试论通信企业IT系统风险控制策略

中国电信西安分公司 韩 媛

本文首先分析了通信企业IT系统的运行风险，包括网络运行中的风险问题、客户信息风险问题、内部管理方面的风险等，随后文章介绍了通信企业IT系统的风险控制体系，包括IT系统脆弱性评估、IT系统的安全保护项目以及应急预案的建立等，最后文章提出了提高通信企业中IT系统风险控制能力的策略，包括加强数据信息系统的安全控制、提高IT系统的风险管理能力、健全防护体系等措施，希望能给相关人士提供一些参考。

一、引言

随着科技的发展我国逐渐迎来了信息时代，信息技术的成熟，使其逐渐成为我国各个行业领域中的必不可少的管理技术。同时信息技术已经成为当今时代衡量一个企业发展实力的重要标准，能够体现出一个企业的综合实力。但我们在使用信息技术来进行管理的过程中同样会遇到各种各样的风险问题，从而给企业带来发展危机，本文就此分析了通信企业运行过程中IT系统法风险控制问题，并提出了具体的解决措施。

二、通信企业IT系统的运行风险

（一）网络运行中的风险问题

首先是日志记录方面的风险问题，在一些IT系统可能还没有开启或是根本不具备日志功能，从而导致核心IT系统中没有完整的日志记录，同时也没有对控制机制进行定期的收集归档整理，同时IT系统中的部分日志信息记录也不够完善，从而没有办法对客户一些重要数据信息进行全面的审核，从而对于一些没有经过授权的访问行为进行科学的审核，为通信企业的发展带来一定的影响。

其次就是IT系统硬件方面的故障问题而导致的运行风险，外在的硬件风险问题主要可以体现在以下几个方面，网络机房的设计问题、网络机房在安装过程中不能满足相关的安全运行标准、企业中供电系统的问以及不够充足的后备电源导致通信企业业务中断的问题。硬件设备中的内在风险问题主要表现在设备的超期服役、设备老化、基础不良以及设备自身的断线、短路等问题而产生的运行风险。

最后是系统接口处的风险问题，在一些IT系统中存在数据传输方面的安全隐患，这种问题主要是接口处的问题所导致的，从而让网络中的第三方可以在没有经过授权的问题下直接通过系统接口，利用通信企业中安全防护系统的漏洞或是弱口令方面的不当对IT系统进行非授权访问或是实施攻击，接口问题也是企业中IT系统维护人员和技术人员容易出现疏漏的地方，一旦对方的非法攻击成功，将会形成无法挽回的后果。

（二）客户信息风险问题

首先是客户信息泄露方面的问题，通信企业中的职员一般会将客户信息无意或有意地泄露给社会中的外界人员，从而出现客户隐私泄露的问题，此外，客户的个人隐私也可能会被社会中一些不法分子利用，对客户个人利益造成一定的影响，严重影响社会秩序。

其次就是滥用客户信息的问题，通信企业没有根据具体规定来合理使用客户信息，从而导致客户的部分信息被应用到启发其它方面，引起法律方面的纠纷问题或是引发客户的投诉，影响公司的信誉问题。

（三）内部管理方面的风险

首先是审批管理方面的风险问题，一些重要信息在操作过程中缺少充分的参考依据，从而导致业务处理流程不符合相关的规范要求，同时在管理层中的审批过程中也缺少科学的管控，致使各种违规操作现象频发，增加了企业的运行风险。

其次是职责分工方面的风险问题，IT系统的运行操作一般都是由一个人来兼顾多样运行系统的，包括管理数据库和操作系统等，从而导致在职责分工方面存在一定的冲突。将多个层面的任务同时授权给同一个人进行管理，会使个人权利过大，能够对IT系统进行各种操作，同时还可以让管理人员利用数据库权限和操作系统对应用系统中的操作记录进行任意的修改，增加了相关管理人员职权滥用的风险。

三、通信企业IT系统的风险控制体系

（一）IT系统脆弱性评估

IT系统脆弱性评估主要包括四项内容，一是评估网通信网络是否安全。从而保证通信系统和网络可以免遭内外攻击，避免由于网络通信网络问题所引发的风险问题。二是对企业中的运行系统和数据库系统进行安全评估。在评估数据库时应该使用人工测试和设备扫描想相结合的方式，主要评价内容为访问时限、帐号管理、权限设置、并发时间以及存储过程等内容。三是对企业中的应用数据进行科学评估，分别是评估数据信息的保密性，IT系统中的数据信息需要进行分级保护，对关键数据要通过加密措施进行科学保护，同时对访问主体进行严格的控制，并建立起完善的授权体系。其次是数据信息的完整性，需要通过常规的黑客技术来模拟检测目标客户系统的安全性，从而找到系统中的漏洞和技术缺陷，并进行全面的分析。最后是数据信息的有效性，建立能够检验数据信息完整性的检验机制，从而防止数据信息被任意篡改。

