1 引言

    2006—2020年國家信息化發展戰略中，提出了“以信息化帶動工業化、以工業化促進信息化，促進我國經濟社會又好又快地發展”的指導思想。近年來，企業信息化飛速發展，2008年，國資委評出10家中央企業信息化水平為A級，這些企業信息化水平已部分達到或接近世界先進水平，信息化已成為企業經濟發展的第一驅動力。

    然而，從信息化這枚書寫著各種輝煌的硬幣正面翻到背面，我們可以看到太多的風險。據統計，我國企業信息化實施成功的比例僅為15％，實施后達不到預期效果的比例為35％，實施失敗的比例達50％。比如，對于近年來在大型企業中廣泛推進的信息化項目企業資源規劃(EntERPrie Resourse Planning，ERP)，聯想公司前總裁柳傳志就有“上ERP是找死，不上ERP是等死”的說法。這樣高的信息化風險，可能給企業帶來經濟、法律、聲譽，甚至政治方面的損失。

    信息化風險也是圍內外IT研究的一大熱點，目前已制定了多種標準。比如國際上有信息及相關技術控制目標(Control objectives for Information and Rehted Technology，CobiT)、信息技術控制指南(Information Technology Control Guidelines，ITCG)等風險治理標準，圍內也于2007年6月14日發布了《信息安全技術信息安全風險評估規范》。然而，不同企業對信息化風險的認識有很大差別，很多企業至今還沒有建立完善的信息化風險防控機制。

    本文根據作者信息化風險管理實踐，結合當前國內外主要研究成果，對信息化風險的主要類型、可能的危害、建議采取的對策等方面進行了闡述。

2 風險類型

    最初，對于信息化風險人們只是關注病毒、黑客攻擊以及殺毒軟件、防火墻等安全技術的使用。隨著信息化應用的深入，人們認識到這并不僅僅是一個技術問題。目前，一般將企業信息化風險理解為由于各種不確定因素，使企業信息化結果與預期發生偏離，因而給企業造成各種損失的可能性。

    產生信息化風險的原因主要有三種：信息犯罪；信息化項目效果與預期不符；對于正常運行的系統，由于意外而不可用，使企業管理陷入混亂等。

    2.1 信息犯罪

    實施企業信息化，首先要建設企業信息網絡。如同有了公路就無法完全避免交通事故一樣，在企業信息網絡上也無法徹底避免信息犯罪這種風險。如果信息犯罪的發起方在企業信息網內部，企業要承擔一定的法律責任；如果企業是信息犯罪的受害方，無論其來源是外部攻擊還是內部員工，都會給企業造成損失。

    企業可能遇到的信息犯罪種類包括：非法侵入特定計算機信息系統罪、破壞計算機信息系統罪、侵犯計算機軟件著作權和假冒硬件的犯罪等。比如，因使用盜版Windows軟件而受到微軟起訴的案件就時有報道。

    為了便于調查計算機犯罪時的取證，2006年3月1日起施行的《互聯網安全保護技術措施規定(公安部令第82號)》中，第十三條規定“互聯網服務提供者和聯網使用單位依照本規定落實的記錄留存技術措施，應當具有至少保存六十天記錄備份的功能�！边`反者可能受到警告、罰款、停機整頓，直至取消聯網資格等處罰。

    還有一些情況，雖然不一定觸犯法律，但同樣會給企業帶來嚴重損失。比如：企業關鍵數據通過移動存儲設備、網絡等途徑泄露；企業員工或相關人員利用企業信息網絡發布擾亂企業或社會公共秩序的信息；企業員工工作時間通過企業信息網絡玩游戲、炒股、購物等與工作內容無關的活動，降低了企業工作效率、浪費了資源，同時增加了互聯網上病毒、木馬的入侵機會。

    2.2 項目效果與預期不符

    每一個具體的信息化項目，其實質都是要變革企業的管理方式，而管理方式的變革必然觸及企業的核心，其風險性是必然的。對風險的評估控制不力，將導致項目實施的效果與預期產生偏差，甚至可能還不如項目實施前原有的管理方法，給企業帶來經濟上的，以及時間、人力、物力上的損失。造成這一風險的主要原因有5個。

    2.2.1 規劃動機問題

    有些企業實施信息化并不是為了提升管理水平、促進戰略目標的實現，而是盲目攀比，為了“面子工程”。很顯然，根據這樣的動機來實施信息化，風險性是必然的。

    2.2.2 產品選型問題

    因產品選型不當可能立刻發現問題，也有可能在以后的使用中發現問題。比如，對自身需求與問題認識不清，只是根據方案提供商的實力作為選型標準；盲目采用新的信息科學技術，實際采用后發現，新技術產生的新問題往往很難一下子找到比較好的解決方式等。

    2.2.3 供應商問題

    信息化供應商提供虛假資質及虛報項目參與人員。虛報的項目參與人員、不具備本行業信息化的產品及服務能力、誘導客戶增加不必要的模塊等。

    2.2.4 實施問題

    信息化項目實施前，企業業務流程未能規范化；項目實施過程中，管理不到位；系統測試雖合格但上線后發現很多問題會接踵而來；項目需求不清晰，實施過程中反復修改實施規劃甚至終止項目建設等。

