1 引言
2006—2020年国家信息化发展战略中,提出了“以信息化带动工业化、以工业化促进信息化,促进我国经济社会又好又快地发展”的指导思想。近年来,企业信息化飞速发展,2008年,国资委评出10家中央企业信息化水平为A级,这些企业信息化水平已部分达到或接近世界先进水平,信息化已成为企业经济发展的第一驱动力。
然而,从信息化这枚书写着各种辉煌的硬币正面翻到背面,我们可以看到太多的风险。据统计,我国企业信息化实施成功的比例仅为15%,实施后达不到预期效果的比例为35%,实施失败的比例达50%。比如,对于近年来在大型企业中广泛推进的信息化项目企业资源规划(EntERPrie Resourse Planning,ERP),联想公司前总裁柳传志就有“上ERP是找死,不上ERP是等死”的说法。这样高的信息化风险,可能给企业带来经济、法律、声誉,甚至政治方面的损失。
信息化风险也是围内外IT研究的一大热点,目前已制定了多种标准。比如国际上有信息及相关技术控制目标(Control objectives for Information and Rehted Technology,CobiT)、信息技术控制指南(Information Technology Control Guidelines,ITCG)等风险治理标准,围内也于2007年6月14日发布了《信息安全技术信息安全风险评估规范》。然而,不同企业对信息化风险的认识有很大差别,很多企业至今还没有建立完善的信息化风险防控机制。
本文根据作者信息化风险管理实践,结合当前国内外主要研究成果,对信息化风险的主要类型、可能的危害、建议采取的对策等方面进行了阐述。
2 风险类型
最初,对于信息化风险人们只是关注病毒、黑客攻击以及杀毒软件、防火墙等安全技术的使用。随着信息化应用的深入,人们认识到这并不仅仅是一个技术问题。目前,一般将企业信息化风险理解为由于各种不确定因素,使企业信息化结果与预期发生偏离,因而给企业造成各种损失的可能性。
产生信息化风险的原因主要有三种:信息犯罪;信息化项目效果与预期不符;对于正常运行的系统,由于意外而不可用,使企业管理陷入混乱等。
2.1 信息犯罪
实施企业信息化,首先要建设企业信息网络。如同有了公路就无法完全避免交通事故一样,在企业信息网络上也无法彻底避免信息犯罪这种风险。如果信息犯罪的发起方在企业信息网内部,企业要承担一定的法律责任;如果企业是信息犯罪的受害方,无论其来源是外部攻击还是内部员工,都会给企业造成损失。
企业可能遇到的信息犯罪种类包括:非法侵入特定计算机信息系统罪、破坏计算机信息系统罪、侵犯计算机软件著作权和假冒硬件的犯罪等。比如,因使用盗版Windows软件而受到微软起诉的案件就时有报道。
为了便于调查计算机犯罪时的取证,2006年3月1日起施行的《互联网安全保护技术措施规定(公安部令第82号)》中,第十三条规定“互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。”违反者可能受到警告、罚款、停机整顿,直至取消联网资格等处罚。
还有一些情况,虽然不一定触犯法律,但同样会给企业带来严重损失。比如:企业关键数据通过移动存储设备、网络等途径泄露;企业员工或相关人员利用企业信息网络发布扰乱企业或社会公共秩序的信息;企业员工工作时间通过企业信息网络玩游戏、炒股、购物等与工作内容无关的活动,降低了企业工作效率、浪费了资源,同时增加了互联网上病毒、木马的入侵机会。
2.2 项目效果与预期不符
每一个具体的信息化项目,其实质都是要变革企业的管理方式,而管理方式的变革必然触及企业的核心,其风险性是必然的。对风险的评估控制不力,将导致项目实施的效果与预期产生偏差,甚至可能还不如项目实施前原有的管理方法,给企业带来经济上的,以及时间、人力、物力上的损失。造成这一风险的主要原因有5个。
2.2.1 规划动机问题
有些企业实施信息化并不是为了提升管理水平、促进战略目标的实现,而是盲目攀比,为了“面子工程”。很显然,根据这样的动机来实施信息化,风险性是必然的。
2.2.2 产品选型问题
因产品选型不当可能立刻发现问题,也有可能在以后的使用中发现问题。比如,对自身需求与问题认识不清,只是根据方案提供商的实力作为选型标准;盲目采用新的信息科学技术,实际采用后发现,新技术产生的新问题往往很难一下子找到比较好的解决方式等。
2.2.3 供应商问题
信息化供应商提供虚假资质及虚报项目参与人员。虚报的项目参与人员、不具备本行业信息化的产品及服务能力、诱导客户增加不必要的模块等。
2.2.4 实施问题
信息化项目实施前,企业业务流程未能规范化;项目实施过程中,管理不到位;系统测试虽合格但上线后发现很多问题会接踵而来;项目需求不清晰,实施过程中反复修改实施规划甚至终止项目建设等。