（二）IT系统的安全保护项目

在检测完IT系统脆弱性后可以根据企业中的IT系统来明确系统保护项目，其中主要有访问保护、软件和硬件保护以及管理流程控制等内容。访问保护从广义方面来看，就是对节点安全、网络接口、网络锁定和网络监测、网络服务器以及网络授权、进网访问等进行全面的监控。硬件保护就是让网络交换、系统终端和服务器等硬件设施免受人为和自然的破坏。软件保护就是防止IT系统被人非法进行控制，从而降低使用性能。流程管理控制需要根据评估结果建立科学完善的内部管理制度，同时根据企业实际发展情况对IT系统中的管理漏洞进行详细的修补和完善。

（三）应急预案的建立

理论上我们是无法将IT系统中所有运行风险全部消除的，为此就需要建立相应的应急预案来进行完善，IT系统方面的应急预案包括各种风险问题出现后促进IT系统恢复关键服务的活动[1]。比如在业务连续规划遭到系统中断或破坏后支持IT系统的功能，业务处理方面的恢复，为核心系统的长期运行能力提供基础的保障。灾难性恢复规划方案主要是应用在各种灾难性事件发生后，设备无法进行正常访问的过程中。

四、通信企业IT系统的风险控制策略

（一）加强数据信息的安全控制

通信企业中数据信息的风险控制主要可以从三个方面入手，一是信息存储方面的安全性，在这一过程中可以通过科学的加密技术有效处理数据库中的各种数据信息，同时在数据产生源头入手来建立完善的安全防护系统。二是标识安全，在这一过程中可以利用标识技术来标注区分各种数据信息，经过审计之后，可以加强IT系统和标识之间的联系性，如此能够有效避免信息篡改的问题。三是网络访问的安全性，在这一过程中可以通过强制性的访问控制来进行管理，从而限制访问主体[2]。比如部分非管理员权限的数据信息只能进行读取但是不能进行重新修改或是打印，至于部分关键信息可以设置无权观看。要想提高信息的安全性，需要有效控制应用安全，通过分析IT系统中的需求设计指导安全运行保障。同时还需要对IT系统进行定期的渗透检测，假如企业中具备先进的技术条件，还可以利用源代码来分析IT系统中的安全风险，细致查找各种系统楼多功能，一旦发现就立即实施修复操作，从而促进IT系统安全防控性能的不断提高。

（二）提高IT系统的风险管理能力

通信企业中的IT设计队伍可以利用一系列科学方法来改善IT系统的风险管理能力，同时提高企业内部控制的整体效率，让企业中的内部管理流程更具实用性和完备性，为企业发展提供基础的安全保障。IT系统的审计效能主要可以体现在对治理机制的贡献上[3]。IT系统利用科学的IT管理系统，将技术平台、管理架构、运维成本、绩效考核、管控制度以及管理流程的维护进行有效的融合。随后在结合IT系统来进行系统运维管理工作，从而将系统中被动解决、服务质量、效率低下、沟通不畅等问题进行有效的解决，提高通信企业的应用服务意识。IT审计方法包括风险识别、安全测试、问题追溯等，风险识别包括剩余风险评价、内部控制测试、固有风险评价、风险识别等。安全测试主要有信息技术测试、数据库测试、应用测试、流量探查、漏洞扫描等方法。而问题追溯实际上就是根据已有案例的发生特征，对IT系统日志进行详细的分析对比工作，从而找出相应的解决方案，或是从已有线索入手，根据具体的风险特征，找出有效的风险控制策略。

（三）健全防护体系

攻和防、矛和盾、恶与正存在于各个方面，同时不会随着时间的发展而消失。同时IT系统是风险防控也是一样，要想彻底防止IT系统中的非法入侵问题，需要健全IT系统的风险防护体系。同时通信企业应该培养一支维护队伍，从而让维护人员不断学习新技术，了解黑客的攻击手段，同时不断完善企业IT系统中的防护系统，只有从攻击者的角度进行考虑才能更好地建立防护系统，提高信息系统的防护能力，杜绝信息篡改和信息偷窃等问题的发生。要想提高通信企业中IT系统的管理能力，需要对IT系统进行专项检查，通过制定完善的管理规范来进行日常管理，同时还要，明确定义IT系统中的各项管理细节，如此才能让信息系统的日常管理更加规范化和明确化，加强专项检查，从而促进IT系统管理能力的不断提高。企业还需要定时整理内部各种信息资源，从而建立起完善的应急备灾系统，对企业的应急备灾能力进行定时检查，建立信息丢失查询系统，让丢失信息能够及时进行备份恢复。

四、结语

综上所述，通信企业和传统企业相比在运行发展方面具有较大的差距，主要是以知识密集型的产业为主，因此对IT系统具有较高的依赖性，主要特征就是信息和知识，因此需要将信息技术作为发展的基础支撑。这种行业属性决定了通信企业需要加强对IT系统的重视，从而更好地利用IT系统进行风险控制，从而促进企业的平稳发展。