1 引言

    2006—2020年國家信息化發(fā)展戰(zhàn)略中，提出了“以信息化帶動工業(yè)化、以工業(yè)化促進信息化，促進我國經(jīng)濟社會又好又快地發(fā)展”的指導思想。近年來，企業(yè)信息化飛速發(fā)展，2008年，國資委評出10家中央企業(yè)信息化水平為A級，這些企業(yè)信息化水平已部分達到或接近世界先進水平，信息化已成為企業(yè)經(jīng)濟發(fā)展的第一驅(qū)動力。

    然而，從信息化這枚書寫著各種輝煌的硬幣正面翻到背面，我們可以看到太多的風險。據(jù)統(tǒng)計，我國企業(yè)信息化實施成功的比例僅為15％，實施后達不到預期效果的比例為35％，實施失敗的比例達50％。比如，對于近年來在大型企業(yè)中廣泛推進的信息化項目企業(yè)資源規(guī)劃(EntERPrie Resourse Planning，ERP)，聯(lián)想公司前總裁柳傳志就有“上ERP是找死，不上ERP是等死”的說法。這樣高的信息化風險，可能給企業(yè)帶來經(jīng)濟、法律、聲譽，甚至政治方面的損失。

    信息化風險也是圍內(nèi)外IT研究的一大熱點，目前已制定了多種標準。比如國際上有信息及相關(guān)技術(shù)控制目標(Control objectives for Information and Rehted Technology，CobiT)、信息技術(shù)控制指南(Information Technology Control Guidelines，ITCG)等風險治理標準，圍內(nèi)也于2007年6月14日發(fā)布了《信息安全技術(shù)信息安全風險評估規(guī)范》。然而，不同企業(yè)對信息化風險的認識有很大差別，很多企業(yè)至今還沒有建立完善的信息化風險防控機制。

    本文根據(jù)作者信息化風險管理實踐，結(jié)合當前國內(nèi)外主要研究成果，對信息化風險的主要類型、可能的危害、建議采取的對策等方面進行了闡述。

2 風險類型

    最初，對于信息化風險人們只是關(guān)注病毒、黑客攻擊以及殺毒軟件、防火墻等安全技術(shù)的使用。隨著信息化應(yīng)用的深入，人們認識到這并不僅僅是一個技術(shù)問題。目前，一般將企業(yè)信息化風險理解為由于各種不確定因素，使企業(yè)信息化結(jié)果與預期發(fā)生偏離，因而給企業(yè)造成各種損失的可能性。

    產(chǎn)生信息化風險的原因主要有三種：信息犯罪；信息化項目效果與預期不符；對于正常運行的系統(tǒng)，由于意外而不可用，使企業(yè)管理陷入混亂等。

    2.1 信息犯罪

    實施企業(yè)信息化，首先要建設(shè)企業(yè)信息網(wǎng)絡(luò)。如同有了公路就無法完全避免交通事故一樣，在企業(yè)信息網(wǎng)絡(luò)上也無法徹底避免信息犯罪這種風險。如果信息犯罪的發(fā)起方在企業(yè)信息網(wǎng)內(nèi)部，企業(yè)要承擔一定的法律責任；如果企業(yè)是信息犯罪的受害方，無論其來源是外部攻擊還是內(nèi)部員工，都會給企業(yè)造成損失。

    企業(yè)可能遇到的信息犯罪種類包括：非法侵入特定計算機信息系統(tǒng)罪、破壞計算機信息系統(tǒng)罪、侵犯計算機軟件著作權(quán)和假冒硬件的犯罪等。比如，因使用盜版Windows軟件而受到微軟起訴的案件就時有報道。

    為了便于調(diào)查計算機犯罪時的取證，2006年3月1日起施行的《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定(公安部令第82號)》中，第十三條規(guī)定“互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位依照本規(guī)定落實的記錄留存技術(shù)措施，應(yīng)當具有至少保存六十天記錄備份的功能�！边`反者可能受到警告、罰款、停機整頓，直至取消聯(lián)網(wǎng)資格等處罰。

    還有一些情況，雖然不一定觸犯法律，但同樣會給企業(yè)帶來嚴重損失。比如：企業(yè)關(guān)鍵數(shù)據(jù)通過移動存儲設(shè)備、網(wǎng)絡(luò)等途徑泄露；企業(yè)員工或相關(guān)人員利用企業(yè)信息網(wǎng)絡(luò)發(fā)布擾亂企業(yè)或社會公共秩序的信息；企業(yè)員工工作時間通過企業(yè)信息網(wǎng)絡(luò)玩游戲、炒股、購物等與工作內(nèi)容無關(guān)的活動，降低了企業(yè)工作效率、浪費了資源，同時增加了互聯(lián)網(wǎng)上病毒、木馬的入侵機會。

