中國電信西安分公司 韓 媛

本文首先分析了通信企業(yè)IT系統(tǒng)的運行風(fēng)險，包括網(wǎng)絡(luò)運行中的風(fēng)險問題、客戶信息風(fēng)險問題、內(nèi)部管理方面的風(fēng)險等，隨后文章介紹了通信企業(yè)IT系統(tǒng)的風(fēng)險控制體系，包括IT系統(tǒng)脆弱性評估、IT系統(tǒng)的安全保護項目以及應(yīng)急預(yù)案的建立等，最后文章提出了提高通信企業(yè)中IT系統(tǒng)風(fēng)險控制能力的策略，包括加強數(shù)據(jù)信息系統(tǒng)的安全控制、提高IT系統(tǒng)的風(fēng)險管理能力、健全防護體系等措施，希望能給相關(guān)人士提供一些參考。

一、引言

隨著科技的發(fā)展我國逐漸迎來了信息時代，信息技術(shù)的成熟，使其逐漸成為我國各個行業(yè)領(lǐng)域中的必不可少的管理技術(shù)。同時信息技術(shù)已經(jīng)成為當(dāng)今時代衡量一個企業(yè)發(fā)展實力的重要標(biāo)準(zhǔn)，能夠體現(xiàn)出一個企業(yè)的綜合實力。但我們在使用信息技術(shù)來進行管理的過程中同樣會遇到各種各樣的風(fēng)險問題，從而給企業(yè)帶來發(fā)展危機，本文就此分析了通信企業(yè)運行過程中IT系統(tǒng)法風(fēng)險控制問題，并提出了具體的解決措施。

二、通信企業(yè)IT系統(tǒng)的運行風(fēng)險

（一）網(wǎng)絡(luò)運行中的風(fēng)險問題

首先是日志記錄方面的風(fēng)險問題，在一些IT系統(tǒng)可能還沒有開啟或是根本不具備日志功能，從而導(dǎo)致核心IT系統(tǒng)中沒有完整的日志記錄，同時也沒有對控制機制進行定期的收集歸檔整理，同時IT系統(tǒng)中的部分日志信息記錄也不夠完善，從而沒有辦法對客戶一些重要數(shù)據(jù)信息進行全面的審核，從而對于一些沒有經(jīng)過授權(quán)的訪問行為進行科學(xué)的審核，為通信企業(yè)的發(fā)展帶來一定的影響。

其次就是IT系統(tǒng)硬件方面的故障問題而導(dǎo)致的運行風(fēng)險，外在的硬件風(fēng)險問題主要可以體現(xiàn)在以下幾個方面，網(wǎng)絡(luò)機房的設(shè)計問題、網(wǎng)絡(luò)機房在安裝過程中不能滿足相關(guān)的安全運行標(biāo)準(zhǔn)、企業(yè)中供電系統(tǒng)的問以及不夠充足的后備電源導(dǎo)致通信企業(yè)業(yè)務(wù)中斷的問題。硬件設(shè)備中的內(nèi)在風(fēng)險問題主要表現(xiàn)在設(shè)備的超期服役、設(shè)備老化、基礎(chǔ)不良以及設(shè)備自身的斷線、短路等問題而產(chǎn)生的運行風(fēng)險。

最后是系統(tǒng)接口處的風(fēng)險問題，在一些IT系統(tǒng)中存在數(shù)據(jù)傳輸方面的安全隱患，這種問題主要是接口處的問題所導(dǎo)致的，從而讓網(wǎng)絡(luò)中的第三方可以在沒有經(jīng)過授權(quán)的問題下直接通過系統(tǒng)接口，利用通信企業(yè)中安全防護系統(tǒng)的漏洞或是弱口令方面的不當(dāng)對IT系統(tǒng)進行非授權(quán)訪問或是實施攻擊，接口問題也是企業(yè)中IT系統(tǒng)維護人員和技術(shù)人員容易出現(xiàn)疏漏的地方，一旦對方的非法攻擊成功，將會形成無法挽回的后果。

