本文关于企业信息化面临哪些风险,据
亚洲金融智库2021-05-02日讯:
从信息安全体系层面来看,有:
1信息网络结构和边界风险
由于不同安全域之间的网络连接没有有效的访问控制措施,来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。
2病毒侵害和网络攻击
企业中的防病毒软件只能查杀病毒,却不能有效地阻止病毒的传播;入侵检测系统可以检查出蠕虫在网络上传播,却不能清除蠕虫;补丁管理可以防止蠕虫的感染,却不能查杀蠕虫。企业各个安全产品单独工作,无法系统地查杀病毒并防止病毒传播。
3系统安全风险
系统安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少企业网络使用的操作系统仍然是以Windows系列操作系统为主。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致人侵者获得管理员的权限,可以被用来实施拒绝服务等攻击。
4信息日常传递风险
企业和外部的单位都有着许多工作联系,日常许多信息数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取,从而泄露企业机密;被非法篡改,造成数据混乱、信息错误从而造成工作失误等。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来棍乱,造成企业损失。
从信息安全管理层面来看,有:
1信息安全管理措施不到位
企业因配置不当或使用过时的操作系统、邮件程序等,造成企业内部网络存在入侵者可利用的缺陷。当厂商通过发布补丁或升级软件来解决安全问题时,许多用户系统不进行同步升级,原因是管理者未充分意识到网络不安全的风险所在,未引起重视。有些信息系统采用开放的操作系统,安全级别低,又没有附加安全措施,难以抵御黑客和信息炸弹的攻击。
2企业信息管理革新明显滞后技术发展
相对于信息技术的发展与应用,企业管理革新处于落后状况。有的企业引入了先进的业务系统、管理系统,而管理模式未能实施有效革新,最终导致了信息系统未能发挥预期的、应有的作用。
3用户身份认证和访问控制不够
在实际应用中,企业部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制;部分应用系统没有一个统一的用户管理,无法保证账号的有效管理和安全;同时因缺乏严格的验证机制,导致非法用户使用关键业务系统;不同业务系统之间缺少较细粒度的访问控制。
4企业工作人员安全意识淡薄
企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识淡薄。企业注重的是网络效应,对安全领域的投入和管理不能满足安全防范的要求,网络信息安全处于被动的封堵漏捌状态。工作人员安全意识不强,如共用口令、随意复制及传播企业内部信息等,增加了黑客进攻的机会和信息泄露的风险,这都将给企业网络信息安全埋下隐患。
5企业信息资产管理风险较高
信息资产的高风险性源自于信息资产传播的低成本性。在激烈竞争的市场环境中信息资产的安全风险较高。一般来说,信息资产经常处于公共的介质中或处于流动状态,这就使信息资产的复制成本较低,从而导致企业拥有和控制的信息资产的安全性很差。没有安全保障的信息资产,谈不上资产价值。信息资产具有工程性和社会性的软硬属性,短期无法量化,价值的确认存在风险,管理的过程中也存在类似风险。
专题推荐:
哪些(253)面临(11)信息化(9)