    2.2 項目效果與預期不符

    每一個具體的信息化項目，其實質(zhì)都是要變革企業(yè)的管理方式，而管理方式的變革必然觸及企業(yè)的核心，其風險性是必然的。對風險的評估控制不力，將導致項目實施的效果與預期產(chǎn)生偏差，甚至可能還不如項目實施前原有的管理方法，給企業(yè)帶來經(jīng)濟上的，以及時間、人力、物力上的損失。造成這一風險的主要原因有5個。

    2.2.1 規(guī)劃動機問題

    有些企業(yè)實施信息化并不是為了提升管理水平、促進戰(zhàn)略目標的實現(xiàn)，而是盲目攀比，為了“面子工程”。很顯然，根據(jù)這樣的動機來實施信息化，風險性是必然的。

    2.2.2 產(chǎn)品選型問題

    因產(chǎn)品選型不當可能立刻發(fā)現(xiàn)問題，也有可能在以后的使用中發(fā)現(xiàn)問題。比如，對自身需求與問題認識不清，只是根據(jù)方案提供商的實力作為選型標準；盲目采用新的信息科學技術(shù)，實際采用后發(fā)現(xiàn)，新技術(shù)產(chǎn)生的新問題往往很難一下子找到比較好的解決方式等。

    2.2.3 供應(yīng)商問題

    信息化供應(yīng)商提供虛假資質(zhì)及虛報項目參與人員。虛報的項目參與人員、不具備本行業(yè)信息化的產(chǎn)品及服務(wù)能力、誘導客戶增加不必要的模塊等。

    2.2.4 實施問題

    信息化項目實施前，企業(yè)業(yè)務(wù)流程未能規(guī)范化；項目實施過程中，管理不到位；系統(tǒng)測試雖合格但上線后發(fā)現(xiàn)很多問題會接踵而來；項目需求不清晰，實施過程中反復修改實施規(guī)劃甚至終止項目建設(shè)等。

    2.2.5 使用問題

    企業(yè)引入信息化后不能與企業(yè)當下的管理能力、業(yè)務(wù)流程相適應(yīng)，導致最終出現(xiàn)手工與信息化兩套模式同時運行的現(xiàn)象，甚至有的企業(yè)在購買了一些“豪華產(chǎn)品”后，就一直將其束之高閣。一些企業(yè)實施信息化的初衷是想解決成本居高不下等企業(yè)管理頑疾，而忽視了產(chǎn)生這些問題深層次的原因，結(jié)果導致實施信息化后，問題反而雪上加霜。

    2.3 系統(tǒng)可用性降低

    對于成功實施并上線運行的項目，由于各種原因，可能導致項目可用性降低，甚至完全不可用。比如系統(tǒng)運行速度變慢、時通時斷、存儲于各種介質(zhì)中的電子數(shù)據(jù)丟失或被破壞等。出現(xiàn)這些情況時，如果沒有應(yīng)急預案或應(yīng)急預案效果不佳，則很有可能使企業(yè)管理陷入混亂。造成這一風險的主要原因有以下3種。

    2.3.1 信息犯罪導致可用性降低

    當信息犯罪的對象在企業(yè)網(wǎng)內(nèi)部時，將給企業(yè)信息化的可用性帶來嚴重影響。目前，主要表現(xiàn)形式有蓄意攻擊信息系統(tǒng)，比如拒絕服務(wù)攻擊(Denia1 of service．DOS)之類，使得企業(yè)網(wǎng)上的系統(tǒng)完全不可用；非法獲取、篡改企業(yè)的機密信息，破壞企業(yè)關(guān)鍵系統(tǒng)的正常運行等黑客攻擊；病毒、蠕蟲、木馬等攻擊造成數(shù)據(jù)資源被破壞、丟失或長時間不可用等。

    2.3.2 網(wǎng)絡(luò)設(shè)施及鏈路的破壞

    網(wǎng)絡(luò)設(shè)施包括機房及機房相關(guān)設(shè)施，機房內(nèi)的硬件設(shè)備等；鏈路包括局域網(wǎng)內(nèi)線路、室外光纜線路及無線鏈路等。對于網(wǎng)絡(luò)設(shè)施及鏈路的破壞原因，既可能是人為蓄意破壞，也可能是自然及物理原因造成的破壞。無論原因如何，造成的損失有兩個方面：一方面是網(wǎng)絡(luò)設(shè)備或光纜的直接損失，修復一般都需要一定時間及費用；另一方面，更重要的是網(wǎng)絡(luò)停用造成的間接損失。

