企業(yè)運維管理中信息系統(tǒng)安全風險控制探討論文

企業(yè)運維管理中信息系統(tǒng)安全風險控制探討論文

　　摘要：為了有效控制運維管理中信息系統(tǒng)的安全風險，文章通過對信息系統(tǒng)控制難點進行研究，分析了現(xiàn)今系統(tǒng)存在的安全風險，并制定了詳細的解決策略。以期能夠?qū)Ψ欠ㄔL問、信息篡改的問題進行有效的控制，為今后企業(yè)運維管理提供可靠的參考數(shù)據(jù)，為企業(yè)的發(fā)展做出有力的支撐。

　　關(guān)鍵詞：企業(yè)運維管理；信息系統(tǒng)；安全風險

　　隨著信息時代的來臨，信息系統(tǒng)和技術(shù)已經(jīng)成為當下各個領(lǐng)域不可或缺以及賴以生存的基礎(chǔ)性建設(shè)�，F(xiàn)今信息已經(jīng)成為衡量一個企業(yè)綜合競爭水平的重要標志。但是，信息技術(shù)在不斷支撐著企業(yè)業(yè)務(wù)開展的同時，其在運維方面也會產(chǎn)生相應的安全風險，主要表現(xiàn)為非法訪問、信息篡改以及信息泄露。這些風險就會對企業(yè)的信息安全帶來巨大的隱患。

　　1信息系統(tǒng)安全風險的控制難點

　　近年來隨著網(wǎng)絡(luò)技術(shù)的不斷更新，企業(yè)也通過各種安全措施加強了信息系統(tǒng)安全風險的防護措施，但仍存在兩個難點，首先是信息系統(tǒng)的高風險性，由于當下信息系統(tǒng)較為復雜，且漏洞較多，就會使得系統(tǒng)處于高風險性，使得運維人員很難進行控制。其次是當下IP管理以及信息系統(tǒng)的規(guī)模逐漸增加，也就使得攻擊源變得多樣化，運維人員無法進行有效的追蹤，也無法進行有效的防護。

　　2企業(yè)運維管理中信息系統(tǒng)安全風險分析

　　近年來，信息時代的腳步逐漸加快，信息化的水平也在與日俱增。信息技術(shù)也以其方便、實用等特點廣泛地應用在各企業(yè)之間。而為了更好地將信息技術(shù)的最大作用發(fā)揮出來，就需要定期對其維護。但是隨著信息系統(tǒng)的應用需求逐漸增加，網(wǎng)絡(luò)規(guī)模的不斷擴大，使得信息系統(tǒng)的結(jié)構(gòu)愈加復雜，也使得技術(shù)漏洞逐漸增加，這就會對企業(yè)的信息系統(tǒng)帶來安全隱患。在現(xiàn)今運維管理中信息系統(tǒng)的安全風險主要包括下述幾個方面。

　　2.1服務(wù)器終端層面的風險

　　服務(wù)器終端層面的風險主要分為下述幾個部分：①信息系統(tǒng)的基本安全保密配置不夠完善，管理不夠成熟，這就使得用戶可以私自更改BIOS的啟動順序，使得安全防護產(chǎn)品的失效，從而進行信息的竊取和篡改；②安全風險的報警裝置不夠成熟，不能夠達到預期的效果，通常會由于安全產(chǎn)品之間的兼容性問題失去應用的效用，出現(xiàn)誤報或者漏報的情況。然后就是系統(tǒng)含有漏洞，信息系統(tǒng)最主要的部分就是系統(tǒng)，在當下的企業(yè)中應用的操作系統(tǒng)基本上都為Windows系列，而一些停止補丁升級的Windows系統(tǒng)就存在著漏洞，很容易受到侵蝕，進而造成數(shù)據(jù)的丟失。2.2網(wǎng)絡(luò)層面的風險在網(wǎng)絡(luò)層面安全風險主要為網(wǎng)絡(luò)設(shè)備的安全配置不當，通常會開啟多余的服務(wù)或者端口，這就存在了被非法訪問的隱患。同時在訪問控制方面不能對接入進行有效的控制，會造成設(shè)備非法接入的風險。另外，企業(yè)通常不會對用戶進行分層、分級，這就會導致網(wǎng)絡(luò)拓撲混亂，使得企業(yè)重要的信息資源存在被非法授權(quán)訪問的安全隱患。

