企业信息安全风险分析与控制

龙源期刊网 https://www.360docs.net/doc/532046586.html,

企业信息安全风险分析与控制

作者：金黎阳

来源：《硅谷》2013年第12期

摘要随着互联网的高度发展，企业越来越依赖于信息技术和服务，同时企业信息安全问题、数据安全问题屡见不鲜。企业的信息安全涉及到多个方面，从信息的采集、存储到传输、访问整个过程，每一个过程中都存在信息安全风险。鉴于此，本文对企业信息安全风险进行了分析并提出了控制措施。

关键词信息安全风险；控制；策略

中图分类号：TP309 文献标识码：A 文章编号：1671-7597（2013）12-0144-02

信息化时代，计算机应用范围日益广泛，社会发展和人们生活已经离不开信息网络。信息成为企业中重要的资源之一，很多企业都大量引入了信息化办公手段，运行于系统、网络和电脑的数据安全成为了企业信息安全面临的重要问题。尽管很多企业都认识到信息安全风险管理的重要性，也纷纷从人员配置、资金投入、技术更新等多方面加强对信息安全风险的管理，但是企业信息安全风险并没有随之消失，相反却在不断地增长。现在，公司在越来越多的威胁面前显得更为脆弱。网络攻击日益频繁、攻击手段日益多样化，从病毒到垃圾邮件，这些方式都被用来窃取公司信息。，如不提前防范，一旦被袭，网络阻塞、系统瘫痪、信息传输中断、数据丢失等等，无疑将给企业业务带来巨大的经济损失。

中国国家互联网应急中心抽样监测显示，2011年，网络安全威胁呈蔓延之势，有近5万

个境外IP地址作为木马或僵尸网络控制服务器，参与控制了我国境内近890万台主机，网上资产损失就高达十多亿。仿冒我国境内银行网站站点的IP，也有将近3/4来自美国。可见企业信息安全风险控制势在必行，不仅仅是企业需要关注的问题，也是涉及到国家安全的重要课题。

1 企业信息安全风险分析

1.1 黑客的入侵和攻击

企业面临着一系列的信息安全威胁，其中最普遍的一种信息安全威胁就是病毒入侵。一些教授黑客技术的网络资源随处可见，很多年轻人处于好奇或者出于牟利目的，从网上购得黑客技术，对企业网站进行攻击。2011年4月26日，索尼在“游戏站”博客发布通告，称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络，窃取大量用户个人信息，包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等，受影响用户大约7800万。黑客入侵方式中危害最严重的当属SQL注入。SQL注入的实际意义是利用某些数据库的外部接口把用户数据插入到实际的数据操作语言当中，从而达到入侵数据库乃至操作系统的目的，