    2.2.5 使用問題

    企業引入信息化后不能與企業當下的管理能力、業務流程相適應，導致最終出現手工與信息化兩套模式同時運行的現象，甚至有的企業在購買了一些“豪華產品”后，就一直將其束之高閣。一些企業實施信息化的初衷是想解決成本居高不下等企業管理頑疾，而忽視了產生這些問題深層次的原因，結果導致實施信息化后，問題反而雪上加霜。

    2.3 系統可用性降低

    對于成功實施并上線運行的項目，由于各種原因，可能導致項目可用性降低，甚至完全不可用。比如系統運行速度變慢、時通時斷、存儲于各種介質中的電子數據丟失或被破壞等。出現這些情況時，如果沒有應急預案或應急預案效果不佳，則很有可能使企業管理陷入混亂。造成這一風險的主要原因有以下3種。

    2.3.1 信息犯罪導致可用性降低

    當信息犯罪的對象在企業網內部時，將給企業信息化的可用性帶來嚴重影響。目前，主要表現形式有蓄意攻擊信息系統，比如拒絕服務攻擊(Denia1 of service．DOS)之類，使得企業網上的系統完全不可用；非法獲取、篡改企業的機密信息，破壞企業關鍵系統的正常運行等黑客攻擊；病毒、蠕蟲、木馬等攻擊造成數據資源被破壞、丟失或長時間不可用等。

    2.3.2 網絡設施及鏈路的破壞

    網絡設施包括機房及機房相關設施，機房內的硬件設備等；鏈路包括局域網內線路、室外光纜線路及無線鏈路等。對于網絡設施及鏈路的破壞原因，既可能是人為蓄意破壞，也可能是自然及物理原因造成的破壞。無論原因如何，造成的損失有兩個方面：一方面是網絡設備或光纜的直接損失，修復一般都需要一定時間及費用；另一方面，更重要的是網絡停用造成的間接損失。

    部分網絡設施、鏈路的人為蓄意破壞屬于犯罪范圍；自然原因包括惡劣天氣對無線鏈路的影響，地震火災等對機房的影響等；機房還面臨著空調及電源系統出現問題。供電、溫濕度、潔凈度等不達標，使機房內的設備受到影響等。

    2.3.3 操作失誤

    由于缺乏責任心或技能不足而導致系統故障或被破壞。比如，錯誤的刪除命令可能導致大量信息瞬問消失。系統使用人員或管理人員可能因操作失誤對系統造成影響，尤其是系統管理人員一旦出現失誤，造成的損失可能會更大。

3 防控對策

    應對信息化風險，企業應樹立適合自身實際的信息化風險管理理念，設立有效的組織機構，定期進行風險評估；對發現的問題及時處理，制定應急預案，以防范突發事件。對全體員工進行教育與培訓，增強信息安全知識，強化信息安全意識。

    研究信息化風險，目的是發現風險，并進行有效地控制和防范，減少企業損失，目標是要確定應對這些風險的最佳策略。同時應認識到，完全消除信息化風險是不可能，也是沒必要的。比如，如果某項風險只影響到10元的成本費用，那么就沒有必要采取20元以上的治理措施；如果某臺染毒計算機通過重裝系統用2個小時能解決，那么就沒必要花上2天時間去琢磨病毒的機理。一般不久后，殺毒軟件的新病毒庫就能直接處理當前病毒。

    3.1 管理及組織

    3.1.1 管理理念

    企業在認識到信息化對企業發展作用的同時，更要認識到信息化風險對企業的影響，建立明確的信息化風險管理理念。

    中石油在信息化建設中，對信息安全管理充分重視，提出了“綜合防范”的原則：在信息安全體系中，管理與技術同等重要，相互補充、相互配合、缺一不可。從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在人員、系統設計、建設和運維的多環節進行綜合防范。

    3.1.2 理念的落實

    信息化風險具有決策信息風險的特質，任何企業實現信息化，都不可能一蹴而就，而應當是一個長期的、分批投入、分步實現的戰略決策過程。因此，企業應當做好信息化決策的長期規劃，以及實現這一規劃的分期目標，并不斷地根據上一階段實踐的反饋結果，修正下一階段的計劃方案。

    3.1.3 組織機構

    企業要設立合乎需要的信息化風險管理機構和崗位。對此，企業領導應給予充分重視，管理機構中的工作人員應同時包括相關專業管理人員以及信息化工作人員，以保證管理與技術措施的順利實施。

    信息化環境下企業機構和崗位設置仍應符合必要的內部牽制原則，應當加強對重要工作崗位(如系統管理員)的管理，從制度上減少出現問題的可能性。

    3.2 風險評估

    3.2.1 概念

    風險評估是識別及評價信息化風險的重要方法。2007年6月14日，我國發布了信息安全風險評估國家標準GB/T20984—2007《信息安全技術信息安全風險評估規范》。標準中對信息安全風險評估的定義是：運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，并為提出有針對性的抵御威脅的防護對策和整改措施提供科學依據。