（二）客戶信息風(fēng)險問題

首先是客戶信息泄露方面的問題，通信企業(yè)中的職員一般會將客戶信息無意或有意地泄露給社會中的外界人員，從而出現(xiàn)客戶隱私泄露的問題，此外，客戶的個人隱私也可能會被社會中一些不法分子利用，對客戶個人利益造成一定的影響，嚴重影響社會秩序。

其次就是濫用客戶信息的問題，通信企業(yè)沒有根據(jù)具體規(guī)定來合理使用客戶信息，從而導(dǎo)致客戶的部分信息被應(yīng)用到啟發(fā)其它方面，引起法律方面的糾紛問題或是引發(fā)客戶的投訴，影響公司的信譽問題。

（三）內(nèi)部管理方面的風(fēng)險

首先是審批管理方面的風(fēng)險問題，一些重要信息在操作過程中缺少充分的參考依據(jù)，從而導(dǎo)致業(yè)務(wù)處理流程不符合相關(guān)的規(guī)范要求，同時在管理層中的審批過程中也缺少科學(xué)的管控，致使各種違規(guī)操作現(xiàn)象頻發(fā)，增加了企業(yè)的運行風(fēng)險。

其次是職責(zé)分工方面的風(fēng)險問題，IT系統(tǒng)的運行操作一般都是由一個人來兼顧多樣運行系統(tǒng)的，包括管理數(shù)據(jù)庫和操作系統(tǒng)等，從而導(dǎo)致在職責(zé)分工方面存在一定的沖突。將多個層面的任務(wù)同時授權(quán)給同一個人進行管理，會使個人權(quán)利過大，能夠?qū)T系統(tǒng)進行各種操作，同時還可以讓管理人員利用數(shù)據(jù)庫權(quán)限和操作系統(tǒng)對應(yīng)用系統(tǒng)中的操作記錄進行任意的修改，增加了相關(guān)管理人員職權(quán)濫用的風(fēng)險。

三、通信企業(yè)IT系統(tǒng)的風(fēng)險控制體系

（一）IT系統(tǒng)脆弱性評估

IT系統(tǒng)脆弱性評估主要包括四項內(nèi)容，一是評估網(wǎng)通信網(wǎng)絡(luò)是否安全。從而保證通信系統(tǒng)和網(wǎng)絡(luò)可以免遭內(nèi)外攻擊，避免由于網(wǎng)絡(luò)通信網(wǎng)絡(luò)問題所引發(fā)的風(fēng)險問題。二是對企業(yè)中的運行系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行安全評估。在評估數(shù)據(jù)庫時應(yīng)該使用人工測試和設(shè)備掃描想相結(jié)合的方式，主要評價內(nèi)容為訪問時限、帳號管理、權(quán)限設(shè)置、并發(fā)時間以及存儲過程等內(nèi)容。三是對企業(yè)中的應(yīng)用數(shù)據(jù)進行科學(xué)評估，分別是評估數(shù)據(jù)信息的保密性，IT系統(tǒng)中的數(shù)據(jù)信息需要進行分級保護，對關(guān)鍵數(shù)據(jù)要通過加密措施進行科學(xué)保護，同時對訪問主體進行嚴格的控制，并建立起完善的授權(quán)體系。其次是數(shù)據(jù)信息的完整性，需要通過常規(guī)的黑客技術(shù)來模擬檢測目標(biāo)客戶系統(tǒng)的安全性，從而找到系統(tǒng)中的漏洞和技術(shù)缺陷，并進行全面的分析。最后是數(shù)據(jù)信息的有效性，建立能夠檢驗數(shù)據(jù)信息完整性的檢驗機制，從而防止數(shù)據(jù)信息被任意篡改。