2.2.5 使用问题
企业引入信息化后不能与企业当下的管理能力、业务流程相适应,导致最终出现手工与信息化两套模式同时运行的现象,甚至有的企业在购买了一些“豪华产品”后,就一直将其束之高阁。一些企业实施信息化的初衷是想解决成本居高不下等企业管理顽疾,而忽视了产生这些问题深层次的原因,结果导致实施信息化后,问题反而雪上加霜。
2.3 系统可用性降低
对于成功实施并上线运行的项目,由于各种原因,可能导致项目可用性降低,甚至完全不可用。比如系统运行速度变慢、时通时断、存储于各种介质中的电子数据丢失或被破坏等。出现这些情况时,如果没有应急预案或应急预案效果不佳,则很有可能使企业管理陷入混乱。造成这一风险的主要原因有以下3种。
2.3.1 信息犯罪导致可用性降低
当信息犯罪的对象在企业网内部时,将给企业信息化的可用性带来严重影响。目前,主要表现形式有蓄意攻击信息系统,比如拒绝服务攻击(Denia1 of service.DOS)之类,使得企业网上的系统完全不可用;非法获取、篡改企业的机密信息,破坏企业关键系统的正常运行等黑客攻击;病毒、蠕虫、木马等攻击造成数据资源被破坏、丢失或长时间不可用等。
2.3.2 网络设施及链路的破坏
网络设施包括机房及机房相关设施,机房内的硬件设备等;链路包括局域网内线路、室外光缆线路及无线链路等。对于网络设施及链路的破坏原因,既可能是人为蓄意破坏,也可能是自然及物理原因造成的破坏。无论原因如何,造成的损失有两个方面:一方面是网络设备或光缆的直接损失,修复一般都需要一定时间及费用;另一方面,更重要的是网络停用造成的间接损失。
部分网络设施、链路的人为蓄意破坏属于犯罪范围;自然原因包括恶劣天气对无线链路的影响,地震火灾等对机房的影响等;机房还面临着空调及电源系统出现问题。供电、温湿度、洁净度等不达标,使机房内的设备受到影响等。
2.3.3 操作失误
由于缺乏责任心或技能不足而导致系统故障或被破坏。比如,错误的删除命令可能导致大量信息瞬问消失。系统使用人员或管理人员可能因操作失误对系统造成影响,尤其是系统管理人员一旦出现失误,造成的损失可能会更大。
3 防控对策
应对信息化风险,企业应树立适合自身实际的信息化风险管理理念,设立有效的组织机构,定期进行风险评估;对发现的问题及时处理,制定应急预案,以防范突发事件。对全体员工进行教育与培训,增强信息安全知识,强化信息安全意识。
研究信息化风险,目的是发现风险,并进行有效地控制和防范,减少企业损失,目标是要确定应对这些风险的最佳策略。同时应认识到,完全消除信息化风险是不可能,也是没必要的。比如,如果某项风险只影响到10元的成本费用,那么就没有必要采取20元以上的治理措施;如果某台染毒计算机通过重装系统用2个小时能解决,那么就没必要花上2天时间去琢磨病毒的机理。一般不久后,杀毒软件的新病毒库就能直接处理当前病毒。
3.1 管理及组织
3.1.1 管理理念
企业在认识到信息化对企业发展作用的同时,更要认识到信息化风险对企业的影响,建立明确的信息化风险管理理念。
中石油在信息化建设中,对信息安全管理充分重视,提出了“综合防范”的原则:在信息安全体系中,管理与技术同等重要,相互补充、相互配合、缺一不可。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在人员、系统设计、建设和运维的多环节进行综合防范。
3.1.2 理念的落实
信息化风险具有决策信息风险的特质,任何企业实现信息化,都不可能一蹴而就,而应当是一个长期的、分批投入、分步实现的战略决策过程。因此,企业应当做好信息化决策的长期规划,以及实现这一规划的分期目标,并不断地根据上一阶段实践的反馈结果,修正下一阶段的计划方案。
3.1.3 组织机构
企业要设立合乎需要的信息化风险管理机构和岗位。对此,企业领导应给予充分重视,管理机构中的工作人员应同时包括相关专业管理人员以及信息化工作人员,以保证管理与技术措施的顺利实施。
信息化环境下企业机构和岗位设置仍应符合必要的内部牵制原则,应当加强对重要工作岗位(如系统管理员)的管理,从制度上减少出现问题的可能性。
3.2 风险评估
3.2.1 概念
风险评估是识别及评价信息化风险的重要方法。2007年6月14日,我国发布了信息安全风险评估国家标准GB/T20984—2007《信息安全技术信息安全风险评估规范》。标准中对信息安全风险评估的定义是:运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并为提出有针对性的抵御威胁的防护对策和整改措施提供科学依据。