　　2.3硬件層面的風險

　　現(xiàn)今，企業(yè)都擁有大量的硬件，且都是采用的國外進口。企業(yè)根本無法知曉底層硬件的工作機制，其是否含有隱藏通道等。例如惠普的某型號服務(wù)器已經(jīng)被證實存在后門，這些設(shè)備的運維都需要專業(yè)的工作人員進行，這也就會使得維修過程容易發(fā)生信息篡改或者信息竊取的風險。2.4應用層面的風險應用層面的風險主要就是身份認證的管理不夠完善。管理員的口令較弱、用戶名和密碼過于簡單等都會被攻擊者利用。甚至在當下一些企業(yè)還有用戶名公用、濫用的現(xiàn)象，這就更給攻擊者提供了良好的機會，攻擊者可以通過這些漏洞進行水平提權(quán)，進而對信息進行竊取，甚至其可以獲取管理者的權(quán)限，對系統(tǒng)進行控制，這就會給企業(yè)造成巨大的經(jīng)濟損失。

　　2.5安全審計層面的風險

　　在當下的信息系統(tǒng)風險管理都會部署一些安全監(jiān)測產(chǎn)品，例如防火墻、殺毒軟件等。這些產(chǎn)品只能針對某類安全問題有效，這就使得信息系統(tǒng)的審計工作變得松散，不能形成完整的體系。而且由于系統(tǒng)的兼容性等原因，總會出現(xiàn)誤報、漏報的現(xiàn)象，這就會對審計的作用帶來巨大的影響，使其無法發(fā)揮其應有的效用。另外，企業(yè)雖然相應的部署了安全管理平臺進行日志的收集，但在當下的信息系統(tǒng)中智能分析能力較弱，不能夠?qū)θ�局進行有效的監(jiān)控，也就沒有辦法實現(xiàn)綜合監(jiān)控和安全風險的態(tài)勢分析。

　　3企業(yè)運維管理中信息系統(tǒng)安全風險的控制策略

　　通過對上述安全風險的問題進行有效的分析，基于信息的特點，本文提出了下述信息系統(tǒng)安全風險的控制策略。

　　3.1加強信息系統(tǒng)數(shù)據(jù)資源的安全風險控制

　　數(shù)據(jù)資源的風險控制主要從三個方面進行：①存儲安全，可以采用先進的加密技術(shù)對信息數(shù)據(jù)庫進行加密處理，從數(shù)據(jù)資產(chǎn)產(chǎn)生的源頭進行安全防護體系的構(gòu)建；②標識安全，通過標識技術(shù)對信息進行去區(qū)分標注，經(jīng)過審計后，讓標識與信息系統(tǒng)密不可分，這樣就不會出現(xiàn)信息篡改的問題；③訪問安全，可以采用強制訪問控制的方式，對訪問主體進行限制。例如，某些數(shù)據(jù)非管理員權(quán)限僅能讀取，不能夠打印或者重新編輯，而一些重要信息限制再無權(quán)觀看。

　　3.2加強信息系統(tǒng)的信息安全風險控制

　　信息安全主要就是對應用安全進行控制，通過對系統(tǒng)的需求進行有效的分析，設(shè)計開發(fā)指導驗收運維過程中進行安全保障。同時還要定期對系統(tǒng)進行滲透測試，如果企業(yè)的技術(shù)較為先進，還可以通過源代碼進行安全風險分析，仔細地對漏洞進行查找，如果發(fā)現(xiàn)及時進行修復，長此以往就會不斷提高系統(tǒng)的整體安全性。另外還要將運維過程中出現(xiàn)的問題進行整體分析，這樣就能夠形成較為完善的風險控制規(guī)范，為后續(xù)的系統(tǒng)安全提供可行性較高的參考數(shù)據(jù)。