（二）IT系統(tǒng)的安全保護項目

在檢測完IT系統(tǒng)脆弱性后可以根據(jù)企業(yè)中的IT系統(tǒng)來明確系統(tǒng)保護項目，其中主要有訪問保護、軟件和硬件保護以及管理流程控制等內(nèi)容。訪問保護從廣義方面來看，就是對節(jié)點安全、網(wǎng)絡(luò)接口、網(wǎng)絡(luò)鎖定和網(wǎng)絡(luò)監(jiān)測、網(wǎng)絡(luò)服務(wù)器以及網(wǎng)絡(luò)授權(quán)、進網(wǎng)訪問等進行全面的監(jiān)控。硬件保護就是讓網(wǎng)絡(luò)交換、系統(tǒng)終端和服務(wù)器等硬件設(shè)施免受人為和自然的破壞。軟件保護就是防止IT系統(tǒng)被人非法進行控制，從而降低使用性能。流程管理控制需要根據(jù)評估結(jié)果建立科學(xué)完善的內(nèi)部管理制度，同時根據(jù)企業(yè)實際發(fā)展情況對IT系統(tǒng)中的管理漏洞進行詳細的修補和完善。

（三）應(yīng)急預(yù)案的建立

理論上我們是無法將IT系統(tǒng)中所有運行風(fēng)險全部消除的，為此就需要建立相應(yīng)的應(yīng)急預(yù)案來進行完善，IT系統(tǒng)方面的應(yīng)急預(yù)案包括各種風(fēng)險問題出現(xiàn)后促進IT系統(tǒng)恢復(fù)關(guān)鍵服務(wù)的活動[1]。比如在業(yè)務(wù)連續(xù)規(guī)劃遭到系統(tǒng)中斷或破壞后支持IT系統(tǒng)的功能，業(yè)務(wù)處理方面的恢復(fù)，為核心系統(tǒng)的長期運行能力提供基礎(chǔ)的保障。災(zāi)難性恢復(fù)規(guī)劃方案主要是應(yīng)用在各種災(zāi)難性事件發(fā)生后，設(shè)備無法進行正常訪問的過程中。

四、通信企業(yè)IT系統(tǒng)的風(fēng)險控制策略

（一）加強數(shù)據(jù)信息的安全控制

通信企業(yè)中數(shù)據(jù)信息的風(fēng)險控制主要可以從三個方面入手，一是信息存儲方面的安全性，在這一過程中可以通過科學(xué)的加密技術(shù)有效處理數(shù)據(jù)庫中的各種數(shù)據(jù)信息，同時在數(shù)據(jù)產(chǎn)生源頭入手來建立完善的安全防護系統(tǒng)。二是標(biāo)識安全，在這一過程中可以利用標(biāo)識技術(shù)來標(biāo)注區(qū)分各種數(shù)據(jù)信息，經(jīng)過審計之后，可以加強IT系統(tǒng)和標(biāo)識之間的聯(lián)系性，如此能夠有效避免信息篡改的問題。三是網(wǎng)絡(luò)訪問的安全性，在這一過程中可以通過強制性的訪問控制來進行管理，從而限制訪問主體[2]。比如部分非管理員權(quán)限的數(shù)據(jù)信息只能進行讀取但是不能進行重新修改或是打印，至于部分關(guān)鍵信息可以設(shè)置無權(quán)觀看。要想提高信息的安全性，需要有效控制應(yīng)用安全，通過分析IT系統(tǒng)中的需求設(shè)計指導(dǎo)安全運行保障。同時還需要對IT系統(tǒng)進行定期的滲透檢測，假如企業(yè)中具備先進的技術(shù)條件，還可以利用源代碼來分析IT系統(tǒng)中的安全風(fēng)險，細致查找各種系統(tǒng)樓多功能，一旦發(fā)現(xiàn)就立即實施修復(fù)操作，從而促進IT系統(tǒng)安全防控性能的不斷提高。