3.2.2 风险源识别
只有掌握了风险的根源及位置,才有可能进一步考虑和设计出有效的控制措施并确定相关责任人。信息化环境下的风险识别是指在全面了解企业信息化管理流程的基础上,识别出相关风险,并判定风险的性质、产生的条件、所处的流程等,即实现风险溯源。
3.2.3 脆弱性评估
信息安全风险评估方法有定性评估方法与定量评估方法。定性评估主要依据研究者的知识、经验、政策水平等对系统风险状况做出非量化的判断,其优点是评估速度快,而且有可能挖掘出一些蕴涵很深的问题,缺点是主观性强,对评估者要求高。定量评估主要是通过因子分析、聚类分析等方法,运用数量指标来对风险进行评估,其优点是结果直观,缺点是有些数据难以精确计算,而且可能非常耗时,因此实践中常常采用定性与定量评估相结合的方式。
风险评估中各要素的关系如图1所示。图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1 风险评估要素关系图
国家标准中给出了风险计算原理,以下面的公式表达:风险值=R (A,T,V)=R [L(T,V),F(Ia,Va)],其中:
R表示安全风险计算函数;
A表不资产;
T表示威胁;
V表示脆弱性;
Ia表示安全事件所作用的资产价值;
Va表示脆弱性严重程度;
L表示威胁利用资产的脆弱性导致安全事件的可能性;
F表示安全事件发生后造成的损失。
3.2.4 评估形式
信息安全风险评估分为自评估和检查评估两种形式,以自评估为主,自评估和检查评估相互结合、互为补充。自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。周期性进行的自评估可以适当简化,重点针对新威胁,但系统发生重大变更时,应进行完整评估。
自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施的费用,提高信息系统相关人员的安全意识,但可能由于缺乏风险评估的专业技能,其结果不够深入准确。同时,受到组织内部各种因素的影响,其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的评估,过程比较规范、评估结果的客观性比较好,可信程度较高;但由于受到行业知识技能及业务了解的限制,对被评估系统的了解,尤其是在业务方面的特殊要求存在一定的局限。同时,由于引入第三方本身就是一个风险因素,因此,对技术支持方的背景与资质、评估过程与结果的保密要求等方面应进行控制。
检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。检查评估也可委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单位负责。
3.2.5 评估时机
随着国际上网络黑客等攻击技术的不断改进,风险处于随时变动的状态,因此,风险评估应贯穿于信息系统生命周期的各阶段中。在规划设计阶段,通过风险评估以确定系统的安全目标;在建设验收阶段,通过风险评估以确定系统的安全目标达成与否;在运行维护阶段,要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。
3.3 风险控制与应急预案
风险防控措施是指按照企业的风险控制理念及风险评估结果,确定的企业风险控制管理及技术措施。对信息化系统制定各种措施时,应对业务流程同时进行检查,并进行必要的优化。为保证管理措施的顺利实施,要制定赏罚分明的监督检查制度。
与风险防范措施类似,应急预案的制定也需要根据情况变化定期检查更新,同时,为了保证其在出现问题时真正有效,要进行实际演练。
3.4 教育与培训
为防范信息化风险,应实施针对每个信息化项目的培训和企业网络安全专题培训。对不同的人员实施以不同目的的培训,比如,对于信息安全管理人员的培训,要符合国家信息安全相关要求,取得必要的资格证书;对于信息化项目的实施,培训应贯穿项目建设的整个过程;对于一般企业网络使用者,要符合企业网络安全的要求,定期培训、全面覆盖。
4 结论
企业信息化进程中必然存在诸多风险,但不能因此对信息化产生畏惧感,要认识风险、正视风险,并采取相应的措施降低风险、规避风险。
相信在企业领导重视之下,树立科学的信息化风险防控理念,建立适当的组织机构后,凭借客观的风险评估以发现风险,制定防控措施和应急预案以预防风险,进行分级培训以促进全员了解风险,信息化风险的范围与程度一定会被企业所掌控,从而保证信息化效果顺利实现,为企业发展增添强劲动力。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:企业信息化风险与对策研究