　　3.3構(gòu)建運維風險控制平臺

　　針對認證管理和孤島等問題，就可以億堡壘機為中間體進行控制平臺的構(gòu)建，形成對企業(yè)信息系統(tǒng)全面的安全監(jiān)控。通過安全防護產(chǎn)品的報警日志和應用系統(tǒng)的審計日志，構(gòu)建威脅事件的審計模型，構(gòu)建完善的綜合安全事件分析統(tǒng)計平臺，這樣才能對風險事件進行關(guān)聯(lián)審計分析，最終實現(xiàn)實時報警的效果。

　　3.4加強信息系統(tǒng)的管理和梳理

　　要想切實地提高企業(yè)的信息系統(tǒng)運維管理能力，必須要加強信息安全專項檢查，要制定詳細的規(guī)范來明確信息系統(tǒng)日常需要進行的管理操作，還要對日常管理的具體細節(jié)進行定義，這樣才能使信息系統(tǒng)日常管理規(guī)范、明確，繼而使其信息化和制度化。還要閉環(huán)管理信息安全風險和運維實踐，防止低層次的信息安全問題發(fā)生。另外還要加強專項檢查整體提高信息系統(tǒng)的安全運維能力。同時還要對信息資源進行有效的分類整理，要構(gòu)建完善的應急備災能力，還要定期對應急備災的能力進行檢測，例如可以臨時構(gòu)建信息丟失的問題，看其恢復能力，只有這樣才能有效地保障備份能夠及時地恢復。

　　3.5構(gòu)建完善的信息風險防護體系

　　正與邪、矛與盾、攻與防，永遠都是相對存在的。在信息系統(tǒng)風險控制上也是一樣的，要想預防攻擊者的非法入侵，就必須要建立完善的信息風險防護體系。所以，企業(yè)要培養(yǎng)構(gòu)建一支團隊，讓其不斷進行學習，掌握攻擊的技術(shù)，然后讓其對企業(yè)的防護系統(tǒng)進行破壞，進而完善，只有不斷地從攻擊者的角度去思考，才能夠構(gòu)建完善的防護體系，只有不斷進行攻防，才能夠更好地提升信息風險防護體系，讓其更好地保護信息系統(tǒng)，防止信息竊取和篡改的問題出現(xiàn)。

　　4結(jié)語

　　綜上所述，雖然當下企業(yè)對信息安全風險的防護工作不斷重視，也構(gòu)建了許多防護的措施，具備了一些防護能力，但由于信息技術(shù)的不斷發(fā)展，使漏洞變得更加隱蔽。所以，企業(yè)要想穩(wěn)定發(fā)展，必須要采取措施對信息系統(tǒng)安全風險進行運維控制，只有這樣才能有效的保障企業(yè)的經(jīng)濟利益，為企業(yè)的發(fā)展做出有力的支撐。

　　參考文獻：

　　[1]上官琳琳.企業(yè)信息系統(tǒng)的管理與運維研究[J].管理觀察,2014(18):100-101+104.

　　[2]何芬.企業(yè)運維管理中信息系統(tǒng)安全風險控制探究[J].信息技術(shù)與信息化,2014(5):208-210+212.

　　[3]石磊,王剛.關(guān)于企業(yè)信息安全風險管理系統(tǒng)的研究[J].華北電力技術(shù),2013(9):65-70.

　　[4]姚遠,肖應霖,談向東.信息安全風險管理在企業(yè)訪問控制管理中的應用研究[J].信息網(wǎng)絡(luò)安全,2012(12):77-79.

　　[5]利用統(tǒng)一安全運維管理平臺建設(shè)企業(yè)信息安全可度量體系[J].計算機安全,2011(2):93-94.

【企業(yè)運維管理中信息系統(tǒng)安全風險控制探討論文】相關(guān)文章：

探討企業(yè)稅務(wù)風險管理思考論文08-19

企業(yè)營銷成本風險控制模式探討06-30

企業(yè)財務(wù)風險管理與內(nèi)部控制關(guān)系探討的論文10-02

電力通信運維作業(yè)風險研究論文09-17

臨床護理風險管理探討的論文08-21

大企業(yè)稅務(wù)風險管理探討09-19

淺析內(nèi)部控制與企業(yè)全面風險管理論文10-21

風險管理下的企業(yè)內(nèi)部控制論文08-31

分析企業(yè)IT風險控制與審計實務(wù)的論文10-08

淺談企業(yè)內(nèi)部控制與風險管理論文08-16