企业信息安全风险分析与控制.doc

企业信息安全风险分析与控制.doc企业信息安全风险分析与控制摘要随着互联网的高度发展,企业越来越依赖于信息技术和服务,同时企业信息安全问题、数据安全问题屡见不鲜。企业的信息安全涉及到多个方面,从信息的采集、存储到传输、访问整个过程,每一个过程中都存在信息安全风险。鉴于此,本文对企业信息安全风险进行了分析并提出了控制措施。关键词信息安全风险;控制;策略中图分类号:TP309文献标识码:A文章编号:1671-7597(2013)12-0144-02信息化时代,计算机应用范围日益广泛,社会发展和人们生活已经离不开信息网络。信息成为企业中重要的资源之一,很多企业都大量引入了信息化办公手段,运行于系统、网络和电脑的数据安全成为了企业信息安全面临的重要问题。尽管很多企业都认识到信息安全风险管理的重要性,也纷纷从人员配置、资金投入、技术更新等多方面加强对信息安全风险的管理,但是企业信息安全风险并没有随之消失,相反却在不断地增长。现在,公司在越来越多的威胁面前显得更为脆弱。网络攻击日益频繁、攻击手段日益多样化,从病毒到垃圾邮件,这些方式都被用来窃取公司信息。,如不提前防范,一旦被袭,网络阻塞、系统瘫痪、信息传输中断、数据丢失等等,无疑将给企业业务带来巨大的经济损失。中国国家互联网应急中心抽样监测显示,2011年,网络安全威胁呈蔓延之势,有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,网上资产损失就高达十多亿。仿冒我国境内银行网站站点的IP,也有将近3/4来自美国。可见企业信息安全风险控制势在必行,不仅仅是企业需要关注的问题,也是涉及到国家安全的重要课题。,其中最普遍的一种信息安全威胁就是病毒入侵。一些教授黑客技术的网络资源随处可见,很多年轻人处于好奇或者出于牟利目的,从网上购得黑客技术,对企业网站进行攻击。2011年4月26日,索尼在“游戏站”博客发布通告,称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络,窃取大量用户个人信息,包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等,受影响用户大约7800万。黑客入侵方式中危害最严重的当属SQL注入。SQL注入的实际意义是利用某些数据库的外部接口把用户数据插入到实际的数据操作语言当中,从而达到入侵数据库乃至操作系统的目的,很多黑客通过SQL注入交互和命令,利用数据库实现木马植入到网站中。SQL注入和缓冲区溢出漏洞相比,可以绕过防火墙直接访问数据库,进一步获得数据库所在的服务器权限,给企业造成的损失十分惨重,更使广大互联网用户深受其害。,很多企业都加强了信息化建设,通过资金投入、技术改造等多方面加强企业信息安全。但是信息风险不仅仅是技术层面的东西,更重要是人的意识层面对安全风险的认识。在企业中,很多部门和个人依然对信息安全风险问题不重视,有的认为信息风险安全是网络部门的事情,与其他部门或者员工没有关系,而且也帮不上忙;有的人认为对信息安全的宣传有夸张的嫌疑,真正遭受过网络攻击的企业屈指可数,肯定不会发生在自己身上;有的企业缺乏信息安全风险管理的制度建设,没有出台具体的故障制度,造成很多情况下,员工无章可循,不知道怎么应对网络信息风险,出现问题也不知道如何化解和处理。有的企业尽