    部分網(wǎng)絡(luò)設(shè)施、鏈路的人為蓄意破壞屬于犯罪范圍；自然原因包括惡劣天氣對無線鏈路的影響，地震火災(zāi)等對機房的影響等；機房還面臨著空調(diào)及電源系統(tǒng)出現(xiàn)問題。供電、溫濕度、潔凈度等不達標，使機房內(nèi)的設(shè)備受到影響等。

    2.3.3 操作失誤

    由于缺乏責任心或技能不足而導致系統(tǒng)故障或被破壞。比如，錯誤的刪除命令可能導致大量信息瞬問消失。系統(tǒng)使用人員或管理人員可能因操作失誤對系統(tǒng)造成影響，尤其是系統(tǒng)管理人員一旦出現(xiàn)失誤，造成的損失可能會更大。

3 防控對策

    應(yīng)對信息化風險，企業(yè)應(yīng)樹立適合自身實際的信息化風險管理理念，設(shè)立有效的組織機構(gòu)，定期進行風險評估；對發(fā)現(xiàn)的問題及時處理，制定應(yīng)急預案，以防范突發(fā)事件。對全體員工進行教育與培訓，增強信息安全知識，強化信息安全意識。

    研究信息化風險，目的是發(fā)現(xiàn)風險，并進行有效地控制和防范，減少企業(yè)損失，目標是要確定應(yīng)對這些風險的最佳策略。同時應(yīng)認識到，完全消除信息化風險是不可能，也是沒必要的。比如，如果某項風險只影響到10元的成本費用，那么就沒有必要采取20元以上的治理措施；如果某臺染毒計算機通過重裝系統(tǒng)用2個小時能解決，那么就沒必要花上2天時間去琢磨病毒的機理。一般不久后，殺毒軟件的新病毒庫就能直接處理當前病毒。

    3.1 管理及組織

    3.1.1 管理理念

    企業(yè)在認識到信息化對企業(yè)發(fā)展作用的同時，更要認識到信息化風險對企業(yè)的影響，建立明確的信息化風險管理理念。

    中石油在信息化建設(shè)中，對信息安全管理充分重視，提出了“綜合防范”的原則：在信息安全體系中，管理與技術(shù)同等重要，相互補充、相互配合、缺一不可。從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在人員、系統(tǒng)設(shè)計、建設(shè)和運維的多環(huán)節(jié)進行綜合防范。

    3.1.2 理念的落實

    信息化風險具有決策信息風險的特質(zhì)，任何企業(yè)實現(xiàn)信息化，都不可能一蹴而就，而應(yīng)當是一個長期的、分批投入、分步實現(xiàn)的戰(zhàn)略決策過程。因此，企業(yè)應(yīng)當做好信息化決策的長期規(guī)劃，以及實現(xiàn)這一規(guī)劃的分期目標，并不斷地根據(jù)上一階段實踐的反饋結(jié)果，修正下一階段的計劃方案。

    3.1.3 組織機構(gòu)

    企業(yè)要設(shè)立合乎需要的信息化風險管理機構(gòu)和崗位。對此，企業(yè)領(lǐng)導應(yīng)給予充分重視，管理機構(gòu)中的工作人員應(yīng)同時包括相關(guān)專業(yè)管理人員以及信息化工作人員，以保證管理與技術(shù)措施的順利實施。

    信息化環(huán)境下企業(yè)機構(gòu)和崗位設(shè)置仍應(yīng)符合必要的內(nèi)部牽制原則，應(yīng)當加強對重要工作崗位(如系統(tǒng)管理員)的管理，從制度上減少出現(xiàn)問題的可能性。

    3.2 風險評估

    3.2.1 概念

    風險評估是識別及評價信息化風險的重要方法。2007年6月14日，我國發(fā)布了信息安全風險評估國家標準GB/T20984—2007《信息安全技術(shù)信息安全風險評估規(guī)范》。標準中對信息安全風險評估的定義是：運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，并為提出有針對性的抵御威脅的防護對策和整改措施提供科學依據(jù)。

    3.2.2 風險源識別

    只有掌握了風險的根源及位置，才有可能進一步考慮和設(shè)計出有效的控制措施并確定相關(guān)責任人。信息化環(huán)境下的風險識別是指在全面了解企業(yè)信息化管理流程的基礎(chǔ)上，識別出相關(guān)風險，并判定風險的性質(zhì)、產(chǎn)生的條件、所處的流程等，即實現(xiàn)風險溯源。

