fēng)險和運維實(shí)踐，防止低層次的信息安全問(wèn)題發(fā)生。另外還要加強專(zhuān)項檢查整體提高信息系統的安全運維能力。同時(shí)還要對信息資源進(jìn)行有效的分類(lèi)整理，要構建完善的應急備災能力，還要定期對應急備災的能力進(jìn)行檢測，例如可以臨時(shí)構建信息丟失的問(wèn)題，看其恢復能力，只有這樣才能有效地保障備份能夠及時(shí)地恢復。

　　3.5構建完善的信息風(fēng)險防護體系

　　正與邪、矛與盾、攻與防，永遠都是相對存在的。在信息系統風(fēng)險控制上也是一樣的，要想預防攻擊者的非法入侵，就必須要建立完善的信息風(fēng)險防護體系。所以，企業(yè)要培養構建一支團隊，讓其不斷進(jìn)行學(xué)習，掌握攻擊的技術(shù)，然后讓其對企業(yè)的防護系統進(jìn)行破壞，進(jìn)而完善，只有不斷地從攻擊者的角度去思考，才能夠構建完善的防護體系，只有不斷進(jìn)行攻防，才能夠更好地提升信息風(fēng)險防護體系，讓其更好地保護信息系統，防止信息竊取和篡改的問(wèn)題出現。

　　4結語(yǔ)

　　綜上所述，雖然當下企業(yè)對信息安全風(fēng)險的防護工作不斷重視，也構建了許多防護的措施，具備了一些防護能力，但由于信息技術(shù)的不斷發(fā)展，使漏洞變得更加隱蔽。所以，企業(yè)要想穩定發(fā)展，必須要采取措施對信息系統安全風(fēng)險進(jìn)行運維控制，只有這樣才能有效的保障企業(yè)的經(jīng)濟利益，為企業(yè)的發(fā)展做出有力的支撐。

　　參考文獻：

　　[1]上官琳琳.企業(yè)信息系統的管理與運維研究[J].管理觀(guān)察,2014(18):100-101+104.

　　[2]何芬.企業(yè)運維管理中信息系統安全風(fēng)險控制探究[J].信息技術(shù)與信息化,2014(5):208-210+212.

　　[3]石磊,王剛.關(guān)于企業(yè)信息安全風(fēng)險管理系統的研究[J].華北電力技術(shù),2013(9):65-70.

　　[4]姚遠,肖應霖,談向東.信息安全風(fēng)險管理在企業(yè)訪(fǎng)問(wèn)控制管理中的應用研究[J].信息網(wǎng)絡(luò )安全,2012(12):77-79.

　　[5]利用統一安全運維管理平臺建設企業(yè)信息安全可度量體系[J].計算機安全,2011(2):93-94.

【企業(yè)運維管理中信息系統安全風(fēng)險控制探討論文】相關(guān)文章：

探討企業(yè)稅務(wù)風(fēng)險管理思考論文08-19

企業(yè)營(yíng)銷(xiāo)成本風(fēng)險控制模式探討06-30

企業(yè)財務(wù)風(fēng)險管理與內部控制關(guān)系探討的論文10-02

電力通信運維作業(yè)風(fēng)險研究論文09-17

臨床護理風(fēng)險管理探討的論文08-21

大企業(yè)稅務(wù)風(fēng)險管理探討09-19

淺析內部控制與企業(yè)全面風(fēng)險管理論文10-21

風(fēng)險管理下的企業(yè)內部控制論文08-31

分析企業(yè)IT風(fēng)險控制與審計實(shí)務(wù)的論文10-08

淺談企業(yè)內部控制與風(fēng)險管理論文08-16