    3.2.2 風險源識別

    只有掌握了風險的根源及位置，才有可能進一步考慮和設計出有效的控制措施并確定相關責任人。信息化環境下的風險識別是指在全面了解企業信息化管理流程的基礎上，識別出相關風險，并判定風險的性質、產生的條件、所處的流程等，即實現風險溯源。

    3.2.3 脆弱性評估

    信息安全風險評估方法有定性評估方法與定量評估方法。定性評估主要依據研究者的知識、經驗、政策水平等對系統風險狀況做出非量化的判斷，其優點是評估速度快，而且有可能挖掘出一些蘊涵很深的問題，缺點是主觀性強，對評估者要求高。定量評估主要是通過因子分析、聚類分析等方法，運用數量指標來對風險進行評估，其優點是結果直觀，缺點是有些數據難以精確計算，而且可能非常耗時，因此實踐中常常采用定性與定量評估相結合的方式。

    風險評估中各要素的關系如圖1所示。圖1中方框部分的內容為風險評估的基本要素，橢圓部分的內容是與這些要素相關的屬性。風險評估圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。

圖1 風險評估要素關系圖

    國家標準中給出了風險計算原理，以下面的公式表達：風險值=R (A，T，V)=R [L(T，V)，F(Ia，Va)]，其中：

    R表示安全風險計算函數；

    A表不資產；

    T表示威脅；

    V表示脆弱性；

    Ia表示安全事件所作用的資產價值；

    Va表示脆弱性嚴重程度；

    L表示威脅利用資產的脆弱性導致安全事件的可能性；

    F表示安全事件發生后造成的損失。

    3.2.4 評估形式

    信息安全風險評估分為自評估和檢查評估兩種形式，以自評估為主，自評估和檢查評估相互結合、互為補充。自評估是指信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估。周期性進行的自評估可以適當簡化，重點針對新威脅，但系統發生重大變更時，應進行完整評估。

    自評估可由發起方實施或委托風險評估服務技術支持方實施。由發起方實施的評估可以降低實施的費用，提高信息系統相關人員的安全意識，但可能由于缺乏風險評估的專業技能，其結果不夠深入準確。同時，受到組織內部各種因素的影響，其評估結果的客觀性易受影響。委托風險評估服務技術支持方實施的評估，過程比較規范、評估結果的客觀性比較好，可信程度較高；但由于受到行業知識技能及業務了解的限制，對被評估系統的了解，尤其是在業務方面的特殊要求存在一定的局限。同時，由于引入第三方本身就是一個風險因素，因此，對技術支持方的背景與資質、評估過程與結果的保密要求等方面應進行控制。

    檢查評估是指信息系統上級管理部門組織的或國家有關職能部門依法開展的風險評估。檢查評估也可委托風險評估服務技術支持方實施，但評估結果僅對檢查評估的發起單位負責。

    3.2.5 評估時機

    隨著國際上網絡黑客等攻擊技術的不斷改進，風險處于隨時變動的狀態，因此，風險評估應貫穿于信息系統生命周期的各階段中。在規劃設計階段，通過風險評估以確定系統的安全目標；在建設驗收階段，通過風險評估以確定系統的安全目標達成與否；在運行維護階段，要不斷地實施風險評估以識別系統面臨的不斷變化的風險和脆弱性，從而確定安全措施的有效性，確保安全目標得以實現。

    3.3 風險控制與應急預案

    風險防控措施是指按照企業的風險控制理念及風險評估結果，確定的企業風險控制管理及技術措施。對信息化系統制定各種措施時，應對業務流程同時進行檢查，并進行必要的優化。為保證管理措施的順利實施，要制定賞罰分明的監督檢查制度。

    與風險防范措施類似，應急預案的制定也需要根據情況變化定期檢查更新，同時，為了保證其在出現問題時真正有效，要進行實際演練。

    3.4 教育與培訓

    為防范信息化風險，應實施針對每個信息化項目的培訓和企業網絡安全專題培訓。對不同的人員實施以不同目的的培訓，比如，對于信息安全管理人員的培訓，要符合國家信息安全相關要求，取得必要的資格證書；對于信息化項目的實施，培訓應貫穿項目建設的整個過程；對于一般企業網絡使用者，要符合企業網絡安全的要求，定期培訓、全面覆蓋。

4 結論

    企業信息化進程中必然存在諸多風險，但不能因此對信息化產生畏懼感，要認識風險、正視風險，并采取相應的措施降低風險、規避風險。

    相信在企業領導重視之下，樹立科學的信息化風險防控理念，建立適當的組織機構后，憑借客觀的風險評估以發現風險，制定防控措施和應急預案以預防風險，進行分級培訓以促進全員了解風險，信息化風險的范圍與程度一定會被企業所掌控，從而保證信息化效果順利實現，為企業發展增添強勁動力。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業信息化風險與對策研究

本文網址：http://www.guhuozai8.cn/html/support/1112182995.html