    3.2.3 脆弱性評估

    信息安全風險評估方法有定性評估方法與定量評估方法。定性評估主要依據(jù)研究者的知識、經(jīng)驗、政策水平等對系統(tǒng)風險狀況做出非量化的判斷，其優(yōu)點是評估速度快，而且有可能挖掘出一些蘊涵很深的問題，缺點是主觀性強，對評估者要求高。定量評估主要是通過因子分析、聚類分析等方法，運用數(shù)量指標來對風險進行評估，其優(yōu)點是結(jié)果直觀，缺點是有些數(shù)據(jù)難以精確計算，而且可能非常耗時，因此實踐中常常采用定性與定量評估相結(jié)合的方式。

    風險評估中各要素的關(guān)系如圖1所示。圖1中方框部分的內(nèi)容為風險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風險評估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要素相關(guān)的各類屬性。

圖1 風險評估要素關(guān)系圖

    國家標準中給出了風險計算原理，以下面的公式表達：風險值=R (A，T，V)=R [L(T，V)，F(xiàn)(Ia，Va)]，其中：

    R表示安全風險計算函數(shù)；

    A表不資產(chǎn)；

    T表示威脅；

    V表示脆弱性；

    Ia表示安全事件所作用的資產(chǎn)價值；

    Va表示脆弱性嚴重程度；

    L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性；

    F表示安全事件發(fā)生后造成的損失。

    3.2.4 評估形式

    信息安全風險評估分為自評估和檢查評估兩種形式，以自評估為主，自評估和檢查評估相互結(jié)合、互為補充。自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估。周期性進行的自評估可以適當簡化，重點針對新威脅，但系統(tǒng)發(fā)生重大變更時，應(yīng)進行完整評估。

    自評估可由發(fā)起方實施或委托風險評估服務(wù)技術(shù)支持方實施。由發(fā)起方實施的評估可以降低實施的費用，提高信息系統(tǒng)相關(guān)人員的安全意識，但可能由于缺乏風險評估的專業(yè)技能，其結(jié)果不夠深入準確。同時，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。委托風險評估服務(wù)技術(shù)支持方實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。同時，由于引入第三方本身就是一個風險因素，因此，對技術(shù)支持方的背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進行控制。

    檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風險評估。檢查評估也可委托風險評估服務(wù)技術(shù)支持方實施，但評估結(jié)果僅對檢查評估的發(fā)起單位負責。

    3.2.5 評估時機

    隨著國際上網(wǎng)絡(luò)黑客等攻擊技術(shù)的不斷改進，風險處于隨時變動的狀態(tài)，因此，風險評估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中。在規(guī)劃設(shè)計階段，通過風險評估以確定系統(tǒng)的安全目標；在建設(shè)驗收階段，通過風險評估以確定系統(tǒng)的安全目標達成與否；在運行維護階段，要不斷地實施風險評估以識別系統(tǒng)面臨的不斷變化的風險和脆弱性，從而確定安全措施的有效性，確保安全目標得以實現(xiàn)。

    3.3 風險控制與應(yīng)急預案

    風險防控措施是指按照企業(yè)的風險控制理念及風險評估結(jié)果，確定的企業(yè)風險控制管理及技術(shù)措施。對信息化系統(tǒng)制定各種措施時，應(yīng)對業(yè)務(wù)流程同時進行檢查，并進行必要的優(yōu)化。為保證管理措施的順利實施，要制定賞罰分明的監(jiān)督檢查制度。

    與風險防范措施類似，應(yīng)急預案的制定也需要根據(jù)情況變化定期檢查更新，同時，為了保證其在出現(xiàn)問題時真正有效，要進行實際演練。

    3.4 教育與培訓

    為防范信息化風險，應(yīng)實施針對每個信息化項目的培訓和企業(yè)網(wǎng)絡(luò)安全專題培訓。對不同的人員實施以不同目的的培訓，比如，對于信息安全管理人員的培訓，要符合國家信息安全相關(guān)要求，取得必要的資格證書；對于信息化項目的實施，培訓應(yīng)貫穿項目建設(shè)的整個過程；對于一般企業(yè)網(wǎng)絡(luò)使用者，要符合企業(yè)網(wǎng)絡(luò)安全的要求，定期培訓、全面覆蓋。

4 結(jié)論

    企業(yè)信息化進程中必然存在諸多風險，但不能因此對信息化產(chǎn)生畏懼感，要認識風險、正視風險，并采取相應(yīng)的措施降低風險、規(guī)避風險。

    相信在企業(yè)領(lǐng)導重視之下，樹立科學的信息化風險防控理念，建立適當?shù)慕M織機構(gòu)后，憑借客觀的風險評估以發(fā)現(xiàn)風險，制定防控措施和應(yīng)急預案以預防風險，進行分級培訓以促進全員了解風險，信息化風險的范圍與程度一定會被企業(yè)所掌控，從而保證信息化效果順利實現(xiàn)，為企業(yè)發(fā)展增添強勁動力。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：企業(yè)信息化風險與對策研究

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112182995.html