（二）提高IT系統(tǒng)的風(fēng)險管理能力

通信企業(yè)中的IT設(shè)計隊伍可以利用一系列科學(xué)方法來改善IT系統(tǒng)的風(fēng)險管理能力，同時提高企業(yè)內(nèi)部控制的整體效率，讓企業(yè)中的內(nèi)部管理流程更具實用性和完備性，為企業(yè)發(fā)展提供基礎(chǔ)的安全保障。IT系統(tǒng)的審計效能主要可以體現(xiàn)在對治理機制的貢獻上[3]。IT系統(tǒng)利用科學(xué)的IT管理系統(tǒng)，將技術(shù)平臺、管理架構(gòu)、運維成本、績效考核、管控制度以及管理流程的維護進行有效的融合。隨后在結(jié)合IT系統(tǒng)來進行系統(tǒng)運維管理工作，從而將系統(tǒng)中被動解決、服務(wù)質(zhì)量、效率低下、溝通不暢等問題進行有效的解決，提高通信企業(yè)的應(yīng)用服務(wù)意識。IT審計方法包括風(fēng)險識別、安全測試、問題追溯等，風(fēng)險識別包括剩余風(fēng)險評價、內(nèi)部控制測試、固有風(fēng)險評價、風(fēng)險識別等。安全測試主要有信息技術(shù)測試、數(shù)據(jù)庫測試、應(yīng)用測試、流量探查、漏洞掃描等方法。而問題追溯實際上就是根據(jù)已有案例的發(fā)生特征，對IT系統(tǒng)日志進行詳細的分析對比工作，從而找出相應(yīng)的解決方案，或是從已有線索入手，根據(jù)具體的風(fēng)險特征，找出有效的風(fēng)險控制策略。

（三）健全防護體系

攻和防、矛和盾、惡與正存在于各個方面，同時不會隨著時間的發(fā)展而消失。同時IT系統(tǒng)是風(fēng)險防控也是一樣，要想徹底防止IT系統(tǒng)中的非法入侵問題，需要健全IT系統(tǒng)的風(fēng)險防護體系。同時通信企業(yè)應(yīng)該培養(yǎng)一支維護隊伍，從而讓維護人員不斷學(xué)習(xí)新技術(shù)，了解黑客的攻擊手段，同時不斷完善企業(yè)IT系統(tǒng)中的防護系統(tǒng)，只有從攻擊者的角度進行考慮才能更好地建立防護系統(tǒng)，提高信息系統(tǒng)的防護能力，杜絕信息篡改和信息偷竊等問題的發(fā)生。要想提高通信企業(yè)中IT系統(tǒng)的管理能力，需要對IT系統(tǒng)進行專項檢查，通過制定完善的管理規(guī)范來進行日常管理，同時還要，明確定義IT系統(tǒng)中的各項管理細節(jié)，如此才能讓信息系統(tǒng)的日常管理更加規(guī)范化和明確化，加強專項檢查，從而促進IT系統(tǒng)管理能力的不斷提高。企業(yè)還需要定時整理內(nèi)部各種信息資源，從而建立起完善的應(yīng)急備災(zāi)系統(tǒng)，對企業(yè)的應(yīng)急備災(zāi)能力進行定時檢查，建立信息丟失查詢系統(tǒng)，讓丟失信息能夠及時進行備份恢復(fù)。

四、結(jié)語

綜上所述，通信企業(yè)和傳統(tǒng)企業(yè)相比在運行發(fā)展方面具有較大的差距，主要是以知識密集型的產(chǎn)業(yè)為主，因此對IT系統(tǒng)具有較高的依賴性，主要特征就是信息和知識，因此需要將信息技術(shù)作為發(fā)展的基礎(chǔ)支撐。這種行業(yè)屬性決定了通信企業(yè)需要加強對IT系統(tǒng)的重視，從而更好地利用IT系統(tǒng)進行風(fēng)險控制，從而促進企業(yè)的平穩(wěn)發(fā)展。